Hackernews 编译，转载请注明出处： 研究人员警告称，一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司，其名称来自作者“Gwisin”（韩语中的幽灵）的名字。 勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示，韩国警方，国家情报局和KISA等韩国实体的名称也出现在勒索信上。 据当地媒体报道，Gwisin黑客在公休日和凌晨攻击了韩国公司。 Windows系统上的攻击链利用MSI安装程序，需要一个特殊值作为参数来运行MSI中包含的DLL文件。 “它类似于Magniber，因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同，Gwisin本身不执行恶意行为，它需要为执行参数提供特殊值，该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动，因此很难检测到Gwisin，勒索软件的内部DLL通过注入正常的Windows进程来运行，对于每个受攻击的公司来说，这个过程都是不同的。” GwisinLocker勒索软件能够在安全模式下运行，它首先将自身复制到ProgramData的某个路径，然后在强制系统重新启动之前注册为服务。 Reversinglabs的研究人员分析了勒索软件的Linux版本，他们指出这是一种复杂的恶意软件，具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合，为每个文件生成唯一密钥。 Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站，才能与黑客取得联系。 “对更大规模的GwisinLocker活动的分析和公开报道表明，勒索软件掌握在复杂的黑客手中，他们在部署勒索软件之前获得了对目标环境的访问和控制权，这包括识别和窃取敏感数据，用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明，他们熟悉韩语以及韩国政府和执法部门。因此人们猜测，Gwisin可能是一个与朝鲜有关的高级持续威胁（APT）组织。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 8月4日，美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了最近披露的Zimbra电子邮件中的高危漏洞，有证据表明该漏洞被积极利用。 追踪为CVE-2022-27924（CVSS评分：7.5），这是平台中的命令注入漏洞，可能导致执行任意Memcached命令并窃取敏感信息。 CISA表示：“Zimbra Collaboration允许攻击者将memcached命令注入目标实例，从而导致任意缓存条目的覆盖。” 具体而言，该漏洞与用户输入验证不足有关，如果成功利用该漏洞，攻击者可以从目标Zimbra实例的用户那里窃取明文凭据。 SonarSource于6月披露了该漏洞，2022年5月10日Zimbra发布了8.8.15版本P31.1和9.0.0版本P24.1的补丁。 CISA尚未透露在野外利用该漏洞进行攻击的技术细节，也尚未将其归因于某个黑客。 鉴于该漏洞被积极利用，建议用户对软件进行更新，以减少潜在的网络攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： DrayTek公司已发现多达29种不同型号的路由器受到一个新的关键、未经身份验证的远程代码执行漏洞的影响，如果成功利用该漏洞，可能导致设备完全受损，并未经授权访问更广泛的网络。 Trellix研究员Philippe Laulheret说：“如果设备的管理界面面向互联网，则可以在没有用户交互的情况下进行攻击。在默认设备配置下，也可以从局域网内执行一键攻击。” 根据CVE-2022-32548，该漏洞在CVSS评分系统上的严重等级为10.0，因为它能够让攻击者完全控制路由器。 其核心缺陷是Web管理界面（“/cgi-bin/wlogin.cgi”）中存在缓冲区溢出漏洞，黑客可以通过提供特制的输入来将其武器化。 据称，这家台湾制造商生产的20多万台设备在互联网上暴露了易受攻击的服务，不需要用户交互即可被利用。 破坏Vigor 3910等网络设备不仅会使网络容易受到恶意操作，如凭证和知识产权盗窃、僵尸网络活动或勒索软件攻击，还会导致拒绝服务（DoS）情况。 一个多月前，华硕、思科、DrayTek和NETGEAR的路由器受到了针对北美和欧洲网络的新型恶意软件ZuoRAT的攻击。 虽然到目前为止还没有迹象表明该漏洞在野外被利用，但建议尽快应用固件补丁，以防范潜在威胁。 Laulheret指出：“边缘设备，如Vigor 3910路由器，位于内部和外部网络之间的边界上，因此，他们是网络犯罪分子和黑客的首要目标。远程破坏边缘设备可能会导致企业内部网络完全受损。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 越来越多黑客模拟Skype、Adobe Reader和VLC Player等合法应用程序，以此作为滥用信任关系的手段，并增加社会工程攻击成功的可能性。 VirusTotal的分析显示，其他被模拟最多的合法应用程序包括7-Zip，TeamViewer，CCleaner，Microsoft Edge，Steam，Zoom和WhatsApp。 黑客通过欺骗不知情的用户下载和运行看似无害的可执行文件，从而采取各种方法来损害端点，这并不奇怪。 这主要是通过利用真实域来实现的，以绕过基于IP的防火墙防御。一些被滥用的顶级域名是discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com和qq[.]com。 Alexa排名前1000的网站共有101个域名，其中至少有250万个可疑文件被检测到。 另一种常用的技术是，用从其他软件制造商那里窃取的有效证书对恶意软件进行签名。该恶意软件扫描服务表示，自2021年1月以来，它发现了100多万个恶意样本，其中87%在首次上传到其数据库时具有合法签名。 VirusTotal表示，自2020年1月以来，它还发现了1816个样本，这些样本伪装成合法软件，将恶意软件打包到其他流行软件的安装程序中，如Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox和Proton VPN。 当黑客设法侵入合法软件的更新服务器或未经授权访问源代码时，这种分发方法还可能导致供应链攻击，从而以特洛伊木马二进制文件的形式潜入恶意软件。 或者，合法的安装程序与恶意软件一起打包在压缩文件中，其中包括合法的Proton VPN安装程序和安装Jigsaw勒索软件的恶意软件。 第三种方法虽然更复杂，但需要将合法安装程序作为可移植的可执行资源合并到恶意样本中，以便在恶意软件运行时也执行安装程序，从而产生软件按预期工作的假象。 研究人员说：“当把这些技术作为一个整体考虑时，可以得出结论，攻击者在短期和中期滥用（如被盗证书）既有机会主义因素，也有常规（最有可能）自动化程序，攻击者旨在以不同的方式直观复制应用程序。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Google修补了Android操作系统中的一个关键漏洞，跟踪为CVE-2022-20345，可利用该漏洞通过蓝牙实现远程代码执行。 Google没有透露有关该漏洞的其他细节。 “本节中最严重的漏洞可能导致通过蓝牙远程执行代码，而不需要额外的执行权限。”Google发布的安全公告中写道。 Google通过发布安全补丁级别“2022-08-01”和“2022.08-05”解决了这个问题。 CVE-2022-20345漏洞是Google本月唯一被评为“严重”的漏洞。其他所有漏洞都被评为“高危”。这些漏洞影响了框架、媒体框架、系统、内核、想象技术、联发科技、Unisoc和高通组件。 Google还修补了Google Pixel设备中的数十个安全漏洞，包括四个关键的远程代码执行漏洞，跟踪如下： CVE REFERENCES TYPE SEVERITY COMPONENT CVE-2022-20237 A-229621649 * RCE Critical Modem CVE-2022-20400 A-225178325* RCE Critical Modem CVE-2022-20402 A-218701042 * RCE Critical Modem CVE-2022-20403 A-207975764 * RCE Critical Modem   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 安全研究人员发现了一个名为ParseThru的新漏洞，该漏洞会影响基于Golang的应用程序，这些应用程序可能会被滥用以未经授权访问基于云的应用程序。 以色列网络安全公司Oxeye在与The Hacker News分享的一份报告中表示：“由于使用了该语言内置的不安全URL解析方法，新发现的漏洞允许黑客在某些情况下绕过验证。” 这个问题的核心在于，与引入Golang的URL解析逻辑(在“net/url”库中实现)的更改导致的不一致有关。 虽然1.17之前的编程语言版本将分号视为有效的查询分隔符（例如，example.com？a=1;b=2&c=3），但此行为已被修改为在找到包含分号的查询字符串时引发错误。 现在，带有非百分比编码分号的设置将被拒绝，在请求URL中遇到警告时，net/http服务器将向‘Server.ErrorLog’记录警告。 当构建在版本1.17或更高版本上的基于Golang的公共API与运行早期版本的后端服务进行通信时，就会出现问题，从而导致黑客可以走私包含查询参数的请求，否则这些请求将被拒绝。 简而言之，这个想法是发送在查询字符串中包含分号的特制请求，面向Golang API的用户会忽略该请求，但内部服务会处理它。 Oxeye表示，它在Harbor、Traefik和Skipper等开源项目中发现了几个ParseThru实例，这使得绕过现有的验证并执行未经授权的操作成为可能。在向各供应商披露后，这些问题已得到解决。 这不是URL解析第一次引起安全问题。今年1月初，Claroty和Snyk披露了用C、JavaScript、PHP、Python和Ruby语言编写的第三方库中多达八个漏洞，这些漏洞源于URL解析中的混乱。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

Hackernews 编译，转载请注明出处： 虚拟化服务提供商VMware周二发布了更新，以解决影响多个产品的10个安全漏洞，这些漏洞可能被未经身份验证的攻击者滥用以执行恶意操作。 从CVE-2022-31656到CVE-202-31665（CVSS评分：4.7-9.8）跟踪的漏洞会影响VMware Workspace ONE Access、Workspace ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation和vRealize Suite Lifecycle Manager。 其中最严重的漏洞是CVE-2022-31656 (CVSS评分：9.8)，这是一个影响本地域用户的身份验证绕过漏洞，具有网络访问权限的黑客可以利用该漏洞来获得管理访问权限。 VMware还解决了与JDBC和SQL注入相关的三个远程代码执行漏洞（CVE-2022-31658、CVE-022-31659和CVE-202-31665），这些漏洞可能被具有管理员和网络访问权限的对手武器化。 在其他地方，它还修复了一个反映的跨站点脚本（XSS）漏洞（CVE-2022-31663），该漏洞是用户清理不当的结果，可能会导致恶意JavaScript代码的激活。 其他补丁包括三个本地权限升级漏洞(CVE-2022-31660、CVE-2022-31661和CVE-2022-31664)，它们允许具有本地访问权限的参与者将权限升级为“root”，URL注入漏洞(CVE-2022-31657)和路径遍历漏洞(CVE-2022-31662)。 虽然成功利用CVE-2022-31657可以将经过身份验证的用户重定向到任意域，但CVE-202-31662可能会让攻击者以未经授权的方式读取文件。 VMware表示，它不知道有人在野外利用这些漏洞，但敦促使用易受攻击产品的客户立即应用补丁以缓解潜在威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一家奥地利公司DSIRF开发了针对律师事务所、银行和咨询公司的间谍软件。 7月底，微软威胁情报中心和微软安全响应中心的研究人员将一个名为Knotweed的威胁组织与奥地利一家名为DSIRF的监视公司联系起来，该公司因使用多个Windows和Adobe零日漏洞而闻名。该组织使用一种名为Subzero的监视工具瞄准欧洲和中美洲的实体。 微软表示，多篇新闻报道已将该公司与Subzero恶意软件工具集联系起来，该工具集用于破解各种设备，手机、计算机以及网络和互联网连接设备。 研究人员发现有证据表明DSIRF与Knotweed的操作有关，包括Subzero使用的C2基础设施，以及向DSIRF颁发的代码签名证书，用于对漏洞进行签名。 上周，奥地利宣布正在调查一份报告，该报告称DSIRF与至少三个国家的间谍软件目标实体有关。 奥地利内政部表示，它不清楚该事件，也没有与之建立业务关系。 “当然，国家安全情报院会核实这些指控。到目前为止，没有证据表明上述公司使用了间谍软件。”奥地利内政部发表的一份声明表示。 奥地利的Kurier报纸证实，DSIRF开发了Subzero监视软件，但补充说，该软件没有被滥用，是专门为欧盟国家当局开发的——该报纸还补充说，间谍软件没有商业价值。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 研究人员发现了一份3207个应用程序的列表，其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。 研究人员说：“在3207个应用程序中，有230个应用程序泄漏了所有四个身份验证凭据，可用于完全接管其Twitter帐户，并执行任何关键/敏感操作。” 从阅读直接消息到执行任意操作，如转发、点赞和删除推文，关注任何帐户，删除关注者，访问帐户设置，甚至更改帐户头像。 访问Twitter API需要生成密钥和访问令牌，这些密钥和令牌充当应用程序的用户名和密码，并代表发出API请求的用户。 因此，拥有这些信息的黑客可以创建一个Twitter机器人军队，该军队可能被用来在社交媒体平台上传播错误/虚假信息。 此外，在CloudSEK解释的一个假设场景中，从移动应用程序中获取的API密钥和令牌可以嵌入到一个程序中，通过验证帐户运行大规模恶意软件活动，以锁定其追随者。 除此之外，应该注意的是，密钥泄漏不仅仅限于Twitter API。过去，CloudSEK研究人员已经从未受保护的移动应用程序中发现了GitHub、AWS、HubSpot和Razorpay帐户的密钥。 为了缓解此类攻击，建议查看代码中是否有直接硬编码的API密钥，同时定期轮换密钥，以降低泄漏可能带来的风险。 研究人员说：“环境中的变量是引用和隐藏密钥的另一种方法，而不是将它们嵌入源文件。变量可以节省时间并提高安全性，应充分注意确保源代码中不包含环境变量的文件。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 名为Adrastea的黑客称已经入侵了这家跨国导弹制造商MBDA。 MBDA是由法国、英国和意大利的主要导弹系统公司（Aérospatiale-Matra、BAE Systems和Finmeccanica（现为Leonardo））合并而成的欧洲跨国导弹开发商和制造商。MBDA这个名字来源于导弹公司名称的首字母缩写：Matra、BAe Dynamics和Alenia。 Adrastea表示，他们发现了公司基础设施中的关键漏洞，并窃取了60 GB的机密数据。 攻击者称，被盗数据包括该公司参与军事项目、商业活动、合同协议以及与其他公司通信的员工信息。 “你好！我们是‘Adrastea’ —— 一个由网络安全领域的独立专家和研究人员组成的团队。我们发现您的网络基础设施中存在严重漏洞，并获得了对公司文件和机密数据的访问权限。目前，下载的数据量约为60 GB。”该组织在一个流行的黑客论坛上发布的adv中写道。“下载的数据包含贵公司员工的保密信息，这些员工参与了MBDA封闭军事项目（PLANCTON、CRONOS、CA SIRIUS、EMADS、MCDS、B1NT等）的开发。以及有关贵公司为欧盟国防部的利益而进行的商业活动（防空、导弹系统和海岸保护系统的设计文件、图纸、演示文稿、视频和照片（3D）材料、合同协议以及与Rampii Carlo、Netcomgroup、Rafael、Thales、ST Electronics等其他公司的通信）。” 作为黑客入侵的证据，Adrastea分享了一个受密码保护的链接存档，其中包含与项目和通信相关的内部文件。 目前尚不清楚这些黑客是否只入侵了该公司的一个国家部门，他们没有透露有关攻击的详细信息。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文