赛门铁克安全研究人员刚刚披露了波及 17 个市场区域，针对汽车、工程、制药、托管服务提供商等领域的大规模 ZeroLogon 漏洞攻击。在这些活跃的网络攻击背后，据说都有 Cicada 的身影（又名 APT10、Stone Panda 和 Cloud Hopper）。 （来自：Symantec） 2009 年开始浮出水面的 Cicada，被美方认为有境外背景，且曾向日本多个组织机构发起过网络攻击。 从目前已知的信息来看，新一轮攻击的模样似乎没有什么不同。时间从 2019 年 10 月中旬，一直活跃到至少今年 10 月。 赛门铁克指出，Cicada 使用了包括 DLL 侧载、网络侦察、凭据盗窃、能够安装浏览器根证书并解码数据的命令行实用程序、PowerShell 脚本、RAR 文档等在内的工具和技术，并且利用了合法的云托管服务提供商来下载、打包和泄露其窃取的文件信息。 需要指出的是，该组织最近还扩展了他们的工具包阵容，能够对评级为 10 分的 ZeroLogon 漏洞（CVE-2020-1472）展开利用。 尽管微软已于 8 月对其进行披露和修补，但广大用户仍有被域控制器账户劫持或欺骗、以及导致活动目录身份服务被破坏等安全风险。 此外 Cicada 针对攻击目标推出了定制的 Backdoor.Hartip 恶意软件，此前从未与 APT 有过关联。 据说该组织专注于窃取信息和开展网络间谍行动，包括公司记录、人力资源文档、会议备忘录、费用信息等在内的感兴趣数据，通常会被打包并提交到 Cicada 的命令与控制服务器中。 研究人员指出，攻击者在受害者网络上耗费的时间不尽相同，或者沉寂一段时间后又再次活跃。遗憾的是，由于代码本身被加花，赛门铁克难以准确推断该组织的确切目标。 不过 DLL 侧载和 FuckYouAnti 等名称的运用，此前已被另一份有关 APT 的 Cylance 报告所披露。此外还有 Cicada 之前利用过的 QuasarRAT 和 Backdoor.Hartip 。 赛门铁克总结道：Cicada 显然有许多资源和技能去支撑其发动类似复杂而广泛的攻击，其危险性依然不容小觑。         （消息来源：cnBeta；封面来自网络）

伴随着新冠疫情肆虐，越来越多的员工开始通过远程办公的方式进行线上协作、视频会议。而远程办公的激增，也暴露了诸多安全性和数据保密性问题。IBM 的研究人员近日对热门应用–思科 Webex 进行了测试，发现该服务存在三个漏洞。这些漏洞能够让攻击者以“Ghost”身份加入到会议中而不被发现。 这些漏洞不仅能够让攻击者秘密地加入会议，甚至在被“驱逐”之后仍然可以作为音频参与者留在会议中。攻击者甚至可以在不进入呼叫的情况下从大厅获得有关会议与会者的详细信息。 视频链接：https://www.bilibili.com/video/BV11t4y1e7dP?zw 虽然当这些攻击者加入到会议中依然会触发蜂鸣声，但如果这次会议中有很多与会者，那么就非常容易被忽略。IBM 表示在发现该漏洞的同时，还发现可以通过特殊的 URL 地址来影响已经设定的会议和会议安排。 该漏洞可以发生在客户端和服务器之间的“握手”过程中。由于“不正确的输入验证和清理”，攻击者可以操纵通过WebSocket发送的请求（客户端与服务器之间的连接），并将特殊设计的值注入到请求中以作为虚拟主机加入。研究人员成功地测试了这些场景，并且可以参加会议且不会出现在与会人员列表中，也不会被发现。 IBM说，由于问题的严重性和紧迫性，它立即与Cisco共享了其发现的细节。这家网络公司致力于修复上述漏洞，并于今天发布了安全公告。这三个错误分别被标记为CVE-2020-3441, CVE-2020-3471, CVE-2020-3419，并已成功修复。由于此问题影响了大多数平台上的Webex客户端，因此该公司建议用户将其应用程序更新到最新版本。         （消息来源：cnBeta；封面来自网络）  

在微软披露存在于 Windows RDP 服务中的 BlueKeep 高危漏洞一年半后，目前至少仍有 245000 台 Windows 设备尚未修复该漏洞，意味着它们依然容易受到黑客的攻击。BlueKeep 于2019年5月首次发现，在对 950000 台设备的扫描中发现 25% 的设备存在该漏洞。 同样地，超过 103000 台 Windows 设备仍然容易受到 SMBGhost 的攻击，这是存在于2020年3月发布的新版 Windows 附带的服务器消息块v3（SMB）协议中的漏洞。 这两个漏洞都使攻击者可以远程控制Windows系统，并且被认为是过去几年Windows中披露的一些最严重的错误。然而，根据 SANS ISC 管理员 Jan Kopriva 在过去几周进行的研究，尽管这两个漏洞非常严重，但许多系统仍未打补丁。 根据这名来自捷克的安全研究人员的说法，目前全球仍有数百万台设备存在安全隐患，而且管理员无法修复它们，导致非常容易被恶意攻击者接管。这些系统包括 IIS 服务器、Exim 电子邮件代理，OpenSSL 客户端和 WordPress 网站等系统。 这些系统为何未打补丁的原因仍然未知，但即使是美国政府网络安全机构最近发出的警告也没有帮助。尽管有这些警告，仍然有超过 268,000 台 Exim 服务器未针对Exim错误进行修补，而超过 245,000 台针对 BlueKeep 未进行修补。         （消息来源：cnBeta；封面来自网络）

加密货币交易所Liquid已确认遭到黑客攻击，它仍在调查受影响的范围有多大。Liquid首席执行官Mike Kayamori在博客中表示，这次黑客攻击攻击发生在11月13日，在攻击当中黑客获得了公司域名记录的访问权限，使得黑客控制员工的电子邮件账户，随后入侵了公司的网络。 Kayamori表示，虽然加密货币资金已经 “入账”，但黑客可能已经访问了公司的文件存储。Liquid认为，黑客有能力从用户数据库中获取个人信息，如客户的电子邮件、姓名、地址和加密密码等数据。加密货币交易所Liquid表示，它正在继续调查，如果黑客获得了用户向交易所提交的用于验证身份的文件，如政府颁发的身份证、自拍照或地址证明，这可能会使用户面临身份被盗风险，或进行有针对性的攻击。 Liquid在一封电子邮件中告诉用户，为了安全起见，他们应该更改密码。通常，针对公司网络基础设施的攻击会利用弱小或重复使用的密码，这些密码被用来注册公司的域名。通过闯入并更改这些网络设置，攻击者可以在无形中控制网络，并获得对电子邮件账户和系统的访问权，而通过其他攻击途径则要困难得多。 鉴于入侵可能带来巨大经济回报，加密货币初创公司和交易所是黑客的高价值目标。2018年，Nano在一次黑客事件中被盗走1.7亿美元Binance和Coincheck在黑客入侵后分别损失了4亿美元的巨额资金，Coinrail在一次黑客攻击后损失了4000万美元，Bithumb损失了3000万美元。 加密货币交易所Liquid成立于2014年，并声称在过去的一年里促成了500亿美元的加密货币交易。       （消息来源：cnBeta；封面来自网络）

有证据表明，Cicada威胁组织是针对17个地区和多个行业的公司发动攻击的幕后黑手。大规模的攻击行动针对多家日本公司，其中包括位于全球17个地区的子公司。此次活动的目标横跨多个行业的公司，包括汽车、制药和工程部门的公司，以及管理服务提供商（MSP）。 Cicada又被称作APT10、Stone Panda、Cloud Hopper），它自2009年以来一直参与间谍类型的行动。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1402/       消息来源：Symantec Enterprise Blogs，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在过去的一篇文章中，我们介绍了Linux恶意软件ELF_TSCookie，它被一个攻击组织BlackTech使用。这个组织也使用其他影响Linux操作系统的恶意软件。我们之前介绍的Windows的PLEAD模块也有Linux版本（ELF_PLEAD）。本文将ELF_PLEAD模块与PLEAD模块进行了比较。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1401/         消息来源：JPCERT，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

vpnMentor研究人员发现了一个在线公开的ElasticSearch数据库，其中包含超过100.000个受感染Facebook帐户的信息。这些信息被恶意分子用作针对社交网络用户的全球黑客活动的一部分。 黑客使用被盗的登录凭据访问Facebook帐户并在帖子中分享垃圾邮件，链接到伪造的比特币交易平台，该平台曾欺诈至少250欧元的“存款”。 研究人员说：“通过提供虚假新闻网站的链接，黑客希望绕过并混淆Facebook检测工具。” “如果被黑客入侵的帐户一遍又一遍地发布与比特币骗局相同的链接，那么它们很快就会被禁止。” 黑客通过提供一种假装泄露谁在访问其个人资料的工具，诱使Facebook用户提供其帐户登录凭据。 档案包括电子邮件、姓名和电话号码等个人身份信息（PII）数据，专家们还发现了该欺诈活动中被雇用的数十个域。该档案还包括有关网络犯罪分子如何自动执行流程的技术信息。目前尚不清楚其他第三方是否访问或泄漏了公开的数据。档案大小超过5.5 GB，在今年6月至9月间保持打开状态。据专家称，至少有10万名Facebook用户数据被泄露。 vpnMentor指出Facebook帐户未遭到黑客攻击，该公开数据库属于第三方，使用该数据库处理通过一组针对Facebook用户的欺诈网站非法获取的帐户登录凭据。研究人员将情况发布至社交网络，并确认该数据库的真实性。 发现数据库的第二天，它很可能受到Meow攻击的攻击擦除了其数据，使数据库脱机。自7月以来，专家观察到数十个不安全的Elasticsearch和MongoDB实例在网上公开，它们被黑客莫名其妙地擦除。 “Facebook用户受害者，请立即更改您的登录凭据。”  “此外，如果您在其他任何帐户上重复使用了Facebook密码，请立即更改密码以防止黑客入侵。我们建议使用密码生成器创建唯一的强密码，并定期进行更改。”       消息来源：securityaffairs，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

思科发布4.22版本的补丁程序后，过了一周，思科发布了多个有关Cisco Security Manager（CSM）关键漏洞的安全公告。 此前，Code White研究员Florian Hauser（frycos）公开披露了影响CSM web界面的12个安全漏洞的PoC，这些漏洞使得未经验证的攻击者有可能实现远程代码执行（RCE）攻击。 三个月前的7月13日，思科产品安全事故响应小组（PSIRT）负责任地报告了这些缺陷。 frycos在一条推文中称：“由于Cisco PSIRT变得无响应，而发布的4.22版仍然没有提到任何漏洞，”他在推特中列举了公开POC的原因。 Cisco Security Manager是一个端到端的企业解决方案，允许组织实施访问策略，管理和配置网络中的防火墙和入侵防御系统。 该公司于11月9日发布了CSM的4.22版本，其中包括对AnyConnect Web Security WSO的支持，以及不受欢迎的MD5哈希算法、DES和3DES加密算法。 这些漏洞允许攻击者在最高权限用户帐户“NT AUTHORITY\SYSTEM”的上下文中创建恶意请求、上传和下载任意文件，从而使对手能够访问特定目录中的所有文件。 思科在其公告中表示：“该漏洞是由于对受影响设备的请求中目录遍历字符序列的验证不正确所致。”“攻击者可以通过向受影响的设备发送精心编制的请求来利用此漏洞进行攻击。成功利用此漏洞可使攻击者从受影响的设备下载任意文件。” 该缺陷的CVSS评分为9.1（满分10分），等级为严重。 CSM使用的不安全的Java反序列化函数导致的另一个缺陷（CVSS分数：8.1）可能允许具有系统权限的未经验证的远程攻击者在受影响的设备上执行任意命令。 然而，思科还没有解决这个缺陷，计划中的修复程序将包括在思科安全管理器4.23版本中。 该公司还表示，它知道有关这些漏洞的公开声明，目前还没有发现任何证据表明这些漏洞是在野外被利用的。 11月16日，思科针对Cisco security Manager（CSM）中报告的漏洞发布了三份安全公告。报告的12个问题通过四个Cisco bug ID进行跟踪并解决。思科发布了免费软件更新，以解决CSM路径遍历漏洞咨询和CSM静态凭证漏洞咨询中描述的漏洞。 思科将尽快发布免费软件更新，以解决CSM Java反序列化漏洞咨询中描述的漏洞。         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

视频会议软件厂商 Zoom 今天推出了一项新的功能，如果在线视频中可能因为 Zoombombing 攻击而存在被破坏风险，那么该功能就会向会议组织者发出提醒。这项功能名为“At-Risk Meeting Notifier”，在 Zoom 的后端服务器上运行，通过连续扫描社交媒体和其他公共站点上的公开帖子以查找和确认 Zoom 会议链接是否被泄漏。 如果 At-Risk Meeting Notifier 找到 Zoom 会议 URL 链接，那么就会自动向会议组织者发送电子邮件，并警告其他人可能会进入其会议室并可能打乱会议。这些中断类型称为 Zoombombing 或 Zoom raid，是指在没有收到邀请的情况下，擅自进入到某个 Zoom 会议中，并通过侮辱，播放色情内容或威胁其他参与者来破坏会议。 Zoombombing 事件通常是在一名参与者在社交媒体，Discord 频道或 Reddit 帖子上共享一个Zoom会议的链接（有时是其密码），要求其他人中断会议后发生的。       （消息来源：cnBeta；封面来自网络）  

知名儿童游戏 Animal Jam 的制作公司 WildWorks 进行确认发生了数据泄漏事件。根据 App Annie 提供的数据，Animal Jam 是美国最受欢迎的儿童游戏之一，在 9-11 年龄段 App Store 上游戏排行上处于前五位置。 虽然数据泄漏并不是什么好消息，但是 WildWorks 采取了比大多数公司更积极的措施，从而让父母更容易保护他们的信息和孩子的数据。WildWorks 在一份详细声明中说，黑客在 10 月初偷走了 4600 万条 Animal Jam 记录，但直到 11 月才获悉该漏洞。 该公司表示，有人闯入了公司用于员工之间进行通信的系统之一，并访问了一个秘密密钥，该密钥使黑客能够侵入公司的用户数据库。坏消息是，已知被盗数据至少在一个网络犯罪论坛上流传，这意味着恶意黑客可能会使用（或正在使用）被盗信息。 该公司表示，被盗的数据可以追溯到过去 10 年，因此以前的用户可能仍然会受到影响。大部分失窃数据并非高度敏感，但该公司警告说，这些失窃记录中有3200万具有玩家的用户名，2390万记录具有玩家的性别，1480万条记录包含了玩家的出生年份，而 570 万条记录了玩家的完整的出生日期。 该公司表示，黑客还掌握了 700 万个用于管理孩子账户的父母电子邮件地址。报告还说，有12653个父母帐户具有父母的全名和帐单地址，有 16131 个父母帐户具有父母的姓名但无帐单地址。该公司表示，除了帐单地址外，没有其他帐单数据（例如财务信息）被盗。 WildWorks还表示，黑客窃取了玩家的密码，促使该公司重置每个玩家的密码。WildWorks并未说出它如何对密码进行加密，这使得密码可能无法解密并有可能被破解，或者使用和 Animal Jam 相同密码的其他账户。       （消息及封面来源：cnBeta）