近日，日本川崎重工披露了一项安全漏洞，该公司发现多个海外办事处未授权访问日本公司服务器，该安全漏洞可能导致其海外办事处的信息被盗。 川崎重工有限公司是一家日本的跨国公司，主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶，也涉及工业机器人、燃气轮机、锅炉和其他工业产品的生产。 公司发布声明：“截止2020年6月11日，安全人员发现从泰国站点未经授权访问日本服务器的情况，随后又发现了从其他海外站点（印度尼西亚、菲律宾和美国）未经授权的访问日本服务器的情况。” 该公司随后加强了对海外办事处访问的监控操作，还限制了从国外对日本服务器的访问。 11月30日，公司恢复了海外办事处与日本总部之间终止的网络通信。 川崎重工有限公司表示：“经过调查，海外办事处的相关信息可能已被泄露。” 自发现该漏洞以来，川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前，还未发现泄露信息的证据。 除此之外，国防承包商Pasco、神户制铁和 三菱电机等日本知名企业在今年也受到了类似的网络攻击。               消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

日前，谷歌反馈工具中的存在安全漏洞，可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现，他因此项发现获得了$ 3133.70的奖励。 Google的许多产品，包括Google Docs，都带有“发送反馈”或“帮助提升”的选项，用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站（“ www.google.com”）中，并通过iframe元素集成到其他域中，该元素从“反馈”加载.googleusercontent.com弹出式窗口。” 这意味着，每当包含Google文档窗口的屏幕被截图时，图像都需要将每个像素的RGB值传输到父域（www.google.com），然后将这些RGB值重定向到反馈域，最终构造图像并将其以Base64编码格式发送回去。 Sreeram发现了传递到“ feedback.googleusercontent.com”方式中的漏洞，使黑客可以将框架修改为任意外部网站，进而窃取Google Docs屏幕截图。 值得注意的是，该漏洞源于Google Docs域中缺少X-Frame-Options标头，这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。 尽管此类网络攻击需要一定形式的用户交互，但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到黑客选择的域来实现。 在跨域通信期间未能提供目标源会引起安全人员的注意，因为它会公开将数据发送到任意网站。 Mozilla文档警示：“恶意站点可以在用户不知情的情况下更改窗口位置，进而拦截使用postMessage发送的数据。因此当使用postMessage将数据发送到其他窗口时，请始终指定确切的目标来源，而不是* 。”               消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

芬兰国会议员表示：“芬兰议会技术监控部门发现，芬兰议会在2020年秋天遭受了网络攻击，此次攻击活动可能导致议员的电子邮件帐户遭到入侵。” 2020年秋天同一时刻，与俄罗斯有关的黑客访问了部分挪威议会代表的电子邮件数据。 芬兰中央刑警（KRP）正在议会的支持下调查安全漏洞。根据KRP专员Tero Muurman的说法，这次攻击互活动很可能是民族主义者开展的，目前未对议会的基础设施造成损害。“此次攻击活动影响广泛，但不幸的是，我们仍无法提供确切的数字。” 芬兰议会会长AnuVehviläinen表示，此次事件针对芬兰社会民主的恶意攻击活动。“我们不能接受任何形式的针对政府或非政府机构的网络攻击活动，” 她补充说，“为了加强网络安全，我们需要采取相关国家措施，配合欧盟和其他国际合作中的积极行动。”         消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

安全专家警告：黑客利用信用卡分离器可以收集Shopify、BigCommerce、Zencart和Woocommerce在线商店的付款信息，通过伪造付款表格，记录顾客进入实际结帐页面之前输入的信息。 在顾客提供了信用卡数据后，页面将引导顾客返回到实际付款页面，以避免引起怀疑。 该网络攻击活动之所以出色，是因为它针对不同平台，黑客可能已经破坏了被攻击商店的共享组件。 专家指出，这种多平台分离器使用的是编程生成的渗透域。第一个渗透域于2020年8月31日注册。 zg9tywlubmftzw5ldza.com; zg9tywlubmftzw5ldze.com; zg9tywlubmftzw5ldzu.com： zg9tywlubmftzw5ldzq.com; zg9tywlubmftzw5ldzm.com; zg9tywlubmftzw5ldzy.com; zg9tywlubmftzw5ldzi.com; zg9tywlubmftzw5ldzg.com …………………………………….. Sansec总结称：“此次攻击活动表明在线平台并非获利欺诈的边界，无论顾客是否输入付款详细信息，都存在一定的风险。”       消息及封面来源：Security Affairs，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

近日，美国家电跨国公司Whirlpool受到了Nefilim勒索软件的攻击，黑客要求公司支付赎金，否则将泄漏窃取的数据。与Whirlpool公司高管谈判失败后，黑客泄漏了从 Whirlpool 窃取的数据。 Whirlpool公司旗下有多个品牌，技术研究制造中心遍及全球，拥有77,000多名员工，其2019年的盈利为200亿美元。 周末，Nefilim勒索软件的幕后黑客发布了第一批数据，包括员工福利、住宿要求、医疗信息及其他相关信息。 黑客表示：“数据泄露归咎于Whirlpool公司高管不愿维护公司员工的利益支付赎金，并且其网络安全防护非常脆弱，这使得我们在谈判失败后进行第二次攻击活动。”  Bleeping Computer的报告显示，此次网络攻击活动发生在12月初。十月份，Nefilim勒索软件的幕后黑客还泄露了意大利眼镜行业巨头Luxottica的数据。 该黑客的攻击目标广泛，还攻击了 移动网络运营商Orange、欧洲技术服务领域巨头 SPIE Group、德国大型私人服务提供商 Dussman Group和 Toll Group等公司。     消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞，在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示，用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞（CVE-2020-10148），该漏洞可能允许黑客执行未经身份验证的攻击API命令，从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示，黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止，我们仍不清楚相关漏洞的细节。 在过去的一周中，Microsoft透露黑客可能正在滥用SolarWinds的Orion软件，在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点，他们都将其描述为.NET Web Shell：一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件，但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出：“SUPERNOVA的新颖之处在于：在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果，并汇总全球入侵活动。 为了修复身份验证绕过漏洞，安全专家建议用户将SolarWinds Orion Platform更新至最新版本： 2019.4 HF 6（2020年12月14日发布） 2020.2.1 HF 2（2020年12月15日发布） 2019.2 SUPERNOVA补丁（2020年12月23日发布） 2018.4 SUPERNOVA补丁（2020年12月23日发布） 2018.2 SUPERNOVA补丁（2020年12月23日发布）       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

WeLeakInfo是一种现已失效的在线服务网站，曾出售其他网站被入侵数据的访问权。 英国国家犯罪局（NCA）表示，该网站的用户利用被盗个人凭据进一步实施了网络犯罪。 在被捕的21名男子（18至38岁之间）中，有9人因涉嫌违反《计算机滥用法》而被拘留，9人涉嫌欺诈罪，另外3人正在接受调查。NCA还从犯罪嫌疑人身上查获了价值41,000多英镑的比特币。 今年1月初，美国联邦调查局（FBI）、NCA、荷兰国家警察总队、德国Bundeskriminalamt和北爱尔兰警察局共同攻破了WeLeakInfo的域。 该网站的服务于2017年推出，为用户提供搜索引擎，用户可访问从10,000多个数据泄露事件中非法获取的个人信息，其中包含超过120亿索引的被盗凭证，涉及姓名、电子邮件地址、用户名、电话号码和账户密码等信息。   最重要的是，WeLeakInfo提供了订阅计划：允许在一天（2美元）、一周（7美元）、一个月（25美元）或三个月的订阅期间无限搜索和访问这些数据泄露的结果。 订阅费用使入门级黑客都可以访问该网站，以每天低至2美元的价格获取大量数据缓存，并利用这些信息发起网络攻击活动。 在该域名于1月被查封后，两名22岁男子因经营该网站而被捕，其中一人在荷兰、另一人在北爱尔兰。 NCA表示，一名犯罪嫌疑人还购买了其他网络犯罪工具，例如远程访问特洛伊木马（RAT）和加密程序，另外三名犯罪嫌疑人藏有不雅儿童照。 NCA的Paul Creffield表示：“人们在多个站点上设置的重复密码为黑客提供了便利。因此，密码设置非常重要。”       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

经过将近两个月的休整之后，Emotet僵尸网络复苏，并开展了每天数十万个网络攻击活动。 Emotet僵尸网络于2014年以银行木马的身份诞生，并发展成提供全方位服务的威胁传递机制。它可在受害者计算机上安装一系列包括信息窃取者、电子邮件收集器、自我传播机制等恶意软件。该僵尸网络最近一次出现是在10月份，目标群体是民主党全国委员会（DNC）志愿者。五个月的中断之后，它在7月重新活跃，并丢弃了Trickbot木马。2月份的一次竞选活动中，有人发现了来自受害者银行的短信。 Cofense研究人员布拉德·哈斯（Brad Haas）在星期二的博客中说：“Emotet僵尸网络后是恶意电子邮件活动最多的发件人之一，但通常一次休眠数周或数月。” “今年，这种中断从2月持续到7月中旬，这是Cofense在过去几年中看到的最长的中断。从那以后，他们观察到整个十月底的Emotet僵尸网络活动正常，直到今天都没有新的案例。” 研究人员说，僵尸网络在有效载荷方面也始终如一。在十月份，最常见的辅助负载是TrickBot、Qakbot和ZLoader，而今天我们观察到的是TrickBot。 TrickBot恶意软件是众所周知的复杂木马，于2016年作为银行恶意软件首次开发，与Emotet一样，它具有自我转换和添加新功能 以 逃避检测 或增强其感染能力的历史。感染了TrickBot木马的用户的设备将成为僵尸网络的一部分，黑客可使用该僵尸网络加载第二阶段的恶意软件，研究人员称其为“几乎所有其他恶意软件有效负载的理想丢弃程序”。TrickBot感染的典型后果是银行帐户被接管、高额电汇欺诈和勒索软件攻击。它最近实现了旨在检查目标系统的UEFI / BIOS固件的功能。微软和其他公司于10月对恶意软件的基础架构进行拆除之后，该恶意软件却严重复苏。 Proofpoint在Twitter上指出： “我们看到了相关英文、德文、西班牙文、意大利文并受密码保护的zip和URL的线程劫持的带有Word附件的诱饵。” Proofpoint威胁研究高级主管Sherrod DeGrippo说：“我们的团队仍在审核新样品，到目前为止，我们只发现了微小的变化。例如，Emotet二进制文件现在被用作DLL而不是.exe。当Emotet运行时，我们每天会观察到数十万封电子邮件。”她指出：“我们通常会看到Emotet在12月24日至1月初停止运营。如果他们继续这种模式，那么最近的活动对他们来说将是短暂而罕见的。” 研究人员同时指出，“黑客在不同的网络诱饵之间交替变化，以使社会工程学用户能够使用包括COVID-19主题的宏。尽管缺乏重大发展，该恶意软件的复兴仍应引起人们的注意。” 鉴于今年的严峻形势，安全人员建议相关组织和个人应提高警惕，并继续采取相关保护措施。         消息及封面来源：Threat Post；译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

远程访问木马（RAT）的防御者不会立即辨别这是来自APT黑客的恶意软件。同样，网络服务（例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL）的恶意攻击也是如此。在2020年，APT黑客组织Pawn Storm使用非复杂的攻击方法。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1434/         消息来源：trendmicro，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击，该攻击破坏了机构的数字签名工具包，并在系统上安装了后门。 网络安全公司ESET在本月初发现了这种“ SignSight”攻击，其中涉及修改CA网站（“ ca.gov.vn”）上托管的软件安装程序，插入名为PhantomNet或Smanager的间谍软件工具。 根据ESET的遥测，该网络攻击活动发生在2020年7月23日至8月16日，涉及的两个安装程序：“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”（适用于32位和64位Windows系统），已被篡改并安装后门。 在将攻击报告给VGCA之后，该机构确认“他们早已知道此类网络攻击，并通知了下载该木马软件的用户。” ESET的Matthieu Faou说：“对于APT黑客组织来说，认证机构网站的妥协是一个很好的机会，因为访问者对负责签名的国家组织高度信任。” 越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分，政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌（也称为PKI令牌）对文档进行数字签名，通过上述驱动程序进行操作。 用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞，伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序（最近一次编译于4月26日进行）负责收集系统信息，并通过从硬编码的命令和控制服务器（例如“ vgca.homeunix [.] org”和“ office365.blogdns”）检索的插件来部署其他恶意功能。 [.] com”），模仿相关软件的名称。 ESET表示，除越南外，菲律宾也存在受害者，但黑客的交付机制和最终目标仍然未知，对交付后的相关信息也知足甚少。 该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介，因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。 ESET在11月披露了在韩国进行的Lazarus攻击活动，该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具（RAT）。 在上周，一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用，提供HyperBro后门程序：Korplug RAT和名为Tmanger的木马。 本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构，包括国土安全部、商务部、财政部和州政府。 Faou总结说：“恶意代码通常隐藏在许多正常代码中，因此供应链攻击通常十分隐蔽且很难被发现。”         消息及封面来源：The Hacker News ；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”