据外媒报道，美国第三大手机运营商T-Mobile最近完成了跟Sprint的260亿美元合并并在2020年底宣布了今年的第二次数据泄露。这家手机巨头在其网站上发布的一份通知中称，它最近发现一些客户的账号信息遭到了未经授权的访问，包括T-Mobile为提供手机服务而收集和制作的客户数据。 这些数据被称为客户专有网络信息(CPNI)，包括通话记录，如何时通话、通话时间时长、每次通话的呼叫者的电话号码和目的电话号码以及可能在客户账单上找到的其他信息。 不过该公司表示，黑客没有访问姓名、家庭或电子邮件地址、财务数据和账户密码（或pin码）。 通知没有说明T-Mobile何时发现了漏洞，只能说它现在正在通知受影响的用户。 T-Mobile的一位发言人并未回复记者的置评请求，但他告诉一家新闻网站，此次事件影响了T-Mobile约0.2%的用户–也就是约20万名用户。 这是近年来攻击这个手机巨头的最新一起网络安全事件。 2018年，T-Mobile表示多达200万用户的个人信息可能被窃取。一年后，该公司证实黑客入侵了另外100万个预付费用户的记录。就在2020年的几个月前，T-Mobile承认其电子邮件系统遭到入侵，黑客入侵了一些T-Mobile员工的电子邮件账户并曝光了一些客户数据。           （消息及封面来源：cnBeta）

援引《纽约时报》报道，SolarWinds 被黑事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息，大约有超过 250 家美国联邦机构和企业受到影响。 微软表示，黑客入侵了 SolarWinds 的 Orion 监控和管理软件，从而让他们能够冒充该组织现有的任意用户和帐号，包括拥有高级别权限的账户。纽约时报报道称，疑似有俄罗斯政府背景的黑客组织利用供应链的层级来访问这些机构的系统。 纽约时报在报道中指出，美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。此外，报道中还指出在今年总统大选期间，政府还利用了 SolarWinds 的资源和技术来进行检测，从而让黑客躲过了美国国土安全部门的检测。 本周早些时候，微软发现多个系统被渗透，其中不仅仅只是 SolarWinds 恶意代码。黑客能够 “查看一些源代码库中的源代码”，但授予访问权限的黑客账户并没有修改任何代码或系统的权限。 不过一个好消息是，微软发现“没有证据表明生产服务或客户数据被访问”，“没有迹象表明我们的系统被用来攻击他人”。         （消息及封面来源：cnBeta）

超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死（hardcoded）的管理员后门帐号，能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。 这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的，被认为是最糟糕的漏洞，建议设备拥有者在时间允许的情况下尽快更新系统。 安全专家警告说，从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙，任何人都可以滥用这个后门账户来访问脆弱的设备，并转入内部网络进行额外的攻击。 据悉，Zyxel 大部分主打产品均存在这个漏洞，受影响的产品型号包括：“Advanced Threat Protection (ATP) 系列：主要用于防火墙 Unified Security Gateway (USG) 系列：主要用于混合防火墙或者 VPN 网关 USG FLEX 系列：主要用于混合防火墙或者 VPN 网关 VPN 系列：主要用于 VPN 网关 NXC 系列：主要用于 WLAN 接入点控制” 这些设备很多都是在公司网络的边缘使用，一旦被入侵，攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询，NXC系列的补丁预计将在2021年4月推出。 在安装补丁之后，Eye Control 表示可以删除后门帐号–用户名为“zyfwp”，密码为“PrOw!aN_fXp”。 研究人员表示，该账户拥有设备的root权限，因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。           （消息及封面来源：cnBeta）  

自12月初以来，一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露，这个多平台的恶意软件还具有蠕虫功能，可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。 自首次发现该蠕虫以来，背后的攻击者一直通过其命令和控制（C2）服务器积极更新该蠕虫的功能，这暗示着该蠕虫依然是一个积极维护的恶意软件。 C2服务器用于托管bash或PowerShell滴管脚本（取决于目标平台），一个基于Golang的二进制蠕虫，以及部署的XMRig矿工，以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币（门罗币）。 该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器，就会部署加载器脚本（Linux的ld.sh和Windows的ld.ps1），该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。 如果恶意软件检测到受感染的系统正在监听52013端口，它将自动杀死自己。如果该端口未被使用，蠕虫将打开自己的网络套接字。 要防御这种新的多平台蠕虫发动的蛮力攻击，网络管理员应该限制登录条件，并在所有暴露在互联网上的服务上使用难以猜测的密码，以及尽可能使用双因素认证。       （消息来源：cnBeta；封面来自网络）  

黑客正在分发一种新的以AutoHotkey（AHK）脚本语言编写的凭据窃取程序，这是自2020年初开始的攻击活动的一部分。 美国和加拿大银行用户是黑客的主要目标，特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。 AutoHotkey是Microsoft Windows的一种开源自定义脚本语言，旨在为宏创建和软件自动化提供简单的热键，允许用户在任何Windows应用程序中自动执行重复的任务。 多阶段感染链始于一个嵌入了Visual Basic for Applications（VBA）AutoOpen宏的带有恶意软件的Excel文件，该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。 下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。 该恶意软件下载并执行AHK脚本以完成不同的任务，而不是直接从C&C服务器接收命令。 Trend Micro的研究人员表示：“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露，特别是向其他研究人员或沙盒披露。” 其中最主要的是针对各种浏览器（比如Google Chrome、Opera、Microsoft Edge等）的凭证窃取程序。一旦安装，窃取程序会尝试在受感染的机器上下载SQLite模块（“sqlite3.dll”），使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。 最后，窃取程序从浏览器收集并解密凭证，并通过HTTP POST请求以明文形式将信息导出到C&C服务器。 恶意软件组件“在代码级别上组织得很好”，其中包含的使用说明（用俄语编写）可能意味着攻击链的背后存在一个“雇佣黑客”组织。 研究人员总结：“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言，加载恶意组件并频繁更改C&C服务器，黑客就能隐藏其恶意意图。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

FBI在近日发布的公共服务公告中表示：”黑客正在劫持安全性较弱的智能设备，通过家庭监控设备进行swatting攻击。” 黑客使用了之前在网上泄露用户名和密码，向执法部门举报，谎称受害者正在进行犯罪活动。 当执法部门到达住所时，黑客通过摄像头和扬声器监视警察，黑客有时还在共享在线社区平台上直播事件。这类 “swatting “事件的数量近年来在美国各地有所增加，更有甚者因警察误射毙命。 已知最早的“swatting”事件可追溯到2010年中期。如今的案件和起初的案件的区别在于，最初的设备并没有被黑客攻击。黑客会找出在网上直播婚礼、教会等活动，通过Discord机器人和暗网的服务拨打匿名电话报警。 FBI表示，为了应对数量激增的相关案件，他们现在正与设备供应商合作，并建议用户设置高强度密码。此外，FBI还提醒相关执法部门的快速响应。每个账户应使用高强度密码，并尽可能使用双重认证。             （消息来源：cnBeta；封面来源于网络）

12月初，我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。 该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务：密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中，该蠕虫还尝试利用WebLogic的最新漏洞：CVE-2020-14882。 在我们的分析过程中，攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态，并且可能在将来的更新中针对其他弱配置的服务。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1440/         消息来源：intezer，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软表示，日前SolarWinds黑客正部署Solorigate后门，以破坏相关用户的云基础架构。 Microsoft 365 安全团队透露，SolarWinds供应链攻击幕后黑客旨在利用Sunburst / Solorigate后门感染受害者网络，进而破坏用户的云基础架构。 微软表示：“黑客可以随意挑选目标受众群体。根据调查，此网络攻击的下一阶段涉及本地活动，其目标是非本地访问云资源。” 一旦部署后门，黑客就可以窃取凭据、提升特权并在目标网络内获得创建有效SAML的权限，进而来访问云资源并窃取电子邮件及相关敏感数据。   专家表示：“这种网络攻击是具有极强的的隐身能力，因此我们很难发现相关活动。”  基于此，CISA和网络安全公司Crowdstrike都发布了用于审核Azure和MS 365安全环境的免费工具。           消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

近日，网络安全和基础设施安全局（CISA）的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。 CISA发帖声明：“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具，供相关事件响应者使用，且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面，以获取更多信息和检测对策。 Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块，在MSAzure / M365中审核日志中是否存在某些IoC，列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。 基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况，CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。             消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

近日，日本川崎重工披露了一项安全漏洞，该公司发现多个海外办事处未授权访问日本公司服务器，该安全漏洞可能导致其海外办事处的信息被盗。 川崎重工有限公司是一家日本的跨国公司，主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶，也涉及工业机器人、燃气轮机、锅炉和其他工业产品的生产。 公司发布声明：“截止2020年6月11日，安全人员发现从泰国站点未经授权访问日本服务器的情况，随后又发现了从其他海外站点（印度尼西亚、菲律宾和美国）未经授权的访问日本服务器的情况。” 该公司随后加强了对海外办事处访问的监控操作，还限制了从国外对日本服务器的访问。 11月30日，公司恢复了海外办事处与日本总部之间终止的网络通信。 川崎重工有限公司表示：“经过调查，海外办事处的相关信息可能已被泄露。” 自发现该漏洞以来，川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前，还未发现泄露信息的证据。 除此之外，国防承包商Pasco、神户制铁和 三菱电机等日本知名企业在今年也受到了类似的网络攻击。               消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c