Hackernews 编译，转载请注明出处： GitHub Actions和Azure虚拟机正被用于基于云的加密货币挖掘，这表明黑客一直试图将云资源用于非法目的。 趋势科技研究人员Magno Logan在上周的一份报告中表示:“攻击者可以滥用GitHub提供的运行器或服务器来运行组织的管道和自动化，通过恶意下载和安装自己的加密货币矿工轻松获利。” GitHub Actions是一个持续集成和持续交付平台，允许用户自动化软件构建、测试和部署管道。开发人员可以利用该功能创建工作流，以构建和测试代码存储库的每个拉取请求，或将合并的拉取请求部署到生产环境。 这家日本公司表示，它发现了1000多个存储库和550多个代码样本，它们正在利用GitHub提供的运行器挖掘加密货币。Microsoft 拥有的代码托管服务已收到该问题的通知。 此外，在11个存储库中发现了类似的YAML脚本变体，其中包含挖掘Monero硬币的命令，所有这些命令都指向同一个钱包，这表明它要么是单个黑客的行为，要么是一个协同工作的团队。 众所周知，面向加密劫持的团体通过利用目标系统内的安全漏洞（例如未修补的漏洞、弱凭据或配置错误的云实现）渗透到云部署中。 非法加密货币开采领域的一些重要参与者包括8220，Keksec（又名Kek Security），Kinsing，Outlaw和TeamTNT。 该恶意软件工具集的另一个特点是使用kill脚本终止和删除竞争的加密货币矿工，以最好地利用云系统为自己谋利，趋势科技称这是一场“为控制受害者资源而战”的战斗。 也就是说，加密矿工的部署，除了产生基础设施和能源成本外，也是安全卫生状况不佳的晴雨表，使黑客能够将通过云错误配置获得的初始访问武器化，以实现更具破坏性的目标，如数据泄露或勒索软件。 争夺并保留对受害者服务器的控制权是这些团体工具和技术发展的主要驱动力，促使他们不断提高从受损系统中删除竞争对手的能力，同时抵制他们的攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 法国虚拟移动电话运营商La Poste mobile受到勒索软件攻击，影响了行政和管理服务。 该公司指出，黑客可能已经访问了其客户数据，因此建议他们保持警惕。并且该公司强调了身份盗用或网络钓鱼攻击的风险，以防数据泄露。 “La Poste Mobile的行政和管理服务于7月4日（星期一）成为恶意勒索软件型病毒的受害者。我们一知悉此事件，便立即采取了必要的保护措施，暂停了相关的计算机系统。这一保护行动使得我们暂时关闭了网站和客户区，”该公司在其网站上发表的一份声明中写道，并且该网站目前仍处于关闭状态。“我们的IT团队目前正在诊断这一情况。初步分析表明，我们的服务器对您的移动电话线路的运行至关重要，目前已经得到了很好的保护。另一方面，La Poste mobile员工电脑中的文件可能受到了影响。其中一些文件可能包含个人数据。” 从周四到周五，Lockbit勒索软件在其泄露网站上添加了La Poste Mobile的名字。 该团伙自2019年以来一直很活跃，如今是最活跃的勒索团伙之一。最近，Lockbit勒索软件发布了LockBit 3.0，其中有一些重要的新功能，例如漏洞奖励计划、Zcash支付和新的勒索策略。 最近归咎于该组织的事件包括对富士康工厂，加拿大战斗机训练公司和热门德国图书馆服务的攻击事件。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

Hackernews 编译，转载请注明出处： 据报道，2022年3月底，价值5.4亿美元的Axie Infinity Ronin Bridge黑客攻击事件，是该公司一名前员工被LinkedIn上的一份虚假工作欺骗的结果。 根据The Block上周发表的一份报告，该公司的一名高级工程师被骗向一家不存在的公司申请工作，导致此人下载了伪装成PDF格式的虚假招聘文件。 该要约文件随后充当了部署恶意软件的渠道，旨在破坏Ronin的网络，最终促成了加密行业迄今为止最大的黑客攻击之一。 2022年4月，美国财政部暗示朝鲜支持的Lazarus集团与该事件有关，并指出该敌对集团曾攻击加密货币行业，为朝鲜筹集资金。 长期以来，虚假工作机会一直被高级持久威胁用作社会工程诱惑，早在2020年8月，以色列网络安全公司ClearSky就发起了一场名为“梦想工作行动”的运动。 ESET在其2022年T1威胁报告中指出，在Lazarus保护伞下，黑客如何通过LinkedIn等社交媒体利用虚假工作机会，作为其打击国防承包商和航空航天公司的战略。 虽然Ronin的以太坊桥在黑客攻击三个月后的6月重新启动，但Lazarus Group也被怀疑是最近从Harmony Horizon Bridge盗窃1亿美元山寨币的幕后黑手。 区块链审计和安全公司CertiK在上周的一份报告中透露，今年上半年，以Web 3.0为中心的区块链项目因黑客攻击而损失了超过20亿美元。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员揭开了一种全新的、完全未被发现的Linux威胁，称为OrBit，这标志着针对流行操作系统的恶意软件攻击呈日益增长的趋势。 根据网络安全公司Intezer的说法，该恶意软件的名称来自用于临时存储已执行命令输出的文件名之一(“/tmp/.orbit”)。 “它既可以安装持久性功能，也可以作为挥发性植入物，”安全研究员Nicole Fishbein说。“该恶意软件实施高级规避技术，并通过hook关键功能在机器上获得持久性，通过SSH为黑客提供远程访问能力，获取凭据并记录TTY命令。” 该恶意软件的功能与Symbiote非常相似，因为它旨在感染受损机器上所有正在运行的进程。但与后者利用LD_PRELOAD环境变量来加载共享对象不同，OrBit采用两种不同的方法。 “第一种方法是将共享对象添加到加载程序使用的配置文件中，”Fishbein解释道。“第二种方法是修补加载程序本身的二进制文件，以便加载恶意共享对象。” 攻击链从一个负责提取有效负载(“libdl.so”) 的ELF传输器文件开始，并将其添加到动态链接器加载的共享库中。 流氓共享库被设计为 hook三个库（libc，libcap和Pugable Authentication Module（PAM））中的函数，导致现有和新进程使用修改后的函数，基本上允许它获取凭据、隐藏网络活动，并通过SSH设置对主机的远程访问，同时一直保持在雷达之下。 此外，OrBit依赖于一连串的方法，使其能够在不通知其存在的情况下运行，并以一种难以从受感染的计算机中删除的方式建立持久性。 一旦启动，这个后门程序的最终目标是通过hook读写函数来窃取信息，从而捕获机器上执行的进程正在写入的数据，包括bash和sh命令，这些命令的结果存储在特定的文件中。 针对Linux的威胁在继续发展的同时成功地保持在安全工具的雷达下，现在OrBit是新恶意软件如何规避和持久化的又一个例子。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 以“Bitter”为名的高级持续性威胁继续对孟加拉国的军事实体进行网络攻击。 该消息来自SecuInfra网络安全专家团队，他们在周二发布了一份报告，描述了南亚APT最近的行动。 “通过恶意文档文件和中间恶意软件阶段，黑客通过部署远程访问木马进行间谍活动。”该文件写道。 SecuInfra的调查结果基于Talos 去年5月发布的一份报告(该报告披露了该组织的扩张和攻击孟加拉国政府组织的意图)，并涵盖了可能在2022年5月中旬发生的一次攻击事件。 具体来说，该攻击可能源于一份武器化Excel文档，该文档可能通过鱼叉式网络钓鱼电子邮件分发。 打开后，电子邮件将利用Microsoft 公式编辑器漏洞(CVE-2018-0798) 从远程服务器中删除名为ZxxZ的有效载荷。 然后，恶意代码将在 Visual C++中实现，并作为第二阶段植入工作，允许黑客部署其他恶意软件。 “将这个指纹识别功能与Cisco Talos文档中记录的指纹识别功能进行比较，我们可以发现Bitter放弃了ZxxZ值分隔符，而使用了一个简单的下划线。” 据SecuInfra称，APT这样做是为了避免通过基于此特定分离器的IDS/IPS系统进行检测。 安全研究人员说，为了防止此类攻击，企业和政府应该定期实施网络和端点检测和响应措施，并修补 Microsoft Office等常用软件。   消息来源：infosecurity，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处：   OpenSSL于1998年首次发布，是一个通用加密库，它提供了安全套接字层和传输层安全协议的开源实现，使用户能够生成私钥，创建证书签名请求，安装SSL/TLS证书。 OpenSSL项目的维护者已经发布了补丁，以解决加密库中的一个严重错误，该错误可能在某些场景下导致远程代码执行。 该问题现在被分配为漏洞编号CVE-2022-2274，并被描述为在2022年6月21日发布的OpenSSL 3.0.4版本中引入的RSA私钥操作导致堆内存损坏的情况。 维护者称其为“RSA实现中的严重漏洞”，称该漏洞可能导致计算过程中的内存损坏，攻击者可能将其武器化，以触发执行计算的机器上的远程代码执行。 西安电子科技大学博士生Xi Ruoyao于2022年6月22日向OpenSSL报告了该漏洞。建议该库的用户升级到OpenSSL版本3.0.5，以减轻任何潜在的威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： CloudSEK研究人员发现了一场大规模的网络钓鱼活动，其中黑客假冒阿联酋政府人力资源部。 通过该公司的人工智能(AI)数字风险监测平台XVigil，新的威胁将针对金融、旅游、医院、法律、油气和咨询行业的各种政府和企业实体。 安全专家的调查表明，这是一场大规模的网络钓鱼活动，主要针对个人求职者和企业，并使他们面临419和BEC诈骗。 据安全专家称，上述网络钓鱼项目还可能被其他黑客团体利用，以特定用户为目标，窃取他们的密码、文件、加密钱包和其他敏感信息。 CloudSEK表示，为了减轻这些攻击的影响，公司和个人应该避免从未知来源下载可疑文件或点击可疑链接。 此外，该公司还表示，应该启用文件扩展名的可见性(在Windows系统上)，以便在下载未知扩展名的文件之前发现它们。 最后，CloudSEK得出结论，多因素认证(MFA)和使用最新的杀毒软件和异常检测工具也有助于减少这些高级网络钓鱼诈骗的影响。 消息来源：infosecurity，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： “Hive勒索软件即服务”(RaaS)计划的幕后运营者已经彻底修改了他们的文件加密软件，完全迁移到Rust，并采用了更复杂的加密方法。 Hive于2021年6月首次被观察到，现已成为最多产的RaaS组织之一，仅在2022年5月就与Black Basta和Conti一起发生了17次攻击事件。 从GoLang到Rust的转变使Hive成为继BlackCat之后第二种用编程语言编写的勒索软件，使该恶意软件能够获得额外的好处，如内存安全性、对底层资源更深入的控制以及广泛密码库的使用。它还提供了使恶意软件抵抗逆向工程的能力，使其更具规避性。此外，它还具有停止与安全解决方案相关的服务和进程的功能，这些服务和进程可能会阻止其追踪。 Hive和其他勒索软件系列没有什么不同，它会删除备份以防止恢复，但在新的基于Rust的变体中，显著变化的是它的文件加密方法。 MSTIC解释说:“它不是在每个加密的文件中嵌入一个加密的密钥，而是在内存中生成两组密钥，用它们来加密文件，然后将这两组密钥集加密并写入它加密的驱动器的根目录，这两组密钥的扩展名都是.key。” 为了确定两个密钥中哪一个用于锁定特定文件，将加密文件重命名为包含密钥的文件名，然后后跟下划线和Base64编码的字符串(例如，”C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8″)，该字符串指向对应的.key文件中的两个不同位置。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员详细介绍了勒索软件行为者为在网上掩盖其真实身份以及网络服务器基础设施的托管位置而采取的各种措施。 “大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管提供商来托管他们的勒索软件运营网站，”Cisco Talos公司的研究员Paul Eubanks说。“当他们连接到勒索软件网络基础设施执行远程管理任务时，他们使用VPS跳点作为代理来隐藏自己的真实位置。” 众所周知，勒索软件集团依靠暗网来隐藏他们的非法活动，从泄露被盗数据到与受害者协商付款，Talos 透露，他们能够识别“与暗网上的黑客基础设施托管相同的公共IP地址。” Eubanks说：“我们用来识别公共互联网 IP 的方法涉及将威胁参与者的 [自签名] TLS 证书序列号和页面元素与公共互联网上的索引进行匹配。”除了 TLS 证书匹配之外，用于发现攻击者清晰网络基础设施的第二种方法是，使用像Shodan这样的网络爬虫检查暗网网站相关的图标来对抗公共互联网。 调查结果表明，不仅互联网上的任何用户都可以访问犯罪分子的泄露站点，其他基础设施组件(包括识别服务器数据)也被暴露，从而有效地获得用于管理勒索软件服务器的登录位置。 LockBit在其改进的RaaS操作中添加了一个漏洞奖励计划 随着Black Basta勒索软件的开发，勒索软件团伙通过使用QakBot进行初始访问和横向移动，并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作，扩大了其攻击武库。 更重要的是，LockBit勒索软件团伙上周宣布了LockBit 3.0的发布消息“让勒索软件再次伟大！”此外，他们还推出了自己的漏洞奖励计划，为发现安全漏洞和改进软件的“绝妙想法”提供1000美元至100万美元不等的奖励。 漏洞奖励计划的一个关键重点是防御措施：防止安全研究人员和执法部门在其泄露网站或勒索软件中发现漏洞，确定包括联盟计划负责人在内的成员可能被人肉搜索的方式，以及在该组织用于内部通信的消息传递软件和Tor网络本身中发现漏洞。 被加密或识别的威胁表明，像LockBit这样的组织显然非常担心执法行动。最后，该集团计划提供Zcash为一种支付选择，这一点很重要，因为Zcash比比特币更难追踪，这让研究人员更难监视该集团的活动。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文