Hackernews 编译，转载请注明出处： ESET宣布发现了一个影响宏碁笔记本电脑的漏洞，该漏洞允许攻击者停用UEFI Secure Boot。 专家解释说，该漏洞被追踪为CVE-2022-4020，与联想公司本月早些时候披露的漏洞类似。 与联想的情况一样，攻击者可以直接从OS创建NVRAM变量来触发这个漏洞，使UEFI安全引导失效。 Secure Boot是最新的统一可扩展固件接口（UEFI）2.3.1的一个安全特性，旨在通过验证其数字签名来检测对引导加载程序、关键操作系统文件和未经授权的选项rom的篡改。在检测能够攻击或感染系统规范之前，它们将被阻止运行。 能够绕过Secure Boot的攻击者可以绕过计算机上运行的任何安全措施，即使在重新安装操作系统的情况下也可以实现持久性。 CVE-2022-4020影响宏碁Aspire A315-22的某些版本，该漏洞存在于这些宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中。与联想的问题类似，具有提升权限的攻击者可以利用该漏洞通过修改NVRAM变量来修改UEFI Secure Boot设置。如果NVRAM变量“BootOrderSecureBootDisable”存在，则DXE驱动程序BootOrderDxe只需禁用UEFI Secure Boot。 ESET解释说，该漏洞仅影响Aspire A315-22/22G、A115-21和Extensia EX215-21/21G 5台设备。根据宏碁的说法，更新应该作为关键的Windows更新发布。或者，可以在此处下载更新的BIOS版本。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密（E2EE）的计划。 这项功能是马斯克对Twitter 2.0愿景的一部分，预计将成为所谓的“万能应用”。据马斯克称，其他功能包括长篇推文和支付。 该公司的加密消息计划于2022年11月中旬首次曝光，当时移动研究人员Jane Manchun Wong发现Twitter的Android应用程序中，引用E2EE聊天会话密钥的源代码发生了变化。 值得注意的是，其他各种消息平台，如Signal、Threema、WhatsApp、iMessage、Wire、Tox和Keybase，都已经支持消息加密。 此前，谷歌在其基于RCS的Android消息应用程序中启用E2EE进行一对一聊天，目前正在对群聊进行同样的尝试。同样，Facebook在去年8月开始默认为特定用户在Messenger上启用E2EE。 马斯克进一步表示，该社交媒体平台的新用户注册数量创下了“历史新高”，截至11月16日，过去七天平均每天超过200万，比2021年同期增长66%。Twitter拥有超过2.538亿可盈利日活跃用户（mDAU）。 本月早些时候，在推出改版后的Twitter Blue订阅服务前后，该服务的假冒行为激增。 新的订阅等级暂定最早于2022年12月2日推出，采用多色验证系统，旨在为公司发放金色徽章，为政府发放灰色徽章，为个人账户发放蓝色徽章。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据悉，Koxic勒索软件正在韩国境内传播。它在今年早些时候首次被发现，最近该团队发现，一个外观和内部勒索笔记都经过修改的文件被检测到，并被ASD基础设施屏蔽。 当感染时，“.KOXIC_[Random string]”扩展名将添加到加密文件的名称中，并在每个目录中生成TXT文件勒索通知。 最近收集的勒索信与BlueCrab（Sodinokibi，REvil）勒索软件的勒索笔记相似，该勒索软件曾在韩国发行。 BlueCrab有自己的网站，并指定用户应该通过TOR浏览器访问它。与BlueCrab相反，Koxic勒索软件通过电子邮件指导联系。 在过去收集的Koxic勒索软件样本中，有些样本的勒索笔记完全不同，有些则与BlueCrab格式几乎相同。但这两个勒索软件之间似乎没有直接联系，因为它们的代码没有相似之处。 另外需要注意的是，部分名称被故意更改以隐藏UPX包装。这种技术被称为UPX技巧，是一种常用的方法，用UPX打包的文件被修改以阻碍分析或绕过AV软件的自动解包。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2027/ 消息来源：ASEC，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Hackernews 编译，转载请注明出处： 乌克兰遭受了新一轮勒索软件攻击，类似于此前俄罗斯Sandworm民族国家组织的入侵。 斯洛伐克网络安全公司ESET将这种新型勒索软件称为RansomBoggs，该公司表示，针对多个乌克兰实体的攻击最早是在2022年11月21日被发现的。 该公司在周五的推文中表示：“虽然用.NET编写的恶意软件是新的，但其部署与之前的Sandworm攻击类似。” 与此同时，被微软追踪为Iridium的Sandworm黑客涉嫌于2022年10月使用另一种名为Prestige的勒索软件，对乌克兰和波兰的运输和物流部门发动了一系列攻击。 据称，RansomBoggs活动使用PowerShell脚本分发勒索软件，后者与今年4月份曝光的Industrier2恶意软件攻击中使用的脚本“几乎相同”。 据乌克兰计算机应急响应小组（CERT-UA）称，名为POWERGAP的PowerShell脚本利用一个名为ArguePatch（又名AprilAxe）的加载程序部署了名为CaddyWiper的数据擦除恶意软件。 ESET对这种新型勒索软件的分析表明，它会生成一个随机生成的密钥，在CBC模式下使用AES-256加密文件，并附加“.chsch”文件扩展名。 沙虫（Sandworm）是俄罗斯军事情报机构内部的一个精英对抗黑客组织，多年来在打击关键基础设施方面有着臭名昭著的记录。 该黑客与2017年针对医院和医疗设施的NotPetya网络攻击，以及2015年和2016年针对乌克兰电网的破坏性攻击有关。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 被称为Bahamut的网络间谍组织被认为是一场针对性很强的活动的幕后黑手，该活动利用旨在提取敏感信息的恶意应用程序感染Android设备用户。 斯洛伐克网络安全公司ESET在与《黑客新闻》分享的一份新报告中表示，该活动自2022年1月以来一直处于活跃状态，需要通过一个为此目的而设立的虚假SecureVPN网站分发恶意VPN应用程序。 迄今为止，已经发现了至少8种不同版本的间谍软件应用程序，它们都是合法VPN应用程序的木马版本，如SoftVPN和OpenVPN。 被篡改的应用程序及其更新是通过欺诈网站推送给用户的。人们还怀疑目标是精心挑选的，因为启动应用程序需要受害者输入激活密钥来启用功能。 这意味着使用了一种不确定的传播向量，尽管过去的证据表明，它可以采取鱼叉式网络钓鱼电子邮件、短信或社交媒体应用程序上的直接消息的形式。 激活密钥机制还被设计成与参与者控制的服务器通信，有效地防止恶意软件在非目标用户设备上启动后被意外触发。 Bahamut在2017年被Bellingcat揭露，它是一个黑客雇佣行动，目标是政府官员、人权组织和南亚和中东的其他知名实体，他们使用恶意的Android和iOS应用程序监视受害者。 黑莓在2020年10月指出：“黑莓发现的Bahamut商业技巧中，最显著的一点可能是该集团使用了精心制作的原创网站、应用程序和人物角色。” 今年早些时候，Cyble详细介绍了该组织策划的两组网络钓鱼攻击，目的是推广伪装成聊天应用的假冒Android应用。 最新一波浪潮遵循着类似的轨迹，诱使用户安装看似无害的VPN应用程序，这些应用程序可以窃取大量信息，包括文件、联系人列表、短信、电话录音、位置，以及来自WhatsApp、Facebook Messenger、Signal、Viber、Telegram和微信的消息。 ESET研究人员Lukášštefanko表示：“数据泄露是通过恶意软件的键盘记录功能完成的，它滥用了可访问性服务。” 有迹象表明，该行动得到了很好的维护，在转移到OpenVPN之前，黑客最初将恶意代码打包在SoftVPN应用程序中，这一转变的原因是实际的SoftVPN应用程序停止了工作，无法再建立VPN连接。 Štefanko补充道：“Bahamut APT集团运营的移动营销活动仍然活跃；它使用的方法与过去一样，通过冒充或伪装成合法服务的网站分发其Android间谍软件应用程序。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一位研究人员揭示了如何绕过思科安全电子邮件网关设备中的一些过滤器，并使用特制的电子邮件发送恶意软件。 研究人员在完整披露邮件列表中写道：“本报告是在协调的披露程序内发布的。研究人员一直与供应商保持联系，但在规定的时间范围内没有收到满意的答复。由于攻击复杂度较低，而且第三方已经发布了漏洞攻击，因此在公开线程方面不能再有任何推迟。” 研究人员解释说，利用电子邮件客户端的容错能力和不同的MIME解码能力，远程攻击者可以绕过思科安全电子邮件网关。 研究人员披露的方法可能会让攻击者绕过思科安全电子邮件网关，他们可以针对Outlook、Thunderbird、Mutt和Vivaldi等多个电子邮件客户端。 这三种方法是： 方法1：Cloaked Base 64-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法会影响多个电子邮件客户端，包括Microsoft Outlook for Microsoft 365 MSO（版本2210 Build 16.0.15726.20070）64位、Mozilla Thunderbird 91.11.0（64位）、Vivaldi 5.5.2805.42（64位）、Mutt 2.1.4-1ubuntu1.1等。 方法2:yEnc编码-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Mozilla Thunderbird 91.11.0（64位）电子邮件客户端。 方法3：隐藏引用的可打印文件-已使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Vivaldi 5.5.2805.42（64位）和Mutt 2.1.4-1ubuntu1.1电子邮件客户端。 思科发布了一份错误报告，警告思科安全邮件网关的Sophos和McAfee扫描引擎存在一个问题，该问题可能允许未经身份验证的远程攻击者绕过特定的过滤功能。 报告中写道：“这个问题是由于对潜在恶意电子邮件或附件的识别不当。攻击者可以利用这个漏洞，通过受影响的设备发送带有格式错误的内容类型标头（MIME类型）的恶意电子邮件，从而绕过基于受影响的扫描引擎的默认反恶意软件过滤功能，并成功将恶意消息传递给最终客户端。” 这些漏洞会影响使用默认配置运行的设备。 研究人员解释说，使用攻击方法的代码，以及许多操纵MIME编码的类似技术，都是在一个开源工具包中实现的，该工具包可以在GitHub上生成和测试错误的MIME。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Meta平台周二表示，它在Facebook和Instagram上关闭了一个由美国军方相关人员操作的账户和页面网络，这些账户和页面在中东和中亚传播对美国有利的描述。 该网络起源于美国，主要针对阿富汗、阿尔及利亚、伊朗、伊拉克、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、索马里、叙利亚、塔吉克斯坦、乌兹别克斯坦和也门。 这家社交媒体巨头表示，活动背后的个人冒充了他们所针对的社区，用阿拉伯语、波斯语和俄语传播内容，提出了与美国加强军事合作的主题，并批评了伊朗、中国和俄罗斯。 Meta在其《对抗威胁季度报告》中表示，这些叙述涵盖了“俄罗斯入侵乌克兰、中国对待维吾尔族人民、伊朗在中东的影响力，以及俄罗斯和中国对阿富汗塔利班政权的支持”。 该公司补充道，与新冠肺炎相关的内容也被发布，其中一些内容因违反其虚假信息政策而被删除。 这些虚假账户可能还使用了生成对抗网络（GANs）等机器学习技术创建的个人资料照片，并在美国东部标准时间（EST）而不是在目标国家的工作时间发布。 在Instagram上，多达39个Facebook账户、16个Pages、2个Groups和26个Instagram账户被发现参与了协调的不真实行为。该行动进一步扩展到其他平台，如Twitter、YouTube、Telegram、VKontakte和Odnoklassniki。 然而，这些努力似乎基本上没有成功。Meta表示：“此次行动的大部分帖子几乎没有来自真实社区的参与。” 今年8月初，当Graphika和斯坦福互联网观察组织的研究人员发现使用多种社交媒体服务来宣传亲西方的叙事时，有关该运动的细节首次被曝光。 近两个月前，Meta解散了来自中国和俄罗斯的两个独立集群，因为这些集群的信息业务试图操纵平台上的公共言论。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国司法部（DoJ）当地时间11月21日宣布关闭七个与“杀猪盘”加密货币骗局有关的域名。美国司法部表示，该欺诈计划从2022年5月至2022年8月运作，从五名受害者那里净赚了超过1000万美元。 杀猪，也被称为杀猪盘，是一种骗局，骗子引诱毫无戒心的投资者发送他们的加密资产。犯罪分子在约会软件、社交媒体网站和短信上遇到了潜在的受害者。 这些人发起虚假关系，试图建立信任，只是为了欺骗他们在虚假平台上进行加密货币投资。 美国司法部表示：“一旦钱被发送到虚假投资应用程序，骗子就会消失，带走所有的钱，给受害者造成重大损失。” 该机构指出，被查封的七家门户网站都模仿了新加坡国际货币交易所（SIMEX）。 但是，一旦资金被转移到这些域名提供的钱包地址，数字货币会立即通过一系列私人钱包和交换服务，来隐藏踪迹。 “情感的操纵、友好的语气，以及事先利用阶段的持续时间，让真实的情感得以发展，黑客利用这种情感获得经济利益，有时会损失数百万美元。” 美国联邦调查局（FBI）上个月发布的一份咨询报告指出，当受害者试图撤回投资时，他们被要求支付额外的税款或罚款，从而导致更多的损失。 今年4月，该情报机构透露，它在2021年收到了4300多起与加密浪漫诈骗有关的投诉，造成超过4.29亿美元的损失。 Proofpoint最近的一份报告还详细介绍了欺诈者采取的一些其他策略，包括建议将对话转移到Telegram或WhatsApp进行“更私密的聊天”，并鼓励受害者发送有损隐私的照片。 研究人员Tim Krombhardt和Genina Po表示：“除了基于加密货币的诱饵，这些犯罪企业还利用黄金、外汇、股票和其他对象来剥削受害者。” “这种计划之所以成功，是因为导致‘屠杀’的对话具有亲密性质。对于利用这种社会工程剥削受害者的黑客来说，制造羞耻和尴尬是关键目标，类似于浪漫诈骗。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一种名为Aurora Stealer的基于Go的新兴恶意软件正被越来越多地部署，用于从受攻击主机上窃取敏感信息。 网络安全公司SEKOIA表示：“这些感染链冒充合法软件的下载页面，包括加密货币钱包或远程访问工具，以及911方法，利用YouTube视频和搜索引擎优化（SEO）的假冒破解软件下载网站。” Aurora于2022年4月首次在俄罗斯网络犯罪论坛上发布广告，作为商品恶意软件提供给其他黑客，被称为“具有窃取、下载和远程访问功能的多用途僵尸网络”。 在过去的几个月里，该恶意软件的规模已经缩小到一个窃取者，可以从40个加密货币钱包和Telegram等应用程序中获取感兴趣的文件、数据。 Aurora还附带了一个加载器，可以使用PowerShell命令部署下一阶段的负载。 这家网络安全公司表示，至少有不同的网络犯罪组织，称为traffers，负责将用户的流量重定向到由其他参与者操作的恶意内容，已经将Aurora添加到了他们的工具集中，无论是单独添加还是与RedLine和Raccoon一起添加。 SEKOIA表示：“Aurora是另一个以浏览器、加密货币钱包、本地系统的数据为目标的信息窃取者，并充当加载器。收集到的数据在市场上以高价出售，网络犯罪分子对这些数据特别感兴趣，这让他们能够开展后续有利可图的活动，包括大型狩猎活动。” 帕洛阿尔托网络Unit 42的研究人员详细介绍了另一款名为Typhon stealer的增强版本。 这种新变体被称为Typhon Reborn，旨在从加密货币钱包、网页浏览器和其他系统数据中窃取数据，同时删除先前存在的功能，如密钥记录和加密货币挖掘，以尽量减少检测。 Unit 42的研究人员Riley Porter和Udai Pratap Singh表示：“Typhon Stealer为黑客提供了一个易于使用、可配置的构建器。” Typhon Reborn的新反分析技术正在沿着行业路线发展，在规避策略方面变得更加有效，同时拓宽了他们窃取受害者数据的工具集。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： SecuRing的研究人员Wojciech Reguła（@_r3ggi）发布了一个macOS沙盒逃逸漏洞的技术细节和概念验证（PoC）代码，该漏洞被追踪为CVE-2022-26696（CVSS评分7.8）。 在Regula发表的总结中，研究人员观察到，这个漏洞是由他在沙盒macOS应用程序中观察到的一个奇怪行为引起的，这个行为可能会启动任何不继承主应用程序沙盒配置文件的应用程序。 苹果公司发布的建议写道：“沙盒进程可能可以绕过沙盒限制，该建议通过改进环境卫生解决了该漏洞。 ZDI发布的报告中写道：“该漏洞允许远程攻击者逃离受影响的Apple macOS安装上的沙盒。攻击者必须首先获得在目标系统上执行低权限代码的能力，才能利用此漏洞。LaunchServices组件中的XPC消息处理过程中存在特定漏洞，精心制作的消息可能会触发特权操作的执行。攻击者可以利用此漏洞提升权限，并在当前用户的上下文中执行任意代码。” 该漏洞于2021年12月22日报告给供应商，并于2022年8月15日披露。 Regula将分析重点放在Terminal.app的Objective-C方法上。 专家写道：“设置__OSINSTALL_ENVIRONMENT环境变量时，+[TTApplicationisRunningInInstallEnvironment]将返回YES，因此，当终端启动，+[TTApplicationisRunningInInstallEnvironment]返回YES时，一些环境变量没有被清除。通过简单的命令注入，我能够在终端中执行代码，而无需任何沙盒！” 专家通过将漏洞嵌入到Word文档中，并加载Mythic的JXA有效载荷，从而将漏洞武器化。 Regula解释道：“在终端内执行代码可能非常危险，因为它可能已经获得了一些TCC权限。” Reguła分享了一个视频PoC，演示了如何将Word文档武器化，以逃离沙盒并在终端内执行代码。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文