美国调查新闻网站“拦截者”（the Intercept）曾通过秘密渠道获得一批关于伊朗政府开发和建立移动通信监控体系的资料，并于2022年10月与加拿大网络安全实验室“公民实验室”（Citizen Lab）联手对其进行了分析，对伊朗方面使用的移动通信监控体系进行了初步揭秘。 伊朗“合法拦截系统”（LIS） 在伊朗，官方对移动通信用户进行监控有法律方面的保证。 伊朗通信管理局（CRA）曾制定相关条款，要求伊朗国内所有移动通信运营商都必须授予CRA特殊权限，使后者能够直接进入运营中的移动通信系统，执行获取用户信息、更改用户业务等操作。伊朗通信管理局将上述规定称为“合法拦截”条款。制定该条款的目的，在于储存移动用户信息、允许或阻止用户接入移动通信服务以及查看用户历史通话记录、发送短信内容以及移动数据使用情况，等等。 “公民实验室”尝试根据“拦截者”网站获得的资料，建立起伊朗通信管理局对国内用户实施通信监控的模型。 被称为“合法拦截系统”（Legal Intercept System，LIS）的伊朗移动通信监控系统是伊朗通信管理局在国内最大通信运营商Ariantel公司配合下组建的，主要包括合法拦截（LI）、非法设备控制（CID）、SHAHKAR系统和SHAMSA系统等四个子系统。 合法拦截系统主要用于监视移动通信设备的使用情况和活动控制，可以从用户处获取移动通信业务使用情况，必要时瘫痪和更改用户的移动通信接入； 非法设备控制系统可以在移动通信用户使用的SIM卡服务状态发生变化时向伊朗通信管理局发出提醒和警告； SHAHKAR系统实际上是一个能够储存伊朗所有移动用户信息的数据库，可用于检查用户的有效性。伊朗通信管理局一旦确定用户无效，可通过该系统阻止其注册尝试。另外，如果有用户试图转入其他移运通信运营商、更改电话号码或更新订阅信息，SHAHKAR系统都会向伊朗通信管理局发出提醒； SHAMSA系统相当于一个可以收集大量语音和短信息呼叫记录以及数据调取IP记录的接口。 在伊朗通信管理局对移运通信进行监控的活动中，Ariantel公司发挥的主要作用是为“合法拦截系统”提供了“关键组成元素”，即“业务支持系统”。该系统可以提供呼叫详细记录（CDR）、SIM卡更新等信息，可充当位置归属寄存器和用户服务器等，能够确认用户的网络实时位置，并授予其语音、短信息以及数据服务等权限。 伊朗通信管理局可借助该系统，使用多个API命令对用户信息进行实时查询，并向运营商下达实时控制命令。另外，该系统还可以把CDR等用户使用记录从移动运营商系统转移进SHAMSA系统进行存储。 “拦截者”网站获得的资料显示，Ariantel公司可能还使用了来自加拿大的融合业务支持系统（BBS）等软件产品来向“合法拦截系统”提供信息。 作为移动系统中的主力应用产品，BBS可用来储存用户、配置、业务费用支付、业务管理等信息。经改进后，该系统可在用户不知情的情况下，一边向“合法拦截系统”提供用户的详细使用信息，一边执行对其新业务或业务更新查询请求， 从姓名到住址，用户隐私一览无遗 对所获资料进行分析后，“公民实验室”提取了“合法拦截系统”使用的部分API控制命令并将其分为监视与控制两类。 GetIPDR、GetCdr、FullSearchByNum、BillingInfoSearch等为监视类命令。CDR可通过这些命令对用户在特定时间段内的语音呼叫和短消息记录、用户的移动服务和个人详细信息、计费信息、位置信息等情况进行检索和获取； 控制类命令包括ApplySusp（申请暂停）、ApplyDivert（应用转移）、Force2GNumber（强制转入2G信号）、SuspOrder（暂停服务）等，可用来阻止所有呼入呼出的语音通话或断开当前正在进行的通话、删除用户的呼叫转移设置或将所有来电转移到另一个号码、禁用所有 3G 和 4G 数据服务、强制用户的手机仅使用 2G 网络、阻止移动服务订单或阻止用户更改移动服务的请求。等等。 通过“合法拦截系统”的四大子系统，伊朗政府可以获得国内移动通信用户的多种信息。 资料显示，SHAHKAR系统还可以通过某种与SIM卡注册相关的API接口，在SIM卡激活动的过程中获取其内登记的信息，同时对这些信息进行筛查，以确定是否批准该SIM的激活动请求。 “拦截者”网站对所获资料综合梳理后确认，伊朗政府可以通过“合法拦截系统”获取以下用户个人信息： 姓名；家庭；父亲姓名；出生证号码；出生日期；出生地点；家庭电话号码；电子邮件地址；性别；邮政编码；国籍；护照号码；通信地址/家庭住址。 严格来说，上述信息均属用户隐私。但在强大的“合法拦截系统”面前，隐私已毫无秘密可言。 SIAM，支撑“合法拦截”的核心工具 据悉，伊朗通信管理局对“合法拦截系统”的使用是通过多款软件或服务完成的。在众多“工具”中，一款被称为“SIAM”的网页服务API堪称核心。 根据“拦截者”网站的说法，SIAM是一款“躲藏在伊朗移动通信系统背后使用的电脑工具”，拥有追踪手机用户位置、读取文本信息、强迫手机通信降网减速等多达40种功能。使用者可通过发布远程控制命令的方式，更改、扰乱、监视移动通信用户的手机使用情况。 迫使手机通信降网减速是SIAM的重要功能之一。“拦截者”网站对所获资料进行分析后指出，伊朗通信管理局可借助该工具对手机用户的网络连接进行远程控制，使用“Force2GNumber”命令迫使目标手机连接从5G、4G或3G网络降至2G网络。这项技术也颇受美国执法部门青睐。他们会使用某种专用设备，让2G信号对某个小范围区域进行覆盖，迫使区域内的手机不得不接入2G网络。 “拦截者”网站认为，迫使手机通信降网减速的操作可以达成三个目的。 首先是更有效地拦截、破解移动通信用户的语音通话和文本信息数据。目前移动通信大多基于4G甚至5G网络进行，其内嵌的加密系统功能强悍，可以最大限度地防止语音通话或文本信息被窃取。与之相比，1991年开始使用的2G网络不仅传输速度慢，所传输的数据很容易遭到拦截和窃取，而且在数据加密方面漏洞百出，使用该网络进行的语音通话或文本信息很容易被破解。 其次是更有效地阻止用户使用常规通话之外的社交通信软件。2G网络不仅传输速度慢，而且使用的传输协议“陈旧古老”，无法兼容目前常用的WhatsApp、Signal等现代社交通信软件。换句话说，运行于2G网络的手机无论性能多么先进，都只能进行常规的语音呼叫以及文本信息传送，无法使用流行的社交软件进行交流和沟通。 第三是对用户的数字帐户进行入侵。“拦截者”网站援引网络安全专家的话称，在2G网络下运行的手机更加容易被“入侵”。该网络只能使用双重身份验证，更高级、更安全的多重因素身份验证无法运行。因此使用2G网络的手机很容易遭到黑客入侵，进而造成手机数字帐户的丢失。 对手机用户进行定位和追踪是SIAM的另外一个重要功能。CRA可借此追踪特定个人的移动情况，并对某个特定地点现场所有人员进行身份确认。 具体来说，操作者可以向SIAM发出“LocationCustomerList”指令，确认某特定信号发射塔连接了哪些手机号码，以及使用这些号码的手机的国际移动设备识别码（IMEI）。 国际移动设备识别码即通常所说的手机序列号或手机“串号”，用于在移动电话网络中识别每一部独立的手机等移动通信设备，相当于移动电话的身份证。手机的国际移动设备识别码不可更改，所以即使用户更换SIM卡也不能隐藏身份。 在收集电话号码或手机国际移动设备识别码的过程中，SIAM还会对所获数据进行分析，判断出号码使用者的身份，以及他们的通话时间、具体地点，等等。 “公民实验室”安全事务研究员加里·米勒评论此功能时说，SIAM操作者可以轻而易举地确定哪些手机号码以及他们的使用者在敏感区域聚集，并视情况做出下一步动作。比如年初伊朗中部伊斯法罕省爆发抗议活动时,当地警察部门就确定了处于敏感地区内的电话号码并向其使用者发出警告，称他们正处于“不稳定区域”，并要求他们不要参与“不稳定活动”。很多社交软件用户也声称收到了类似信息，警告他们远离发生抗议活动的区域，不要在线上与反“反政府分子”联系。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/jkdWI0cDV4wt6hgs_debcQ 封面来源于网络，如有侵权请联系删除

近期，一款人工智能聊天机器人 ChatGPT 紧抓大众眼球，上线仅仅两个月，日活用户成迅速破亿，受到用户广泛好评。ChatGPT 的成功引得微软、谷歌等科技巨头眼红，纷纷注重资企图再次入局。 2 月 8 日晚间，为蹭一波热度并继续保持和微软的竞争态势，谷歌抢先发布 ChatGPT “孪生兄弟” Bard 。与众人期待得不同，谷歌产品不单没有取得热烈反响，反而因或无亮点和常识性错误拖累了股市，致使美股开盘即暴跌约 8%，市值蒸发1000+亿美元。 谷歌发布 Bard ，惨遭打脸 2 月 8 日的发布会上，谷歌工作人员在介绍 Bard 人工智能聊天机器人时，一直表示这项产品会帮助用户选择最优解，例如旅游路线规划，油车和电动汽车的优缺点。虽然鼓吹了许多 Bard 的性能，但在 DEMO 演示环节，犯了一个致命的常识性错误。 官方演示视频中，在回复关于詹姆斯·韦伯太空望远镜（JWST）可以告诉 9 岁的孩子其有哪些新发现时，答案显示“ JWST 拍摄了太阳系以外行星的第一批照片”，这是一个错误答案。事实上，第一张系外行星照片由智利的甚大望远镜系统（Very Large Array, VLA）拍摄，而非詹姆斯韦伯拍摄。 不仅仅是错误答案的问题， Bard 貌似也仅仅停留在公测阶段，正式版本何时发布，谷歌方面并未透露更多信息 。 注：两年前，谷歌曾发布 LaMDA （对话应用语言模型）这项成果直接引爆当年科技圈，更是在一位谷歌工程师表示相信其已经具有自我意识后，引起全球热议。 ChatGPT 或引起新一波网络攻击方向 对于 ChatGPT 持续火爆，网络安全研究人员并不乐观，从 HELP NET SECURITY 针对北美、英国和澳大利亚 1500 名 IT 领导者的调查结果来看，51% 的 IT 专业人士预测一年之内，社会将遭受利用 ChatGPT 发起的网络攻击，71% 的受访者认为部分人员可能已经在使用该技术对其它国家进行网络恶意攻击。 此外，尽管所有受访者都认为 ChatGPT 的成功为社会发展带来的积极影响，但仍有 74% 的人担忧其带来的潜在网络安全威胁。 值得注意的是，不同地区的人士对于 ChatGPT 将带来何种形式的网络威胁，可能存在不同看法，但大都认为 ChatGPT 能够帮助黑客更方便的开展网络攻击活动，其中大部分人员认为 ChatGPT 可帮助黑客大幅提高网络攻击方面的技术知识。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/357088.html 封面来源于网络，如有侵权请联系删除

过去十年来，全球网络安全专利申请激增，其中美国企业处于领先地位。根据法国软件公司IS Decisions公布的数据，21世纪以来全球共提交约2270项网络安全专利申请。该数据基于世界知识产权组织PATENTSCOPE检索系统统计，统计的主要关键词有“cyber security”和“cybersecurity”。 按申请年份统计 绝大多数网络安全专利申请（约97%）都是自2010年之后提交的，这也正是全球网络攻击激增的标志性一年。 卡巴斯基的一份早期报告显示，2010年全球网络攻击总数增加了约8倍，破坏伊朗核武器计划的恶意蠕虫病毒“震网”（Stuxnet）更是为接下来的网络安全瞩目十年拉开了帷幕。此后，还出现了朝鲜Lazarus团伙入侵索尼，暗网毒品市场“丝绸之路”（Silk Road）被取缔。 面对不断升级的威胁，各国争相寻求能够抵御网络攻击的创新方法。从数据上看，网络安全专利申请的数量确实已经拉开了差距。   图：新世纪以来每年网络安全专利申请数量 按申请国家统计 美国专利商标局在2000年至2022年收到1087项与网络安全相关的专利申请，位居榜首。研究人员表示，美国拥有全球最大的网络安全从业者规模，总数约110万，自然在网络创新方面处于领先地位。 根据专利合作条约的跨国申请，在全球网络安全专利申请中位列第二，自2000年以来共有326件。国际专利持有人可以在世界知识产权组织的全部156个成员国内，捍卫和保护自己的知识产权。 专利申请数量位列第三（按国家排名第二）的中国，在全球网络安全专利申请的占比仅为13%。2014年中科院的一项研究发现，中国的专利申请质量低于世界平均水平，中国政府已经要求优先改善这方面问题。 图：各国网络安全专利申请数量 按申请公司统计 在申请网络安全专利最多的10家公司中，有5家来自美国，包括IBM、波音、微软、霍尼韦尔及Qomplx。 不过，来自中国的中国电子科技集团公司（简称中国电科，CETC）表现很是亮眼，该公司以135项专利申请数量摘得桂冠，位列前三的还有美国工业巨头霍尼韦尔和以色列汽车网络安全公司Argus Cyber Security。 图：网络安全专利申请数量Top 10公司 按攻击类型统计 根据IS Decisions统计，大部分专利集中在应对拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击的工具方面。研究人员表示，“此类攻击的实施成本、先进程度和风险水平都已超过以往任何时候，因此对预防方法的需求比以往更加迫切。” 图：按照攻击类型统计的网络安全专利申请 DDoS与DoS相关专利的主要申请方来自电信行业，日本Nippon Telegraph & Telephone（NTT）、韩国电子与电信研究所（ETRI）以及中国移动都是其中典型。 华为、IBM、三星和飞利浦等公司申请的专利，则大多与窃听攻击、跨站点脚本和重播攻击的防范有关。恶意黑客可以通过这些手段冒充真实客户，进而接管受害者账户。 研究人员还发现，针对高级持续性威胁和恶意软件攻击的工具，在全部专利申请中所占比例不足2%。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/6CB9fdoOTyuLItpUoc3qKA 封面来源于网络，如有侵权请联系删除

上周五晚以来，百慕大地区发生大面积停电，并导致该岛的互联网与电话服务无法正常使用。 当地政府称，问题根源是百慕大唯一电力供应商Belco遭遇“严重事故”，并建议客户“拔掉所有敏感的电气设备”，避免工作人员的连夜抢修造成用电器损坏。 百慕大位于北大西洋西部，归属北美洲，是英国的海外自治领土，当地居民约64000人。 电力中断：政府号召民众拔掉电器插头 上周五傍晚，百慕大唯一的电力供应商Belco表示正努力解决这起影响全岛的“大规模断电”。 百慕大政府确认，该电力供应商发生了“严重事故”，并发布了进一步指导意见。 注：百慕大政府获悉Belco发生严重事故，导致全岛停电。Belco目前正在努力恢复供电。 公告还指出，“百慕大安全部长Michael Weeks一直在关注最新进展。” “目前，所有政府办公室均已关闭。这里呼吁公众拔掉敏感设备的电源，后续消息将通过100.1 FM紧急广播（站）进行播报。” 之所以强调拔掉电器插头，是因为停电后经常出现电涌，很可能损坏笔记本电脑、手机、医疗设备等对电压较为敏感的设备。 百慕大政府还要求居民保持道路通畅，并且不要拨打Belco的955热线上报停电问题。 图：百慕大各区域停电示意图   停电影响到互联网与电话服务 报告显示，此次大规模停电影响到百慕大地区的大部分互联网连接，部分客户甚至无法正常拨打电话。 互联网状态监测组织NetBlocks证实，在断电之后数小时，岛上互联网连接已降至正常水平的30%左右。Cloudflare Radar随后也观察到，该地区互联网流量有明显下降。 注：确认！大规模停电导致百慕大大部分地区的互联网连接中断；实时网络数据显示，当地网络连接降至正常水平的30%左右；与此同时，有报道称供电服务商Belco发生一起严重事故。 Belco最新上报的停电地图共涉及4464名客户。截至百慕大当地时间上周五晚8点30分，Belco公司已经为约90%的客户恢复了供电，到晚间9点45分所有线路均已恢复。仍未获得供电的客户现可拨打955热线联系。 到当晚11：00左右，Cloudflare Radar观察到互联网流量水平逐渐恢复正常。 Belco公司总裁Wayne Caines在声明中表示，“我们将员工和公众的安全放在第一位。我也很高兴向大家报告，公司全体员工都受到关注和保护、安全无虞。” 但目前还不清楚，这起神秘的大规模断电事件因何而起。 “对于今天停电造成的不便，我真诚向我们的客户道歉。我们将对此次停电进行根本原因分析，并在适当时发布结果。感谢我们Belco的员工们迅速采取行动，以专业的态度快速安全地恢复了供电。” 2020年12月，Belco也曾遭遇过一次全岛大停电，原因是工作人员在执行标准操作程序时引发了电站设备故障。     转自 安全内参，原文链接：https://www.secrss.com/articles/51617 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，某黑客论坛上公开分享了一份美国”禁飞名单“，该名单上有超过 150 万名被禁飞者和超过 25 万名“被选中者”的数据信息。 目前，Bleeping Computer 已确认列表名单与 CommuteAir 航空服务器上发现的 TSA 禁飞列表名单相同。 黑客论坛公开分享“禁飞名单” 2023 年 1 月份，Daily Dot 记者 Mikael Thalen 报道瑞士黑客 maia arson crimew 偶然发现一个包含 TSA 禁飞名单的 AWS 服务器。据悉，该服务器属于俄亥俄州 CommuteAir 航空公司，尽管早些时候可能已采取措施修补漏洞，但截至 1 月 26 日，禁飞名单仍在一个可公开访问的黑客论坛上”浮现“。 美国禁飞名单在一个黑客论坛上公开分享（Bleeping Computer） Bleeping Computer 查看禁飞名单列表的一部分，这些列表以两个名为 “NOFLY（禁飞名单）”和“SELECTEE”的 CSV 文件的形式列出了一些飞往美国时在机场接受二级安检（SSSS）的乘客。黑客论坛上公布的禁飞名单包含 1566062 条记录（部分重复），SELECTEE 名单包括 251169 条记录，重复和别名意味着暴露的姓名总数少于 150 万。 值得一提的是，两个列表都包含用户的名、姓、潜在的别名和出生日期。据黑客称，这些名单是 2019 年的。据 Daily Dot 观察，列表名单提到了俄罗斯军火商维克托·布特及其 16 个潜在化名。 禁飞名单无疑是国家机密，据悉，美国联邦调查局 TSC（恐怖分子筛查中心）是多个联邦机构用来管理和共享反恐综合信息，该机构就有一个名为“恐怖分子筛查数据库”的观察名单，有时也称为“禁飞名单” ，考虑到这些数据库在协助国家安全和执法任务方面发挥着至关重要的作用，因此绝对保密，即使不是“机密”信息，也被视为敏感的资料。 因此，禁飞名单通常不为公众所知，但是私营航空公司和国务院、国防部、运输安全局（TSA）、海关和边境保护局（CBP）等多个机构都会参考这份名单，以检查乘客是否被允许飞行，是否能够进入美国。 包括鲍勃·迪亚琴科（Bob Diachenko）在内的研究人员此前就已发现互联网上暴露的秘密恐怖分子监视名单，但这些信息早在主流新闻报道之前就被修补好了。然而，此次“禁飞名单”是第一次在公众可访问的网站上共享。 有趣的是，与此次黑客论坛上发布的名单相比，迪亚琴科在 2021 发现的名单相当详细，其中姓名、性别、护照号码，甚至护照签发国、观察名单 ID 等字段都包含。 美国政府正在调查“禁飞名单”泄露事件 尽管此次安全漏洞源于一家航空公司的 AWS 服务器，但这种行为足够使美国政府机构感到震惊。目前，美国政府官员和立法者都在调查此事。 1 月 27 日，美国运输安全管理局向机场和航空公司发布了安全指令，旨在强化处理敏感安全信息和个人身份信息的现有要求，以保护系统和网络免受网络攻击。 除此之外，据一位知情人士透漏，没有任何 TSA 信息系统被破坏，联邦机构已向所有航空公司发布了行业安全意识信息，以审查其系统并立即采取行动确保其文件受到保护。 CommuteAir 表示，截至目前没有客户数据被泄露，公司也向网络安全和基础设施安全局报告了数据暴露情况，并通知其员工。 1 月 26 日，美国国土安全委员会成员在信中强调，黑客声称其可能已经能够利用服务器，取消或推迟航班，甚至换掉机组成员，如果情况属实，会严重影响国家安全。 注：黑客 maia arson crimew，此前使用 deletescape、antiproprietary 和 Tillie Kottmann 等别名，曾被美国以共谋、电信欺诈和严重的身份盗窃（PDF）起诉。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356083.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，微软正敦促客户更新他们的 Exchange 服务器，并采取措施加强环境，例如启用Windows 扩展保护和配置基于证书的 PowerShell 序列化有效负载签名。 微软 Exchange团队表示，未打补丁的本地 Exchange 环境通常会被攻击者盯上，进行包括数据泄露等方面在内的各种恶意攻击，并强调，微软发布的缓解措施只是权宜之计，可能不足以抵御各种攻击，用户必须安装必要的安全更新来保护服务器。 近年来， Exchange Server 已被证明是一种十分有利可图的攻击媒介，其中的许多安全漏洞曾被用做零日攻击。仅在过去两年中，就在 Exchange Server 中发现了包括ProxyLogon、ProxyOracle、ProxyShell、ProxyToken、ProxyNotShell和称为OWASSRF ProxyNotShell 缓解绕过在内的几组漏洞，其中一些已在野外受到广泛利用。 在近期由Bitdefender 发布的技术咨询中，记录了自 2022 年 11 月下旬以来涉及 ProxyNotShell / OWASSRF 漏洞利用链的一些攻击手法，通过服务器端请求伪造 ( SSRF) 攻击，能让攻击者从易受攻击的服务器向其他服务器发送精心设计的恶意请求，以访问无法直接获取的资源或信息。这些漏洞武器化的攻击被用来针对奥地利、科威特、波兰、土耳其、美国的艺术娱乐、咨询、法律、制造、房地产和批发行业。 据称，虽然大多数攻击不是集中和有针对性的，但仍会被尝试部署 Web shell 和远程监控和管理 (RMM) 软件，例如 ConnectWise Control 和 GoTo Resolve。Web shell 不仅提供持久的远程访问机制，还允许攻击者进行范围广泛的后续活动，甚至将访问权出售给其他黑客组织以牟利。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/356003.html 封面来源于网络，如有侵权请联系删除

本文回顾2022年网络安全领域热点新闻事件，涉及国际动态、黑客攻击、数据泄露、安全漏洞等方面，数据来源 https://hackernews.cc/。转载请注明出处。   · 美国国会网站遭亲俄黑客组织攻击 美国国会图书馆透露，有亲俄黑客团伙攻击了国会立法网站Congress.gov，导致系统临时宕机并“短暂影响到公众访问”。该亲俄黑客团伙名为KillNet，曾向全球被认为对俄罗斯政府怀有敌意的国家目标，发起过一系列分布式拒绝服务攻击。该团伙此次专门发布了一段视频，其中包含503错误页面以及拜登总统的图像。 详情阅读：https://hackernews.cc/archives/40006   · 美及欧洲执法机构联盟查封了黑客网站 RaidForums.com 一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动，以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一，它承载着一个留言板系统，恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和被盗数据，据悉，其中就包括最近在2021年公开的T-Mobile数据泄漏。 详情阅读：https://hackernews.cc/archives/38224   · 南非总统的个人信贷数据泄露：该国已沦为“黑客乐园” 黑客团伙SpiderLog$窃取了南非现任总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。SpiderLog$称，这批数据来自另一个名为N4ugtysecTU的黑客团伙，而后者曾于今年早些时候入侵信用报告机构TransUnion，窃取了5400万消费者征信数据，几乎覆盖该国所有公民。泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。 SpiderLog$通过Ramaphosa的数据唤起了大众的警觉，让人们关注南非安全系统，特别是政府部门（包括国防和国家安全部门）所使用安全系统中的显著漏洞。SpiderLog$团伙在采访中表示，“南非已经成为黑客们的乐园，任何人都能轻松绘制出南非的数字基础设施分布。” 详情阅读：https://hackernews.cc/archives/39146   · 美军黑客为支持乌克兰而开展进攻性行动 美国网络司令部负责人告诉Sky News，美军黑客已经开展了支持乌克兰的进攻性行动。在一次独家采访中，Paul Nakasone将军还介绍了单独的hunt forward行动是如何让美国在外国黑客被用来对付美国之前搜索出他们的工具。 详情阅读：https://hackernews.cc/archives/39207   · 勒索软件攻击造成哥斯达黎加国家危机 自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等；哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果；安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。 详情阅读：https://hackernews.cc/archives/38806   · 美国悬赏 1000万 美元，征集 Conti 成员信息 美国国务院宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息，包括首次展示了其中一名成员的脸。正义奖赏计划是美国国务院的一项计划，会用高额金钱来奖励那些能够提供影响美国国家安全者相关信息的人。该计划最初是为了收集针对美国利益的恐怖分子的信息，现在已经扩大到为网络罪犯的信息提供奖励，如俄罗斯沙虫黑客、REvil勒索软件和邪恶集团黑客。 详情阅读：https://hackernews.cc/archives/40829   · 朝鲜黑客组织 Lazarus 利用 Log4J 攻击 VMware 服务器长达数月之久 作为朝鲜最著名的黑客组织之一，Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门，以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID，它影响了包括 VMware Horizon 在内的多种产品。 自2022年1月份以来，多个威胁参与者都在利用此漏洞，1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞，这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。 Ahnlab的 ASEC 的网络安全分析师声称，自 2022 年 4 月以来，Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。 详情阅读：https://hackernews.cc/archives/38921   · 因勒索软件攻击，芝加哥公立学校 50 万学生数据遭泄露 美国芝加哥公立学校发生了一起大规模的数据泄露事件，近 50 万名学生和 6 万名员工的数据遭泄露，这一切源于其供应商 Battelle for Kids 遭受了勒索软件攻击。5 月 20 日，芝加哥公立学校（CPS）学区披露，去年 12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495448 名学生和 56138 名员工的存储数据，时间范围为 2015 学年至 2019 学年。 详情阅读：https://hackernews.cc/archives/38935   · 通用汽车遭撞库攻击被暴露车主个人信息 通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动，经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡，针对此次事件，通用汽车也及时给受影响的客服发邮件并告知客户。根据调查，这些违规行为并不是通用汽车被黑客入侵的结果，而是由针对其平台上的客户的一波撞库攻击引起的。 详情阅读：https://hackernews.cc/archives/38909   · Lapsus$ 再出手：泄漏 Globant 软件公司 70GB 数据 就在英国警方逮捕了 7 名嫌疑犯之后，近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后，该组织再次宣布成功攻陷 Globant，后者是一家位于卢森堡的软件开发咨询公司。该组织在其 Telegram 频道上发布了一个 70G 的种子文件，其中包括据称从该公司窃取的数据，黑客声称其中包括其企业客户的源代码。 详情阅读：https://hackernews.cc/archives/38059   · RansomHouse 宣布盗取芯片制造巨头 AMD 450GB 数据 RansomHouse 团伙声称入侵了芯片制造商巨头 AMD 并从该公司窃取了 450 GB 的数据，并威胁说如果该公司不支付赎金，就会泄露或出售这些数据。 详情阅读：https://hackernews.cc/archives/39668   · 连锁酒店巨头万豪证实又一起数据泄露事件 酒店集团万豪国际集团已经证实了另一起数据泄露事件，黑客们声称窃取了20GB的敏感数据–包括客人的信用卡信息。该事件首先由Databreaches.net报道，据说发生在6月，一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。 详情阅读：https://hackernews.cc/archives/39794   · 西门子工控系统暴露 15 个安全漏洞 网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息，其中一些可能被攻击者混合使用，以在受影响的系统上实现远程代码执行。工业安全公司 Claroty在一份新报告中表示：“这些漏洞如果被利用，会给网络上的西门子设备带来许多风险，包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。” 详情阅读：https://hackernews.cc/archives/39503   · 甲骨文耗时 6 个月修补 Fusion Middleware 的重大漏洞 安全研究人员揭露甲骨文在今年1月及4月，所分别修补2项影响Fusion Middleware的重大漏洞细节，并指后者花了6个月才修复。 VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞，分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行（pre-auth RCE）漏洞，以及影响Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞。 详情阅读：https://hackernews.cc/archives/39590   · 邮件巨头 Zimbra 曝严重漏洞，黑客无需密码即可登录 邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面，通过利用该漏洞，黑客可以在没有身份验证或用户交互的情况下窃取登录信息，这意味着黑客无需账号密码即可登录用户的邮箱。 详情阅读：https://hackernews.cc/archives/39462   · 360 万+ MySQL 服务器暴露在互联网上 至少有360万台MySQL服务器已经暴露在互联网上，这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。在这些暴露、可访问的MySQL服务器中，近230万台是通过IPv4连接，剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作，但是这些设备应该要进行锁定，保证只有经过授权的设备才能连接并查询。 详情阅读：https://hackernews.cc/archives/39197   · 黑客以 3 万美元兜售 Twitter 数据，称涉及 540 万用户 Twitter在2022年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 有黑客以3万美元（约合20万人民币）兜售540万Twitter账户数据。据了解，Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 详情阅读：https://hackernews.cc/archives/40401    

据BleepingComputer消息，在暗网上销售毒品和其他非法商品的在线市场已经开始使用定制的安卓应用程序来增加隐私，并逃避警方的追捕。 Resecurity 的分析师大概在 2022 年第三季度初观察到了这一新趋势，认为是对去年备受瞩目的暗网市场打击行动、尤其是针对Hydra行动的回应。Hydra曾是暗网最大的“黑市”之一，主要涉及大量非法毒品交易，在全球拥有 19000 名注册卖家和 1700 万客户。2022 年 4 月，由德国主导的一次联合执法行动彻底查封了Hydra服务器，该市场宣告瓦解。 也正因为如此，其他一些小众市场开始瓜分Hydra的用户群体，Resecurity注意到7个此类安卓应用程序，分别是Yakudza、TomFord24、24Deluxe、PNTS32、Flakka24、24Cana和MapSTGK。这些应用程序都使用相同的 M-Club CMS 引擎构建，因此它们可能源自同一开发者。 Resecurity 在报告中提到，这些安卓移动应用程序能够传输有关毒品订单的详细信息，还可以发送运输者留下的毒品包裹的地理坐标，以方便取件。为了防止被索引，此类信息以图像的形式传输，[…] 注释则可能包含包裹埋藏在地下的深度或任何其他可用的详细信息。 包裹埋藏地点的详细信息 （Resecurity）   当这种信息交换发生在几个不同的应用程序上时，会造成信息碎片化，给执法部门的追捕造成一定阻碍。Resecurity 认为，2023年会有越来越多的地下市场采用安卓应用程序，以逐渐取代有隐私风险的论坛和开放市场平台。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/354768.html 封面来源于网络，如有侵权请联系删除

1、与俄罗斯有关的威胁行为者可能是德克萨斯州液化天然气厂爆炸的幕后黑手 德克萨斯州一家液化天然气厂在6 月 8 日发生爆炸。爆炸发生在德克萨斯州金塔纳岛的自由港液化天然气（Freeport LNG）液化厂和出口码头。此次事故将对自由港液化天然气的运营产生持久的影响。 华盛顿时报国家安全作家Rogan证实，德克萨斯州的液化天然气设施爆炸与 XENOTIME等APT组织进行的黑客活动一致。随后Rogan补充说，该公司确实拥有运营技术/工业控制系统网络检测系统。不过Freeport LNG却否认了将网络攻击视为事件发生的根本原因。“除非Freeport LNG适当部署了OT/ICS网络检测系统并完成了取证调查，否则不能排除网络攻击，”罗根反驳说。另外两位与罗根交谈的消息人士称，在俄罗斯发动对乌克兰的入侵期间，俄罗斯GRU军事情报部门的一个网络部门对Freeport LNG进行了目标侦察行动。   2、4 亿 Twitter 用户的数据出售 一个威胁行为者声称他们已经获得了400,000,000名Twitter用户的数据并试图出售这些数据。卖家声称该数据库是私人的，他提供了1,000个帐户的样本作为索赔证明，其中包括 Donald Trump JR、Brian Krebs 等知名用户的私人信息。 卖家是名为 Ryushi 的数据泄露论坛的成员，声称数据是通过漏洞抓取的，其中包括名人、政客、公司、普通用户的电子邮件和电话号码，以及大量 OG 和特殊用户名。卖家还邀请 Twitter 和 Elon Musk 购买数据以避免 GDPR 诉讼。 3、匿名者组织入侵俄罗斯国防部 在匿名者组织呼吁对俄罗斯非法入侵乌克兰后采取行动几个小时后，其成员关闭了俄罗斯宣传站 RT News 的网站，当天的新闻是对俄罗斯国防部服务器的攻击。克里姆林宫 ( Kremlin.ru ) 的网站也无法访问，但尚不清楚这是匿名攻击的结果，还是政府已将其下线以防止破坏性攻击。 据悉，俄罗斯政府的门户网站和其他相关网站运行速度非常慢。匿名者指出，它不是针对俄罗斯公民，而是针对他们的政府。该组织还泄露了来自白俄罗斯武器制造商 Tetraedr 的大约 200GB 电子邮件。该公司为弗拉基米尔普京入侵乌克兰提供后勤支持。   4、匿名者组织破坏白俄罗斯铁路的内部网络 匿名组织宣布白俄罗斯铁路内部网络遭到破坏，该组织声称已阻止所有服务并将停用这些服务，直到俄罗斯军队离开白俄罗斯领土。袭击的目的是为了扰乱占领军的部署，给乌克兰人更多的时间来击退袭击。 这次袭击迫使白俄罗斯铁路切换到手动控制模式，对导致列车运行速度放缓的运营产生了重大影响。这些袭击并没有将民众置于危险之中，而是旨在干扰一个在入侵乌克兰的同时向俄罗斯提供支持的国家的交通。在撰写本文时，无法访问网站 pass.rw.by、portal.rw.by、rw.by。 据悉，该组织还从白俄罗斯武器制造商 Tetraedr 窃取了大约 200GB 的电子邮件。该公司在俄乌冲突期间为弗拉基米尔普京提供后勤支持。   5、黑客用几秒钟攻破了俄罗斯重要的部门 短短几秒钟内，一名黑客远程访问了属于俄罗斯地区卫生部的一台计算机，利用草率的网络安全实践暴露了其整个网络。希望保持匿名的Spielerkid89无意伤害该组织并保持了其系统的完好无损。然而，他的实验是一个完美的例子，说明糟糕的网络卫生如何使组织容易受到网络攻击。 据悉，Spielerkid89 连接到属于俄罗斯鄂木斯克地区卫生部的计算机。要远程访问部门员工的桌面，黑客不需要任何密码或身份验证——他可以通过开放的 VNC 端口访问该计算机上的所有文件和信息。   6、匿名者组织从俄罗斯中央银行窃取了 28GB 数据 匿名者组织宣布附属组织 Black Rabbit World 泄露了从俄罗斯中央银行窃取的 28 GB 数据多达35,000 份文件，并宣布在48小时内泄漏被盗文件。 匿名者组织声称，被盗文件包括俄罗斯的经济机密。对一个国家中央银行的攻击可能对其国内政治产生重大影响。中央银行制定国家的经济政策，管理国家的货币，维持价格稳定，并监督当地银行。   7、专家调查WhatsApp数据泄露  5亿用户记录待售 11 月 16 日，威胁行为者在知名黑客社区论坛上发布了一则广告，声称他们正在出售一个包含2022年4.87亿WhatsApp用户手机号码的数据库。据称该数据集包含来自84个国家/地区的WhatsApp用户数据。威胁行为者声称其中包含超过 3200 万条美国用户记录。 另一大块电话号码属于埃及（4500 万）、意大利（3500 万）、沙特阿拉伯（2900 万）、法国（2000 万）和土耳其（2000 万）的公民。据悉，待售数据集还包含近 1000 万俄罗斯公民和超过 1100 万英国公民的电话号码。   8、Claroty专家设计了一种绕过多家供应商的Web应用程序防火墙 (WAF) 的技术 该技术是在对 Cambium Networks 的无线设备管理平台进行不相关研究时发现的。 研究人员发现了一个 Cambium SQL 注入漏洞，他们用它来窃取用户的会话、SSH 密钥、密码哈希、令牌和验证码。专家指出，他们能够利用本地版本的 SQL 注入漏洞，而针对云版本的黑客攻击尝试被亚马逊网络服务 (AWS) WAF 阻止。专家们研究了如何绕过 AWS WAF。将 JSON 语法附加到 SQL 注入负载可以绕过 WAF，因为它无法解析它。 Claroty 研究人员使用 JSON 运算符“@<”将 WAF 置于循环中并提供恶意 SQLi 负载。 研究人员证实，旁路攻击技术也适用于其他供应商的防火墙，包括 Cloudflare、F5、Imperva 和 Palo Alto Networks。   9、与俄罗斯有关联的 Sandworm 持续对乌克兰发动攻击 Sandworm（又名BlackEnergy和TeleBots）自 2000 年以来一直活跃，在俄罗斯 GRU 特殊技术主要中心 (GTsST) 的74455 单元的控制下运行。该组织还是 NotPetya 勒索软件的作者，该软件 于 2017 年 6 月袭击了全球数百家公司，造成数十亿美元的损失。 4 月，Sandworm使用新变种的Industroyer ICS 恶意软件 (INDUSTROYER2) 和新版本的 CaddyWiper 擦拭器，将乌克兰的能源设施作为目标 。   10、“埃及泄密事件”黑客行为者正在泄露财务数据 Resecurity 是一家总部位于加利福尼亚的网络安全公司，为全球财富 500 强企业提供保护，它注意到一群新的黑客行动主义者以埃及的金融机构为目标。不良行为者在“EG Leaks”（也称为“Egypt Leaks”）运动下，开始在暗网上泄露属于埃及主要银行客户的大量受损支付数据。首次提及此活动是在 Telegram 频道中检测到的，该频道旨在泄露包含 12,229 张信用卡的 Excel 文件。 泄露的数据包括对属于埃及主要银行潜在客户的 PII 的引用——包括埃及国家银行、埃及汇丰银行、亚历山大银行、Banque Misr、Alexbank、埃及农业信贷银行和其他多家银行。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/Son3HvfcvFTQQf-O-4NwYg 封面来源于网络，如有侵权请联系删除  

Bleeping Computer 网站披露，Google Home 智能音箱中出现一个安全漏洞，攻击者可以利用漏洞安装后门账户，远程控制音箱，并通过访问麦克风信号将其变成一个监听设备。 据悉，一名研究员在去年发现这个漏洞问题，并立刻向谷歌报告，最终还获得了 107500 美元。本周早些时候，该研究员公布了有关漏洞的一些技术细节和攻击场景，以展示如何利用漏洞。 Google Home 音箱漏洞发现过程 这名研究员用 Google Home 音箱做实验时，发现使用 Google Home 应用添加的新账户可以通过云端 API 远程向其发送指令。研究员通过使用 Nmap 扫描，找到了 Google Home 本地 HTTP API 的端口，于是设置一个代理来捕获加密 HTTPS 流量，以期获取用户授权令牌。 捕获的 HTTPS（加密）流量（downrightnifty.me） 随后，研究员发现向目标设备添加新用户需要两个步骤。首先需要从其本地 API 中获取设备名称、证书和“云 ID”。有了这些信息，便可向谷歌服务器发送一个链接请求。 为向目标 Google Home 设备添加恶意用户，研究员在一个 Python 脚本中实现了链接过程，该脚本能够自动过滤本地设备数据并“再现”链接请求。 携带设备 ID 数据的链接请求（downrightnifty.me) 研究员在博客中总结了攻击过程： 攻击者希望在 Google Home 的无线距离内监视受害者（但没有受害者的Wi-Fi 密码）。 攻击者通过监听与Google Inc.相关前缀的 MAC 地址（如 E4:F0:42）发现受害者的谷歌Home。 攻击者发送 deauth 数据包以断开设备与网络的连接，使其进入设置模式。 攻击者连接到设备的网络设置，并请求其设备信息（名称、证书、云ID）。 攻击者连接到互联网之后，使用获得的设备信息将其账户链接到受害者的设备上。 这时候，攻击者就可以通过互联网监视受害者的 Google Home 了（不需要再靠近设备）。 值得一提的是，该研究员在 GitHub 上发布了上述行动的三个 PoCs，但应该对运行最新固件版本的 Google Home 设备不起作用。 这些 PoCs 比单纯的植入恶意用户更进一步，攻击者可以通过麦克风进行监听活动，在受害者的网络上进行任意的 HTTP 请求，并在设备上读/写任意文件。 Google Home 音箱安全问题可能带来的影响 一旦有恶意账户链接到目标受害者设备上，就有可能通过 Google Home 音箱控制智能开关、进行网上购物、远程解锁车门，或秘密暴力破解用户的智能锁密码。 更令人担忧的是，研究员发现了一种滥用“呼叫[电话号码]”命令的方法，将其添加到一个恶意程序中，随后将在指定时间激活麦克风，调用攻击者的号码并发送实时麦克风反馈。 捕获麦克风音频的恶意路由（downrightnifty.me） 在通话过程中，设备的 LED 会变成蓝色，这是发生某些监听活动的唯一“指示”，就算受害者注意到它了，也可能会认为是设备正在更新其固件。（注：标准麦克风激活指示灯为脉动 LED，在通话过程中不会出现这种情况） 最后，攻击者还可以在被入侵的智能音箱上播放媒体资源，也可以强制重启，甚至“强迫”其忘记存储的 Wi-Fi 网络，强制进行新的蓝牙或Wi-Fi配对等等。 谷歌的修复措施 研究员在 2021 年 1 月发现 Google Home 智能音箱的安全问题，同年 4 月，谷歌发布安全补丁，修复了所有问题。 补丁中包括一个新的基于邀请的系统，用于处理帐户链接，阻止任何未添加到 Home 的尝试。至于 “呼叫[电话号码]”命令，谷歌新增一个保护措施，以防止其通过例程进行远程启动。 值得注意的是，Google Home 于 2016 年发布，2018 年添加了预定例程，2020 年引入了 Local Home SDK，因此在 2021 年 4 月之前，发现安全漏洞的攻击者有足够的利用时间。     转自 Freebuf，原文链接：https://www.freebuf.com/news/353938.html 封面来源于网络，如有侵权请联系删除