在23andMe的Yamale (YAML的架构和验证器)中披露了一个高度危险的代码注入漏洞，攻击者可以随意利用该漏洞执行任意Python代码。 该漏洞被记录为CVE-2021-38305 (CVSS得分:7.8)，涉及操作作为工具输入提供的架构文件，以绕过保护并实现代码执行。值得关注的是，问题存在于模式解析函数中，该函数允许对传入的任何输入进行求值和执行，从而导致一种情况，即架构中特殊制作的字符串可用来注入系统命令。 Yamale是一个Python包，它允许开发人员验证YAML(一种经常用于编写配置文件的数据序列化语言)。GitHub上至少有224个存储库使用这个包。 JFrog安全首席技术官Asaf Karas在发给The Hacker News的一份电子邮件声明中说:“这种缺口给了攻击者可乘之机，他们输入架构文件来执行Python代码注入，从而使用Yamale进程的特权执行代码。”“我们建议对eval()的任何输入进行彻底的清理，最好是用任务所需的更具体的API替换eval() call。” 经过该次披露，该漏洞已在Yamale 3.0.8版本中得到纠正。 这是JFrog在Python包中发现的一系列安全问题中的最新发现。2021年6月，Vdoo在PyPi存储库中披露了typosquatted包，发现这些包下载并执行第三方加密器，如T-Rex、ubqminer或PhoenixMiner，用于在受影响的系统上采集以太坊和Ubiq。 随后，JFrog安全团队发现了另外8个恶意的Python库，这些库被下载了不少于3万次，可以用来在目标机器上执行远程代码，收集系统信息，窃取信用卡信息和自动保存在Chrome和Edge浏览器中的密码，甚至窃取不一致认证令牌。 “软件包存储库正成为供应链攻击的热门目标，npm、PyPI和RubyGems等流行存储库已经受到恶意软件攻击，”研究人员说。“有时，恶意软件包被允许上传到包存储库，这给了恶意行为者利用存储库传播病毒的机会，并对开发人员和管道中的CI/CD机发起攻击。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

它的攻击目标主要是一些国外大型企业与机构，从这些大型企业获得高额的赎金，平均收入为60亿美元。 它能在2.5天内部署勒索软件，这速度比大多数组织都要快。 医疗保健组织是其主要目标之一。 这个活动频繁的勒索软件团伙是FIN12，因使用RYUK勒索恶意软件而为人所知，网络安全公司Mandiant称该组织与去年调查的约20% 的勒索软件攻击有关。 与一些勒索软件攻击组织不同，FIN12迄今为止似乎都是为了赚大钱——而且是很快的。“他们速度太快了。这就是他们的不同之处,”Mandiant 情报分析副总裁John Hultquist如此说道。 Mandiant 表示，FIN12似乎是一个讲俄语的组织，至少自2018年10月以来一直在活动。 FIN12专门从事勒索软件攻击。它与Trickbot团伙关系密切，自2020年2月以来，它在攻击中使用了 Cobalt Strike Beacon 工具，以及Trickbot和Empire工具。 Mandiant 在发布的关于FIN12一份报告中说，FIN12的大多数受害者通常都在北美，但它也向欧洲和亚太地区的组织投放勒索软件。大约20% 的 FIN12受害者是医疗保健组织。 美国政府官员最近一直在制定新的政策举措，以遏制勒索软件网络犯罪。就在本周，美国司法部(DoJ)成立了国家加密货币执法小组(National Cryptocurrency Enforcement Team) ，以打击非法使用加密货币的行为，因为加密货币是勒索软件运营商选择的匿名支付渠道。美国司法部还宣布了“民事网络欺诈倡议”(Civil Cyber-Fraud Initiative) ，以确保政府承包商公开其网络安全协议和网络攻击，从而保护相关机构免受与供应链相关的网络攻击。 在科洛尼尔管道运输公司遭受软件攻击之后，美国总统拜登在五月份发布了一项网络安全行政命令。即便如此，勒索软件攻击由于其利润丰厚和匿名性，数量也不会很快减少。本周，在华盛顿举行的 Mandiant 网络防御峰会上，Mandiant 公司首席执行官凯文•曼迪亚在一个主题问答环节中向国家安全局(NSA)局长、美国网络司令部司令Gen. Paul Nakasone提问，“五年后勒索软件是否仍将是一个巨大的威胁？”得到的回答是: “每一天。”庆幸的是美国政府正在加倍努力打击勒索软件。 但联邦调查局、研究人员和事件反应专家面临的难题是，揭露这些攻击的真正主谋越来越困难。他们不是勒索软件代码编写者，也不是 FIN12或其他勒索软件攻击部署组织，而是那些罪犯，他们目标定位精确，通过与 FIN12和其他组织签订合同向目标投放勒索软件。 根据 Mandiant 的说法，这种多层次、分阶段的网络犯罪攻击模式，使得接触或阻止与 FIN12和其他组织签约的犯罪分子变得更加困难。FIN12相对精简和快速部署勒索软件的模型就是这方面的一个典型案例。 “想象一下，如果我们有一个对手在这个领域造成了20% 的损失，而且主要集中在医疗保健方面，而我们还没有有效地识别它们,”Hultquist 说。由于 FIN12利用其他网络犯罪团伙的工作获得了对目标组织的初始访问权，他们可以集中精力部署 Ryuk 或其他勒索软件。Mandiant 公司认为，这种模式使得 FIN12能够在今年上半年将勒索软件的处理时间减少一半，短至2.5天，而在去年尚需5天。 “这些效率的提高可能至少部分归功于它们在攻击过程链中单一阶段的专业化，使它们能够更快地发展自己的专业技能。FIN12似乎也有意优先考虑速度，因为我们很少观察到这些威胁者从事数据盗窃勒索。“然而，这些威胁者也有可能会改变他们的行动，以便在未来更频繁地进行数据盗窃。例如，FIN12可以确定，相比勒索软件攻击造成的停机时间，某些行业更重视数据泄露的威胁，FIN12会选择对那些被认为具有特别高价值的目标使用这种策略。”   消息来源：DarkReading，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

手机恶意软件Blackrock背后的威胁分子又回来了，他们携带了一种名为ERMAC的更恶毒的Android银行木马。据网络安全专家称，该恶意软件从银行和钱包应用程序中窃取金融数据。 荷兰网络安全公司ThreatFabric最先发现该Android恶意软件，据该公司报道，在8月底，恶意软件ERMAC伪装成谷歌Chrome开始了它的第一次主要活动。 自那以后，ERMAC攻击的范围扩大，包括银行应用程序、快递服务、政府应用程序、媒体播放器，甚至像McAfee这样的杀毒解决方案。 专家认为，黑客已经盯上了波兰。 “在写这篇博客的时候，我们发现ERMAC以波兰为目标，打着配送服务和政府应用的幌子分发，”ThreatFabric的首席执行官Cengiz Han Sahin在一篇博客文章中写道。 ERMAC几乎完全基于臭名昭著的银行业木马Cerberus。与它的原始恶意软件和其他银行恶意软件一样，ERMAC的开发目的是窃取联系信息和短信。 它还可以打开任意应用程序，并对大量金融应用程序执行叠加攻击，以获得登录凭证。这种银行恶意软件还具有一些功能，可以清除某个应用程序的缓存，并窃取存储在设备上的账户信息。 “ERMAC的行为再次表明，恶意软件源代码泄露不仅不会加速恶意软件组织的消失，还会给威胁环境带来新的攻击者/参与者，”Threatfabric说。 建立在Cerberus基础上的ERMAC引入了一些新功能。Threatfabric指出：“尽管它缺乏像RAT这样强大的功能，但它仍然对全世界的移动银行用户和金融机构构成威胁。” ThreatFabric还公布了ERMAC目标应用程序列表，包括Usługi Bankowe、WiZink、tu banco senZillo、桑坦德阿根廷、Touch 24 Banking BCR和Volksbank hausbanking。 许多应用软件，类似My AMP, Bankwest, CommBiz, CUA移动银行，汇丰澳大利亚分行，荷兰国际集团澳大利亚银行，麦格理认证，麦格理移动银行，ME银行，NAB移动银行，NPBS移动银行，myRAMS, Suncorp银行，UBank移动银行，CA移动，Tangering移动银行和Bitcoin&Ripple钱包，也包括在ERMAC目标应用的列表中。 在撰写本文时，网络安全公司已经列出了受到该恶意软件攻击名单，包括378个银行和钱包应用程序。   消息来源：IBTimes，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据一份最新报告显示，攻击者正在通过新的恶意软件访问玩家的Steam、GOG、Epic Games和EA Origin账户并窃取他们的信息。 网络安全公司卡巴斯基将这种恶意软件命名为“BloodyStealer”，并警告玩家，这种恶意软件能够从上述网站的会话数据和密码中获取信息。 据报道，该木马正在暗网和暗网论坛上做广告和出售，价格为每月10美元或“终身许可证”40美元。卡巴斯基公司于今年3月首次发现了“BloodyStealer”。 除了会话数据和密码，卡巴斯基的研究人员认为，BloodyStealer还可以抓取设备数据、桌面文件、银行信息、内存日志、BT种子文件和屏幕截图等信息。恶意软件收集的数据会被转移到远程服务器上，在那里它们最有可能通过Telegram频道或暗网平台变现。 卡巴斯基进一步透露，自从该恶意软件被发现以来，已经检测到它被用于攻击拉丁美洲、欧洲和亚太地区用户。 “与其他现存的恶意软件工具相比，BloodyStealer在市场上仍然是一个全新的工具;然而，通过分析现有的遥测数据，我们在欧洲、拉丁美洲和亚太地区发现了BloodyStealer，”卡巴斯基在一篇博客文章中指出。“在调查期间，我们发现BloodyStealer主要攻击家庭用户。” 当玩家下载有问题的文件或应用程序时，他们就很容易受到攻击，这些文件或应用程序大多带有允许他们在游戏中作弊的功能。也就是说，为了保护他们的设备免受BloodyStealer和其他恶意软件的攻击，玩家应该保持警惕，避免使用可疑的应用程序或文件，因为它们可能是恶意软件。 此外，对于玩家来说，使用双因素身份验证来保护自己的账户也是很重要的。如果想要获得游戏或注册与游戏相关的订阅，从官方网站获得这些内容是比较安全的。   消息来源：IBTimes，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在卡巴斯基研究人员进行了8个月的调查后，FinSpy监控工具终于被发现。自2018年以来，针对间谍软件木马的检测已经减少，但事实证明，它并没有消失——它只是隐藏在各种初级植入程序后面，帮助掩盖其活动。与此同时，它还在继续提高自己的能力。 FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件，被当作执法工具存在于市面上。然而，就像NSO集团的Pegasus一样，它经常被用于恶意的目的。于2011年它首次被发现，是一款提供全方位服务的间谍软件，能够窃取信息和证书，并密切监测用户活动。例如，它收集文件列表和已删除的文件，以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。 2019年中期，在TeamViewer、VLC Media Player和WinRAR等合法应用程序中，研究人员发现了的几个可疑安装程序包含恶意代码。然而，据卡巴斯基说，它们似乎与任何已知的恶意软件都没有关联。但有一天，研究人员偶然发现了一个缅甸语网站，上面既有木马程序安装程序，也有用于Android的FinSpy样本。 周二，卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序，通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中，我们发现后门安装程序只不过是第一阶段的植入程序，在真正的FinSpy木马之前，用来下载和部署进一步的负载。”   多种规避技术   新样品采用了多层规避策略。首先，根据分析，受害者下载并执行木马程序后，他们会受到两个组件的审查。第一个是“预验证器”，它运行多个安全检查，以确保它不会感染安全研究人员的设备。 预验证器从命令和控制(C2)服务器下载大量的安全外壳代码并执行它们——总共33个。研究人员指出，每个shellcode收集特定的系统信息(例如当前进程名)并将其上传到服务器。如果任何检查失败，命令与控制(C2)服务器将终止感染过程。 如果所有安全检查都通过，服务器将提供第二个组件，称为“后验证器”。它收集信息，使其能够识别受害机器并验证特定的目标(它记录运行的进程、最近打开的文档和截图)，并将其发送到其配置中指定的C2服务器。 卡巴斯基表示，C2服务器根据收集到的信息，决定是部署成熟的木马平台还是清除感染。 根据卡巴斯基的分析，如果FinSpy最终部署，它将被四个复杂的、定制的混淆器进行高度混淆。 研究人员解释说:“这种混淆的主要功能是减慢对间谍软件的分析速度。”   另一个规避策略是这样的，FinSpy的一个样本通过替换负责启动操作系统的Windows UEFI引导加载程序来感染机器。 该研究称:“这种感染方法允许攻击者安装bootkit，而无需绕过固件安全检查。”“UEFI感染非常罕见，通常很难执行，由于其强规避性和持久性，它们格外难以处理。虽然在这种情况下，攻击者没有感染UEFI固件本身，但在它接下来的系统启动阶段，攻击是特别隐蔽的，因为恶意模块安装在一个单独的分区，可以控制受感染机器的启动过程。” Kuznetsov说，攻击者做了大量工作，使安全研究人员无法访问FinSpy。他指出:“看起来就好像开发人员至少在混淆和反分析措施上投入了和制作木马本身一样多的工作。”“事实上，这种间谍软件部署得非常精确，几乎不可能分析，这也意味着它的受害者特别很难有效防御，研究人员面临着一个特殊的挑战——必须投入大量的资源来解开每一个样本。”   高度模块化的FinSpy   卡巴斯基还研究了最新样本的性能，看看是否有进化，发现FinSpy的架构仍然高度模块化，但比以往更难分析。这是因为一个名为“隐藏器”的组件对所有模块的加密。 Kuznetsov解释说:“它加密了属于整个基础架构的所有内存页面，包括协调器和所有插件，直到使用它们之前，所有内存页面都将保持加密。”“一旦需要执行代码或访问数据，那一个页面就会被解密。当不再需要它时，它就会被再次加密。” 他补充说，“这意味着，即使你制作一个受感染机器的实时内存图像，也很难在内存中找到木马，因为你能看到的唯一未加密的东西，只是这个隐藏程序的一小部分。” 根据分析，隐藏器还负责启动“协调器”，协调器是一个核心模块，将加载其余的功能和控制插件。Kuznetsov说，它或多或少与之前的样本相同，但它增加了一个名为“通信器”的新模块，这是一个硬编码的二进制文件，位于用于维护C2通信的协调器的资源部分。   另一个新模块是进程蠕虫。 “这不会在机器之间感染或传播。但是，它在机器内部传播，从整个架构启动的顶部进程(通常是explorer.exe或Winlogon.exe)开始，”Kuznetsov解释说。“它会在所有子进程中复制自己，所有受感染的子进程将与父进程保持通信。” 该蠕虫模块还将键盘、鼠标点击和各种API连接到FinSpy的各种插件，以实现数据收集目的。 “插件本身主要用来收集受害者的信息，”他说。“用于其他任务的插件并不多。” 有一些单独的插件可以窃取vpn证书、拨号证书、微软产品密钥信息、浏览器搜索和浏览历史、Wi-Fi连接信息、文件列表等等。也有一个通用的插件，任何通过IP (VoIP)软件的声音都可以录制下来。 “同样有趣的是，有一些数据取证工具可以找到已删除文件的信息，并存储已删除文件的历史。”Kuznetsov说，“还有一个非常独特的插件，利用了现代浏览器的除错功能。通过设置特定的环境变量，它们使浏览器将所有SSL加密密钥转储到磁盘上。通过这样做，攻击者可以解密来自受害者的所有SSL通信。” 所有的信息都可以实时收集，并可以向攻击者直播或预先录制。研究人员指出，在启动感兴趣的应用程序时，数据收集也可以被触发。 有一件事是明确的:FinSpy仍在不断开发中，它的开发者已经花费巨大的努力来规避分析。 Kuznetsov说:“我们和几位研究人员花了大约8个月的时间。”“在那段时间里，我们真的必须升级所有的工具。我们不得不从头开始发明和制造一些工具，还完成了一份300页的报告。结论是什么？我们认为这个与FinSpy的斗争还将持续很长一段时间。他们会一直更新和升级他们的设备。”   消息来源：ThreatPost，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月，Morphisec的研究人员发现，威胁者一直在使用.Net infostealer(记为Jupyter)，从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据，包括主要的浏览器(基于Chrome的浏览器，Firefox和Chrome)，还能够在受感染的系统上建立后门。 “Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而，它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括: 一个C2的客户端 下载并执行恶意软件 PowerShell脚本和命令的执行 将shellcode置入到合法的Windows配置应用程序中。 专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer，但根据取证数据，早在5月份该软件的早期版本就出现了。 该恶意软件不断更新，以逃避检测，并增加新的信息窃取功能，最新版本是在11月初创建的。 在发现它的时候，Jupyter正要下载一个ZIP归档文件，其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。 2021年9月8日，研究人员观察到一个新的传递链，通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载，该链能够避免检测。 MSI安装程序负载超过100MB，绕过在线AV扫描仪，并使用第三方的“一体化”应用程序打包工具，混淆视听。 在执行MSI有效负载时，一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。 “这个加载程序与以前的Jupyter加载程序非常相似，因为它在VirusTotal上持有一个躲避检测的文件，可使检测率低至0，这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer，发现新的变体使用的是相同的代码模式。 在研究人员分析的两种变体中，有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。 “自我们在2020年首次发现Jupyter infostealer/后门以来，它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测，这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道，“显然，我们需要一种新的方法来预防威胁。”   消息来源：SecurityAffairs，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一个名为“ Safepal Wallet”的恶意Firefox插件，欺骗用户，窃取钱包余额，并在Mozilla插件网站上存在了7个月才被发现。 尽管恶意的浏览器插件已经被关闭，BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。 一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表，我正在搜索 Safepal 钱包扩展，以便在web浏览器中我也可以使用加密货币钱包。” 在使用 Safepal 证书安装并登录该插件数小时后，Cali发现自己的钱包余额清空了。 “我深深地震惊了……我看到了我最后的交易记录，发现我的4000美元资金被转移到了另一个钱包。我不敢相信这是一个在Mozilla Firefox插件列表中的插件，”他在Mozilla的论坛中说道。 BleepingComputer 从“ Safepal 钱包”的附加页面发现，该插件至少从2021年2月16日起就开始使用了。 页面上，这个235kb的插件吹嘘自己是一个 Safepal 应用程序，可以安全地“在本地保存私钥”，还有令人信服的产品图片和营销材料。 为了在Mozilla网站上发布插件，开发者必须遵循提交流程，即提交的插件“随时接受Mozilla的审查”。但是，目前还不清楚提交的文件的安全程度。 Cali本月公开报道此事不到五天，Mozilla的发言人回应说，他们正在进行调查。该插件的介绍页面已被Mozilla删除。 虽然 Safepal在苹果应用商店和谷歌Play上都有官方智能手机应用，但我们并不知道是否有官方的“ Safepal ”浏览器扩展。 幸运的是，在Mozilla插件网站上，一些用户发布了一星评论，警告其他人不要下载“ Safepal Wallet”。 但是，对于Cali来说，一切为时已晚，收回资金的机会很渺茫。 “我已经和警察谈过了，他们对此无能为力。他们告诉我无法追踪到黑客。”Cali说。 BleepingComputer 联系Mozilla了解更多关于这个问题的信息: Mozilla的一位发言人告诉 BleepingComputer :“扩展安全对Mozilla来说很重要，我们的生态系统持续对千变万化的威胁做出回应。” “我们目前的重点是减少恶意扩展可能造成的损害，引导用户使用我们审查和监控的推荐扩展，帮助用户了解安装扩展带来的风险，让用户更容易地向我们反馈潜在的恶意扩展。” “根据我们的插件政策，当我们发现到插件会对安全和隐私造成威胁时，我们会采取措施阻止它们在Firefox中运行。关于这个插件，我们采取行动阻止其运行并从Firefox插件商店中删除了它。” 在调查恶意的火狐插件时，BleepingComputer 发现了插件使用的钓鱼域。如下所示的这个网页，在假插件的主页也被列为“支持网站”: https://safeuslife.com/tool/ WHOIS 记录显示，该钓鱼网站是在今年1月通过 Namecheap 注册的。在写这篇文章的时候，这个网页仍然在运营，它指示受害者输入他们的“12个单词的备份短语，用于匹配 SafePal 钱包。” 但是，一旦输入了备份短语并提交了表单，页面就会刷新，但没有任何明显的响应，备份短语却已悄无声息地发送给攻击者。 加密货币钱包和许多在线服务一样，如果用户忘记密码，由12个随机生成的单词组成的备份短语便可以用来恢复用户的私钥和钱包。但是，备份短语十分重要且私密，只能在特殊情况下使用，而且只能在服务提供商可信的应用程序或网站上使用。 备份短语如果被盗，攻击者可以控制你的钱包，以及访问和转移资金。 最近，加密货币诈骗正在增多，威胁者正在寻找更新的、难以检测的方法来欺骗用户。就在上周，有人入侵了Bitcoin.org官方网站，成功地骗走了1.7万美元。[详细请点击] 在之前的攻击中，包括npm、PyPI和GitHub在内的开源库被滥用，用以传播加密窃取和加密挖掘恶意软件。 随着网络平台上威胁者的日益增多，用户在提供安全密码或在线转移加密货币时应谨慎。 BleepingComputer 已经联系了 Mozilla 和 Safepal 寻求进一步的回应，同时向 Namecheap 报告了钓鱼域名。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

网络安全公司Proofpoint/Cloudmark最近发现了一种新的威胁，可以通过短信控制受害者的手机。美国和加拿大也发现了这种威胁，根据报告，Android用户是这种恶意软件的主要目标。 这种安全威胁被命名为Tangle Bot，因为它能够接管一些设备的功能，包括联系人列表、电话记录、摄像头和麦克风以及互联网接入。 这种恶意软件的工作原理与至今存在于英国和欧洲的流感机器人威胁一样。就像名字Tangle一样，这个恶意软件可以误导目标通过伪造的Covid-19警报，安装篡改过的软件。该警报包括关于Covid-19疫苗可用的加强剂的信息以及新的监管政策。 在疫情已经造成恐慌的情况下，这类信息极具煽动性，很可能欺骗目标，因为信息附加一些链接，而目标很可能相信该链接里宣称提供更多疫情期间帮助的信息。 在点击链接之后,跳转网页将显示“Adobe Flash Player需要更新”,如果用户同意更新并点击了更新安装按钮, TangleBot将植入手机，开始接管包括控制电话簿,记录屏幕等功能,攻击者也可以随时打开设备摄像头和麦克风。根据Proofpoint的说法，TangleBot甚至可以通过覆盖屏幕的方法访问在线金融应用程序。随后，受害者的设备还会被用来转发伪造的的Covid-19警报。 如果目标发现设备被恶意软件入侵并将其卸载，黑客暂时不会使用窃取的信息，让用户相信什么都没有被窃取，但信息早已泄露。 所以，保护设备不受攻击的最好方法是避免从未知渠道打开链接，应用程序应该只从可信的来源安装。   消息来源：DigitalInformationWorld，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分，包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件，它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码，或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议，允许用户集中管理无线接入点。 思科表示，攻击成功的话，攻击者便使用管理权限执行任意代码，或导致受影响的设备崩溃和重新加载，从而导致DoS攻击。 第二个关键漏洞——具有9.8 CVSS评级——对思科IOS XE SD-WAN软件造成了影响，并可能让攻击者在SD-WAN设备上触发缓冲区溢出。 思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送特制流量来利用这个漏洞。设备手攻击可能会导致缓冲区溢出，并可能使用根权限执行任意命令，或导致设备重新加载，从而导致DOS攻击。” 第三个关键漏洞也有9.8 CVSS评级,这个漏洞与思科IOS XE软件的身份验证、授权、和记账功能(AAA)有关,该漏洞允许攻击者绕过NETCONF或RESTCONF认证，安装、操作或删除受影响的配置设备,造成内存泄露,导致DoS攻击。 Cisco表示:“漏洞利用如果成功，攻击者便可使用NETCONF或RESTCONF安装、操纵或删除网络设备的配置，或损坏设备上的内存，从而导致DoS攻击。” 思科表示，有一个解决这一漏洞的办法:删除启用密码，并配置启用密码。还有一种降低漏洞攻击伤害的方法:限制该漏洞的攻击面，确保为NETCONF和RESTCONF配置了访问控制列表，以防止来自不受信任子网的访问尝试。 思科已发布免费软件更新，用以解决关键漏洞。   消息来源：ARNNet，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

NETSCOUT系统公司每两年发布一次的《威胁情报报告》的结果已经公布，报告强调了网络攻击对全球私营和公共组织以及政府造成的巨大影响。根据威胁情报报告，在2021年上半年，网络犯罪分子发动了大约540万次DDoS攻击，比2020年上半年增加了11%。此外，NETSCOUT的主动级别威胁分析系统安全工程和响应团队(ASERT)的数据预测指出，2021年将是另一个创纪录的一年，全球DDoS攻击将超过1100万次。 ASERT预计，攻击者层出不穷的攻击手段的长尾效应将持续下去，日益加剧网络安全危机，并将继续影响公共和私人组织。 在经历了Colonial Pipeline、JBS、Harris Federation、澳大利亚广播公司第九频道、CNA Financial以及其他几次备受瞩目的攻击之后，DDoS和其他网络安全攻击的影响已经在全球范围内显现。因此，各国政府正在引入新的项目和政策来防范攻击，而警备机构正以前所未有的合作努力来应对危机。 2021年上半年，网络犯罪分子武器化并利用了新的反射/放大DDoS攻击载体，使组织面临更大的风险。这种攻击向量暴增刺激了多向量DDoS攻击的增长，针对一个组织的一次攻击中部署了创纪录的31个攻击向量。 NETSCOUT 1H2021威胁情报报告的其他关键发现包括: 新的自适应DDoS攻击技术规避了传统的防御。通过改变他们的策略，网络犯罪分子的攻击可以绕过基于云计算和内部的静态DDoS防御，攻击商业银行和信用卡处理器。 连通性供应链受到越来越多攻击。攻击者希望造成最大附带损害，他们在重要的互联网组件上集中发力，包括DNS服务器、VPN集中器、服务和互联网交换，从而破坏了重要的网关。 网络犯罪分子将DDoS添加到他们的工具包中，以发起三重勒索活动。勒索软件能带来巨大利益，勒索者将DDoS加入他们的攻击方案，以加大对受害者和安全团队的压力。“三重勒索”将文件加密、数据盗窃、DDoS攻击结合在一起，使网络犯罪分子收到款项的几率增加。 DDoS攻击的最快速度同比增长16.17%。一名巴西互联网用户发起了攻击，采用DNS反射/放大、TCP ACK flood、TCP RST flood、TCP SYN/ACK反射/放大矢量技术，速度为675mpps。 最大规模的DDoS攻击为1.5 Tbps，同比增长169%。ASERT数据识别出该攻击针对一家德国ISP，部署了DNS反射/放大向量。与2020年上半年记录的任何一次攻击相比，此次攻击规模显著增加。 僵尸网络参与了大多的DDoS攻击。通过对全球范围内僵尸网络集群和高密度攻击源区域的跟踪，我们可以看到恶意攻击者如何利用这些僵尸网络参与了280多万次DDoS攻击。此外，知名的物联网僵尸网络Gafgyt和Mirai依然构成严重威胁，占DDoS攻击总数的一半以上。 NETSCOUT威胁情报主管理查德•哈梅尔表示:“网络犯罪分子利用疫情情况下的工作远程化，破坏连接供应链的重要组成部分，发起了数量空前的DDoS攻击，引起重度关注。”勒索软件团伙还使用了三重DDoS勒索战术。与此同时，Fancy Lazarus DDoS勒索活动日益猖狂，威胁多个行业组织，他们重点关注互联网服务提供商，特别是权威的DNS服务器。”   消息来源：TheFintechTimes，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接