Cyble研究和情报实验室的研究人员发现了Akira勒索软件一个复杂的Linux变体。 在最近的一份报告中，Cyble研究和情报实验室（CRIL）详细介绍了Akira勒索软件的一个复杂的Linux变体，引起了人们对Linux环境越来越容易受到网络威胁的关注。 Akira勒索软件一直在积极针对各行业的众多组织，对组织的网络安全和敏感数据构成了不小的威胁。 Akira勒索软件的Linux变体 2023年4月出现以来，Akira勒索软件已经危害了46名公开披露的受害者。 值得注意的是，自CRIL关于Akira勒索软件的上一份报告至今，又有30名受害者被确认，这表明该组织的影响越来越大。这些受害者大多数都在美国。 受影响的组织横跨各个行业，包括教育、银行、金融服务和保险（BFSI）、制造业和服务业等。 恶意的Linux可执行文件是一个64位Linux可执行和可链接格式（ELF）文件。 要执行Akira可执行文件，必须提供特定的参数。例如，需要加密的文件/文件夹的路径，加密的共享网络驱动器的路径，加密的文件的百分比，以及创建一个子进程进行加密。 Akira勒索软件的Linux变体： 技术细节 要运行Akira勒索软件的Linux变种，需要给出具体的指令，称为参数。 这些参数包括诸如要加密的文件或文件夹的位置、加密的共享网络驱动器、加密的文件的百分比以及创建一个用于加密的子进程。 当勒索软件被执行时，它使用一种称为RSA的特殊加密类型来锁定计算机上的文件。这种加密方式使文件在没有解密密钥的情况下无法打开。 该勒索软件有一个特定文件类型的清单，其目的是进行加密。这些文件类型包括各种扩展名，如文档、数据库、图像等。如果一个文件符合这些扩展名中的任何一个，该勒索软件将对其进行加密。 Akira勒索软件的Linux变体使用不同的对称密钥算法，包括AES、CAMELLIA、IDEA-CB和DES，来执行加密过程。这些算法有助于扰乱文件中的数据，使其无法访问。 执行后，Akira勒索软件会加载一个预先确定的RSA公钥来启动加密过程。同时每个被攻击的文件都会被附加”.akira “的文件扩展名，并在受害者的系统中存入了一张赎金票据。 Akira勒索软件的Linux变种揭示了Linux平台上的系统对网络威胁越来越脆弱。 因此，使用Linux环境的组织必须保持警惕，并实施强有力的安全措施，以防止勒索软件攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370646.html 封面来源于网络，如有侵权请联系删除

Brave团队近日宣布，以隐私为中心的浏览器将引入新的限制控制，允许用户指定站点访问本地网络资源的时间。 本地托管的资源包括你设备上的网络程序需要或使用的图像或文件，其他本地资源包括对你网络上的设备访问，如NAS实例、本地托管服务器、共享网络打印机文件、共享网络设备/计算机数据等。 网站和本地网络程序请求访问本地资源，是为了便于收集用户机器上运行的软件信息，这个操作很常见。 Brave方面表示，虽然这十分令人惊讶，但大多数浏览器都允许网站访问这些本地资源，就像它们访问网络上的其他资源一样容易。而且至少从2020年起，这种做法就被已经被记录在eBay、花旗银行、Chick-fil-A等网站上，作为相关网站上使用的反欺诈脚本的一部分。 Ebay过去的端口扫描用户（来源：StackExchange） Brave方面称，所有现代的浏览器，包括Chrome和Firefox，都允许网站请求访问本地资源，并且不受限制地使用它们。 Safari倒是会阻止这些请求，即便这些请求是来自安全的公共网站。但这是其安全措施的一个副作用，而不是阻止这种危险做法的具体设计决定。 目前，Brave正在引入一个本地主机访问权限来解决这个问题，同时仍然允许他们信任的网站在有限时间内访问本地资源。 新增本地主机资源权限提示（来源：Brave） “Brave是唯一能够阻止来自安全和不安全的公共网站对本地主机资源的请求的浏览器，同时仍然保持对用户信任的网站的兼容路径，”Brave团队承诺说。 从1.54版本开始（目前是1.52版本），Brave的桌面版和安卓版将包括更强大的功能，比如控制哪些网站可以访问本地网络资源，以及访问的时间。 默认情况下，没有网站会被授予访问本地主机资源的权限，因此用户可以通过在桌面上的 “Brave://settings/content/localhostAccess “或在安卓上的 “Settings > Site settings > Localhost Access “手动给予权限。 除了这个新的许可机制，Brave将使用过滤列表规则来阻止滥用本地主机访问的脚本和网站。同时，Brave还将维护和更新可信网站的允许列表，在用户第一次访问时，将提示用户是否允许他们访问本地网络资源。 不过那些针对本地主机资源的请求仍将被允许通过，而不需要特殊的权限。   转自 Freebuf，原文链接：https://www.freebuf.com/news/370638.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 6月28日消息，8Base 勒索软件团伙正在针对世界各地的企业组织进行双重勒索攻击，自 6 月初以来，新增受害者正源源不断地增加。 该勒索软件团伙于 2022 年 3 月首次出现，最开始时相对低调，较少发生明显的攻击行为。但到了6 月，攻击活动开始激增，到目前为止，8Base 已在其暗网勒索网站上列出了 35 名受害者，有时甚至会同时公布多达 6 名受害者。 自 2022 年 3 月以来的基本活动趋势 8Base于今年5月推出了据泄露网站，且自称是“诚实而简单”的渗透测试人员，主要目标是针对那些忽视员工和客户数据的隐私和重要性的公司。 在 VMware Carbon Black 团队的一份新报告中，针对最近 8Base 的攻击策略表明，这很可能与一个成熟的勒索软件组织（可能是 RansomHouse）存在关联。RansomHouse从不直接进行攻击，而是单纯进行数据泄露。 VMware 怀疑 8Base 是 RansomHouse 的一个分支，因为这两个组织使用了相同的勒索字条，并且在各自的泄露站点中看到了非常相似的语言和内容，甚至连常见问题解答页面似乎都是复制粘贴。然而，没有足够的证据来确定 8Base 是否是由 RansomHouse 成员产生的，或者只是单纯的复刻，这在勒索软件行为中并不罕见。 在加密文件时，勒索软件会在攻击中附加 .8base 扩展名，并使用“admlogs25[.]xyz”域进行有效负载托管。该域与 SystemBC相关，SystemBC 是多个勒索软件组织用于 C2 混淆的代理恶意软件。 调查结果表明，8Base 进行加密勒索攻击已至少一年，直到最近推出数据泄露网站后才声名鹊起。由于8Base 最近才开始受到分析师的关注，因此其技术本质的许多方面仍然未知。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370632.html 封面来源于网络，如有侵权请联系删除

苹果公司修订了它上个月发布的安全公告，更新了影响iOS、iPadOS和macOS的三个新漏洞。 第一个漏洞是Crash Reporter组件中的一个竞赛条件（CVE-2023-23520），可使恶意攻击者以root身份读取任意文件。iPhone制造商表示，它通过额外的验证来解决这个问题。 另外两个漏洞，归功于Trellix研究员Austin Emmitt，位于Foundation框架中（CVE-2023-23530和CVE-2023-23531），可以武器化来实现代码执行。 苹果公司表示：“应用程序可能能够在其沙箱之外执行任意代码或具有某些提升的权限”，并补充说道已经通过“改进的内存处理”修补了这些问题。 在2023年1月23日发货的iOS 16.3、iPadOS 16.3和macOS Ventura 13.2中，这些中度至高度的漏洞已经得到修补。 Trellix在周二自己的报告中，将这两个漏洞归类为 “新的一类漏洞，允许绕过代码签名，在几个平台应用程序的上下文中执行任意代码，导致macOS和iOS上的权限升级和沙盒逃脱”。 这些漏洞还绕过了苹果为解决零点击漏洞而采取的缓解措施，如以色列雇佣军间谍软件供应商NSO集团利用FORCEDENTRY在目标设备上部署Pegasus。 因此，攻击者可以利用这些漏洞冲出沙盒，以更高的权限执行恶意代码，可能会允许访问日历、地址簿、信息、位置数据、通话记录、摄像头、麦克风和照片。 更要注意的的是，这些安全漏洞可以被滥用来安装任意的应用程序，甚至擦除设备。也就是说，利用这些漏洞需要攻击者已经获得了一个最初的立足点。 Austin Emmitt表示：上述漏洞代表了对macOS和iOS安全模型的重大破坏，该模型依赖于单个应用程序对所需资源的子集进行细粒度访问，并查询更高特权的服务以获取其他任何内容。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358452.html 封面来源于网络，如有侵权请联系删除

近日，与朝鲜有关的被追踪为APT37的威胁行为者与一种名为M2RAT的新恶意软件有关，该恶意软件针对其“南部”对手发起攻击，表明该组织的特征和策略在不断演变。 APT37 也以 Reaper、RedEyes、Ricochet Chollima 和 ScarCruft 的绰号进行跟踪，与朝鲜国家安全部 (MSS) 有关联，这与隶属于侦察总局 (RGB) 的 Lazarus 和 Kimsuky 威胁集群不同。 据谷歌旗下的 Mandiant 称，MSS 的任务是“国内反间谍和海外反情报活动”，APT37 的攻击活动反映了该机构的优先事项。历史上，这些行动专门针对叛逃者和人权活动家等个人。 “APT37 评估的主要任务是秘密收集情报，以支持朝鲜的战略军事、政治和经济利益，”这家威胁情报公司表示。 众所周知，威胁行为者依靠定制工具（如 Chinotto、RokRat、BLUELIGHT、GOLDBACKDOOR 和 Dolphin）从受感染主机收集敏感信息。 “这次 RedEyes Group 攻击案例的主要特征是它利用了 Hangul EPS 漏洞并使用隐写技术来分发恶意代码，”AhnLab 安全应急响应中心 (ASEC) 在周二发布的一份报告中表示。 2023 年 1 月观察到的感染链以一个诱饵韩文文件开始，该文件利用文字处理软件中现已修补的漏洞 ( CVE-2017-8291 ) 触发从远程服务器下载图像的 shellcode。 JPEG 文件使用隐写技术来隐藏可移植的可执行文件，该可执行文件在启动时会下载 M2RAT 植入程序并将其注入合法的 explorer.exe 进程。 虽然持久性是通过修改 Windows 注册表实现的，但 M2RAT 充当后门，能够进行键盘记录、屏幕捕获、进程执行和信息窃取。与 Dolphin 一样，它也被设计为从可移动磁盘和连接的智能手机中吸取数据。 ASEC 表示：“这些 APT 攻击很难防御，尤其是 RedEyes 组织以主要针对个人而闻名，因此非企业个人甚至很难识别这种损害。” 这不是 CVE-2017-8291 第一次被朝鲜威胁者武器化。据Recorded Future报道，2017 年末，有人观察到 Lazarus Group 以韩国加密货币交易所和用户为目标部署 Destover 恶意软件。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/UFFbkYPoMZZ0t_CC3q1bVQ 封面来源于网络，如有侵权请联系删除

美国国家档案与记录管理局（NARA）今天发布更新版政府记录存储规则（GRS Transmittal 33），对联邦机构的网络安全日志及其他网络记录数据的留存时间做出新要求。 一般记录时间表（GRS）明确了联邦机构必须保留的记录类型，以及在多长时间后可以删除或以其他方式进行销毁的处置规定。 GRS Transmittal 33已经在国家档案与记录管理局官网和联邦公报上发布，其中提出的新规则包括两类网络安全日志记录的保留要求： 完整的数据包捕捉数据（PCAP）至少保留72小时， 网络安全事件日志必须保存长达30个月。 根据新规则，如果已经“授权用于商业用途”，则两种类型的记录均可留存更长时间。 这是自2014年确立以来，GRS的信息系统安全记录条款做出的首次更新。 数据包捕捉数据是指经由网络传输的所有数据包的概要信息。这些数据对于网络安全取证工作至关重要，其中记录着网络上所有连接设备之间的一切数据往来情况。 GRS Transmittal 33文件指出，考虑到包含“网络威胁的检测、调查和补救”等一切相关数据和行动，应进一步细化网络安全事件日志的粒度。 美国政府持续改进安全日志留存、使用规定 这两种记录最初由2021年5月的第14028号总统行政令（Cyber EO）提出，随后在2021年8月的一份备忘录（M-21-31）文件中得到进一步细化。该备忘录指示各机构在发生安全事件时与应与网络安全和基础设施安全局、联邦调查局开展合作，包括共享关键安全日志。 现在，国家档案与记录管理局发布的更新文件明确了这些记录需要保存多长时间及具体留存要求。 更新文件指出，这两类记录“与介质形式密切相关”，因此仅适用于这些记录的电子版本。留存要求也仅适用于日志记录，并不涉及仍在持续记录的底层数据。 更新文件提到，“一般记录时间表涵盖了联邦机构所创建和维护的，与保护信息技术系统、数据安全以及响应计算机安全事件相关的记录。此时间表不适用于系统数据或内容。”   转自 安全内参，原文链接：https://www.secrss.com/articles/50985 封面来源于网络，如有侵权请联系删除

当地时间12月28日凌晨，上万名Twitter用户报告Twitter出现故障，用户无法访问该网站或使用其主要功能。此次故障范围波及包括美国、日本、英国在内的全球各个国家和地区，换句话说，Twitter再次爆发了全球性宕机事件。 据网络状况监测站Downdetector的数据显示，此次宕机事件发生在半夜，直接影响到手机应用和通知等功能，其中美国和亚洲的法新社记者的账户也在遇到故障之列。 一些用户反馈Twitter出现很多奇怪的错误消息，比如看到的是空白页面，或无法回复推文或关注热门话题，而另一些人是退出服务。Twitter 还向一些用户显示“速率超出限制”，这表明其服务器无法处理传入的请求。话题标签 #TwitterDown 正在该平台上流行。 故障出现之后，Twitter官方表示正在修复问题，不到一小时候，通报故障的问题数量下降至3700多起，一些遗失的信息和推文也重新出现在Twitter上。 这是自马斯克440亿美元收购Twitter之后，首次出现如此大规模的全球宕机事件。有人猜测，此次Twitter宕机或许和前段时间马斯克疯狂裁员有关，裁员比例达到了前所未有的75%，包括开发人员、维护人员在内的数千名员工被解雇，其中安全部门更是全部被裁撤，并且导致Twitter内部一直处于混乱之中。 马斯克疯狂裁员虽然有利于降低企业成本和对现金流的负担，但是也让很多用户对于Twitter快速修复BUG，快速解决问题能力的担忧。 值得一提的是，这是2022年Twitter第二次出现全球性大宕机事件。7月14日，仅在美国，就有超过5.4万人报告了Twitter的问题。此外，包括英国、墨西哥、巴西和意大利在内的其他国家的用户，也报告了类似的问题。 此次全球宕机事件也和马斯克有关，彼时正处于Twitter起诉特斯拉CEO埃隆·马斯克的期间，称称其违反了以440亿美元收购Twitter交易。为此，Twitter要求特拉华州一家法院命令马斯克继续完成这笔交易。   转自 Freebuf，原文链接：https://www.freebuf.com/news/353919.html 封面来源于网络，如有侵权请联系删除

近日，Hive勒索组织对外公布了其在11月份对法国体育零售商Intersport的攻击中获得的客户数据。 这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批Intersport数据，并威胁说除非零售商支付勒索费，否则将泄露更多数据。 据法国《世界报》报道，黑客攻击包括法国北部商店的Intersport员工的护照信息、他们的工资单、其他商店的离职和在职员工名单，以及社会保险号码。 La Voix Du Nord报道说，黑客攻击发生在 “黑色星期五 “销售期间，使员工无法进入收银系统，迫使商店进行人工操作。 美国联邦政府在11月底表示，Hive已经袭击了全球1300多家公司，收取了约1亿美元的赎金。该组织使用各种方法来获得访问权，利用缺乏多因素认证的目标，访问远程桌面协议、VPN或其他远程网络连接协议。 同时也有利用含有恶意附件的钓鱼邮件，利用Microosft Exchange服务器的漏洞。绕过了多因素认证，通过利用CVE-2020-12812（Fortinet操作系统中现已修补的不当认证漏洞）获得了对FortiOS服务器的访问。 此次攻击正是通过这些途径导致该零售商员工数据泄露。Intersport是一家瑞士公司在全球有5800家分店，其中780家位于法国。目前该公司对此事还没有做出任何回应。   转自 Freebuf，原文链接：https://www.freebuf.com/news/351975.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月16日消息，Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE)，预计这一功能将很快到来。 这是一项广受欢迎且需求量很大的功能，它将有助于进一步保护通信双方的私密性，免受任何第三方甚至是法律请求的影响。 早在2018年，Twitter就曾尝试推出 E2EE 系统的原型，并将其命名为“秘密对话”（Secret Conversation），但随后就没有了下文。而最近，移动研究员 Jane Manchun Wong发推称，她发现Twitter的安卓版源代码中出现了关于E2EE 的内容。在一个字符串中，出现了“这个号码是根据你这次对话的加密密钥生成，如果它与接收者手机中的号码相匹配，就能保证端到端加密”的描述。 而Twitter CEO马斯克对此回复了一个“眨眼”的表情，暗示该功能确实正在开发中。 马斯克对发现E2EE代码的推文回复了一个“眨眼”的表情 为什么 Twitter 需要 E2EE 端到端加密确保信息以加密形式发送，收件人需要解密才能得到其中的内容。为此，双方必须使用加密密钥对信息进行加密或解密。在大多数 E2EE 实践中，发件人使用收件人的数字签名公钥来加密信息，而收件人使用私钥来解密。 在 Twitter 的案例中，Wong 提到了“对话密钥”（conversation key），因此实施的 E2EE 方法可能是“对称的”，这意味着聊天中的两个人都使用相同的密钥进行加密和解密。发件人的消息在传输过程中被转换成不可读的密文，因此任何中间人，如互联网服务提供商、黑客，甚至Twitter本身，都无法读取消息内容。 如果 Twitter 在 DM 上引入 E2EE，即使平台被黑客攻破，用户间的这种加密通信也不容易被破解。2020 年 7 月，黑客曾入侵员工帐户并访问管理面板读取了 36 位知名用户的 DM 收件箱，并下载其中 7 位用户的内容。如果 Twitter 当时有 E2EE，那么所有黑客获得的消息都将是不可读的密文，从而减轻对受感染用户的影响。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350033.html 封面来源于网络，如有侵权请联系删除

The hacker news 网站披露，黑客组织“国内小猫”（Domestic Kitten）正在进行一项新的恶意攻击活动，该活动伪装成一个翻译应用程序，分发更新版本的 FurBall的Android 恶意软件。 “国内小猫”介绍 Domestic Kitten，也称 APT-C-50，据称是伊朗的一个黑客组织，主要是从受损的移动设备获取敏感信息，至少从 2016 年起，就一直非常活跃。 趋势科技（Trend Micro）在 2019 年一项分析报告中表示，APT-C-50 可能与另一个名为“弹跳高尔夫”（Bouncing Golf）的黑客组织有联系。（Bouncing Golf主要针对中东国家进行网络间谍活动）。 针对部分伊朗公民发动攻击 据 Check Point 报道，APT-C-50 依赖于伊朗博客网站、电报频道和短信等不同攻击载体，诱使潜在受害者安装恶意应用程序，主要攻击对象包括内部持不同政见者、反对派力量、ISIS 倡导者、伊朗库尔德少数民族等可能对伊朗政权稳定构成威胁的伊朗公民。 无论黑客采用何种方法，翻译应用程序都充当了一个管道，传递一种以色列网络安全公司命名为 FurBall 的恶意软件（KidLogger 的定制版本），该软件可以从设备中收集和过滤个人数据。ESET 发现最新一轮攻击活动主要涉及以翻译服务为幌子的应用程序。 应用程序（“sarayemaghale.apk”）是通过一个模仿 downloadmaghaleh[.]com 的假冒网站发布，该网站是一个合法网站，主要提供从英语翻译成波斯语的文章和书籍。 值得一提的是，该组织以前使用安全、新闻、游戏和壁纸等应用程序隐藏恶意软件。   转自 Freebuf，原文链接：https://www.freebuf.com/news/347519.html 封面来源于网络，如有侵权请联系删除