Check Point的安全研究人员在Python软件包索引（PyPI）上发现了10个恶意软件包，这是Python开发人员使用的主要Python软件包索引。 第一个恶意软件包是Ascii2text，这是一个通过名称和描述模仿流行艺术包的恶意包。在Check Point的公告中称攻击者为了防止用户意识到这是个恶意假包，因此复制了整个项目描述，而非过去常见的部分复制描述。一旦下载了Ascii2text，其将会通过下载一个脚本，收集存储在谷歌浏览器、微软Edge、Brave、Opera和Yandex浏览器等网络浏览器中的密码。 Check Point在其公告中还提到了Pyg-utils、Pymocks和PyProto2这三个独立的软件包，其共同目标是窃取用户的AWS凭证。 Test-async和Zlibsrc库也出现在报告中。据Check Point称，这两个包在安装过程中会下载并执行潜在的恶意代码。 Check Point还提到了另外三组恶意软件包。Free-net-vpn、Free-net-vpn2和WINRPCexploit，它们都能够窃取用户凭证和环境变量。 最后，Check Point的公告提到了Browserdiv，这是一个恶意软件包，其目的是通过收集和发送证书到预定义的Discord网络钩子来窃取安装者的证书。Check Point在公告中写道虽然根据其命名组成，Browserdiv似乎是针对网页设计相关的编程（浏览器，div），但根据其描述，该包的动机是为了在Discord内部使用自我机器人。 据Check Point的公告称，一旦安全研究人员发现这些恶意用户和软件包，他们就通过PyPI的官方网站发出警报，在Check Point披露了这些恶意软件包之后，PyPI很快就删除了这些软件包。 不幸的是，这不是第一次在PyPI仓库上发现恶意的开源包了。2021年11月，JFrog安全研究团队透露，它从PyPI发现了11个新的恶意软件包，下载量超过40,000。为了减少恶意软件包在PyPI上的出现，PyPI资源库的团队在7月开始对被归类为 “关键 “的项目执行双因素认证（2FA）政策。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341509.html 封面来源于网络，如有侵权请联系删除

近日，美国财政部海外资产控制办公室 (OFAC) 今天批准了加密货币混合器 Tornado Cash一种去中心化加密货币混合服务，据悉，自 2019 年创建以来用于洗钱超过 70 亿美元。 朝鲜支持的 APT Lazarus Group 还使用加密货币混合器恶意洗钱大约 4.55 亿美元，这是有史以来最大的已知加密货币抢劫案。据悉，这是自 Lazarus 在 4 月入侵 Axie Infinity 的 Ronin 网桥后窃取价值 6.2 亿美元的以太坊以来，攻击后收集的总赏金的一部分。 Tornado Cash 还被用于在 6 月 Harmony Bridge 黑客攻击事件中洗钱超过 9600 万美元 （其中 1 亿美元被盗），以及至少 780 万美元来自 8 月 Nomad Heist  （被盗 1.5 亿美元）。 在入侵区块链音乐平台Audius、Beanstalk DeFi 平台和去中心化加密货币交易所Uniswap以及 Arbix Finance退出骗局之后，这种加密混合器还被用来使追踪被盗资金变得更加困难。 “今天，财政部正在制裁 Tornado Cash，这是一种虚拟货币混合器，可以清洗网络犯罪的收益，包括针对美国受害者的犯罪，”负责恐怖主义和金融情报的财政部副部长 Brian E. Nelson 说。“尽管公众另有保证，但 Tornado Cash 一再未能实施旨在阻止其定期为恶意网络行为者洗钱的有效控制措施，并且没有采取基本措施来解决其风险。” 财政部对加密货币混合器实施制裁绝非第一次 此前，美国财政部官员今年发起了一波制裁，以防止加密货币被用于逃避制裁和洗钱。今年4月，在首次制裁虚拟货币混币器之前不久，美国财政部也首次点名了一家加密货币挖矿公司——总部设在瑞士的Bitriver AG，因为它在俄罗斯科技领域运营。同样在那个月，美国财政部还指控总部位于莫斯科的Garantex加密货币交易所“故意无视”反洗钱义务，并“允许(其)系统被非法行为者滥用”。 金融犯罪执法网络 (FinCEN) 还于 2020 年 10 月对 Helix 和 Coin Ninja 混合器服务的创始人和运营商拉里·迪恩·哈蒙 (Larry Dean Harmon) 发出了有史以来第一次民事罚款，罪名 是违反了《银行保密法》(BSA) 及其实施条例。 FinCEN 当时透露，使用 Helix 不倒翁洗钱的最大数量的加密货币来自暗网非法市场，包括 AlphaBay、Dream Mark、Agora Market、Nucleus 等。 “协助犯罪分子的虚拟货币混合器对美国国家安全构成威胁。财政部将继续调查混合器用于非法目的的情况，并利用其权力应对虚拟货币生态系统中的非法融资风险，”OFAC 今天补充道。 “正如今天的行动所表明的那样，虚拟货币公司通常应将混合器视为高风险，只有当它们有适当的控制措施以防止混合器被用于洗钱非法收益时，它们才应处理交易。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/oh4s1eF0dT415wf-WNe9YA 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站8月8日消息，云通讯巨头Twilio表示，有攻击者利用短信网络钓鱼攻击窃取了员工凭证，并潜入内部系统泄露了部分客户数据。 根据Twilio在上周末的公开披露，8月4日，Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员，向公司员工发送短信，警告他们的系统密码已经过期，需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段，受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。 当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”，以及有多少客户数据受到泄露影响时，Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示，已经与美国的短信供应商取得联系，封闭了发送钓鱼短信的账户。 员工收到的钓鱼短信 Twilio尚未确定攻击者的身份，但已联系执法部门对攻击者展开调查。为此，Twilio已经封禁了在攻击期间遭到破坏的员工账户，以阻止攻击者访问其系统，并已开始通知受此事件影响的客户。 Twillio在 17 个国家和地区拥有26 个办事处，共计 5000 多名员工，提供可编程语音、文本、聊天、视频和电子邮件 API，被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。 Twilio还在2015年2月收购了Authy，这是一家面向终端用户、开发者和企业的流行双因素认证（2FA）供应商，在全球拥有数百万用户。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341361.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。 Tutanota是一款端到端加密的电子邮件应用程序和免费增值安全电子邮件服务，截至2017年3月，Tutanota称用户已经超过200万。 “大西洋两岸的政客们正在讨论制定更强有力的反垄断法来监管大型科技公司——正如微软团队阻止Tutanota用户访问那样，这些法律是非常有必要的。大型科技公司有市场力量，可以通过一些非常简单的方法来伤害小型竞争对手，比如拒绝小公司的客户使用自己的服务。这家德国电子邮件服务提供商分享了一条评论，“目前，微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。这种严重的反竞争做法迫使我们的客户注册第二个电子邮件地址（可能来自Microsoft），以创建Teams帐户。” 微软不会将该公司识别为电子邮件服务，而是将其视为公司地址。Tutanota用户第一次注册Teams帐户时，其域被识别为公司，因此，其他使用该流行电子邮件服务的用户都无法注册其账户，并被要求联系其管理员。 Tutanota联合创始人Matthias Pfau表示：“我们多次试图与微软解决这个问题，但不幸的是，我们的请求被忽视了。” “微软只需更改Tutanota是电子邮件服务的设置，这样每个人都可以注册个人帐户，但他们（微软）表示这样的更改是不可能的。” 让我们看看微软是否会解决这个问题，允许200万用户使用其MS Teams服务。 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 研究人员警告称，一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司，其名称来自作者“Gwisin”（韩语中的幽灵）的名字。 勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示，韩国警方，国家情报局和KISA等韩国实体的名称也出现在勒索信上。 据当地媒体报道，Gwisin黑客在公休日和凌晨攻击了韩国公司。 Windows系统上的攻击链利用MSI安装程序，需要一个特殊值作为参数来运行MSI中包含的DLL文件。 “它类似于Magniber，因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同，Gwisin本身不执行恶意行为，它需要为执行参数提供特殊值，该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动，因此很难检测到Gwisin，勒索软件的内部DLL通过注入正常的Windows进程来运行，对于每个受攻击的公司来说，这个过程都是不同的。” GwisinLocker勒索软件能够在安全模式下运行，它首先将自身复制到ProgramData的某个路径，然后在强制系统重新启动之前注册为服务。 Reversinglabs的研究人员分析了勒索软件的Linux版本，他们指出这是一种复杂的恶意软件，具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合，为每个文件生成唯一密钥。 Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站，才能与黑客取得联系。 “对更大规模的GwisinLocker活动的分析和公开报道表明，勒索软件掌握在复杂的黑客手中，他们在部署勒索软件之前获得了对目标环境的访问和控制权，这包括识别和窃取敏感数据，用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明，他们熟悉韩语以及韩国政府和执法部门。因此人们猜测，Gwisin可能是一个与朝鲜有关的高级持续威胁（APT）组织。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Twitter 证实，最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底，一名威胁参与者泄露了 540 万个 Twitter 账户的数据，这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份，Hacker 上发布的一份报告声称发现了一个漏洞，攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户，即使用户已选择在隐私选项中阻止这种情况。 “该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID（这几乎等于获取账户的用户名），即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程，特别是在检查 Twitter 账户重复的过程中，存在该错误。”zhirinovskiy 提交的报告中指出：“通过漏洞赏金平台 HackerOne，这是一个严重的威胁，因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户，而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前（创建一个带有电话/电子邮件到用户名连接的数据库）。此类基地可以出售给恶意方用于广告目的，或用于在不同的恶意活动中对名人进行攻击。” 卖家声称该数据库包含从名人到公司的用户数据（即电子邮件、电话号码）。卖家还以 csv 文件的形式分享了一份数据样本。 在帖子发布几个小时后，Breach Forums 的所有者验证了泄漏的真实性，并指出它是通过上述 HackerOne 报告中的漏洞提取的。 “我们下载了样本数据库进行验证和分析。它包括来自世界各地的人，拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。” 卖家告诉 RestorePrivacy，他要求为整个数据库至少支付 30,000 美元。 现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。 Twitter 确认了此漏洞的存在，并授予了 zhirinovskiy 5,040美元的奖金。 “我们想让你知道一个漏洞，该漏洞允许某人在登录流程中输入电话号码或电子邮件地址，以试图了解该信息是否与现有的 Twitter 账户相关联，如果是，哪个特定账户。” Twitter 的公告。“在 2022 年 1 月，我们通过我们的漏洞赏金计划收到了一份漏洞报告，该漏洞允许某人识别与账户关联的电子邮件或电话号码，或者，如果他们知道某人的电子邮件或电话号码，他们可以识别他们的 Twitter 账户，如果存在的话，”这家社交媒体公司继续说道。 “这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时，我们立即进行了调查并修复了它。当时，我们没有证据表明有人利用了这个漏洞。” 该公司正在通知受影响的用户，它还补充说，它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码，但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证，以保护其账户免受未经授权的登录。 BleepingComputer报告说，两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/G9mHzpFpEcbLzwDb1KpuMg 封面来源于网络，如有侵权请联系删除

攻击者从区块链平台Solana窃取了超过500万美元，具体的失窃原因仍在进一步调查中调查中。 总部位于旧金山的去中心化区块链平台Solana，昨天上午在官方Twitter上确认了这一事件，Solana声称此次攻击有7767个钱包受到影响，其中包括了Slope和Phantom用户，并要求受影响的用户填写一份在线调查，以帮助其工程师查清事情的真相。 Solana声称他们的工程师们目前正在与多个安全研究人员和生态系统团队合作，以确定该漏洞的根本原因，现在虽然没有直接证据表明硬件钱包受到了影响。但还是强烈建议用户使用硬件钱包并且不要在硬件钱包上重复使用的种子短语，而应该创建使用独立的种子短语。被排出的钱包应被用户视为受到损害的状态，并要及时放弃。 Solana将自己宣传为 “世界上最快的区块链 “和 “加密货币中增长最快的生态系统”，拥有成千上万的项目，涉及DeFi、NFTs、Web3和其他领域。 Pixel Privacy消费者隐私的Chris Hauk对外界解释道，Solana攻击只是最近一系列对加密货币的攻击中的最新一次。面对这些攻击，用户普遍希望撤销他们钱包上的任何第三方权限，直到Solana和其他被攻击的交易所完全修复产生这些攻击问题的漏洞。投资者也应该把他们的加密货币从热钱包转移到冷钱包。” 这一事件是一连串针对加密货币公司漏洞事件的衍生，其中包括有史以来最大的一次加密货币盗窃案，当时朝鲜黑客从以太坊侧链Ronin Network盗窃了近6.2亿美元，这超过了去年8月在Poly Network发生的6.1亿美元的攻击案。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341112.html 封面来源于网络，如有侵权请联系删除

近期，来自ThreatLabz的安全研究人员发现了一批大规模的网络钓鱼活动，该活动使用中间人攻击 (AiTM) 技术以及多种规避策略。据该公司本周二发布的一份公告，上个月微软遭遇的一次网络钓鱼攻击中似乎也使用了这种中间人攻击技术。ThreatLabz还透露，从Zscaler 云收集的情报分析，6月的大规模网络攻击中使用高级网络钓鱼工具包的情况有所增加，而使用这项新攻击技术的钓鱼活动也在增加。 据分析，这些网络钓鱼活动和微软发现的活动如出一辙，它们不但使用AiTM绕过多因素身份验证 (MFA)，还在攻击的各个阶段使用了多种规避技术，旨在绕过典型的电子邮件安全和网络安全解决方案。ThreatLabz认为该活动是专门为使用微软电子邮件服务的企业而设计的。 “商业电子邮件泄露 (BEC) 对企业来说仍是一个威胁，此次活动进一步强调了防范此类攻击的必要性。” ThreatLabz表示，这些网络钓鱼攻击第一步就是向受害者发送带有恶意链接的电子邮件，威胁参与者几乎每天都在注册新的网络钓鱼域名，并且大多数目标企业是金融科技、贷款、金融、保险、会计、能源和联邦信用合作社行业等行业。而且多数目标企业位于美国、英国、新西兰和澳大利亚。 虽然多因素身份认证在大部分的时间可以保障安全，但也不能完全信任其带来的安全性。毕竟通过使用中间人攻击(AiTM)和巧妙的规避技术，威胁参与者还是可以绕过传统和高级安全解决方案。作为额外的预防措施，ThreatLabz 表示用户不应打开附件或单击来自不受信任或未知来源的电子邮件中的链接。作为最佳实践，用户应在输入任何凭据之前验证浏览器地址栏中的 URL。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341011.html 封面来源于网络，如有侵权请联系删除

作为过去十年最具破坏性的网络安全攻击类型之一，勒索软件已经发展到影响全球各种规模的组织。 什么是勒索软件？ 勒索软件是一种网络安全攻击，它允许威胁参与者控制目标的资产并要求赎金以保证这些资产的可用性和机密性。 报告分析了2021年5月至2022年6月报告期内欧盟、英国和美国共发生的 623 起勒索软件事件。数据来自政府和安全公司的报告、媒体、经过验证的博客，在某些情况下使用来自暗网的相关资源。 据悉，在 2021 年 5 月至 2022 年 6 月期间，勒索软件威胁参与者每月窃取大约 10 TB 的数据。58.2%的被盗数据包括员工个人数据。至少发现了47 个独特的勒索软件威胁参与者。对于 94.2% 的事件，我们不知道公司是否支付了赎金。但是，当协商失败时，攻击者通常会在他们的网页上公开数据并使其可用。这是一般情况下发生的情况，并且是 37.88% 事件的现实。 因此，我们可以得出结论，其余 62.12% 的公司要么与攻击者达成协议，要么找到了另一种解决方案。该研究还表明，各种规模和各行各业的公司都受到影响。 然而，上述数字只能描绘整体情况的一部分。实际上，研究表明勒索软件攻击的总数要大得多。目前这个总数是不可能的，因为太多的组织仍然没有公开他们的事件或没有向有关当局报告。 有关已披露事件的信息也非常有限，因为在大多数情况下，受影响的组织不知道威胁参与者是如何设法获得初始访问权限的。最后，组织可能会在内部处理该问题（例如决定支付赎金）以避免负面宣传并确保业务连续性。然而，这种方法无助于解决问题——相反，它反而助长了这种现象，在此过程中助长了勒索软件的商业模式。 正是在这些挑战的背景下，ENISA 正在探索改进这种事件报告的方法。修订后的网络和信息安全指令 (NIS 2) 有望改变通知网络安全事件的方式。新规定旨在支持对相关事件进行更好的映射和理解。 根据报告的分析，勒索软件攻击可以通过四种不同的方式针对资产：攻击可以锁定、加密、删除或窃取（LEDS）目标资产。目标资产可以是任何东西，例如来自文件、数据库、Web 服务、内容管理系统、屏幕、主引导记录 (MBR)、主文件表 (MFT) 等的文档或工具。 勒索软件的生命周期一直保持不变，直到 2018 年左右，勒索软件开始添加更多功能并且勒索技术成熟。我们可以确定勒索软件攻击的五个阶段：初始访问、执行、目标行动、勒索和赎金协商。这些阶段不遵循严格的顺序路径。 研究中出现了 4 种不同的勒索软件商业模式： 以个人攻击者为中心的模型 以群体威胁参与者为重点的模型 勒索软件即服务模型 数据中介模型 一种主要旨在将恶名作为成功勒索软件业务的关键的模型（勒索软件运营商需要保持一定的恶名声誉，否则受害者将不会支付赎金） 勒索软件生命周期的五个阶段 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/Wr6nKrGKPDBFjIt6UcGQLg 封面来源于网络，如有侵权请联系删除

AV-TEST 和 AV-Comparatives 是两家知名的反恶意软件评估公司。尽管久负盛名，但是前者遇到了一件尴尬的事情：官方 Twitter 账号于 7 月 25 日被黑了，但时间过去 1 周仍未恢复对其的控制。 虽然 AV-TEST 无法阻止其帐户遭到入侵，但它通过其德国帐户迅速做出回应，将该问题报告给 Twitter 支持。 然而，社交媒体的支持似乎并没有太大帮助，因为该公司在接下来的几天再次联系 Twitter，但未能成功恢复该账号。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1300273.htm 封面来源于网络，如有侵权请联系删除