Hackernews 编译，转载请注明出处： “Hive勒索软件即服务”(RaaS)计划的幕后运营者已经彻底修改了他们的文件加密软件，完全迁移到Rust，并采用了更复杂的加密方法。 Hive于2021年6月首次被观察到，现已成为最多产的RaaS组织之一，仅在2022年5月就与Black Basta和Conti一起发生了17次攻击事件。 从GoLang到Rust的转变使Hive成为继BlackCat之后第二种用编程语言编写的勒索软件，使该恶意软件能够获得额外的好处，如内存安全性、对底层资源更深入的控制以及广泛密码库的使用。它还提供了使恶意软件抵抗逆向工程的能力，使其更具规避性。此外，它还具有停止与安全解决方案相关的服务和进程的功能，这些服务和进程可能会阻止其追踪。 Hive和其他勒索软件系列没有什么不同，它会删除备份以防止恢复，但在新的基于Rust的变体中，显著变化的是它的文件加密方法。 MSTIC解释说:“它不是在每个加密的文件中嵌入一个加密的密钥，而是在内存中生成两组密钥，用它们来加密文件，然后将这两组密钥集加密并写入它加密的驱动器的根目录，这两组密钥的扩展名都是.key。” 为了确定两个密钥中哪一个用于锁定特定文件，将加密文件重命名为包含密钥的文件名，然后后跟下划线和Base64编码的字符串(例如，”C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8″)，该字符串指向对应的.key文件中的两个不同位置。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员详细介绍了勒索软件行为者为在网上掩盖其真实身份以及网络服务器基础设施的托管位置而采取的各种措施。 “大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管提供商来托管他们的勒索软件运营网站，”Cisco Talos公司的研究员Paul Eubanks说。“当他们连接到勒索软件网络基础设施执行远程管理任务时，他们使用VPS跳点作为代理来隐藏自己的真实位置。” 众所周知，勒索软件集团依靠暗网来隐藏他们的非法活动，从泄露被盗数据到与受害者协商付款，Talos 透露，他们能够识别“与暗网上的黑客基础设施托管相同的公共IP地址。” Eubanks说：“我们用来识别公共互联网 IP 的方法涉及将威胁参与者的 [自签名] TLS 证书序列号和页面元素与公共互联网上的索引进行匹配。”除了 TLS 证书匹配之外，用于发现攻击者清晰网络基础设施的第二种方法是，使用像Shodan这样的网络爬虫检查暗网网站相关的图标来对抗公共互联网。 调查结果表明，不仅互联网上的任何用户都可以访问犯罪分子的泄露站点，其他基础设施组件(包括识别服务器数据)也被暴露，从而有效地获得用于管理勒索软件服务器的登录位置。 LockBit在其改进的RaaS操作中添加了一个漏洞奖励计划 随着Black Basta勒索软件的开发，勒索软件团伙通过使用QakBot进行初始访问和横向移动，并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作，扩大了其攻击武库。 更重要的是，LockBit勒索软件团伙上周宣布了LockBit 3.0的发布消息“让勒索软件再次伟大！”此外，他们还推出了自己的漏洞奖励计划，为发现安全漏洞和改进软件的“绝妙想法”提供1000美元至100万美元不等的奖励。 漏洞奖励计划的一个关键重点是防御措施：防止安全研究人员和执法部门在其泄露网站或勒索软件中发现漏洞，确定包括联盟计划负责人在内的成员可能被人肉搜索的方式，以及在该组织用于内部通信的消息传递软件和Tor网络本身中发现漏洞。 被加密或识别的威胁表明，像LockBit这样的组织显然非常担心执法行动。最后，该集团计划提供Zcash为一种支付选择，这一点很重要，因为Zcash比比特币更难追踪，这让研究人员更难监视该集团的活动。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Security Affairs 网站披露，德国检察官对名为 Nikolaj Kozachek 的俄罗斯黑客发出了逮捕令，该名黑客被指控对位于德国的北约智库联合空中力量能力中心进行了网络间谍攻击。 据悉，网络攻击事件发生在 2017 年 4 月，Kozachek 在成功入侵北约智库的计算机系统后，安装了一个键盘记录器以监视该组织。 德国调查人员认为，Kozachek 是与俄罗斯有关的 APT 28 黑客组织（又名 Fancy Bear）的成员，该组织曾在 2015 年网络入侵了德国联邦议院。 据 Spiegel 称，联邦检察官已从联邦法院获得了对 Kozachek 的逮捕令。 APT 28 组织已成功袭击 1000 个目标 从德国调查人员发布的信息来看，2017 年春天，Kozachek 成功渗透了位于 Kalkar 的北约智库的 IT 系统。据 Tagesschau 网站透漏，Kozachek 在智库中安装了具有所谓 “键盘记录器 “功能的恶意软件，即记录每一次击键，还秘密创建和发送计算机屏幕的截图。 值得一提的是，网络攻击者至少入侵了两个系统，并获得了部分北约的内部信息，但目前尚不清楚此次网络攻击的危害程度。 调查人员认为，作为网络间谍活动的一部分，这个与俄罗斯有关的 APT 28 组织已经袭击了大约 1000 个目标，其中涉及使用了 “X-Agent “植入物。 德国调查人员掌握了该组织部分成员的电子邮件账户内容，这使调查人员能够访问各种私人文件和照片，其中据说包含了俄罗斯军事情报部门 GRU 的奖项和制服的照片。 目前，德国警方正在积极寻找 Kozachek 和另一名俄罗斯黑客 Dimitri Badin，据说后者曾发动了对德国联邦议院的黑客攻击。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336745.html 封面来源于网络，如有侵权请联系删除  

Cloudflare 近日宣布了名为 Private Access Tokens 的新技术，允许站长以私人的方式验证访客是否真实。操作系统将增加对这项新技术的支持，包括即将推出的 macOS 和 iOS 版本，并将消除完成恼人的 CAPTCHAs 验证。这应该会使移动浏览变得更加愉快。 Cloudflare 概述了 PATs 的几个好处，对用户来说，它使访问网站不那么麻烦，对网络和应用程序开发人员来说，它让你知道用户是在一个真实的设备和签名的应用程序上，对 Cloudflare 客户来说， PATs 不需要设置，非常易用。 苹果是首批宣布在 iOS 16、iPadOS 16 和 macOS 13 中支持 Private Access Tokens 的主要厂商之一。而其他厂商也有望在不久的将来宣布支持，因此更多的人在未来能够避免 CAPTCHAs。 在 Cloudflare 这边，PAT 已经被纳入其管理挑战平台，所以使用这一功能的客户已经在他们的网站上支持 PAT。Cloudflare 表示，其 65% 的客户已经使用托管挑战而不是传统的验证码作为其防火墙规则中的一个响应选项。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1278791.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer报道，至少有360万台MySQL服务器已经暴露在互联网上，这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。 在这些暴露、可访问的MySQL服务器中，近230万台是通过IPv4连接，剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作，但是这些设备应该要进行锁定，保证只有经过授权的设备才能连接并查询。 此外，公开的服务器暴露应始终伴随着严格的用户策略、更改默认访问端口 (3306)、启用二进制日志记录、密切监视所有查询并执行加密。 360万个暴露的MySQL服务器 网络安全研究组织 Shadowserver Foundation在上周的扫描中发现了360万台暴露的 MySQL 服务器，它们全部都使用默认的端口——TCP 3306。 对于这一发现，Shadow Server在报告进行了解释：“虽然我们不检查可能的访问级别或特定数据库的暴露程度，但这种暴露是一个潜在的攻击面，应该引起企业的警惕并关闭。” 这些暴露的MySQL 服务器广泛分布于全球，其中分布最多的是在美国，数量超过120万台，其余则大多分布在中国、德国、新加坡、荷兰、波兰等多个国家。如下图所示，热力图标注了通过IPv4连接的MySQL 服务器的分布情况。 IPv4 中暴露的 MySQL 服务器的热图 （Shadow Server） 具体来说，IPv4上的总暴露数量是3957457，IPv6上的总暴露数量是1421010，IPv4上的服务器响应总数为2279908，IPv6上的服务器响应总数为1343993，所有MySQL服务中有 67% 可从 Internet 访问。 同时，Shadow Server 在报告中还表示，了解如何安全地部署 MySQL 服务器并消除可能潜伏在系统中的安全漏洞，可以阅读5.7 版指南或8.0版指南。 事实上，数据库保护不当是数据被盗最主要的原因之一，因此数据库管理员应始终锁定数据库，严格禁止未经授权的非法的远程访问。 例如上文已经暴露的MySQL数据库服务器就处于巨大的安全威胁之中，可能导致灾难性的数据泄露、破坏性攻击、勒索攻击、远程访问木马(RAT) 感染，甚至 Cobalt Strike 攻击，这些都将给企业业务和运营带来十分严重的影响。 因此，企业数据库管理员应进一步做好安全建设，并尽可能加密数据库，避免赤裸裸地暴露在互联网上，使其无法通过简单的网络扫描进行访问。企业数据库服务器如同原料车间，防止其暴露是最基本，也是最重要的指标。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335070.html 封面来源于网络，如有侵权请联系删除

自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等； 哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果； 安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。   5月16日（周一），哥斯达黎加新任总统Rodrigo Chaves在新闻发布会上表示，国内有合谋者协助Conti勒索软件团伙敲诈政府，这坐实了Conti团伙日前在网站上发布的声明内容。 据阿根廷老牌媒体《国家报》报道称，哥国总统没有公布合谋的内鬼是谁，也未提及他们究竟如何与Conti团伙串通。 总统称，“毫不夸张地说，我们已经身处战争。作战的对象是国际恐怖组织。目前已经有明确迹象可知，国内有人正与Conti合谋。”但他并未透露更多细节。 “这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。” BRETT CALLOW, EMSISOFT公司威胁分析师 上周末，安全厂商Emsisoft威胁分析师Brett Callow发现，Conti网站上发布内容，试图诱导哥国人民以“组织集会”的方式施压，迫使政府支付赎金，还声称“我们决心通过网络攻击推翻政府。” 由于哥国政府“拒不配合”支付赎金，Conti团伙开出的赎金价码已经上涨一倍，目前为2000万美元，同时威胁将在一周内删除解密密钥。 5月8号，哥国总统Chaves刚宣誓就任，就宣布国家进入紧急状态。再往前两天（5月6日），美国国务院悬赏1000万美元，全球征集Conti团队“关键领导者”的个人信息。 Chaves在新闻发布会上表示，哥国政府已经从各部门抽调人手，组建了一支“特警小组”，负责应对4月17日爆发的这起勒索软件攻击。本次攻击至少影响到哥国27家政府机构，其中9家“受到了严重影响”，全面评估排查仍在进行当中。 Chaves指出，勒索软件攻击阻碍了政府的征税工作，并导致不少公职人员工资被多发或少发了。 他指责前任政府没能对网络安全进行充分投资，并向哥国人民强调“此次勒索名为安全事件，实际上是一场国家危机。” 尽管Chaves并没有提供国内有合谋者协助Conti团伙的证据，但威胁分析师Callow表示，内部威胁是个由来已久且影响深远的问题。例如，一家托管服务商（为其他企业提供IT服务，并可访问客户网络的公司）的工程师就曾于2020年1月受到指控，罪名是在暗网论坛上出售客户网络的登录信息。 Callow解释道，“这些团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。所以如果有内部人士在向他们提供协助，我一点也不会感到惊讶。”   转自 安全内参，原文链接：https://www.secrss.com/articles/42541 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，安全研究人员在对iOS Find My功能进行安全分析时，首次发现了一种全新的攻击面，攻击者可篡改固件并将恶意软件加载到蓝牙芯片上，使该芯片在 iPhone “关闭”时执行。 这是一种全新的恶意软件潜在的运行方式，其原理是利用了iOS在“电源储备”低功耗模式 (LPM) 时关机，但蓝牙、近场通信(NFC)和超宽带(UWB)相关的无线芯片依旧继续运行的机制。 达姆施塔特工业大学的Secure Mobile Networking实验室 (SEEMOO) 的研究人员在一篇文章中写到，苹果这样做是为了启用Find My等功能并促进Express Card交易，但也让三种无线芯片都可以直接访问所有安全元件。 研究人员表示，蓝牙和UWB芯片被数据线连接到NFC芯片中的安全元素(SE)上，存储那些应该可以在LPM中使用的机密数据。 “由于LPM支持是在硬件中实现的，因此无法通过更改软件组件来删除它。现有的iPhone关机后无法关闭无线芯片，这构成了一种新的威胁模型。” 具体的调查结果将会在本周举办的ACM无线和移动网络安全隐私会议 (WiSec 2022) 上公布。 LPM 功能是苹果在2021年iOS 15中新推出的，即使电池电量耗尽或已关闭，也可以使用“查找我的网络”跟踪丢失的设备。当前支持超宽带的设备包括iPhone 11、iPhone 12和iPhone 13。 关闭iPhone 时显示的消息如下：“iPhone 关机后仍可找到。Find My可帮助您在iPhone丢失或被盗时找到它，即使它处于省电模式或关机时也是如此。” 研究人员将当前的 LPM 实现称为“不透明”，同时他们发现，在断电期间初始化Find My广告时有机会观察到失败，这与上述消息实际上相矛盾，他们还发现蓝牙固件既没有签名，也没有加密。 通过利用这个漏洞，具有特权访问权限的攻击者可以创建在iPhone蓝牙芯片上执行的恶意软件，那么即使它关机了也可以执行。但是，要发生这种固件泄露，攻击者必须要通过操作系统、固件通信以及修改固件映像。 换句话说，这个想法是改变LPM应用程序线程以嵌入恶意软件，例如那些可以提醒恶意行为者受害者的Find My Bluetooth 广播，使攻击者能够远程监视目标。 SEEMOO 研究人员指出：“除了更改现有功能外，他们还可以添加全新的功能。”此前他们已经向苹果披露了所有问题，但这家科技巨头“没有反馈”。 由于 LPM 相关功能采用更隐蔽的方法来执行其预期的案例，SEEMOO 呼吁 Apple增加一个基于硬件的开关来断开电池，以减轻固件级攻击可能引起的任何监视问题。 SEEMOO研究人员进一步表示，由于LPM的功能是基于iPhone的硬件，所以无法通过系统更新将其删除，它对整个 iOS 安全模型产生持久的影响。 转自 Freebuf，原文链接：https://www.freebuf.com/news/333382.html 封面来源于网络，如有侵权请联系删除

虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁，并敦促企业及时进行部署，但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击，被黑客获得了系统权限。 在攻击获得系统权限之后，该勒索软件就会通过 PowerShell 脚本启动 Cobalt Strike，并创建了一个名为“user”的新系统管理员账户。 然后，攻击者使用 Mimikatz（一款功能强大的轻量级调试神器）来窃取域管理员的 NTLM 哈希值，并获得对该账户的控制。在成功入侵后，Hive 进行了一些发现，它部署了网络扫描仪来存储 IP 地址，扫描文件名中含有”密码”的文件，并尝试RDP进入备份服务器以访问敏感资产。 最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷，用于窃取并加密文件，删除影子副本，清除事件日志，并禁用安全机制。随后，会显示一个勒索软件的说明，要求该组织与Hive的”销售部门”取得联系，该部门设在一个可通过 Tor 网络访问的.onion 地址。 被攻击的组织还被提供了以下指示： ● 不要修改、重命名或删除*.key.文件。你的数据将无法解密。 ● 不要修改或重命名加密的文件。你会失去它们。 ● 不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。 ● 不要雇用恢复公司。没有密钥，他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者，但事实并非如此。他们通常会失败。所以要为自己说话。 ● 不要拒绝（sic）购买。渗出的文件将被公开披露。 如果不向Hive付款，他们的信息将被公布在 HiveLeaks Tor 网站上。同一网站上还会显示一个倒计时，以迫使受害者付款。 该安全团队指出，在一个例子中，它看到攻击者在最初入侵的72小时内设法加密环境。因此，它建议企业立即给Exchange服务器打补丁，定期轮换复杂的密码，阻止 SMBv1，尽可能限制访问，并在网络安全领域培训员工。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261193.htm 封面来源于网络，如有侵权请联系删除

在周一发布的联合公告中，美国网络与基础设施安全局（CISA）、联邦调查局（FBI）和财政部指出 —— 被称作 Lazarus Group 的黑客组织，正在使用被植入木马的加密货币应用程序，向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币（NFT）的公司，以及参与其中的个人。 CryptAIS 网站截图 几天前，美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织，与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。 作为一个基于 ETH 的侧链，它有被用于盈利类游戏 Axie Infinity 。然而攻击者们正在通过各种通信平台和社会工程手段，将黑手伸向了加密货币企业的员工。 公告提醒道：攻击者会发送具有高度针对性的欺诈（钓鱼）邮件，声称提供高薪工作机会、以试图引诱受害者下载被植入木马的加密货币应用程序。 UpdateCheckSync() 与 DAFOM 捆绑功能描述 美政府机构将这类操作称作“叛变交易”（TraderTraitor），似乎是所谓的“梦想工作”（Dream Job）攻击事件的一个延续。 后者在 2020 年被首次观察到，可知黑客将目光瞄向了国防、航空航天和化工行业的工作者，此类恶意应用程序会在受害者网络环境中传播。 而为了开展欺诈性区块链交易等后续活动，黑客不仅会试图窃取私钥、还会积极利用其它安全漏洞。 Esilet 中的 UpdateCheckSync() 函数截图 CISA 披露的部分 TraderTraitor 恶意应用程序，包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck，声称提供各种投资组合、以及实时的加密货币预测等服务。 此外该公告还详细描述了攻击指标（IOC）和应对策略、技术与程序（TTP）细节，以敦促区块链和加密货币行业组织加强防御措施。 最后，美方去年还通报过被注入了 AppleJeus 恶意软件的加密货币交易应用程序，可知 Lazarus 利用此类手段从全球企业和个人手中劫掠了不少加密资产。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260241.htm 封面来源于网络，如有侵权请联系删除

一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动，以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一，它承载着一个留言板系统，恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和被盗数据，据悉，其中就包括最近在2021年公开的T-Mobile数据泄漏。 该网站上的一个横幅现在显示，它已被“FBI、美特勤局和司法部查封”。该横幅还宣称有一组其他机构参与了此次查封，包括美国税收署(IRS)和来自德国、葡萄牙、罗马尼亚、瑞典和英国的执法组织。与此同时，21岁的RaidForums所有者和管理员Diogo Santos Coelho于今年早些时候在英国被捕，目前被当局羁押，对他的引渡程序尚未完成。 全球领先黑客组织使用的RaidForums RaidForums创立于2015年，最初通常由原始黑客通过从全球低级安全漏洞中获得的用户名和密码交换数据库。安全研究员Brian Krebs指出，该网站是一个通过定向突袭和扫荡等活动组织“电子骚扰”的地方。Krebs还指出，随着需求的增加，RaidForums成为“讲英语的黑客兜售他们商品的首选之地”。Vice则报道称，随着其根基的加深，该网站还被主要的黑客组织使用，其中包括LAPSUS$。据了解，该组织从包括EA、微软、英伟达、三星和沃达丰等知名平台窃取数据。 据报道，以管理员身份“Omnipotent”而闻名的Coelho主要通过出售不同等级的论坛会员资格–包括MVP和God–来换取加密货币而获益。据报道，他还会提供收费服务以在出售和购买被破解数据的各方之间进行联络。 美司法部在公告中称，RaidForums拥有超100亿条居住在美国境内和境外的人的记录。与此同时，欧洲刑警组织在另一份声明中指出，该网站拥有50多万用户。 网站管理员被指控犯有欺诈和阴谋罪 根据对Coelho提出的正式起诉书，调查是由一名卧底探员主导，其利用RaidForums的信用系统试图从该网站购买数据。指控书还写道，除了向该官员提供被盗数据的信息，Coelho还在交易中充当了中间人。这位21岁的黑客被指控犯有严重的身份盗窃、国际欺诈和阴谋罪。 根据Krebs的说法，Coelho于2018年6月在乔治亚州亚特兰大的哈兹菲尔德-杰克逊国际机场首次进入美国执法机构的视野。抵达亚特兰大后，Coelho略的电子设备被搜身，政府机构发现了提及他的RaidForums账号的信息、电子邮件和文件。当年晚些时候，Coelho试图跟当局联系要求他们归还他的物品，其使用的是用于注册URL名称raid.lol和rf.ws的同一个电子邮件ID。据悉，这两个域名都是作为RaidForums的备份域名。自2022年2月以来，所有跟RaidForums有关的已知域名都被FBI查封并控制。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1258423.htm 封面来源于网络，如有侵权请联系删除