在 Zerologon 漏洞开始疯狂传播之后，美国国土安全局责令政府网络管理员责令政府网络管理员立即给 Windows Server 2008 及以上版本（包括 Windows 10 Server）打补丁。现在，微软也加入这一呼吁，表示：“微软正在积极跟踪 CVE-2020-1472 Netlogon EoP 漏洞（也被称之为 Zerologon）的活动情况，我们已经观测到有黑客利用该漏洞发起了攻击”。 该漏洞编号为 CVE-2020-1472，存在于 Windows Server 中 Active Directory 核心验证元件 Netlogon 远程协议（MS-NRPC）中，可让未经授权的攻击者借由和网域控制器建立 TCP 连线时，送入假造的 Netlogon 验证令符而登入网域控制器，进而完全掌控所有 AD 网域内的身份服务。 在 8 月的补丁星期二活动日中，微软修复了这个漏洞。虽然该漏洞的CVSS 评分为满分10分，但细节从未公开过，也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。 CISA已发布紧急指令20-04，指示联邦文职行政部门机构对所有域控制器应用微软Windows服务器2020年8月安全更新（CVE-2020-1472）。CISA 已经指示政府服务器在9月21日（本周一）之前打好补丁，同时也强烈敦促他们在州和地方政府、私营部门以及美国公众中的合作伙伴尽快应用这一安全更新。     （稿源：cnBeta，封面源自网络。）

近几个月来，针对关键基础设施的勒索软件攻击激增，网络安全研究人员发现了一个新攻击者，该攻击者一直在尝试对俄罗斯的医疗实验室、银行、制造商和软件开发商的大型公司网络进行多阶段攻击。 这个代号为“OldGremlin”的勒索软件团伙至少自3月以来与一系列活动有关，其中包括上月8月11日发生的对一家临床诊断实验室的成功攻击。 新加坡网络安全公司Group-IB在今天发布的一份报告中说：“该组织迄今只针对俄罗斯公司。” “利用俄罗斯作为试验场，这些组织随后转移到其他地区，以减少落网的可能性。” OldGremlin的操作方式包括使用自定义后门（如TinyNode和TinyPosh下载额外的有效负载），最终目标是使用TinyCryptor勒索软件（又名Dec1pt）加密受感染系统中的文件，并以约5万美元的价格进行勒索。 另外，运营商使用代表俄罗斯RBC集团（总部位于莫斯科的主要媒体集团）发送的网络钓鱼电子邮件在网络上获得了最初的立足点，邮件主题中带有“发票”。 攻击者提供了一个恶意链接，当点击该链接会下载TinyNode恶意软件。 攻击者找到他们的出路后，对受感染计算机的进行远程访问，利用它通过Cobalt Strike在网络上横向移动并收集域管理员的身份验证数据。 在3月和4月观察到的另一种攻击变体中，我们发现攻击者使用以COVID为主题的网络钓鱼诱骗，向伪装成俄罗斯小额信贷组织的金融企业提供TinyPosh 木马。 随后，我们在8月19日发现了另一波运动，当时攻击者利用白俄罗斯正在进行的抗议活动谴责政府，发动了网络钓鱼消息，这再次证明了攻击者善于利用世界事件发起攻击。 根据Group-IB的数据，从5月到8月，OldGremlin总共落后了9个竞选活动。 Group-IB的高级数字取证分析师Oleg Skulkin说：“OldGremlin与其他讲俄语的攻击者的区别在于他们无惧在俄罗斯工作。” “这表明攻击者可能在走向全球之前就调整自身的技术以从本国优势中受益，或者它们是俄罗斯一些邻国的代表，这些邻国对俄罗斯掌握了强大的指挥权。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

8月9日，QuoIntelligence向其政府客户发布了一份关于有关针对北约成员（或与北约合作的国家）政府机构的（又名Sofacy，Sednit，Fancy Bear，STRONTIUM等）的警告。我们发现了一个上传到VirusTotal的恶意文件，该文件最终删除了Zebrocy恶意软件并与法国的C2通信。我们发现后，将恶意C2报告给了法国执法部门。 Zebrocy是APT28（也称为Sofacy）使用的恶意软件，在过去两年中，多家安全公司[1][2][3][4][5][6]报告了这种恶意软件。 最后，我们得出结论，这次袭击始于8月5日，至少针对位于中东的一个政府实体。但是，北约成员极有可能也观察到了同样的袭击。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1344/       消息与封面来源：QUOINTELLIGENCE  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

与Microsoft Bing相关的一个后端服务器暴露了搜索引擎移动应用用户的敏感数据，包括搜索查询、设备详细信息和GPS坐标等。 然而，日志数据库不包括任何个人信息，如姓名或地址。 9月12日，WizCase的Ata Hakcil发现了这一数据泄露，它是一个6.5TB的海量日志文件缓存，任何人都可以在没有任何密码的情况下访问这些文件，这有可能让攻击者利用这些信息进行敲诈和网络钓鱼诈骗。 WizCase称，服务器在9月10日之前一直受到密码保护，此后，身份验证似乎被无意中删除了。 微软安全响应中心知悉后，Windows制造商于9月16日解决了这一错误配置。 近年来，配置不当的服务器一直是数据泄露的持续来源，它会导致电子邮件地址、密码、电话号码和私人信息暴露。 WizCase的Chase Williams在周一的一篇文章中说：“基于绝对的数据量，可以安全地推测，任何在服务器暴露的情况下使用Bing搜索的人都有风险。”“我们看到了来自70多个国家的搜索记录。” 一些搜索词包括搜索儿童色情内容和他们在搜索后访问的网站，以及“与枪支相关的查询，包括购买枪支的搜索历史记录，以及‘杀死共产主义者’之类的搜索词。” 除了设备和位置的详细信息外，这些数据还包括使用移动应用程序执行搜索的确切时间、用户从搜索结果中访问的URL的部分列表以及三个唯一标识符，如ADID（Microsoft广告分配给广告的数字ID）、“deviceID”和“devicehash”。 此外，该服务器还遭受了至少两次所谓的“meow attack”，这是一次自动网络攻击，自7月以来，该攻击已从14000多个不安全的数据库实例中抹去数据，且没有任何解释。 尽管泄露的服务器没有透露姓名和其他个人信息，但WizCase警告说，这些数据可能被用于其他目的。此外，这还会让犯罪分子定位用户的行踪，用户可能会遭受人身攻击。 “无论是搜索成人内容、欺骗重要人物、极端政治观点，还是人们在必应上搜索的数百件令人尴尬的事情，”该公司表示一旦黑客掌握了搜索查询信息，他们可以根据服务器上提供的详细信息查出受害者的身份，从而使受害者容易成为敲诈的目标。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，作为一项协调国际行动的一部分，来自世界各地的执法机构已经逮捕了179名涉嫌在暗网非法买卖商品和服务的网络罪犯分子。另外，警方还发出警告称–“暗网黄金时代已经结束”。这次协调行动由德国联邦刑事警察牵头，并得到了荷兰国家警察、英国国家犯罪署、美国司法部和FBI、欧洲刑警组织等政府机构的支持。 据悉，这场被称为Operation Disruptor的行动是继去年Wall Street Market后的又一个针对非法网络交易行动而展开的执法行动。据了解，被捕人数最多的是美国，有121人，其次是德国，42人，8人在荷兰、4人在英国、3人在奥地利、1人在瑞典被逮捕。 被逮捕的人涉嫌出售非法物品和服务，包括毒品和枪支。执法部门在逮捕行动之后缴获了超650万美元的现金和加密货币。 欧洲执法机构欧洲刑警组织在一份声明中表示：“暗网市场的黄金时代已经结束。此类行动凸显了执法部门对抗暗网市场加密和匿名的能力。警方不再只是拿下这些非法市场，他们还会追捕通过这些网站买卖非法商品的犯罪分子。暗网不再是童话–卖家和买家不再隐藏在阴影之下。” 奥地利、塞浦路斯、德国、荷兰、瑞典、澳大利亚、加拿大、英国和美国都参与了逮捕行动。目前调查仍在进行中，执法部门希望往后能逮捕到更多的人。     （稿源：cnBeta，封面源自网络。）

据外媒TechCrunch报道，众议院一位主要民主党人表示，参议院法案将强制科技公司建立后门，允许执法部门访问加密设备和数据，这对美国人来说是“非常危险的”。执法部门经常因为科技公司使用强加密技术而与科技公司发生争执，强加密技术可以保护用户数据不被黑客和窃取，但美国政府官员表示，这使其更难抓住被指控犯有严重罪行的罪犯。 苹果和谷歌等科技公司近年来加倍加强了安全工作，用连他们自己都无法解锁的加密技术保护数据安全。 参议院共和党人在6月提出了最新的 “合法访问 “法案，延续了之前的努力，迫使科技公司在出示法院命令时允许执法部门访问用户的数据。 “这对美国人来说非常危险，因为它会被黑客攻击，它会被利用，而且没有办法让它变得安全，”来自民主党的众议院议员佐伊·罗弗格伦(Zoe Lofgren）在Disrupt 2020上告诉TechCrunch。“如果我们消除加密，我们只是在向大规模的黑客和破坏开放，”她说。 罗弗格伦的评论与批评者和安全专家的评论相呼应，他们长期以来一直批评破坏加密的努力，认为没有办法为执法部门建立一个后门，而这个后门也不能被黑客利用。 立法者之前几次削弱和破坏加密的努力都失败了。目前，执法部门只能利用现有的工具和技术来寻找手机和电脑的弱点。美国联邦调查局多年来声称它有数千台设备无法进入，但在2018年承认，它一再夸大其拥有的加密设备数量，以及因此而受到负面影响的调查数量。 罗弗格伦自1995年以来一直在国会任职，在第一次所谓的“加密战争”期间，安全社区与联邦政府对抗，以限制对强加密的访问。2016年，罗弗格伦是众议院司法委员会加密工作小组的成员。该小组的最终报告是两党的，发现任何破坏加密的措施都 “有损国家利益”，但不具有约束力。 不过，这是美国政府继续推动的一个话题，甚至在今年，美国司法部长威廉·巴尔表示，美国人应该接受加密后门带来的安全风险。 “你无法安全地消除加密，”罗弗格伦告诉TechCrunch。“如果你这样做，你会给国家和美国人带来混乱，更不用说世界各地的其他人了，”她说。“这只是一件不安全的事情，我们不能允许它。”     （稿源：cnBeta，封面源自网络。）

援引外媒 Dexerto 报道，可能有超过 50 万个动视账号被入侵，包括密码在内的登录凭证信息被泄漏。动视账户主要用于追踪《使命召唤》游戏的进度，以及包括《只狼：影逝二度》等其他动视游戏，并邀请更多玩家加入。 上周日晚上，Okami 和 TheGamingRevolution 等《使命召唤》的 Insider 率先报告了动视的本次安全事件，他们称黑客攻击是持续的。TheGamingRevolution 在推文中写道：“动视的账号显然正在泄漏，所以请尽快改变你的密码，尽管这可能甚至没有帮助，因为他们每 10 分钟就会窃取 1000 个账户”。 虽然我们不知道黑客究竟是如何获得账户的访问权限，但很可能他们只是使用了蛮力的方法，因为动视账户不提供双因素认证。众多《使命召唤》玩家表示，由于黑客进入他们的动视账户并更改密码，导致无法进入他们的账户。 截至目前，还不知道黑客攻击是否还在进行中，也不知道受影响的账号情况如何，因为动视还没有就此事发表任何形式的声明，而最初透露事情经过的人也没有透露任何新的信息。 更新：在 1 个小时之前，动视发布公告，并提供了确认用户账号是否安全的指南。     （稿源：cnBeta，封面源自网络。）

微信已经成了很多人的主要联系方式，很多场合下人们已经从留电话变为加好友。微信通讯录越来越长，但里面一些人却很少联系，于是，一种所谓“微信清粉”的服务应运而生，相信很多人都收到、看到过这样的信息，甚至是使用过这样的服务。然而您不知道的是，这种方式可能威胁到您的信息安全。 年恒是一位医务工作者，今年9月的一天，他突然收到一条令他意外的微信信息。 年恒：“我点开看了之后发现，是有一段时间没联系的一个老师，她发了一条微信朋友圈，说她最近使用了一个微信清粉的服务，非常好用，底下有一条链接。当时我看到这个消息的时候我也是非常奇怪，因为我印象中老师一般不会发这种消息。” 年恒向老师发微信询问事情的原委，对方回复说她是在一个微信群中看到了一个清粉二维码，考虑到自己微信中的好友人数非常多，确实想清理好友，于是进行了尝试。 年恒：“当时（老师）摁了一下二维码识别了之后，在她自己都不知道的情况下，就往朋友圈里面发了一些消息，同时还往群里面散布了这些消息，给她自己带来非常多的麻烦。那一天下午没有做别的，就一直在解释，说自己受骗了，是扫描二维码后自动发出的。” 采访中，不少微信用户都反映他们收到过好友发送的微信清粉链接或二维码。这些微信“清粉”链接，不仅会自动在朋友圈发送广告，还可能盗取用户的个人账号信息来售卖牟利。网友黄女士在消费投诉平台“聚投诉”上反映，今年5月她在使用“清粉”服务后，很快发现微信中有一笔自己并不知情的交易，对方是某网络游戏。继而她发现，在这款从未接触过的网游中，竟有自己的实名注册账号。 微信“清粉”实为控制账号 安全风险大 那么这种所谓的“清粉”服务究竟是如何进行操作的，又会给用户带来哪些信息安全隐患？ 专家表示，“清粉”的原理是通过应用集群控制软件来控制待清理的微信账户，让该账户自动向其所有好友群发消息，再由群控软件根据“信息是否能够成功发送接收”来识别其中哪些是“僵尸粉”并删除。而无论是群发消息还是拉群，都需要用户通过扫描二维码来授权清粉服务的提供者登录网页版微信。而在这背后，潜藏着巨大的风险。 数字经济智库高级研究员胡麒牧：“第一个因为你授权给他，相当于他接管了你的账户，这样他就可以调取你的个人资料，包括微信的通讯录、聊天记录，还有你手机的通讯录、聊天资料、通讯录和你的一些资料，都有可能会泄露出去；第二个他通过占有你的一个账户，他去注册一些其他的账户去做一些事情，如果这些事情是违法的，就会对你个人的一个征信带来影响；第三个他可能会通过你的账户发一些比如诈骗之类的一些信息。” 全国首例“清粉”案告破 专家提醒扫码务必谨慎 近日，江苏南通市公安局对外披露，他们在“净网2020”专项行动中成功侦破一起利用微信“清粉”软件非法获取计算机信息系统数据的案件，5名涉案犯罪嫌疑人全部落网，这也是全国破获的首例利用“清粉”软件非法获取信息的案件。 在案件侦破中，江苏南通市公安局网安支队的民警发现，围绕“清粉”软件非法获取的用户信息已经形成了一个非法倒卖的黑色产业链。 江苏省南通市通州区公安局民警曹灿华：“犯罪嫌疑人在取得微信账号的控制权限后，借机非法获取用户微信群聊二维码信息，并将这些群聊二维码以图片形式保存在服务器上。” 随后，犯罪嫌疑人再将用户微信群聊二维码等信息倒卖给下游的诈骗、赌博等犯罪团伙。短短3个月时间，该犯罪团伙共非法获取用户微信群聊二维码2000余万个，均出售给了福建龙岩等地的诈骗赌博犯罪团伙，同时还为他人批量关注微信公众号和刷阅读量、刷赞，先后获利200余万元。 江苏省南通市通州区公安局网安大队副大队长徐辉：“从非法获取微信用户的相关个人信息到下游的广告、营销和其他网络犯罪，相关的网络黑灰产已经形成一个各环节相互独立又紧密协作的产业链。” 目前，5名涉案犯罪嫌疑人因涉嫌非法获取计算机信息系统数据罪均已被执行逮捕，案件在进一步办理中。律师表示，“隐蔽性、跨地域性、证据材料不易固定等”是整治此类乱象的难点，而这些特征也增加了用户维权的难度。 北京市京师律师事务所律师孟博表示，基于“清粉”软件所潜在的巨大风险，不建议使用此类“服务”，提升防范意识，保护好个人信息；不要轻易点击不明来源的链接、二维码；在对外转账时，提前多方核实。 我们也呼吁软件开发商应该更积极地承担起监管责任，想办法从源头堵住这类行为，避免用户遭受损失。     （稿源：央视，封面源自网络。）

前言 最近一段时间，我们一直在监测一种新的恶意程序，我们称之为“Meh”。这一切都是在我们遇到大量文件时开始的，这些文件的开头是随机生成的字符串，然后是一个编译的AutoIt脚本…… 分析 Meh由两个主要部分组成。 第一部分是解密器，我们将其命名为MehCrypter，它由多个阶段组成，并作为已编译的AutoIt脚本进行分发，以随机生成的字符串序列作为前缀。AutoIt解释程序将跳过此字符串序列，该解释程序将扫描确定文件格式的字节并有效地混淆文件，而不会影响其功能。 第二部分是密码窃取程序，称为Meh。窃取程序是恶意软件的核心，并具有许多功能。它能够窃取剪贴板内容，键盘记录，窃取加密货币钱包，通过种子下载其他文件等。它几乎所有功能都在子线程中执行，这些子线程是从注入的进程执行的。在下一篇博客文章中，我们将重点介绍密码窃取器。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1340/       消息来源：DECODED  ，封面来自于网络，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ESET安全研究人员Lukas Stefanko昨天在推特上发布了一条警报，报告显示最近披露的一个影响Android版Firefox的高危远程命令执行漏洞已被利用。 该漏洞最初由澳大利亚安全研究人员Chris Moberly发现，该漏洞存在于浏览器的SSDP引擎中，攻击者可以利用该漏洞将安装了Firefox的Android手机锁定为与攻击者连接到同一Wi-Fi网络的Android手机上。 SSDP是简单服务发现协议（Simple Service Discovery Protocol）的缩写，它是UPnP的一部分，用于查找网络上的其他设备。在Android中，Firefox会定期向连接到同一网络的其他设备发送SSDP发现消息，寻找第二个屏幕设备。 本地网络上的任何设备都可以响应这些广播并提供一个位置来获取UPnP设备的详细信息，然后Firefox尝试访问该位置，期望找到符合UPnP规范的XML文件。 视频链接：https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html Moberly提交给Firefox团队的漏洞报告显示，受害者的Firefox浏览器的SSDP引擎可以通过简单地用一条指向Android意图URI的特制消息替换响应包中XML文件的位置，从而诱使其触发Android恶意命令。 为此，连接到目标Wi-Fi网络的攻击者可以在其设备上运行恶意SSDP服务器，并通过Firefox在附近的Android设备上触发恶意命令，这些过程无需与受害者进行任何交互。 哪些恶意命令包括自动启动浏览器和打开任何已定义的URL，据研究人员称，这足以诱使受害者提供其凭据、安装恶意应用程序以及基于周围场景的其他恶意活动。 Moberly表示，“目标只需在手机上运行Firefox应用程序。他们不需要访问任何恶意网站或点击任何恶意链接。不需要中间攻击者或安装恶意应用程序。他们只需在咖啡厅中使用Wi-Fi喝咖啡，攻击者就会控制他们的设备启动应用程序URI。” 视频链接：https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html “它类似于网络钓鱼攻击，在这种攻击中，恶意网站会在他们不知情的情况下强行攻击目标，使受害者输入一些敏感信息或同意安装恶意应用程序。” Moberly在几周前向Firefox团队报告了这个漏洞，Firefox浏览器制造商目前已经在Firefox Android 80及更高版本中修补了这个漏洞。 Moberly还向公众发布了一个概念验证漏洞，Stefanko曾在上述视频中针对连接到同一网络的三个设备演示了该漏洞。   稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。