安全内参11月7日消息，由于受到网络攻击影响，欧盟国家丹麦在上周六（11月5日）出现多列火车停运。该事件再次证明，针对第三方IT服务提供商的攻击会对物理世界造成重大破坏。 据丹麦广播公司DR报道，上周六早上，丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运，连续数个小时未能恢复。 从现象来看，这似乎是针对DSB运营技术（OT）系统实施恶意攻击的事件。但实际恰恰相反，遭受攻击的是丹麦公司Supeo，该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。 Supeo可能经受了一次勒索软件攻击，但该公司并未披露任何信息。DSB方面的一名代表告诉路透社，这是一起“经济犯罪”。 在发现黑客攻击之后，Supeo决定关闭其服务器，导致列车司机们使用的一款软件无法正常工作，最终引发了列车运营中断。 Supeo公司提供了一款移动应用，可供火车司机访问运行的各项关键运营信息，例如限速指标和铁路运行信息。据媒体报道，Supeo关闭服务器的决定令该应用停止工作，司机们只能被迫停车。 攻击铁路部门的恶意黑客并不少见，最近一段时间的受害者包括白俄罗斯、意大利、英国、以色列和伊朗。虽然研究人员已经证明，现代火车系统确易受到黑客攻击影响，但近期攻击活动针对的主要是铁路网站、票务及其他IT系统，没有直接针对控制系统。 美国运输安全管理局（TSA）最近发布一项新指令，希望改善铁路运营中的网络安全水平。 转自 安全内参，原文链接：https://www.secrss.com/articles/48733 封面来源于网络，如有侵权请联系删除

最近，一种新形式的钓鱼软件专门攻击 Python 开发人员。攻击者通过伪造的 Python 包并使用常规的伪装技术，通过 W4SP Stealer 来感染开发人员的系统。W4SP Stealer 是一种用来窃取加密货币信息、泄露敏感数据并从开发人员系统收集凭据的木马工具。 根据软件供应链公司 Phylum 本周发布的一份报告中说：一名攻击者在 Python 包索引 (PyPI) 上创建了 29 个流行软件包的克隆，给它们包装成合法的软件包名称，这种做法被称为仿冒域名。如果开发人员下载并加载了恶意程序包，安装脚本则会通过一些混淆步骤来误导安装 W4SP Stealer 木马。目前，这些软件包的下载量已高达 5,700 次。 Phylum 的联合创始人兼首席技术官 Louis Lang 表示，虽然 W4SP Stealer 的作用是针对加密货币钱包和金融账户，但当前攻击者最重要目的很有可能是开发者的隐私。 这与我们过去经常遇到的电子邮件网络钓鱼活动的形式一样，只是这次攻击者只针对开发人员。“考虑到开发人员经常可以访问最核心的地方，一旦被成功的攻击那么会对组织造成毁灭性的打击。 该组织对 PyPI 的攻击是针对软件供应链的最新威胁。通过存储库服务分发的开源软件组件，例如 PyPI 和节点包管理器 (npm)，是一种流行的攻击媒介，因为导入软件的需求数量急剧增加。攻击者试图利用生态系统将恶意软件传输到粗心的开发人员系统中，例如2020 年对 Ruby Gems 生态系统的攻击和对Docker Hub 映像生态系统的攻击。而在 8 月，Check Point Software Technologies 的安全研究人员发现了 10 个 PyPI 软件包，它们都为窃取信息的恶意软件。 Phylum 研究人员 在他们的分析中表示：在这次最新的攻击活动中，这些软件包是一种更复杂的尝试，将 W4SP Stealer 传递到 Python 开发人员的机器上。并补充说：“由于这是一个持续的攻击，攻击者通过不断的改变策略，导致我们很难发现。同时，我们怀疑在不久的将来会出现更多类似的恶意软件。 PyPI 攻击是一种“量化游戏” 这种攻击通过伪装通用软件包名称或使用新软件包来迷惑没有充分审查软件来源的开发人员。例如：一个名为“typesutil”的恶意程序包只是流行的 Python 程序包“datetime2”的副本，并进行了一些修改。 最初，任何导入恶意软件的程序都会在 Python 加载依赖项的设置阶段运行命令并下载恶意软件。后来，由于 PyPI 实施了某些检查，攻击者开始使用大量空格将可疑命令推送到大多数代码编辑器的正常可视范围之外。 Phylum 在其分析中说：攻击者稍微改变了策略，不是仅仅将导入文件放在一个明显的位置，而是将它放在屏幕外，利用 Python 很少使用的分号将恶意代码偷偷放到与其他合法代码的行中。 Phylum 的 Lang 表示，虽然域名仿冒是一种低保真攻击，成功率极低，但与潜在的回报相比，这种成本微乎其微。 这是一场量的游戏，攻击者每天都用大量的恶意软件包污染软件包生态系统。然而相对于回报率来说，成本却极低。 令人痛心的 W4SP 攻击的最终目标是安装“信息窃取木马 W4SP Stealer”，它入侵受害者的系统，窃取浏览器存储的密码，针对加密货币钱包，并使用关键字搜索感兴趣的文件，例如‘银行’和‘秘密’ 。 Lang说：除了窃取加密货币或银行信息带来的明显金钱回报外，攻击者还可以利用窃取的一些信息通过访问关键基础设施或借用开发人员的身份来进一步攻击。 目前，Phylum 在识别攻击者方面取得了一些进展，并向正在使用其基础设施的公司发送了报告。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349072.html 封面来源于网络，如有侵权请联系删除

研究人员发现了一个滥用微软Dynamics 365客户语音来窃取受害者凭证的活动。 据悉，来自网络安全公司Avanan的研究人员发现，微软的Dynamics 365客户语音产品允许企业获得客户反馈，它被用来进行客户满意度调查。 专家们在过去几周内报告了数百起此类攻击。  这些邮件来自Dynamics 365的调查功能，发送者的地址包括 “Forms Pro”，这是调查功能的旧名称。该信息通知收件人已收到一个新的语音邮件。点击播放语音邮件按钮后，收件人会被转到一个钓鱼链接，该链接指向一个克隆微软登录页面的页面。 利用客户语音链接，威胁者能够绕过安全措施。 “黑客不断地使用我们称之为 “静态高速公路 “的方法来接触最终用户。简而言之，这是一种利用合法网站来绕过安全扫描器的技术。其逻辑是这样的。安全服务不能直接阻止微软–这将不可能完成任何工作。相反，这些来自可信来源的链接往往会被自动信任。这为黑客创造了一个插入的渠道。”Avanan发表的文章中写道。 研究人员建议，对任何要求收件人点击链接检查语音邮件的来信都要持怀疑态度。以下是专家们提供的建议： 始终悬停所有的URL，甚至那些不在邮件正文中的URL 当收到一封带有语音信箱的电子邮件时，在考虑参与之前，确保这是一封典型的电子邮件类型。 如果对一封邮件不确定，请询问原发件人。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/lAh058P4OM0UmvT8s62sdg 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 勒索软件集团LockBit声称窃取了咨询和IT服务提供商Kearney&Company的数据。 Kearney是首屈一指的注册会计师事务所，为政府实体提供财务管理服务。该公司为美国政府提供审计、咨询和IT服务。它帮助联邦政府提高了其金融业务的整体效率。 11月5日，Kearney公司被列入Lockbit 3.0集团的受害者名单中，该团伙威胁称，如果公司不支付赎金，将在2022年11月26日前公布被盗数据。目前，勒索软件团伙已经公布了被盗数据的样本，其中包括财务文件、合同、审计报告、账单文件等。 勒索软件团伙要求支付200万美元以销毁被盗数据，并要求支付1万美元以将计时器延长 24 小时。 本周，LockBit勒索软件集团声称已经入侵了其他主要组织，包括跨国汽车大陆集团和国防巨头Thales。 6月，LockBit勒索软件运营商发布了LockBit3.0，其中包含重要的创新，包括漏洞赏金计划和Zcash支付。 该团伙至少自2019年以来一直活跃，如今它是最活跃的勒索软件团伙之一。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参11月4日消息，美国航空航天巨头波音的全资子公司Jeppesen是一家位于科罗拉多州的导航与航班规划工具供应商。该公司昨天证实，由于发生网络安全事件，导致部分航班被迫中断。 11月2日（本周三），Jeppesen公司网站上出现了红色提示条幅，警告称“我们的部分产品、服务和沟通渠道出现了技术问题”。 波音公司一位发言人透露，这是一起网络安全事件，Jeppesen方面正在努力恢复服务。 该发言人表示，“我们的子公司Jeppesen遭遇到网络事件，已经有部分航班规划产品和服务受到影响。部分航班规划被中断，但目前我们判断此次事件应该不会对飞机或飞行安全构成威胁。我们正与客户和监管机构沟通，并努力在最短时间内全面恢复服务。” 尽管航班中断的严重程度还不明确，但此次事件至少已经影响到当前及后续空中任务通知（NOTAM）的接收和处理。NOTAM是指向航空当局提交的通知，用于提醒飞行员注意航线上的潜在危险。 图：Flynas发布公告称将调整部分航班，安全内参截图 伊拉克航空、沙特Flynas航空、加拿大太阳之翼航空均发布公告，称Jeppesen系统发生了中断。Flynas表示部分航班被重新调整，太阳之翼还称北美多家航司受影响。 图：加拿大太阳之翼航空发布公告，安全内参截图 旅游博客Live And Let’s Fly的博主Matthew Klint称，有消息人士透露，此次事件属于勒索软件攻击。但波音发言人称系统“仍处于活动状态”，暂时无法证实事件与勒索软件有关。 航空业网络威胁形势日趋严峻 当前，航空业已经成为网络攻击乃至勒索软件攻击的高频目标。 今年5月，印度香料航空（SpiceJet）公司报告称遭受勒索软件攻击，导致众多乘客因航班停飞在滞留在机场。今年8月，为多家大型航空公司提供技术方案的Accelya称遭受勒索软件攻击，幕后黑手为BlackCat团伙。去年8月，曼谷航空公司称有黑客对其发动勒索软件攻击，事后还通过入侵窃取了乘客信息。 据报道，波音公司也在2018年受到广泛传播的WannaCry勒索软件的打击，好在服务很快恢复了正常。波音公司发言人接受《西雅图时报》采访时称，“漏洞只影响到几台设备。我们部署了软件补丁，所以包括777喷气式飞机在内的所有项目均未发生中断。” 今年8月，美国运输安全管理局（TSA）出台规定，强制要求各航空公司在24小时内向网络安全与基础设施安全局（CISA）上报一切网络安全事件。 转自 安全内参，原文链接：https://www.secrss.com/articles/48677 封面来源于网络，如有侵权请联系删除

BleepingComputer 曝光了近日正在肆虐的 Azov 数据擦除恶意软件，可知其能够通过广告软件捆绑、盗版软件下架、以及密钥生成器来分发。与近年来流行的勒索软件不同的是，新变种还将黑锅扣到知名的网络安全研究人员头上 —— 比如宣称自己由程序员兼恶意软件分析师 Hasherezade 打造。 如上方截图，亚速（Azor）恶意软件在勒索文本中恬不知耻地表示 ——“对设备的加密抗议旨在抗议克里米亚，以及西方世界在帮助乌克兰对抗俄罗斯方面做得不够”。 此外在指引受害人解密文件的描述中，Azor 恶意软件还指示受害者在 Twitter 上联系多位知名网络安全研究人员或研究机构，比如 Lawrence Abrams、Michael Gillespie 和 Vitali Kremez，以及 BleepingComputer、MalwareHunterTeam 和 VK Intel 。 然而现实是，由于上述人员和组织与 Azor 勒索软件没有任何关联，他们根本无法协助受害人清楚勒索软件、更别提支付赎金了。 MalwareHunterTeam 指出，Azov 勒索软件大约在两周前开始传播，其背后的威胁行为者似乎通过 SmokeLoader 僵尸网络实施了新变种的安装与传播。 许多网络犯罪分子都利用过 SmokeLoader 打造恶意软件，且通常分布于虚假的算号器、外挂、破解、以及游戏 Mod 网站中。 BleepingComputer 补充道，一些已被 Azor 勒索软件加密的系统、同样感染了 RedLine Stealer 恶意软件和 STOP 勒索软件。 最后，为保护计算机免受恶意软件攻击，希望大家不要出于好奇而访问潜在的恶意网站，并在打开不请自来的电子邮件时务必小心。 此外请确保将反病毒软件始终保持在最新，以防横向传播到通网络内的其它设备。以及养成定期备份系统和重要文件资料的习惯，从而在遇到意外状况时轻松恢复。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7160594333761061383/ 封面来源于网络，如有侵权请联系删除

位于两个不同大洲的两家企业能有什么共同之处？ 配置不正确的微软服务器，每秒喷出数千兆字节的垃圾数据包，对毫无戒心的服务和企业造成分布式拒绝服务攻击（DDOS）。 这些攻击会严重破坏一个企业的运行，或者在某些情况下，在没有适当保护的情况下使其瘫痪，而这往往不是一个小企业所能承受的。 根据黑莲花实验室最近发表的一份报告，超过12000台运行微软域控制器与活动目录的服务器经常被用来放大DDoS攻击。 多年来，这一直是一场攻击者和防御者的战斗，很多时候，攻击者所要做的就是获得对僵尸网络中不断增长的连接设备列表的控制，并利用它们进行攻击。 其中一个更常见的攻击方法被称为反射。 反射是指攻击者不是用数据包淹没一个设备，而是将攻击发送到第三方服务器。 利用第三方错误配置的服务器和欺骗数据包，使攻击看起来是来自目标的。 这些第三方服务器在不知情的情况下，最终将攻击反映在目标上，往往比开始时大十倍。 在过去的一年里，一个不断增长的攻击来源是无连接轻量级目录访问协议（CLDAP），它是标准轻量级目录访问协议（LDAP）的一个版本。CLDAP使用用户数据报协议数据包来验证用户，并在签署进入活动目录时发现服务。 黑莲花公司的研究员Chad Davis在最近的一封电子邮件中这样说。 “当这些域控制器没有暴露在开放的互联网上时（绝大多数的部署都是如此），这种UDP服务是无害的。但是在开放的互联网上，所有的UDP服务都容易受到反射的影响。” 攻击者自2007年以来一直在使用该协议来放大攻击。 当研究人员第一次发现CLDAP服务器中的错误配置时，数量达到了几万个。 一旦这个问题引起管理员的注意，这个数字就会大幅下降，尽管自2020年以来，这个数字又急剧上升，包括根据黑莲花实验室的数据，在过去一年中上升了近60%。 黑莲花为运行CLDAP的组织提供了以下建议： 网络管理员应考虑不要将CLDAP服务（389/UDP）暴露在开放的互联网上。 如果CLDAP服务暴露在开放的互联网上是绝对必要的，则需要努力确保系统的安全和防御。 在支持TCP LDAP服务上的LDAP ping的MS Server版本上，关闭UDP服务，通过TCP访问LDAP ping。 如果MS Server版本不支持TCP上的LDAP ping，请限制389/UDP服务产生的流量，以防止被用于DDoS。 如果MS服务器版本不支持TCP的LDAP ping，那么就用防火墙访问该端口，这样就只有合法客户可以到达该服务。 安全专业人员应实施一些措施来防止欺骗性的IP流量，如反向路径转发（RPF），可以是松散的，也可以是严格的，如果可行的话。 黑莲花公司已经通知并协助管理员，他们在Lumen公司提供的IP空间中发现了漏洞。 微软还没有对这些发现发表评论。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7160648839798702628/ 封面来源于网络，如有侵权请联系删除

如果有一件事是黑客们喜欢利用的，那就是最新的头条新闻。在埃隆-马斯克计划对Twitter的蓝标验证状态每月收费20美元的消息传出后，网络犯罪分子正在发送钓鱼欺诈邮件，声称这是新认证程序的一部分。 马斯克最近宣布，作为Twitter的新主人，他的首要任务之一是改革验证程序。据报道，这将涉及使Twitter Blue – 每月4.99美元的可选订阅为用户提供额外的功能现在变得更加昂贵，那些已经验证的用户将有90天的时间来订阅，否则将失去他们的验证身份。 据报道，这位世界首富给了从事该项目工作的Twitter工程师11月7日之前推出该项目。如果这个期限没有得到满足，这些员工将被解雇。 而网络骗徒则已经试图利用这一变化，向已验证的用户发送钓鱼邮件，声称他们将不必通过确认他们是一个”知名”人士而为他们的蓝色复选标记付费。 欺诈邮件其实并不算高明，多处纰漏暴露了它是钓鱼诈骗。除了不专业的措辞和风格外，它来自Twittercontactcenter@gmail.com的邮件地址甚至都不是Twitter的官方域名。不过，邮件发得多了无疑会有一些人上当受骗。 点击欺诈邮件当中的”提供信息”按钮会将人们带到一个Google文档页面，它包含一个Google网站的链接，该网站允许用户托管网络内容，它很可能是为了试图避开Google的网络钓鱼检测工具。这个页面包含一个来自另一个网站的嵌入式框架，用户被要求提交他们的账户用户名、密码和电话号码。 即使有人启用了双因素认证并避免了他们的账户被泄露，他们仍然泄露了个人数据，包括他们可能在其他网站重复使用的密码。 Google关闭了这个钓鱼网站。但是，随着马斯克继续在Twitter上实施改革，预计会看到更多这种类型的骗局重复出现。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7161037825914176011/ 封面来源于网络，如有侵权请联系删除

GitHub Copilot在纸面上听起来是一个迷人的工具。一年多前，微软推出了预览版，它基本上是一个由人工智能驱动的扩展，使用GitHub上所有公共存储库中的代码，然后根据简单的帮助程序员写代码。例如，程序员可以只提供”对这个列表中的数字取一个平均值”这样的简单信息，GitHub Copilot就会根据它在GitHub代码库上的训练，自主地写代码来完成这个任务。 微软在几个月前宣布GitHub Copilot以10美元/月的价格全面上市，但几乎从一开始，该产品的法律地位就受到了批评，因为它未经他人许可就使用他人编写的代码，而且微软从这些做法中获利。今天，针对这个由人工智能驱动的配对编程工具的集体诉讼已经被提起。 该诉讼是由马修-巴特里克发起的，他是一名程序员、作家和律师，诉讼由加利福尼亚州的约瑟夫-萨维里律师事务所代理。他们共同声称，微软正在从事开源软件的盗版活动，因为它使用了数百万程序员根据各种许可证（包括MIT、GPL和Apache）编写的代码。诉讼中提到的被告是GitHub、微软和其技术合作伙伴OpenAI。 巴特里克声称，微软在使用这些代码时违反了一些要求，包括署名、GitHub自己的政策、加州消费者隐私法和DMCA 1202–“禁止删除版权管理信息”。这是将是漫长旅程中的第一步。据我们所知，这是美国第一个挑战人工智能系统训练和输出的集体诉讼案件。这不会是最后一起。人工智能系统不能免于法律的约束。那些创造和操作这些系统的人必须负责。如果像微软、GitHub和OpenAI这样的公司选择无视法律，他们不应该指望我们公众会坐视不理。人工智能需要对每个人都是公平和道德的。如果不是这样，那么它就永远无法实现其夸耀的提升人类的目标。它只会成为少数特权者从多数人的工作中获利的另一种方式。 同时，约瑟夫-萨维里律师事务所的约瑟夫-萨维里指出：我很感谢那些挺身而出使本案取得成果的程序员和用户，并确保像微软、GitHub和OpenAI这样的公司不能从开源创作者的工作中不公平地获利。本案代表了在打击人工智能系统引起的科技行业知识产权侵权的斗争中迈出的重要一步。在这个案例中，开源程序员的工作被利用了。但这不会是最后一个受到人工智能系统影响的创作者群体。我们公司致力于为这些创作者站出来，确保开发人工智能产品的公司在法律下承担责任。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7162003028814496269/?log_from=e1d59c09398a3_1667544658087 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 勒索软件集团LockBit 3.0声称窃取了法国国防和科技集团Thales的数据。 Thales是全球高科技领导者，在全球拥有81000多名员工。集团投资于数字和深度技术创新——大数据、人工智能、互联互通、网络安全和量子——通过将人置于决策的核心，构建对社会发展至关重要的信任未来。 10月31日，Thales被列入Lockbit 3.0集团的受害者名单中，该团伙威胁称，如果公司不支付赎金，将在2022年11月7日前公布被盗数据。目前，勒索软件团伙尚未公布任何涉嫌被盗数据的样本。 Thales告诉路透社，它尚未收到任何直接的赎金通知。 该公司补充称，已对涉嫌的安全漏洞展开调查，并通知了法国ANSSI国家网络安全局。 该公司发言人表示，公司尚未向警方提出投诉。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文