国庆假期之后，安全研究人员观察到APT组织TA416重新开始了活动。这次活动以在非洲开展外交活动的组织为目标。攻击者对工具集进行更新以逃避检测，该工具集用于传递PlugX恶意软件的有效负载。研究人员发现了TA416的PlugX恶意软件新的Golang变种，并且确定了攻击者在活动中对PlugX恶意软件的持续使用。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1407/         消息来源：proofpoint，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Facebook在Android Messenger应用程序中修复了一个漏洞，该漏洞可能使远程攻击者呼叫没有防备的用户，并在他们接听前监听它们的声音。 10月6日，Google零项目漏洞调查团队的Natalie Silvanovich将该漏洞发现并报告给Facebook，此漏洞影响到Android Messenger的284.0.0.16.11919版本（以及更早版本）。 简而言之，该漏洞可能会使登录应用程序的攻击者同时发起呼叫，并向同时登录应用程序和其他Messenger客户端（如web浏览器）的目标发送精心编制的消息。 Facebook的安全工程经理Dan Gurfinkel表示： “这将触发一种情况，即当设备响铃时，呼叫者会开始接收音频，直到被叫者应答或呼叫超时为止。” 根据Silvanovich的技术报告，该漏洞存在于WebRTC的会话描述协议（SDP）中，该协议定义了用于在两个端点之间交换流媒体的标准化格式，从而使攻击者可以发送一种称为“ SdpUpdate”的特殊类型的消息，该消息将导致呼叫在被应答之前连接到被叫方的设备。 通过WebRTC进行的音频和视频通话通常不会在接收者单击“接受”按钮之前传输音频，但是如果此“ SdpUpdate”消息在振铃时发送到另一终端设备，“将导致它立即开始传输音频，攻击者可以借此监视被呼叫者的周围环境。”   在某些方面，该漏洞与去年Apple的FaceTime群聊功能中报告的侵犯隐私的漏洞相似，该漏洞使用户可以通过添加自己的号码作为第三方来发起FaceTime视频通话，甚至在对方接受来电之前就可以窃听目标通话。 这个漏洞非常严重，以至于苹果在解决了该问题之前就完全中断了FaceTime群组聊天。 但与FaceTime错误不同，利用此漏洞并不是那么容易。呼叫者必须已经具有呼叫特定人员的权限，换句话说，呼叫者和被呼叫者必须是Facebook朋友才能实现。 更重要的是，攻击者必须使用诸如Frida之类的逆向工程工具来操纵自己的Messenger应用程序，以迫使其发送自定义的“SdpUpdate”消息。 Silvanovich因为报告了这个问题而获得了6万美元的奖金，这是Facebook迄今为止最高的三个bug奖金之一，这位谷歌研究员表示，她将这笔奖金捐给一个名为GiveWell的非盈利组织。 这不是Silvanovich第一次发现通讯应用程序中的严重漏洞，他之前在WhatApp、iMessage、WeChat、Signal和Reliance JioChat中也发现了一些问题，其中包括“无需用户交互，被叫方设备就会发送音频”的问题。       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

实时自动化（RTA）499ES EtherNet/IP（ENIP）堆栈中存在一个严重漏洞，该漏洞可能会使工业控制系统受到远程攻击。 RTA的ENIP堆栈是广泛使用的工业自动化设备之一，被誉为“北美工厂I/O应用的标准”。 美国网络安全与基础设施局（CISA）在一份咨询报告中表示：“成功利用此漏洞可能造成拒绝服务，缓冲区溢出可能允许远程代码执行。” 到目前为止，尚未发现针对此漏洞的已知公开攻击。然而，“根据互联网连接设备的公共搜索引擎，目前有超过8000台与ENIP兼容的互联网设备。” 该漏洞编号为CVE-2020-25159，CVSS评分为9.8（满分10分），影响2.28之前版本的EtherNet/IP Adapter Source Code Stack。 安全公司Claroty的研究员Sharon Brizinov上个月向CISA披露了这个堆栈溢出漏洞。 RTA似乎早在2012年就从软件中删除了可攻击代码，但许多供应商可能在2012年更新之前就购买了该堆栈的易受攻击版本，并将其集成到自己的固件，从而使多台设备处于危险之中。 研究人员表示：“在六家供应商的产品中，有11种设备运行了RTA的ENIP堆栈。” 该漏洞本身涉及对通用工业协议（CIP）中使用的路径解析机制的不正确检查（CIP是一种用于组织和共享工业设备中的数据的通信协议），使得攻击者能够打开具有较大连接路径大小（大于32）的CIP请求，并导致解析器写入内存地址超出固定长度缓冲区，从而可能会导致任意代码执行。 RTA在披露中表示：“RTA设备中的旧代码试图通过限制EtherNet / IP转发打开请求中使用的特定缓冲区的大小来减少RAM的使用。” “通过限制RAM，攻击者有可能试图使缓冲区溢出，并利用它来控制设备。” Claroty的研究人员扫描了290个与ENIP兼容模块，其中来自6个不同供应商的11个设备被发现使用了RTA的ENIP堆栈。 Brizinov在分析中指出：“与先前的披露类似（例如Ripple20或Urgent / 11），这是另一个易受攻击的第三方核心库使工业控制系统供应商的产品面临风险的案例。” 我们建议用户更新到ENIP堆栈的当前版本，以减轻该漏洞带来的影响。CISA还建议用户最大程度地减少所有控制系统设备的网络暴露，确保不能从网络访问这些设备。 CISA表示： “将控制系统网络和远程设备放在防火墙后面，并将它们与业务网络隔离开。当需要远程访问时，使用安全方法，例如虚拟专用网（VPN）。但是VPN可能存在漏洞，应将其更新为可用的最新版本。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Ranzy勒索软件出现在今年9月/10月，似乎是ThunderX和Ako勒索软件的变体。Ranzy有一些关键的更新，包括加密的调整，过滤的方法，以及使用公开的“leak blog”为那些不遵守赎金要求的人发布受害者数据。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1403/         消息来源：SentinelLABS，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

有证据表明，Cicada威胁组织是针对17个地区和多个行业的公司发动攻击的幕后黑手。大规模的攻击行动针对多家日本公司，其中包括位于全球17个地区的子公司。此次活动的目标横跨多个行业的公司，包括汽车、制药和工程部门的公司，以及管理服务提供商（MSP）。 Cicada又被称作APT10、Stone Panda、Cloud Hopper），它自2009年以来一直参与间谍类型的行动。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1402/       消息来源：Symantec Enterprise Blogs，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在过去的一篇文章中，我们介绍了Linux恶意软件ELF_TSCookie，它被一个攻击组织BlackTech使用。这个组织也使用其他影响Linux操作系统的恶意软件。我们之前介绍的Windows的PLEAD模块也有Linux版本（ELF_PLEAD）。本文将ELF_PLEAD模块与PLEAD模块进行了比较。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1401/         消息来源：JPCERT，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

思科发布4.22版本的补丁程序后，过了一周，思科发布了多个有关Cisco Security Manager（CSM）关键漏洞的安全公告。 此前，Code White研究员Florian Hauser（frycos）公开披露了影响CSM web界面的12个安全漏洞的PoC，这些漏洞使得未经验证的攻击者有可能实现远程代码执行（RCE）攻击。 三个月前的7月13日，思科产品安全事故响应小组（PSIRT）负责任地报告了这些缺陷。 frycos在一条推文中称：“由于Cisco PSIRT变得无响应，而发布的4.22版仍然没有提到任何漏洞，”他在推特中列举了公开POC的原因。 Cisco Security Manager是一个端到端的企业解决方案，允许组织实施访问策略，管理和配置网络中的防火墙和入侵防御系统。 该公司于11月9日发布了CSM的4.22版本，其中包括对AnyConnect Web Security WSO的支持，以及不受欢迎的MD5哈希算法、DES和3DES加密算法。 这些漏洞允许攻击者在最高权限用户帐户“NT AUTHORITY\SYSTEM”的上下文中创建恶意请求、上传和下载任意文件，从而使对手能够访问特定目录中的所有文件。 思科在其公告中表示：“该漏洞是由于对受影响设备的请求中目录遍历字符序列的验证不正确所致。”“攻击者可以通过向受影响的设备发送精心编制的请求来利用此漏洞进行攻击。成功利用此漏洞可使攻击者从受影响的设备下载任意文件。” 该缺陷的CVSS评分为9.1（满分10分），等级为严重。 CSM使用的不安全的Java反序列化函数导致的另一个缺陷（CVSS分数：8.1）可能允许具有系统权限的未经验证的远程攻击者在受影响的设备上执行任意命令。 然而，思科还没有解决这个缺陷，计划中的修复程序将包括在思科安全管理器4.23版本中。 该公司还表示，它知道有关这些漏洞的公开声明，目前还没有发现任何证据表明这些漏洞是在野外被利用的。 11月16日，思科针对Cisco security Manager（CSM）中报告的漏洞发布了三份安全公告。报告的12个问题通过四个Cisco bug ID进行跟踪并解决。思科发布了免费软件更新，以解决CSM路径遍历漏洞咨询和CSM静态凭证漏洞咨询中描述的漏洞。 思科将尽快发布免费软件更新，以解决CSM Java反序列化漏洞咨询中描述的漏洞。         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

网络安全研究人员揭秘了韩国一场新型供应链攻击，该攻击滥用合法安全软件和窃取的数字证书，在目标系统上分发远程管理工具（RAT）。 Slovak网络安全公司ESET将此次行动归咎于Lazarus集团，该集团也被称为“Hidden Cobra”。ESET表示，黑客利用了该国的强制要求，即互联网用户必须安装额外的安全软件。 虽然攻击范围有限，但它利用了WIZVERA VeraPort，该程序被宣传为“旨在整合和管理与互联网银行相关的安装程序的程序”，比如银行向个人和企业发放的数字证书，以确保所有交易和处理支付的安全。 这是韩国长期以来针对受害者的间谍攻击的最新进展，包括Operation Troy、2011年的DDoS攻击，以及过去十年针对银行机构和加密货币交易所的攻击。 除了使用上述安装安全软件的技术从合法但受到损害的网站传递恶意软件外，攻击者还使用非法获得的代码签名证书来签署恶意软件样本，其中一份发给了韩国一家名为Dream Security USA的安全公司在美国的分公司。 ESET研究人员PeterKálnai表示：“攻击者将Lazarus恶意软件样本伪装成合法软件。这些样本具有与韩国合法软件相似的文件名，图标和资源。”“被攻击的网站结合了WIZVERA VeraPort支持和特定的VeraPort配置选项，使得攻击者能够执行这种攻击。” ESET的研究人员指出，攻击者的目标是那些使用VeraPort的网站，这些网站还附带了一个base64编码的XML配置文件，其中包含要安装的软件列表及其相关下载URL。ESET的研究人员表示，攻击者通过损害一个合法的网站，然后用非法获得的代码签名证书签署交付有效载荷。 研究人员指出：“WIZVERA VeraPort配置包含一个选项，可以在执行之前对下载的二进制文件进行数字签名验证，并且在大多数情况下，这个选项是默认启用的。”“但是，VeraPort只验证数字签名是有效的，而不检查它属于谁。” 然后，二进制文件继续下载一个恶意软件卸载程序，该程序提取另外两个组件——加载器和下载器，后者被加载器注入到一个Windows进程中（“svchost.exe”）。下载器获取的最后阶段有效载荷采用RAT的形式，它带有允许恶意软件在受害者的文件系统上执行操作的命令，并从攻击者的武器库中下载和执行辅助工具。 更重要的是，此次行动似乎是另一场名为“Operation BookCodes”的攻击的延续，今年4月初韩国互联网与安全局（Korea Internet & Security Agency）详细描述了这一攻击，该攻击在TTPs和命令与控制（C2）基础设施上存在明显重叠。 研究人员表示，“攻击者对供应链攻击特别感兴趣，因为他们可以在同一时间秘密地在许多电脑上部署恶意软件。” “支持VeraPort的网站的所有者可以通过启用特定选项（例如在VeraPort配置中指定二进制文件的哈希值）来降低此类攻击的可能性，如果网站已经受到了攻击也可以采用这种方法。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

TroubleGrabber是一种新的凭证窃取恶意软件，它通过Discord的附件传播，并使用Discord消息将窃取的凭证传回给攻击者。虽然它在功能上与AnarchyGrabber有一些相似之处，但实现方式不同。TroubleGrabber是一个名叫“Itroublve”的人写的，目前被多个攻击者用来针对Discord的受害者。 该恶意软件主要通过drive-by下载，窃取web浏览器令牌、Discord webhook令牌、web浏览器密码和系统信息。此信息通过webhook作为聊天消息发送到攻击者的Discord服务器。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1399/       消息来源：netskope，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

来自加利福尼亚大学和清华大学的一群学者发现了一系列严重的安全漏洞，这些漏洞可能导致DNS缓存中毒攻击死灰复燃。 这种技术被称为“SAD DNS攻击”（Side-channel AttackeD DNS的缩写），该技术使攻击者可以进行路径外攻击，将最初发往特定域的所有流量重新路由到其控制下的服务器，从而允许他们窃听和篡改通信。 研究人员表示：“这是一个重要的里程碑，这是第一个可武器化的网络侧通道攻击，具有严重的安全影响。”“这使攻击者可以将恶意DNS记录注入DNS缓存中。” 这一发现被追踪为CVE-2020-25705。该漏洞影响操作系统Linux 3.18-5.10，Windows Server 2019（版本1809）和更高版本，macOS 10.15和更高版本以及FreeBSD 12.1.0和更高版本。   DNS转发器成为新的攻击面 DNS解析器通常将对IP地址查询的响应缓存特定时间段，以提高网络中响应性能。但可以利用这种机制来毒化缓存，方法是为给定网站模拟IP地址DNS条目，并将尝试访问该网站的用户重定向到攻击者选择的其他站点。 但是，此类攻击的有效性受到了一定程度的影响，因为诸如DNSSEC（域名系统安全扩展）之类的协议通过在现有DNS记录中添加加密签名和允许DNS的基于随机化的防御来创建安全的域名系统解析程序为每个查询使用不同的源端口和事务ID（TxID）。   一种新颖的Side-Channel攻击 研究人员指出，由于“激励和兼容性”的原因，这两种缓解措施还远未得到广泛应用，因此他们设计了一种Side-Channel攻击，可以成功地用于最流行的DNS软件堆栈。所以，像Cloudflare的1.1.1.1和Google的8.8.8.8这样的公共DNS解析程序易受攻击。 SAD DNS攻击的工作原理是利用任何网络中的一台受损机器，该网络能够触发DNS转发器或解析器的请求，例如咖啡馆、购物中心或机场中由无线路由器管理的公共无线网络。 然后，它利用网络协议栈中的一个侧信道来扫描并发现哪些源端口用于启动DNS查询，随后通过暴力强制TxIDs注入大量伪造的DNS应答。 更具体地说，研究人员使用域名请求中使用的一个通道，通过向受害者服务器发送每个具有不同IP地址的伪造UDP数据包来缩小确切的源端口号，并根据收到的ICMP响应（或没有响应）来推断是否已命中正确的源端口。 这种端口扫描方法达到每秒1000个端口的扫描速度，累计需要60秒多一点的时间来枚举由65536个端口组成的整个端口范围。然后，攻击者所要做的就是插入一个恶意IP地址来重定向网站流量，并成功地完成DNS缓存中毒攻击。   减轻SAD DNS攻击 除了演示如何扩展攻击窗口（允许攻击者扫描更多端口并注入额外的恶意录来攻击DNS缓存）外，该研究还发现，互联网上超过34%的开放解析程序易受攻击，其中85%由流行的DNS服务（如Google和Cloudflare）组成。 为了应对SAD DNS，研究人员建议禁用传出的ICMP响应，并更积极地设置DNS查询的超时。 研究人员还提供了一种工具来检查容易受到此攻击的DNS服务器。此外，该小组与Linux内核安全团队合作开发了一个补丁，该补丁随机化ICMP全局速率限制，从而将噪声引入旁通道。 研究人员得出结论：“这项研究提出了一种基于全球ICMP速率限制的侧通道，所有现代操作系统都普遍采用这种限制。”“这可以有效扫描DNS查询中的UDP源端口。结合扩展攻击窗口的技术，可以导致DNS缓存中毒攻击死灰复燃。”       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”