通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作，安全与技术研究所（IST）正倡导组建全新的勒索软件特别工作组（RTF）。该工作组的创始成员包括了微软、McAfee等诸多科技公司。 RTF的主要工作内容包括：“RTF 将评估现有解决方案在处理勒索软件方面的级别，寻找其中的差距，并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献，RTF将委托专家撰写论文，并让各行业的利益相关者参与进来，围绕经过审核的解决方案进行讨论”。 目前 RTF 工作组的成员包括 Aspen Digital ● Citrix ● The Cyber Threat Alliance ● Cybereason ● The CyberPeace Institute ● The Cybersecurity Coalition ● The Global Cyber Alliance ● McAfee ● Microsoft ● Rapid7 ● Resilience ● SecurityScorecard ● Shadowserver Foundation ● Stratigos Security ● Team Cymru ● Third Way ● UT Austin Stauss Center ● Venable LLP         （消息及封面来源：cnBeta；）

据外媒CNET报道，一场复杂的或由俄罗斯黑客进行的攻击活动的范围继续被披露，该活动已经渗透到美国联邦机构和私营公司。据《纽约时报》周一的报道，黑客设法侵入美国财政部高层官员使用的电子邮件系统等。 据报道，参议员罗恩·怀登(Ron Wyden)在为参议院金融委员会举行的简报会后表示，财政部承认其“从7月份开始遭受了严重的入侵。”他补充说，黑客入侵的 “最大程度”尚不清楚。据《纽约时报》报道，Wyden补充说，该部门从运行其大部分通信软件的微软那里了解到这一漏洞。 务部，以及国家卫生研究院。漏洞始于黑客入侵网络安全公司SolarWinds，该公司销售的软件可以让机构看到其计算机网络上发生的事情。据报道，数十家私营公司–包括微软、思科、英特尔和FireEye–也感染了该恶意软件。 上周，美国国家安全机构发表联合声明，称这次活动是“重大的、持续的黑客活动”。美国国务卿迈克·蓬佩奥和一些网络安全专家将此次黑客活动归咎于俄罗斯。 美国财政部拒绝对《纽约时报》的报道发表评论，但指出美国财政部部长史蒂夫·姆努钦周一在CNBC上发表的关于网络攻击的评论。 姆努钦说：“我们的非机密系统确实有一些访问权限。”他补充说，该部门没有看到任何入侵其机密系统的情况。“我要说的好消息是，没有任何损害，也没有看到任何大量信息被转移。”         （消息及封面来源：cnBeta；）

去年，WhatsApp 发现并修补了一个据说被以色列情报机构 NSO Group 利用的漏洞。在某些情况下，受害者或许无法意识到他们已被间谍软件给盯上。几个月后，WhatsApp 方面开始向后者提起诉讼，以披露幕后都有哪些黑手。被告方一再对这些指控提出异议，并且试图以遵从政府指令为由申请法律上的豁免，但未能说服美国法院在今年早些时候撤销该案件。 最新消息是，由微软、谷歌、亚马逊、思科、Facebook、Twitter、VMware 在内的多家科技巨头和互联网协会组成的联盟，已经共同发声支持 WhatsApp，恳请法院驳回 NSO 的主张且不许其受到豁免。 报道指出，NSO Group 被指利用这款消息传递应用中的未公开漏洞入侵了至少 1400 台设备，受害者包括了某些新闻记者和活动人士。 NSO 开发并向政府兜售其 PegASUS 间谍软件的访问权限，从而使得某些客户能够瞄准并秘密入侵目标设备。受感染的设备可被用于追踪目标位置，窃听消息、呼叫，以及照片、文件等私密内容。 通常情况下，攻击是通过忽悠受害者打开恶意软件而得逞的。但某些情况下，NSO 也会利用 App 或手机中未公开的漏洞而静默感染目标设备。 在此之前，该公司因曝出向沙特、埃塞俄比亚、阿联酋等政府客户出售间谍软件而遭到猛烈批评。现在，由微软（及其子公司 LinkedIn 和 GitHub）代表的这一联盟，已经向法院方面施加了更大的压力。 其指出，间谍软件和相关工具的开发与交付不仅降低了普通人的安全感，也让整个世界冒着这些工具落入不当之手的风险之中。 微软客户安全与信任负责人 Tom Burt 在博客中表示，NSO 理应对自己构建的工具和相关漏洞利用而负责。其希望通过这场诉讼，帮助全球数字生态系统免受更加肆意的攻击。 截止发稿时，NSO Group 方面尚未就此事作出回应。         （消息及封面来源：cnBeta；）

电子前沿基金会(EFF)周一发文称，从公民自由的角度来看，加密货币最重要的一个方面是它们可以为用户提供隐私保护。但EFF担心，美国政府越来越多地采取措施破坏加密货币交易的匿名性，并将传统银行系统的广泛金融监控导入加密货币。 上周五，美国财政部金融犯罪执法网络(FinCEN)宣布了一项拟议法规，该法规将要求货币服务企业（其中包括加密货币交易所等）收集使用自助加密货币钱包或国外交易所与其客户进行交易的人的身份数据。拟议的法规将要求他们保留这些数据，并在某些情况下（例如，当一天内的交易金额超过某个阈值时）将其交给政府。 该提案似乎旨在成为在本届总统任期结束前推动通过的午夜法规，因为其15天的评论期异常短暂，且恰逢假期。该法规的作者写道，需要这个短暂的评论期来应对这些技术对“美国国家利益的威胁”，但他们没有为这一说法提供事实依据。 虽然EFF仍在审查该提案，但有几个初步的担忧。首先，该法规将意味着在自己的钱包中存储加密货币的人（而不是使用专业服务）将实际上无法与在货币服务企业存储加密货币的人进行匿名交易。该法规很可能会扼杀使用自营钱包进行现金隐私交易的能力。 其次，对于一些加密货币，如比特币，交易数据–包括用户的比特币地址–会永久记录在公共区块链上。这意味着，如果知道与特定比特币地址相关联的用户的名字，就可以搜集人们使用该地址的所有比特币交易信息。因此，拟议的法规要求货币服务企业收集与钱包地址相关的识别信息，这意味着政府可能会获得大量的数据，而不仅仅是法规声称的覆盖范围。 第三，该法规可能会阻碍更广泛地采用自托管钱包和依赖它们的技术，或者至少使这些技术难以与交易所等中介机构整合。该法规使自托管钱包用户与拥有受该法规约束的服务提供的钱包的其他用户进行无缝互动的难度大大增加。根据拟议的规则，这些托管钱包服务将不得不收集在某些情况下与其客户进行交易的自助钱包用户的某些信息。这可能会使智能合约等某些自动交易变得复杂，或者在涉及分散式交易所的场景中难以实施。尽管名字很好听，但 “钱包 “并不仅仅是个人的货币存储：它们是个人和计算系统在不依赖机构的情况下持有和发放货币的一种方式。为这些类型的交易增加摩擦，破坏了该技术在让个人控制其财务方面的重要性。它还可能会扼杀创新者创建具有广泛合法用途的去中心化金融平台的能力。 第四，虽然拟议的规则旨在简单地将涉及现金交易的现有法规适用于加密货币，但它们忽视了这些数字金融工具的存在部分是为了提供与传统现金相同甚至可能更多的金融隐私和匿名性。在这方面，拟议的法规是美国政府将传统银行系统的金融监控扩展到加密货币的更大令人不安的趋势的一部分。这项提案是在司法部公布其加密货币执法框架两个月后提出的，该框架非常清楚地表明，司法部希望破坏加密货币用户匿名交易的能力。 框架指出，仅仅使用Zcash和Monero这样的隐私币就“表明可能的犯罪行为”。框架还表示，操作混乱的人使加密货币交易更难追踪，可能要承担洗钱的刑事责任。金融监管机构，就像美国国家安全局一样，显然怀疑任何试图保护自己金融隐私的人都在做一些非法的事情。 该框架还针对去中心化交易所。去中心化交易所通常是一种开源软件，允许人们在没有其他方参与的情况下直接相互交换加密货币。司法部表示，这些项目必须向FinCEN注册，并且必须 “收集和维护客户和交易数据”，否则将受到民事和刑事处罚。 今年其他令人关注的事态发展包括：第五巡回法院决定，执法部门不需要获得搜查令就可以从加密货币交易所获得金融交易数据，以及FinCEN提议将机构必须收集和存储交易数据的门槛从3000美元降至250美元（加密货币或法币），以履行 “Travel Rule “义务。 这些发展是对私人在线交易能力的攻击，并试图将传统银行系统的广泛金融监控扩展到加密货币。金融记录包含了人们个人生活、信仰和所属机构的敏感信息。尽管如此，法院和立法者还是允许对传统银行系统进行广泛的无证金融监控。的《银行保密法》要求银行保存财务记录，因为这些记录对调查很有用，1976年，最高法院（在U.S. v. Miller案中）允许政府在没有搜查令的情况下获取银行客户的数据。EFF对美国政府试图将这种监控扩大到包括加密货币交易感到担忧。 加密货币之所以重要，还因为它能抵御审查。许多传统的金融中介机构进行了任意的金融审查，切断了成年人社交网络、成年人书商和有争议的网站对金融机构的访问，即使这些服务没有违反法律。 美国监管机构最近的行动，包括这次新的规则制定建议，有可能破坏点对点技术提供的隐私和公民自由保护。该规则制定要求公众在2021年1月4日前提出意见。EFF希望公民自由团体和希望保护其金融隐私的个人能够提交反对这一规则提案的意见，尽管事实上，部分原因是这一突然的截止日期。       （消息来源：cnBeta；封面来源于网络）

12月21日，一个研究小组公布了他们在Dell Wyse Thin客户端中发现的两个严重漏洞，这些漏洞可能使攻击者能够远程执行恶意代码并访问受影响设备上的任意文件。 这些漏洞由CyberMDX发现，并于2020年6月向戴尔报告。这两个漏洞的CVSS评分均为10分，影响ThinOS 8.6及以下版本的设备。戴尔在21日发布的更新中已解决了这两个漏洞。 Thin客户端通常是使用存储在中央服务器上的资源而不是本地化硬盘驱动器运行的计算机。它们通过建立到服务器的远程连接来工作，服务器负责启动和运行应用程序并存储相关数据。 本次漏洞的编号为CVE-2020-29491和CVE-2020-29492，用于从本地服务器获取固件更新和配置的FTP会话是不受保护的，没有任何身份验证（“匿名”），从而使同一网络中的攻击者能够读取和更改其配置。 第一个漏洞CVE-2020-29491允许用户访问服务器并读取属于其他客户端的配置（.ini文件）。 由于没有FTP凭据，网络上的任何人都可以访问FTP服务器并直接更改保存其他Thin客户端设备配置的.ini文件（CVE-2020-29492）。 更糟糕的是，该配置可能包含敏感数据，包括可能被用来危害设备的密码和帐户信息。 这些漏洞的利用相对容易，我们建议用户尽快使用补丁来降低风险。 CyberMDX还建议将兼容的客户端更新到ThinOS9，从而删除INI文件管理功能。如果无法进行升级，建议禁用FTP，使用HTTPS服务器或Wyse管理套件。 CyberMDX的研究人员表示：“读取或更改（ini文件中）这些参数会加剧攻击。在配置和启用VNC以进行完全远程控制、泄漏远程桌面凭据以及操纵DNS结果时，我们需要格外注意。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

上周曝出的 IT 管理公司 SolarWinds 遭受黑客入侵事件，又陆续揭示了更多的受害者。据说有俄方背景的黑客组织，对包括美国财政部、商务部、能源部、国土安全部等在内的目标发起了攻击，且据信其中两个可能有邮件失窃。由于 SolarWinds 的客户数量众多，外媒猜测有更多大型科技企业遭到了类似的攻击。 （图 via SeekingAlpha） 《华尔街日报》的最新报道称，包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络，也都被发现感染了同样的恶意软件。 此前 SolarWinds 曾表示，有“少于 18000 家”企业受到了影响。尽管已证实的案例相对较少，但今日的新闻还是让许多知名企业从“可能受影响”变成了“确定受影响”。 尽管目前许多大型科技巨头都表示正在对相关事件展开调查，且认为自身尚未受到影响。但正如 2016 年民主党全国委员会的邮件泄密事件那样，后续的打脸可能会来得特别快。 毕竟想要揭开黑客攻击事件的全面影响，可能要花费相当长的时间。此外美联社的早前报道指出，企业或很难判断是否已彻底将恶意软件从其网络中清除。 更糟糕的是，调查发现另一个技术似乎不那么纯熟的黑客团体也在利用类似的漏洞入侵 SolarWinds 。且被称作“超新星”（Supernova）的早期攻击，只是被称作 Sunburst 的主攻击的一部分。 最后，虽然私企对 SolarWinds 系统攻击事件的反应并不强烈，但美国联邦政府已宣布旗下所有机构都立即放弃 SolarWinds 的 IT 管理系统。         （消息来源：cnBeta；封面来源于网络）

伪装成热门游戏进行勒索早已不再是什么新鲜事了，不过这次是热门游戏《赛博朋克2077》的手游版本。不过受害者可以在不支付赎金的情况下解锁设备。当然没有手游版本的《赛博朋克2077》，只不过是黑客利用对这款游戏了解不多的玩家下手而已。 正如卡巴斯基的 Android 恶意软件分析师 Tatyana Shishkova 所指出的那样，不法分子利用部分玩家对游戏的了解程度不够，创建了一个类似于 Google Play 的假网站，让不知情的访问者可以下载手游版《赛博朋克2077》。 该文件实际上是一个名为 CoderWare 的勒索软件，它是 BlackKingdom 勒索软件的变种。与其他恶意软件一样，它会加密设备的内容。受害者有 10 个小时的时间来支付价值 500 美元的比特币，然后才会永久删除所有内容。 不过庆幸的是，Shishkova 指出有种方法可以在不支付赎金的情况下进行解密，但并非 100% 确保你能够收到解密密钥。CoderWare 勒索软件中有一个硬编码密钥，允许解密者恢复文件。         （消息来源：cnBeta；封面来源于网络）

据外媒ZDNet报道，随着SolarWinds供应链攻击事件后的取证证据慢慢被发掘出来，安全研究人员发现了第二个威胁行为体，它利用SolarWinds软件在企业和政府网络上植入恶意软件。关于这第二个威胁行为体的细节仍然很少，但安全研究人员认为这第二个实体与疑似俄罗斯政府支持的入侵SolarWinds的黑客组织没有关系，后者在Orion应用内植入恶意软件。 原始攻击中使用的恶意软件代号为Sunburst（或Solorigate），作为Orion应用的“booby-trapped”（诡雷代码）更新交付给SolarWinds客户。在受感染的网络上，恶意软件会ping其创建者，然后下载名为Teardrop的第二个阶段性后门木马，允许攻击者开始动手操作键盘会话，也就是所谓的人为操作攻击。 但在SolarWinds黑客事件公开披露后的头几天，最初的报告提到了两个第二阶段的有效载荷。来自Guidepoint、赛门铁克和Palo Alto Networks的报告详细介绍了攻击者如何同时植入一个名为Supernova的.NET web shell。 安全研究人员认为攻击者是利用Supernova webshell来下载、编译和执行一个恶意Powershell脚本（有人将其命名为CosmicGale）。 然而，在微软安全团队的后续分析中，现在已经澄清Supernova网页壳并不是原始攻击链的一部分。他们发现Supernova安装在SolarWinds上的公司需要将此次事件作为一个单独的攻击事件来处理。 根据微软安全分析师Nick Carr在GitHub上的一篇文章，Supernova webshell似乎被种植在SolarWinds Orion安装上，这些安装已经暴露在网上，并被利用类似于追踪为CVE-2019-8917的漏洞。 Supernova与Sunburst+Teardrop攻击链有关的困惑来自于，和Sunburst一样，Supernova也被伪装成了猎户座应用的DLL–Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件内，Supernova则隐藏在App_Web_logoimagehandler.ashx.b6031896.dll内。 但在12月18日周五晚些时候发布的分析报告中，微软表示，与Sunburst DLL不同，Supernova DLL并没有使用合法的SolarWinds数字证书进行签名。 Supernova没有被签名这一事实被认为是攻击者极不正常的行为，在此之前，攻击者在操作上表现出了非常高的复杂性和对细节的关注。 这包括花几个月时间在SolarWinds的内部网络中不被发现，提前在Orion应用中添加虚拟缓冲区代码以掩饰日后添加恶意代码，并将他们的恶意代码伪装成SolarWinds开发人员自己编写的样子。 这些似乎都是太明显的错误，最初的攻击者不会这么做，因此，微软认为这个恶意软件与最初的SolarWinds供应链攻击无关。       （消息来源：cnBeta；封面来自网络）

据外媒报道，iMessage漏洞已存在一年之久，最近有37名记者沦为了该漏洞的牺牲品，让据称为政府工作的坏人得以监视记者的活动。多伦多大学公民实验室(University of Toronto’s Citizen Lab)的一份报告称，他们发现了一次发生在2020年7月至8月期间的行动，其中一次是由政府特工执行的。 该行动攻击了37部iPhone手机，这些手机的主人包括记者、制片人、主播和新闻采集机构的高管，主要目标则是半岛电视台。 这些攻击使用的是NSO Group的PegASUS间谍软件，尤其是一个被叫做Kismet的漏洞。据信，该漏洞是“iMessage中看不见的零点击漏洞”，是针对iOS 13.5.1和其他可能版本的零日漏洞。 公民实验室收集的被盗iPhone日志显示，在2019年10月至12月期间遭到攻击的NSO客户也是被利用了相同的漏洞，这表明该漏洞在相当长一段时间内没有被发现或修复。 该组织遭到了四个Pegasus运营者的攻击，其中一个被认为是来自沙特阿拉伯的Monarchy，而另一则被认为是代表阿联酋实施攻击的Sneaky Kestrel。 这些运营者很可能跟这两个国家的王储有关，因为半岛电视台的一名主播在诉讼中指责两者攻击了她的iPhone并传播遭篡改了的受害者的照片。 一旦受到攻击，目标用户的iPhone就会在用户不知情的情况下开始上传大量数据，有时总计达数百兆字节。据信，正在传输的数据包括麦克风录制的环境音频、加密电话内容、摄像头拍摄的照片、设备的位置以及可能存储的任何密码或账户凭证。 《卫报》看到的一份苹果声明称，这些攻击是民族国家针对个人的高度定向攻击。“我们一直敦促用户下载该软件的最新版本以保护他们自己及他们的数据，”苹果补充称，不过它还暗示其无法独立核实公民实验室给出的分析。 据悉，这一攻击载体似乎不适用于升级到iOS 14或更高版本的iPhone，这可能意味着使用该操作系统的设备目前是安全的。         （消息来源：cnBeta；封面来源于网络）

网上购物正处于有史以来最热的时期。据报道，亚马逊报告称，在感恩节后的几天内，第三方销售额达到48亿美元，比去年增长了60%。而现在，黑客们正“紧握”这一激增势头，不断发送虚假发货通知链接。这些欺诈性的邮件信息似乎来自亚马逊、联邦快递（FedEx）、联合包裹（UPS）和其他主要的快递公司，黑客们通过此类邮件发布恶意软件或或挖掘个人信息。 网络安全公司Check Point Software Technologies发现，从10月到11月，这些冒充发货人的信息增加了440%，较去年11月增加了72%。 长滩房地产经纪人汤姆·霍恩（Tom Hoehn）也收到了一封这样的邮件时，当时他正在等待一个由UPS寄来的包裹。 “这封邮件看起来很像是UPS发的，邮件说我们无法递送您的包裹。但是，如果你点击下面的链接，你可以查看包裹上的跟踪信息，然后你可以将它重新发送到你所在的地方。就在那时，我点击了链接，然后我的屏幕开始闪烁。” “然后就有留言说，‘你被黑了，我们已经加密了你所有的文件。我需要你支付大约150个比特币到如下地址。’” 像这样的一个虚假发货链接可以启动勒索软件，也可以重新定向到一个伪造的品牌页面，要求用户输入信用卡或个人信息来重新完成发货，或者欺骗人们输入用户名和密码。 当霍恩选择不支付大约150个比特币的赎金（相当于当时的6.6万多美元）时，他失去了个人电脑上的所有东西，包括他的家庭照片和业务联系。几个月后，美国国税局通知他，他的身份被盗了。随后，他的电子邮件也遭到黑客攻击，他的数千名联系人都收到了钓鱼邮件。 Check Point威胁预防经理布莱恩·林德（Brian Linder）表示：“我们的心思都放在其他事情上，比如新冠大流行和我们的孩子该如何接受远程教育。这就给了这些不法分子利用消费者不密切关注黑客诈骗的绝佳时机。” Check Point发现，美国65%的虚假发货信息是假冒亚马逊的。 林德表示：“黑客们之所以可以成功，是因为我们中的大多数人都在和亚马逊做生意。我们在亚马逊上订购产品。对于我们来说，收到亚马逊发送的关于我们订购的包裹的邮件是一件非常正常且在我们意料之中的事情。” 亚马逊在接受媒体采访时表示，该公司正与美国联邦贸易委员会（Federal Trade Commission）或商业促进局（Better Business Bureau）合作追查骗子，并在一份声明中表示：“任何顾客收到假冒亚马逊员工的可疑邮件、电话或短信，都应向亚马逊客户服务部门举报。亚马逊对这些投诉进行调查，如果有必要，将采取行动。” 这些钓鱼邮件通常还会假冒UPS、联邦快递和DHL，这三家公司都有自己专门的电子邮件。这些公司也对此事作出了一些反馈行动。例如，微软就有一个与执法部门合作的数字犯罪部门，他们表示公司自2010年以来从网络犯罪分子手中“解救”了5亿多台设备。与此同时，苹果公司还向举报安全问题的用户提供公开认可，甚至会给出高达100万美元的奖励。 当你收到此类邮件时，你可以关注一些可能存在的细节问题。例如，轻微的拼写错误或不正确的标识，未加密的登录网站，以及敦促消费者迅速采取行动的倒计时信息等。 专家表示，最好的保护措施是首先防止诈骗信息发送到你的设备。操作系统内置了安全保护，这也是软件更新至关重要的原因之一。像Nomorobo这样的应用程序提供了额外的屏蔽功能，用户可以通过经常更改密码、启用双因素身份验证以及为不同的在线活动使用各种不同的电子邮件帐户和密码来帮助用户。 一般来说，联邦贸易委员会会负责网络钓鱼攻击的调查。 全国消费者联盟公共政策、电信和欺诈副总裁约翰·布雷尤特（John Breyault）表示：“我们必须赋予这些机构权力，并为他们提供足够的资金，这真的很重要。第一，联邦贸易委员会承担着巨大的责任来监管整个经济体中的不公平和欺骗行为，然而他们的劳动力和资金仅仅只达到上世纪70年代的一小部分。”         （消息来源：新浪科技；封面来自与网络）