利用窃取过来的 NVIDIA 代码，威胁者利用签名证书来签署恶意软件，使其看起来值得信赖，并允许在 Windows 中加载恶意驱动程序。本周，NVIDIA 公司证实，他们遭受了一次网络攻击，使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示，他们已经窃取了 1TB 的数据，并在 NVIDIA 拒绝与他们谈判后开始在网上泄露这些数据。泄漏的数据包括 2 份被盗的代码签名证书，这些证书是 NVIDIA 开发人员用来签署其驱动程序和可执行文件的。 代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名，以便 Windows 和终端用户能够验证文件的所有者，以及它们是否被第三方篡改过。为了提高 Windows 的安全性，微软还要求内核模式的驱动程序在操作系统加载之前必须进行代码签名。 在 Lapsus$ 泄露了英伟达的代码签名证书后，安全研究人员很快发现，这些证书被用来签署恶意软件和威胁者使用的其他工具。根据上传到 VirusTotal 恶意软件扫描服务的样本，被盗的证书被用来签署各种恶意软件和黑客工具，如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马。 例如，一个威胁者用该证书签署了一个 Quasar 远程访问特洛伊木马[VirusTotal]，而另一个人用该证书签署了一个 Windows 驱动程序[VirusTotal]。虽然这 2 个被盗的英伟达证书都已过期，但Windows仍然允许在操作系统中加载用这些证书签名的驱动程序。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： ASUSTOR 网络附属存储（NAS）设备已经成为 Deadbolt 勒索软件的最新受害者，不到一个月前，类似的攻击受害者是QNAP 网络附加存储设备。 为了应对感染，该公司发布了固件更新(ADM 4.0.4.RQO2)来“解决相关的安全问题”该公司还敦促用户采取以下行动，以保持数据安全： 更改密码 使用强密码 更改默认 HTTP 和 HTTPS 端口。默认端口分别为8000和8001 更改 web 服务器端口(默认端口为80和443) 关闭终端/SSH 和 SFTP 服务以及其他您不使用的服务，并 定期备份并确保备份是最新的 这些攻击主要影响运行 ADM 操作系统的网络公开 ASUSTOR NAS 模型，包括但不限于 AS5104T、 AS5304T、 AS6404T、 AS7004T、 AS5202T、 AS6302T 和 AS1104T。 就像针对 QNAP NAS 设备的入侵一样，黑客声称使用了一个0day漏洞来加密 ASUSTOR NAS 设备，要求受害者支付0.03比特币(约合1150美元)来恢复访问权限。 勒索软件运营商在发给 ASUSTOR 的另一条信息中表示，如果该公司支付比特币7.5比特币，他们愿意分享该漏洞的详细信息，此外，他们还愿意出售通用解密密钥，总金额为50btc。 使用的安全漏洞的具体细节尚不清楚，但是我们怀疑攻击向量与EZ Connect 功能中的一个漏洞有关，该漏洞允许远程访问 NAS 设备，该公司已敦促禁用该功能作为预防措施。 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service，简称 caa)解决方案，被各种黑客用来提供下一阶段的有效载荷，比如勒索软件。TrickBot似乎正在做出转变，自今年年初以来没有新的活动记录。 Intel 471的研究人员在与The Hacker News分享的一份报告中说，恶意软件活动的暂停“部分是由于 Trickbot 运营商的重大转变，变化包括与 Emotet 运营商的合作”。 最近一次涉及 TrickBot 的攻击发生在2021年12月28日，但与该恶意软件相关的命令与控制(C2)基础设施一直在为僵尸网络中受感染的节点提供额外的插件和网络注入。 有趣的是，TrickBot 团伙活动量的减少也伴随着与 Emotet 操作者密切的合作 ，在执法部门解决恶意软件10个月之后，Emotet 在去年年底死灰复燃。 2021年11月首次观察到的攻击包含一个感染序列，使用 TrickBot 作为下载和执行 Emotet 二进制文件的渠道，而在攻击之前，Emotet 经常被用来传递 TrickBot 的样本。 研究人员说: “很有可能，TrickBot 的运营者已经将 TrickBot 的恶意软件从他们的运营中剔除，转而使用其他平台，比如 Emotet。”“毕竟，TrickBot 是一个相对老旧的恶意软件，还没有进行过大规模的更新。” 此外，Intel 471表示，它观察到 TrickBot 在2021年11月 Emotet 回归后不久将 Qbot 安装到被破坏的系统中，这再次暗示了幕后重组正在转移到其他平台。 随着 TrickBot 在2021年越来越多地受到执法者的关注，它背后的攻击者正在积极地试图改变战术和更新他们的防御措施。 根据 Advanced Intelligence (AdvIntel)上周发布的另一份报告，Conti 勒索软件团伙据信已经人才并购了 TrickBot 的几名精英开发者，让他们放弃这种恶意软件，转而使用BazarBackdoor 等增强型工具。 研究人员指出: “也许研究员对 TrickBot 的不必要的关注和更新、改进后的恶意软件平台的可用性使得 TrickBot 的操作者放弃了它。”“我们怀疑恶意软件控制基础设施(C2)仍在维护，因为剩下的机器人仍然有一些经济价值。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全公司ESET 和Broadcom的Symantec表示，他们发现了一种新的数据雨刷恶意软件，用于对乌克兰数百台电脑的新一轮攻击。俄罗斯军队正式对乌克兰展开全面军事行动。 这家斯洛伐克公司将这款雨刷命名为”HermeticWiper” (又名 KillDisk.NCV) ，其中一个恶意软件样本编写于2021年12月28日，这意味着攻击的准备工作可能已经进行了近两个月。 ESET 在一系列推文中说: “雨刷二进制文件是使用Hermetica 数字有限公司签发的代码签名证书签名的。”“雨刮器使用 EaseUS Partition Master 软件的合法驱动程序，以破坏数据。最后，雨刮会重新启动计算机。” 其中至少有一次入侵涉及直接从 Windows 网域控制器中部署恶意软件，这表明攻击者已经控制了目标网络。 数据清除攻击的规模和影响尚不清楚，感染背后的黑客身份也不得而知。但这是今年第二次有破坏性的恶意软件被部署到乌克兰的计算机系统中，第一次是在1月中旬  WhisperGate 攻击事件。 此前，在乌克兰发生了第三波“大规模”分布式拒绝服务(DDoS)攻击，数家乌克兰政府和银行机构在周三遭到攻击，乌克兰外交部(Ministry of Foreign Affairs)、部长内阁(Cabinet of minister)和议会(Rada)的网络门户遭到破坏。 上周，乌克兰最大的两家银行 PrivatBank 和 Oschadbank，以及乌克兰国防部和武装部队的网站由于来自不明角色的 DDoS 攻击而瘫痪，英国和美国政府将矛头指向俄罗斯总参谋部情报部(GRU)，克里姆林宫否认了这一指控。 使用 DDoS 攻击的行为会产生大量垃圾信息，目的是压倒目标，使他们无法访问。随后，CERT-UA 对2月15日事件的分析发现，这些事件是通过类似 Mirai和 Mēris这样的僵尸网络，利用感染的 MikroTik 路由器和其他物联网设备实现的。 此外，据说仅在2022年1月，乌克兰国家机构的信息系统就遭受了多达121次的网络攻击。 这还不是全部。Accenture本周早些时候发布的一份报告显示，暗网上的网络犯罪分子正试图利用目前的政治紧张局势，在 RaidForums 和 Free Civilian 市场上推销他们的数据库和网络访问，因为其中包含乌克兰公民和重要基础设施实体的信息，“希望获得高额利润”。 自今年年初以来，破坏性的恶意网络行为不断发生，乌克兰执法机构将这些攻击描述为散布焦虑、削弱人们对国家保护公民能力的信心，以及破坏国家团结的行为。 2月14日，乌克兰安全局(SSU)表示: “乌克兰正面临着有组织地制造恐慌、传播虚假信息和歪曲事实的行动”。“所有这些加在一起，只不过是又一场大规模的混合战争。”     消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一个新的安卓银行木马通过官方的 Google Play Store 分发，安装量超过50,000次，其目的是针对56家欧洲银行，从受损的设备中获取敏感信息。 这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph，据说它与另一个名为 Alien 的银行木马有很多相同部分，同时在功能方面也与其前身“截然不同”。 公司的创始人兼首席执行官 Han Sahin 说: “尽管目前还在进行中，Xenomorph 已经开始在官方应用程序商店中进行有效的覆盖和积极的分发。”“此外，它具有一个非常详细和模块化的引擎，可以随意使用无障碍服务，这在未来可以提供非常先进的能力，如 ATS。” Alien，一个远程访问木马(RAT)，具备通知嗅探和基于认证的2FA盗窃功能，在2020年8月臭名昭著的Cerberus恶意软件消失不久后就出现了。从那时起，发现了其他的Cerberus分支，包括2021年9月的  ERMAC。 跟 Alien 和 ERMAC 一样，Xenomorph 也是一个 Android 银行木马的例子。这种木马通过伪装成“快速清洁”(Fast Cleaner)等生产力应用程序，欺骗不知情的受害者安装恶意软件，从而绕过谷歌 Play Store 的安全保护。 值得注意的是，去年11月，一款名为GymDrop 的健身训练滴管应用程序被发现装载了Alien木马病毒，并将其伪装成“一套新的健身锻炼”。该应用程序有1万多次安装量。 手机应用市场情报公司 Sensor Tower 的数据显示，“Fast Cleaner”在葡萄牙和西班牙最受欢迎，其软件包名为“ vizeeva.Fast.Cleaner”，目前仍可在应用商店购买。2022年1月底，“Fast Cleaner”首次出现在 Play Store 上。 此外，用户对该应用程序的评论还警告说，“该应用程序含有恶意软件”，并且“要求持续确认更新”另一位用户说: “它在设备上安装了恶意软件，除此之外，它还有一个自我保护系统，所以你不能卸载它。” Xenomorph 还使用了一种经典的策略，即引导受害者授予其无障碍服务特权，并滥用权限进行覆盖攻击，其中，恶意软件在来自西班牙、葡萄牙、意大利和比利时的目标应用上注入流氓登录屏幕，以窃取凭证和其他个人信息。 此外，它还配备了通知拦截功能，可以提取通过 SMS 接收的双因素身份验证令牌，并获取已安装的应用程序列表，其结果将被提取到远程命令控制服务器。 研究人员表示: “ Xenomorph 的出现再次表明，黑客正将注意力集中在官方市场的应用上。”“现代银行恶意软件的发展速度非常快，犯罪分子开始采用更精细的开发实践来支持未来的更新。”  消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

UpdraftPlus 是一款可靠、易用的 WordPress 备份/还原和克隆插件。上周由于该插件存在严重漏洞，超过 200 万个 WordPress 网站得到了强制更新。该漏洞可能让未经授权的用户下载 WordPress 网站的备份。 JetPack 的开发人员在对 UpdraftPlus 进行内部审计时，发现了一个权限检查缺失的漏洞，该漏洞可能允许未经授权的用户访问这些备份。通常情况下，只有管理员才能访问它们。根据 UpdraftPlus 的图表，周四约有 170 万个网站下载了该更新。 JetPack 和 UpdraftPlus 都发布了关于该漏洞的警告。UpdraftPlus 的开发者指出如果你的 WordPress 网站已经对备份进行加密，那么存在的风险较小。这是因为 WordPress 对其存储的密码进行了加密，这应该可以保护它们不被获得未加密的备份的黑客攻击。JetPack 说大多数 WordPress 网站已经更新，并敦促那些没有更新的网站安装最新的 UpdraftPlus 补丁。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： 网络攻击的数量和复杂程度日益增加，自然而然地促使许多公司使用更多的网络安全技术。我们知道加强威胁检测能力对于保护是必要的，但是他们也导致了几个意外后果。“越多并不总是越好”的格言非常适合这种情况。 网络安全公司 Cynet 即将举行的一次网络研讨会揭示了告警过载的问题。网络安全团队试图筛选不断出现的一连串威胁警报时总是面临着压力和紧张，Cynet 展示了这种情况实际上是降低网络安全效率的。然后 Cynet 将谈论应对办法——这对几乎所有遭受警报过载痛苦的公司都很重要。 告警过载的真正影响 有趣的是，威胁警报对安全保护至关重要，但也成为了一个障碍。Cynet 列出了会发生这种情况的两个关键的原因。首先，在过去的十几年里，大多数公司每天面临的真正攻击数量直线上升。其次，安全监控工具对异常情况非常敏感，经常将合法的操作误认为恶意的操作。 许多安全团队不断接收着超出他们预期的警报。数量巨大的同时，安全团队明白，错过危险的警报可能导致网络安全灾难。网络安全专业人员不得不顶着巨大的压力，肩负着自己无法承担的责任。 解决办法 Cynet 提出了两个解决告警过载困境的选择: 外包和技术。Cynet 在线研讨会首先讨论了将任务外包给负责监控、调查和响应警报的托管检测和响应(Managed Detection and Response，MDR)提供商，这是利用可调节的资源的一种方式，这样可以移除安全团队中的压力密集型工作负担。然后 Cynet 讨论了技术选择，无论是否选择外包，都要提高技术水平。 从技术的角度来看，首先，Cynet 展示了公司如何使警报更加准确，从而大大减少必须解决的警报数量。其次，Cynet 展示了响应自动化技术是如何减少与警报调查和补救相关的许多人工工作的。网络研讨会详细介绍了可用于自动化响应的特定技术，即使是对于预算和带宽有限的小型安全团队也是如此。  消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 西班牙国家警察局(National Police ía Nacional)上周表示，该局捣毁了一个未命名的网络犯罪组织，并逮捕了8名涉嫌与一系列以金融欺诈为目的的 SIM 卡调换攻击有关的罪犯。 犯罪团伙的嫌疑人伪装成银行和其他组织有信任力的代表，使用传统的网络钓鱼和散播技术，获取受害者的个人信息和银行数据，然后取出受害者账户中的钱。 “他们伪造官方文件，篡改受害者的身份，并欺骗手机商店的员工，获得 SIM 卡的复制品。 SIM 卡接收银行发来的安全确认信息，允许他们清空受害者的账户,”警察局说。 其中七人在巴塞罗那被捕，一人在塞维利亚被捕。这次犯罪活动里，多达12个银行账户被冻结。据说，该团伙犯下的第一起欺诈案件发生在2021年3月。 SIM 卡交换，也被称为 SIM 劫持，是一种恶意技术，犯罪分子利用移动运营商获取受害者的银行账户、虚拟货币账户和其他敏感信息。SIM卡交换通常是通过社会工程、内部威胁或网络钓鱼技术来实现的。 该方案是这样的，一名攻击者假扮受害者，欺骗移动运营商将受害者的手机号码切换到受其控制的 SIM 卡上。或者，也可以通过贿赂移动运营商的员工或欺骗员工下载用于入侵系统和进行 SIM 交换的恶意软件。 一旦电话号码被转移，攻击者就利用“身份”进行帐户重置，绕过基于短信的双因素身份验证保护，并夺取目标在线帐户的控制权。 SIM 卡交换欺诈案激增 多年来，SIM 卡交换已经演变成一种日益普遍的网络犯罪形式，导致受害者的加密货币钱包和银行账户被盗，数额高达数百万美元。2021年11月，美国检察官指控一名英国国民策划了一次 SIM 交换攻击，窃取了价值78.4万美元的加密货币。 然后在2021年12月，一个名为The Community的国际黑客组织的成员因涉嫌数百万美元的 SIM 卡交换恶行而被判刑。 美国联邦调查局(FBI)表示，2021年整年，他们收到了1611起与 SIM卡交换的投诉，调整后的损失超过6800万美元。相比之下，该机构从2018年到2020年收到了320起与 SIM卡交换事件有关的投诉，调整后的损失约为1200万美元。    消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一个P2P的Golang僵尸网络在一年多后重新浮出水面，在一个月内侵入了医疗、教育和政府部门实体的服务器，感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称，这种名为 FritzFrog 的“分散僵尸网络攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等——并能够在受感染的节点上运行任何恶意有效载荷。” 2021年12月初开始的新一轮攻击，在一个月的时间内加快了速度，感染率增长了10倍，而在2022年1月达到高峰，每天发生500起感染事件。这家网络安全公司表示，他们在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。 FritzFrog 在2020年8月由 Guardicore 首次记录，详细说明了僵尸网络自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面，新感染病例大量集中在中国。 安全研究员 Ophir Harpaz 在2020年观察到: “ Fritzfrog 依靠在网络上共享文件的能力，不仅可以感染新的机器，还可以运行恶意的有效负载，比如 Monero crypto miner。” 僵尸网络P2P体系结构使其具有适应性，因为分布式网络中的每台受损机器都可以充当命令控制(C2)服务器，而不是单一的集中式主机。更重要的是，僵尸网络的再次出现伴随着其新功能的增加，包括使用代理网络和瞄准 WordPress 服务器。 感染链通过 SSH 传播，植入一个恶意软件有效载荷，然后执行从 c2服务器接收到的指令，运行额外的恶意软件二进制程序，收集系统信息和文件，然后再将它们转移回服务器。 值得注意的是，FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”，但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。 这款恶意软件还包含了其他新特性，包括使用安全复制协议(SCP)将自身复制到远程服务器，使用 Tor 代理链接来掩护输出的 SSH 连接，跟踪 WordPress 服务器进行后续攻击的基础设施，以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。 “封锁名单中的一个 IP 来自俄罗斯。它有多个开放端口和一长串未打补丁的漏洞，所以它可能是一个蜜罐,”研究人员说。“此外，第二个入口指向一个开源的僵尸网络漏洞。这两个入口表明，操作人员试图逃避侦查和分析。” 包含 SCP 特性也可能为恶意软件的起源提供了第一条线索。Akamai 指出，这个用 Go 编写的库已经被中国上海的一个用户分享到了 GitHub 上。 第二条将恶意软件与中国联系起来的线索是另一起事件，即用于密码挖掘的一个新钱包地址也被用作Mozi僵尸网络攻击的一部分，其操作者于去年9月在中国被捕。 研究人员得出结论: “这些证据虽不确凿，但让我们相信，可能存在与在中国黑客或伪装成中国人的黑客之间的联系。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

作为加拿大“自由车队”卡车司机抗议活动的首选筹款平台，GiveSendGo 刚因遭遇黑客攻击而下线。有关捐赠者的泄露信息，也正在网络上传播。Daily Dot 记者 Mikael Thalen 指出：周日晚间，该网站域名被重定向到了 GiveSendGone[.]wtf，并且不断重播《冰雪奇缘》的一段视频。 据 GiveSendGo 自述，该网站是“首屈一指的基督教自由筹款平台”。然而在攻击者发布的视频中，其不仅嵌入了批评文字，还将之与美国 1 月 6 日的国会山冲突联系了起来。 服务离线后，捐赠者开始涌向新平台。一名安全研究人员指出，GiveSendGo 不安全地设置了亚马逊 S3 云存储服务，导致数 GB 的捐赠者数据被暴露于 Freedom Convoy 。 TheVerge 获得的数据副本，涵盖了将近 9.3 万个条目，其中包括姓名、电子邮件地址、邮编、国籍等。 在数据库列出的邮件地址中，甚至有个别 .gov 域名尾缀，推测有属于 TSA、司法部、监狱局和 NASA 的员工被卷入其中。 从捐赠者的分布区域来看，美国境内占据了半数以上，其次是加拿大和英国。 在接到报告后，GiveSendGo 管理团队认为已于上周修复了云存储问题。然而最新的黑客攻击事件，无疑再次打了他们一巴掌。 另一方面，更加知名的 GoFundMe 已表示将扣留为卡车司机筹集的数百万美元捐款，理由是接到了暴力和涉嫌其它非法活动的报警。 加拿大银行也已开始冻结与车队有关的资金，TD 甚至冻结了两个受捐超百万美元的个人账户。   （消息及封面来源：cnBeta）