分类: 今日推送

乌克兰安全局宣称逮捕了协助俄军开展通讯中继服务的黑客

Vice 报道称,在最近一次行动中,乌克兰安全局(SBU)声称抓获了一名在乌境内为俄军提供通信服务的黑客。在当天上午 10 点发布的推文和电报消息中,SBU 分享了本次行动的诸多细节。尽管尚未得到另一独立消息源的证实,但我们已经看到了面部打码的黑客、以及所谓的通信系统照片。 电报帖子指出,黑客有协助将俄罗斯境内的电话、路由到乌克兰境内的俄军手机,同时向乌克兰安全官员和公务员发送劝降短信。 SBU 方面公布了被逮捕的黑客、以及他所使用的软硬件的照片,似乎为常见的语音 / 短信的中继系统。 Adaptive Mobile Security 首席技术官 Cathal Mc Daid,在推文中解释了相关设备及其用途。 可知其中包括了一个 SIM 卡盒服务器,能够在 128 张不同的号码之间切换。 在与 GSM 网关配对之后,这套系统可将语音呼叫和短信链接到本地移动网络,辅以用于处理消息传递和呼叫转移的未知软件。 不过由于此类系统的可靠性欠佳,Cathal Mc Daid 认为它并不适用于军事通信,所以 SBU 公告的可信度还是有所欠缺。 在俄乌冲突爆发后,有大量报道称乌克兰安全部队拦截了俄罗斯军队之间发送的信息,让人怀疑俄方是否严重依赖于缺乏通信加密的民用网络技术。 此外有报道称俄军在行动初期大量摧毁了当地 3G / 4G 移动网络基站,甚至在某些情况下使用未加密的手持无线电系统开展战场通信,即便俄罗斯国防部曾暗示已向大多数不对发放了加密战术无线电设备。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247533.htm 封面来源于网络,如有侵权请联系删除

流行软件包管理器中发现多重安全漏洞

Hackernews 编译,转载请注明出处: 在流行的包管理器中已经揭露多个安全漏洞,如果被潜在黑客利用,可能被滥用来运行任意代码和访问敏感信息,包括受感染设备的源代码和访问令牌。 然而,值得注意的是,这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。 SonarSource 的研究员 Paul Gerste 说: “这意味着攻击不能远程直接针对开发人员的机器,并且需要欺骗开发人员来加载格式不正确的文件。”“但你是否总是足够了解并信任来自互联网或公司内部仓库的所有软件包的提供者呢?” 包管理器指的是用于自动安装、升级和配置开发应用程序所需的第三方依赖项的系统或一组工具。 虽然流氓库将存储库打包存在自带的安全风险——需要对依赖关系进行适当的审查,以防止出现类型定义错误和依赖混淆攻击——但“管理依赖关系的行为通常不被视为具有潜在风险的操作” 但是,在各种软件包管理器中新发现的问题表明,攻击者可以将这些软件包武器化,诱骗受害者执行恶意代码。这些漏洞已经在以下软件包管理器中被识别出来: Composer 1.x < 1.10.23 and 2.x < 2.1.9 Bundler < 2.2.33 Bower < 1.8.13 Poetry < 1.1.9 Yarn < 1.22.13 pnpm < 6.15.1 Pip (no fix), and Pipenv (no fix) 其中最主要的漏洞是 Composer 的 browse 命令中的命令注入漏洞,这个漏洞被滥用,通过向已发布的恶意程序包插入 URL 来实现任意代码执行。 如果包利用类型定位或依赖关系混淆技术,它可能会导致这样一种情况,即运行库的浏览命令可能导致检索下一阶段的有效负载,然后该有效负载用来发动进一步的攻击。 在 Bundler、 Poetry、 Yarn、 Composer、 Pip 和 Pipenv 中发现的附加参数注入和不可信搜索路径漏洞意味着,黑客可以通过添加恶意软件的 git 可执行文件或攻击者控制的文件(如用于指定 Ruby 程序依赖项的 Gemfile)获得代码执行。 在2021年9月9日的披露之后,针对 Composer,Bundler,Bower,Poetry,Yarn 和 Pnpm 中的问题已经发布了修复程序。但是 Composer、 Pip 和 Pipenv 都受到不可信搜索路径漏洞的影响,他们选择不解决这个 bug。 “开发者是网络犯罪的香饽饽,因为他们可以访问公司的核心知识产权资产: 源代码,”Gerste 说。“攻击他们可以让攻击者进行间谍活动,或者在公司的产品中嵌入恶意代码。这甚至可能被用来实施供应链攻击。”     消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

YouTube上的 Valorant 骗局:RedLine 感染

Hackernews 编译,转载请注明出处: 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创建新账户都是很容易的。 ASEC发现的这一活动针对的是Valorant游戏社区,这是一款免费的Windows第一人称射击游戏,在视频描述中提供了一个自动瞄准机器人的下载链接。 假自动瞄准机器人(ASEC)宣传视频 据称,这些骗术是安装在游戏中的外挂,以帮助玩家快速精准瞄准敌人,不用任何技巧就能爆头。 自动瞄准机器人在 Valorant 等热门多人游戏中非常受欢迎,因为它们可以自动瞄准,玩家轻松排名进步。 植入 Redline 试图下载视频描述中的文件的玩家将被带到anonfiles页面,在那里他们会获取一个RAR存档,其中包含一个名为“Cheat installer.exe”的可执行文件。 实际上,这个文件是RedLine 信息窃取程序的副本,RedLine stealer 是最广泛使用的窃取密码的恶意软件感染之一,它从受感染的系统窃取以下数据: 基本信息:计算机名、用户名、IP地址、Windows版本、系统信息(CPU、GPU、RAM等)、进程列表 Web浏览器:密码、信用卡号码、自动填充表单、书签和Chrome、Firefox中的cookie 加密货币钱包:Armory、AtomicWallet、bitcoinore、byteccoin、DashCore、Electrum、Ethereum、LitecoinCore、Monero、Exodus、Zcash和Jaxx VPN客户端:ProtonVPN、OpenVPN、NordVPN 其他:FileZilla(主机地址、端口号、用户名和密码),Minecraft(帐户凭据,级别,排名),Steam(客户端会话),Discord(令牌信息) 在收集了这些信息之后,RedLine巧妙地将其打包到一个名为“().zip”的ZIP压缩包中,并通过WebHook API POST请求将其导出文件到一个Discord服务器。 不要相信YouTube视频中的链接 除此之外,电子游戏中的作弊行为会破坏游戏的乐趣,另外,它总归是一个潜在的严重的安全风险。 这些作弊工具都不是由可信的实体编写的,也没有数字签名(所以反病毒警告肯定会被忽略),而且很多确实是恶意软件。 ASEC的报告包含了最近的一个例子,但这只是恶意下载链接的海洋中的一小部分,它们藏在在YouTube宣传各种各样的免费软件的视频中。 宣传这些工具的视频通常是从其他地方偷来的,并在新创建的渠道上恶意转发,充当诱饵。 即使这些视频下面的评论称赞上传者,并声称该工具如宣称的那样有效,它们也不应该被信任,因为这些很容易被伪造。       消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文  

3 月份近 90% 的网络攻击是针对俄罗斯和乌克兰的

我们已经习惯了来自俄罗斯的大量网络攻击,但在乌克兰被入侵后出现了一个有趣的转变,3月份70%的网络攻击反过来都是针对俄罗斯的。Atlas VPN的研究显示,还有19%的攻击是针对乌克兰的。美国是第三大目标,但国际局势让针对该国的攻击只占总数的5%。 3月5日,随着匿名黑客宣布对俄罗斯进行全面的网络战争,共有50亿次攻击涌向俄罗斯。他们泄露了政府雇员的数据,并入侵了俄罗斯国家电视频道。 在其他发现中,全球90%的攻击使用DDoS来造成服务中断。银行和其他支付处理公司遭受了全球72%的网络攻击。商业部门是21%的攻击目标,计算机和IT部门遭受了全球2%的网络攻击,所有其他行业占5%的攻击。 你可以在Atlas VPN博客上阅读更多细节: https://atlasvpn.com/blog/nearly-90-of-cyberattacks-worldwide-are-targeting-russia-or-ukraine 以下是图形形式展现的统计数据:   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1245459.htm 封面来源于网络,如有侵权请联系删除

黑客组织 Lapsus$ 发起投票:根据结果公开公司数据

在攻破 NVIDIA 之后,嚣张的黑客组织 Lapsus$ 近日在 Telegram 上发出投票帖,通过投票结果来决定接下来公开哪家公司的数据。在投票选项中包括运营商 Vodafone 的源代码、Impresa 的源代码和数据库、MercadoLibre 和 MercadoPago 的数据库。投票将于 3 月 13 日结束。 援引 CNBC 报道称,Vodafone 表示对数据泄漏事件知情,并已着手调查黑客是如何获得这些数据的。在撰写本报告时,该投票已收到 12,700 张投票,CNBC 称 以 56% 的比例领先。在回复 CNBC 的声明中,Vodafone 表示 我们正在与执法部门一起调查这一说法,目前我们无法评论这一说法的可信度。然而,我们可以说的是,一般来说,索赔中提到的存储库类型包含专有源代码,不包含客户数据。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1245685.htm 封面来源于网络,如有侵权请联系删除

CPU 又曝大 bug,涉及英特尔、AMD、ARM

2018年,英特尔、AMD、ARM曝出CPU安全事件,引起广泛关注,舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔,还涉及AMD/ARM等厂商,且CPU 漏洞补丁基本不会给普通用户造成任何影响,但这次bug依旧被定为成行业大事件。 时隔几年,CPU又再次曝出一个大bug,有意思的是,英特尔、AMD、ARM一个也没拉下,全部都受到影响。 据外媒报道,安全人员发现了一种新方法,可以绕过现有的基于硬件的防御措施,在英特尔、AMD和ARM的计算机处理器中进行推测执行,可允许攻击者泄露敏感信息。 随后,英特尔、AMD和ARM发布公告了相关事件公告,并附上了缓解措施和更新建议,以此解决出现的CPU问题。 所谓“推测执行”,是指通过预测程序流来调整指令的执行,并分析程序的数据流来选择指令执行的最佳顺序。2018年,安全研究人员发现了一种从主动计算中获取信息的方法,并将漏洞命名为Meltdown 和 Spectre。 而后,CPU厂商纷纷发布了基于软件的缓解措施,将间接分支与推测执行隔离开来,并通过硬件修复进一步解决此类问题,例如英特尔的eIBRS和Arm的CSV2等。如今,CPU安全事件再次爆发,值得厂商们提高警惕。 绕过现有的缓解措施 近日,VUSec安全研究人员发布了技术报告,披露了一个新的Spectre类投机执行漏洞,详细介绍了一种新的攻击方法,即利用分支历史注入 (BHI) 来绕过所有现有的缓解措施。 报告强调,虽然现有的硬件缓解措施可以防止非特权攻击者向内核注入预测器条目,但是通过攻击分支全局历史将会是一种全新的攻击方法。对目标系统具有低权限的恶意攻击者可以毒化此历史记录,以迫使操作系统内核错误预测可能泄漏敏感数据。 为了进一步证明漏洞可用性,安全研究人员还发布了概念证明(PoC)测试,展示了任意内核内存泄漏,成功披露了易受攻击的系统的哈希密码。 该漏洞影响到自Haswell以来推出的任何英特尔CPU,包括Ice Lake-SP和Alder Lake。受影响的ARM CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。ARM的漏洞编号是CVE-2022-23960,Intel的漏洞编号CVE-2022-0001和CVE-2022-0002。 接下来,VUsec 准备了一篇关于新 BHI 攻击的论文,该论文将在2022年第31届USENIX安全研讨会上发表。 直线投机攻击 在与披露相吻合的消息中,grsecurity发布了漏洞详细信息和 PoC,该 PoC 可以通过新的直线推测 (SLS) 攻击方法从AMD处理器泄漏机密数据。 这种新的 SLS 变体影响了许多基于 Zen1 和 Zen2 微架构的 AMD 芯片,包括 EPYC、Ryzen Threadripper 和集成 Radeon Graphics 的 Ryzen。 AMD 已经发布了一份受影响产品的列表和一份白皮书,为编号是CVE-2021-26341的中等严重性缺陷提供了安全建议。 到目前为止,AMD 还没有看到任何在野外积极利用此安全漏洞的例子,但应用推荐的缓解措施仍然很重要。 参考来源:https://www.bleepingcomputer.com/news/security/intel-amd-arm-warn-of-new-speculative-execution-cpu-bugs/     转自FreeBuf.COM ,原文链接:https://www.freebuf.com/articles/324385.html 封面来源于网络,如有侵权请联系删除

惠普解决了 16 个影响笔记本电脑、台式机、PoS 系统的 UEFI 固件缺陷

近期,网络安全公司Binarly研究人员发现16个影响惠普企业设备的统一可扩展固件接口高危漏洞。攻击者可以利用这些漏洞植入固件,使其能够在操作系统更新后继续存在并绕过 UEFI安全启动、Intel Boot Guard和基于虚拟化的安全性。受影响的设备包括多个惠普企业设备,如笔记本电脑、台式机、销售点系统和边缘计算节点。 根据Binarly的分析,通过这些泄露的漏洞,攻击者可以在运行的系统中利用它们在固件中执行特权代码,这些代码不但在操作系统重新安装后仍然存在,且允许绕过端点安全解决方案 (EDR/AV) 、安全启动和基于虚拟化的安全隔离。” 以下是研究人员发现的漏洞列表: Binarly研究人员认为,本根原因在于缺乏利用固件的常识才是导致此次影响行业的漏洞事件的根本原因,Binarly创始人兼首席执行官Alex Matrosov说:“研究人员也表示正在努力通过提供全面的技术细节来填补这一缺陷。毕竟这对开发有效的设备安全缓解措施和防御技术至关重要。” 研究人员发现的最严重的漏洞是通过损害内存达到影响固件的系统管理模式,攻击者可以触发他们以获取最高权限执行任意代码。日前惠普已经通过2月份发布的HP UEFI固件2022年2月安全更新解决了这些缺陷。 参考来源:https://securityaffairs.co/wordpress/128838/hacking/hp-uefi-firmware-flaws.html     (封面及消息来源:FreeBuf.COM)

英特尔和 Arm 的 CPU 再被发现存在重大安全漏洞 Spectre-HBB

 BHI是一种影响大多数英特尔和Arm CPU的新型投机执行漏洞,它攻击分支全局历史而不是分支目标预测。不幸的是,这些公司以前对Spectre V2的缓解措施也无法保护BHI的威胁,尽管AMD处理器大多是免疫的。消息传出后,供应商应该很快就会发布安全补丁,而最新得Linux内核已经打了补丁。 VUSec安全研究小组和英特尔周二联合披露了一个新的Spectre类投机执行漏洞,称为分支历史注入(BHI)或Spectre-HBB。 BHI是对Spectre V2(或Spectre-BTI)类型攻击的概念重新实现的证明。它影响到任何同样易受Spectre V2攻击的CPU,即使Spectre V2的缓解措施已经实施;它可以绕过英特尔的eIBRS和Arm的CSV2缓解措施。这些缓解措施可以保护分支目标注入,而新的漏洞允许攻击者在全局分支历史中注入预测器条目。BHI可以用来泄露任意的内核内存,这意味着像密码这样的敏感信息可以被泄露。 VUSec对此的解释如下:”BHI本质上是Spectre v2的扩展,我们利用全局历史来重新引入跨权限BTI的利用。因此,攻击者的基本原理仍然是Spectre v2,但通过跨权限边界注入历史(BHI),我们可以利用部署新的硬件内缓解措施的系统(即英特尔eIBRS和Arm CSV2)。” 该漏洞影响到自Haswell以来推出的任何英特尔CPU,包括Ice Lake-SP和Alder Lake。受影响的Arm CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。 Arm的CVE ID是CVE-2022-23960,Intel使用的是CVE-2022-0001和CVE-2022-0002的ID。两家公司都发布了有关其受影响CPU的更多细节: https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/spectre-bhb 英特尔发布了关于BHI漏洞的以下声明。”正如研究人员所证明的那样,这种攻击以前在大多数Linux发行版中都被默认缓解了。Linux社区已经从Linux内核5.16版本开始实施英特尔的建议,并正在将缓解措施回传到Linux内核的早期版本。英特尔发布了技术文件,描述了那些使用非默认配置的人的进一步缓解方案,以及为什么LFENCE; JMP缓解措施在所有情况下都是不够的”。 AMD CPU似乎对BHI有免疫力。据Phoronix称,默认使用Retpolines进行Spectre V2缓解的AMD处理器应该是安全的。 供应商的安全补丁应该很快就会发布。除了安装它们之外,研究人员建议禁用无特权的eBPF支持作为额外的预防措施。Linux已经将安全更新合并到其主线内核中。这些安全缓解措施是否会影响性能尚不清楚。 VUSec的漏洞的源代码可以在这里找到: https://github.com/vusec/bhi-spectre-bhb   (消息及封面来源:cnBeta)

意大利对 Clearview AI 罚款 2000 万欧元并令其删除数据

一家欧洲隐私监督机构已经制裁了有争议的面部识别公司Clearview AI,该公司从互联网上搜刮自拍,积累了约100亿张脸的数据库,为其出售给执法部门的身份匹配服务。意大利的数据保护机构今天宣布对Clearview AI违反欧盟法律的行为处以2000万欧元罚款。 同时命令这家有争议的公司删除其持有的任何意大利人数据,并禁止其进一步处理公民的面部生物识别数据。这项调查是在 “投诉和报告”之后启动的,它说,除了违反隐私法之外,它还发现该公司一直在跟踪意大利公民和位于意大利的人。 调查结果显示,该公司持有的个人数据,包括生物识别和地理定位数据,是非法处理的,没有充分的法律依据。它发现的其他违反《通用数据保护条例》(GDPR)的行为包括透明度义务,因为Clearview没有充分告知用户它对用户自拍所做的事情。 因此,Clearview AI的活动违反了数据主体的自由,包括保护机密性和不被歧视的权利。 针对GDPR制裁,在Clearview CEO Hoan Ton-That发表的声明中,Clearview表示Clearview AI在意大利或欧盟没有营业场所,它在意大利或欧盟没有任何客户,也没有从事任何受GDPR约束的活动。它只从开放的互联网上收集公共数据,并遵守所有的隐私和法律标准。 这是欧洲隐私监督机构最强有力的执法行动,英国ICO早在去年11月就警告说可能会针对Clearview进行罚款,当时它还命令Clearview停止处理数据。去年12月,法国的CNIL也命令Clearview停止处理公民的数据,并给它两个月的时间来删除它所持有的任何数据,但没有提到经济制裁。然而,意大利是否能够从总部设在美国的实体Clearview收取2000万欧元的罚款还是一个问题。   (消息及封面来源:cnBeta)

黑客滥用 Mitel 设备将 DDoS 攻击放大40亿倍

Hackernews 编译,转载请注明出处:   研究员发现,黑客滥用高影响反射/放大方法,实施长达14小时的持续分布式拒绝服务攻击,放大率达到了破纪录的4294967296倍。 这种攻击载体被称为 TP240PhoneHome (CVE-2022-26143) ,已经被武器化,可以针对宽带接入服务提供商、金融机构、物流公司、游戏公司和其他组织发起严重的 DDoS 攻击。 Akamai 研究员 Chad Seaman 在一份联合报告中说: “大约有2600个 Mitel MiCollab 和 MiVoice Business Express 协作系统作为 PBX联网的网关被错误地部署,一个频繁使用的系统测试设施暴露在一个公共互联网上。” “攻击者主动利用这些系统发起每秒5300多万个数据包的反射/放大 DDoS 攻击(PPS)。” DDoS 反射攻击通常包括假冒受害者的 IP 地址,以重定向来自目标服务器(比如 DNS、 NTP 或 CLDAP 服务器)的响应,这种方式使得发送给假冒的发送者的答复远大于请求,导致服务完全无法访问。 攻击的第一个迹象据说是在2022年2月18日被发现的,黑客使用 Mitel 的 MiCollab 和 MiVoice 商业快递协作系统作为 DDoS 反射器,多亏一个未经认证的测试设施无意中暴露在公共互联网上,这才有了线索。 “这个特定的攻击载体不同于大多数 UDP 反射/放大攻击方法,因为暴露的系统测试设施可以被滥用,通过一个单独的仿冒攻击发起包,发动持续时间长达14小时的 DDoS 攻击,导致数据包放大比为惊人的4,294,967,296比1。” 具体来说,这些攻击将一个名为 tp240dvr (“ TP-240驱动程序”)的驱动程序武器化,这个驱动程序被设计用来监听 UDP 端口10074上的命令,“它并不打算暴露在互联网上,”Akamai 解释说,并补充道,“但正是其在互联网的暴露最终导致了它被滥用。” “对 tp240dvr 二进制文件的检查表明,由于其设计,攻击者理论上可以使该服务对单个恶意命令发出2,147,483,647个响应。每个响应在线路上产生两个数据包,导致大约4,294,967,294个放大的攻击数据包指向受害者。” 作为对这一发现的回应,Mitel在周二发布了软件更新,禁止公开访问测试功能,同时将这一问题描述为访问控制漏洞,黑客可以利用该漏洞获取敏感信息。 该公司表示: “ 对于那些使用被滥用为 DDoS 反射器/放大器的 Mitel MiCollab 和 MiVoice Business Express 协作系统的组织来说,tp-240反射/放大攻击的附带影响要引起重视。” “影响可能包括部分或全部这些系统中的语音通信中断,以及由于传输能力消耗、网络地址转换的状态表耗尽、状态防火墙等原因造成的额外服务中断。”     消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文