Hackernews 编译，转载请注明出处： 在Conti今年正式退出威胁领域后，包括Quantum和BlackCat在内的勒索软件即服务 (RaaS) 组织现在正在利用Emotet恶意软件。 Emotet于2014年开始作为银行木马，但随着时间的推移，该恶意软件已成为巨大的威胁，它能够将其他有效负载下载到受害者的机器上，从而允许攻击者远程控制它。 尽管与侵入性恶意软件加载程序相关的基础设施在2021年1月作为执法工作的一部分被拆除，但据说Conti勒索软件卡特尔在去年年底发挥了重要作用。 AdvIntel在上周发布的一份咨询报告中表示：“从2021年11月到2022年6月Conti解散，Emotet是Conti独有的勒索软件工具，然而，Emotet感染链目前被归咎于Quantum和BlackCat。” 典型的攻击序列需要使用Emotet（又名SpmTools）作为初始访问向量来投放Cobalt Strike，然后将其用作勒索软件操作的后利用工具。 臭名昭著的Conti勒索软件团伙可能已经解散，但它的一些成员仍然一如既往地活跃，要么是BlackCat和Hive等其他勒索软件团队的成员，要么是专注于数据勒索和其他犯罪活动的独立团体。 Quantum也是Conti的一个衍生组织，在随后的几个月里，它利用了回调网络钓鱼技术（称为BazaCall或BazarCall）来突破目标网络。 Recorded Future在上个月发布的一份报告中指出：“Conti附属公司使用各种初始访问媒介，包括网络钓鱼、凭据泄露、恶意软件分发和利用漏洞。” AdvIntel表示，自今年年初以来，它在全球范围内观察到超过1267000例Emotet感染病例，活动高峰出现在2月和3月，恰逢俄罗斯入侵乌克兰。 由于Quantum和BlackCat等勒索软件集团的使用，感染人数在6月至7月间再次激增。这家网络安全公司获取的数据显示，Emotet攻击最多的国家是美国，其次是芬兰、巴西、荷兰和法国。 ESET此前报告称，与2021年9月至12月的前四个月相比，2022年前四个月的Emotet检测数量增加了100倍。 据以色列网络安全公司Check Point称，Emotet在2022年8月最流行的恶意软件列表中从第一名跌至第五名，仅次于FormBook、Agent Tesla、XMRig和GuLoader。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Avast是网络安全领域的巨头，刚刚完成了与NortonLifeLock 81亿美元的收购，将以未披露的价格收购这个有10年历史的软件。开发者丹尼尔-克拉德尼克表示，Avast.是一家著名的、值得信赖的IT公司，帮助保障用户数字体验，NortonLifeLock将继续致力于该扩展，它将保持免费，并要求停止捐赠。然而，Facebook、Twitter和该扩展的各个安装页面上的评论者并不同意丹尼尔-克拉德尼克对Avast的描述。 一位Facebook评论者表示：”祝贺你杀死了这个扩展! Avast是这个星球上的癌症，现在的治疗方法比疾病更糟糕”，另一位Facebook评论者写道：”可悲的是，一个伟大的弹出窗口阻止扩展被一家知名的弹出窗口创建公司收购。“ 对软件的收购总是有一定程度的”卸载”反应，但一个为你处理cookie政策的扩展“I don’t care about cookies”被Avast收购确实引起了一些问题。Avast已经因其数据管理的历史而成为新闻。 在Vice和PCMag的联合调查中，Avast在2020年关闭了数据经纪业务Jumpshot，该公司的杀毒程序向一些世界上最大的公司出售浏览数据，包括家得宝、Google和微软。这些数据包括Google搜索、Google地图上的GPS坐标，以及在各种网站上的搜索，包括YouTube和PornHub。Jumpshot吹嘘自己是”唯一一家解锁围墙花园数据的公司”，并在一条现已删除的推文中吹嘘自己有能力收集”每次搜索，每一次点击，在在每个网站上每一次购买。” 2019年，AdBlock Plus的创建者挖掘了Avast的在线安全浏览器扩展（以及Avast收购的AVG的一个类似扩展）。该扩展程序正在发送有关访问的网页、这些网页上的活动以及其他数据的广泛细节。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1318105.htm 封面来源于网络，如有侵权请联系删除

otto-js 安全研究团队于本周五发布博文，概述了在未经用户许可且用户不知情的情况下，黑客可以利用 Google Chrome 和 Microsoft Edge 浏览器中的增强拼写功能，将密码和个人身份信息 (PII) 传输到第三方基于云的服务器。 该漏洞不仅让普通最终用户的私人信息面临风险，而且还可能使组织的管理凭据和其他与基础设施相关的信息暴露给未经授权的各方。该漏洞是由 otto-js 联合创始人兼首席技术官乔什·施密特（Josh Summit）在测试公司的脚本行为检测能力时发现的。 在测试过程中，施密特和 otto-js 团队发现，在 Chrome 浏览器中的“增强拼写检查”和 Edge 浏览器的“MS Editor”中，正确组合功能会无意中暴露包含 PII 和其他敏感信息的字段数据，并将其发送回微软和Google服务器。这两个功能都要求用户采取明确的行动来启用它们，一旦启用，用户通常不会意识到他们的数据正在与第三方共享。 除了字段数据，otto-js 团队还发现用户密码可能会通过查看密码选项暴露。该选项旨在帮助用户确保密码不被错误键入，通过增强的拼写检查功能无意中将密码暴露给第三方服务器。 面临风险的并不仅仅只是个人用户。该漏洞可能导致企业组织的凭据被未经授权的第三方泄露。 otto-js 团队提供了以下示例，以展示登录云服务和基础架构帐户的用户如何在不知情的情况下将其帐户访问凭据传递给 Microsoft 或 Google 服务器。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1317813.htm 封面来源于网络，如有侵权请联系删除

特斯拉电动汽车在安全碰撞测试中所展现出的安全性高到令人难以置信，其中Model Y 的表现尤其令用户满意，曾在NHTSA的安全测试中获得了最高的IIHS安全等级。 但是，知名特斯拉黑客和软件专家@Greentheonly却在社交平台上爆料称，特斯拉一直在添加涉及碰撞测试机构的代码，包括刚刚测试过 Model Y 的 ANCAP 和 EuroNCAP。 Greentheonly认为，特斯拉之所以能够在全球各个国家碰撞测试中获得好成绩，很有可能是针对性使用了“特殊代码”。例如特斯拉在ANCAP（澳大利亚）、I-VISTA（中汽研中国智能汽车指数）、EuroNCAP（欧洲）、Korea NCAP（韩国）等车辆测试中心都使用了相关的代码。 简单来说，特斯拉可能针对各种不同规则制定出最优碰撞应对方案，并由车辆上的电脑在碰撞测试时实施该方案。有专家称这些代码是用来激活安全系统，使得车辆在碰撞发生时提前做好准备，这也是特斯拉在不同测试平台所使用的代码不一致的原因。 而一旦可以提前反应，那么车辆的碰撞测试就失去了意义，再也无法模拟真实意外碰撞的场景。因为车辆有足够的时间来改善汽车安全环境，包括采取气囊准备打开在内的其他安全措施等。 倘若黑客所曝出的内容是真的话，那么对于特斯拉绝对是一个巨大的打击。目前，特斯拉并未对此事进行回应。ANCAP的官方人员对媒体表示，他们已经知道这件事情，并对此展开调查。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344842.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 通过FunJSQ执行任意代码会影响多个Netgear路由器模型，FunJSQ是厦门讯网网络技科技有限公司为在线游戏加速开发的第三方模块。 FunJSQ模块用于各种Netgear路由器和Orbi WiFi系统，影响该模块的问题在2022年5月被发现，现已修复。通过对各种固件的分析，研究人员发现NETGEAR设备（R9000、R7800、RAX200、RAX120、R6230、R6260、RAX40）和一些Orbi WiFi系统（RBR20、RBS20、RBR50、RBS50）中存在漏洞模块。 专家发布的帖子写道：“早在2022年5月，我们就在语料库中的大多数NETGEAR固件图像中发现了FunJSQ，这是由中国厦门讯网网络科技有限公司提供的第三方游戏速度提升服务。随着我们对它的深入研究，事情变得越来越复杂，最终对它进行了全面的漏洞研究。我们发现了影响该第三方组件的多个漏洞，这些漏洞可能导致从LAN和WAN接口执行任意代码。” 专家们在分析NETGEAR R7000使用的固件时发现了以下问题： 由于显式禁用证书验证（-k）而导致通信不安全，这允许我们篡改从服务器返回的数据。 更新包只需通过哈希校验和验证，包不会以任何方式签名。 以提升的权限任意提取根路径，允许控制更新包的人覆盖设备上任何位置的任何内容（这非常信任第三方供应商） 基本上，整个更新过程依赖于仅使用哈希校验和在设备上验证的未签名包。专家还发现，该模块在更新过程中不依赖安全通信，这意味着攻击者可以篡改更新包。 不安全的更新机制漏洞被跟踪为CVE-2022-40620，未经验证的命令注入漏洞被跟踪为CVE-2022-40619。 NETGEAR在6月修复了该漏洞，并指出，攻击者只有在知道受害者的WiFi密码或与受害者路由器的以太网连接的情况下才能利用这些漏洞。 建议用户尽快更新设备。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

一项新的有关海岸警卫队重新授权法案将在联邦法律中为美国海上运输系统提供首批网络安全保护和数据管理要求。 新法案将要求军事部门制定人工智能和机器学习技术战略，以及一系列网络安全和数据管理要求。 上周，一个由两党议员组成的团体提出了2022年海岸警卫队授权法案，旨在解决围绕海上网络安全的联邦法律中的众多漏洞。该立法命令海岸警卫队制定一套网络数据管理政策和流程，以确保有效使用与任务相关的数据，并将指导总审计长研究影响美国海上运输系统的网络威胁。 该法案还将扩大海岸警卫队的采购权限，以开发和采购具有成本效益的技术，同时对特定“国家”技术的采购设定限制，其中一些目前由军方部门使用。 海岸警卫队还需要与网络安全和基础设施安全局 (CISA) 和海事管理局 (MARAD) 就网络安全工作进行协调，包括识别和向海事运营商提供应对网络事件所需的工具。 参议员 Maria Cantwell (D-Wash.)、商务委员会主席和排名成员参议员 Roger Wicker (R-Miss.) 与小组委员会主席 Tammy Baldwin (D-Wis.) 周四介绍了该法案。它的特点是对海岸警卫队在整个北极地区的存在进行了大量投资。包括用于第三个极地安全切割计划的 8.41 亿美元，以及用于解决基础设施维修和突出的岸边基础设施需求的 30 亿美元。 根据该法案，海岸警卫队将被要求研究军事部门与私营部门合作的程度，以加强港口和船舶系统的网络安全保护。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/HDHJFMdbRKj8wO1wNeF88w 封面来源于网络，如有侵权请联系删除

据悉，Uber 再次遭到入侵，威胁行为者访问了其电子邮件和云系统、代码存储库、内部 Slack 帐户和 HackerOne 票据，攻击者渗透其内部网络并访问内部文件，包括漏洞报告。 据《纽约时报》报道，威胁者入侵了一名员工的 Slack 账户，并用它来通知内部人员该公司“遭受了数据泄露”，并提供了一份据称被黑客入侵的内部数据库列表。 “我宣布我是一名黑客，Uber遭到数据泄露。” 该公司被迫使其内部通信和工程系统离线，以减轻攻击并调查入侵。 据称，攻击者破坏了多个内部系统，并向《纽约时报》和一些网络安全研究人员提供了电子邮件、云存储和代码存储库的图像。“他们几乎可以完全访问 Uber，”Yuga Labs 的安全工程师 Sam Curry 说，他与声称对此次违规行为负责的人进行了通信。“从它的样子来看，这是一个彻底的妥协。” 攻击者还可以访问公司的 HackerOne 漏洞赏金计划，这意味着他们可以访问白帽黑客提交给公司的每个漏洞报告。这些信息非常重要，威胁者可以利用它发动进一步的攻击。目前无法排除报告包含有关公司尚未修复的一些缺陷的技术细节。 HackerOne 已立即禁用 Uber 漏洞赏金计划，阻止对报告问题列表的任何访问。公司发言人证实，Uber通知执法部门并开始对事件进行内部调查。 Uber首席信息安全官 Latha Maripuri 通过电子邮件告诉《纽约时报》：“我们目前无法估计何时恢复对工具的完全访问权限，因此感谢您对我们的支持。” 员工被指示不要使用内部消息服务 Slack，其中一些不愿透露姓名的员工告诉纽约时报，其他内部系统无法访问。 这名黑客自称18岁，并补充说优步的安全性很弱，在通过 Slack 发送的消息中，他还表示优步司机应该获得更高的工资。 据悉，这不是Uber第一次遭遇安全漏洞。2017 年，2016 年发生的另一起数据泄露事件成为头条新闻。 2017 年 11 月，Uber 首席执行官 Dara Khosrowshahi 宣布黑客侵入了公司数据库并访问了 5700 万用户的个人数据（姓名、电子邮件地址和手机号码），令人不安的发现是该公司掩盖了黑客行为一年多。攻击者还访问了其在美国大约 600,000 名司机的姓名和驾照号码。 黑客事件发生在 2016 年，根据彭博社发布的一份报告，黑客很容易  从公司开发团队使用的私人 GitHub 站点获取凭据。黑客试图勒索优步，并要求该公司支付 10 万美元，以换取避免公布被盗数据。 信息安全主管乔·沙利文（Joe Sullivan）没有按照加州数据安全违规通知法的要求向客户和执法部门通知数据泄露事件，而是下令支付赎金并掩盖破坏任何证据的故事。奖金被伪装 成漏洞赏金 ，并签署了保密协议。 如果Slack被判有罪，这将是第一次有安全专业人员因此类事件而被追究个人责任。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/WadncDZ4Qq79rq-uUKSIag 封面来源于网络，如有侵权请联系删除

据Bleeping Computer消息，同性恋应用程序Sniffies近日被黑灰产们盯上了。他们通过推销各类诈骗和不安全的谷歌Chrome扩展程序域名来诱导用户。在某些情况下，这些非法域名会启动 Apple Music 应用程序，提示用户购买订阅，这反过来又会为攻击者赚取佣金。 Sniffies是2018年面世的一款基于地图的现代聚会应用程序，适用于男同性恋、双性恋和对此感到好奇的用户。该APP的核心特色是创建了一个丰富的，可在地图上显示附件用户的界面，极大地方便人们寻找其他人，并迅速成为广受欢迎的热门工具，由此也引起了攻击者的注意。 Sniffies被用于黑灰产 近段时间以来，安全研究人员观察到，针对 Sniffies 网站和应用程序的黑灰产活动十分猖獗。白帽黑客Kody Kinzie表示自己至少发现了50多个域名是攻击者假冒的，其中大多数都是Sniffies 品牌名称的拼写变体。 攻击者创建这些假的域名，其目的就是为了引诱那些没有认真区分 Sniffies 网站的用户，而一旦用户登陆访问了这些虚假域名，那么很有可能会被执行以下操作： 诱骗用户安装可疑的 Chrome 扩展程序； 通过网络浏览器在Apple设备上启动“音乐”应用程序； 诱骗用户访问虚假的技术“支持”诈骗网站； 诱骗用户访问虚假招聘网站。 举个例子，当用户访问虚假域名后，会自动唤醒Apple Music 原生应用程序，提示用户按月付费订阅，而这将给黑灰产们带来不菲的会员佣金。 Sniffies 的域名仿冒域名试图启动 Apple Music 原生应用 此外还有不安全的Google Chrome 扩展程序，用户访问后网站就会推荐安装“ AdBlock Max – 删除侵入性广告”和“电影数据库”等，但实际上这类拓展程序的最终目的是将用户重定向至诈骗网站。 虚假的 Chrome 扩展程序 有意思的是，白帽黑客竟然在AdBlock Max中发现了一些广告拦截代码，但是想要依靠这些代码来防御“侵入性广告”无疑是徒劳的，反而给整个事件蒙极具“讽刺意味”。此外，不少扩展程序可能带有不需要的功能，例如跟踪功能等。 不仅仅是Sniffies 事实上，类似的黑灰产活动并非首次出现，相反这已经成为攻击者常用的手法，大量注册知名品牌的相关域名，并以此引诱那些粗心的用户。例如维珍航空的用户可能一时无法辨认virginatlantc.com域名，其表现出的行为与Sniffies活动中的欺诈行为有非常多的相似之处，只不过针对 Sniffies.com 用户的域数量更加庞大。 Kinzie 使用开源工具DNSTwist 被动生成 Sniffies.com 的排列，在该工具生成的 3531个域名列表中，有51个以Web应用程序命名的有效域，并指出虽然这些域名托管在随机平台上，但是很多域名注册在同一个 MX 服务器上。 虽然Google浏览器对于这些不安全的域名会弹出安全警告，以此提醒用户注意安全，但在实际过程中，还有很多Sniffies假冒域名并没有被警告。近年来，这样的假冒网站已呈现越来越的趋势，其模拟程度也越来越逼真，使得用户难以辨认真假。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344555.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了2个新漏洞，一个Windows权限提升漏洞，跟踪为CVE-2022-37969，以及一个任意代码执行漏洞，跟踪为CVE-2022-32917，影响iPhone和Mac。 根据具有约束力的操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 CVE-2022-37969漏洞已在微软周二发布的补丁安全更新中得到解决，它是一个Windows通用日志文件系统驱动程序权限提升漏洞。 微软将报告此漏洞归功于DBAPPSecurity的Quan Jin、Mandiant的Genwei Jiang、FLARE OTF、CrowdStrike和Zscaler ThreatLabz。 该公司没有透露利用该漏洞进行攻击的详细信息。 CISA目录中添加的第二个漏洞是一个任意代码执行漏洞，跟踪为CVE-2022-32917。该漏洞是苹果公司今年解决的第八个被积极利用的零日漏洞。 苹果针对该漏洞发布的公告中写道：“应用程序可能能够以内核权限执行任意代码，这个问题已通过改进边界检查得到解决。” 该漏洞影响iPhone 6s及以上版本、iPad Pro(所有型号)、iPad Air 2及以上版本、iPad第5代及以上版本、iPad mini 4及以上版本、iPod touch(第7代、运行macOS Big Sur 11.7和macOS Monterey 12.6的mac)。 黑客可以通过创建特制的应用程序来利用此漏洞，以内核权限执行任意代码。该漏洞由一位匿名研究人员报告，苹果公司证实它知道该漏洞“可能已被积极利用”。 CISA 命令联邦机构在2022年10月5日之前修复这些漏洞。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

自 2021 年初以来，一个网络间谍组织以多个亚洲国家的政府和国有组织为目标。 此前与 ShadowPad 远程访问木马 (RAT) 有关联的一组独特的间谍攻击者采用了一种新的、多样化的工具集，在许多亚洲国家发起了针对一系列针对政府和相关组织的持续活动。这些攻击至少从 2021 年初就开始了，它们的主要目标似乎是收集情报。该消息来自赛门铁克的威胁猎手团队，该团队昨天早些时候发布了有关威胁的新公告。 攻击者使用范围广泛的合法工具在针对与金融、航空航天和国防相关的政府机构以及国有媒体、IT 和电信公司的攻击中传递恶意软件。 攻击者使用动态链接库 (DLL) 侧载来传递恶意代码。该技术看到威胁行为者将恶意 DLL 放置在预期可以找到合法 DLL 的目录中。然后攻击者运行一个合法的应用程序来加载和执行恶意负载。针对缺乏针对 DLL 侧载攻击的缓解措施的旧版本和过时版本的安全解决方案、图形软件和 Web 浏览器。 一旦攻击者加载了恶意 DLL，就会执行恶意代码，进而加载 .dat 文件。该文件包含任意 shellcode，用于在内存中执行各种有效负载和相关命令。在某些情况下，任意 shellcode 都会被加密。 此外，攻击者还利用这些合法软件包部署额外的工具（凭证转储工具、网络扫描工具，如 NBTScan、TCPing、FastReverseProxy 和 FScan，以及 Ladon 渗透测试框架），用于执行横向移动。一旦攻击者建立后门访问权限，他们就会使用 Mimikatz 和 ProcDump 来获取凭据并获得对目标网络的更深层次的访问权限。在某些情况下，威胁参与者还通过注册表转储凭据。 专家还观察到攻击者使用 PsExec 运行旧版本的合法软件来加载现成的 RATS。 网络间谍还使用 Ntdsutil 等一些非本地工具来挂载 Active Directory 服务器的快照，以便访问 Active Directory 数据库和日志文件，并使用 Dnscmd 命令行工具来枚举网络区域信息。 专家们还分享了针对亚洲教育部门政府所有组织的攻击的详细信息。入侵从 2022 年 4 月持续到 2022 年 7 月，在此期间，攻击者在访问域控制器之前访问了托管数据库和电子邮件的机器。 攻击者还使用11年前的 Bitdefender Crash Handler（“javac.exe”）版本来运行 Mimikatz 和 Golang 渗透测试框架LadonGo。 在该地区的间谍活动中，使用合法应用程序来促进 DLL 侧载似乎是一种增长趋势。虽然是一种众所周知的技术，但鉴于其目前的流行程度，它一定会为攻击者带来一些成功。鼓励组织彻底审核在其网络上运行的软件并监控异常值的存在，例如组织未正式使用的旧的、过时的软件或软件包。 赛门铁克在文档中包含了危害指标，以帮助公司保护其系统免受这些攻击。它们可在咨询的原始文本中找到。黑客活动并不是近几个月来唯一针对亚洲的活动。6 月，卡巴斯基发现了针对亚洲不同国家未打补丁的 Microsoft Exchange 服务器的攻击活动。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/bEMQUdGoA6XfWRuA4331og 封面来源于网络，如有侵权请联系删除