HackerNews 编译，转载请注明出处： 上周五，美国北加州联邦法官认定NSO集团——这家开发了臭名昭著的Pegasus间谍软件的公司，对其在今年早些时候成功入侵并感染1400名WhatsApp用户设备的行为负有不可推卸的责任。 这一裁决可能会对NSO集团带来巨额的赔偿。据悉，该公司的间谍软件被多个匿名政府客户在全球范围内广泛使用，且多次被曝出滥用行为。 尽管NSO的间谍软件已被发现潜藏于数百名活动家、记者及其他社会公民的手机中，但在此之前，法院从未判定该公司需为其滥用行为承担法律责任。NSO集团一直坚称，其工具仅供国家安全官员和执法人员用于调查情报事务和打击犯罪活动。 Meta旗下的WhatsApp早在2019年便提起了诉讼，指控NSO集团发现了其系统漏洞，并利用该漏洞在用户设备上秘密安装了间谍软件。记者、人权活动家、政治异见者、外交官及高级外国政府官员等，这些常成为Pegasus攻击目标的群体，均不幸成为了WhatsApp的受害者。 WhatsApp在诉讼中指出，NSO集团多次调整漏洞利用方式，以突破WhatsApp在长达两年时间内设置的防御屏障。 北加州联邦法官Phyllis Hamilton在裁决中明确表示，NSO集团的行为违反了联邦计算机欺诈和滥用法（CFAA）以及加利福尼亚州的综合计算机数据访问和欺诈法（CDAFA），并为其所实施的攻击提供了有力支持。此外，法官还判定NSO集团因违反WhatsApp的服务条款而需承担违约责任。 “历经五年的诉讼，我们对今天的裁决深感欣慰。”WhatsApp在声明中表示，“NSO集团将不再能够逃避其对WhatsApp、记者、人权活动家及公民社会所实施的非法攻击的责任。” “随着这一裁决的作出，间谍软件公司应清醒地认识到，他们的非法行为将不再被社会所容忍。” NSO集团的发言人未立即对请求置评的请求作出回应。 间谍软件的受害者及其支持者纷纷对这一裁决表示欢迎。 “这是首次成功地对NSO集团提起诉讼，并判定其因使用Pegasus间谍软件破坏了数百万人的数字安全基础设施而负有责任。”Access Now的高级技术法律顾问Natalia Krapiva表示，“尽管法院仍需确定NSO应支付的赔偿金额，但这一裁决对WhatsApp来说无疑是一次重大胜利，同时也为全球数百名受害者带来了正义，他们的生活因Pegasus和其他间谍软件而遭受了严重破坏。” Krapiva补充说，全球的间谍软件公司都应引起警觉，“无罪时代已经结束，他们将为破坏我们的设备和平台安全以及侵犯人权的行为承担法律责任。” 在裁决中，法官严厉批评了NSO集团，指出其多次未能按照法院命令提供完整的Pegasus源代码。法官在命令中强调，NSO提交的源代码仅限于以色列公民在以色列境内查看，并指出NSO未能以可访问的方式提供完整源代码是其决定支持WhatsApp请求制裁的主要原因之一。 法官进一步指出，NSO集团利用了一个名为“WhatsApp安装服务器”（WIS）的工具，使客户能够发送“加密”文件，并通过“安装向量”对目标实施监视。法官表示，NSO集团似乎“完全承认WIS通过WhatsApp服务器发送消息，导致Pegasus被安装到目标用户的设备上，并且WIS随后能够通过WhatsApp服务器获取受保护的信息，并将其传回WIS。” 在此案中出庭作证的NSO高级执行人员在宣誓证词中承认了他们开发了针对WhatsApp黑客攻击中使用的漏洞利用方式。最近公开的法院文件还显示，WhatsApp的安全团队多次成功阻止了Pegasus的入侵，但NSO集团仍继续研发新型恶意软件以突破其防御系统。 这场备受瞩目的诉讼为我们提供了一个难得的机会，得以深入了解这家神秘间谍软件制造商的内部运作。公司高管在证词中承认，与过去的声明相反，NSO集团实际上完全控制了从目标设备提取数据以及将间谍软件植入目标设备的过程。 “NSO的客户角色微不足道，”WhatsApp的一份文件表示，引用了一位高级高管的证词，“NSO通过其Pegasus的设计控制了数据检索和交付过程的每一个方面。” 这家间谍软件制造商曾试图阻止证词公开，但法官驳回了其请求，并命令上个月解封了这些文件。 案件中的证据还显示，即使在WhatsApp起诉NSO集团涉嫌违反联邦反黑客法之后，NSO集团仍继续开发新的恶意软件，通过WhatsApp账户感染受害者。 根据法院档案，关于赔偿金额的辩论将于三月展开。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种全新的Microsoft 365钓鱼即服务（PaaS）平台，名为“FlowerStorm”，正在网络空间中迅速崛起，并成功填补了此前Rockstar2FA网络犯罪服务平台因意外关闭而留下的市场空缺。 据Trustwave的记录显示，Rockstar2FA作为一种专门支持大规模中间人攻击（AiTM）的PaaS平台，其主要目标是窃取Microsoft 365用户的凭证信息。该平台以其先进的规避技术、直观易用的控制面板以及多样化的钓鱼选项，向网络犯罪分子提供了为期两周的访问权限，费用高达200美元。 然而，在2024年11月11日，Rockstar2FA遭遇了部分基础设施的重大故障，导致多个服务页面无法正常访问。Sophos的研究员Sean Gallagher和Mark Parsons指出，此次故障似乎并非由执法机构的行动引发，而更可能源于技术层面的失误。 就在Rockstar2FA陷入困境的几周后，FlowerStorm这一新平台悄然出现在网络上，并迅速吸引了大量关注。   Rockstar2FA的检测情况 Sophos的研究发现，新兴的FlowerStorm服务与之前的Rockstar2FA在多个方面存在显著共性，这引发了人们对其是否为同一运营者为了降低曝光风险而改名的猜测。具体而言，Sophos识别出以下相似之处： 两个平台都使用模拟合法登录页面（如Microsoft）的钓鱼门户来窃取凭证和多因素认证（MFA）令牌，依赖于托管在.ru和.com等域名上的后台服务器。Rockstar2FA使用随机PHP脚本，而FlowerStorm则统一使用next.php。 钓鱼页面的HTML结构非常相似，包含随机文本注释、Cloudflare“旋转门”安全功能和类似“初始化浏览器安全协议”的提示。Rockstar2FA使用汽车主题，而FlowerStorm则改为植物主题，但底层设计保持一致。 凭证收集方法高度一致，使用诸如电子邮件、密码和会话跟踪令牌等字段。两个平台都支持通过后台系统进行电子邮件验证和MFA认证。 域名注册和托管模式有显著重叠，广泛使用.ru和.com域名及Cloudflare服务。它们的活动模式在2024年底显示出同步的波动，可能暗示有协调行动。 两个平台都出现了操作失误，暴露了后台系统，并展示了高度可扩展性。Rockstar2FA管理超过2000个域名，而FlowerStorm在Rockstar2FA崩溃后迅速扩展，暗示共享框架。 Sophos总结道：“尽管我们不能完全确定Rockstar2FA与FlowerStorm之间存在直接的关联，但两者在工具包内容上的高度相似性表明它们至少有着共同的起源或技术背景。”同时，Sophos也指出，“域名注册的相似模式可能反映了FlowerStorm和Rockstar在某种程度上的协调合作，但也有可能是市场力量驱动的结果。” 无论FlowerStorm的崛起背后有何种故事，对于用户和组织而言，它都是一个不容忽视的新威胁。该平台支持破坏性的钓鱼攻击，可能导致全面的网络入侵和数据泄露。 Sophos的遥测数据显示，约63%的组织和84%的FlowerStorm攻击目标用户位于美国。其中，服务、制造业、零售和金融服务等行业成为最受攻击的目标。 为了有效防范钓鱼攻击，建议用户和组织采取以下措施： 使用支持AiTM抗性FIDO2令牌的多因素认证（MFA）技术； 部署电子邮件过滤解决方案以拦截恶意邮件； 使用DNS过滤技术来阻止对可疑域名的访问（如.ru、.moscow和.dev等）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 已修复的Fortinet FortiClient EMS严重安全漏洞CVE-2023-48788（CVSS评分高达9.3）目前正被恶意攻击者利用。该漏洞是一种SQL注入漏洞，允许攻击者通过发送精心构造的数据包来执行未经授权的代码或命令。 据俄罗斯网络安全公司Kaspersky透露，2024年10月，一家未透露名称的公司因Windows服务器暴露在互联网上且存在两个与FortiClient EMS相关的开放端口而成为了攻击目标。这家公司使用Fortinet技术为员工提供安全的VPN访问权限，并允许员工将特定的策略下载到公司设备上。 攻击者首先利用CVE-2023-48788漏洞作为初始访问途径，随后通过部署远程桌面软件如AnyDesk和ScreenConnect获得远程访问受损主机的权限。Kaspersky的分析指出，在初次安装后，攻击者开始向受感染系统上传额外的有效载荷，进行发现与横向移动活动，如枚举网络资源、尝试获取凭证、执行防御规避技术，并通过AnyDesk远程控制工具生成进一步的持久性。 攻击过程中部署的一些其他重要工具包括： webbrowserpassview.exe，一款密码恢复工具，用于显示存储在Internet Explorer（版本4.0至11.0）、Mozilla Firefox（所有版本）、Google Chrome、Safari和Opera中的密码。 Mimikatz netpass64.exe，一款密码恢复工具 netscan.exe，一款网络扫描工具 据信，这场攻击的幕后黑手针对了多家位于不同国家的公司，包括巴西、克罗地亚、法国、印度、印尼、蒙古、纳米比亚、秘鲁、西班牙、瑞士、土耳其和阿联酋等，并利用了不同的ScreenConnect子域名。 Kaspersky还表示，它在2024年10月23日检测到了另一起利用CVE-2023-48788漏洞的攻击。这次攻击执行了一个托管在webhook[.]site域名上的PowerShell脚本，旨在扫描易受该漏洞影响的系统并“收集来自易受攻击目标的响应”。 这一披露发生在网络安全公司Forescout在8个月前揭露类似的攻击活动后，后者也利用了CVE-2023-48788漏洞，部署了ScreenConnect和Metasploit Powerfun有效载荷。 “对这一事件的分析帮助我们确定了攻击者当前用于部署远程访问工具的技术，正在不断更新和增加复杂性，”研究人员表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sophos发布了热修复程序，修复了其防火墙产品中的三个安全漏洞，这些漏洞可能被利用来实现远程代码执行，并在特定条件下允许特权系统访问。 其中两个漏洞的严重性被评为“关键”，但截至目前，没有证据表明这些漏洞已被大规模地利用以进行攻击。以下是漏洞的详细信息： CVE-2024-12727 (CVSS评分：9.8)：在电子邮件保护功能中存在一个未经身份验证的SQL注入漏洞，攻击者如果启用了特定配置的Secure PDF eXchange（SPX），并且防火墙运行在高可用（HA）模式下，可能导致远程代码执行。 CVE-2024-12728 (CVSS评分：9.8)：在高可用（HA）集群初始化过程中，由于建议的非随机SSH登录密码短语，存在一个弱口令漏洞，即使在HA建立过程完成后，该密码仍然有效，从而暴露了特权访问帐户（如果SSH已启用）。 CVE-2024-12729(CVSS评分：8.8)：在用户门户中存在一个身份验证后代码注入漏洞，允许经过身份验证的用户获得远程代码执行权限。 该安全厂商表示，CVE-2024-12727 影响大约0.05%的设备，而 CVE-2024-12728 影响约0.5%的设备。这三种漏洞都影响Sophos Firewall 21.0 GA（21.0.0）及更早版本，修复版本如下： CVE-2024-12727 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2） CVE-2024-12728 – v20 MR3、v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v20 MR2） CVE-2024-12729 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v19.0 MR3） 为了确保热修复程序已应用，用户被建议执行以下步骤： CVE-2024-12727 – 从Sophos防火墙控制台启动设备管理>高级Shell，运行命令“cat /conf/nest_hotfix_status”（如果值为320或更高，则表示已应用热修复程序） CVE-2024-12728 和CVE-2024-12729  – 从Sophos防火墙控制台启动设备控制台，运行命令“system diagnostic show version-info”（如果值为HF120424.1或更高，则表示已应用热修复程序） 作为临时解决方法，直到应用补丁，Sophos建议客户将SSH访问限制为仅通过物理隔离的专用HA链路，和/或重新配置HA，使用足够长且随机的自定义密码短语。 用户还可以采取的另一个安全措施是禁用WAN上的SSH访问，并确保用户门户和Web管理界面不暴露在WAN上。 这一安全修复发生在约一周前美国政府对中国公民关天峰提出指控之后，该指控称关天峰利用零日安全漏洞（CVE-2020-12271，CVSS评分高达9.8）侵入了全球大约81,000台Sophos防火墙。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rspack开发者近日透露，其两个npm包——@rspack/core与@rspack/cli，不幸遭遇了供应链攻击。攻击者利用未授权的npm发布权限，将含有加密货币挖矿恶意软件的版本上传至官方包管理库中。 在发现该问题后，Rspack团队迅速行动，将存在风险的1.1.7版本从npm注册表中下架，并发布了最新的安全版本1.1.8。 安全供应链领域的专家公司Socket对此进行了分析，指出：“这些被攻击者发布的版本，内含恶意脚本，对系统安全构成严重威胁。” Rspack，这一由字节跳动公司开发的高性能JavaScript打包工具，凭借其Rust编写的高效性，受到了阿里巴巴、亚马逊、Discord和微软等众多公司的青睐。数据显示，受影响的npm包每周下载量分别超过30万和14.5万次。 深入分析感染版本后发现，恶意代码会秘密地将敏感配置信息（如云服务凭证）通过HTTP请求发送至远程服务器（”80.78.28[.]72″），同时还会收集IP地址和位置信息。值得注意的是，此次攻击还特别针对了中国、俄罗斯、中国香港、白俄罗斯和伊朗等地区的机器。 而攻击的最终目的，是在受感染的Linux主机上，通过安装包中的postinstall脚本，自动下载并执行XMRig加密货币挖矿程序。Socket公司表示：“恶意软件通过自动运行的postinstall脚本执行，确保恶意负载无需用户操作即可嵌入目标环境中。” 面对此次攻击，Rspack项目维护者除了发布无恶意代码的新版本外，还采取了多项措施，包括废除所有现有的npm和GitHub令牌、检查代码库和npm包的权限、对源代码进行审计等。目前，针对令牌盗窃的根本原因仍在调查中。 此次事件再次凸显了包管理工具在安全防护方面的不足，需要加强认证检查等保护措施，但即便如此，也无法完全避免此类攻击。 此外，研究还发现，另一npm包vant也遭受了此次供应链攻击的波及。该包每周下载量超过4.1万次。Sonatype公司表示，攻击者成功将多个受感染版本发布至npm注册表，版本范围覆盖2.13.3至4.9.14。 vant项目维护者对此回应称：“此版本旨在修复一个安全问题。我们发现团队成员的npm令牌被窃取，并被用于发布多个含有安全漏洞的版本。我们已经采取措施修复问题，并重新发布了最新版本。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日前，一名俄罗斯和以色列双重国籍男子在美国被起诉，涉嫌自2019年或更早开始，至2024年2月至少间歇性地参与开发已停运的LockBit勒索病毒即服务（RaaS）平台。 51岁的Rostislav Panev于今年8月在以色列被捕，当前正等待引渡，美国司法部（DoJ）在一份声明中表示。根据他加密货币钱包的资金转移记录，Panev在2022年6月至2024年2月期间赚取了约23万美元。 美国检察官Philip R. Sellinger表示：“Rostislav Panev多年致力于构建并维护数字武器，支持其LockBit同谋者进行全球破坏，造成数十亿美元的损失。” LockBit是全球最活跃的勒索病毒团伙之一，其基础设施在2024年2月被国际执法行动“Cronos”查封。该团伙因攻击全球至少120个国家的2500多个实体而声名狼藉，其中美国受害者多达1800个。 LockBit的攻击目标涵盖个人、小型企业、跨国公司、医院、学校、非营利组织、关键基础设施、政府和执法机构等多个领域。该RaaS平台估计为该团伙带来了至少5亿美元的非法收入。 法庭文件显示，Panev被捕后，调查人员分析了他的计算机，发现他拥有一个位于暗网的在线存储库管理员凭证，该存储库包含多个版本的LockBit构建器源代码，供附属成员用于创建定制版本的勒索病毒。 此外，调查人员还发现了LockBit控制面板的访问凭证和名为StealBit的工具，后者允许附属成员在加密操作前窃取受害主机的敏感数据。 除了编写和维护LockBit恶意代码外，Panev还被指控为该网络犯罪团伙提供技术支持，并与主要管理员Dmitry Yuryevich Khoroshev（网络别名LockBitSupp）通过直接消息交流，讨论构建器和控制面板的开发工作。 美国司法部表示：“在8月被以色列当局逮捕后的审讯中，Panev承认曾为LockBit团伙进行编码、开发和咨询工作，并因此定期收到加密货币支付。” “Panev承认，他为LockBit开发了禁用杀毒软件的代码；将恶意软件部署到多个连接受害者网络的计算机上；并将LockBit勒索信息打印到受害网络上的所有打印机。” 此次逮捕后，已有七名LockBit成员——Mikhail Vasiliev、Ruslan Astamirov、Artur Sungatov、Ivan Gennadievich Kondratiev、Mikhail Pavlovich Matveev——在美国被起诉。 尽管遭遇这些打击，LockBit的运营者似乎计划东山再起，预计2025年2月发布LockBit 4.0版本。但在持续的执法打击和起诉压力下，勒索团伙能否成功复出仍未可知。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet警告称，已修复的无线局域网管理器（FortiWLM）漏洞（CVE-2023-34990，CVSS得分9.6）可能导致管理员权限访问和敏感信息泄露。 供应商发布的公告中写道：“FortiWLM中的相对路径遍历漏洞[CWE-23]可能允许远程、未经身份验证的攻击者读取敏感文件。” Horizon3.ai的安全研究员Zach Hanley（@hacks_zach）向Fortinet报告了该漏洞。 该漏洞影响以下产品： – FortiWLM版本8.6.0到8.6.5（已在8.6.6及以上版本修复） – FortiWLM版本8.5.0到8.5.4（已在8.5.5及以上版本修复） Hanley解释说，CVE-2023-34990漏洞使得远程攻击者能够通过精心构造的请求，利用特定端点的日志读取功能进行攻击。 “这个漏洞允许远程、未经身份验证的攻击者通过对/ems/cgi-bin/ezrf_lighttpd.cgi端点发起精心构造的请求，访问并滥用系统中用于读取特定日志文件的内置功能。”Horizon3.ai发布的报告中写道，“这个问题源于请求参数缺乏输入验证，允许攻击者遍历目录并读取系统上的任何日志文件。” 专家补充说，FortiWLM的详细日志暴露了会话ID，使得攻击者可以利用日志文件读取漏洞劫持会话并访问已验证的端点。 FortiWLM中经过身份验证的用户的会话ID令牌在设备启动时保持静态。攻击者可以通过日志文件读取漏洞劫持会话并获得管理员权限。 研究员还注意到，CVE-2023-34990漏洞可以与CVE-2023-48782（CVSS得分8.8）链式利用，从而在根权限下实现远程任意代码执行。 威胁行为者经常针对Fortinet设备，因此客户应及时更新其安装版本。 “尽管我们发现该漏洞在州政府、地方政府、教育（SLED）和医疗领域客户中较为常见，但幸运的是，互联网暴露相对有限，约为15个实例。”报告最后总结道。   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Forescout的分析发现，针对工业控制系统（ICS）的新型恶意软件攻击能够导致工程流程崩溃。 研究人员识别出从2024年8月至11月，攻击三菱和西门子工程工作站的两种恶意软件攻击，并在VirusTotal数据库中列出。 这些恶意软件分别是针对三菱工作站的Ramnit蠕虫和针对西门子工作站的新型实验性恶意软件Chaya_003。 Chaya_003展现出了终止工程流程的能力。 研究人员发现，攻击者使用了合法服务作为指挥与控制（C2）手段，使得威胁检测变得更加困难。 工程工作站是运行传统操作系统（如Windows）并同时运行由设备制造商提供的专用工程软件的标准计算机。这些软件对于在操作技术（OT）和ICS环境中对现场设备（如可编程逻辑控制器PLC）进行调试和编程至关重要。 Forescout引用了SANS研究所的最新研究，发现工程工作站的被攻击事件占OT/ICS系统事件的20%以上，促使他们进行了这项新分析。 研究人员将他们的调查重点放在了VirusTotal上传的两类数据上：标记为恶意的软件工程可执行文件和可能与工程软件互动的恶意文件。 Forescout发现了两个Ramnit集群攻击三菱工作站的情况。 Ramnit最早出现在2010年，作为一种银行木马，旨在窃取凭证，后来发展为一个模块化平台，能够从C2服务器下载插件。 该恶意软件可以通过受感染的物理设备（如USB驱动器）或通过被攻破的IT系统网络传播。 研究人员未能确认这两个Ramnit集群是如何感染三菱工程工作站的，但他们认为恶意软件可能将恶意代码添加到合法的Windows可执行文件中，这与自2021年以来在OT软件中观察到的其他Ramnit感染相符。 调查揭示了三个二进制文件，代表了一个名为Chaya_003的恶意软件集群的三个迭代版本。 其中两个二进制文件名为“Isass.exe”和“elsass.exe”，这表明它们故意伪装成合法的系统进程，可能是为了欺骗用户或绕过杀毒软件。 Chaya_003的C2基础设施利用Discord webhooks，并具有系统侦察和进程干扰功能。 所有样本都实现了列举系统进程的功能，检索每个进程的信息并将可执行文件名与预定义列表进行比较。如果进程与列表中的条目匹配，则会被终止。 研究人员观察到“明确的进化模式”，这表明该恶意软件正在不断改进并为更广泛的部署做好准备。 Forescout呼吁工业组织采取措施，提升防御针对工程工作站的攻击。这些措施包括： 识别连接到OT网络的所有工作站，并评估其软件版本、开放端口、凭证和端点保护软件。 确保所有软件更新到最新版本，并确保端点保护解决方案已启用且保持最新。 避免直接将工程工作站暴露于互联网。 适当分隔网络，将IT、物联网（IoT）和OT设备隔离开来。 限制网络连接，只允许授权的管理和工程工作站连接。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据区块链研究公司Chainalysis的报告，2024年，超过22亿美元的加密货币被盗自加密平台。 该公司发现，近五年来这些平台的盗窃金额超过了10亿美元，2024年增长了21%以上，达到了22亿美元，事件数目从2023年的282起增至2024年的303起。 研究人员指出，仅在2024年1月至7月之间，加密平台的损失就达到了15亿美元——这一速度使得行业预计2024年的盗窃金额将达到30亿美元。然而，随着2024年5月日本平台DMM Bitcoin遭遇3.05亿美元的重大损失，以及2024年7月印度WazirX平台近2.35亿美元的被盗事件，年中以后，攻击的数量和规模大幅下降。 这两起攻击对现实世界产生了深远的影响。DMM Bitcoin两周前宣布，黑客攻击迫使其关闭网站并将所有加密资产出售给日本金融巨头SBI Group。Chainalysis追踪了被盗的DMM资金，发现其通过多个不同平台进行洗钱，最终在臭名昭著的柬埔寨金融平台Huione Guarantee上兑现——该平台是中国有组织犯罪和网络诈骗的中心。 11月，印度当局逮捕了一名来自西孟加拉邦的男子，指控他参与盗取WazirX平台的2.35亿美元。 Chainalysis表示，与朝鲜政府相关的黑客组织主导了大部分来自加密平台的盗窃行为，2024年，这些黑客通过47起事件窃取了13.4亿美元。这一数字较2023年的6605万美元（20起攻击事件）大幅增加。 根据Chainalysis，朝鲜黑客已因其加密货币盗窃行为而臭名昭著——朝鲜利用这些资金规避国际制裁，并资助其弹道导弹项目。 “遗憾的是，朝鲜的加密攻击似乎变得更加频繁，”研究人员表示，“尤其是5000万到1亿美元之间的攻击，以及超过1亿美元的攻击在2024年出现得比2023年更为频繁，表明朝鲜在进行大规模攻击时变得更加熟练和迅速。这与过去两年形成鲜明对比，过去两年中，朝鲜的攻击每次带来的利润通常低于5000万美元。” 虽然根据被盗金额，多个史上最大规模的黑客攻击已被归因于朝鲜黑客，但该国也在逐渐转向盗取来自小型平台的小额资金。Chainalysis表示，朝鲜攻击事件的密度在“尤其是约1万美元”的范围内有了增长。   朝鲜加密黑客的技能继续令安全专家困惑。上周，加密平台Radiant Capital发布了关于9月一起事件的事后分析，其中超过5000万美元被盗。 这些黑客涉嫌与朝鲜的侦察总局（RGB）有关，采用创新的手段破坏了Radiant Capital工程师使用的设备。 根据联合国调查人员的报告，朝鲜政府在2017年至2023年间，通过攻击加密货币平台获得了30亿美元的资金。   消息来源：The Record, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 来自 BitSight 的新报告证实，尽管德国警方进行了干扰，BadBox 恶意软件操作依然持续增长，研究人员发现该恶意软件已安装在了全球 192000 台电视和智能手机上。 BitSight 的研究人员警告称，该恶意软件似乎已扩大其攻击范围，不再仅仅针对一些不知名的中国 Android 设备，现在已开始感染更为知名且受信任的品牌，例如 Yandex 电视和 Hisense 智能手机。 BadBox 是一种 Android 恶意软件，据信基于 ‘Triada’ 恶意软件家族，它通过供应链攻击、可疑员工或在产品分销阶段进行注入等方式感染由不知名厂商制造的设备。 该恶意软件首次在 2023 年初由加拿大安全顾问 Daniel Milisic 在 Amazon 上购买的 T95 Android 电视盒中发现。随后，恶意软件操作逐步扩展到其他在线销售的不知名产品。 BadBox 攻击活动的目标是通过将设备转变为住宅代理或利用其进行广告欺诈来获取财务利益。这些住宅代理随后可以出租给其他用户，在许多情况下是网络犯罪分子，他们使用受感染设备作为代理发起攻击或进行其他欺诈活动。 此外，BadBox 恶意软件还可以用来安装其他恶意载荷到 Android 设备上，执行更危险的操作。 恶意软件活动流程 上周，德国联邦信息安全办公室（BSI）宣布，他们通过拦截操作中断了该国的 BadBox 恶意软件活动，成功切断了一个恶意软件的指挥与控制服务器的通信，影响了约 30000 台 Android 设备。 这些受影响的设备主要是 Android 数字相框和媒体流媒体盒，但 BSI 警告称，BadBox 恶意软件可能出现在更多产品类别中。 根据 BitSight 研究员 Pedro Falé 的说法，该公司能够拦截其中一个 BadBox 恶意软件操作所使用的指挥与控制服务器。由于研究人员现在控制了该域名，他们能够监控设备何时尝试连接，进而得知有多少唯一 IP 地址受到影响。 “但现实情况是，BadBox 似乎仍然活跃并扩展，”Falé 写道，“当 BitSight 成功拦截一个 BadBox 域名时，我们在 24 小时内注册了超过 160000 个唯一 IP 地址，这一数字一直在稳步增长。” 这表明，BadBox 僵尸网络的影响比之前预计的要大得多。之前认为这个僵尸网络的设备数量大约为74,000台，但实际情况远远超过了这个数字。 这些被感染的设备包括流行于俄罗斯的 Yandex 4K QLED 智能电视和 Hisense T963 智能手机。 “这些受影响的型号（从 YNDX-00091 到 YNDX-000102）是来自知名品牌的 4K 智能电视，而不是廉价的 Android 电视盒，”BitSight 解释道。 “这是第一次发现大品牌智能电视直接与 BadBox 指挥与控制（C2）域进行如此大量的通信，将受影响的设备范围从 Android 电视盒、平板和智能手机扩展到更多设备。” BitSight 检测到的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。 设备与 BadBox 服务器通信的位置 BitSight 还报告称，BSI 最近的行动并未影响其遥测数据，因为此次干扰仅限于特定区域，因此 BadBox Android 恶意软件活动得以持续。 随着 BadBox 扩展到更多大品牌，消费者应确保及时安装最新的固件安全更新，将智能设备与更关键的系统隔离，并在不使用时将其断开网络连接。如果您的设备没有安全更新或固件更新，强烈建议您将其断网或完全关闭。 BadBox 僵尸网络感染的迹象包括设备过热、由于高 CPU 使用率导致的性能下降、异常的网络流量以及设备设置的变化。   消息来源：Bleeping Computer, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文