安全快讯Top News

OilRig 伊朗威胁组织伪装合法的思科工具 安装 Poison Frog 后门

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序,以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一,它包含一个面板,面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本,它是一个用C语言编写的PE可执行文件,只有删除包含后门Powershell脚本的功能。在同样的逻辑下,还发现了另一个PowerShell脚本,它有两个不同的长字符串,包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件,OilRig威胁组织成员还巧妙使用了计俩,将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现,起到欺瞒用户的作用,使用户误认为是应用程序或互联网的接入有问题,而实际上却是在悄悄的将后门安装在系统上。”   消息来源:gbhackers, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

美国大学用手机监控数十万名学生的位置 督促学习

12月26日消息,据外媒报道,通过使用短程手机传感器和覆盖整个校园的WiFi网络,美国各地大学能够比以往任何时候都更精确地跟踪数十万名学生位置。如今,数十所美国大学正使用这种技术来监控学生的学习表现,分析他们的行为或评估他们的心理健康情况。 以雪城大学为例,当新生走进杰夫·鲁宾教授(Jeff Rubin)的信息技术导论课时,格兰特礼堂报告厅周围隐藏的七个蓝牙信标会与他们智能手机上的一款应用程序SpotterEDU相连,以此督促他们出勤。SpotterEDU还会记录学生逃课情况,将他们的缺席记录传到校园数据库中,这可能会降低他们的成绩。这款应用还能提醒鲁宾教授联系学生,询问他们去了哪里。 鲁宾表示:“我的课程很少有人缺席。学生们想要获得学分,他们知道我在关注他们,并会对此采取行动。所以,他们会主动改变自己的行为。” 对于校园跟踪系统是否侵犯隐私,学生们意见不一,有些人认为他们没有什么可隐瞒的。但有的学生抱怨称:“我们都是成年人了,真的需要被继续追踪吗?这有什么必要呢?对我们有什么好处?这种情况会持续下去,直到我们每分每秒都得到微观管理吗?“ 不论是否支持校园跟踪系统,几乎所有人都有这样的感觉:这项技术正在变得无处不在,而被监控的人实际上对此无能为力。 许多教育倡导者认为,这些监控系统代表了新的侵入性技术,大规模侵犯了学生的隐私。他们担心,这种追踪系统会让学生在他们长大成人的地方显得幼稚,导致他们把监控视为生活的正常部分,不管他们喜欢与否。此外,这也会破坏学生的独立性,阻止他们培养业余兴趣爱好,因为他们担心自己时刻受到监视。     (稿源:网易科技,封面源自网络。)

Maze 勒索软件公布从彭萨科拉市盗取的文件

Maze勒索软件近期发布2GB的文件,有消息称这些文件正是从彭萨科拉市所盗取。 本月彭萨科拉市遭到勒索软件攻击,该市的通信系统受到影响,网络系统几近瘫痪。据Bleeping Computer证实,这一事件的发生正是因为受到Maze勒索软件的攻击。昨天,Maze勒索软件也发布了32GB文件中的2GB文件,他们声称这些文件来源于在加密网络前就已盗取该市的网络数据,若想解密数据,需花费赎金100万美元。 在Bleeping Computer与Maze相关黑客人员的商讨中,Maze方透露,他们所盗取的文件远不止发布的2GB. “这是媒体报道的错误,我们所盗取的数据远不止如此,我们也不想给这座城市造成压力,也早已表明了真实的意图,但现在还没到我们想到的预期。” 当Bleeping Computer询问他们是否打算发布其余的数据时,他们的回答是“这取决于彭萨科拉市政府”。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

SQLite 漏洞 Magellan 2.0 允许黑客在Chrome浏览器上远程运行恶意程序

近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。 目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。 另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0. 另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案: 关闭SQLite中的fts3功能; 禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。 最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源:cnBeta,封面源自网络。)

有恶意软件以支持瑞典环保少女 Greta Thunberg 的名义进行传播

Proofpoint 网络安全研究人员刚刚发现,有一款名叫 Emotet 的恶意软件,正在以“支持 Greta Thunberg.doc”的名义进行传播。尽管看似一封电子邮件,但其本质上是一款窃取 Windows PC 上金融信息的网银木马。攻击者试图以这位瑞典环保少女的名义,邀请受害者参加圣诞前夕的气候变化抗议活动。 早些时候,Greta Thunberg 因一系列旨在提升全球环保意识的活动,被《时代》杂志评为了 2019 年度人物。 对于那些毫无戒心的网友们来说,需要对这类基于电子邮件的恶意软件传播活动提高警惕。 Proofpoint 安全研究人员指出,这轮攻击主要针对美国、欧洲和亚洲地区拥有 .edu 电子邮件地址的学生群体,甚至出现了使用多种语言的版本。 Proofpoint 补充道:“我们发现受攻击的 .edu 域名数量超过与任何特定国家 / 地区相关的域名。鉴于 Thunberg 得到了学生和年轻人群体的有力支持,黑客的套路也是有些讲究的”。 遗憾的是,转发此电子邮件,并不会对缓解气候危机有任何帮助,反而只会让更多计算机不小心感染上 Emotet 恶意软件。 这款网银木马伪装成了微软 Word 文档附件,并且使用了与邮件主题相同的“支持 Greta Thunberg.doc”文件名。 Proofpoint 提醒道:“假日期间,攻击者会毫不犹豫地瞄准和利用人们的善意,也算是一种另类的公益意识晴雨表了”。   (稿源:cnBeta,封面源自网络。)

研究员利用 Twitter 应用漏洞将 1700 万个电话号码跟用户账号配对

据外媒报道,一名安全研究员日前表示,他通过利用Twitter Android应用中的一个漏洞将1700万个电话号码跟Twitter用户的账号户匹配了起来。这位名叫Ibrahim Balic的研究人员发现可以通过Twitter的联系人上传功能上传生成的完整的电话号码列表。换言之,如果用户在Twitter上上传了自己的电话号码那么平台就会获取用户数据。 Balic指出,Twitter的联系人上传功能不接受连续格式的电话号码列表,这可能就是为了阻止上面的这种匹配。然而,Balic生成了20多亿个电话号码,一个接一个,然后随机分配这些号码并通过Android应用将它们上传到Twitter上,而基于web的上传功能中不存在这个漏洞。 Balic称,在两个多月的时间里,他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户记录,但在Twitter于12月20日对这一漏洞做出反应之后他停止了这种行为。尽管他没有提醒Twitter注意这一漏洞,但他将许多知名Twitter用户(包括政界人士和官员)的电话号码转至WhatsApp群组中以便直接警告用户。 对此,Twitter方面表示,他们正在努力确保不让这个漏洞再次遭到利用。“在得知这个漏洞后,我们暂停了那些非法获取个人信息的账号。保护Twitter用户的隐私和安全是我们的首要任务,我们仍致力于快速阻止垃圾邮件和来自Twitter API的滥用。” 据悉,Balic此前因在2013年发现影响苹果开发中心的安全漏洞而出名。   (稿源:cnBeta,封面源自网络。)

数十个含恶意软件的《星战9》种子资源正出现在多个网站中

每当备受期待的节目或电影上映甚至临近上映时,盗版内容就会开始泛滥。成千上万的人开始寻找免费在线观看最新内容的方法,而一些不良行为者总是很快就可以利用这一趋势。例如去年,恶意软件伪装成《权力的游戏》等剧集,该剧的种子资源病毒泛滥,占比高达17%。 由于剧集非常受欢迎,骗子借此机会将病毒和其他危险软件与伪造甚至真实的视频文件一起传播。 现在,似乎骗子再次利用了这些策略。在迪士尼发行《星球大战:天行者崛起》电影之后,似乎很多互联网用户已经成为“以星球大战为主题的恶意软件攻击的受害者”。据报道,卡巴斯基实验室在2019年发现了285103次这类攻击。 就其本身而言,这是一个惊人的数字,但据报道,最近,该公司在“ 30多个”网站和社交媒体帐户中发现了65个恶意软件“活动”。所有这些活动旨在针对希望免费下载最新《星球大战》电影的个人。对于更精通技术的用户而言,这些“活动”中的大多数显然都是可疑的,并且很容易避免。 但是,对于那些缺乏网络经验的人来说,很容易就可以从表面上获得这些太过真实的提议,这些人似乎经常成为此类陷阱的受害者。 在接下来的几周内,虚假的《星球大战》下载“活动”的数量可能只会增加,因此卡巴斯基建议用户保持警惕,并最好前往影院观看电影。另外,也可以等待其登陆官方流媒体或下载平台,例如Amazon,Disney +或其他平台。   (稿源:cnBeta,封面源自网络。)

全新 Mozi P2P 僵尸网络入侵 Netgear、D-Link、Huawei 路由器

由于被一个名为Mozi的P2P僵尸网络入侵,Netgear、D-Link和Huawei路由器正积极检测Telnet弱密码。因该僵尸网络再次使用了部分代码,可判定该事件与 Gafgyt恶意软件相关。 360 Netlab的安全研究人员在发现该僵尸网络后,对其进行了为期四个月的监控,发现该僵尸网络主要目的是用于DDoS网络攻击。攻击行动首先会在torrent客户端和其他P2P端存储节点信息,然后通过DHT协议进行网络扩散。而这样的扩散行为会使得在无需服务器情况下建立的僵尸网络传播速度更快,也会导致大量僵尸网络在DHT协议中巧妙藏身,更难被检测。 此外,Mozi还使用了ECDSA384和XOR算法来保证僵尸网络组件和P2P网络的完整性和安全性。 恶意软件使用telnet并利用漏洞向新的易受攻击的设备进行传播,该行为主要通过登录加密性弱的路由器或CCTV DVR来实现,在成功利用未修复的主机后立刻执行负载。而恶意软件一旦载入受攻击设备,新激活的bot将自动加入Mozi P2P成为受攻击的新节点。在受感染后,新的网络节点将接收并执行僵尸网络主机的命令,此时Netgear、D-Link和华为路由器也会收到影响。 针对此现象,研究人员做出解释:Mozi在通过DHT协议建立p2p网络后,配置的网络设备会同步更新,相应的任务也会根据配置文件中的指令即刻启动。 以下是自360 Netlab研究人员自2003年9月监测Mozi以来发现的10个受感染的P2P未修补设备: 像Nugache、Storm(又名Peacomm)、Sality P2P、Waledac、Kelihos(又名Hlux)、ZeroAccess(又名Sirefefef)、Miner和Zeus这样的P2P僵尸网络从2006年初开始,就为他们的主人组建了庞大的僵尸网络系统,但现在大部分已经灭绝,而另一些设备如Hajime 、Hide’N Seek(简称HNS),他们仍在寻找易受攻击的设备。 2018年9月,Hide’N Seek在短短几天内感染9万多台设备,而Hajime自2016年秋季首次被发现以来,在短短6个月内,感染约30万台设备。 众所周知P2P僵尸网络对打击他们的下沉式攻击具有很强的弹性,但也不乏一些例子证明ZeroAccess和Kelihos是易受攻击的。 在更多关于Mozi的相关信息被检测出来之前,关于对它进行深层次攻击可能性的猜测从未间断。但可以肯定的是,在此项检测之前,若相关目标还未被修补,Mozi对信息的搜集扩散范围会越来越大。 除上述僵尸网络外,另一个名为Roboto的P2P僵尸网络在8月下旬被被同一个研究小组发现,该网络在互联网上还会对未修补Webmin安装的Linux服务器进行扫描,而有关这个新的P2P僵尸网络更多信息可在360 Netlab的Mozi报告末尾了解。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

男子因通过钓鱼邮件骗取 Google 和 Facebook 1.2 亿美元被判处 5 年徒刑

Evaldas Rimasauskas(48)于2017年3月被地方当局逮捕。原因是其伪装成亚洲大型硬件供应商Quanta Computer并从这两家IT巨头盗窃了大量资金。 起诉书中明确提到了Facebook和Google。根据调查人员的说法,Rimasauskas创建了电子邮件帐户,诱骗Facebook和Google的员工们相信这些电子邮件来自亚洲硬件供应商。 Rimasauskas假扮那些经常与Google 和 Facebook进行数百万美元交易的Quanta员工,并通过向这些员工发送钓鱼邮件,诱导他们向自己的帐户汇款。 Evaldas Rimasauskas于2017年5月在 Vilnius 地方法院照–来源法新社   Rimasauskas使用来自塞浦路斯,立陶宛,匈牙利,斯洛伐克和拉脱维亚的多个银行帐户来接收欺诈性付款。 美国执法部门于2017年将其逮捕。Rimasauskas 对邮件欺诈,身份盗窃和三项洗钱罪等犯罪事实供认不讳。 司法部发布新闻稿称:“除了监禁,法官还命令Rimasauskas在刑满释放后接受两年的监控,没收49,738,559.41美元,并要求其支付26,479,079.24美元的罚款。”     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

Citrix 产品存漏洞,8 万家公司面临风险

黑客可以利用Citrix的应用交付控制器 (NetScaler ADC) 和网关 (NetScaler Gateway) 中的漏洞(CVE-2019-19781)潜入公司内网。这个漏洞是由Positive Technologies的Mikhail Klyuchnikov发现的。 据估计,158个国家/地区的80,000家公司面临潜在风险,其中大多数在美国 (38%),其次是英国,德国,荷兰和澳大利亚。 “利用该漏洞,黑客不需要盗取任何账号就可以直接访问公司内网。” Positive Technologies发表的帖子中写道。 该漏洞会影响该产品的所有版本以及支持该产品的所有平台,包括Citrix ADC和Citrix Gateway 13.0,12.1,12.0,11.1和10.5。 专家指出,由于黑客无需盗取账户便能利用该漏洞,由此,所有黑客都可以在未授权情况下获得服务器中的产品和内网资源。 Citrix可用于连接工作站和关键业务系统。由于可以通过内网使用Citrix,黑客有可能通过漏洞从服务器攻击内网资源。 Citrix发布了解决措施,他们推荐用户更新所有易受攻击的软件版本。 Positive Technologies指出,该漏洞是2014年在Citrix软件中引入的,因此,重要的是还要检测以前的漏洞利用。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接