据外媒体报道，近日，有黑客窃取了英国一家大型整容连锁店– Hospital Group的数据并威胁要公布患者手术前后的照片和其他细节。Hospital Group目前已经证实遭到了勒索软件的攻击。该公司表示，其已将此事告知信息专员(Information Commissioner)。 黑客组织REvil在其暗网网页上表示，顾客的照片并不完全是令人愉快的景象。它声称已经获得了超过900G的病人照片。 遭到网络攻击的Hospital Group–也被称为Transform Hospital Group–声称是英国减肥和美容手术的领先者。 据悉，它拥有11家专门从事减肥手术、隆胸、乳头矫正和鼻子调整的诊所。 该公司此前曾通过名人代言来宣传自己，不过已经有好几年没有这样做了。 前Big Brother选手Aisleyne Horgan-Wallace 2009年曾向Zoo杂志透露了她在Hospital Group做过丰胸手术。Atomic Kitten歌手Kerry Katona、《无耻之徒》女演员Tina Malone和真人秀《The Only Way is Essex》明星Joey Essex也都曾是该诊所的病人。 Hospital Group在一份声明中说道：“我们可以证实我们的IT系统已经遭遇了数据安全漏洞。虽然我们所有病人的支付卡信息都未被泄露，但在现阶段，我们了解到一些病人的个人数据可能已被访问。” 该公司表示，他们已经向所有客户发送了有关此次网络攻击的电子邮件并将联系可能有更多个人信息被泄露的个人。 勒索软件是最常见的网络攻击形式之一。它通常涉及黑客进入计算机网络、对文件进行加密或将用户锁定在系统之外直到被攻击一方支付赎金。 针对这种现象，执法机构不鼓励受害者支付赎金，因为这样做会助长犯罪团伙的犯罪火焰。 网络安全公司EMSIsoft估计，在2020年，这种迅速发展的网络犯罪形式为犯罪分子带来了250亿美元的收入。 REvil–也被称为Sodinokibi–是最多产的勒索软件组织之一。备受瞩目的受害者包括货币交易所Travelex和娱乐律师事务所Grubman Shire Meiselas & Sacks。       （消息来源：cnBeta；封面来自网络）

在微软今年 6 月发布的更新中，修复了存在于 Windows 系统中的一个高危漏洞，允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用，不过近日谷歌 Project Zero 团队使用公开的概念证明，表示这个问题依然存在，只是方法有所不同。 谷歌 Project Zero 安全研究员 Maddie Stone 发现，微软 6 月份的补丁并没有修复原来的漏洞(CVE-2020-0986)，经过一些调整后，该漏洞仍然可以被利用。2020 年 5 月，该问题与 Internet Explorer中的一个允许远程代码执行的 BUG 一起被黑客利用进行权限升级。在卡巴斯基发现攻击时，这两个缺陷都是零日。 Stone 表示，攻击者现在仍然可以通过发送偏移量而不是指针来触发CVE-2020-0986，将权限增加到内核级别。在Twitter上，研究人员阐明说，最初的bug是一个任意的指针误引，允许攻击者控制memcpy函数的 “src “和 “dest “指针。 但是微软的修复补丁是不恰当的，因为微软只是将指针改为偏移，所以函数的参数仍然可以被控制。在今天的一份简短的技术报告中，她解释了如何触发该漏洞，现在确定为CVE-2020-17008。 一个低完整性的进程可以发送LPC消息到splwow64.exe（中等完整性），并在splwow64的内存空间中获得 write-what-where 权限 。攻击者通过memcpy调用控制目标、复制的内容和复制的字节数。       （消息来源：cnBeta；封面来源于网络）

本周二，欧洲刑警组织（Europol）宣布联合多国执法机构开展了 Operation Nova 活动，关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器，从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务，主要用于隐藏身份。 据欧洲刑警组织称，这项服务可以隐藏客户的 IP 地址，并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年，它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码，以及其他攻击，如网络钓鱼活动和账户接管。 欧洲刑警组织在公告中写道：“这种VPN服务被高价卖给了犯罪团伙，作为避免执法拦截的最佳工具之一，提供多达5层的匿名VPN连接”。这些机构没有宣布对该VPN提供商或其任何客户进行任何逮捕或指控。然而，拿下VPN服务很可能会让使用该服务的犯罪分子更难继续行动，至少目前来看是这样的。 网络安全专家表示，在无法抓住网络犯罪分子或完全关闭其业务时，这种做法是有意义的，也符合各大科技公司采取的行动。例如，微软在12月查封了SolarWinds黑客事件中使用的网络域名，以阻止一场大规模的恶意软件活动。 在查获Safe-Inet的服务器之后，警方发现全球已有250个企业受到犯罪集团的监控，也立即警告这些企业，要求它们多加防范，以免受到勒索软体之类的网路攻击。         （消息及封面来源：cnBeta）

近日，有密码学专家提出了一个有关苹果 iPhone 智能机的一套理论。首先，即便有着定期推送的 iOS 补丁和增强保护措施，但执法机构仍可轻易闯入用户设备。其次，苹果公司日渐强大的加密技术，所能保护的数据量却少于以往。作为对 ACLU 诉请 FBI 揭示有关 iPhone 破解方式的回应，约翰·霍普金斯信息安全研究所助理教授 Matthew Green 于本周三通过 Twitter 发表了他的最新观点。 据悉，该理论基于 Matthew Green 带领的两名学生 Maximilian Zinkus 和 Tushar M. Jois 的相关研究。即执法机构无需攻破 iPhone 上最强大的加密算法，因为并非所有用户数据都受到这方面的保护。 Matthew Green 补充道，取证工具开发公司不再需要攻破苹果的安全加密区芯片（Secure Enclave Processor），毕竟这么做的难度非常高。 后来他和学生们想到了一个可行的方案，并且推测出了政府与执法机构是如何从锁定的 iPhone 中提取数据的。（详细的文章会在假日后公布） 据悉，iPhone 可处于首次解锁前的 BFU 模式、以及解锁后的 AFU 模式。最初打开设备电源并输入密码时，设备可进入 AFU 状态。 随着用户输入 Passcode，iPhone 也将同步导出保留在内存中、并用于加密文件的不同密钥集。当用户再次锁定其设备时，它也不会转入 BFU 模式、而是维持在 AFU 状态。 Matthew Green 指出，在用户再次解锁其设备前，只有一组加密密钥被从 iPhone 的内存中清除。 被清除的密钥集，正好属于解密特定保护级别的 iPhone 文件子集。而保留在内存中的其它密钥集，则可用于解密其它所有文件。 基于此，执法机构只需利用已知的软件漏洞来绕过 iOS 的锁屏保护措施，即可在后续解密大多数文件。加上以普通权限运行的代码，取证工具还可像合法应用程序那样访问数据。 尴尬的是，由苹果官方文档可知，最强的加密保护等级，似乎仅适用于邮件和应用启动数据。这样即便与 2012 年的同类情况进行比较，苹果在用户数据的安全保护上反而还倒退了。 最后，除了 iOS，Matthew Green 还指出了 Android 移动设备上存在的类似情况。这位密码学教授表示：“手机加密无法从根本上拦截别有用心的攻击者”。       （消息来源：cnBeta；封面来自网络）

在跟踪Lazarus组织的活动时，我们发现他们最近瞄准了与COVID-19相关实体。9月底，他们袭击了一家制药公司。此外，他们还袭击了与COVID-19有关的政府部门。而且，每一次攻击都使用了不同的战术、技术和程序（TTP）。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1437/         消息来源：securelist，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国网络安全基础设施和安全局（CISA）警告称，Treck开发的一个低级TCP/IP软件库存在严重漏洞，远程攻击者可以运行任意命令并发动拒绝服务（DoS）攻击。 这四个漏洞影响Treck TCP/IP Stack 6.0.1.67及更早版本，其中两个漏洞的等级为严重。 Treck的嵌入式TCP/IP Stack部署在全球制造业、信息技术、医疗保健和运输系统中。 其中最严重的是Treck HTTP服务器组件中的基于堆的缓冲区溢出漏洞（CVE-2020-25066），该漏洞允许攻击者重置目标设备或使其崩溃，甚至执行远程代码。它的CVSS得分是9.8分（最高10分）。 第二个漏洞是IPv6组件（CVE-2020-27337，CVSS评分9.1）中的越界写入，未经身份验证的用户可利用该漏洞通过网络访问造成DoS。 其他两个漏洞涉及IPv6组件中的越界读取（CVE-2020-27338，CVSS得分5.9），未经身份验证的攻击者可能会利用该漏洞导致DoS。同一模块中的输入验证错误漏洞（CVE-2020-27336，CVSS得分3.7）可能导致越界读取（通过网络访问最多读取三个字节）。 Treck建议用户更新到6.0.1.68版本。在无法应用最新补丁的情况下，建议使用防火墙以过滤掉HTTP报头中包含负内容长度的数据包。 在Treck TCP/IP Stack出现新漏洞的6个月前，以色列网络安全公司JSOF发现了名为Ripple20的软件库中的19个漏洞，这可能使攻击者在不需要任何用户交互的情况下获得对目标物联网设备的完全控制。 此外，本月早些时候，Forescout的研究人员发现了33个漏洞，统称为“AMNESIA：33”。这些漏洞可能导致TCP/IP Stack被滥用，使得攻击者可以控制易受攻击的系统。 考虑到复杂的物联网供应链，该公司发布了一种名为“project-memoria-detector”的新检测工具，以确定目标网络设备是否在实验室环境下运行易受攻击的TCP/IP Stack。 该工具可以通过GitHub访问。         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

据外媒报道，美国根据金融犯罪执法局(FinCEN)拟议的新规，政府追踪比特币交易将可能会变得更加容易。虽然政府目前开放了15天的评论期，但加密货币交易所Coinbase和电子前沿基金会(EFF)对此表示不满，因为这段时间还包括了平安夜、圣诞节、新年前夜和元旦。 据了解，这个备受争议的私人钱包法规是在美国东部时间12月18日下午4点20分被提出。根据这项新规，如果交易者通过私人钱包进行的交易金额超过3000美元那么其必须证明其就是该钱包的所有者。如果想跟其他拥有私人钱包的人做生意那么则需要告诉交易所一些非常详细的个人信息。交易所随后会被要求存储所有这些记录并在要求时提供这些记录。此外，根据拟议的规例，如果交易者在一天内的交易总额超过10,000元，那么交易所亦须上报其个人资料。 这对于加密货币来说显然是一种天大的讽刺，这种货币诞生于一个由自由主义者、无政府主义者和乌托邦主义者组成的群体，它承诺将成为一种在不可信系统中进行绝对私密交易的方式。比特币–这个世界上最大的加密货币–在2008年金融危机之后出现并作为银行的替代品，但现在这些新规定将使得加密货币交易所的行为更像是银行。跟另一项关于国际交易的规则变化相一致，这可能意味着加密货币的疯狂时代已经结束–匿名交易将更难找到。 加密货币交易所可以很容易地从美元或其他货币转移到加密货币，反之亦然，这也意味着更多的人可以接触到加密货币。然而FinCEN现在的提议却让这些交易所和在其中运营的人工作量变多，同时还将削弱让加密货币闻名的匿名性。 EFF指出，这会带来一些具体的后果。首先，在私人钱包和由交易所服务托管的钱包之间的交易中匿名变得更加困难；其次，拟议中的立法还降低了拥有私人钱包的吸引力。不过第三个问题才是真正的麻烦：包括比特币在内的一些加密货币需公开记录所有交易。这意味着，如果交易者从交易所将比特币交易到自己的私人钱包中那么必须要发送一串关于该钱包的识别信息，然后美国政府可能会获得这些信息。EFF写道，这意味着“政府可能获得了超出规定范围的大量数据。” 因此，比特币–一种旨在确保匿名性的加密货币在这些规则下将完全被置于相反的境地。当然交易者可能可以通过某些方式绕过它们。 Coinbase首席法律顾问Paul Grewal于昨日在给FinCEN的回应中抱怨了对这一新规的评论时间–“FinCEN只给公众提供了15天的评论期，这还跨越了平安夜、圣诞节、新年前夜、新年且还处于全球大流行期间–这给评论只留了极少的实际工作日。” Coinbase认为相关部门应该提供60天的审查期–这是惯例。而美财政部之所以将审查期限缩短至15天是因为它认为重大的国家安全要务意味着必须加快行动。 无论是15天还是60天的期限，美财政部似乎在试图向任何可能成为密码朋克的人传递一个信息：你无法打败现有的金融世界–你能做的只有加入它。         （消息及封面来源：cnBeta；）

今年早些时候，我们观察到网络犯罪组织TeamTNT使用XMRig加密货币矿工攻击暴露的Docker API。TeamTNT使用窃取Amazon Web Services（AWS）secure shell（SSH）凭证和用于传播的自我复制行为开展攻击。 TeamTNT的最新攻击涉及到该组织自己的IRC（互联网中继聊天）bot。IRC bot被称为TNTbotinger，能够进行分布式拒绝服务（DDoS）。 需要注意的是，攻击者首先必须在初始目标机器上执行远程代码（RCE），然后才能成功地对系统发起攻击。攻击者可以通过利用错误配置问题、滥用未修补的漏洞、利用脆弱或重复使用的密码、密钥或泄漏的凭据等安全缺陷来执行RCE。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1436/         消息来源：trendmicro，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

12月22日，来自美国、德国、荷兰、瑞士、法国的执法机构，以及欧洲刑警组织的欧洲网络犯罪中心（EC3）宣布关闭Safe Inet。这是一种流行的虚拟专用网络（VPN）服务，曾用于协助犯罪活动。 犯罪活动所涉及的三个域名——insorg[.]org、safe inet[.]com和safe inet[.]net被关闭，其基础设施被查封，这是一项名为“Operation Nova”的联合调查的一部分。 欧洲刑警组织称Safe Inet是网络罪犯的“最爱”。 这些域名在协助勒索软件、网页掠夺、鱼叉式钓鱼和账户接管攻击方面发挥了核心作用。 这些服务支持俄语和英语，已经活跃了十多年，它为网站访问者提供“防弹托管服务”，对黑社会来说代价高昂。 截至12月1日，Pro订阅的费用在1.3美元/天到190美元/年之间，可以完全访问其整个服务器名单。 防弹托管（BPH）也被称为抗滥用服务，它不同于常规的web托管，因为它允许内容提供商更加方便地托管在这些服务器上的数据类型，从而更容易逃避执法。 根据网络安全公司Trend Micro今年10月的一项分析，防弹主机利用各种方式维持其翼下的犯罪活动，并能够在全球范围内战略性地分配资源，牢记地区法律和地理特征。众所周知，它们可以最大限度地减少有用的日志文件的数量，并且只能从匿名来源（例如Tor网络）访问系统。 “这种活动可能以借口回应受害者提出的投诉，将其客户数据从一个IP地址、服务器或国家转移到另一个，以帮助他们逃避检测。美国司法部（DoJ）表示没有日志可供执法部门审查。” 司法部补充，“BPH服务故意支持其客户的犯罪活动，并成为这些犯罪计划的共谋者。” 欧洲刑警组织还表示，他们在全球范围内发现了大约250家被犯罪分子监视的公司，攻击者利用安全的Inet基础设施发动潜在的勒索软件攻击。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Facebook安全政策负责人Nathaniel Gleicher告诉Axios，Facebook明年计划为那些想要采取额外措施保护自己账户的用户提供安全密钥的移动端支持。Facebook明年还将把Facebook Protect安全计划扩展到更多类型的账户。该计划将提供给记者、人权维护者和名人等弱势用户，也将提供给所在国即将举行重大选举的用户。 Facebook Protect包括额外的安全功能，比如双因素认证和对潜在黑客威胁的实时监控。到目前为止，它只在美国向政治家、政党官员、政府机构、选举工作人员以及任何拥有蓝色认证标志的Facebook页面、参与选举过程的人提供。安全密钥建议用于高知名度的账户，但将提供给任何想要安全密钥的Facebook账户持有人使用。 Facebook正在考虑向决策者等公众人物发送安全密钥。用户将能够从各种零售商那里亲自或在线购买密钥，然后将能够在Facebook上注册它们。但是。虽然硬件密钥是一种久经考验的安全控制手段 但它们也不是无懈可击的，它们可能会丢失或被盗。 正是因为这个原因，Gleicher建议拥有高知名度账户的用户同时使用Facebook Protect和安全密钥。Facebook认为其2016年最大的改进之一是，它阻止了不良行为者黑客入侵真实账户或创建假账户传播虚假信息。Facebook认为用户必须保护账户，因为每一个被泄露的资产除了给人们造成直接的伤害外，还可能成为不良行为者事后利用的工具，造成更大的伤害。 从数字上看。在2020年，Facebook估计，超过70%与美国大选密切相关的人开启了双因素认证。虽然Facebook提示许多用户，如州和选举官员、候选人和党派领导人注册该功能，但最终还是依靠与选举密切相关的工作人士选择加入该项目。除了这些安全保护措施，Facebook表示还将扩大对安全威胁的公开报告。Gleicher表示，公开披露不同的影响行动或黑客企图，有助于阻止和减缓不良行为者。         （消息及封面来源：cnBeta；）