Hackernews 编译，转载请注明出处： 国家黑客越来越多地在其入侵活动中采用和整合Sliver命令和控制（C2）框架，以取代Cobalt Strike。 微软安全专家说：“鉴于Cobalt Strike作为攻击工具的受欢迎程度，随着时间的推移，针对它的防御措施也有所提高。因此，Sliver为寻找低门槛的鲜为人知的工具集的黑客提供了一个有吸引力的选择。” Silver于2019年底由网络安全公司BishopFox首次公开，是一个基于Go的开源C2平台，支持用户开发的扩展、自定义植入物生成和其他征用选项。 “C2框架通常包括一个服务器，该服务器接受来自受损系统上植入物的连接，以及一个客户端应用程序，该客户端应用程序允许C2操作员与植入物进行交互并发出恶意命令。”微软表示。 除了促进对受感染主机的长期访问外，跨平台工具包还提供stagers，这是一种主要用于在受损系统上检索和启动全功能后门的有效载荷。 其用户中包括一个多产的勒索软件即服务（RaaS）附属公司，被追踪为DEV-0237（又名FIN12），该附属公司以前利用从其他集团（又名初始访问代理）获得的初始访问权限来部署各种勒索软件，如Ryuk、Conti、Hive和BlackCat。 微软表示，它最近观察到网络犯罪行为人通过将Sliver和其他后期开发软件嵌入到Bumblebee（又名COLDTRAIN）加载器中，然后将其丢弃。该加载器于今年早些时候作为BazarLoader的继任者出现，并与更大的Conti集团有联系。 从Cobalt Strike到免费可用的工具被认为是对手的一种尝试，以减少其在受损环境中暴露的机会，并使归因具有挑战性，从而提高其活动的隐蔽性和持久性。 Sliver并不是唯一一个引起黑客注意的框架。近几个月来，一个可疑的俄罗斯国家赞助组织开展的活动涉及另一个名为Brute Ratel的合法对抗性攻击模拟软件。 “Sliver和许多其他C2框架是黑客如何不断试图逃避自动安全检测的另一个例子。”微软表示。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 黑客已经开始使用Tox点对点即时消息服务作为命令和控制方法，这标志着其早期作为勒索软件谈判的联系方式的角色发生了变化。 Uptycs分析了一个可执行和可链接格式（ELF）工件（“72client”），该工件充当机器人，可以使用Tox协议在受损主机上运行脚本。 Tox是一种用于在线通信的无服务器协议，它通过使用网络和加密库 （NaCl，发音为“salt”）进行加密和身份验证，提供端到端加密 （E2EE） 保护。 研究人员Siddharth Sharma和Nischay Hedge说：“在野外发现的二进制文件是一个剥离但动态的可执行文件，使反编译更容易，整个二进制文件似乎是用C编写的，并且只是静态链接了c-toxcore库。” 值得注意的是，c-toxcore是Tox协议的参考实现。 Uptycs进行的逆向工程表明，ELF文件旨在将shell脚本写入位置“/var/tmp/”（Linux中用于临时文件创建的目录）并启动它，使其能够运行命令以杀死加密矿工相关进程。 除此之外，还执行了第二个例程，该例程允许它在系统上运行许多特定命令（例如，nproc、whoami、machine-id等），其结果随后通过UDP发送到Tox接收方。 此外，二进制文件还具有通过Tox接收不同命令的功能，在此基础上更新shell脚本或临时执行，发出的“退出”命令将退出Tox连接。 Tox历来被勒索软件黑客用作通信机制，但最新的开发标志着该协议首次被用于在受感染的机器上运行任意脚本。 研究人员说：“虽然讨论的样本没有做任何明显的恶意行为，但我们认为它可能是coinminer活动的一部分。因此，监控攻击链中涉及的网络组件变得非常重要。” 在披露的同时，有报道称，被称为IPFS的分布式文件系统解决方案越多地用于托管网络钓鱼网站，使数据拦截变得更加困难。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer网站8月23日消息，网络安全研究人员发现了多个恶意软件传播活动，目标针对下载盗版软件的互联网用户。 该活动使用 SEO 投毒和恶意广告推高这些“带毒”的共享软件网站在 Google 搜索结果中的排名，据发现此事件的Zscaler 称，这些盗版软件包括了3DMark、Adobe Acrobat Pro等时下热门应用。多数情况下，这些软件安装程序的恶意可执行文件位于文件托管服务上，因此登陆页面将受害者重定向到其他服务以下载这些文件。 含恶意盗版软件的高排名搜索结果 网站重定向流程图 这些传播恶意文件的重定向站点名称不那么花哨，并且位于“xyz”和“cfd”顶级域上。下载的文件包含一个 1.3MB、有密码保护的 ZIP 文件，以此来逃避 AV 扫描，此外还附带一个包含解密密码的文本文件。由于采用字节填充技术，ZIP解压后的文件大小有600M，这是许多恶意软件遵循的常见反分析做法，其中包含的可执行文件是一个恶意软件加载程序，它会生成一个编码的 PowerShell 命令，该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe)，以逃避沙盒分析。 cmd.exe 进程会下载一个 JPG 文件，该文件实际上是一个 DLL 文件，其内容反向排列。加载程序以正确的顺序重新排列内容，派生出最终的 DLL，即 RedLine Stealer 有效负载，并将其加载到当前线程中。 获取恶意图像文件 RedLine Stealer是一种强大的信息窃取恶意软件，它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭证、计算机详细信息等。 今年6月，FreeBuf也曾报道过类似事件，信息窃取恶意软件隐藏在知名清理程序CCleaner中进行传播。 为了避免上述情况发生，用户应避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可使用付费软件的内容。即使包含这些虚假或恶意内容的网站在搜索结果中的排名很高。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342855.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： VMware本周发布了补丁，以解决VMware Tools实用工具套件中的一个严重漏洞，该漏洞被跟踪为CVE-2022-31676。 VMware Tools是一组服务和模块，支持公司产品中的多项功能，以便更好地管理客户机操作系统，并与客户机操作系统进行无缝用户交互。 对客户机操作系统具有本地非管理访问权限的攻击者可以触发CVE-2022-31676漏洞，从而提升受损系统上的权限。 通报中写道：“VMware Tools受到本地权限提升漏洞的影响，对客户机操作系统具有本地非管理访问权限的黑客可以作为虚拟机中的root用户提升权限。” 该漏洞影响了Windows和Linux平台上的工具，该公司发布的固定版本是12.1.0和10.3.25。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

据91Mobiles报道，数据隐私是当今数字世界中最令人担忧的问题。有多项关于这个话题的研究显示，科技公司收集了用户的大量敏感数据，似乎这些天在网络上没有什么是安全的。虽然人们无法控制科技巨头收集数据的行为，但可以了解这些公司从用户身上收集了什么以及有多少种数据。而这正是StockApps的一份新报告所揭示的内容。 在寻找哪家科技巨头从其用户那里收集最多的数据时，StockApps发现，这些公司从用户那里收集了多达39种数据，并在需要时使用这些数据，而不需要你担心。这包括Google、苹果、Facebook、亚马逊和Twitter：许多人每天都会频繁使用的网站/应用程序。 根据该报告，Google从用户那里收集的数据最多，有39种。接下来是Twitter，它搜集了24种数据。紧随其后的是亚马逊，它从用户那里累计了23类数据。当用户使用他们的平台时，Meta拥有的 Facebook会获取14种数据。排名最后的是苹果，它在12个不同类别中保存的数据量最少。 来自StockApps.com的Edith Reads对此评论说：“大多数人没有时间或耐心阅读他们访问的每个网站可能长达数页的隐私政策。而且，不是所有用户都有法律背景，这很可能无法正确掌握隐私政策。” “除了用户不能够找到耐心、时间或精力来发现网站存储了哪些信息，以及如何利用这些信息来获取利益。这意味着，用户通过接受隐私政策，能够让Google获取他们所需要的所有信息”。” 虽然报告没有强调这些公司到底绞尽脑汁地收集了哪些数据，但它确实表明，收集的数据被用于他们的利益，这很可能是根据用户的搜索历史或在社交平台上的互动来投放广告。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308141.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软公开披露一个关键ChromeOS漏洞的详细信息，该漏洞被追踪为CVE-2022-2587（CVSS评分：9.8）。该漏洞是OS Audio Server中的越界写入问题，可利用该漏洞触发DoS条件，或在特定情况下实现远程代码执行。 “微软在ChromeOS组件中发现了一个可远程触发的内存损坏漏洞，允许攻击者执行拒绝服务（DoS），或在极端情况下执行远程代码执行（RCE）。”微软发布的公告中写道。 作为Chromium bug跟踪系统的一部分，微软于2022年4月向谷歌报告了该问题。 谷歌在6月份解决了该漏洞，攻击者可以使用与歌曲相关的格式错误的元数据触发该漏洞。 Microsoft在服务器中发现一个函数未检查用户提供的“identity”参数，导致基于堆的缓冲区溢出。 OS音频服务器包含一种从代表歌曲标题的元数据中提取“身份”的方法。当播放新歌时，攻击者可以通过浏览器或蓝牙修改音频元数据来触发该漏洞。 我们发现，该漏洞可以通过操纵音频元数据远程触发。攻击者可能诱使用户满足这些条件，例如只需在浏览器或配对的蓝牙设备上播放新歌，或者利用中间对手（AiTM）功能远程使用该漏洞。基于堆的缓冲区溢出的影响范围从简单的DoS到成熟的RCE。虽然可以通过媒体元数据操作来分配和释放块，但在这种情况下，执行精确的堆清理并不简单，攻击者需要将该漏洞与其他漏洞链接起来，才能成功执行任意代码。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

根据Twitter前安全主管、由传奇黑客转为网络安全专家的Peiter Zatko的证词，Twitter隐藏了疏忽的安全做法，在安全方面误导了联邦监管机构，并且未能正确估计其平台上的机器人数量。这些爆炸性的指控可能会产生巨大的后果，包括联邦罚款和特斯拉首席执行官埃隆-马斯克(Elon Musk)收购Twitter的竞标可能会解体。 Peiter Zatko在1月被Twitter解雇，并声称这是对他拒绝对该公司的漏洞保持沉默的报复。上个月，他向美国证券交易委员会（SEC）提出申诉，指责Twitter欺骗股东，并违反了它与联邦贸易委员会（FTC）达成的维护某些安全标准的协议。他的投诉共200多页，由CNN和《华盛顿邮报》获得，并在今天上午以编辑的形式发表。 Peiter Zatko在接受CNN采访时说，他在2020年应时任首席执行官杰克-多尔西(Jack Dorsey)的要求加入了Twitter，当时该公司正遭受大规模黑客攻击，属于巴拉克-奥巴马、比尔-盖茨和坎耶-韦斯特等人的账户被泄露。扎特科说，他加入Twitter是因为他相信这个平台是世界上的一个”关键资源”，但由于首席执行官帕拉格-阿格拉瓦(Parag Agrawal)拒绝解决该公司的许多安全问题，他开始感到失望。 Peiter Zatko向美国证券交易委员会披露的信息包含了许多令人震惊的报告和指控，但这些是最重要的一些。Peiter Zatko在申诉中称，Twitter漏洞的一个重要部分是有太多员工可以访问关键系统。它指出，在Twitter的7000名左右的全职员工中，约有一半人可以访问用户的敏感个人资料（如电话号码）和内部软件，而且这种访问没有受到密切监控。 他还声称，数以千计的笔记本电脑包含Twitter源代码的完整副本。Peiter Zatko投诉称，Twitter多次向用户和联邦贸易委员会作出”虚假和误导性陈述”，违反了这一协议。Twitter多次声称，其每月日活跃用户中只有不到5%是机器人、虚假账户或垃圾邮件。对此，Peiter Zatko表示，Twitter衡量这一数字的方法具有误导性，而且高管们受到激励（奖金高达1000万美元），以提高用户数量，而不是清除垃圾机器人。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1307899.htm 封面来源于网络，如有侵权请联系删除

全球最大的加密货币交易所 Binance 的首席通讯官帕特里克·希尔曼（Patrick Hillmann）声称，诈骗者对他进行了 deepfake，以诱骗联系人参加会议。在最新发布的博文中，希尔曼表示一支“老练的黑客团队”使用采访和电视露面的视频片段进行 deepfake，并将其用于视频聊天对话中。 希尔曼表示：“除了我在疫情期间锻炼是减少的 15 磅肉之外，这支黑客团队仿造的 Deepfake 已经非常细致，足以让一些非常聪明的加密社区成员中招”。 希尔曼提供的唯一直接证据是，与希尔曼进行过 Zoom 通话的匿名个人的对话截图。但事实上希尔曼并未参与过本次对话，他的对话者回答说：“他们冒充了你的全息图”。 尽管目前互联网上已经有很多 Deepfake 用于视频通话的讨论，但是目前尚未有直接的证据。音频深度伪造已被用于通过电话冒充他人，视频深度伪造已在社交媒体上分享以助长诈骗（最近的一个例子使用了埃隆马斯克的深度伪造，这是加密诈骗中的常见模仿目标）。但目前尚不清楚这种最易于使用的技术是否足够复杂，足以在实时通话中维持模拟。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1307973.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 8月22日，美国网络安全和基础设施安全局(CISA)根据积极利用的证据，将影响Palo Alto Networks PAN-OS的安全漏洞添加到其已知利用漏洞目录中。 跟踪为CVE-2022-0028（CVSS 评分：8.6）的高危漏洞是一种URL过滤策略中的配置错误，可能允许未经身份验证的远程攻击者执行反射和放大的TCP拒绝服务(DoS)攻击。 Palo Alto Networks在一份报告中表示：“如果被利用，这个漏洞不会影响我们产品的机密性、完整性或可用性，然而，由此产生的拒绝服务(DoS)攻击可能有助于混淆攻击者的身份，并将防火墙作为攻击源。” 该漏洞影响以下产品版本，并在本月发布的更新中得以解决： PAN-OS 10.2 (version < 10.2.2-h2) PAN-OS 10.1 (version < 10.1.6-h6) PAN-OS 10.0 (version < 10.0.11-h1) PAN-OS 9.1 (version < 9.1.14-h4) PAN-OS 9.0 (version < 9.0.16-h3) PAN-OS 8.1 (version < 8.1.23-h1) 这家网络设备制造商表示，在收到来自不同供应商（包括Palo Alto Networks）的易受攻击的防火墙设备被用来实施反射式拒绝服务(RDoS)攻击后，他们发现了该漏洞。 受影响产品的客户应立即使用相关补丁，以减轻潜在威胁。联邦文职行政部门(FCEB)机构必须在2022年9月12日前更新到最新版本。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 与流行智能手机品牌相关的廉价安卓设备型号是假冒版本，其中包含多个特洛伊木马，旨在攻击WhatsApp和WhatsApp Business消息传递应用程序。 Doctor Web于2022年7月首次发现的特洛伊木马，是在至少四款不同智能手机的系统分区中发现的：P48pro、radmi note 8、Note30u和Mate40。 这家网络安全公司在8月22日发布的一份报告中表示：“这些事件是由于被攻击的设备是著名品牌型号的仿冒品而造成的。此外，他们没有安装最新的操作系统版本，而是使用了早已过时的4.4.2版本，并在设备详细信息中显示相应的信息（例如，Android 10）。” 具体来说，篡改涉及两个文件“/system/lib/libcutils.so”和“/system/lib/libmtd.so”，它们被修改为当任何应用程序使用libcutils.so系统库时，它就会触发包含在libmtd.so中的特洛伊木马的执行。 如果使用这些库的应用程序是WhatsApp和WhatsApp Business，libmtd.so会继续启动第三个后门，其主要职责是从远程服务器下载附加插件并将其安装到受损设备上。 研究人员说：“被发现的后门及其下载的模块的危险在于，它们的运行方式会成为目标应用程序的一部分。因此，他们可以访问受攻击应用程序的文件，并可以阅读聊天记录、发送垃圾邮件、拦截和监听电话，以及执行其他恶意操作，具体取决于下载模块的功能。” 另一方面，如果使用这些库的应用程序是wpa_supplicant（用于管理网络连接的系统守护进程），libmtd.so则被配置为启动本地服务器，该服务器允许通过“mysh”控制台从远程或本地客户端进行连接。 基于在负责无线固件更新的系统应用程序中嵌入的另一个特洛伊木马的发现，Doctor Web推测系统分区植入可能是FakeUpdates（又名SocGholish）恶意软件家族的一部分。 就其本身而言，流氓应用程序旨在通过Lua脚本泄露有关受感染设备的详细元数据，并在用户不知情的情况下下载和安装其他软件。 为了避免成为此类恶意软件攻击的受害者，建议用户仅从官方商店和合法经销商处购买移动设备。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文