专家发现针对 Apple macOS 用户的新 CloudMensis 间谍软件

Hackernews 编译,转载请注明出处: 网络安全研究人员揭开了一个此前未被记录的间谍软件的神秘面纱,该软件针对的是Apple macOS操作系统。 这款名为CloudMensis的恶意软件由Slovak网络安全公司ESET开发,据称它专门使用pCloud、Yandex Disk和Dropbox等公共云存储服务来接收攻击者的命令和窃取文件。 CloudMensis是用Objective-C编写的,于2022年4月首次发现,旨在攻击英特尔和苹果的硅架构。攻击和目标的最初感染媒介仍然未知。但其分布非常有限,这表明该恶意软件是针对相关实体的高度针对性行动的一部分。 ESET发现的攻击链滥用代码执行和管理权限来启动第一阶段有效负载,该有效负载用于获取和执行pCloud上托管的第二阶段恶意软件,进而窃取文档、截图和电子邮件附件等。 据悉,第一阶段下载程序还可以清除Safari沙盒逃逸和特权升级漏洞的痕迹,这些漏洞利用了2017年现已解决的四个安全漏洞,这表明CloudMensis可能已经运行了很多年。 该植入软件还具有绕过TCC安全框架的功能,该框架旨在确保所有应用程序在访问文档、下载、桌面、iCloud Drive和网络卷中的文件之前获得用户同意。 它通过利用另一个补丁安全漏洞来实现这一点,该漏洞追踪为CVE-2020-9934,于2020年曝光。后门支持的其他功能包括获取正在运行的进程列表、捕获屏幕截图、列出可移动存储设备中的文件,以及运行shell命令和其他任意有效负载。 此外,对云存储基础设施元数据的分析表明,pCloud账户创建于2022年1月19日, 妥协始于2月4日,在3月份到达顶峰。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Google从 Play Store 中删除“应用权限”列表,加入新的“数据安全”部分

Hackernews 编译,转载请注明出处: 在Play Store上为Android应用推出新的“数据安全”部分后,Google似乎已经准备好从移动应用和网络中删除应用权限列表。 谷歌于2022年4月下旬开始推出数据安全部分,这是该公司对苹果在iOS中的隐私营养标签的回应,使用户可以对应用程序的数据收集和处理实践有一个统一的看法。 为此,第三方应用程序开发者必须在2022年7月20日前提供所需的详细信息。下周截止日期临近,这家科技巨头已采取行动,完全删除了权限部分。 这一决定十分仓促,因为Facebook、Messenger、Instagram、WhatsApp、Amazon(包括Amazon Prime Video)、DuckDuckGo、Discord和PhonePe等许多流行应用程序尚未在其数据安全部分普及。 目前尚不清楚是什么导致Google继续进行这一改变,特别是考虑到数据安全部分在荣誉系统上运行,该系统要求开发者在应用程序的商店列表中做出完整准确的声明。 相比之下,应用程序权限列表是由Google根据审查过程中对应用程序的扫描进行策划的, 这让用户在安装之前可以方便地检查每个应用程序所需的所有权限。 人们怀疑数据安全部分提供的可读性改进在这一变化中发挥了作用,尽管新系统的可信度还有待观察。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

向维基解密泄露“Vault 7”黑客机密,前中央情报局程序员获罪

Hackernews 编译,转载请注明出处: 美国中央情报局(CIA)前程序员Joshua Schulte因向维基解密泄露大量Vault 7的机密黑客工具和漏洞而获罪。 2018年6月,这名33岁的工程师被指控未经授权泄露机密信息和窃取机密材料。Schulte还因持有儿童色情照片和视频而面临单独审判,他于2017年8月24日被捕。 美国检察官Damian Williams在一份声明中说,Schulte被判犯有“美国历史上最无耻和最具破坏性的间谍行为之一”,他还说,他的行为“向那些想要伤害我们的人提供关键情报,对我们的情报界产生了毁灭性的影响”。 维基解密于2017年3月7日公布这些文件,称这是“有史以来最大的关于该机构的机密文件的公布”。其中包括“恶意软件、病毒、特洛伊木马、武器化的‘零日’漏洞、恶意软件远程控制系统和相关文档”。 这些文件可追溯到2013年至2016年,它详细介绍了该机构入侵汽车、智能电视、网络浏览器以及广泛使用的桌面和移动操作系统(如Windows,macOS,Linux,Android和iOS)的能力,作为其海外间谍行动的一部分,以收集情报。 Williams说:“Joshua Adam Schulte是美国中央情报局的一名程序员,他可以使用美国最有价值的情报收集网络工具,用于打击全球各地的恐怖组织和其他恶意势力。” “当Schulte开始对中央情报局心怀怨恨时,他秘密收集了这些工具并将其提供给维基解密,使我们最关键的情报工具为公众所知,也因此为我们的对手所知。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

乌克兰网络机构报告第二季度网络攻击激增

Hackernews 编译,转载请注明出处: 根据乌克兰国家特殊通信和信息保护局(SSSCIP)的一份新报告,今年第二季度,针对乌克兰的网络攻击的频率和数量激增。 该网络机构报告称,自俄罗斯入侵以来,网络攻击一直在增加,但在2022年第二季度有所上升,乌克兰国家漏洞检测和网络事件/网络攻击系统处理了190亿次事件。已登记和处理的网络事件从40件增加到64件。 恶意软件分布中的恶意黑客群体活动也“显著增加”,与今年第一季度相比,“恶意代码”类别的事件数量增加了38%。 与第一季度相比,源自俄罗斯IP地址的关键事件数量减少了8.5倍。据SSSCIP称,这要归功于电子通信网络和互联网接入服务实施的保护措施,这些措施阻止了俄罗斯联邦使用的IP地址。 目前,数量最多的事件来自美国的源IP地址,但这并不意味着攻击来自该地区:IP地址不是一种可靠的归属形式,因为它们可以被欺骗。 SSSCIP表示,事实上,“绝大多数”已登记的网络事件都与俄罗斯联邦政府资助的黑客组织有关,包括隶属于俄罗斯联邦调查局的Sandworm和Gamaredon。在2022年第二季度,主要目标是乌克兰大众媒体、政府和地方当局。 随着战争的继续,Thornton-Trump预测俄罗斯的网络攻击可能会进一步加剧。俄罗斯将利用一切手段取得胜利,网络攻击是其政治和军事行动的重要组成部分。 攻击的节奏可能会随着战斗的起伏增加或是减少,但我们会看到漏洞的武器化,尤其是安卓、微软和网络浏览器等,它们会被利用以试图使攻击更有效地针对乌克兰的防御。   消息来源:infosecurity,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新 UEFI 固件漏洞影响多款联想笔记本电脑

Hackernews 编译,转载请注明出处: 消费电子产品制造商联想周二发布了修复措施,解决了其UEFI固件中的三个安全漏洞,这些漏洞影响了70多种产品型号。 Slovak网络安全公司ESET在一系列推文中表示:“这些漏洞可以在平台启动的早期阶段实现任意代码执行,可能会让攻击者劫持操作系统执行流程,并禁用一些重要的安全功能。” CVE-2022-1890、CVE-2022-1891和CVE-2022-1892这三个漏洞都与缓冲区溢出漏洞有关,联想已将其描述为导致受影响系统上的权限提升。ESET的Martin Smolár报告了这些缺陷。 这些错误源于对三个不同的驱动程序 ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe 中名为“DataSize”的 NVRAM 变量的验证不足,从而导致缓冲区溢出,可以将其武器化以实现代码执行。 这是联想自今年年初以来第二次着手解决UEFI安全漏洞。今年4月,该公司解决了三个漏洞(CVE-2021-3970、CVE-2021-3971和CVE-2021-3972)——也是由Smolár发现的——可能被用来部署和执行固件植入。 强烈建议受影响设备的用户将其固件更新到最新版本,以缓解潜在威胁。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员发现了 Qakbot 恶意软件逃避检测的新尝试

Hackernews 编译,转载请注明出处: Qakbot恶意软件背后的黑客正在改变他们的传输载体,试图避开检测。 Zscaler Threatlabz的研究人员Tarun Dewan和Aditya Sharma说:“最近,黑客改变了他们的技术,通过使用ZIP文件扩展名、常见格式的文件名和Excel (XLM) 4.0欺骗受害者下载安装Qakbot的恶意附件来逃避检测。” 该组织采用的其他方法包括代码混淆、在攻击链中引入从初始泄露到执行的新层,以及使用多个URL和未知文件扩展名(例如 .OCX, .ooccxx, .dat, 或.gyp)来交付有效负载。 Qakbot也被称为QBot,QuackBot或Pinkslipbot,自2007年底以来一直是反复出现的威胁,从最初的银行木马发展到能够部署勒索软件等下一阶段有效载荷的模块化信息窃取者。 这款恶意软件从2022年初的XLM宏转向5月份的.LNK文件,这被视为试图反击Microsoft在2022年4月默认阻止Office宏的计划,该公司后来暂时收回了这一决定。 此外,进一步的修改还包括使用PowerShell下载DLL恶意软件,以及从regsvr32.exe切换到rundlll32.exe来加载有效载荷,研究人员称这是“Qakbot进化以逃避更新的安全实践和防御的明显迹象”。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

欧洲央行行长 Christine Lagarde 成为黑客攻击目标

Hackernews 编译,转载请注明出处: 欧洲央行行长Christine Lagarde遭到了一次未遂的网络攻击。 欧洲央行透露,黑客攻击是最近发生的,但好消息是,欧洲央行的专家能够发现并阻止它。 总部位于法兰克福、负责19个欧元区国家的央行在回复《商业内幕》一篇报道询问的电子邮件中表示:“这一尝试是‘最近’进行的。”该行补充称,“很快就被发现并叫停了”,但在调查中没有更多可说的。 据《商业内幕》报道,黑客试图通过从德国前总理Angela Merkel的手机号码向她发送短信来入侵Lagarde的移动设备。发送给欧洲央行的消息告诉Lagarde,Merkel希望通过WhatsApp与她沟通,因为WhatsApp更安全。 此次攻击之所以失败,是因为Lagarde对这条消息持怀疑态度,并通过电话联系了Merkel。黑客有兴趣接管各种消息服务(包括WhatsApp)上各种知名人士的账户。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

GitHub Actions 和 Azure 虚拟机正被用于云挖矿

Hackernews 编译,转载请注明出处: GitHub Actions和Azure虚拟机正被用于基于云的加密货币挖掘,这表明黑客一直试图将云资源用于非法目的。 趋势科技研究人员Magno Logan在上周的一份报告中表示:“攻击者可以滥用GitHub提供的运行器或服务器来运行组织的管道和自动化,通过恶意下载和安装自己的加密货币矿工轻松获利。” GitHub Actions是一个持续集成和持续交付平台,允许用户自动化软件构建、测试和部署管道。开发人员可以利用该功能创建工作流,以构建和测试代码存储库的每个拉取请求,或将合并的拉取请求部署到生产环境。 这家日本公司表示,它发现了1000多个存储库和550多个代码样本,它们正在利用GitHub提供的运行器挖掘加密货币。Microsoft 拥有的代码托管服务已收到该问题的通知。 此外,在11个存储库中发现了类似的YAML脚本变体,其中包含挖掘Monero硬币的命令,所有这些命令都指向同一个钱包,这表明它要么是单个黑客的行为,要么是一个协同工作的团队。 众所周知,面向加密劫持的团体通过利用目标系统内的安全漏洞(例如未修补的漏洞、弱凭据或配置错误的云实现)渗透到云部署中。 非法加密货币开采领域的一些重要参与者包括8220,Keksec(又名Kek Security),Kinsing,Outlaw和TeamTNT。 该恶意软件工具集的另一个特点是使用kill脚本终止和删除竞争的加密货币矿工,以最好地利用云系统为自己谋利,趋势科技称这是一场“为控制受害者资源而战”的战斗。 也就是说,加密矿工的部署,除了产生基础设施和能源成本外,也是安全卫生状况不佳的晴雨表,使黑客能够将通过云错误配置获得的初始访问武器化,以实现更具破坏性的目标,如数据泄露或勒索软件。 争夺并保留对受害者服务器的控制权是这些团体工具和技术发展的主要驱动力,促使他们不断提高从受损系统中删除竞争对手的能力,同时抵制他们的攻击。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

法国电信运营商 La Poste Mobile 遭到勒索软件攻击

Hackernews 编译,转载请注明出处: 法国虚拟移动电话运营商La Poste mobile受到勒索软件攻击,影响了行政和管理服务。 该公司指出,黑客可能已经访问了其客户数据,因此建议他们保持警惕。并且该公司强调了身份盗用或网络钓鱼攻击的风险,以防数据泄露。 “La Poste Mobile的行政和管理服务于7月4日(星期一)成为恶意勒索软件型病毒的受害者。我们一知悉此事件,便立即采取了必要的保护措施,暂停了相关的计算机系统。这一保护行动使得我们暂时关闭了网站和客户区,”该公司在其网站上发表的一份声明中写道,并且该网站目前仍处于关闭状态。“我们的IT团队目前正在诊断这一情况。初步分析表明,我们的服务器对您的移动电话线路的运行至关重要,目前已经得到了很好的保护。另一方面,La Poste mobile员工电脑中的文件可能受到了影响。其中一些文件可能包含个人数据。” 从周四到周五,Lockbit勒索软件在其泄露网站上添加了La Poste Mobile的名字。 该团伙自2019年以来一直很活跃,如今是最活跃的勒索团伙之一。最近,Lockbit勒索软件发布了LockBit 3.0,其中有一些重要的新功能,例如漏洞奖励计划、Zcash支付和新的勒索策略。 最近归咎于该组织的事件包括对富士康工厂,加拿大战斗机训练公司和热门德国图书馆服务的攻击事件。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文  

黑客利用虚假工作窃取 Axie Infinity 公司 5.4 亿美元

Hackernews 编译,转载请注明出处: 据报道,2022年3月底,价值5.4亿美元的Axie Infinity Ronin Bridge黑客攻击事件,是该公司一名前员工被LinkedIn上的一份虚假工作欺骗的结果。 根据The Block上周发表的一份报告,该公司的一名高级工程师被骗向一家不存在的公司申请工作,导致此人下载了伪装成PDF格式的虚假招聘文件。 该要约文件随后充当了部署恶意软件的渠道,旨在破坏Ronin的网络,最终促成了加密行业迄今为止最大的黑客攻击之一。 2022年4月,美国财政部暗示朝鲜支持的Lazarus集团与该事件有关,并指出该敌对集团曾攻击加密货币行业,为朝鲜筹集资金。 长期以来,虚假工作机会一直被高级持久威胁用作社会工程诱惑,早在2020年8月,以色列网络安全公司ClearSky就发起了一场名为“梦想工作行动”的运动。 ESET在其2022年T1威胁报告中指出,在Lazarus保护伞下,黑客如何通过LinkedIn等社交媒体利用虚假工作机会,作为其打击国防承包商和航空航天公司的战略。 虽然Ronin的以太坊桥在黑客攻击三个月后的6月重新启动,但Lazarus Group也被怀疑是最近从Harmony Horizon Bridge盗窃1亿美元山寨币的幕后黑手。 区块链审计和安全公司CertiK在上周的一份报告中透露,今年上半年,以Web 3.0为中心的区块链项目因黑客攻击而损失了超过20亿美元。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文