利用 SolarWinds 的 Orion 网络管理平台，本月初黑客成功入侵了包括美国财政部在内的诸多政府机构网站。而援引雅虎新闻报道，这群黑客在去年 10 月就曾尝试分发恶意软件，比之前该公司发布的公告早了 5 个月。 消息称黑客在 2019 年 10 月就尝试分发有问题的 Orion 版本，只不过当时并没有像今年春季那样植入后门。一位参与调查的消息人士透露：“我们认为，当时他们只是想要测试是否会成功、是否会被检测到。所以这多少是一次预演。在验证成功之后他们并没有马上采取攻击，而是徐徐跟进扩大战果。这表明他们更加严谨和慎重”。 10月份的文件是在几个受害者的系统中发现的，但调查人员至今没有发现黑客五个月后，黑客在SolarWinds软件更新服务器上添加了新的恶意文件，这些文件被分发并安装在联邦政府机构和其他客户的网络上。这些新文件在受害者网络上安装了一个后门，允许黑客直接访问它们。 10月份的文件是在几个受害者的系统中发现的，但调查人员至今没有发现黑客在文件登陆这些系统后，在这些系统上进行任何额外的恶意活动的迹象。 据报道，目前受感染的受害者的具体数量仍不得而知，但2020年春季文件被入侵的部分受害者包括：美国财政部和商务部内的部门、国土安全部、为能源部工作的国家实验室，以及监管国家核武器储备的国家核安全管理局。在商业领域，安全公司FireEye也被黑客通过SolarWinds软件入侵，周二晚些时候，微软承认在其网络上也发现了恶意的SolarWinds文件。         （消息及封面来源：cnBeta）

据外媒报道，当地时间周六，特朗普总统在Twitter上回应了针对美国政府部门、机构和私营公司的大规模网络攻击，其称“假新闻媒体(Fake News Media)”夸大了这一网络攻击的程度。此前，特朗普一直对此次攻击保持沉默。 网络安全专家、网络官员和政策制定者一致认为，此次黑客攻击是俄罗斯网络运营商Cozy Bear的一个部门所为，据信该部门得到了俄罗斯总统普京的情报部门的支持。 人们普遍担心，它们仍存在于美国政府和企业的计算机系统中而没有被发现。 据悉，这可能是美国历史上影响最大的黑客攻击事件，它已经促使两党议员呼吁做出坚决回应。 然而特朗普拒绝承认其自己的情报和国家安全专家的这一说法。“假新闻媒体的网络攻击远比实际情况严重。我得到了全面通报，一切都在良好的控制之下。” 在国家安全这个紧急问题上，特朗普和他的国务卿之间的分歧正在不断扩大。蓬佩奥在未来几天将要面临一个选择–继续讲述黑客攻击的真相并开始承认选举的现实。 在特朗普的国家安全官员在收集有关乌兰过攻击证据的同时，其却花费越来越多的时间来跟包括律师Sidney Powell在内的盟友讨论阴谋论。这位现总统的推文就是他广泛捍卫俄罗斯的一种延续。 特朗普在执政期间一直为俄罗斯辩护，包括其干预美国2016年大选以及其付钱给塔利班杀害驻阿富汗美军等。 另外，他还在继续传播虚假的选举声明，即在没有证据的情况下暗示黑客影响了2020年总统大选的结果。 美国网络安全和基础设施安全局表示，此次黑客袭击对联邦政府、州、地方、部落和领土政府以及关键基础设施实体和其他私营部门组织都构成了严重风险。 当选总统拜登则于当地时间周四表示，此次黑客袭击令人高度关注，另外他还承诺要让那些应对此次袭击负责的人付出“巨大代价”。 微软总裁布拉德·史密斯也对此发表了意见，他认为就相当于对美国及其政府和包括安全公司在内的其他关键机构发起了网络攻击。 据悉，黑客攻击的对象了包括了美国防部、国务院、国土安全部、财政部、商务部、能源部、国家核安全局、美国家卫生研究院及多家跨国公司。         （消息及封面来源：cnBeta）

据外媒报道，据美知情官员透露，美能源部(DOE)和国家核安全管理局(NNSA)拥有黑客入侵了他们网络的证据，作为一项大规模间谍活动的一部分，该网络攻击至少影响了六家联邦机构。当地时间周四，在听取了DOE首席信息官Rocky Campione的汇报后，该机构和NNSA的官员开始协调向各自的国会监督机构通报此次事件。 他们发现联邦能源监管委员会(FERC)、新墨西哥州和华盛顿的桑迪亚和洛斯阿拉莫斯国家实验室、国家安全局安全运输办公室和DOE里奇兰驻外办公室的网络存在可疑活动。据披露，黑客对FERC造成的破坏比其他机构都要大，官员已经掌握高度恶意活动的证据，但他们并没有就此给出详细的说明。 这些官员称，一直在协助联邦政府应对大规模黑客攻击的网络安全和基础设施安全局(CISA)本周向联邦监管委员会表示，其机构已不堪负荷，可能无法分配必要的资源进行应对。因此，DOE将为FERC分配额外的资源以帮助调查黑客事件–尽管FERC是一个半自治机构。 美DOE发言人Shaylyn Hynes表示，对此次黑客攻击正在进行的调查发现，作案者并没有进入关键的防御系统。 对DOE的攻击是迄今为止表明黑客能进入美国国家安全机构核心部分的网络的最明确迹象。据信，这些黑客通过破坏软件公司SolarWinds侵入了联邦机构的网络，据悉，该公司向数百个政府和私营部门客户销售IT管理产品。 DOE官员表示，他们计划周四向参众两院的能源委员会、参众两院的能源和水开发小组委员会、参众两院的军事委员会以及新墨西哥州和华盛顿州的代表团通报这一漏洞。 NNSA负责管理美国的核武器，虽然它得到的关注最少，但却占据了能源部预算的绝大部分。同样，桑迪亚国家实验室和洛斯阿拉莫斯国家实验室在进行跟民用核能和核武器有关的原子研究。美国安全运输办公室(Office of Secure Transportation)的任务是运送对维持核储备至关重要的浓缩铀和其他材料。 黑客们将目标对准美国能源部里奇兰驻外办公室可能是将网撒得过大。该办公室的主要职责是监督华盛顿州汉福德核废料场的清理工作。在第二次世界大战和冷战期间，美国2/3的钚都是在那里生产的，但该基地自1971年以来就不再活动了。 对FERC的攻击则可能是为了破坏美国的大型电网。FERC不直接管理任何电力，但它会在电网上存储敏感数据，这些数据可用于识别未来攻击中最具破坏性的位置。         （消息及封面来源：cnBeta）

CNBC 报道称，对于具有官方背景的大规模黑客攻击事件，即将接任美国总统职务的乔·拜登已宣称将对此采取强硬的态度。此前一些针对美国政府机构或企业的黑客攻击报道，曾多次将矛头对向俄方。而拜登政府的最新表态，预示着美国将与盟友一道，让躲在暗处的敌人付出更大的代价。 拜登过渡小组在周四发表的一份声明中称，美方落实的防护措施还远远不够，且必须率先打乱和阻止对手发现的大型网络攻击。 作为应对，美方将在必要的措施之外，让恶意攻击发起者付出显著的代价，其中还包括与盟友开展协调合作。 我们的对手应该知道，美国总统不会对此类具有国家级背景的网络攻击事件袖手旁观。 周三晚间，美国联邦调查局、网络安全和基础设施安全局（CISA）、以及国家情报局局长办公室（ODNI）组成了三个负责调查网络攻击、保护美国免受网络威胁的领导机构。 除了就‘针对美国的重大且持续的网络安全形势’作出响应，联合司令部还在一份声明中指出 —— 形势仍处于发展阶段，但它已经对联邦政府的内部网络产生了影响。与此同时，我们需要继续努力了解事件的全貌。         （消息及封面来源：cnBeta）

攻击者总是在寻找一种方法来执行受害者机器上的文件，并且希望不被发现。一种方法是使用一种脚本语言。如果受害者的操作系统中没有内置的编译器或解释器，那么这种脚本语言就无法执行。Python、AutoIT和AutoHotkey（AHK）就属于这种脚本语言。特别是，AHK是一种面向Windows的开源脚本语言，旨在提供简单的键盘快捷方式或热键、快速的微创建以及软件自动化。AHK还允许用户使用代码创建一个compiled.EXE文件。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1432/         消息及封面来源：trendmicro，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击，该攻击破坏了机构的数字签名工具包，并在系统上安装了后门。 网络安全公司ESET在本月初发现了这种“ SignSight”攻击，其中涉及修改CA网站（“ ca.gov.vn”）上托管的软件安装程序，插入名为PhantomNet或Smanager的间谍软件工具。 根据ESET的遥测，该网络攻击活动发生在2020年7月23日至8月16日，涉及的两个安装程序：“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”（适用于32位和64位Windows系统），已被篡改并安装后门。 在将攻击报告给VGCA之后，该机构确认“他们早已知道此类网络攻击，并通知了下载该木马软件的用户。” ESET的Matthieu Faou说：“对于APT黑客组织来说，认证机构网站的妥协是一个很好的机会，因为访问者对负责签名的国家组织高度信任。” 越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分，政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌（也称为PKI令牌）对文档进行数字签名，通过上述驱动程序进行操作。 用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞，伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序（最近一次编译于4月26日进行）负责收集系统信息，并通过从硬编码的命令和控制服务器（例如“ vgca.homeunix [.] org”和“ office365.blogdns”）检索的插件来部署其他恶意功能。 [.] com”），模仿相关软件的名称。 ESET表示，除越南外，菲律宾也存在受害者，但黑客的交付机制和最终目标仍然未知，对交付后的相关信息也知足甚少。 该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介，因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。 ESET在11月披露了在韩国进行的Lazarus攻击活动，该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具（RAT）。 在上周，一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用，提供HyperBro后门程序：Korplug RAT和名为Tmanger的木马。 本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构，包括国土安全部、商务部、财政部和州政府。 Faou总结说：“恶意代码通常隐藏在许多正常代码中，因此供应链攻击通常十分隐蔽且很难被发现。”         消息及封面来源：The Hacker News ；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软总裁布拉德·史密斯(Brad Smith)近日警告说，SolarWinds 的 IT 软件 Orion 产生的大范围黑客攻击事件“仍在发酵”，表明这次攻击的范围、复杂程度和影响情况都是非常深远的。该漏洞主要针对美国政府机构，因此不少人猜测是有俄罗斯政府支持黑客组织实施的。 史密斯将本次黑客攻击定性为“清算的时刻”（a moment of reckoning），并阐述了微软认为这次黑客攻击的规模和危险性。史密斯认为，它 “代表了一种鲁莽的行为，给美国和世界造成了严重的技术漏洞”。 他认为这不仅仅只是对特定目标的攻击，而是对世界关键基础设施的信任和可靠性的攻击，以推动一个国家情报机构的发展。虽然帖子没有明确指责俄罗斯，但暗示的意思非常明显。史密斯称，“未来几周将提供越来越多的，我们相信关于最近这些攻击的来源的无可争议的证据”。 为了说明本次攻击的影响情况，史密斯分享了一张地图，使用 Microsoft Defender 反病毒软件中获取的遥测数据显示已经安装了带有恶意软件的 Orion 版本的设备 。 据史密斯透露，微软本周还一直在努力通知 40 多个客户，攻击者更精确地瞄准了这些客户，并通过额外和复杂的措施进行破坏。这些客户中约有 80% 位于美国，但微软还确认了加拿大、墨西哥、比利时、西班牙、英国、以色列和阿联酋的受害者。史密斯说：“可以肯定的是，受害者的数量和地点会不断增加”。 对此次黑客事件的调查还在进行中。联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)周三发表联合声明称，他们正在协调 “整个政府对这一重大网络事件的反应”。而史密斯警告说，”我们都应该为公共部门和其他企业和组织中更多受害者做好准备”。       （消息及封面来源：cnBeta）

随着5G网络的逐渐推广，许多潜在缺陷可被黑客利用以进行一系列网络攻击活动，包括使用户无法访问网络并拦截数据的DoS攻击等。 这些发现成为了伦敦网络安全公司Positive Technologies于6月发布的“ 2020年LTE和5G网络漏洞报告”中的“ 5G独立核心安全研究”的基础素材。 该公司表示：“网络安全的关键要素包括设备的正确配置以及网络要素的认证和授权。在缺少这些元素的情况下，黑客便很容易利用PFCP中的漏洞进行网络攻击，并在用户不知情的情况下利用用户身份进行网络犯罪。” 5G的安全优势 5G的主要安全优势之一是可防止被监视和加密国际移动用户身份（IMSI）号码，IMSI是SIM卡附带的唯一标识符，用于识别蜂窝网络的用户。 5G核心（5GC）还使用传输控制协议（TCP）代替流控制传输协议（SCTP）来更新IT协议栈，HTTP / 2替代了Diameter协议以实现应用层安全，用于网络功能之间的加密通信。 5G移动网络根据4G演进核心（EPC）技术以独立或非独立模式进行部署，该框架由多达九个网络功能（NF）组成，负责注册用户、管理会话和存储用户数据，并通过基站（gNB）使用户（UE或用户设备）连接到Internet。 研究人员认为，这一系列技术潜在地为用户和运营商网络的攻击打开了大门，使黑客得以进行DoS攻击。 DoS和MitM攻击 系统体系结构的一个问题是通过分组转发控制协议（PFCP）以专用于会话管理的接口（会话管理功能或SMF ）。 黑客可能会选择删除会话或修改PFCP数据包，导致互联网访问中断（CVSS得分6.1）甚至拦截网络流量（CVSS得分8.3）。 安全人员还发现管理网络存储库功能（NRF）的部分5G标准存在问题，该功能允许在控制平面中注册NF，并在存储库中添加现有网络功能，通过控制下的NF访问用户数据（CVSS评分8.2）。通过删除关键组件的相应NF配置文件，滥用NRF中缺少授权的权限，从而导致用户的服务损失。 暗中监视用户的位置 用户身份验证漏洞可公开分配给每个订阅永久标识符（SUPI），并通过欺骗基站泄漏的身份验证信息为最终用户提供服务。 另外，管理用户配置文件数据的用户数据管理（UDM）模块中的设计问题可以允许具有“访问相关接口的对手直接连接到UDM或通过模拟网络服务提取包括位置数据（CVSS评分7.4）的必要信息。” 研究人员说：“访问此类数据将严重危害安全性：它使黑客可在用户不知情的情况下监视用户。” 黑客还可以使用用户标识信息模拟隐形会话，从而模拟负责用户注册（CVSS评分8.2）的计费访问和移动性管理功能（AMF）模块。 评估、监测和保护的需求 毫无疑问，5G在安全方面取得了一定进步，但随着5G网络用户的数量持续增长，相关审查也变得日益重要。 研究人员总结：“操作员在设备配置中的失误对5G安全性影响深远，设备供应商负责所有架构网络保护功能的技术实施，因此其地位十分重要。为防止黑客攻击，运营商必须采取及时的保护措施，如正确配置设备、使用防火墙并进行安全监视等”       消息及封面来源：The Hacker News ；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

今天路透社报道称，微软在被黑客入侵之后，其资产被操纵从而参与了针对Solarwinds的攻击，有超过1.8万家公司和政府机构被感染了一个后门，这个后门将允许黑客（很可能是来自俄罗斯的黑客）自由访问他们的网络。 微软表示，他们已经在公司内部检测到了SolarWinds软件的恶意版本，但同时也表示，到目前为止，其调查没有显示出黑客利用微软系统攻击客户的证据。 官方声明称：“和其他SolarWinds客户一样，我们一直在积极寻找这个行为者的特征，并可以确认我们在环境中检测到了恶意的SolarWinds二进制文件，我们现在已经对其进行了隔离和删除，但没有发现访问生产服务或客户数据的证据。我们的调查正在进行中，重申绝对没有发现任何迹象表明我们的系统被用来攻击他人。” 微软一直在参与开发针对恶意软件Sunburst的专杀工具，但FireEye警告说，黑客可能已经利用该恶意软件在网络上植入效力更持久的恶意软件，这可能更难检测和消除。         （消息来源：cnBeta；封面来自网络）

最新研究显示，越来越多的网络犯罪分子利用商品恶意软件和攻击工具，将部署勒索软件的任务外包给其附属机构。 Sophos发布的一项新分析表示，Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。 分支机构通常是负责在目标网络中获得初始立足点的攻击者。 Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说：“SystemBC是最近勒索软件攻击者工具中的常规部分。” “后门可以与其他脚本和恶意软件结合使用，以自动方式跨多个目标执行发现、过滤和横向移动。这些SystemBC功能最初是为大规模利用而设计的，但现在已被整合到针对性攻击的工具包——包括勒索软件。” 2019年8月，Proofpoint首次记录了SystemBC。它是一种代理恶意软件，它利用SOCKS5互联网协议屏蔽命令和控制（C2）服务器的流量并下载DanaBot银行木马。 此后，SystemBC RAT利用新特性扩展了工具集的范围，允许它使用Tor连接来加密和隐藏C2通信的目的地，从而为攻击者提供一个持久的后门来发起其他攻击。 研究人员指出，SystemBC已被用于许多勒索软件攻击中，通常与其他后攻击工具（如cobaltstake）一起使用，以利用其Tor代理和远程访问功能来解析和执行恶意shell命令、VBS脚本，以及服务器通过匿名连接发送的其他DLL blob。 另外，SystemBC似乎只是众多商品工具中的一个，这些工具最初是由于网络钓鱼邮件而被部署的。这些邮件会传递诸如Buer Loader、Zloader和Qbot之类的恶意软件加载程序，这使得研究人员怀疑这些攻击可能是由勒索软件攻击者的分支机构发起的，或者勒索软件攻击者本身通过多个恶意软件即服务发起的。 研究人员表示：“这些功能使攻击者能够使用打包的脚本和可执行文件进行发现、过滤和横向移动，而无需动用键盘。” 商品恶意软件的兴起也表明了一种新的趋势，即勒索软件作为服务提供给附属公司，就像MountLocker那样，攻击者向附属公司提供双重勒索能力，以便以最小的代价分发勒索软件。 Gallagher表示：“在勒索软件即服务攻击中使用多种工具会产生越来越多样化的攻击模式，IT安全团队更难预测和应对。深入防御、员工培训和以人为基础的威胁搜索对于检测和阻止此类攻击至关重要。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”