Hackernews 编译，转载请注明出处：消息来源： 网络犯罪分子正在向网站联系表格和论坛发送垃圾邮件，以分发 Excel XLL 文件，而它会下载和安装 RedLine 恶意软件，用于密码和信息窃取。 RedLine 是一种信息窃取木马程序，它会窃取存储在 Web 浏览器中的 cookie、用户名和密码以及信用卡，以及受感染设备的 FTP 凭据和文件。 除了窃取数据，RedLine 还可以执行命令、下载和运行更多恶意软件，以及进行 Windows的屏幕截图。 所有这些数据都被收集并发送回攻击者那里，之后在犯罪市场上出售或用于其他恶意和欺诈活动。 在过去的两周里，BleepingComputer 的联系表格收到多次垃圾邮件，其中包含不同的网络钓鱼诱饵，如虚假广告请求、节日礼物和网站促销。 在对诱饵进行研究后，BleepingComputer 发现这是一项针对许多使用公共论坛或文章评论系统的网站的大规模活动。 在 BleepingComputer 发现的一些网络钓鱼诱饵中，攻击者创建了虚假网站来托管用于安装恶意软件的恶意 Excel XLL 文件。 例如，有一次攻击使用了以下垃圾邮件和一个模仿合法 Plutio 网站的虚假网站。   其他垃圾邮件伪装成付款报告、广告请求或礼品指南，其中包含指向托管在 Google 云端硬盘上的恶意 XLL 文件的链接，如下所示。 特别有趣的是针对网站所有者的诱饵，这种诱饵会请求在他们的网站上做广告并要求他们查看合约的条款，这会启动恶意“terms.xll”文件，并安装恶意软件。 把你网站上的广告位卖给我们，起价500美元/n你可以在下面的链接中阅读我们的条款 Https://drive.google /file/d/xxx/view? usp = sharing BleepingComputer 还收到了其他的诱饵邮件，如下所示： 感谢您使用我们的应用程序。您的付款已被批准。点击下面的链接可以看到您的付款报告：  https://xxx [ . ] link/report.xll   谷歌刚刚公布了2021年最热门的100件礼物，我赢得了一万美元。你也想要吗? 阅读和接受条款 Https://drive.google /file/d/xxx/view? usp = sharing 这些垃圾邮件活动旨在推送恶意 Excel XLL 文件，这些文件会在受害者的 Windows 设备上下载并安装 RedLine 恶意软件。 XLL 文件是一个插件，允许开发人员通过读取和写入数据、从其他源导入数据或创建自定义函数来执行各种任务来扩展 Excel 的功能。 XLL 文件只是一个包含一个“xlAutoOpen”函数的DLL 文件，在加载项打开时由 Microsoft Excel 执行。   BleepingComputer 和安全研究机构 TheAnalyst一起进行了测试，讨论这次攻击，我们做得测试并没有正确加载 XLL 文件，但它们可能适用于其他版本的 Microsoft Excel。 但是，使用 regsvr32.exe 命令或“rundll32 name.xll,xlAutoOpen”命令手动执行 DLL 会将 wget.exe 程序解压缩到%UserProfile% 文件夹，并使用它从远程站点下载 RedLine 二进制文件。     这个恶意的二进制文件保存为% UserProfile% JavaBridge32.exe [ VirusTotal] 然后被执行。一个注册自动运行条目也将被创建，每次受害者登录 Windows都会自动启动信息窃取软件 ReadLine。     一旦恶意软件被执行，它将搜索有价值的数据来窃取，包括存储在 Chrome、Edge、Firefox、Brave 和 Opera 浏览器中的凭据和信用卡。 由于 XLL 文件是可执行文件，攻击者可以使用它们在设备上执行各种恶意行为。因此，如果你收到这个文件，除非它来自受信任的来源，否则你绝不能打开它。 这些文件通常不作为附件发送，而是通过另一个程序或通过您的 Windows 管理员安装。 因此，如果您收到分发这些类型文件的电子邮件或其他消息，只需删除该消息并将其报告为垃圾邮件即可。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员对市场上主流的 9 款热门路由器进行了测试，即便运行最新的固件版本，还是发现了总计 226 个漏洞。本次测试的路由器品牌包括 Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology 和 Linksys，并被数百万人使用。 IoT Inspector 的研究人员与 CHIP 杂志合作进行了安全测试，重点是主要由小公司和家庭用户使用的型号。 就漏洞数量而言，排在前列的是 TP-Link Archer AX6000，有 32 个缺陷；以及 Synology RT-2600ac，有 30 个安全漏洞。 IoT Inspector 的首席技术官兼创始人 Florian Lukavsky 通过电子邮件告诉 BleepingComputer：“对于 Chip 的路由器评估，供应商向他们提供了主流型号，这些型号被升级到最新的固件版本”。 IoT Inspector 自动分析了这些固件版本，并检查了 5000 多个 CVE 和其他安全问题。他们的发现表明，许多路由器仍然容易受到公开披露的漏洞的影响，即使使用最新的固件，如下表所示： 虽然不是所有的缺陷都有相同的风险，但该团队发现了一些影响大多数测试机型的常见问题。 ● 固件使用过时的 Linux 内核 ● 过时的多媒体和VPN功能 ● 过度依赖旧版本的BusyBox ● 使用弱的默认密码，如”admin” ● 以纯文本形式存在的硬编码凭证 IoT Inspector 的首席执行官 Jan Wendenburg 指出，确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码。他表示：“在第一次使用时更改密码，并启用自动更新功能，必须成为所有物联网设备的标准做法，无论设备是在家里还是在企业网络中使用”。 研究人员没有公布很多关于他们发现的技术细节，只有一个关于提取D-Link路由器固件图像的加密密钥的案例。该团队找到了一种方法，在 D-Link DIR-X1560 上获得本地权限，并通过物理 UART 调试接口获得 shell 权限。 接下来，他们使用内置的 BusyBox 命令转储了整个文件系统，然后找到了负责解密程序的安装文件。通过分析相应的变量和函数，研究人员最终提取了用于固件加密的AES密钥。 利用该密钥，威胁者可以发送恶意的固件图像更新，以通过设备上的验证检查，有可能在路由器上植入恶意软件。这种问题可以通过全盘加密来解决，这种加密可以保证本地存储的图像的安全，但这种做法并不常见。   （消息及封面来源：cnBeta）

网络犯罪分子正不断提高技术方式，寻找利用用户并获取其个人数据的新方法。过去，欺骗用户提供敏感信息最常见的方式就是网络钓鱼攻击，伪装成可靠的来源并要求提供用户的数据。不过根据思科 Talos 威胁情报组织的最新安全报告，作为从不知情的用户那里获取信息的有效方法，一种新的恶意活动已经越来越受到重视。 这种方法叫做“恶意广告”（malvertising），Talos 情报组织认为，一个被称为“Magnat”的特定活动利用欺诈性的在线广告来欺骗那些正在搜索合法软件安装程序的用户。思科威胁情报团队认为，Magnat 活动可能在 2018 年底开始，目标是加拿大、美国、澳大利亚和其他几个欧洲国家的用户。 一旦用户被引导到欺诈性下载，他们就会运行一个假的安装程序，将三个不同的恶意软件部署到他们的系统。虽然假安装程序开始安装多个恶意软件组件，但它并没有安装用户最初搜索的实际应用程序。 第一款恶意软件是一个密码窃取器，用于收集用户凭证，通常通过一个被称为 Redline 的普通工具。另一个恶意软件，称为 MagnatBackdoor，通过微软远程桌面设置对用户设备的远程访问。这种访问，结合由 Redline（或类似工具）窃取的用户凭证，可以提供对用户系统的不受约束的访问，尽管它是安全和防火墙。第三款恶意软件是一个被称为 MagnatExtension 的 Chrome 浏览器扩展，它被用于键盘记录，获取敏感信息的屏幕截图等。 2021年8月的一条推文提供了一个可疑的恶意广告活动的截图和下载样本。Talos分析了推文中提到的样本，并验证了至少一个样本包含MagnatBackdoor、MagnatExtension和Redline恶意软件组件。 Talos认为Magnat工具经过几年的发展和改进，并没有很快放缓的迹象。安装包的名称不断变化，通常参考流行的应用程序的名称，以增加可信度，并欺骗用户部署该包。过去软件包名称的例子包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe和 battlefieldsetup_76522.exe。   （消息及封面来源：cnBeta）

周三晚间，有黑客从连接到去中心化金融平台 BadgerDAO 的多个加密货币钱包中窃取了价值 1.2 亿美元的各种代币。目前 Badger 已经和区块链安全和数据分析公司 Peckshield 合作调查本次事件。 目前相关的调查仍在进行中，不过 Badger 团队基于初期的调查结果告诉用户，这个问题来自于有人在其网站的用户界面中插入了一个恶意脚本。对于任何在脚本激活时与网站互动的用户，它将拦截 Web3 交易并插入一个请求，将受害者的代币转移到攻击者选择的地址。 由于交易的透明性，我们可以看到一旦攻击者扑空后发生了什么。PeckShield 指出，有一次转账将 896 个比特币拖入攻击者的库房，价值超过 5000 万美元。根据该团队的说法，恶意代码早在 11 月 10 日就出现了，因为攻击者在看似随机的时间间隔内运行它以避免被发现。 去中心化金融（DeFi）系统依靠区块链技术，让加密货币所有者进行更典型的金融操作，如通过借贷赚取利息。BadgerDAO 向用户承诺，他们可以“高枕无忧地知道你永远不必放弃你的加密货币的私钥，你可以随时提款，而且我们的战略家正在日夜工作，让你的资产发挥作用”。其协议允许拥有比特币的人通过其代币将他们的加密货币”桥接”到以太坊平台上，并利用他们可能无法获得的DeFi机会。 Badger 在发现这些未经授权的转移之后，它就暂停了所有的智能合约，基本上冻结了它的平台，并建议用户拒绝向攻击者的地址进行所有交易。周四晚上，该公司表示，它已经“聘请了数据取证专家 Chainalysis 来探索事件的全部规模，美国和加拿大的当局已经被告知，Badger 正在与外部调查充分合作，并继续进行自己的调查”。   （消息及封面来源：cnBeta）

援引《华盛顿邮报》报道，发生于今年 10 月的勒索软件攻击中，黑客获取了包含数十万名洛杉矶计划生育协会患者个人信息的文件。在致受影响患者的致歉信中，计划生育协会表示该文件包含患者的姓名、地址、保险信息、出生日期和临床信息，如诊断、手术和/或处方信息。 计划生育协会表示，该机构网络是在 10 月 9-17 日之间感染勒索软件的。17日，该组织注意到了这一入侵，将其系统下线，并联系了执法部门和网络安全调查人员。据 CNN 报道，到 11 月初，该组织已经确定了黑客访问的内容，但对攻击的实施者仍然一无所知。 洛杉矶计划生育协会的一位发言人告诉《华盛顿邮报》，这些信息似乎没有被“用于欺诈目的”，并告诉 CNN，这似乎不是一次有针对性的攻击。但是，如果黑客选择出售这些数据，鉴于其极其敏感的性质，这些数据可能很有价值–计划生育协会不仅提供堕胎服务，还提供生育控制、性病检测和对变性患者的激素治疗，以及其他一系列医疗服务。据 CNN 报道，这些数据只限于洛杉矶的计划生育协会。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处：消息来源： 仅在2020年上半年就发现了四种不同的用于攻击实体隔离（air-gapped）网络的恶意框架，此类工具包的总数达到17个，并为黑客提供了网络间谍和机密信息外泄的可乘之机。 “所有的框架都被设计成执行某种形式的间谍活动，所有的框架都使用 USB 驱动器作为物理介质，在目标实体隔离网络中传输数据,”ESET 研究人员 Alexis Dorais-Joncas 和 Facundo Muñoz 在一份对这些框架的综合研究报告中说。 实体隔离是一种网络安全措施，旨在通过物理隔离系统与其他不安全的网络，包括局域网和公共互联网，防止未经授权访问系统。这也意味着传输数据的唯一方法是使用物理设备连接，例如 USB 驱动器或外部硬盘。 鉴于该机制是 SCADA 和工业控制系统(ICS)采取防御的最常见方式之一，受到机构支持或参与国家行动的 APT 组织越来越多地将目光投向关键基础设施，希望利用恶意软件渗透实体隔离的网络，以监视有价值的目标。 这家斯洛伐克网络安全公司表示，不少于75% 的框架是利用 USB 驱动器上的恶意 LNK 或 AutoRun 文件对实体隔离系统的初步破坏，或者在实体隔离网络中横向移动。 Some frameworks that have been attributed to well-known threat actors are as follows — 以下是一些众所周知的攻击者的框架: Retro ( DarkHotel 又名 apt-c-06或 Dubnium) Ramsay  (DarkHotel) USBStealer ( APT28 ，又名 sedinit，Sofacy，或 Fancy Bear) USBFerry ( Tropic Trooper ，又名 apt23或Pirate Panda） Fanny  ( Equation Group  ) USBCulprit  ( Goblin Panda ，又名 Hellsing 或 cycdek) PlugX  ( Mustang Panda ) ，以及 Agent.BTZ ( Turla Group ) 研究人员解释说: “所有的框架都设计了自己的方式，但它们都有一个共同点: 毫无例外，它们都使用了武器化的 USB 驱动器。”。“连接框架和离线框架之间的主要区别在于驱动器是否是武器化的。” 连接框架通过在连接系统中部署恶意组件来工作，该系统监视新 USB 驱动器的插入，并自动将攻击代码放置在气隙系统中，而像 Brutal Kangaroo、 EZCheese 和 ProjectSauron 这样的离线框架则依靠攻击者先感染自己的 USB 驱动器来从后门攻击目标机器。 作为预防措施，携带关键信息系统和敏感信息的组织应该谨防对连接系统的直接电子邮件访问，禁用 USB 端口和清理 USB 驱动器，限制可移动驱动器上的文件执行，并定期分析气隙系统中是否有任何可疑活动的迹象。 “保持一个完全实体隔离系统可以提供了额外的保护,” Brutal Kangaroo说。“但是，就像所有其它安全机制一样，实体隔离不是一种万灵药，也不能防止黑客利用系统更新不及时或员工不良操作导致的漏洞。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国司法部本周宣布，伴随着现年 22 岁的密苏里州居民加勒特·恩迪科特（Garrett Endicott）被判刑，知名国际黑客组织“The Community”所有 6 名成员均已落网并判刑。他们此前曾施行了 SIM 卡劫持活动，从受害者手中窃取了价值数百万美元的加密货币。 图片来自于 publicdomainpictures Endicott 因参与该活动被判处 10 个月监禁，并被命令支付 121549 美元的赔偿金。SIM 劫持，也被称为 SIM 交换，是一种攻击者控制目标电话号码的技术，允许他们接收短信和其他形式的双因素认证（2FA）代码，然后可以用来登录受害者的电子邮件，云存储，并最终登录他们的加密货币交易所账户。 据检察官称，在 The Community 的案件中，SIM 卡劫持活动“通常是通过贿赂移动电话供应商的员工来促成的”。其他时候，SIM卡劫持是通过社区成员联系移动电话供应商的客户服务–冒充受害者–并要求将受害者的电话号码换成社区控制的SIM卡（从而控制移动设备）来完成的。 该计划导致数千万美元的加密货币被盗。来自美国各地的个人，包括加利福尼亚州、密苏里州、密歇根州、犹他州、德克萨斯州、纽约州和伊利诺伊州，损失的加密货币价值（在被盗时）从2000美元以下到500万美元以上。司法部表示，被判刑的被告人涉及的盗窃总额从大约5万美元到超过900万美元不等。 Endicott 被判处的刑罚比社区的其他成员要轻。佛罗里达州居民Ricky Handschumacher被判处四年监禁，并被罚款760多万美元；爱荷华州居民Colton Jurisic被判处42个月监禁，并被命令支付950多万美元；南卡罗来纳州居民Reyad Gafar Abbas被判处两年监禁并被罚款31万多美元。 爱尔兰公民康纳-弗里德曼（Conor Freedman）此前被爱尔兰法院判处三年监禁，而康涅狄格州居民瑞安-史蒂文森（Ryan Stevenson）被判处缓刑。两人都被命令支付某种形式的赔偿金。   （消息及封面来源：cnBeta）

Hackernews编译，转载请注明出处： Cannazon是最大的大麻购买暗网交易市场之一，在上周遭受了 DDoS攻击后关闭。 正如管理员在一条签有 PGP 密钥的消息中解释的那样，他们正式下线了，并声称没有对他们的供应商进行退出诈骗。 管理员在2021年11月23日发布了这条消息，29日，Cannazon下线了，据说是永远下线了。   一次DDoS攻击导致网站关闭   本月初，该网站遭到了大规模的分布式拒绝服务攻击，这在暗网市场并不少见。 管理员减少了订单数量，并让市场部分下线一段时间暂缓情况，但这在社区中引起了轰动，用户担心即将到来的退出骗局。 因为管理员处理事件的方式缺乏透明度，网站关闭声明给用户道歉，声明如下: “我们非常抱歉，最后几天我们不得不隐瞒事实。在我们看来，这是防止一些供应商跑路、伤害各位和社区的最佳方式。”网站管理员的关闭声明如是说。 “如果某个供应商未能成功获得所有签名的比特币多重信息交易，他可以通过一条加密信息获得这些信息，这条信息将于本周晚些时候发布在 Dread 上。” 公告由Cannazon管理员发布 随着 Cannazon 的关闭，其他网站使用 Cannazon 的名字再创建在一个新的 Tor 地址也不足为奇。然而，新建的网站很可能目的是想要欺骗原网站的会员。 当一个知名的大型暗网平台下线时，虚假克隆网站的出现再正常不过了。   为什么这是个坏主意   如果你认为借助 vpn 或 Tor 保持匿名，并从暗网购买大麻是规避你们国家毒品法律的一种简单方法，那么你就忽略了其中涉及的大量风险。 首先，包括 Cannazon 和 CannahHome 在内的大多数平台都是会员制的。因此，所有用户在注册时都会给出一些部分信息。如果他们的服务器最终落入执法部门手中，买家就会被识别出来。 其次，即使在管理员承诺高水平交易安全的市场中，下订单时被骗的可能性总是很高。 第三，运送给你的任何毒品都可能含有危险的有毒物质，或者货品与你购买的完全不同。因此，食用它们可能会对你的健康造成严重的风险。 最后，在网上购买毒品在许多国家是非法的，并可能导致罚款和牢狱之灾。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Squirrelwaffle的常规操作是发送恶意垃圾邮件回复现有电子邮件链，今天我们要调查它利用 Microsoft Exchange Server 漏洞（ProxyLogon 和 ProxyShell）的策略。 9月，Squirrelwaffle 作为一种新的加载器出现，并通过垃圾邮件攻击传播。它向已存在的电子邮件链回复恶意邮件，这种策略可以降低受害者对恶意行为的防范能力。为了实现这一点，我们认为它使用了 ProxyLogon 和 ProxyShell 的开发链。 Trend Micro 应急响应团队调查了发生在中东的几起与 Squirrelwaffle 有关的入侵事件。我们对这些攻击的最初访问做了更深入的调查，看看这些攻击是否涉及上述漏洞。 我们发现的所有入侵都来自于内部微软 Exchange 服务器，这些服务器似乎很容易受到 ProxyLogon 和 ProxyShell 的攻击。在这篇博客中，我们将对这些观察到的初始访问技术和 Squirrelwaffle 攻击的早期阶段进行更多的阐述。       更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1764/ 消息来源：Trendmicro，封面来自网络，译者：Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Hackernews编译，转载请注明出处： 今年，借助一个叫做 Tardigrade 的恶意软件装载器，一个 APT攻击了 两家生物制造公司。 生物经济信息共享与分析中心(BIO-ISAC)发布了一份公告，其中指出，恶意软件正在整个行业中广泛传播，它们的目的可能是盗窃知识产权，保证持续性，并用勒索软件感染系统。 今年春天，一家不知名的生物制造设施被勒索软件攻击，BIO-ISAC 随后开始进行调查。该公司表示，Tardigrade 是一种复杂的恶意软件，具有“高度自主性和变形能力”。2021年10月，这个恶意软件被用来攻击第二个实体。 这些“快速扩散”的入侵行为还不知道背后主使者是哪个攻击者或某个国家，但该机构告诉 The Hill ，这些行为与之前一个与俄罗斯的黑客组织的攻击行为相似。 Tardigrade 通过钓鱼邮件或受感染的 USB 驱动器传播，是 SmokeLoader 的一个高级分支。 SmokeLoader 是一个基于 windows 的后门，由一个名为 Smoky Spider 的组织操作，早在2011年就可以在地下市场上销售，SmokeLoader 拥有捕捉击键、通过受损网络横向移动以及升级特权的能力。 此外，该恶意软件还充当了额外恶意软件有效载荷的入口点，即使在与其C2服务器断开连接以实施其恶意攻击的情况下，该恶意软件也能自主运行。 生物制造行业的企业最好进行一下软件更新，加强网络分割，并测试关键生物基础设施的离线备份，以减轻黑客攻击带来的影响。 ”由于变形行为，这种恶意软件极难检测到。”研究人员表示，对关键人员的企业计算机保持警惕非常重要。他们补充说，“该领域的许多机器使用的是过时的操作系统。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接