Hackernews 编译，转载请注明出处： 意大利石油巨头埃尼公司（Eni）披露了一个安全漏洞，黑客获得了访问其网络的权限，但据该公司称，入侵造成的后果很小，因为它很快就被发现了。 该公司向意大利当局报告了这一事件，意大利当局展开调查，以确定攻击的范围。 Bloomberg News周三首次报道了此次攻击的消息，推测埃尼集团似乎遭到勒索软件的攻击。 “埃尼集团证实，内部保护系统最近几天检测到对公司网络未经授权的访问。”公司发言人在回应Bloomberg News的询问时表示。 如果没有有关攻击的技术细节，目前无法确定攻击者是如何入侵公司的和他们的动机是什么，并将入侵归因于特定的黑客。 知情人士称，埃尼似乎受到了勒索软件攻击。勒索软件是一种恶意软件，它会锁定计算机并阻止对文件的访问以代替付款。目前尚不清楚谁会对这次违规行为负责。 意大利能源部门似乎受到攻击，上周末，意大利能源机构Gestore dei Servizi Energetici SpA遭到网络攻击。GSE是经营意大利电力市场的政府机构。 GSE的网站仍处于关闭状态，知情人士告诉Bloomberg News，该公司的基础设施遭到破坏，影响了该机构的运营。 破坏公用事业和其他关键基础设施运营商的一个主要风险是，他们的IT系统遭到黑客攻击可能会导致向终端用户提供电力、水和其他服务的操作系统中断，即使黑客从未真正接触过这些敏感设备。去年，总部位于乔治亚州的Alpharetta Colonial Pipeline Co.，在勒索软件攻击使其IT系统瘫痪后，关闭了美国最大的燃料管道。今年2月，总部位于德国汉堡的石油贸易商Mabanaft表示，它是网络攻击的受害者，该攻击中断了德国各地的燃油供应。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在2022年3月至6月期间，多达三个不同但相关的活动被发现将各种恶意软件（包括 ModernLoader、RedLine Stealer和加密货币矿工）发送到受感染系统上。 Cisco Talos研究员Vanja Svajcer在与The Hacker News分享的一份报告中说：“攻击者使用PowerShell、.NET程序集、HTA和VBS文件在目标网络中传播，最终丢弃其他恶意软件，例如SystemBC特洛伊木马和DCRat，以实现其操作的各个阶段。” 该恶意植入程序名为ModernLoader，旨在为攻击者提供对受害者计算机的远程控制，从而使攻击者能够部署额外的恶意软件、窃取敏感信息，甚至使计算机陷入僵尸网络。 Cisco Talos将感染归因于一名以前没有记录但会说俄语的黑客，理由是使用了现成的工具。潜在目标包括保加利亚、波兰、匈牙利和俄罗斯的东欧用户。 这家网络安全公司发现的感染链涉及试图破坏易受攻击的网络应用程序（WordPress和CPanel），通过假冒亚马逊礼品卡的文件传播恶意软件。 第一阶段有效负载是一个HTML应用程序（HTA）文件，它运行托管在命令和控制（C2）服务器上的PowerShell脚本，以启动临时有效负载的部署，最终使用称为进程空心化的技术注入恶意软件。 ModernLoader（又名Avatar bot）被描述为一种简单的.NET远程访问木马，它具有收集系统信息、执行任意命令或从C2服务器下载并运行文件的功能，允许攻击者实时更改模块时间。 Cisco的调查还发现了2022年3月的两个早期活动，其作案手法相似，利用ModerLoader作为主要的恶意软件C2通信，并提供其他恶意软件，包括XMRig、RedLine Stealer、SystemBC、DCRat和Discord令牌窃取程序等。 Svajcer说：“这些活动描绘了一个尝试不同技术的黑客，使用现成的工具表明，攻击者了解成功的恶意软件活动所需的TTP，但他们的技术技能还不足以完全开发自己的工具。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Baker&Taylor是全球最大的图书经销商之一，于8月23日遭到勒索软件攻击。该事件影响了公司的电话系统、办公室和服务中心。 8月24日，该公司宣布，此次攻击导致其关键业务系统中断，其技术人员正在努力恢复受影响的服务器。 Baker&Taylor在8月29日发布的最新消息中表示：“从上周勒索软件攻击中恢复过来的这段时间里，再次感谢您的耐心和合作。我们的团队一直在夜以继日地工作，以恢复正常运营。首要任务是修复系统并确保它们被清理干净。完成这项工作后，我们会逐步上线系统，并分阶段恢复运营。预计本周将继续中断，但我们会为各个系统和应用程序提供时间表。感谢您的理解。” 目前，该公司没有透露感染其系统的勒索软件家族的名称，也没有透露黑客是否窃取了其数据。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）在其已知漏洞目录中添加了10个新漏洞，其中包括影响Delta Electronics工业自动化软件的高严重性安全漏洞（CVE-2021-38406 CVSS 评分：7.8）。 根据具有约束力的操作指令（BOD）22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 据美国机构称，Delta Electronics DOPSoft 2在解析特定项目文件时缺乏对用户提供的数据的正确验证（输入验证不正确）。攻击者可以触发该漏洞，导致越界写入并实现代码执行。 重要的是没有安全补丁可以解决此问题，并且受影响的产品已经报废。 CISA还在Apple iOS、macOS和watchOS中添加了一个Sanbox绕过漏洞，跟踪为CVE-2021-31010 （CVSS评分：7.5）。 “在受影响的Apple iOS、macOS和watchOS版本中，沙盒进程可能能够绕过沙盒限制。”公告中写道。 添加到该目录的其他漏洞有： CVE-2022-26352  – dotCMS无限制上传文件漏洞 CVE-2022-24706  – Apache CouchDB资源不安全默认初始化漏洞 CVE-2022-24112  – Apache APISIX身份验证绕过漏洞 CVE-2022-22963  – VMware Tanzu Spring Cloud Function远程代码执行漏洞 CVE-2022-2294  – WebRTC堆缓冲区溢出漏洞 CVE-2021-39226  – Grafana身份验证绕过漏洞 CVE-2020-36193  – PEAR Archive_Tar链接解析不当漏洞 CVE-2020-28949  – PEAR Archive_Tar不受信任数据反序列化漏洞 CISA命令联邦机构在2022年9月15日之前修复这些漏洞。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 泄露的文件显示，监控公司Intellexa以800万美元的价格为iOS和Android设备提供漏洞攻击。 Intellexa是一家由以色列企业家Tal Dilian创立的监控公司，为执法和情报机构提供监控和黑客解决方案。 Vx-underground研究人员分享了一些机密文件的图像，这些文件似乎是Intellect提供的商业服务。 泄露的文件详细说明了以800万美元的价格购买了一个iOS远程代码执行零日漏洞。 泄露的文档表明，该公司提供从Android和iOS设备远程提取数据的服务。该服务包括基于浏览器的远程一键攻击，允许黑客破坏Android和iOS移动设备，攻击者可以通过诱骗客户点击链接来利用这些漏洞。 该公司为iOS和Android设备提供10种并发感染，以及“100种成功感染的杂志”。 重要的是，这些漏洞可能针对Android 12升级和iOS 15.4.1，因为苹果在3月份发布了iOS 15.4.1，这意味着这是最近发生的事情，因此，目前还无法确定苹果公司是否已经解决了这些漏洞。 该监控公司的一份文件提供了Android设备列表，这些设备可能会成为一键式攻击的目标。 Vx-undergroud分享的文件表明，监控行业持续增长，利润可能巨大。 今年6月，谷歌威胁分析小组的研究人员透露，意大利监控公司RCS Labs 在意大利和哈萨克斯坦的一些互联网服务提供商的帮助下，用间谍软件感染Android和iOS用户。 过去几个月，许多其他监控公司登上了头条，包括NSO 集团、Candiru和DSIRF。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 国家黑客越来越多地在其入侵活动中采用和整合Sliver命令和控制（C2）框架，以取代Cobalt Strike。 微软安全专家说：“鉴于Cobalt Strike作为攻击工具的受欢迎程度，随着时间的推移，针对它的防御措施也有所提高。因此，Sliver为寻找低门槛的鲜为人知的工具集的黑客提供了一个有吸引力的选择。” Silver于2019年底由网络安全公司BishopFox首次公开，是一个基于Go的开源C2平台，支持用户开发的扩展、自定义植入物生成和其他征用选项。 “C2框架通常包括一个服务器，该服务器接受来自受损系统上植入物的连接，以及一个客户端应用程序，该客户端应用程序允许C2操作员与植入物进行交互并发出恶意命令。”微软表示。 除了促进对受感染主机的长期访问外，跨平台工具包还提供stagers，这是一种主要用于在受损系统上检索和启动全功能后门的有效载荷。 其用户中包括一个多产的勒索软件即服务（RaaS）附属公司，被追踪为DEV-0237（又名FIN12），该附属公司以前利用从其他集团（又名初始访问代理）获得的初始访问权限来部署各种勒索软件，如Ryuk、Conti、Hive和BlackCat。 微软表示，它最近观察到网络犯罪行为人通过将Sliver和其他后期开发软件嵌入到Bumblebee（又名COLDTRAIN）加载器中，然后将其丢弃。该加载器于今年早些时候作为BazarLoader的继任者出现，并与更大的Conti集团有联系。 从Cobalt Strike到免费可用的工具被认为是对手的一种尝试，以减少其在受损环境中暴露的机会，并使归因具有挑战性，从而提高其活动的隐蔽性和持久性。 Sliver并不是唯一一个引起黑客注意的框架。近几个月来，一个可疑的俄罗斯国家赞助组织开展的活动涉及另一个名为Brute Ratel的合法对抗性攻击模拟软件。 “Sliver和许多其他C2框架是黑客如何不断试图逃避自动安全检测的另一个例子。”微软表示。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： SolarWinds供应链攻击背后的黑客与另一个“高度目标化”的后门恶意软件有关，该恶意软件可用于保持对受损环境的持久访问。 微软威胁情报团队称之为MagicWeb，该开发重申了Nobelium对开发和维护专用功能的承诺。 Nobelium是这家科技巨头的绰号，因为2020年12月针对SolarWinds的复杂攻击曝光了一系列活动，并与俄罗斯民族国家黑客组织APT29，Cozy Bear或The Dukes重叠。 微软表示：“Nobelium仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织、政府间组织和智囊团开展了多项活动。” MagicWeb与另一个名为FoggyWeb的工具有相似之处，据评估，它已部署用于在补救工作期间维护访问权限和抢占驱逐，但只有在获得对环境的高度特权访问并横向移动到AD FS服务器之后。 虽然FoggyWeb具有专门的功能来提供额外有效负载和从Active Directory Federation Services（AD FS）服务器窃取敏感信息，但MagicWeb是一个流氓DLL（“Microsoft.IdentityServer.Diagnostics.dll”的后门版本），它通过身份验证旁路促进对AD FS系统的秘密访问。 “Nobelium部署MagicWeb的能力取决于能否访问对AD FS服务器具有管理权限的高特权凭据，从而使他们能够在其访问的系统上执行任何恶意活动。”微软表示。 此前，一项以APT29为主导的针对北约附属组织的行动被披露，目的是获取外交政策信息。 具体来说，这需要禁用名为Purview Audit（以前称为高级审核）的企业日志记录功能，以从Microsoft 365帐户中获取电子邮件。Mandiant说：“APT29将继续展现卓越的操作安全性和规避战术。” 黑客在最近的操作中使用的另一种新策略是使用密码猜测攻击来获取与休眠帐户相关联的凭据，并将其注册为多重身份验证，从而允许其访问组织的VPN基础设施。 APT29仍然是一个多产的威胁组织。上个月，Palo Alto Networks Unit 42标记了一场网络钓鱼活动，该活动利用Dropbox和Google Drive云存储服务进行恶意软件部署和其他入侵后行动。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 黑客已经开始使用Tox点对点即时消息服务作为命令和控制方法，这标志着其早期作为勒索软件谈判的联系方式的角色发生了变化。 Uptycs分析了一个可执行和可链接格式（ELF）工件（“72client”），该工件充当机器人，可以使用Tox协议在受损主机上运行脚本。 Tox是一种用于在线通信的无服务器协议，它通过使用网络和加密库 （NaCl，发音为“salt”）进行加密和身份验证，提供端到端加密 （E2EE） 保护。 研究人员Siddharth Sharma和Nischay Hedge说：“在野外发现的二进制文件是一个剥离但动态的可执行文件，使反编译更容易，整个二进制文件似乎是用C编写的，并且只是静态链接了c-toxcore库。” 值得注意的是，c-toxcore是Tox协议的参考实现。 Uptycs进行的逆向工程表明，ELF文件旨在将shell脚本写入位置“/var/tmp/”（Linux中用于临时文件创建的目录）并启动它，使其能够运行命令以杀死加密矿工相关进程。 除此之外，还执行了第二个例程，该例程允许它在系统上运行许多特定命令（例如，nproc、whoami、machine-id等），其结果随后通过UDP发送到Tox接收方。 此外，二进制文件还具有通过Tox接收不同命令的功能，在此基础上更新shell脚本或临时执行，发出的“退出”命令将退出Tox连接。 Tox历来被勒索软件黑客用作通信机制，但最新的开发标志着该协议首次被用于在受感染的机器上运行任意脚本。 研究人员说：“虽然讨论的样本没有做任何明显的恶意行为，但我们认为它可能是coinminer活动的一部分。因此，监控攻击链中涉及的网络组件变得非常重要。” 在披露的同时，有报道称，被称为IPFS的分布式文件系统解决方案越多地用于托管网络钓鱼网站，使数据拦截变得更加困难。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： VMware本周发布了补丁，以解决VMware Tools实用工具套件中的一个严重漏洞，该漏洞被跟踪为CVE-2022-31676。 VMware Tools是一组服务和模块，支持公司产品中的多项功能，以便更好地管理客户机操作系统，并与客户机操作系统进行无缝用户交互。 对客户机操作系统具有本地非管理访问权限的攻击者可以触发CVE-2022-31676漏洞，从而提升受损系统上的权限。 通报中写道：“VMware Tools受到本地权限提升漏洞的影响，对客户机操作系统具有本地非管理访问权限的黑客可以作为虚拟机中的root用户提升权限。” 该漏洞影响了Windows和Linux平台上的工具，该公司发布的固定版本是12.1.0和10.3.25。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

Hackernews 编译，转载请注明出处： 微软公开披露一个关键ChromeOS漏洞的详细信息，该漏洞被追踪为CVE-2022-2587（CVSS评分：9.8）。该漏洞是OS Audio Server中的越界写入问题，可利用该漏洞触发DoS条件，或在特定情况下实现远程代码执行。 “微软在ChromeOS组件中发现了一个可远程触发的内存损坏漏洞，允许攻击者执行拒绝服务（DoS），或在极端情况下执行远程代码执行（RCE）。”微软发布的公告中写道。 作为Chromium bug跟踪系统的一部分，微软于2022年4月向谷歌报告了该问题。 谷歌在6月份解决了该漏洞，攻击者可以使用与歌曲相关的格式错误的元数据触发该漏洞。 Microsoft在服务器中发现一个函数未检查用户提供的“identity”参数，导致基于堆的缓冲区溢出。 OS音频服务器包含一种从代表歌曲标题的元数据中提取“身份”的方法。当播放新歌时，攻击者可以通过浏览器或蓝牙修改音频元数据来触发该漏洞。 我们发现，该漏洞可以通过操纵音频元数据远程触发。攻击者可能诱使用户满足这些条件，例如只需在浏览器或配对的蓝牙设备上播放新歌，或者利用中间对手（AiTM）功能远程使用该漏洞。基于堆的缓冲区溢出的影响范围从简单的DoS到成熟的RCE。虽然可以通过媒体元数据操作来分配和释放块，但在这种情况下，执行精确的堆清理并不简单，攻击者需要将该漏洞与其他漏洞链接起来，才能成功执行任意代码。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文