一个名为“ Safepal Wallet”的恶意Firefox插件，欺骗用户，窃取钱包余额，并在Mozilla插件网站上存在了7个月才被发现。 尽管恶意的浏览器插件已经被关闭，BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。 一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表，我正在搜索 Safepal 钱包扩展，以便在web浏览器中我也可以使用加密货币钱包。” 在使用 Safepal 证书安装并登录该插件数小时后，Cali发现自己的钱包余额清空了。 “我深深地震惊了……我看到了我最后的交易记录，发现我的4000美元资金被转移到了另一个钱包。我不敢相信这是一个在Mozilla Firefox插件列表中的插件，”他在Mozilla的论坛中说道。 BleepingComputer 从“ Safepal 钱包”的附加页面发现，该插件至少从2021年2月16日起就开始使用了。 页面上，这个235kb的插件吹嘘自己是一个 Safepal 应用程序，可以安全地“在本地保存私钥”，还有令人信服的产品图片和营销材料。 为了在Mozilla网站上发布插件，开发者必须遵循提交流程，即提交的插件“随时接受Mozilla的审查”。但是，目前还不清楚提交的文件的安全程度。 Cali本月公开报道此事不到五天，Mozilla的发言人回应说，他们正在进行调查。该插件的介绍页面已被Mozilla删除。 虽然 Safepal在苹果应用商店和谷歌Play上都有官方智能手机应用，但我们并不知道是否有官方的“ Safepal ”浏览器扩展。 幸运的是，在Mozilla插件网站上，一些用户发布了一星评论，警告其他人不要下载“ Safepal Wallet”。 但是，对于Cali来说，一切为时已晚，收回资金的机会很渺茫。 “我已经和警察谈过了，他们对此无能为力。他们告诉我无法追踪到黑客。”Cali说。 BleepingComputer 联系Mozilla了解更多关于这个问题的信息: Mozilla的一位发言人告诉 BleepingComputer :“扩展安全对Mozilla来说很重要，我们的生态系统持续对千变万化的威胁做出回应。” “我们目前的重点是减少恶意扩展可能造成的损害，引导用户使用我们审查和监控的推荐扩展，帮助用户了解安装扩展带来的风险，让用户更容易地向我们反馈潜在的恶意扩展。” “根据我们的插件政策，当我们发现到插件会对安全和隐私造成威胁时，我们会采取措施阻止它们在Firefox中运行。关于这个插件，我们采取行动阻止其运行并从Firefox插件商店中删除了它。” 在调查恶意的火狐插件时，BleepingComputer 发现了插件使用的钓鱼域。如下所示的这个网页，在假插件的主页也被列为“支持网站”: https://safeuslife.com/tool/ WHOIS 记录显示，该钓鱼网站是在今年1月通过 Namecheap 注册的。在写这篇文章的时候，这个网页仍然在运营，它指示受害者输入他们的“12个单词的备份短语，用于匹配 SafePal 钱包。” 但是，一旦输入了备份短语并提交了表单，页面就会刷新，但没有任何明显的响应，备份短语却已悄无声息地发送给攻击者。 加密货币钱包和许多在线服务一样，如果用户忘记密码，由12个随机生成的单词组成的备份短语便可以用来恢复用户的私钥和钱包。但是，备份短语十分重要且私密，只能在特殊情况下使用，而且只能在服务提供商可信的应用程序或网站上使用。 备份短语如果被盗，攻击者可以控制你的钱包，以及访问和转移资金。 最近，加密货币诈骗正在增多，威胁者正在寻找更新的、难以检测的方法来欺骗用户。就在上周，有人入侵了Bitcoin.org官方网站，成功地骗走了1.7万美元。[详细请点击] 在之前的攻击中，包括npm、PyPI和GitHub在内的开源库被滥用，用以传播加密窃取和加密挖掘恶意软件。 随着网络平台上威胁者的日益增多，用户在提供安全密码或在线转移加密货币时应谨慎。 BleepingComputer 已经联系了 Mozilla 和 Safepal 寻求进一步的回应，同时向 Namecheap 报告了钓鱼域名。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

NETSCOUT系统公司每两年发布一次的《威胁情报报告》的结果已经公布，报告强调了网络攻击对全球私营和公共组织以及政府造成的巨大影响。根据威胁情报报告，在2021年上半年，网络犯罪分子发动了大约540万次DDoS攻击，比2020年上半年增加了11%。此外，NETSCOUT的主动级别威胁分析系统安全工程和响应团队(ASERT)的数据预测指出，2021年将是另一个创纪录的一年，全球DDoS攻击将超过1100万次。 ASERT预计，攻击者层出不穷的攻击手段的长尾效应将持续下去，日益加剧网络安全危机，并将继续影响公共和私人组织。 在经历了Colonial Pipeline、JBS、Harris Federation、澳大利亚广播公司第九频道、CNA Financial以及其他几次备受瞩目的攻击之后，DDoS和其他网络安全攻击的影响已经在全球范围内显现。因此，各国政府正在引入新的项目和政策来防范攻击，而警备机构正以前所未有的合作努力来应对危机。 2021年上半年，网络犯罪分子武器化并利用了新的反射/放大DDoS攻击载体，使组织面临更大的风险。这种攻击向量暴增刺激了多向量DDoS攻击的增长，针对一个组织的一次攻击中部署了创纪录的31个攻击向量。 NETSCOUT 1H2021威胁情报报告的其他关键发现包括: 新的自适应DDoS攻击技术规避了传统的防御。通过改变他们的策略，网络犯罪分子的攻击可以绕过基于云计算和内部的静态DDoS防御，攻击商业银行和信用卡处理器。 连通性供应链受到越来越多攻击。攻击者希望造成最大附带损害，他们在重要的互联网组件上集中发力，包括DNS服务器、VPN集中器、服务和互联网交换，从而破坏了重要的网关。 网络犯罪分子将DDoS添加到他们的工具包中，以发起三重勒索活动。勒索软件能带来巨大利益，勒索者将DDoS加入他们的攻击方案，以加大对受害者和安全团队的压力。“三重勒索”将文件加密、数据盗窃、DDoS攻击结合在一起，使网络犯罪分子收到款项的几率增加。 DDoS攻击的最快速度同比增长16.17%。一名巴西互联网用户发起了攻击，采用DNS反射/放大、TCP ACK flood、TCP RST flood、TCP SYN/ACK反射/放大矢量技术，速度为675mpps。 最大规模的DDoS攻击为1.5 Tbps，同比增长169%。ASERT数据识别出该攻击针对一家德国ISP，部署了DNS反射/放大向量。与2020年上半年记录的任何一次攻击相比，此次攻击规模显著增加。 僵尸网络参与了大多的DDoS攻击。通过对全球范围内僵尸网络集群和高密度攻击源区域的跟踪，我们可以看到恶意攻击者如何利用这些僵尸网络参与了280多万次DDoS攻击。此外，知名的物联网僵尸网络Gafgyt和Mirai依然构成严重威胁，占DDoS攻击总数的一半以上。 NETSCOUT威胁情报主管理查德•哈梅尔表示:“网络犯罪分子利用疫情情况下的工作远程化，破坏连接供应链的重要组成部分，发起了数量空前的DDoS攻击，引起重度关注。”勒索软件团伙还使用了三重DDoS勒索战术。与此同时，Fancy Lazarus DDoS勒索活动日益猖狂，威胁多个行业组织，他们重点关注互联网服务提供商，特别是权威的DNS服务器。”   消息来源：TheFintechTimes，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

最近，我们发现了一些无法解压的D-Link路由器的固件样本。通过分析类似的更旧、更便宜的设备（DIR882），我们可以找到一种破解固件加密的方法，以防止篡改和静态分析。本系列文章重点介绍了编写自定义解密例程的结果和必要步骤，该例程也可用于其他模型，后续会对此进行更多介绍。 … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1523/           消息来源：Low-level adventures，译者：小江； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

12月初，我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。 该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务：密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中，该蠕虫还尝试利用WebLogic的最新漏洞：CVE-2020-14882。 在我们的分析过程中，攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态，并且可能在将来的更新中针对其他弱配置的服务。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1440/         消息来源：intezer，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2020年8月，Group-IB发布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告描述了网络犯罪组织UltraRank的活动，该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。 2020年11月，我们发现了新一轮的UltraRank攻击。攻击者没有使用现有的域进行新的攻击，而是改用新的基础架构来存储恶意代码并收集拦截的支付数据。 在UltraRank的新活动中，我们发现了12个被JavaScript-sniffer感染的电子商务网站。 这次，JS sniffer的代码使用了Radix模糊处理。然后，攻击者使用了SnifLite家族的sniffer。由于受感染网站的数量相对较少，攻击者最有可能使用了CMS管理面板中的凭据，而这些凭据又可能被恶意软件或暴力攻击破坏。 在最近的一系列攻击中，UltraRank模仿合法的Google Tag Manager域将恶意代码存储在网站上。研究发现，攻击者的主服务器由Media Land LLC托管，该公司与一家防弹托管公司有联系。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1438/       消息来源：group-ib，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在跟踪Lazarus组织的活动时，我们发现他们最近瞄准了与COVID-19相关实体。9月底，他们袭击了一家制药公司。此外，他们还袭击了与COVID-19有关的政府部门。而且，每一次攻击都使用了不同的战术、技术和程序（TTP）。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1437/         消息来源：securelist，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

今年早些时候，我们观察到网络犯罪组织TeamTNT使用XMRig加密货币矿工攻击暴露的Docker API。TeamTNT使用窃取Amazon Web Services（AWS）secure shell（SSH）凭证和用于传播的自我复制行为开展攻击。 TeamTNT的最新攻击涉及到该组织自己的IRC（互联网中继聊天）bot。IRC bot被称为TNTbotinger，能够进行分布式拒绝服务（DDoS）。 需要注意的是，攻击者首先必须在初始目标机器上执行远程代码（RCE），然后才能成功地对系统发起攻击。攻击者可以通过利用错误配置问题、滥用未修补的漏洞、利用脆弱或重复使用的密码、密钥或泄漏的凭据等安全缺陷来执行RCE。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1436/         消息来源：trendmicro，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击者总是在寻找一种方法来执行受害者机器上的文件，并且希望不被发现。一种方法是使用一种脚本语言。如果受害者的操作系统中没有内置的编译器或解释器，那么这种脚本语言就无法执行。Python、AutoIT和AutoHotkey（AHK）就属于这种脚本语言。特别是，AHK是一种面向Windows的开源脚本语言，旨在提供简单的键盘快捷方式或热键、快速的微创建以及软件自动化。AHK还允许用户使用代码创建一个compiled.EXE文件。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1432/         消息及封面来源：trendmicro，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

由于采用了合法的非恶意软件的外观，木马开源软件隐蔽且有效的攻击很难被发现。但通过仔细调查可发现其可疑行为，从而暴露其恶意意图。 开源软件如何木马化？我们如何检测到它们？为了回答这些问题，让我们看一下最近的相关调查。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1429/       消息来源：trendmicro，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

这篇文章包含近期国家网络攻击背后攻击者的技术细节。以下是攻击者常使用的工具及技术： 通过SolarWinds Orion产品中的恶意代码入侵。这导致攻击者在网络中获得立足点，从而获得更高的凭据。详请参阅SolarWinds安全咨询。 一旦进入网络，攻击者就会使用通过本地泄露获得的管理权限来访问组织的全局管理员帐户/可信的SAML令牌签名证书。这使得攻击者能够伪造SAML令牌，以模拟任何现有用户和帐户，包括高权限帐户。 然后，可以针对任何本地资源（无论身份系统或供应商如何）以及任何云环境（无论供应商如何）使用由受损令牌签名证书创建的SAML令牌进行异常登录。因为SAML令牌是用它们自己的可信证书签名的，所以组织可能会忽略异常。 使用全局管理员帐户/可信证书来模拟高权限帐户，攻击者可以向现有应用程序或服务主体添加自己的凭据，使它们能够使用分配给该应用程序的权限调用API。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1427/         消息及封面来源：Microsoft，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。