据The Verge报道，Facebook的母公司Meta已经提醒5万名Facebook和Instagram的用户，他们的账户被全球各地的商业“雇佣监视”计划所监视。根据Meta公司周四在新闻页面上发布的最新消息，这些用户是七个实体的目标，分布在100多个国家。 该帖子说，目标包括记者、持不同政见者、专制政权的批评者、反对派的家人和人权活动家。这些监视是在长达一个月的调查中发现的，Meta公司在调查中发现了一些间谍组织，并将它们从平台上删除。 “这些公司是一个庞大产业的一部分，它们不分青红皂白地向任何客户提供侵入性软件工具和监控服务–不管它们的目标是谁，也不管它们可能促成的侵犯人权行为，”Meta的威胁破坏主管 David Agranovich和网络间谍调查主管Mike Dvilyanski写道。“这个行业使这些威胁‘民主化’，使政府和非政府团体可以利用这些威胁，否则他们不会有这些能力。” Meta公司发布的一份更详细的威胁报告列出了七家公司中的六家，并将其中一家实体列为未知。这七家公司中的四家–Cobwebs Technologies、Cognyte、Black Cube和Bluehawk CI–位于以色列。 在提供给NPR的一份声明中，Black Cube将自己描述为一家“诉讼支持公司”，在其运营的每个司法管辖区使用符合当地法律的调查方法。Black Cube之前受雇于Harvey Weinstein ，试图阻止《纽约时报》一篇引发#MeToo运动的文章的发表。 美国国会议员Adam Schiff在一份声明中说：“Facebook披露了它为破坏和清除向侵犯人权的政权出售监控服务的七家私营公司所采取的行动，这充分说明必须采取更多措施来阻止这种雇佣市场。通过对记者和持不同政见者等进行不加区别的监视，这些公司对人权构成了明显的威胁。” Meta的报告还提到了以色列间谍软件公司NSO Group，该公司上个月被苹果和Meta起诉，原因是其出售用于泄露iPhone和WhatsApp信息的间谍软件。周三，Google研究人员公布了NSO Group开发的“零点击”漏洞的细节，只需发送一条信息就能入侵目标手机。研究人员称这种攻击能力水平可与民族国家行为者所拥有的能力相媲美。 该公司已经被美国政府列入黑名单，因为它销售用于监视世界各地记者的软件。包括Adam Schiff在内的一群立法者最近呼吁对包括NSO Group在内的一批监控公司实施更严格的制裁，冻结公司的银行账户并禁止员工前往美国等。   （消息及封面来源：cnBeta）

一场严重的勒索软件危机打乱了很多大公司的运作，一些工人则担忧无法在圣诞假期前拿到最后一笔工资。而这一切的魁首就是近期臭名昭著的 Log4Shell 攻击，这让劳务解决方案公司 Kronos 可能要面临持续数周的业务中断。这一安全事件已经影响了纽约市地铁交通局、本田公司、GameStop 等机构的人力资源运作。 一名全食超市的工作人员向 NBC 新闻透露：“我们对即将到来的星期五的工资支票真的很担心”。他说，员工们不得不使用“纸质打卡表来记录我们的工作时间”。 Kronos 私有云是一套人力资源软件，由一家名为 Ultimate Kronos Group（简称 UKG）的公司运营。最初，Kronos 没有透露问题究竟有多严重：该公司报告说，它的 Workforce Central、TeleStaff和其他服务的托管版本无法使用，并说它没有估计它们何时能恢复在线。UKG建议其客户“评估其他计划，以处理用于工资处理的时间和考勤数据”。 但第二天一早，UKG 透露，这个问题比服务中断更深：该公司说它是勒索软件攻击的受害者，说“可能需要几周时间才能完全恢复系统可用性”。它还说其备份“目前不可用”。 UKG的客户名单包括一些大型公司，包括特斯拉、GameStop、本田、Sainsbury’s、彪马、基督教青年会、米高梅度假村、丹佛市和纽约市地铁交通管理局。据报道，医疗设施也受到了影响–Honolulu 的急救中心和供水委员会使用了 Kronos，还有德克萨斯州圣安吉洛的香农医疗中心等等。   （消息及封面来源：cnBeta）

Google的安全研究人员对NSO集团的一个零点击iMessage进行了深入研究，并揭示了该公司攻击的复杂性。Google Project Zero（零点项目）指出，ForcedEntry零点击漏洞–它已被用来针对活动家和记者–是“我们所见过的技术中最复杂的漏洞之一”。 另外，它还说明了NSO集团的能力可以跟那些国家行为者相媲美。 苹果于2021年9月中旬在iOS 14.8中修补了零点击漏洞，指定为CVE-2021-30860。 该漏洞超越了所谓的一键式点击，即依靠目标点击一个链接。Project Zero指出，NSO集团开发的PegASUS软件的初始入口是iMessage的加密信息平台。研究人员写道：“这意味着只需要受害者用他们的电话号码或AppleID用户名就可以被定为目标。” 一旦消息被发送给用户，该漏洞就能依赖于iMessage接受和解码GIF图像等文件的方式的漏洞。从那里开始，它会欺骗平台打开恶意的PDF而不需要用户的任何互动。 更具体地说，确切的漏洞存在于一个用于识别图像中文本的传统压缩工具中。然而一旦被利用，它允许NSO集团的客户完全接管一部iPhone。 该攻击的复杂性的迹象超出了最初的利用。据Project Zero称，ForcedEntry甚至还建立了自己的虚拟化命令和控制环境，而不是直接与服务器进行通信，这使得它更难被发现。 像ForcedEntry这样由NSO集团制造的攻击已经被政府多次用来攻击记者、活动家和政治异见人士。至少在一个案例中，NSO集团的间谍软件被用来对美国国务院官员发起定向攻击。 苹果早在11月就起诉了NSO集团以寻求让该集团为其对iPhone用户的监控负责。12月，有报道称，在诉讼和批评的压力下，NSO集团正在考虑放弃其Pegasus间谍软件。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： 研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。 这项攻击活动已经进行了六个月，操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater，SeedWorm，或 TEMP.Zagros)有关。 这份报告来自 Symantec 的威胁猎手团队，他们收集了以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝最近发生的袭击事件的证据和工具样本。 瞄准 Exchange 服务器 攻击者似乎对易受攻击的 Exchange 服务器最感兴趣，他们将这些服务器用于 web shell 部署。 在最初的入侵之后，他们盗取帐户凭证并在企业网络中横向移动。在某些情况下，他们利用自己的立足点转向其他关联组织。尽管感染源不明，Symantec还是找到了一个名为“ Special discount program.ZIP”的 ZIP 文件，其中包含一个远程桌面软件应用程序的安装程序。 因此，攻击者可能正在向特定目标发送鱼叉式网络钓鱼邮件。 工具和方法 攻击者开始行动的第一个迹象通常是创建一个 Windows 服务，以启动一个 Windows 脚本文件(WSF) ，对网络进行侦察。 接下来，PowerShell 用于下载更多 WSFs，Certutil 用于下载隧道工具和运行 WMI 查询。 ”根据进程沿袭数据，攻击者似乎广泛使用脚本。这些可能是用于收集信息和下载其他工具的自动脚本。”Symantec的报告解释说。 “然而，在一个案例中，一个命令向 cURL 求助，这表明攻击者至少有一些动手操作键盘的行为。” 在目标组织中建立了他们的存在，攻击者使用了 eHorus 远程访问工具，这使他们能够做到以下几点: 1. 运送及(可能)运行本地安全认证子系统服务倾倒工具。 2. 提供(据信是) Ligolo 隧道工具。 3. 执行 Certutil 来请求其他目标组织的 exchangeweb 服务(EWS)的 URL。 为了转向其他电信公司，攻击者寻找潜在的 Exchange Web 服务链接，并为此使用以下命令: Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews 下面是攻击者使用的工具集的完整列表: ScreenConnect: 合法的远程管理工具 RemoteUtilities: 合法的远程管理工具 eHorus: 合法的远程管理工具 Ligolo: 反向隧道工具 Hidec：命令行工具，用于运行隐藏窗 Nping: 包生成工具 LSASS Dumper: 从本地安全认证子系统服务进程中转储凭证的工具 SharpChisel: 隧道工具 Password Dumper CrackMapExec: 公开可用的工具，用于自动化 Active Directory 环境的安全评估 ProcDump: 微软 Sysinternals 工具，用于监视应用程序的 CPU 峰值和生成崩溃转储，但也可以用作一般的进程转储工具 SOCKS5代理服务器: 隧道工具 键盘记录器: 检索浏览器凭据 Mimikatz: 公开的证书转储工具 大多数这些工具是安全进攻队通常使用的公开可用工具，因此在组织中它们可能不会引发警报。 链接至 MuddyWater 尽管来源并不确定，Symantec记录了两个 IP 地址，这两个地址与之前  MuddyWater 攻击中使用的基础设施相同。 此外，这个工具集还与Trend Micro的研究人员报告的2021年3月的攻击有几个相似之处。 尽管如此，许多伊朗政府支持的攻击者使用现有的公开工具，并定期更换基础设施，因此，目前还无法确定真正的幕后黑客。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据称，用于攻击记者、人权活动家和被压迫者使用的iPhone的Pegasus（飞马座）间谍软件背后的安全公司NSO集团，正在考虑通过关闭有关项目来摆脱丑闻的影响。总部设在以色列的NSO集团在发现其Pegasus间谍软件被政府滥用后，面临着相当大的批评和影响，以至于它显然正在寻求完全退出这一局面。 彭博社的匿名消息来源称，该公司已经与投资基金讨论了可能的再融资或出售该公司。Moelis & Co公司的顾问正在与NSO集团合作处理此事，而未透露姓名的贷款人则由Willkie Farr & Gallagher公司的律师提供咨询。 虽然身份不明，但潜在的买家包括一对美国基金，它们将在交易后控制并关闭PegASUS。作为回报，这些基金理论上将向NSO集团提供约2亿美元的资金，这可能有助于重新关注该公司的知识产权和技术，使其成为一家纯粹的防御性安全公司，也可以扩大其无人机技术工作。 NSO的审议是在美国商务部将该公司列入黑名单之后进行的，尽管NSO声称其”技术支持美国国家安全利益和政策”。苹果公司也起诉了NSO集团，阻止其使用其产品和服务。 Pegasus利用iOS中的各种漏洞，在iPhone上安装侵入性间谍软件，该软件旨在供政府和执法部门用来对付犯罪分子。在发现它被一些专制政府用来对付潜在的批评者后，它成了一桩丑闻。 这家安全公司还处于需要偿还约4.5亿美元债务的境地。NSO在2019年发放的一笔贷款在11月的交易价格为每美元70美分，但周一的出价为每美元50美分。 NSO的收入已经比2018年下降了8%，2021年的销售额预计将在2.3亿美元左右。随着Pegasus的关闭，这一收入预计将被削减一半。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： 窃取信息的恶意软件TinyNuke在一项针对法国用户的新攻击中重新出现，该攻击向企业和从事制造、技术、建筑和商业服务的个人发送账单陷阱的电子邮件。 此攻击的目标是窃取凭据和其他私人信息，并在受损系统上安装额外的有效负载。 TinyNuke 的重新出现 TinyNuke恶意软件活动最早出现在2017年，在2018年活动最为频繁，然后在2019年大量减少活动，在2020年几乎消失。 在2021再次发现恶意软件部署的新攻击令人惊讶，但并非完全出乎意料。 Proofpoint一直关注这些活动，根据其研究人员的说法，这种重新出现通过两类不同的活动表现出来，分别是C2基础设施有效载荷和陷阱诱惑。 这也可能表明恶意软件由两个不同的攻击者使用，一个与TinyNuke最初的操作者相关，另一个与通常使用商业工具的操作者相关。 最后，TinyNuke与2018年的PyLocky分发或任何其他勒索软件感染没有相似之处。 托管在合法站点上的有效负载 攻击者通过合法的法国网站来托管有效负载URL，而可执行文件则被伪装成无害的软件。 对于C2通信，最近的攻击活动使用Tor，这与其中一个字符串“nikoumouk”使用的方法相同， 而“nikoumouk”在这些通信中使用的方法与2018年的分析中发现的俚语相同，我们可以进一步将该攻击活动与最初的攻击者联系起来。 “Proofpoint研究人员发现字符串“nikoumouk”被发送到C2服务器，但目的不明。根据信息共享合作伙伴和开源信息，攻击者在2018年以来的C2通信活动中使用了该字符串，”Proofpoint的报告解释道。 “该字符串在流行阿拉伯语中含侮辱意思，主要用于欧洲讲法语的郊区。” 在当前的攻击活动中，电子邮件包含下载ZIP文件的URL。这些ZIP文件包含一个JavaScript文件，该文件将执行PowerShell命令以下载和执行TinyNuke恶意软件。 就功能而言，TinyNuke loader可以通过Firefox、Internet Explorer和Chrome的表单抓取和web注入功能窃取凭据，还可以安装其他有效负载。 通过添加一个新的注册表项来保证持久性，如下所示: Persistence is secured by adding a new registry key as shown below: key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82 data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe Μise en garde 虽然正在进行的攻击活动使用特定的诱饵，攻击者可以更新他们的信息，以呈现新的受害者。此外，如果有新的攻击者使用TinyNuke，这可能意味着原始作者在暗网上出售它，或者它的代码可能在几年前在GitHub上发布后独立流通。不管怎样，它的部署次数可能会增加更多，针对目标部署的电子邮件诱饵的范围可能会变得非常广泛。 因此，保持警惕和避免点击嵌入式按钮是非常重要的，一旦点击嵌入式按钮，将导致网站托管恶意可执行压缩文件。由于这些站点在其他方面是合法的，您的Internet安全解决方案可能不会引起任何警告，因此需要您极端谨慎。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在本周一的电话简报中，网络安全和基础设施安全局（CISA）局长 Jen Easterly 告诉行业领导者，近期曝光的 Apache Log4j 漏洞破坏力即便不是最严重的，但也是她整个职业生涯中遇到的最严重漏洞之一。她表示：“我们预计该漏洞将被复杂的行为者广泛利用，我们只有有限的时间来采取必要的措施，以减少损害的可能性。该问题是一个未经认证的远程执行漏洞，可能允许入侵者接管受影响的设备”。 在与关键基础设施所有者和运营商的通话中，CISA 漏洞管理办公室的 Jay Gazlay 表示数以亿计的设备将会受到影响。作为国土安全部的一个组成部分，CISA 最快将在周二建立一个专门的网站，以提供信息并打击“积极的虚假信息”。该机构负责网络安全的执行助理主任 Eric Goldstein 说该漏洞将“允许远程攻击者轻松控制他们利用该漏洞的系统”。 该行业简报是世界各地政府官员发出的最新警报，CISA 在周末与奥地利、加拿大、新西兰和英国等国一起发出了警告。Goldstein说，CISA预计各种攻击者都会利用这一漏洞，从加密者到勒索软件集团，甚至更多。他说：“目前还没有证据表明存在积极的供应链攻击”。 Gazlay 说，企业需要“持续的努力”才能变得安全，即使在应用了 Apache 的补丁之后，也需要勤奋更新。Gazlay 说：“没有任何单一的行动可以解决这个问题”。如果认为任何人“在一两个星期内就能解决这个问题”，那是一个错误。   （消息及封面来源：cnBeta）

虽然概念验证代码是上周四发布的，但有证据表明已经有黑客在 2 周前利用 Log4Shell 漏洞发起攻击了。根据 Cloudflare 和 Cisco Talos 的数据，第一批攻击是在 12 月 1 日和 12 月 2 日观察到的。 虽然大规模的攻击利用是在上周末开始的，但这一启示意味着安全团队需要扩大他们的事件响应调查，为了安全起见针对他们的网络检查要追溯到 11 月初。目前，滥用 Log4Shell 漏洞的攻击仍然是温和（tame）的–如果这个词甚至可以用来描述对安全漏洞的滥用。 大量的攻击来自于专业的密码挖掘和 DDoS 僵尸网络，如 Mirai、Muhstik 和 Kinsing，它们通常在所有人之前率先利用任何有意义的企业漏洞。但在周末的一篇博客文章中，微软表示，它开始观察到 Log4Shell 被用来部署网络外壳和Cobalt Strike信标（后门）的第一个实例。 CISA、NSA和一些网络安全公司在过去一年中多次警告说，网络外壳和Cobalt Strike信标的组合通常是民族国家集团和勒索软件团伙在攻击中部署的第一个工具，因此，虽然未经证实，但如果我们在今天结束前得到第一个滥用Log4Shell的勒索软件集团，不要感到惊讶。 现在，对易受Log4Shell漏洞影响的互联网连接系统的扫描绝对是通过屋顶。安全公司Kryptos Logic周日表示，它检测到超过10,000个不同的IP地址探测互联网，这是上周五探测Log4Shell的系统数量的100倍。 并非所有这些流量都是坏的，因为也有白帽安全研究人员和安全公司在寻找易受攻击的系统，但大的情况是，威胁者已经闻到了血腥味，IT管理员应该看看他们基于Java的系统是否有易受Log4Shell攻击。   （消息及封面来源：cnBeta）

Google 正起诉两名俄罗斯人，称他们操纵着一个复杂的僵尸网络发起了多次攻击，该网络已经悄悄地渗透到全球 100 多万台 Windows 机器中。在设备被感染之后，僵尸网络就会窃取用户的证书和数据，秘密挖掘加密货币，并设置代理，通过受感染的机器和路由器输送其他人的互联网流量。 图片来自于 internetsecurity 在一份提交给纽约南区美国地方法院的诉状中，Google 称俄罗斯国民德米特里·斯塔罗维科夫（Dmitry Starovikov）和亚历山大·菲利波夫（Alexander Filippov）是 Glupteba 僵尸网络的两个主要操作者，并列举了据称他们创建的 Gmail 和 Google Workspace 账户来帮助他们运作犯罪企业。 Google 声称，两名被告利用僵尸网络（被描述为“现代的、无边界的有组织犯罪的技术体现”），包括盗窃和未经授权使用 Google 用户的登录和账户信息。它要求 Starovikov 和 Filippov 支付赔偿金，并永久禁止使用 Google 服务。 Google 表示自 2020 年以来一直在追踪 Glupteba 僵尸网络，到目前为止，它已经感染了全球约 100 万台 Windows 机器，并且每天都在以数千台新设备的速度增长。一旦设备被感染，通常是欺骗用户通过第三方“免费下载”网站下载恶意软件–僵尸网络就会窃取用户的证书和数据，秘密挖掘加密货币，并设置代理，通过受感染的机器和路由器输送其他人的互联网流量。 Google在其投诉中补充说：”在任何时候，Glupteba 僵尸网络的力量都可能被用于强大的勒索软件攻击或分布式拒绝服务攻击。除了对所谓的 Glupteba 僵尸网络发起诉讼外，该公司的威胁分析小组（TAG）已经观察到该僵尸网络以美国、印度、巴西、越南和东南亚的受害者为目标。Google 宣布它已经与互联网托管服务提供商合作，破坏了该僵尸网络的关键指挥和控制（C2）基础设施。这意味着其运营商不再控制该僵尸网络，尽管Google警告说，由于Glupteba使用区块链技术作为一种弹性机制，它可能会卷土重来。   （消息及封面来源：cnBeta）