Hackernews 编译，转载请注明出处： GitHub警告说，正在进行的网络钓鱼活动针对其用户，通过冒充CircleCI DevOps平台来窃取凭据和双重身份验证（2FA）代码。 该公司于9月16日获悉针对其用户的攻击，并指出网络钓鱼活动已经影响了除GitHub以外的许多受害组织。 网络钓鱼消息声称用户的CircleCI会话已过期，并试图诱骗收件人使用GitHub凭据登录。 “单击该链接会将用户带到一个类似GitHub登录页面的钓鱼网站，但会窃取输入的任何凭据。对于启用了基于TOTP的双因素身份验证（2FA）的用户，钓鱼网站还会将任何TOTP代码实时转发给黑客和GitHub，从而允许黑客侵入受基于TOTP的2FA保护的帐户。受硬件安全密钥保护的帐户不易受到这种攻击。”微软旗下公司发布的公告表示。 收件人被重定向到假冒GitHub登录页面的网络钓鱼页面，该页面旨在实时窃取用户输入的凭据和2FA代码。 该公司指出，受硬件安全密钥保护的账户不易受到这种攻击。 攻击者使用的策略包括快速创建GitHub个人访问令牌（PAT）、授权OAuth应用程序或向帐户添加SSH密钥，以便在用户更改密码时保持对帐户的访问。 在其他情况下，攻击者会立即下载受感染用户可以访问的私有存储库内容，包括组织帐户和其他合作者拥有的内容。 攻击者使用VPN或代理提供商，通过受感染的用户帐户下载私有存储库数据。 如果被盗帐户具有组织管理权限，则攻击者可能会创建新的GitHub用户帐户并将其添加到组织中以建立持久性。 以下是此次活动中使用的已知网络钓鱼域名列表: circle-ci[.]com emails-circleci[.]com circle-cl[.]com email-circleci[.]com “在进行分析时，我们为受影响的用户重置了密码，并删除了黑客添加的凭据，我们还通知了所有已知受影响的用户和组织。如果您没有收到我们的电子邮件通知，那么我们没有证据表明您的帐户和/或组织被黑客访问。我们暂停了所有已识别的黑客帐户，将继续监控恶意活动，并根据需要通知新的受害者用户和组织。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在发现攻击者利用新的关键零日漏洞攻击其客户网络后，安全软件公司Sophos发布了其防火墙产品的补丁更新。 该漏洞跟踪为CVE-2022-3236（CVSS 评分：9.8），影响Sophos Firewall v19.0 MR1 (19.0.1) 及更早版本，并涉及用户门户和Webadmin组件中的代码注入漏洞，该漏洞可能导致远程代码执行。 该公司表示，它已经发现该漏洞被用于针对一小部分特定组织，主要是在南亚地区，并直接通知了这些实体。 Sophos建议用户采取措施确保用户门户和Webadmin不会暴露于WAN。或者，用户可以更新到最新版本。 v19.5 GA v19.0 MR2 (19.0.2) v19.0 GA, MR1, and MR1-1 v18.5 MR5 (18.5.5) v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4 v18.0 MR3, MR4, MR5, and MR6 v17.5 MR12, MR13, MR14, MR15, MR16, and MR17 v17.0 MR10 运行旧版本Sophos Firewall的用户需要升级才能获得最新的保护和相关补丁。 这一进展标志着Sophos防火墙漏洞在一年内第二次受到主动攻击。今年3月初，另一个漏洞 ( CVE-2022-1040 ) 被用于针对南亚地区的组织。 然后在2022年6月，网络安全公司Volexity分享了攻击活动的更多细节，将入侵行为归因于一种称为DriftingCloud的中国高级持续威胁（APT）。 Sophos防火墙设备以前也曾遭到攻击，部署了所谓的Asnarök 特洛伊木马，企图窃取敏感信息。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 几个月前发现的影响Atlassian Confluence Server的现已修补的严重安全漏洞正在被积极利用，在未修补的安装上进行非法加密货币挖掘。 Trend Micro威胁研究员Sunil Bharti在一份报告中说：“如果不加以补救并成功利用，该漏洞可能会被用于多种恶意攻击，例如完全接管基础设施和部署信息窃取者、远程访问木马（RAT）和勒索软件。” 该漏洞被追踪为CVE-2022-26134（CVSS评分：9.8），于2022年6月由澳大利亚软件公司解决。 在网络安全公司观察到的一个感染链中，该漏洞被用来在受害者的机器上下载并运行一个shell脚本（“ro.sh”），进而获取第二个shell脚本（“ap.sh” ”）。 恶意代码旨在更新PATH变量以包含其他路径，例如“/tmp”，从远程服务器下载cURL实用程序（如果不存在），禁用iptables防火墙，滥用PwnKit漏洞（CVE-2021-4034）获得root权限，并最终部署hezb加密矿工。 与其他密码劫持攻击一样，shell脚本也会终止其他竞争对手的硬币矿工，禁用阿里巴巴和腾讯的云服务提供商代理，然后通过SSH进行横向移动。 这些发现反映了Lacework、微软、Sophos和Akamai之前在6月份披露的类似利用漏洞的企图。 Lacework的分析进一步表明，用于检索cURL软件的命令和控制 (C2) 服务器以及hezb矿工还分发了一个名为“ kik ”的基于Golang的ELF二进制文件，该文件使恶意软件能够杀死感兴趣的进程。 建议用户优先修补该漏洞，因为它可能被黑客用于其他恶意目的。 Bharti说：“攻击者可以利用注入自己的代码进行解释，并获得对目标Confluence域的访问权限，还可以进行攻击，从控制服务器进行后续恶意活动到破坏基础设施本身。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 2022年6月27日，网络安全公司Imperva成功拦截了253亿次请求的DDoS攻击。据专家称，此次攻击创下了Imperva应用程序DDoS缓解解决方案的新纪录。 此次攻击的目标是一家不知名的中国电信公司，持续时间超过了四个小时，最高达到390万RPS。 公告中写道：“2022年6月27日，Imperva拦截了一次超过253亿次请求的攻击，创下了Imperva应用程序DDoS缓解解决方案的新纪录。虽然每秒请求数（RPS）超过100万次的攻击并不常见，但我们之前只看到它们持续几秒到几分钟。6月27日，Imperva成功拦截了一次持续四个多小时的强攻击，峰值为390万RPS。” 过去，这家中国电信公司已经成为大型攻击的目标，专家补充称，两天后，它的网站遭受了新的DDoS攻击，尽管攻击持续时间较短。 这次破纪录攻击的平均速率为180万RPS。黑客使用HTTP/2多路复用，或将多个数据包合并成一个，通过单个连接一次性发送多个请求。 攻击者使用的技术很难检测到，并且可以使用有限数量的资源击倒目标。 Imperva继续说道：“由于我们的自动化缓解解决方案可以保证在三秒内阻止DDoS，因此我们估计，攻击的速度可能比我们跟踪的390万RPS峰值要高出很多。” 这一特定攻击是由170000个不同IP组成的僵尸网络发起的，包括路由器、安全摄像头和受损服务器。受损设备分布在180多个国家，其中大多数位于美国、印度尼西亚和巴西。 2022年9月12日，星期一，Akamai阻止了针对其欧洲客户史上最大的DDoS攻击。恶意流量的峰值达到704.8 Mpps，似乎与Akamai在7月记录的黑客是同一人，并且攻击了同一客户。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二发布了一份工业控制系统（ICS）咨询报告，指出Dataprobe的iBoot PDU配电装置产品存在7个安全漏洞，该产品主要用于工业环境和数据中心。 “成功利用这些漏洞可能会导致在Dataprobe iBoot-PDU设备上执行未经身份验证的远程代码。”该机构在通知中表示。 工业网络安全公司Claroty披露了这些漏洞，并表示这些漏洞可以通过“直接连接到设备的网络或云”远程触发。 iBoot-PDU是一种配电装置（PDU），它通过Web界面为用户提供实时监控功能和复杂的警报机制，从而控制OT环境中设备和其他设备的电源。 根据攻击面管理平台Censys 2021年的一份报告，考虑到互联网上可访问的PDU不少于2600个，其中Dataprobe设备占暴露数量的近三分之一，这些漏洞具有新的意义。 Claroty对PDU固件的分析表明，该产品受到了从命令注入到路径遍历漏洞等问题的影响，使客户面临严重的安全风险： CVE-2022-3183（CVSS 评分：9.8）：命令注入漏洞，源于对用户输入缺乏清理 CVE-2022-3184（CVSS 评分：9.8）：路径遍历漏洞，允许访问未经身份验证的PHP页面，该页面可能被滥用以插入恶意代码 Claroty研究人员Uri Katz说，成功远程利用这些漏洞“使攻击者可以通过切断设备的电源，进而切断连接在设备上的任何东西，在一定距离内破坏关键服务”。 其他五个未被发现的漏洞（从CVE-222-3185到CVE-22-3189）可能会被黑客武器化，从云端访问设备的主管理页面，甚至诱使服务器连接到任意内部或外部系统（即SSRF），从而可能泄漏敏感信息。 Katz说：“即使是通过互联网或基于云的管理平台远程管理的无害配电装置，也可以为攻击者提供目标网络，或者通过切断插入PDU的设备的电源来中断基本服务。” Claroty进一步透露，它找到了一种方法来枚举连接云的iBoot PDU设备，即利用有效cookie和设备 ID（可以轻易猜到的顺序数值）的组合，从而扩大所有连接设备的可用攻击面。 建议Dataprobe iBoot-PDU的用户升级到最新的固件版本(1.42.06162022) 并禁用SNMP、Telnet和HTTP（如果未使用），以缓解其中一些漏洞。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国航空公司披露了一起数据泄露事件，黑客可以访问员工电子邮件账户。 入侵者可以访问帐户中包含的敏感个人信息，但该公司的数据泄露通知指出，它不知道任何滥用公开数据的情况。 安全漏洞于7月5日被发现，该航空公司立即采取措施缓解事件并保护受影响的电子邮件帐户。随后，美国航空公司在一家领先的网络安全取证公司的帮助下展开了调查。 发送给受影响客户的数据泄露通知（来源 Bleeping Computer）指出：“2022年7月，我们发现一名未经授权的黑客入侵了美国航空公司团队成员的电子邮件账户。在发现事件后，我们对相关电子邮件帐户采取了保护措施，并聘请了第三方网络安全取证公司进行取证调查，以确定事件的性质和范围。调查确定，这些电子邮件账户中有某些个人信息。我们进行了全面的eDiscovery练习，并确定您的一些个人信息可能已包含在访问的电子邮件帐户中。我们没有证据表明您的个人信息被滥用。然而，出于谨慎考虑，我们希望向您提供有关事件的信息以及您可以采取的保护措施。” 泄露的数据包括姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾照号码、护照号码和/或受影响个人提供的某些医疗信息。 该公司宣布，正在实施额外的技术保障措施，以防止今后发生类似事件。美国航空公司免费提供Experian IdentityWorksSM两年会员资格，以保护受影响用户的身份。 BleepingComputer报道称，美国航空公司员工的账户在一次网络钓鱼活动中被泄露。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国视频游戏发行商Rockstar Games周一透露，它是“网络入侵”的受害者，未经授权的一方可以非法下载侠盗猎车手6的早期片段。 该公司在社交媒体上发布的通知表示：“目前，我们预计不会对我们的直播游戏服务造成任何干扰，也不会对我们正在进行的项目开发产生任何长期影响。” 该公司表示，第三方访问了“我们系统的机密信息”，但目前尚不清楚它是否涉及游戏画面之外的任何其他数据。 这些数据包括约90个游戏视频片段，是由一个化名为“teapotuberhacker”的用户周末在GTAForums上泄露的，暗示该方也是最近Uber违规事件的负责人。 这位名叫Tea Pot的Uber黑客据信是一名18岁的少年。目前尚无其他信息。 teapotuberhacker在论坛中说道：“这些视频是从Slack下载的，这也可能意味着，黑客采用了相同的技术——多因素身份验证（MFA）轰炸，来绕过额外的帐户安全层。 黑客的最终目标似乎是与公司“谈判达成协议”。“如果Rockstar/Take2不付钱给我，我会泄露更多。”泄密者在4chan上发布的消息中说道。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

Hackernews 编译，转载请注明出处： 在Conti今年正式退出威胁领域后，包括Quantum和BlackCat在内的勒索软件即服务 (RaaS) 组织现在正在利用Emotet恶意软件。 Emotet于2014年开始作为银行木马，但随着时间的推移，该恶意软件已成为巨大的威胁，它能够将其他有效负载下载到受害者的机器上，从而允许攻击者远程控制它。 尽管与侵入性恶意软件加载程序相关的基础设施在2021年1月作为执法工作的一部分被拆除，但据说Conti勒索软件卡特尔在去年年底发挥了重要作用。 AdvIntel在上周发布的一份咨询报告中表示：“从2021年11月到2022年6月Conti解散，Emotet是Conti独有的勒索软件工具，然而，Emotet感染链目前被归咎于Quantum和BlackCat。” 典型的攻击序列需要使用Emotet（又名SpmTools）作为初始访问向量来投放Cobalt Strike，然后将其用作勒索软件操作的后利用工具。 臭名昭著的Conti勒索软件团伙可能已经解散，但它的一些成员仍然一如既往地活跃，要么是BlackCat和Hive等其他勒索软件团队的成员，要么是专注于数据勒索和其他犯罪活动的独立团体。 Quantum也是Conti的一个衍生组织，在随后的几个月里，它利用了回调网络钓鱼技术（称为BazaCall或BazarCall）来突破目标网络。 Recorded Future在上个月发布的一份报告中指出：“Conti附属公司使用各种初始访问媒介，包括网络钓鱼、凭据泄露、恶意软件分发和利用漏洞。” AdvIntel表示，自今年年初以来，它在全球范围内观察到超过1267000例Emotet感染病例，活动高峰出现在2月和3月，恰逢俄罗斯入侵乌克兰。 由于Quantum和BlackCat等勒索软件集团的使用，感染人数在6月至7月间再次激增。这家网络安全公司获取的数据显示，Emotet攻击最多的国家是美国，其次是芬兰、巴西、荷兰和法国。 ESET此前报告称，与2021年9月至12月的前四个月相比，2022年前四个月的Emotet检测数量增加了100倍。 据以色列网络安全公司Check Point称，Emotet在2022年8月最流行的恶意软件列表中从第一名跌至第五名，仅次于FormBook、Agent Tesla、XMRig和GuLoader。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 通过FunJSQ执行任意代码会影响多个Netgear路由器模型，FunJSQ是厦门讯网网络技科技有限公司为在线游戏加速开发的第三方模块。 FunJSQ模块用于各种Netgear路由器和Orbi WiFi系统，影响该模块的问题在2022年5月被发现，现已修复。通过对各种固件的分析，研究人员发现NETGEAR设备（R9000、R7800、RAX200、RAX120、R6230、R6260、RAX40）和一些Orbi WiFi系统（RBR20、RBS20、RBR50、RBS50）中存在漏洞模块。 专家发布的帖子写道：“早在2022年5月，我们就在语料库中的大多数NETGEAR固件图像中发现了FunJSQ，这是由中国厦门讯网网络科技有限公司提供的第三方游戏速度提升服务。随着我们对它的深入研究，事情变得越来越复杂，最终对它进行了全面的漏洞研究。我们发现了影响该第三方组件的多个漏洞，这些漏洞可能导致从LAN和WAN接口执行任意代码。” 专家们在分析NETGEAR R7000使用的固件时发现了以下问题： 由于显式禁用证书验证（-k）而导致通信不安全，这允许我们篡改从服务器返回的数据。 更新包只需通过哈希校验和验证，包不会以任何方式签名。 以提升的权限任意提取根路径，允许控制更新包的人覆盖设备上任何位置的任何内容（这非常信任第三方供应商） 基本上，整个更新过程依赖于仅使用哈希校验和在设备上验证的未签名包。专家还发现，该模块在更新过程中不依赖安全通信，这意味着攻击者可以篡改更新包。 不安全的更新机制漏洞被跟踪为CVE-2022-40620，未经验证的命令注入漏洞被跟踪为CVE-2022-40619。 NETGEAR在6月修复了该漏洞，并指出，攻击者只有在知道受害者的WiFi密码或与受害者路由器的以太网连接的情况下才能利用这些漏洞。 建议用户尽快更新设备。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了2个新漏洞，一个Windows权限提升漏洞，跟踪为CVE-2022-37969，以及一个任意代码执行漏洞，跟踪为CVE-2022-32917，影响iPhone和Mac。 根据具有约束力的操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 CVE-2022-37969漏洞已在微软周二发布的补丁安全更新中得到解决，它是一个Windows通用日志文件系统驱动程序权限提升漏洞。 微软将报告此漏洞归功于DBAPPSecurity的Quan Jin、Mandiant的Genwei Jiang、FLARE OTF、CrowdStrike和Zscaler ThreatLabz。 该公司没有透露利用该漏洞进行攻击的详细信息。 CISA目录中添加的第二个漏洞是一个任意代码执行漏洞，跟踪为CVE-2022-32917。该漏洞是苹果公司今年解决的第八个被积极利用的零日漏洞。 苹果针对该漏洞发布的公告中写道：“应用程序可能能够以内核权限执行任意代码，这个问题已通过改进边界检查得到解决。” 该漏洞影响iPhone 6s及以上版本、iPad Pro(所有型号)、iPad Air 2及以上版本、iPad第5代及以上版本、iPad mini 4及以上版本、iPod touch(第7代、运行macOS Big Sur 11.7和macOS Monterey 12.6的mac)。 黑客可以通过创建特制的应用程序来利用此漏洞，以内核权限执行任意代码。该漏洞由一位匿名研究人员报告，苹果公司证实它知道该漏洞“可能已被积极利用”。 CISA 命令联邦机构在2022年10月5日之前修复这些漏洞。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文