分类: 今日推送

因 UpdraftPlus 插件存在漏洞 超 200 万个 WordPress 网站已强制更新

UpdraftPlus 是一款可靠、易用的 WordPress 备份/还原和克隆插件。上周由于该插件存在严重漏洞,超过 200 万个 WordPress 网站得到了强制更新。该漏洞可能让未经授权的用户下载 WordPress 网站的备份。 JetPack 的开发人员在对 UpdraftPlus 进行内部审计时,发现了一个权限检查缺失的漏洞,该漏洞可能允许未经授权的用户访问这些备份。通常情况下,只有管理员才能访问它们。根据 UpdraftPlus 的图表,周四约有 170 万个网站下载了该更新。 JetPack 和 UpdraftPlus 都发布了关于该漏洞的警告。UpdraftPlus 的开发者指出如果你的 WordPress 网站已经对备份进行加密,那么存在的风险较小。这是因为 WordPress 对其存储的密码进行了加密,这应该可以保护它们不被获得未加密的备份的黑客攻击。JetPack 说大多数 WordPress 网站已经更新,并敦促那些没有更新的网站安装最新的 UpdraftPlus 补丁。   (消息及封面来源:cnBeta)

[网络研讨会]非多即善: 解决告警过载

Hackernews 编译,转载请注明出处: 网络攻击的数量和复杂程度日益增加,自然而然地促使许多公司使用更多的网络安全技术。我们知道加强威胁检测能力对于保护是必要的,但是他们也导致了几个意外后果。“越多并不总是越好”的格言非常适合这种情况。 网络安全公司 Cynet 即将举行的一次网络研讨会揭示了告警过载的问题。网络安全团队试图筛选不断出现的一连串威胁警报时总是面临着压力和紧张,Cynet 展示了这种情况实际上是降低网络安全效率的。然后 Cynet 将谈论应对办法——这对几乎所有遭受警报过载痛苦的公司都很重要。 告警过载的真正影响 有趣的是,威胁警报对安全保护至关重要,但也成为了一个障碍。Cynet 列出了会发生这种情况的两个关键的原因。首先,在过去的十几年里,大多数公司每天面临的真正攻击数量直线上升。其次,安全监控工具对异常情况非常敏感,经常将合法的操作误认为恶意的操作。 许多安全团队不断接收着超出他们预期的警报。数量巨大的同时,安全团队明白,错过危险的警报可能导致网络安全灾难。网络安全专业人员不得不顶着巨大的压力,肩负着自己无法承担的责任。 解决办法 Cynet 提出了两个解决告警过载困境的选择: 外包和技术。Cynet 在线研讨会首先讨论了将任务外包给负责监控、调查和响应警报的托管检测和响应(Managed Detection and Response,MDR)提供商,这是利用可调节的资源的一种方式,这样可以移除安全团队中的压力密集型工作负担。然后 Cynet 讨论了技术选择,无论是否选择外包,都要提高技术水平。 从技术的角度来看,首先,Cynet 展示了公司如何使警报更加准确,从而大大减少必须解决的警报数量。其次,Cynet 展示了响应自动化技术是如何减少与警报调查和补救相关的许多人工工作的。网络研讨会详细介绍了可用于自动化响应的特定技术,即使是对于预算和带宽有限的小型安全团队也是如此。  消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

SIM卡调换黑客被捕,曾盗窃受害者银行账户

Hackernews 编译,转载请注明出处: 西班牙国家警察局(National Police ía Nacional)上周表示,该局捣毁了一个未命名的网络犯罪组织,并逮捕了8名涉嫌与一系列以金融欺诈为目的的 SIM 卡调换攻击有关的罪犯。 犯罪团伙的嫌疑人伪装成银行和其他组织有信任力的代表,使用传统的网络钓鱼和散播技术,获取受害者的个人信息和银行数据,然后取出受害者账户中的钱。 “他们伪造官方文件,篡改受害者的身份,并欺骗手机商店的员工,获得 SIM 卡的复制品。 SIM 卡接收银行发来的安全确认信息,允许他们清空受害者的账户,”警察局说。 其中七人在巴塞罗那被捕,一人在塞维利亚被捕。这次犯罪活动里,多达12个银行账户被冻结。据说,该团伙犯下的第一起欺诈案件发生在2021年3月。 SIM 卡交换,也被称为 SIM 劫持,是一种恶意技术,犯罪分子利用移动运营商获取受害者的银行账户、虚拟货币账户和其他敏感信息。SIM卡交换通常是通过社会工程、内部威胁或网络钓鱼技术来实现的。 该方案是这样的,一名攻击者假扮受害者,欺骗移动运营商将受害者的手机号码切换到受其控制的 SIM 卡上。或者,也可以通过贿赂移动运营商的员工或欺骗员工下载用于入侵系统和进行 SIM 交换的恶意软件。 一旦电话号码被转移,攻击者就利用“身份”进行帐户重置,绕过基于短信的双因素身份验证保护,并夺取目标在线帐户的控制权。 SIM 卡交换欺诈案激增 多年来,SIM 卡交换已经演变成一种日益普遍的网络犯罪形式,导致受害者的加密货币钱包和银行账户被盗,数额高达数百万美元。2021年11月,美国检察官指控一名英国国民策划了一次 SIM 交换攻击,窃取了价值78.4万美元的加密货币。 然后在2021年12月,一个名为The Community的国际黑客组织的成员因涉嫌数百万美元的 SIM 卡交换恶行而被判刑。 美国联邦调查局(FBI)表示,2021年整年,他们收到了1611起与 SIM卡交换的投诉,调整后的损失超过6800万美元。相比之下,该机构从2018年到2020年收到了320起与 SIM卡交换事件有关的投诉,调整后的损失约为1200万美元。    消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门

Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分散僵尸网络攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等——并能够在受感染的节点上运行任何恶意有效载荷。” 2021年12月初开始的新一轮攻击,在一个月的时间内加快了速度,感染率增长了10倍,而在2022年1月达到高峰,每天发生500起感染事件。这家网络安全公司表示,他们在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。 FritzFrog 在2020年8月由 Guardicore 首次记录,详细说明了僵尸网络自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面,新感染病例大量集中在中国。 安全研究员 Ophir Harpaz 在2020年观察到: “ Fritzfrog 依靠在网络上共享文件的能力,不仅可以感染新的机器,还可以运行恶意的有效负载,比如 Monero crypto miner。” 僵尸网络P2P体系结构使其具有适应性,因为分布式网络中的每台受损机器都可以充当命令控制(C2)服务器,而不是单一的集中式主机。更重要的是,僵尸网络的再次出现伴随着其新功能的增加,包括使用代理网络和瞄准 WordPress 服务器。 感染链通过 SSH 传播,植入一个恶意软件有效载荷,然后执行从 c2服务器接收到的指令,运行额外的恶意软件二进制程序,收集系统信息和文件,然后再将它们转移回服务器。 值得注意的是,FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”,但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。 这款恶意软件还包含了其他新特性,包括使用安全复制协议(SCP)将自身复制到远程服务器,使用 Tor 代理链接来掩护输出的 SSH 连接,跟踪 WordPress 服务器进行后续攻击的基础设施,以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。 “封锁名单中的一个 IP 来自俄罗斯。它有多个开放端口和一长串未打补丁的漏洞,所以它可能是一个蜜罐,”研究人员说。“此外,第二个入口指向一个开源的僵尸网络漏洞。这两个入口表明,操作人员试图逃避侦查和分析。” 包含 SCP 特性也可能为恶意软件的起源提供了第一条线索。Akamai 指出,这个用 Go 编写的库已经被中国上海的一个用户分享到了 GitHub 上。 第二条将恶意软件与中国联系起来的线索是另一起事件,即用于密码挖掘的一个新钱包地址也被用作Mozi僵尸网络攻击的一部分,其操作者于去年9月在中国被捕。 研究人员得出结论: “这些证据虽不确凿,但让我们相信,可能存在与在中国黑客或伪装成中国人的黑客之间的联系。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

加拿大卡车司机抗议活动资助网站被黑 大量敏感信息泄露

作为加拿大“自由车队”卡车司机抗议活动的首选筹款平台,GiveSendGo 刚因遭遇黑客攻击而下线。有关捐赠者的泄露信息,也正在网络上传播。Daily Dot 记者 Mikael Thalen 指出:周日晚间,该网站域名被重定向到了 GiveSendGone[.]wtf,并且不断重播《冰雪奇缘》的一段视频。 据 GiveSendGo 自述,该网站是“首屈一指的基督教自由筹款平台”。然而在攻击者发布的视频中,其不仅嵌入了批评文字,还将之与美国 1 月 6 日的国会山冲突联系了起来。 服务离线后,捐赠者开始涌向新平台。一名安全研究人员指出,GiveSendGo 不安全地设置了亚马逊 S3 云存储服务,导致数 GB 的捐赠者数据被暴露于 Freedom Convoy 。 TheVerge 获得的数据副本,涵盖了将近 9.3 万个条目,其中包括姓名、电子邮件地址、邮编、国籍等。 在数据库列出的邮件地址中,甚至有个别 .gov 域名尾缀,推测有属于 TSA、司法部、监狱局和 NASA 的员工被卷入其中。 从捐赠者的分布区域来看,美国境内占据了半数以上,其次是加拿大和英国。 在接到报告后,GiveSendGo 管理团队认为已于上周修复了云存储问题。然而最新的黑客攻击事件,无疑再次打了他们一巴掌。 另一方面,更加知名的 GoFundMe 已表示将扣留为卡车司机筹集的数百万美元捐款,理由是接到了暴力和涉嫌其它非法活动的报警。 加拿大银行也已开始冻结与车队有关的资金,TD 甚至冻结了两个受捐超百万美元的个人账户。   (消息及封面来源:cnBeta)

CISA、FBI、NSA 就勒索软件攻击严重增加发布警告

Hackernews 编译,转载请注明出处: 澳大利亚、英国和美国的网络安全部门发布了一份联合警告,称2021年针对全球关键基础设施组织的复杂、高影响力的勒索软件攻击将有所增加。 这些事件针对的行业范围很广,包括国防、应急服务、农业、政府设施、 IT、医疗保健、金融服务、教育、能源、慈善机构、法律机构和公共服务。 “勒索软件的策略和技术在2021年继续发展,这表明勒索软件威胁组织的技术日益复杂,对全球组织的勒索软件威胁也在增加,”这些安全部门在联合公报中说。 鱼叉式网络钓鱼(Spear-phishing)、窃取或暴力强制远程桌面协议(RDP)凭证以及利用软件漏洞成为最值得注意的三大感染媒介,这些媒介被用来在受到攻击的网络上部署勒索软件,就连这种犯罪商业模式已经演变成一个由不同类型的黑客主导的“专业”市场,以获得初始访问权、谈判赎金和解决钱款纠纷。 但随着去年对 Colonial Pipeline、 JBS 和 Kaseya 的高调攻击,勒索软件黑客在2021年下半年转移了对美国“大猎物”的追捕,将重点放在中等规模的受害者身上,以躲避执法部门的监视。 “在对受害者网络进行加密之后,勒索软件黑客越来越多地使用‘三重勒索’,威胁要(1)公开被盗的敏感信息,(2)中断受害者的互联网接入,和/或(3)向受害者的合作伙伴、股东或供应商通报此事。” 根据 Syhunt 本周发布的一份新报告,从2019年1月到2022年1月,勒索软件组织从受害者组织中窃取了超过150tb 的数据,仅 REvil 就占了该组织从282名受害者那里窃取的所有被盗信息中的44.1 TB。 勒索软件集团采取的扩大影响的其他策略包括: 利用已知的漏洞攻击云基础设施; 通过一个初始入侵攻击托管服务提供商(MSPs)访问多个受害者; 部署用于破坏工业流程的代码; 毒害软件供应链; 以及在节假日和周末进行攻击。 为了减少和减轻勒索软件攻击的可能性和影响,各组织积极采取行动ーー 保持所有操作系统和软件的更新, 通过内部网络限制对资源的访问,特别是限制 RDP 和使用虚拟桌面基础设施, 提高用户对网络钓鱼的风险的认识, 使用强大、独特的密码和双重身份验证,以保护账户免受接管攻击, 加密cloud中的数据, 实现网络分割, 禁用不必要的命令行实用程序,并限制脚本编写活动和权限, 对特权帐户访问实施时间限制,以及 保持数据的脱机(即物理断开)备份 “犯罪活动的动机是金钱利益,所以支付赎金可能会鼓励对手攻击更多的组织,或鼓励网络犯罪分子参与分发勒索软件,”该机构警告说。”支付赎金也不能保证受害者的档案会被找回。此外,减少勒索软件威胁行为者的经济收益将有助于打破勒索软件犯罪商业模式。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

恶意软件开发者主动公开 Maze/Egregor/Sekhmet 解密密钥

昨晚,据称是恶意软件开发者在国外 BleepingComputer 论坛上发帖,公开了 Maze、Egregor 和 Sekhmet 勒索软件操作的主解密密钥。经安全公司 Emsisoft 确认这些解密密钥是合法的,该公司勒索软件专家和威胁分析师 Brett Callow 表示解密密钥的发布是高压政策下让网络犯罪分子已经感到担忧。 Maze 勒索软件于 2019 年 5 月开始运作,并迅速成名,因为他们负责使用现在许多勒索软件运作所使用的数据盗窃和双重勒索战术。在 Maze 于 2020 年 10 月宣布关闭后,他们在 9 月重新命名为 Egregor,后来在成员在乌克兰被捕后,他们消失了。Sekhmet行动在某种程度上是一个例外,因为它在2020年3月启动,而Maze仍在活动。 在 14 个月之后,上述三款勒索软件的解密密钥由一名网名为“Topleak”的用户泄露,他自称是所有三款勒索软件的开发者。 发帖人说,这是一次有计划的泄漏,与最近的执法行动没有关系,这些行动导致服务器被查封,赎金软件的附属公司被逮捕。 “Topleak”表示:“公开解密密钥是因为引起太多的线索,而且大部分都是假的,所以有必要强调这是一次有计划的泄漏,与最近的逮捕和取缔行动没有任何联系”。他们进一步表示,他们的团队成员都不会再回到勒索软件领域,而且他们销毁了勒索软件的所有源代码。   (消息及封面来源:cnBeta)

Vodafone Portugal 遭严重网络攻击 数百万用户无法使用服务

一场“蓄意的恶意网络攻击”,导致服务葡萄牙企业和数百万人的服务瘫痪,其中还包括救护车和其他紧急服务。Vodafone Portugal 是英国沃达丰集团下属子公司,拥有 430 万手机用户和 340 万光纤用户。在最新发布的一份声明中,公司表示本次公司始于本周一晚上。攻击迅速摧毁了该子公司的 4G 和 5G 网络,并停止了固定语音、电视、短信以及语音和数字应答服务。 据葡萄牙新闻网站 Lusa 报道,Vodafone Portugal 公司首席执行官 Mário Vaz 在一次新闻发布会上说:“[这是]一次针对网络的攻击,其目的肯定是蓄意的,故意让我们的客户没有任何服务”。这次攻击的目的显然是使我们的网络无法使用,而且其严重程度使服务水平尽可能的困难。 据 Lusa 和其他当地新闻机构报道,数以百万计的客户无法拨打语音电话,发送短信,使用互联网,或访问有线电视。该国 Multibanco 自动取款机网络的运营商说,这次攻击对其服务造成了“一些偶尔的不稳定”。其他企业和公共服务也受到影响,包括救护车运营商、消防部门和医院。 虽然在本周一晚些时候,Vodafone Portugal 已经恢复了该国大部分地区的 3G 语音和数据服务,但是截至本周三,依然有很多受到影响的服务尚未完全修复。恢复服务的工作正在优先考虑紧急服务。 公司官员在周二的声明中写道:“不幸的是,我们所遭受的犯罪行为的规模和严重性,意味着所有其他服务都需要谨慎和长时间的工作。他们补充说,恢复过程 涉及多个国家和国际团队以及外部合作伙伴”。   (消息及封面来源:cnBeta)

PHP Everywhere 出现 RCE 漏洞,WordPress 站点受影响

Hackernews 编译,转载请注明出处: 一个名为 PHP Everywhere 的 WordPress 插件中披露了一个关键的安全漏洞,这个插件在全世界有超过30,000个网站使用,攻击者可能会利用这个漏洞在受影响的系统上执行任意代码。 PHP Everywhere 用于在 WordPress 安装过程中打开 PHP 代码的开关,使用户能够在内容管理系统的 Pages、 Posts 和 Sidebar 中插入和执行基于 PHP 的代码。 以下这三个问题,在 CVSS 评级系统中评级9.9(满分为10),影响版本2.0.3及之后的版本,如下: CVE-2022-24663-订阅者 + 用户通过短代码远程执行代码 CVE-2022-24664-Contributor + 用户通过 metabox 远程执行代码,以及 CVE-2022-24665-Contributor + 用户通过gutenberg块远程执行代码 成功利用这三个漏洞可能导致恶意 PHP 代码的执行,这些代码可以被用来实现完全的站点接管。 安全公司 WordPress 表示,他们在1月4日向插件作者 Alexander Fuchs 披露了这个漏洞,随后在2022年1月12日发布了3.0版本的更新,完全删除了漏洞代码。 “这个插件的3.0.0版本的更新是一个突破性的变化,它删除了[php_everywhere]的短代码和小部件,”插件的更新描述页面写道。“从插件设置页面运行升级向导,将旧代码迁移到Gutenberg块。” 值得注意的是,3.0.0版本只通过Block editor编辑器支持 PHP 代码片段,因此仍然依赖 Classic Editor的用户必须卸载该插件,并下载一个替代解决方案来托管自定义 PHP 代码。 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

巴勒斯坦黑客在近期攻击中植入新的 NimbleMamba

Hackernews 编译,转载请注明出处: 一个APT攻击黑客组织可能与巴勒斯坦结盟,不怀好意,利用以前没有记录的名为NimbleMamba的植入物,已经开始了一项新的攻击。 企业安全公司 Proofpoint 在一份报告中说,这些入侵利用了一个复杂的攻击链,目标是中东政府、外交政策智囊团和一家国有航空公司。该报告将隐蔽攻击归咎于一个名为 Molerats (又名 TA402)的威胁攻击者。  该APT 组织不断更新他们的恶意软件植入和传播方式,因而臭名昭著。最近它似乎与针对巴勒斯坦和土耳其的人权活动家和记者的间谍攻击有一定联系,在2021年6月曝光的一次攻击中部署了一个叫做  LastConn的后门。 攻击并未停止,背后的攻击者们积极重组武器库,开发了NimbleMamba,这个产品被设计用来取代 LastConn,而LastConn被认为是另一个叫做SharpStage的后门的升级版本,该组织在2020年12月的攻击中使用了这个后门。 “ NimbleMamba 使用护栏来确保所有被感染的受害者都在TA402的目标区域内,”研究人员说,并补充道,这个恶意软件“使用 Dropbox API 来进行命令和控制以及渗透”,表明它被用于“高度针对性的情报收集活动” 另外还使用了一个名为 BrittleBush 的木马,它与远程服务器建立通信,检索 base64编码的命令,以便在受感染的机器上执行。此外,据说这些袭击与上述针对巴勒斯坦和土耳其的恶意活动是同时发生的。 感染序列反映了攻击者用来破坏其目标用了完全相同的技术。鱼叉式网络钓鱼邮件是起点,包含地理链接,指向恶意软件的有效载荷,但只有在收件人在目标区域之一的情况下才可行。如果目标位于攻击半径之外,链接会将用户重定向到一个良性的新闻网站,比如 Emarat Al Youm。 然而,最近在2021年12月和2022年1月的攻击中,攻击者使用了 Dropbox 的网址和攻击者控制的 WordPress 网站来传输包含 NimbleMamba 和 BrittleBush 的恶意 RAR 文件。 这一进展是对手使用云服务(如 Dropbox)发动攻击的最新例证,更不用说那些狡猾的攻击者能够多迅速地对公开披露的入侵方法做出反应,从而创造出一些强有力的、有效的方法,可以突破安全和检测层。 研究人员总结说: “ ta402仍然是一个效率高的攻击者,它通过针对中东的高度有针对性的行动表明了自己的持久性。”“(这两次)攻击表明,Molerats仍然有能力根据情报目标修改攻击链。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文