芬兰国会议员表示：“芬兰议会技术监控部门发现，芬兰议会在2020年秋天遭受了网络攻击，此次攻击活动可能导致议员的电子邮件帐户遭到入侵。” 2020年秋天同一时刻，与俄罗斯有关的黑客访问了部分挪威议会代表的电子邮件数据。 芬兰中央刑警（KRP）正在议会的支持下调查安全漏洞。根据KRP专员Tero Muurman的说法，这次攻击互活动很可能是民族主义者开展的，目前未对议会的基础设施造成损害。“此次攻击活动影响广泛，但不幸的是，我们仍无法提供确切的数字。” 芬兰议会会长AnuVehviläinen表示，此次事件针对芬兰社会民主的恶意攻击活动。“我们不能接受任何形式的针对政府或非政府机构的网络攻击活动，” 她补充说，“为了加强网络安全，我们需要采取相关国家措施，配合欧盟和其他国际合作中的积极行动。”         消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞，在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示，用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞（CVE-2020-10148），该漏洞可能允许黑客执行未经身份验证的攻击API命令，从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示，黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止，我们仍不清楚相关漏洞的细节。 在过去的一周中，Microsoft透露黑客可能正在滥用SolarWinds的Orion软件，在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点，他们都将其描述为.NET Web Shell：一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件，但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出：“SUPERNOVA的新颖之处在于：在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果，并汇总全球入侵活动。 为了修复身份验证绕过漏洞，安全专家建议用户将SolarWinds Orion Platform更新至最新版本： 2019.4 HF 6（2020年12月14日发布） 2020.2.1 HF 2（2020年12月15日发布） 2019.2 SUPERNOVA补丁（2020年12月23日发布） 2018.4 SUPERNOVA补丁（2020年12月23日发布） 2018.2 SUPERNOVA补丁（2020年12月23日发布）       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

WeLeakInfo是一种现已失效的在线服务网站，曾出售其他网站被入侵数据的访问权。 英国国家犯罪局（NCA）表示，该网站的用户利用被盗个人凭据进一步实施了网络犯罪。 在被捕的21名男子（18至38岁之间）中，有9人因涉嫌违反《计算机滥用法》而被拘留，9人涉嫌欺诈罪，另外3人正在接受调查。NCA还从犯罪嫌疑人身上查获了价值41,000多英镑的比特币。 今年1月初，美国联邦调查局（FBI）、NCA、荷兰国家警察总队、德国Bundeskriminalamt和北爱尔兰警察局共同攻破了WeLeakInfo的域。 该网站的服务于2017年推出，为用户提供搜索引擎，用户可访问从10,000多个数据泄露事件中非法获取的个人信息，其中包含超过120亿索引的被盗凭证，涉及姓名、电子邮件地址、用户名、电话号码和账户密码等信息。   最重要的是，WeLeakInfo提供了订阅计划：允许在一天（2美元）、一周（7美元）、一个月（25美元）或三个月的订阅期间无限搜索和访问这些数据泄露的结果。 订阅费用使入门级黑客都可以访问该网站，以每天低至2美元的价格获取大量数据缓存，并利用这些信息发起网络攻击活动。 在该域名于1月被查封后，两名22岁男子因经营该网站而被捕，其中一人在荷兰、另一人在北爱尔兰。 NCA表示，一名犯罪嫌疑人还购买了其他网络犯罪工具，例如远程访问特洛伊木马（RAT）和加密程序，另外三名犯罪嫌疑人藏有不雅儿童照。 NCA的Paul Creffield表示：“人们在多个站点上设置的重复密码为黑客提供了便利。因此，密码设置非常重要。”       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

俄罗斯加密货币交易所Livecoin在平安夜在其官方网站上发布消息，声称自己被黑客攻击，失去了对部分服务器的控制，并警告客户停止使用其服务。根据社交媒体上的帖子，攻击似乎发生在12月23日到12月24日之间的夜晚。黑客似乎已经控制了Livecoin的基础设施，然后继续将汇率修改为巨大且不现实的数值。 在12月24日晚间，Livecoin管理员设法夺回部分系统的访问权之前，比特币汇率已经从常规的2.3万美元/BTC膨胀到超过45万美元/BTC，以太币从600美元/ETH增长到1.5万美元，瑞波币价格从0.27美元/XRP增长到超过17美元/XRP。 汇率被修改后，神秘攻击者就开始兑现账户，产生巨额利润。 在其网站上发布的消息中，Livecoin管理员将这一事件描述为 “精心策划的攻击，正如我们假设的那样，在过去的几个月中已经准备好了”。 “我们失去了对所有服务器、后台和节点的控制。因此，我们无法及时停止服务。我们的新闻频道也受到了影响。”该公司说。 “目前，我们部分控制了前台，因此我们能够放置这个公告，”它补充道。Livecoin现在敦促用户停止存款，并通过网站的API和移动应用程序等其他接口进行交易。 正如大多数加密货币黑客所发生的那样，一些用户认为整个黑客事件根本就是内鬼自导自演，Livecoin表示，他们已经通知了当地执法部门。 根据CoinMarketCap的数据，Livecoin被列为互联网上第173家加密货币交易所，日交易额约为1600万美元，该网站自2014年3月以来一直活跃。         （消息来源：cnBeta；封面来源于网络）

美国密歇根州东区检察官办公室详细介绍了一项名为“Operation Nova”的国际执法工作，该行动的目标是一项被指控支持犯罪分子的 “防弹”VPN服务。这项工作是由FBI、欧洲刑警组织和其他机构联合开展的，德国罗伊特林根警察总部负责协调这项行动。 在“Operation Nova”行动中，执法机构共同进行了取缔工作；它针对的是一个被指控为犯罪分子提供“防弹托管服务”的运营。行动中查封了三个域名，包括“insorg.org”、“safe-inet.com”和“safe-inet.net”。这些网站现在呈现的是被执法部门查封的通知。 除其他外，美国司法部将 “防弹托管服务 “描述为：“…可能包括忽略或编造借口，以回应客户的受害者提出的滥用投诉； 将客户账户或数据从一个IP地址，服务器或国家转移到另一个IP地址，以帮助他们逃避检测； 不保存日志（因此，没有任何日志可供执法部门审查）。通过提供这些服务，防弹主机明知故犯地支持客户的犯罪活动，成为犯罪计划的共犯。” 官员们在谈到“Operation Nova”行动时介绍说，据称在网络上发生的犯罪活动有接管账户、勒索软件、电子窃取数据泄露和鱼叉钓鱼等。据报道，支持是以英语和俄语两种语言“高价提供给黑社会犯罪组织”的。 国际执法机构关闭了与被查封域名有关的服务器，美国当局也关闭了与位于美国的服务器有关的服务器。     （消息及封面来源：cnBeta）

2020年8月，Group-IB发布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告描述了网络犯罪组织UltraRank的活动，该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。 2020年11月，我们发现了新一轮的UltraRank攻击。攻击者没有使用现有的域进行新的攻击，而是改用新的基础架构来存储恶意代码并收集拦截的支付数据。 在UltraRank的新活动中，我们发现了12个被JavaScript-sniffer感染的电子商务网站。 这次，JS sniffer的代码使用了Radix模糊处理。然后，攻击者使用了SnifLite家族的sniffer。由于受感染网站的数量相对较少，攻击者最有可能使用了CMS管理面板中的凭据，而这些凭据又可能被恶意软件或暴力攻击破坏。 在最近的一系列攻击中，UltraRank模仿合法的Google Tag Manager域将恶意代码存储在网站上。研究发现，攻击者的主服务器由Media Land LLC托管，该公司与一家防弹托管公司有联系。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1438/       消息来源：group-ib，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，泄露的任天堂文件显示，一名正在研究3DS掌上游戏机漏洞的黑客遭到了可怕的监视行动。除了监控他的私人生活–包括他的教育方面、离开家的时间和他去的地方，这家公司都会从其工作的地方跟踪目标以迫使他停止活动。保护企业知识产权的间谍项目在世界各地都有在持续进行，但很少有行动细节泄露给公众。 然而对于任天堂来说不幸的是，相关信息被曝光，根据泄露的文件显示，成为这家公司的主机黑客的目标是一件多么可怕的事情，即使这些目标已经声明他们的工作不是为了盗版目的而设计的。 泄露文件披露了任天堂警方式的监视行动 在过去的24小时里，各种Twitter账号发布了最近从任天堂泄露的文件片段。虽然有许多有趣的项目，但最令人震惊的发现涉及了一名叫做Neimod的黑客，他曾在几年前发现了3DS掌机的漏洞。 当然，像任天堂这样的公司对Neimod这样的人的作品产生浓厚兴趣也并不奇怪。任天堂的文档将他描述为一位“技艺高超的硬件工程师”且“在任天堂产品的黑客领域享有很高的声誉”。 然而，泄露的文件还详细披露了这家游戏巨头准备如何阻止他的工作。 例如，文件揭露了深入挖掘Neimod教育状况的个人剖析、列出了他的工作生活细节，同时还提供了物理窥探他日常生活方式的证据，如什么时候能在家里找到他、谁来见他甚至他去银行和餐馆之类的地方等信息也都能找到。 有关拦截目标的详细行动计划 根据任天堂的计划，针对Neimod的行动始于2013年4月15日左右，其团队在当地一家酒店开会讨论并敲定他们的计划。在回顾了Neimod前一周的活动之后，该团队决定在哪里和何时进行接触–例如下班后或在家。 在一名监视Neimod的卧底调查人员负责搞清楚他下班的时间的情况下，“联络小组”被要求以友好、不具威胁性、专业和礼貌的方式接近目标Neimod。 在跟Neimod开始交谈之后，团队被要求奉承这个黑客，承认他的工程/编程天赋。另外他们还被告知，要提到他不会“促进盗版”发展的声明目的，但也要指出任天堂的担忧–公布了他的黑客行为可能就会促进这一点的发展。 无论Neimod同意还是拒绝，任天堂都做好了应对准备。由Eclipse-TT发布到Twitter上的幻灯片显示了一个流程图。 任天堂表示，如果双方能达成合作，它可以避免提起刑事诉讼。它还可能跟Neimod签订“赏金”合同，为发现和记录漏洞而支付报酬。在一定范围内，他的发现仍可以向公众公布，但要让他保留吹嘘权利。该公司写道，这可能有助于提升任天堂的形象。 只有当侵入性监控行动的细节远离公众视线时才有可能长期显著提升公众形象。然而现在随着Hacker Enforcement Proposal的全面泄露，这对任天堂来说可能会变得有点困难。 另一方面，这也可能也会让黑客停下来思考或将他们推向更糟糕的境地。         （消息及封面来源：cnBeta）

经过将近两个月的休整之后，Emotet僵尸网络复苏，并开展了每天数十万个网络攻击活动。 Emotet僵尸网络于2014年以银行木马的身份诞生，并发展成提供全方位服务的威胁传递机制。它可在受害者计算机上安装一系列包括信息窃取者、电子邮件收集器、自我传播机制等恶意软件。该僵尸网络最近一次出现是在10月份，目标群体是民主党全国委员会（DNC）志愿者。五个月的中断之后，它在7月重新活跃，并丢弃了Trickbot木马。2月份的一次竞选活动中，有人发现了来自受害者银行的短信。 Cofense研究人员布拉德·哈斯（Brad Haas）在星期二的博客中说：“Emotet僵尸网络后是恶意电子邮件活动最多的发件人之一，但通常一次休眠数周或数月。” “今年，这种中断从2月持续到7月中旬，这是Cofense在过去几年中看到的最长的中断。从那以后，他们观察到整个十月底的Emotet僵尸网络活动正常，直到今天都没有新的案例。” 研究人员说，僵尸网络在有效载荷方面也始终如一。在十月份，最常见的辅助负载是TrickBot、Qakbot和ZLoader，而今天我们观察到的是TrickBot。 TrickBot恶意软件是众所周知的复杂木马，于2016年作为银行恶意软件首次开发，与Emotet一样，它具有自我转换和添加新功能 以 逃避检测 或增强其感染能力的历史。感染了TrickBot木马的用户的设备将成为僵尸网络的一部分，黑客可使用该僵尸网络加载第二阶段的恶意软件，研究人员称其为“几乎所有其他恶意软件有效负载的理想丢弃程序”。TrickBot感染的典型后果是银行帐户被接管、高额电汇欺诈和勒索软件攻击。它最近实现了旨在检查目标系统的UEFI / BIOS固件的功能。微软和其他公司于10月对恶意软件的基础架构进行拆除之后，该恶意软件却严重复苏。 Proofpoint在Twitter上指出： “我们看到了相关英文、德文、西班牙文、意大利文并受密码保护的zip和URL的线程劫持的带有Word附件的诱饵。” Proofpoint威胁研究高级主管Sherrod DeGrippo说：“我们的团队仍在审核新样品，到目前为止，我们只发现了微小的变化。例如，Emotet二进制文件现在被用作DLL而不是.exe。当Emotet运行时，我们每天会观察到数十万封电子邮件。”她指出：“我们通常会看到Emotet在12月24日至1月初停止运营。如果他们继续这种模式，那么最近的活动对他们来说将是短暂而罕见的。” 研究人员同时指出，“黑客在不同的网络诱饵之间交替变化，以使社会工程学用户能够使用包括COVID-19主题的宏。尽管缺乏重大发展，该恶意软件的复兴仍应引起人们的注意。” 鉴于今年的严峻形势，安全人员建议相关组织和个人应提高警惕，并继续采取相关保护措施。         消息及封面来源：Threat Post；译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞，并私下向供应商报告，在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度，它有时还会以宽限期的形式提供额外的天数。在过去几年中，在厂商无法及时修补后，谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。 访问漏洞细节： https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。现在，它公开披露了Windows中的一个安全漏洞，如果被人利用，会导致权限提升。 谷歌 “零号项目 “安全人员表示，恶意进程可以向splwow64.exe Windows进程发送本地过程调用（LPC）消息，攻击者可以通过它向splwow64内存空间中的任意地址写入任意值。这本质上意味着攻击者控制了这个目标地址和任何被复制到该地址的内容。 这个漏洞并不完全是新的。事实上，卡巴斯基的一位安全研究人员在今年早些时候就报告了这一问题，微软早在6月份就打了补丁。不过，这个补丁现在已经被Google Project Zero的Maddie Stone认定为不完整，他表示，微软的修复只会改变指向偏移量的指针，这意味着攻击者仍然可以使用偏移量值来攻击它。 9月24日，Google Project Zero私下向微软报告了零日的情况，标准的90天期限将于12月24日到期。微软最初计划在11月发布修复程序，但该发布时间段随后滑落到12月。之后，它告诉谷歌，它在测试中发现了新的问题，现在它将在2021年1月发布一个补丁。 12月8日，双方开会讨论了进展和下一步的计划，其中确定不能向微软提供14天的宽限期，因为该公司计划在2021年1月12日的补丁周二发布补丁，比宽限期多出6天。Project Zero团队计划在明年再次重新审视政策，但已经公开披露了该漏洞与概念验证代码。技术报告还不清楚这影响到哪些版本的Windows，但卡巴斯基几个月前的报告显示，攻击者一直在利用它来攻击新版本的Windows10。       （消息来源：cnBeta；封面来源于网络）

据外媒报道，日前，GoDaddy对其员工进行了一个钓鱼邮件测试，结果约有500名员工没有通过。据悉，测试中的邮件声称他们将获得650美元的假期奖金。这封邮件是由Happyholiday@Godaddy.com发送，包裹在一片闪闪发光的雪花banner下，上面则印着GoDaddy Holiday Party的字样。 这封邮件于当地时间12月14日发给数百名GoDaddy员工的。 “虽然我们不能在年度节日聚会上一起庆祝，但我们想表达我们的感谢并分享650美元的一次性假期奖金！”邮件写道，“为确保您能及时获得一次性假期奖金，请在12月18日周五之前选择您的地点并填写详细信息。” 然而两天后，该公司又发了一封电子邮件。“你收到这封邮件是因为你没有通过我们最近的钓鱼测试，”该公司的首席安全官Demetrius Comes写道，“你需要重新接受安全意识社会工程培训。” 网络钓鱼测试是由公司发送，用来评估员工是否容易受到网络钓鱼攻击，公司外的人会试图伪装成可信来源以获取敏感信息如用户名和密码。 总部位于斯科茨代尔的GoDaddy是全球最大的域名注册商和网络托管公司。 今年早些时候，《福布斯》报道称，2.8万名GoDaddy客户的账户用户名和密码因数据泄露而受到影响。 尽管该公司今年的客户超过2000万并报告了创纪录的客户增长，但该公司在新冠大流行期间解雇或重新分配了数百名员工，包括亚利桑那州、爱荷华州和德克萨斯州的员工。 GoDaddy并不是今年第一家以潜在奖金的方式作为诱饵诱骗员工陷入网络钓鱼骗局的公司。 今年9月，在全美拥有多家主流报纸的Tribune Publishing也向其员工发送了一封类似的电子邮件。 对此，该公司的几名员工表示愤怒，他们在Twitter上转发了这封邮件并称：“这种钓鱼尝试是多么得荒谬和多么得悲哀。”         （消息及封面来源：cnBeta）