Hackernews 编译，转载请注明出处： 国际刑事警察组织，也被称为国际刑警组织，宣布逮捕75人，这是针对有组织网络犯罪集团“Black Axe”的全球协调行动的一部分。 该机构表示：“‘Black Axe和其他西非有组织犯罪集团已经发展了跨国网络，诈骗数百万受害者，同时将获得的利润用于奢侈的生活方式和其他犯罪活动中，从贩毒到性剥削。” 代号为“豺狼行动”的执法行动有阿根廷、澳大利亚、科特迪瓦、法国、德国、爱尔兰、意大利、马来西亚、尼日利亚、西班牙、南非、阿联酋、英国和美国的参与。 其中两名被指控的网络诈骗犯上个月底在南非被捕，据信他们策划了一系列欺诈计划，从受害者那里净赚了180万美元。 调查进一步导致49起财产搜查，查封了12000张SIM卡和其他奢侈品资产，包括住宅、三辆汽车和数万现金。它还截获了嫌疑人银行账户中的120万欧元。 国际刑警组织的Stephen Kavanagh说：“非法金融资金是跨国有组织犯罪的生命线，我们目睹了像Black Axe这样的组织如何将从网上金融诈骗中获得的资金转移到其他犯罪领域，如毒品和人口贩运。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Palo Alto Networks发布了安全补丁，以解决一个高严重性认证绕过漏洞，跟踪为CVE-2022-0030（CVSS评分8.1），影响PAN-OS 8.1软件。 该漏洞存在于其PAN-OS 8.1软件的Web界面中，基于网络的攻击者对目标防火墙或Panorama设备有特定了解，可以利用该漏洞模拟现有PAN-OS管理员并执行特权操作。 以下是受影响版本的列表： 版本 影响 未受影响 Cloud NGFW 无 全部 PAN-OS 10.2 无 全部 PAN-OS 10.1 无 全部 PAN-OS 10.0 无 全部 PAN-OS 9.1 无 全部 PAN-OS 9.0 None All PAN-OS 8.1 < 8.1.24 >= 8.1.24 Prisma Access 无 全部 该漏洞已在PAN-OS 8.1.24及更高版本中得到解决，该公司指出，PAN-OS 8.1生命周期已经结束（EOL），并且仅在PA-200，PA-500和PA-5000系列防火墙以及M-100设备上受支持，直到它们也达到EOL状态。 安全供应商表示，他们不知道有任何黑客利用此漏洞的恶意行为。 这些漏洞被跟踪为CVE-2022-37913和CVE-2022-37914，未经身份验证的攻击者可以远程利用这些漏洞来获取目标系统上的管理员权限。10月11日发布了描述这些漏洞的通报。 该通报还通知了Aruba客户，一个严重的未经过身份验证的远程代码执行漏洞（CVE-2022-37915）影响同一协调器产品。 该公司表示：“Aruba EdgeConnect Enterprise Orchestrator基于web的管理界面中存在漏洞，使得未经身份验证的远程攻击者能够在底层主机上运行任意命令。成功利用此漏洞，攻击者可以在底层操作系统上执行任意命令，从而导致整个系统受损。” 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 西门子Simatic可编程逻辑控制器（PLC）中的漏洞可以被用来检索硬编码的全局私有加密密钥，并获取对设备的控制权。 工业网络安全公司Claroty在一份新报告中表示：“攻击者可以使用这些密钥对西门子SIMATIC设备和相关的TIA Portal进行多次高级攻击，同时绕过其所有四个访问级别保护。” “黑客可能会利用这些机密信息，以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。” 该关键漏洞被追踪为CVE-2022-38465，在CVSS评分为9.3，西门子已在2022年10月11日发布的安全更新中对其进行了处理。 受影响的产品和版本列表如下： SIMATIC 驱动控制器系列（2.9.2之前的所有版本） SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2，包括 SIPLUS 变体（21.9 之前的所有版本） SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体（所有版本） SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体（4.5.0 之前的所有版本） SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体（V2.9.2 之前的所有版本） SIMATIC S7-1500 软件控制器（21.9 之前的所有版本） SIMATIC S7-PLCSIM 高级版（4.0 之前的所有版本） Claroty表示，它能够通过利用西门子PLC中之前披露的漏洞（CVE-2020-15782）来获得对控制器的读写权限，从而恢复私钥。 这样做不仅可以让攻击者绕过访问控制并覆盖本机代码，还可以完全控制每个受影响的西门子产品线的PLC。 CVE-2022-38465反映了去年在罗克韦尔自动化PLC（CVE-2021-22681）中发现的另一个严重漏洞，该漏洞可能使对手能够远程连接到控制器，并上传恶意代码，从PLC下载信息或安装新固件。 Claroty在2021年2月指出:“该漏洞在于Studio 5000 Logix Designer软件可能允许发现秘密加密密钥。” 西门子建议客户仅在受信任的网络环境中使用传统PG/PC和HMI通信，并安全访问TIA Portal和CPU，以防止未经授权的连接。 这家德国工业制造公司还采取措施，使用TIA Portal版本17中的传输层安全性（TLS）对工程站、PLC和HMI面板之间的通信进行加密，同时警告“黑客滥用全球私钥的可能性越来越大。” 这些是在工业网络中使用的软件中发现的一系列重大漏洞中的最新发现。今年6月初，Claroty详细介绍了西门子SINEC网络管理系统（NMS）中的十几个漏洞，这些漏洞可能会被滥用以获得远程代码执行功能。 然后在2022年4月，该公司在罗克韦尔自动化PLC中发现了两个漏洞（CVE-2022-1159和CVE-2022-1161），这些漏洞可能被利用来修改用户程序并将恶意代码下载到控制器。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Aruba修复了EdgeConnect Enterprise Orchestrator中的多个严重漏洞，远程攻击者可以利用这些漏洞来破坏易受攻击的主机。 Aruba EdgeConnect Orchestrator是一种集中式SD-WAN管理解决方案，允许企业控制其WAN。 以下是Aruba解决的漏洞: CVE-2022-37913和CVE-2022-37914 (CVSS v3.1 – 9.8)认证绕过漏洞，存在于EdgeConnect Orchestrator的web管理界面中。黑客可以触发该漏洞来绕过身份验证。 “Aruba EdgeConnect Enterprise Orchestrator基于web的管理界面中的漏洞可能允许未经身份验证的远程攻击者绕过身份验证。成功利用这些漏洞可能会让攻击者获得管理权限，从而导致Aruba EdgeConnect  Enterprise Orchetrator主机完全受损。“供应商发布的公告中写道。 该公司还解决了Aruba EdgeConnect Enterprise Orchestrator基于Web的管理界面中未经身份验证的远程代码执行漏洞。该漏洞被追踪为CVE-222-37915，可被利用在底层主机上执行任意命令，从而导致整个系统受损。 该公司发布以下版本来解决这个问题: Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 及更高版本 Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 及更高版本 Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 及更高版本 Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 及更高版本 Aruba不会发布已达到支持终止（EoS）版本的更新。在撰写本报告时，支持的版本包括： Aruba EdgeConnect Enterprise Orchestrator 9.2.x Aruba EdgeConnect Enterprise Orchestrator 9.1.x Aruba EdgeConnect Enterprise Orchestrator 9.0.x Aruba EdgeConnect Enterprise Orchestrator 8.10.x 为了最大限度地减少利用上述漏洞的可能性，供应商建议将CLI和基于Web的管理接口限制在专用的第2层分段/VLAN 和/或由第3层及以上的防火墙策略控制。 在本文发布时，该公司并未发现有利用上述漏洞的野外攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： BazaCall回调网络钓鱼背后的运营商继续发展，更新了社会工程策略，以在目标网络上部署恶意软件。 网络安全公司Trellix在上周发布的一份报告中表示，该计划最终将成为进行金融欺诈或交付勒索软件等下一阶段有效载荷的切入点。 此次攻击的主要目标包括美国、加拿大、中国、印度、日本、中国台湾、菲律宾和英国。 BazaCall，也称为BazarCall，通过操纵潜在受害者拨打诱饵电子邮件中指定的电话号码来分发BazarBackdoor（又名BazarLoader）恶意软件的新方法，于2020年开始流行。 这些电子邮件诱饵旨在制造一种虚假的紧迫感，通知收件人有关续订防病毒服务的试用订阅的信息。这些消息还敦促他们联系服务人员以取消该计划，否则可能会自动收取该软件高级版本的费用。 这些攻击的最终目标是以终止假定订阅或安装安全解决方案的名义远程访问端点，以清除计算机中的恶意软件，从而有效地为后续活动铺平道路。 运营商采用的另一种策略是在PayPal主题活动中伪装成事件响应者，欺骗来电者以为他们的账户是从遍布世界各地的八台或更多设备访问的。 无论采用哪种方案，系统都会提示受害者启动特定的URL ，这是一个精心设计的网站，旨在下载和执行恶意可执行文件，除其他文件外，还会删除合法的ScreenConnect远程桌面软件。 成功持续访问后，攻击者会打开虚假的取消表单，要求受害者填写个人详细信息并登录他们的银行帐户以完成退款，但实际上他们被愚弄将钱发送给诈骗者。 这一发展是因为Conti勒索软件卡特尔至少有三个不同的衍生集团已经接受了回调网络钓鱼技术，作为破坏企业网络的初始入侵媒介。 和Conti的关系还不止于此。BazarBackdoor是由一个名为TrickBot的网络犯罪组织创建的，该组织于今年早些时候被Conti接管，之后于2022年5月至6月因在攻击乌克兰时效忠俄罗斯而关闭。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 总部位于加利福尼亚州的Resecurity发现了一个新的地下服务峰值，使黑客能够进行深度造假。 据网络安全专家称，这可能被用于政治宣传、外国影响活动、虚假信息、诈骗和欺诈。 2014年，加拿大研究人员向公众介绍了生成对抗网络（GANs），它通常模仿人们的面部表情、言语和独特的面部手势，被网络社区称为DeepFakes。 最近发现的地下服务之一——“RealDeepFake”，可以通过Telegram群组轻松获得。只需支付少量费用，该服务就可以让黑客用选定的角色创建一个deepfake实例，然后从选定的脚本中应用画外音，还可以添加特效和文本。这项服务利用VoiceR和Lipsing等技术来改变声音，使其听起来像所选择的角色。 这些DeepFakes的例子包括模仿名人，如Elon Musk, Snoop Dog, Donald Trump, 和The Rock。诈骗者还利用DeepFakes在视频聊天或电话中模仿C-Suite高管，向其同事和员工发出欺诈性的电汇指令。 针对Web3社区的deepfake BEC和网络钓鱼欺诈正在加速上升，与此同时，联邦贸易委员会报告称，自2021年初以来，美国消费者因诈骗而损失了超过10亿美元的加密货币。专家们强调，黑客可能会使用deepfakes来提供有关加密货币的误导性信息，以及使用名人个人资料的初始硬币产品（ICO）。 Resecurity预计将出现更多的混合攻击，这些攻击结合令人信服的电子邮件和社交媒体轰炸、造假者，以及知名Web3影响者渲染的deepfakes，来欺骗日常消费者和专业加密人员。 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一项新的研究详细介绍了名为Earth Aughisky的高级持续性威胁（APT）组织使用的恶意软件工具集的复杂性质。 Trend Micro上周在一份技术资料中透露：“在过去十年中，该组织一直在对台湾以及最近针对日本特定目标的工具和恶意软件部署进行调整。” Earth Aughisky，也被称为Taidoor，是一个网络间谍组织，以其滥用合法帐户、软件、应用程序以及网络设计和基础设施中的其他弱点的能力而闻名。 虽然中国的黑客主要针对台湾的组织，但2017年底观察到的受害者模式表明，其正在向日本扩张。 最常见的目标行业纵向市场包括政府、电信、制造业、重型、技术、运输和医疗。 该组织安装的攻击链通常利用鱼叉式网络钓鱼作为进入方法，用于部署下一阶段的后门。它的主要工具是一个名为Taidoor（又名Roudan）的远程访问木马。 该组织还与各种恶意软件家族有关，例如GrubbyRAT，K4RAT，LuckDLL，Serkdes，Taikite和Taleret，作为其不断更新武器库以规避安全软件尝试的一部分。 Earth Aughisky多年来使用的一些后门如下： SiyBot，一种基本的后门，使用Gubb和30 Boxes等公共服务进行命令和控制（C2） TWTRAT在C2上滥用了Twitter的直接消息功能 DropNetClient（又名Buxzop），它利用了C2的Dropbox API Trend Micro根据源代码、域和命名约定的相似性将恶意软件归因于黑客，分析还发现了它们之间的功能重叠。 这家网络安全公司还将Earth Aughisky的活动与另一名APT参与者联系起来，该参与者被空中客车公司命名为Pitty Tiger（又名APT24），原因是在2014年4月至8月发生的各种攻击中使用了相同的投掷器。 2017年，该组织将目光投向了日本和东南亚。从那以后，网络攻击的数量大幅下降。 最近目标和活动的转变可能表明战略目标发生了变化，或者该组织正在积极改进其恶意软件和基础设施。 Trend Micro研究人员CH Lei表示：“像Earth Aughisky这样的组织有充足的资源可供他们使用，使他们能够灵活应对长期实施网络间谍的武器库。” 该组织应关注此次攻击造成的停机时间，以防其再次活跃。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Fortinet已证实，最近披露的关键身份验证绕过问题(CVE-2022-40684)正被在野利用。该漏洞被跟踪为CVE-2022-40684，影响了FortiGate防火墙和FortiProxy网络代理。 攻击者可以利用此漏洞登录易受攻击的设备。 “在FortiOS和FortiProxy中使用备用路径或通道[CWE-88]的身份验证绕过可能允许未经身份验证的攻击者通过特制的HTTP或HTTPS请求在管理界面上执行操作。”PSIRT公司发布的公告中写道。 由于存在远程利用该漏洞的风险，该公司建议客户立即解决此关键漏洞。 该漏洞会影响从7.0.0到7.0.6以及从7.2.0到7.2.1的FortiOS版本，从7.0.0至7.0.6和7.2.0的FortiProxy版本也会受到影响。 这家网络安全公司通过发布FortiOS/FortiProxy 7.0.7或7.2.2版本解决了该漏洞。该公司还为那些无法立即部署安全更新的人提供了解决方法。 无法升级其系统的客户应禁用HTTP/HTTPS管理接口或限制可以访问的IP地址。 公告指出：“Fortinet知道有一个实例利用了此漏洞，建议立即根据设备日志中的以下危害指标验证您的系统：user=”Local_Process_Access“”。 Horizon3攻击团队的安全研究人员开发了一种概念验证（PoC）攻击代码，并计划于本周晚些时候发布。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 乌克兰国防部情报总局（HUR MO）警告称，俄罗斯正计划升级针对乌克兰和西方国家关键基础设施的网络攻击。 据乌克兰军事情报局称，这些攻击旨在破坏关键基础设施的运营，包括电网和能源行业的设施。 Facebook上发布的报告中写道：“克里姆林宫正计划对乌克兰企业的关键基础设施和其盟国的关键基础设施机构进行大规模网络攻击。攻击将针对能源部门的企业。2015年和2016年对乌克兰能源系统的网络攻击经验将被用于开展行动。” 报告还指出，网络攻击的目的是干扰乌克兰军队的能力，支持俄罗斯军队的军事进攻。 克里姆林宫还计划对乌克兰盟友（如波兰和波罗的海国家）的关键基础设施进行更强大的DDoS攻击。 HUR MO发布的警报称：“敌人将试图增加导弹攻击对电力供应设施的影响，主要是在乌克兰东部和南部地区。占领军司令部确信，这将减缓乌克兰国防军的进攻行动。” 美国总统拜登在2021年7月警告说，网络攻击导致严重的安全漏洞可能引发“真正的枪战”。一个月后北约发布声明，称网络攻击可以与“武装攻击”（在某些情况下）相提并论。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 据Mandiant称，至少有三个支持俄罗斯利益的黑客组织可能与国家支持的网络黑客合作。 谷歌旗下的威胁情报和事件响应公司表示：“据称，黑客活动Telegram频道‘XakNet Team’、‘Infoccentr’和‘CyberArmyofRussia_Reborn’的发布者正在与俄罗斯主要情报局（GRU）资助的网络黑客协调其业务。” Mandiant的评估基于以下证据：从乌克兰组织窃取的数据泄漏发生在被追踪为APT28（又名Fancy Bear、Sofacy或Strontium）的俄罗斯民族国家组织实施的恶意雨刷事件的24小时内。 为此，来自这些组织的16次数据泄露中，有4次与APT28发起的磁盘擦除恶意软件攻击同时发生，该恶意软件使用了一种名为CaddyWiper的病毒。 APT28从2009年开始活跃，与俄罗斯军事情报局、总参谋部主要情报局（GRU）有关联，并在2016年因在美国总统选举前违反民主党全国委员会（DNC）而引起公众关注。 虽然所谓的黑客组织已经针对乌克兰进行了分布式拒绝服务（DDoS）攻击和网站破坏，但有迹象表明，这些虚假角色是信息操作和破坏性网络活动的幌子。 也就是说，这种关系的确切性质以及与俄罗斯国家的关联程度仍然未知，尽管它表明，要么是GRU官员本人直接参与，要么是通过运营Telegram频道的管理员参与。 XakNet泄露了APT28用于入侵乌克兰网络的“独特”技术工件，以及CyberArmyofRussia_Reborn的数据发布之前是APT28入侵操作的事实，从而证实了这一推理。 这家网络安全公司指出，它还发现了XakNet团队和Infoccentr以及亲俄罗斯组织KillNet之间的某种程度的协调。 Mandiant说：“乌克兰战争也为了解俄罗斯网络计划的整体性、协调性和有效性提供了新的机会，包括黑客对社交媒体平台的使用情况。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文