ESET 安全研究人员指出，疑似有俄方背景的黑客组织 Turla，正在利用前所未有的方式，存储恶意软件窃取来的相关数据。此前有研究称 Turla 涉嫌在欧盟外交机构部署了后门程序，并窃取了敏感文件。此外在 2015 到 2020 年初的活动中，该组织还利用了此前未知的 Crutch 恶意软件框架。 Crutch 恶意软件架构图（来自：ESET） ESET 安全研究人员 Matthieu Faou 在今日公布的一份报告中称：“攻击的复杂性和已发现的技术细节，进一步增强了我们对 Turla 组织拥有大量资源来运营如此庞大而多样化的网络攻击武器库的看法”。 此外 Crutch 甚至能够滥用合法的基础架构（本文以 Dropbox 网盘为例）来绕过某些安全层，以便将自身隐于正常的网络流量，从操作者手上接收命令并窃取机密文档。 之所以怀疑 Turla 有俄方背景，是因为 ESET 研究人员发现 Crutch 与 2016~2017 年间的 Gazer 网络安全威胁有相似之处。 其使用了相同的 RC4 密钥来解密有效负载，且应用了与 2017 年 9 月的一台受感染的计算机上几乎相同的 PDB 路径和文件名。 基于此，Matthieu Faou 认为 Crutch 只是 Turla 网络攻击武器库家族的其中一部分。 此外根据 2018 年 10 月 ~ 2019 年 7 月间 500 多个被盗上传至 Dropbox 账户的 ZIP 存档文件时间戳，Crutch 幕后操作者的工作时间，也与俄罗斯地区的 UTC +3 时区保持一致。       （消息及封面来源：cnBeta）

谷歌Project Zero白帽黑客Ian Beer周二披露了一个现已修补的严重“wormable”iOS漏洞的细节，该漏洞可能使远程攻击者能够通过Wi-Fi完全控制附近的任何设备。 Beer在一篇长篇博客中说，利用这个漏洞，可以“实时查看所有照片、阅读所有电子邮件、复制所有私人信息并实时监控（设备）上发生的一切”。 苹果在今年早些时候推出的iOS 13.3.1、macOS Catalina 10.15.3和watchOS 5.3.7的一系列安全更新中解决了该漏洞（编号为CVE-2020-3843）。 “远程攻击者可能会导致系统意外终止或内核内存损坏，”iPhone制造商在其公告中指出，“内存损坏问题通过改进输入验证得到解决。” 该漏洞源于与Apple Wireless Direct Link（AWDL）相关的Wi-Fi驱动程序中的“相当小的缓冲区溢出错误”，该协议是苹果公司开发的一种专用网格网络协议，用于AirDrop、AirPlay等，从而使苹果设备之间的通信更加方便。 简而言之，零点击漏洞利用一个由iPhone 11 Pro、Raspberry Pi和两个不同的Wi-Fi适配器组成的设置来实现任意内核内存的远程读写，利用它通过受害者进程将Shellcode有效负载注入内核内存，并逃离进程的沙盒保护以获取用户数据。 换言之，攻击者以AirDrop BTLE框架为目标，通过从存储在手机中的100个随机生成的联系人列表中联系人的哈希值来启用AWDL接口，然后利用AWDL缓冲区溢出获取对设备的访问权，并以根用户身份运行植入程序，从而完全控制用户的个人数据，包括电子邮件、照片、消息、iCloud数据等。 尽管没有证据表明该漏洞是在野外被利用的，但研究人员指出，“利用漏洞的厂商似乎注意到了这些修复。” 这并不是第一次在Apple的AWDL协议中发现安全漏洞。去年7月，德国达姆施塔特技术大学的研究人员揭露了AWDL中的漏洞，攻击者能够跟踪用户、使设备崩溃，甚至拦截通过中间人（MitM）攻击在设备之间传输的文件。 Synacktiv详细介绍了苹果“Memory Leak”零日漏洞 在另一项开发中，Synacktiv分享了CVE-2020-27950的更多细节，CVE-2020-27950是苹果上个月在谷歌Project Zero发布报告后修补的三个漏洞之一。 虽然披露的内容缺乏细节，但这些漏洞是由于FontParser库中允许远程代码执行的内存损坏问题、授予恶意应用程序内核运行任意代码权限的内存泄漏以及内核中的类型混乱造成的。 通过比较与iOS 12.4.8和12.4.9相关的两个内核二进制文件，Synacktiv的研究人员能够追溯内存泄漏问题的根源，明确指出这些变化解决了内核如何处理与苹果设备中进程间通信相关的mach消息。 研究人员还设计了一种概念验证代码，利用该漏洞泄漏了mach端口内核地址。 Synacktiv的Fabien Perigaud说：“这个漏洞在XNU中存活了这么长时间真是令人惊讶，因为它的代码是开源的，并且受到了数百名黑客的监督。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

根据一项新的研究，自2012年以来，以网络间谍活动而闻名的国家性质的黑客，正在使用挖矿技术来躲避检测，并在受害者系统上建立持久性。 微软的365 Defender威胁情报团队称，今年7月至8月期间，该组织部署了Monero硬币矿工，对法国和越南的私营部门和政府机构进行攻击。 研究人员在昨天发表的一份分析报告中表示：“这些硬币矿工的背后或许隐藏着更邪恶的活动。” 此次攻击的主要受害者是越南的国有企业以及与越南政府机构有关联的实体。 微软把Bismuth比作“OceanLotus”（或APT32），将其与间谍软件攻击联系在一起，这些间谍软件使用定制和开源工具集攻击大型跨国公司、政府、金融服务、教育机构、人权和民权组织等。 此前，OceanLotus利用了macOS的一个新后门，攻击者能够窥探并窃取受感染机器的机密信息和敏感商业文件。 使用硬币矿工进行混入 尽管该组织的渗透策略和间谍活动基本上没有什么变化，但“硬币矿工”为他们提供了一种新的盈利方式。 这个想法是为了争取时间进行横向移动，感染像服务器这样的高价值目标，以便进一步传播。 为了实现这一点，攻击者针对受害者使用了特制的越南语编写的鱼叉式网络钓鱼邮件。在某些情况下，攻击者甚至与目标建立通信，以增加打开电子邮件中嵌入的恶意文档并触发感染链的机会。 另一种技术涉及使用DLL侧加载，其中合法库被恶意变体替换，利用过期版本的合法软件（如Microsoft Defender Antivirus、Sysinternals DebugView和Microsoft Word 2007）加载恶意DLL文件，并在受损设备和网络上建立一个持久的命令和控制（C2）通道。 新建立的通道随后被用来丢弃一些下一阶段的有效负载，包括用于网络扫描、凭证盗窃、Monero硬币挖掘和执行侦察的工具，其结果以“.csv”文件的形式传回服务器。 躲避策略 微软表示：“攻击者通过与正常的网络活动或预期会得到低关注的常见威胁混合在一起来躲避检测。” 建议企业通过加强电子邮件过滤和防火墙设置，加强凭证保护，启用多因素身份验证来限制用于获得初始访问权限的攻击面。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

在电影或者视频游戏中，你是否曾经看到过有黑客在不接触设备的情况下立即接管某人的设备？也许你认为在当前各大厂商非常注重安全的大背景下不太可能，不过谷歌 Project Zero 安全研究人员 Ian Beer 已经将其变成现实。 在今天更新的博文中，他表示截至今年五月，iPhone、iPad等设备都存在严重的漏洞，能够让攻击者在不接触设备的情况下完全控制设备，包括阅读电子邮件和其他信息、下载照片，甚至能够通过麦克风和相机来观察和收听你的声音。 an Beer 表示这个漏洞的关键是当前 iPhone、iPad、Mac 和 Apple Watch 均使用 Apple Wireless Direct Link（AWDL）协议，而该协议是AirDrop（可轻松将照片和文件传输到其他iOS设备）和Sidecar（快速将iPad变成辅助屏幕）的基础。 Beer 不仅找到了一种方法来利用这一点，而且还找到了一种强制AWDL打开的方法，即使先前已将其关闭。 尽管 Beer 表示虽然没有证据表明这些漏洞已经被黑客利用，但他承认他花了整整 6 个月的时间才发现这个漏洞，并验证可以利用。虽然这个漏洞在今年 5 月已经修复，但他建议不要忽略黑客的攻击力，应该尽快安装升级。苹果没有立即回应置评请求，但苹果确实在2020年5月与漏洞相关的一些安全更新的变更日志中引用了 Beer 的内容。         （消息来源：cnBeta；封面来自网络）

微软周一表示，越南政府支持的黑客最近被发现部署加密货币挖掘恶意软件。 该报告强调了网络安全行业的增长趋势，越来越多的国家支持的黑客组织也将目光投向了常规的网络犯罪活动，这使得区分金钱和情报收集为动机的犯罪活动变得更加困难。   APT32涉足MONERO领域 该越南小组由Microsoft追踪为 Bismuth，自2012年以来一直活跃，并以代号APT32 和 OceanLotus等 广为人知。 该组织大部分时间都在组织国内外黑客活动，目的是收集信息以帮助其政府处理政治、经济和外交政策决策。 但微软在周一晚间发布的 一份报告中说，观察到该小组的策略发生了变化。 微软表示：“在2020年7月至8月的竞选活动中，该组织将Monero部署到了针对法国及越南私营企业和政府机构的攻击中。”   目前尚不清楚该黑客组织为何更改，但是Microsoft有两种理论: 第一点是该组织正在使用网络犯罪操作相关的加密恶意软件掩饰某些攻击。 第二点是，该小组正在尝试使用新方式从感染系统中创收。   其他国家赞助的黑客组织也为个人利益而犯罪 这一理论符合网络安全行业的普遍趋势，近年来，中国、俄罗斯、伊朗和朝鲜政府资助的黑客组织也出于个人利益开展网络犯罪活动，而非网络间谍活动。 这些组织通常在当地政府的保护下开展活动，无论是作为承包商还是情报人员，他们也都在与美国没有引渡条约的国家/地区内开展攻击活动，从而使他们自己不承担任何后果。 由于越南也缺乏与美国的引渡条约，预计该国因“处于边缘”而成为未来十年的网络犯罪和网络间谍中心。     消息来源：zdnet；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

援引外媒报道，一支有国家背景的黑客组织正利用现有 macOS 后门对越南地区的 Mac 用户发起攻击。根据趋势科技近日发布的一份最新报告，这款升级版恶意软件能让攻击者访问受感染的 Mac，并监控和窃取敏感信息。 图 1-2. OceanLotus样本（上）和最新OceanLotus样本（下）的比较 图 3. 样本文件名、图标和app bundle结构 图 4. “.” 和 “doc”之间的特殊字符 图 5. 样本的代码签名信息 图 6. “ALL tim nha Chi Ngoc Canada” 文件内容 图 7. 执行文件后展示的文件 图 8. Plist文件 ~/Library/LaunchAgents/com.apple.marcoagent.voiceinstallerd.plist 图 9. 释放文件的时间戳 图 10. 加密的字符串 图 11-12. 解密方法 报告指出，该恶意软件以 ZIP 文件的形式进行传播，并伪装成 Word 文档，通过钓鱼电子邮件方式进行传播。目前，使用该恶意软件伪装的 ZIP 文件能够通过各种安全软件的检测。 一旦安装在计算机上，该恶意软件就会启动一系列有效负载，这些有效负载会更改访问权限并在系统上安装后门。该后门程序使攻击者可以侦听和下载用户文件，获取有关计算机的其他信息以及上载其他恶意软件。 趋势科技认为，该后门程序与一个名为 OceanLotus 或 APT32 的黑客组织有关，该组织被认为与越南政府有联系。 OceanLotus 以针对在越南工作的外国组织为目标而闻名，人们认为他们的目标是通过网络间谍活动来支持越南拥有的公司。 研究人员写道：“ OceanLotus等威胁组织正在积极更新恶意软件变种，以逃避检测并提高持久性”。由于该恶意软件似乎是为特定地理区域内的针对性间谍活动而设计的，因此它不太可能给大多数macOS用户带来很大的风险。         （稿源：cnBeta；封面来自网络）

周一，内盖夫本古里安大学的学者描述了生物学家和科学家如何成为生物科学领域网络攻击的受害者。 在全球科学家正研发COVID-19疫苗的时候，本·古里安的研究小组表示，黑客不再需要物理接触“危险”物质即可生产“病毒”。相反，黑客可以通过网络攻击诱骗科学家合成病毒。 该研究报告《网络生物安全性：合成生物学中的远程DNA注射威胁》最近发表在学术期刊《自然生物技术》上。 该报告描述了恶意软件如何替换DNA测序中的生物学家计算机上的子字符串。具体而言，合成双链DNA和统一筛选协议v2.0系统提供者的筛选框架指南中的弱点可以混淆程序。 向合成基因者下达DNA命令时，美国卫生与公众服务部（HHS）指南要求制定筛选方案以扫描潜在有害DNA。 但是，该黑客团队有可能通过混淆来规避这些方案，在50个混淆的DNA样本中，有16个未针对“最佳匹配” DNA筛选被检测到。 用于设计和管理合成DNA项目的软件也可能会受到浏览器内人为攻击的攻击，该攻击可用于将任意DNA字符串注入基因顺序，从而简化了团队所谓的“端到端网络生物学攻击”。这些系统提供的合成基因工程管道可以在基于浏览器的攻击中被篡改。黑客可能使用恶意浏览器插件，例如“将混淆的病原体DNA注入合成基因的在线顺序中”。 在证明这种攻击可能性的案例中，研究小组引用了残留的Cas9蛋白，并使用恶意软件将该序列转化为活性病原体。研究小组说，“当使用CRISPR协议时，Cas9蛋白可以被用来‘模糊化宿主细胞内的恶意DNA’。”对于不知情的科学家来说，这可能会导致意外产生了危险物质，包括合成病毒或有毒物质。 BGU复杂网络分析实验室负责人Rami Puzis表示：“为了管制有意和无意的危险物质生成，大多数合成基因提供者会筛选DNA指令，这是目前抵御此类攻击的最有效方法。” “不幸的是，筛查指南尚未适应反映合成生物学和网络战的最新发展。” 潜在攻击链概述如下： Puzis补充说：“这种攻击情景强调了必须通过防御网络生物学威胁来强化合成DNA供应链。” 为了解决这些威胁，我们提出了一种改进的筛选算法，该算法考虑了体内基因编辑。       消息及封面来源：zdnet；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客组织利用黑匣子攻击技术从至少35台意大利ATM机中盗窃了80万欧元。 意大利人Carabinieri证实该黑客组织有12人，其中6人已经被捕，3人目前在波兰被押制，1人在被逮捕之前返回摩尔多瓦，还有2人可能已离开意大利。 据当地媒体报道，该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省设有众多后勤基地。 黑匣子 攻击技术旨在通过“黑匣子”设备发送命令强制ATM分配现金。在此攻击中，黑匣子设备（移动设备或Raspberry）物理连接到ATM以向计算机发送命令。 没有采取良好保护措施的ATM更容易遭受此类攻击，因为黑客很容易就连接上移动设备。 7月，ATM机领先制造商Diebold Nixdorf向客户发出了警报：黑匣子攻击产生了新变种。比利时的Agenta银行在被攻击后被迫关闭143台ATM。 比利时当局观察到，所有受感染的机器都是 Diebold Nixdorf ProCash 2050xe 设备。 根据 Diebold Nixdorf发布在ZDNet上的安全警报描述：黑匣子攻击的新变种已在欧洲的某些国家/地区被黑客利用。           消息及封面来源：securityaffairs；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

本次攻击是一个著名的亚洲APT组织所为，该组织涉嫌对政府目标进行网络间谍活动。在本文中，我们将分享这次攻击的调查结果。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1414/           消息及封面来源：ptsecurity，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

瑞士公共电视台SRF发现，除了Crypto AG之外，还有第二家公司参与制造涉嫌被外国情报部门用于间谍活动的操纵设备。据SRF消息人士称，瑞士公司Omnisec AG与美国情报部门有联系。此前，SRF、德国ZDF电视台和《华盛顿邮报》在2月份披露，总部位于楚格的Crypto AG公司是由美国中央情报局（CIA）领导的大规模国际间谍行动的核心，其次是德国BND间谍机构。Omnisec是Crypto AG的最大竞争对手之一。 瑞士密码学家、教授Ueli Maurer曾为Omnisec担任顾问多年，他告诉SRF，1989年美国情报部门（国家安全局）通过他与Omnisec联系。值得关注的是OC-500系列设备。这些设备被卖给了几个瑞士联邦机构。然而，瑞士当局在2000年代中期才注意到这些设备不安全。 一些瑞士公司也收到了来自Omnisec的操纵设备，包括瑞士最大的银行UBS。目前还不清楚当局是否在2000年代中期就将这些薄弱设备告知了瑞银。瑞银集团告诉SRF，它不对安全问题发表评论，但当时没有迹象表明敏感数据被暴露。 Omnisec公司成立于1987年，生产语音、传真和数据加密设备。它在几年前解散了。该公司最近的负责人Clemens Kammer告诉SRF，Omnisec的客户“已经并将继续高度重视商业关系中的安全性、保密性、谨慎性和可靠性””。 一些政治家呼吁进一步调查这些最新的指控，这些指控可能会揭示联邦政府中可能有人知道Omnisec与外国情报部门的商业事务。 密码事件 本月早些时候，瑞士议会审计委员会（GPDel）进行了为期九个月的调查，发现瑞士情报部门早在1993年就知道美国中央情报局是瑞士Crypto AG的幕后黑手。报告称，瑞士情报部门后来与他们合作，从国外收集信息。 有100多个国家从这家总部设在楚格的公司购买了加密设备，该公司打着瑞士中立的幌子开展业务。实际上，该公司属于美国中央情报局和德国情报部门，他们可以自由读取其加密的内容。在Crypto公司设备的帮助下截获的信息改变了事件的进程，包括1979年的伊朗人质危机。       （稿源：cnBeta；封面来自网络）