与Microsoft Bing相关的一个后端服务器暴露了搜索引擎移动应用用户的敏感数据，包括搜索查询、设备详细信息和GPS坐标等。 然而，日志数据库不包括任何个人信息，如姓名或地址。 9月12日，WizCase的Ata Hakcil发现了这一数据泄露，它是一个6.5TB的海量日志文件缓存，任何人都可以在没有任何密码的情况下访问这些文件，这有可能让攻击者利用这些信息进行敲诈和网络钓鱼诈骗。 WizCase称，服务器在9月10日之前一直受到密码保护，此后，身份验证似乎被无意中删除了。 微软安全响应中心知悉后，Windows制造商于9月16日解决了这一错误配置。 近年来，配置不当的服务器一直是数据泄露的持续来源，它会导致电子邮件地址、密码、电话号码和私人信息暴露。 WizCase的Chase Williams在周一的一篇文章中说：“基于绝对的数据量，可以安全地推测，任何在服务器暴露的情况下使用Bing搜索的人都有风险。”“我们看到了来自70多个国家的搜索记录。” 一些搜索词包括搜索儿童色情内容和他们在搜索后访问的网站，以及“与枪支相关的查询，包括购买枪支的搜索历史记录，以及‘杀死共产主义者’之类的搜索词。” 除了设备和位置的详细信息外，这些数据还包括使用移动应用程序执行搜索的确切时间、用户从搜索结果中访问的URL的部分列表以及三个唯一标识符，如ADID（Microsoft广告分配给广告的数字ID）、“deviceID”和“devicehash”。 此外，该服务器还遭受了至少两次所谓的“meow attack”，这是一次自动网络攻击，自7月以来，该攻击已从14000多个不安全的数据库实例中抹去数据，且没有任何解释。 尽管泄露的服务器没有透露姓名和其他个人信息，但WizCase警告说，这些数据可能被用于其他目的。此外，这还会让犯罪分子定位用户的行踪，用户可能会遭受人身攻击。 “无论是搜索成人内容、欺骗重要人物、极端政治观点，还是人们在必应上搜索的数百件令人尴尬的事情，”该公司表示一旦黑客掌握了搜索查询信息，他们可以根据服务器上提供的详细信息查出受害者的身份，从而使受害者容易成为敲诈的目标。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

前言 最近一段时间，我们一直在监测一种新的恶意程序，我们称之为“Meh”。这一切都是在我们遇到大量文件时开始的，这些文件的开头是随机生成的字符串，然后是一个编译的AutoIt脚本…… 分析 Meh由两个主要部分组成。 第一部分是解密器，我们将其命名为MehCrypter，它由多个阶段组成，并作为已编译的AutoIt脚本进行分发，以随机生成的字符串序列作为前缀。AutoIt解释程序将跳过此字符串序列，该解释程序将扫描确定文件格式的字节并有效地混淆文件，而不会影响其功能。 第二部分是密码窃取程序，称为Meh。窃取程序是恶意软件的核心，并具有许多功能。它能够窃取剪贴板内容，键盘记录，窃取加密货币钱包，通过种子下载其他文件等。它几乎所有功能都在子线程中执行，这些子线程是从注入的进程执行的。在下一篇博客文章中，我们将重点介绍密码窃取器。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1340/       消息来源：DECODED  ，封面来自于网络，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ESET安全研究人员Lukas Stefanko昨天在推特上发布了一条警报，报告显示最近披露的一个影响Android版Firefox的高危远程命令执行漏洞已被利用。 该漏洞最初由澳大利亚安全研究人员Chris Moberly发现，该漏洞存在于浏览器的SSDP引擎中，攻击者可以利用该漏洞将安装了Firefox的Android手机锁定为与攻击者连接到同一Wi-Fi网络的Android手机上。 SSDP是简单服务发现协议（Simple Service Discovery Protocol）的缩写，它是UPnP的一部分，用于查找网络上的其他设备。在Android中，Firefox会定期向连接到同一网络的其他设备发送SSDP发现消息，寻找第二个屏幕设备。 本地网络上的任何设备都可以响应这些广播并提供一个位置来获取UPnP设备的详细信息，然后Firefox尝试访问该位置，期望找到符合UPnP规范的XML文件。 视频链接：https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html Moberly提交给Firefox团队的漏洞报告显示，受害者的Firefox浏览器的SSDP引擎可以通过简单地用一条指向Android意图URI的特制消息替换响应包中XML文件的位置，从而诱使其触发Android恶意命令。 为此，连接到目标Wi-Fi网络的攻击者可以在其设备上运行恶意SSDP服务器，并通过Firefox在附近的Android设备上触发恶意命令，这些过程无需与受害者进行任何交互。 哪些恶意命令包括自动启动浏览器和打开任何已定义的URL，据研究人员称，这足以诱使受害者提供其凭据、安装恶意应用程序以及基于周围场景的其他恶意活动。 Moberly表示，“目标只需在手机上运行Firefox应用程序。他们不需要访问任何恶意网站或点击任何恶意链接。不需要中间攻击者或安装恶意应用程序。他们只需在咖啡厅中使用Wi-Fi喝咖啡，攻击者就会控制他们的设备启动应用程序URI。” 视频链接：https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html “它类似于网络钓鱼攻击，在这种攻击中，恶意网站会在他们不知情的情况下强行攻击目标，使受害者输入一些敏感信息或同意安装恶意应用程序。” Moberly在几周前向Firefox团队报告了这个漏洞，Firefox浏览器制造商目前已经在Firefox Android 80及更高版本中修补了这个漏洞。 Moberly还向公众发布了一个概念验证漏洞，Stefanko曾在上述视频中针对连接到同一网络的三个设备演示了该漏洞。   稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司ImmuniWeb在一份有关今年全球网络安全行业在暗网暴露数据的最新报告中，发现97%的领先的网络安全公司都发生了数据泄露或其他安全事件，而平均而言，每个网络安全公司会暴露4,000多个被盗凭证和其他敏感数据。 研究发现： 97%的公司在暗网上发生了数据泄露和其他安全事件。 共发现631512起经核实的安全事件，超过25%（或160529）属于高或严重风险级别事件，其中包含高度敏感的信息，例如明文凭证或PII，包括财务或类似数据。因此，平均每个网络安全公司有1586份被窃取的凭证和其他敏感数据被曝光。在ImmuniWeb的研究中还发现了超过100万个未经证实的事件（1027395），这里面只有159462个被认为是低风险的。 29%的被盗密码是弱密码。研究显示，29%的被盗密码很弱，只有不到8个字符，或者没有大写字母、数字或其他特殊字符。162家公司的约40名员工在不同的违规情况下重复使用相同的密码增加了网络犯罪分子重复使用密码攻击的风险。 色情网站和成人交友网站上使用了专业电子邮件，第三方违规行为占有很大比例，ImmuniWeb的研究发现，5121份证书从被黑客入侵的色情网站或成人交友网站上被窃取。 63%的网络安全公司的网站不符合PCI DSS要求，这意味着它们使用易受攻击或过时的软件（包括JS库和框架）或在阻止模式下没有Web应用程序防火墙（WAF）。 48%的网络安全公司的网站不符合GDPR要求。他们缺乏明显的隐私政策，当cookie包含PII或可追踪标识符时，缺少cookie免责声明。 91家公司存在可利用的网站安全漏洞，其中26%仍未修补。这一发现来自ImmuniWeb，指的是Open Bug Bounty项目中公开可用的数据。 这项研究是使用ImmuniWeb的免费在线域安全测试来进行的，该测试结合了专有的OSINT技术和机器学习，对暗网进行分类。398家领先的网络安全公司接受了测试。 美国的网络安全公司遭受的风险最高，严重，其次是英国和加拿大，再次是爱尔兰，日本，德国，以色列，捷克共和国，俄罗斯和斯洛伐克。 在接受测试的398家网络安全公司中，只有瑞士，葡萄牙和意大利的公司没有遭受任何高风险或重大风险事件，而比利时，葡萄牙和法国的公司经过验证的事件数量最少。 ImmuniWeb首席执行官兼创始人Ilia Kolochenko对这项研究发表了评论： “如今，网络犯罪分子通过针对可信赖的第三方而不是追逐最终受害者，努力实现利润最大化和被捕的风险最小化。例如，大型金融机构通常拥有强大的技术，法证和法律资源，可以及时发现并调查，经常成功地起诉大多数入侵者。 “相反，他们的第三方，从律师事务所到IT公司，通常缺乏对快速增长的针对性攻击和APT做出反应所需的内部专业知识和预算。最终，那些攻击者逍遥法外。在2020年，人们无需花费很多时间，而是找到几个不受保护的第三方，迅速破解最他们薄弱的环节。” “对于当今的任何网络安全和合规计划来说，数据，IT和数字资产的整体可见性和清单都是必不可少的。机器学习和AI等现代技术可以极大地简化和加速从异常检测到错误的大量繁重任务。但是，我们要通过不断监视深网、暗网以及Surface Web中无数的资源（包括公共代码存储库和粘贴网站），在不久的将来，这种环境可能会变得更加复杂。” 完整的研究结果可以在这里查看。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

大多数网络安全专业人士都会预料到，攻击者会利用围绕Covid-19流行病进行网络攻击。 当然，恶意电子邮件会包含与Covid-19相关的主题，恶意下载与Covid-19相关。这就是攻击者的运作方式。他们会抓住任何使效率最大化的机会，无论多么卑鄙。 虽然有传闻描述了有关Covid-19的网络攻击将如何展开的问题，但我们几乎没有数据支持Covid-19对网络安全的实际影响。有几家公司报告显示，与Covid-19相关主题的恶意电子邮件数量已经增长了百分之几百，现在大多数与Covid-19相关的电子邮件都是恶意的。 除了与Covid-19相关的恶意电子邮件、视频和一系列可下载文件的增加之外，背后还发生了什么？ 有趣的是，网络安全公司Cynet刚刚发布了一份报告（在这里下载），详细描述了自Covid-19流感爆发以来，他们在北美和欧洲观察到的网络攻击的变化。该报告分享了一些有趣的发现，例如在各个行业部门观察到的网络攻击量的变化、网络钓鱼作为初始攻击载体的使用增加以及在网络钓鱼攻击中分发恶意软件的方法。 Cynet发现，攻击者不仅仅是“某种程度上”，而是正在全力以赴地利用Covid-19。攻击者正在拿出他们的全部新的攻击方法，以确保攻击成功。 报告指出，使用新技术进行攻击的比例在20%左右。也就是说，80%的攻击都使用了很容易识别的众所周知的技术（前提是公司已经更新了预防措施）。 自Covid-19流感以来，Cynet发现新的攻击占所有攻击的35%。新的攻击技术仅靠杀毒软件是无法充分检测到的，只有使用新的行为检测机制才能有效地发现新的攻击技术。也就是说，必须使用新的检测方法来检测正在部署的新攻击技术。 请求检测和响应团队（Cynet称之为cypos）的专家帮助的客户数量激增。在流感大流行期间，客户参与率高达250%。 除了使用先进的检测和响应机制外，还需要深厚的网络安全技能来检测和缓解在Covid-19流感期间部署的新攻击技术的急剧上升。 不幸的是，许多公司还没有先进的检测和响应技术，例如扩展检测和响应（XDR）或对全天候管理的检测和响应（MDR）团队的持续访问。当使用新技术的网络攻击在这场大流行期间激增时，没有这些先进保护措施的公司将面临更高的风险。 为了您的网络安全，我们强烈建议您关注XDR和MDR解决方案，使用威胁搜索技术来搜索您的系统，提防新的恶意软件攻击。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

9月16日，美国政府指控APT41黑客组织的5名中国公民和2名马来西亚黑客，对全世界100多家公司发动黑客攻击。 这家名为APT41、又被称为“Barium”、“Winnti”、“邪恶熊猫”和“邪恶蜘蛛”的网络间谍组织至少从2012年就开始运作了，它不仅参与了从许多领域的有价值目标那里收集战略情报，而且还参与了对在线游戏行业的攻击。 美国司法部公布的新闻稿显示，五名中国黑客中的两名成员——张浩然和谭代林，于2019年8月被起诉，另外三名成员——蒋立志、钱川和付强，还有两名马来西亚同谋在2020年8月分别被起诉。 后来被起诉的三名中国黑客与一家网络安全公司——成都肆零肆公司有关联。 “至少从2008年开始，付就一直与蒋密切合作，并与蒋在多家互联网和视频游戏相关公司工作。付至少从2013年就开始与钱和蒋合作。在加入成都肆零肆公司之前，付自称是一名熟练的程序员和开发人员。 正如之前在多份报告中发现的，APT41集团专门从事软件供应链攻击，黑客窃取专有的“源代码、软件代码签名证书、客户帐户数据和有价值的商业信息”，并分发经过数字签名的恶意软件版本，以感染目标组织的系统。 法庭文件显示，在一些目标系统没有任何有价值的信息的情况下，被告还使用勒索软件和密码劫持恶意软件来赚钱。 目标产业包括“软件开发公司、计算机硬件制造商、电信供应商、社交媒体公司、电子游戏公司、非营利组织、大学、智囊团和外国政府，以及香港的民主政界人士和活动家。” 新闻稿显示：“被告还破坏了印度和越南的外国政府计算机网络，并锁定了英国的政府计算机网络。” 两名马来西亚黑客王安华（音译）和凌扬青（音译）于2020年9月14日在西塔万被马来西亚当局逮捕，目前正被引渡到美国。联邦调查局表示，5名中国公民仍然在逃。 “除了对所有被控被告发布逮捕令外，美国哥伦比亚特区地方法院于2020年9月签发了扣押令，他们最近扣押了数百个被告用于操作其计算机的帐户、服务器、域名和指挥控制（C2）“死机”网页。 “微软（谷歌、Facebook和Verizon Media除外）的行动是阻止被告继续访问黑客基础设施、工具、账户以及指挥和控制域名的整体努力的重要组成部分。” 目标公司位于美国和世界各地，包括澳大利亚、巴西、智利、香港、印度、印度尼西亚、日本、马来西亚、巴基斯坦、新加坡、韩国、台湾、泰国和越南。 张某和谭某被控25项电脑诈骗和洗钱罪，最高可判20年监禁。 蒋、钱、傅也面临着类似的指控的9项罪名，最高可判20年监禁。 王、凌被指控23项类似罪名，但由于他们也涉及虚假注册域名，因此将把洗钱罪的最高刑期增至27年。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

前言 2020年6月以来，新一波URSA木马程序（ESET称之为mispadu恶意软件）已影响到多个国家的用户，包括玻利维亚、智利、墨西哥、阿根廷、厄瓜多尔、秘鲁、哥伦比亚、巴拉圭、哥斯达黎加、巴西、西班牙、意大利和葡萄牙。此软件是恶意木马，当安装在受害者的设备上时，它从浏览器和流行软件（如FTP和电子邮件服务）收集密码，并执行银行浏览器覆盖，以诱使受害者介绍银行凭证，这些流程由攻击者在后台逐步执行。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1338/     消息与封面来源：Seguranca-Informatica  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本文旨在为读者提供有关PRODAFT＆INVICTUS威胁情报（PTI）团队针对不同威胁者的最新详细信息，以及发现与臭名昭著的Fin7 APT组织合作的人是谁。 感谢您曾阅读在本系列文章的第一部分。在公开Fin7和REvil组织关系之前，我们试图与勒索软件的受害者联系，同时，我们将继续发布有关Fin7攻击者工具的文章。 在第一篇文章中，我们检查了Carbank后门控制面板的版本更改，并公开了以前未知的Tirion Loader。我们希望Fin7组织在未来使用该装载机取代Carbanak后门。 在本系列的这一部分中，我们将深入研究Fin7攻击者进行的BadUSB攻击。 我们将分以下几部分来介绍整篇文章： BadUSB攻击概述 macOS针对BadUSB攻击 攻击者收集的AV检测统计信息 受害者统计     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1336/ 消息与封面来源：threatinte  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本文旨在为读者提供有关PRODAFT＆INVICTUS威胁情报（PTI）团队针对不同威胁者的最新详细信息，以及发现与臭名昭著的Fin7 APT组织合作的人是谁。 所有这些都源自威胁者方面的一次OPSEC故障，我们将尝试逐步扩展主题，类似于我们在不断发现的基础上扩大范围。 关于Fin7和Carbanak的前所未有的事实：第1部分 在5月至2020年7月之间；PRODAFT威胁情报团队的四名成员进行了BlueRaven行动。案例研究源于发现一组看似不重要的轻微OpSec故障。当然，后来发现这些威胁因素与臭名昭著的Fin7 / Carbanak威胁因素有联系。 PTI的OP源于攻击者一方的OPSEC故障。与以前发现和发布的数据不同，使此OP如此与众不同的是，我们设法发现了大量有关攻击者工具集的未发布信息，这些信息揭示了攻击者的TTP。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1335/ 消息与封面来源：threatinte  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2020年9月12日至13日，全球近2000家Magento 1店遭到黑客攻击，这是迄今为止规模最大的一次有记录的活动。这是一个典型的Magecart攻击：注入的恶意代码将截获不受怀疑的商店客户的付款信息。被检查的商店发现运行Magento版本1，该版本于去年6月宣布停止使用。 Sansec早期漏洞检测系统监控全球电子商务领域的安全威胁，检测到1904个不同的Magento商店，在结账页面上有一个独特的键盘记录（skimmer）。9月11日，有10家商店被感染，12日是1058家，13日是603家，14日是233家。 另请阅读：Adobe与Sansec合作，以提高Magento平台的安全性。 这项自动化活动是Sansec自2015年开始监测以来发现的最大规模的活动。此前的纪录是去年7月一天内有962家店铺被黑客入侵。本周末事件的规模之大说明了网络浏览的复杂性和盈利能力的提高。犯罪分子已经越来越自动化他们的黑客操作，以运行网络掠取计划在尽可能多的商店。 据Sansec估计，上周末，数万名顾客的私人信息通过其中一家受损商店被盗。 Magento exploit $ 5000 在此之前，许多受害商店没有发生过类似的安全事故。这表明攻击者使用了一种新的攻击方法来获得这些存储的服务器（写）访问权限。虽然我们仍在调查确切的原因，但这次活动可能与最近几周前上市的Magento 10天（漏洞利用）有关。 用户z3r0day在一个黑客论坛上宣布以5000美元的价格出售Magento 1“远程代码执行”攻击方法，包括指令视频。据称，不需要事先的Magento管理员帐户。z3r0day强调，由于Magento 1已经过时，Adobe不会提供官方补丁来修复这个漏洞，这使得这个漏洞对使用传统平台的店主造成了额外的伤害。 为了使交易更加顺利，z3r0day承诺只出售10份危险漏洞利用程序。 根据Sansec的实时数据，截至今天，仍有大约9.5 万家Magento 1商店仍在营业。 官方PCI要求在服务器上使用恶意软件和漏洞扫描程序，如Sansec的eComscan。Sansec还建议订阅替代的Magento 1补丁程序支持，例如Mage One提供的支持。 更新：攻击方法 截至周一，Sansec正在对两台受感染的服务器进行调查。攻击者使用IP 92.242.62.210（美国）和91.121.94.121（OVH，FR）与Magento管理面板进行交互，并使用“Magento Connect”功能下载和安装各种文件，包括名为的恶意软件mysql.php。将恶意代码添加到后，该文件已自动删除prototype.js。 2020-09-14T09:57:06  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  POST /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  GET /index.php/admin/?SID=XXXX HTTP/1.1 2020-09-14T09:57:10  92.242.62.210  GET /index.php/admin/dashboard/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:13  92.242.62.210  GET /index.php/admin/system_config/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:15  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:19  92.242.62.210  POST /index.php/admin/system_config/save/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:20  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:22  92.242.62.210  GET /index.php/admin/import/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  POST /index.php/admin/import/validate/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:28  92.242.62.210  POST /downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name= HTTP/1.1 2020-09-14T09:57:29  92.242.62.210  GET /downloader/index.php?A=cleanCache HTTP/1.1 2020-09-14T09:57:31  92.242.62.210  GET /mysql.php HTTP/1.1 WEB服务器的日志显示，周末有很多人试图安装文件，可能是为了安装改进版的skimmer。 撇渣器分析：mcdnn.net 对于受影响的Magento 1商店，已将加载的撇渣器添加到文件prototype.js中，这是标准Magento安装的一部分。 该//mcdnn.net/122002/assets/js/widget.js服务根据其包含在哪个页面上来提供动态内容。仅当从结帐页面中引用时，它才会提供恶意的按键记录日志代码： 实际付款将被泄露到莫斯科托管的站点https://imags.pw/502.jsp，该站点与mcdnn.net域在同一网络上。     稿件与封面来源：Sansec，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。