研究人员透露，Fodcha分布式拒绝服务（DDoS）僵尸网络背后的威胁者以新功能重新出现。 根据奇虎360网络安全研究实验室在上周发表的一份报告中说，新的功能包括对其通信协议的修改和勒索加密货币付款以换取停止对目标的DDoS攻击的能力。 Fodcha在今年4月初首次曝光，该恶意软件通过安卓和物联网设备的已知漏洞以及薄弱的Telnet或SSH密码进行传播。 目前，Fodcha已经演变成一个大规模的僵尸网络，拥有超过6万个活跃节点、40个命令和控制（C2）域，可以 “轻松产生超过1 Tbps的流量”。 据说活动高峰发生在2022年10月11日，当时该恶意软件在一天内针对1396台设备。 自2022年6月底以来，该僵尸网络挑出的首要国家包括中国、美国、新加坡、日本、俄罗斯、德国、法国、英国、加拿大和荷兰。 目标范围从医疗机构和执法机构到知名的云服务商，他们被攻击的流量超过1 Tbps。 Fodcha的演变还伴随着新的隐蔽功能，这些功能可以加密与 C2 服务器的通信并嵌入赎金要求，使其成为更强大的威胁。 Fodcha重用了大量Mirai的攻击代码，并支持总共17种攻击方法。 这些发现是在Lumen Black Lotus实验室的一项新研究中指出，无连接轻量级目录访问协议（CLDAP）被日益滥用，以放大DDoS攻击的规模。 为此，已经发现了多达12142个开放的CLDAP反射器，其中大部分分布在美国和巴西，其次是德国、印度和墨西哥。 在一个实例中了解到，与北美一家未命名的区域零售企业相关的 CLDAP 服务将“有问题的流量”引导至广泛的目标超过 9 个月，发出高达 7.8 Gbps 的 CLDAP 流量。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348438.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Snatch勒索软件组织声称已经入侵了法国公司HENSOLDT France。HENSOLDT是一家专门从事军事和国防电子产品的公司。 HENSOLDT France公司为法国和国外的航空、国防、能源和运输部门提供各种关键电子解决方案、产品和服务，无论是航空、海军还是陆地应用。 根据公司网站，HENSOLDT France公司提供任务管理系统、世界级传感器、嵌入式系统；测试与仿真；氢气和电力转换、命令与控制、机械解决方案、支持和咨询以及安全通信和网络安全。 该公司开发特定的电子解决方案，并为危险环境提供专用的COTS解决方案。它们完全符合军事和航空标准，以及测试、集成和仿真解决方案，以确保关键系统的开发。 Snatch勒索软件组织将HENSOLDT France添加到其Tor泄密网站公布的受害者名单中。 该组织发布了被盗数据样本（94 MB）作为黑客攻击的证据。 Snatch勒索软件于2019年底首次被发现，Sophos研究人员发现了该勒索软件可以将感染的计算机重新启动到安全模式，以绕过常驻安全解决方案。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

一个新的开源工具”S3crets Scanner “扫描仪允许研究人员和红色团队搜索错误存储在公开曝光的或公司的亚马逊AWS S3存储桶中的 “秘密”。 亚马逊S3（简单存储服务）是一项云存储服务，通常被公司用来将软件、服务和数据存储在被称为桶的容器中。但是公司有时不能很好的保护他们的S3桶，从而导致存储的数据公开暴露在互联网上。 这种类型的错误配置已经造成了数据泄露，威胁者获得了员工或客户的详细资料、备份和其他类型的数据。除了应用程序数据外，S3桶中的源代码或配置文件也可能包含 “秘密”，即认证密钥、访问令牌和API密钥。如果这些秘密被威胁者暴露和访问，可能会对其他服务甚至公司的企业网络进行更大的访问。 扫描S3的秘密 在一次检查世嘉最近的资产暴露的演习中，安全研究员Eilon Harel发现没有扫描意外数据泄露的工具存在，所以他决定创建自己的自动扫描器，并将其作为开源工具发布在GitHub。 为了帮助及时发现公共S3桶上暴露的秘密，Harel创建了一个名为 “S3crets Scanner “的Python工具，自动执行以下操作。 使用CSPM来获取公共桶的列表 通过API查询列出桶的内容 检查是否有暴露的文本文件 下载相关的文本文件 扫描内容中的秘密 将结果转发给SIEM 扫描工具将只列出以下配置设置为 “False “的S3桶，这表示暴露可能是意外的。 “BlockPublicAcls” “BlockPublicPolicy” “IgnorePublicAcls” “RestrictPublicBuckets” 在为 “秘密扫描 “步骤下载文本文件之前，任何打算公开的桶都被从列表中过滤掉。 当扫描一个桶时，脚本将使用Trufflehog3工具检查文本文件的内容，这是一个基于Go的改进版秘密扫描器，可以检查GitHub、GitLab、文件系统和S3桶上的凭证和私钥。 Trufflehog3使用Harel设计的一套自定义规则扫描S3crets下载的文件，这些规则针对个人身份信息（PII）暴露和内部访问令牌。 当定期用于扫描一个组织的资产时，研究人员认为 “S3crets扫描器 “可以帮助企业最大限度地减少因秘密暴露而导致的数据泄露或网络漏洞。 最后，该工具还可用于白帽行动，如扫描可公开访问的桶，并在攻击者发现秘密之前通知其所有人。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348371.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，德国联邦刑事警察局（BKA）在巴伐利亚逮捕一名 22岁的学生，警方怀疑该名学生是德国最大暗网市场之一Deutschland im Deep Web’（DiDW）的管理员。 据悉，DiDW 平台已于 2022 年 3 月正式下线，一共积累了约 16000 名注册用户，28000 个帖子，售卖武器、毒品等违禁商品的72名卖家。 Deutschland im Deep Web 历史 DiDW 平台于 2013 首次推出，最初定位是一个讨论 IT 安全的论坛，经过不断发展，在 2017 年迎来了高峰期，当时注册用户达到 23000 人，每月点击量更是高达 600 万。 随后，部分网络犯罪分子盯上了 DiDW 平台，利用平台销售武器和毒品等非法物品，并使用托管系统进行支付，以保护成员免受欺诈性列表的影响，这种情况使 DiDW 实质上成为一个以论坛为幌子的暗网市场。 在 BKA 发布的逮捕公告中提到了一个例子，2016 年，一名慕尼黑枪手利用该平台采购了凶器和弹药，事件发生后不久，DiDW 平台于 2017 年被执法部门关闭，其背后经营者被逮捕并被判处七年监禁。 2018 年，DiDW 平台使用 “没有控制，一切允许”作为口号，在暗网上推出了两个新版本，暗示新的运营商不再关心掩盖网站的非法活动。值得一提的是，2019 年，在没有给出任何理由的情况下，第二个迭代的 DiDW 自行关闭了，仅仅十天后，第三个迭代版本作为暗网市场品牌的正式继承者开始在网上出现。 最终，经过五年调查，德国联邦刑事警察局成功确认了第三版 DiDW 的管理员，并于 2022 年 10 月 25 日将其逮捕，嫌疑人将面临经营非法交易平台的刑事指控，最高可能被判处十年监禁。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348356.html 封面来源于网络，如有侵权请联系删除

安全内参10月28日消息，《纽约邮报》昨天证实，公司遭遇了黑客攻击，其网站和推特账户被攻击者利用，发布了一系列针对美国政客的攻击性内容。 周四上午，《纽约邮报》删除了自家网站和推特账户发布的多条令人不安的推文，并随后声明称，“〈纽约邮报〉遭到黑客攻击，相关原因目前正在调查当中。” 这些攻击性的头条新闻和推文打击面极广，涉及纽约州多位政客以及拜登总统的儿子亨特·拜登。 内部员工未授权搞事 据《纽约时报》报道，《纽约邮报》事后调查发现，当天早上在其网站和推特发布的一系列“未经授权”的粗俗及种族主义的推文和头条新闻系一位内部员工所为。 推特上的帖子有提到纽约州州长Kathy Hochul，并把关于她的言论错误扣到了下届选举中的竞争对手、众议员Lee Zeldin头上。帖子里还提及了纽约市长Eric Adams和拜登总统的儿子亨特·拜登。 该员工使用邮报的内部发布系统重新发表了一篇关于众议员Alexandria Ocasio-Cortez的社论，只是将署名改为保守派评论员Ben Shapiro，并把标题换成了《为了美国，我们必须干掉Alexandria Ocasio-Cortez》。 《纽约邮报》发言人在邮件中解释道，“调查表明，此次未授权行为出自一名员工之手，我们正在采取适当行动。” 州长Hochul女士的竞争活动发言人Jen Goodman要求《纽约邮报》对事件详情做出解释。 Goodman在声明中指责，“长久以来，〈纽约邮报〉一直在其头版和社交账户上发布丑陋且极具毒害性的言论，但这次的内容比以往更恶心、更粗鄙。” 多家美国大媒体近期遭黑 近期还发生过类似的安全事件。一个月前，有恶意黑客入侵了美国商业杂志《Fast Company》的内容管理系统（CMS）。 在黑客利用苹果新闻平台向读者的移动设备推送种族主义言论之后，Fast Company被迫将网站关闭了约两个星期。 事后，Breached黑客社区的成员Thrax声称对此负责，并透露了黑客攻击的情况，以及如何通过WordPress实例入侵目标网站的CMS。 《纽约邮报》的母公司、美国媒体和出版业巨头新闻集团今年2月曾经披露，其“持续”受到网络攻击的侵扰。 这轮攻击于今年1月被发现。根据报道，恶意黑客已经能够访问新闻集团员工（包括部分记者）的电子邮件和文档。 新闻集团旗下的资产包括《纽约邮报》、《福克斯新闻》、《华尔街日报》以及News UK British报社。 外媒就《纽约邮报》被黑一事联系新闻集团，对方发言人表示无法回应置评请求。 转自 安全内参，原文链接：https://www.secrss.com/articles/48443 封面来源于网络，如有侵权请联系删除

据台媒报道，台湾地区户政系统传出遭黑客入侵，有网友在海外论坛BreachForums上贩售20万笔台湾民众户籍资料，并宣称手上有全台2300万民众资料。台湾“调查局”本月25日获报后即展开追查，初步调查确认目前释出的20万笔集中在宜兰地区，且资料都吻合，宜兰县长林姿妙、民进党“立委”陈欧珀等人的个人资料都在其中。 10月21日清晨，海外论坛Breach Forums刊出一篇文章，一名ＩＤ为“ＯＫＥ”的网友，在论坛兜售台湾民众户政资料，称“今天我将出售来自www.ris.gov.tw（“内政部”户政司官网）的数据”，并说明数据资料包括台湾人口纪录等，且可从这些数据中轻松找到任何人及其家庭的资料，还有兵役、教育纪录、居住地址，并宣称有2300余万笔台湾人个资。 “调查局”指出，论坛上目前出现的20万笔个人资料，只是黑客丢出来给买家“测试”的样本。调查人员追查后发现，20万笔台湾人的户籍资料，内容非常详细，包括婚姻状况、居住地址、学历等，不仅林姿妙和陈欧珀，包括宜兰前县长吕国华、林聪贤等政治人物的个资全都可一览无遗；底下留言还有多名网友询问价码，回应“很高兴完成交易”。 据了解，目前在“Breach Forums”论坛公开的20万笔资料均为真实，黑客将2300余万笔资料“包裹”出售，一包售价五千美金，相当于十六万元新台币，算是相当廉价的个资，还强调可用比特币或泰达币替代。有兴趣的买家就可以跟黑客交易，实际上会想要这些资料的人，多属电诈集团。 陈欧珀昨天说，“调查局”25日即掌握黑客在贩售户政资料，前天已要求“法务部”尽速查明。他说，“内政部”网站资料被黑，引起全台湾民众震惊，毕竟掌握个人和家人资料，会造成大家心理上恐惧。 林姿妙也要求民进党当局赶快检讨，强调保护民众个资很重要。林姿妙阵营指出，户政资料外泄不是第一次，掌管户政资料的“内政部”要说清楚，不能每隔几年就外泄。 “内政部”昨天发布新闻稿，指该论坛提供的个资，内容格式与“内政部”户役政资料差异甚大，相关资料并非从“内政部”户政司万维网泄漏，目前检调单位已进行调查。而个资疑似外泄前是何时掌握？“内政部”仅重申“没有资料被窃取”，但指是在网友公开后才知，已由检警调查，“内政部”没有调查权，不清楚资料来源。 据了解，有关单位初步调查显示，这次上网兜售的户政资料，是2018年相关资料介接时，由其他单位流出去。对此，“内政部”仅称，的确有这样的传言，不无可能，但无法证实。 “内政部”初步研判，该论坛上贩售的资料，看似由多个数据库组合而成，资料真实性有相似度，已交由检警调调查，并强调户役政资讯系统采内外网实体隔离架构，资料均妥善保存于内网中，并未流出。 转自 安全内参，原文链接：https://www.secrss.com/articles/48453 封面来源于网络，如有侵权请联系删除

近日，美国网络安全和基础设施安全局（CISA）发布了一份新报告，概述了所有关键基础设施部门的基准网络安全性能目标（CPG）。该文件是由拜登总统在2021年7月签署的安全备忘录而来。已成为CISA和国家标准与技术研究所（NIST）为关键基础设施创建基本的网络安全实践，主要是为了帮助中小型企业（SMEs）改善其网络安全工作。 CPG旨在成为： 一套广泛适用于关键基础设施的网络安全做法的基线，具有已知的降低风险的价值。 关键基础设施运营商衡量和提高其网络安全成熟度的基准。 为IT和OT所有者推荐的实践组合，包括一套优先的安全实践。 与其他控制框架不同的是，它们不仅考虑了解决单个实体风险的做法，而且还考虑了国家的总体风险。 CISA指出：”CPG是IT和操作技术（OT）网络安全实践的一个优先子集，关键基础设施的所有者和经营者可以实施，以有意义地减少已知风险和对手技术的可能性和影响。这些目标是根据现有的网络安全框架和指南制定的。它们还依赖于CISA及其合作伙伴观察到的现实世界的威胁和对手的战术、技术和程序（TTPs）。 通过实施这些目标，业主和运营商将不仅减少对关键基础设施运营的风险，而且也减少对美国人民的风险。 CISA计划每6到12个月进行目标更新 Hexagon公司网络生态系统的全球总监Edward Liebig指出：”随着技术的发展，风险、TTP和范围自然会改变。这一点，再加上工业革命4.0的演变，将使建议和结果适当变形。” 在他看来CISA与监管机构一起起草具体部门目标的计划，如果没有行业垂直运营商的密切参与，随着时间的推移，可能会变得难以维持。应该共同努力，建立并鼓励参与特定行业的信息共享和分析中心（ISAC），如电力信息共享和分析中心（E-ISAC），因为供应商之间的合作将进一步解决OT安全中的问题。” 据悉，在Cyble研究人员发现超过8000个暴露的虚拟网络计算（VNC）实例，可能导致对关键基础设施组织的远程妥协攻击后的几个月，CISA报告出台。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/0auvvrTnRdMCqo45PxfqfA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 自2021年9月以来，已发现多达85个命令控制（C2）服务器受ShadowPad恶意软件支持，最近于2022年10月16日检测到基础设施。 这是根据VMware的威胁分析小组（TAU）的说法，该小组研究了三种ShadowPad变体，使用TCP、UDP和HTTP（S）协议进行C2通信。 ShadowPad被视为PlugX的继承者，是一个模块化恶意软件平台，自2015年以来由多个中国国家赞助的黑客私下共享。 今年5月初，台湾网络安全公司TeamT5披露了另一个名为Pangolin8RAT的中国nexus模块化植入程序的细节，据信它是PlugX和ShadowPad恶意软件家族的继任者，将其与一个名为“Tianwu”的黑客组织联系起来。 VMware表示，对Winnti，Tonto团队和代号为“Space Pirates”的新兴黑客组织之前使用的三个ShadowPad工件进行了分析，通过扫描一个名为ZMap的工具生成的开放主机列表，可以发现C2服务器。 该公司进一步披露，它发现了与ShadowPad C2 IP地址通信的Spyder和ReverseWindow恶意软件样本，这两者都是APT41（又名Winnti）和LuoYu使用的恶意工具。 此外，还观察到上述Spyder示例与黑客Winnti 4.0特洛伊木马的Worker组件之间存在重叠。 VMware TAU的高级威胁研究员Takahiro Haruyama表示：“在互联网上扫描APT恶意软件C2有时就像在大海捞针一样，然而，一旦C2扫描起作用，它将成为最主动的威胁检测方法之一，从而改变游戏规则。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： OpenSSL项目宣布将发布更新，以解决开源工具包中的一个关键漏洞。专家指出，这是自2016年9月以来在工具包中修补的首个关键漏洞。 “OpenSSL项目团队宣布即将发布的OpenSSL 3.0.7版本。该版本将于2022年11月1日星期二UTC 1300-1700之间发布。”公告中写道。“OpenSSL 3.0.7是一个安全修复版本，该版本中修复的最高级别问题是‘严重’。” 该严重漏洞仅影响3.0及更高版本。这是OpenSSL项目继2014年严重Heartbleed漏洞（CVE-2014-0160）之后解决的第二个关键漏洞。 3.0.7版本将于下周（11月1日）发布，维护人员将其定义为“安全修复版本”。 OpenSSL项目还宣布了即将发布的bug修复版本1.1.1s，该版本将于同一天发布。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参10月27日消息，俄罗斯最重要的银行之一俄罗斯储蓄银行（Sberbank）副总裁斯坦尼斯拉夫·库兹涅佐夫（Stanislav Kuznetsov）表示，该银行击退了其历史上规模最大的网络攻击之一，这次攻击持续了24小时零7分钟。 库兹涅佐夫周二对Rossiya 24电视台表示，DDoS攻击是一种拒绝服务攻击，涉及至少104000名黑客，他们在不同国家拥有至少30000台电脑。 这位高级管理人员强调，尽管在这种条件下工作非常复杂，但该银行启动了先进的安全协议，并继续不受干扰地运营。 这位银行高管解释说，他们的团队找到了成功阻止网络攻击的必要资源。 库兹涅佐夫补充道，今年迄今为止，Sberbank的系统至少遭遇了470次网络攻击，超过了过去七年中检测到的所有攻击。 转自 安全内参，原文链接：https://www.secrss.com/articles/48392 封面来源于网络，如有侵权请联系删除