Hackernews 编译，转载请注明出处： Donot Team黑客，又名APT-C-35，为其Jaca Windows恶意软件框架添加了新功能。 Donot团队自2016年以来一直活跃，重点关注政府、军事组织、外交部以及印度、巴基斯坦、斯里兰卡、孟加拉国和其他南亚国家的大使馆。 2021年10月，大赦国际发布的一份报告表示，“Donot团队利用Android应用程序伪装成安全聊天应用程序和恶意电子邮件，针对多哥著名人权捍卫者进行攻击。过去，在南亚以外的攻击中发现了Donot团队间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施，与印度网络安全公司Innefu Labs之间的联系。” 攻击链从包含恶意附件的鱼叉式网络钓鱼电子邮件开始，一旦启用Microsoft Office宏，就会加载下一阶段的恶意软件，利用公式编辑器漏洞打开RTF文件，并通过远程模板注入。 “Morphisec Labs 确定了一个新的DoNot感染链，它将新模块引入Windows框架。在这篇文章中，我们详细介绍了shellcode加载器机制及其后续模块，确定了浏览器窃取器组件中的新功能，并分析了反向shell的新DLL变体。DoNot最新的鱼叉式网络钓鱼电子邮件活动使用了RTF文件针对政府部门，包括巴基斯坦国防部门。”Morphisec发布的报告中写道。 该组织现在改进了其Jaca Windows恶意软件框架，例如，它增强了浏览器窃取模块。与以前版本的模块不同，新版本使用前一阶段下载的四个附加可执行文件 (WavemsMp.dll)，而不是在DLL中实现窃取功能。每个附加的可执行文件都允许从Google Chrome和/或Mozilla Firefox中窃取信息。 在最近的攻击中，该组织使用RTF文档发送消息，欺骗用户启用宏。启用宏后，将一段shellcode注入内存，然后从C2服务器下载并执行第二阶段的shellcode。 第二阶段的shellcode从不同的远程服务器获取主DLL文件（“pgixedfxglmjirdc.dll”），它负责向C2服务器发送信号通知感染成功。它向服务器发送受感染机器的系统信息，然后下载下一阶段DLL，即模块下载器“WavemsMp.dll”。 这个阶段的主要目的是下载并执行用于窃取用户信息的模块。为了了解当前感染中使用了哪些模块，恶意软件与另一台C2服务器进行通信。恶意软件从嵌入式链接中获取新地址，该链接指向包含加密地址的Google Drive文档。 攻击者还实现了一个反向shell模块，该模块被重新编译为DLL。其功能保持不变，打开攻击者机器的套接字（位于162.33.177[.]41），创建一个新的隐藏cmd.exe进程并将STDIN、STDOUT和STDERR设置为套接字。 研究人员总结道：“防御像DoNot团队这样的APT需要深度防御策略，该策略使用多个安全层，以确保任何给定层被破坏时的冗余。最难防御的攻击是那些在运行时以应用程序为目标的攻击——比如这里详述的Windows框架。这是因为流行的安全解决方案（例如NGAV、EDR、EPP、XDR等）侧重于检测磁盘或操作系统上的异常情况，它们在运行时检测或阻止内存攻击的能力是有限的。在一定程度上，它们会导致严重的系统性能问题和错误警报，因为必须将它们调到最高警告级别。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 黑客控制了一颗退役卫星，并播放了黑客会议演讲和黑客电影。 在拉斯维加斯举行的最新一届DEF CON黑客大会上，白帽黑客团体Shadytel演示了如何控制地球静止轨道上的卫星。该组织使用了一颗名为Anik F1R的卫星，该卫星于2020年被销毁。 该组织被授权进行黑客攻击，他们攻击的卫星已经退役，这意味着它将被送往墓地轨道。墓地轨道，也被称为垃圾轨道，它远离普通运行轨道，一些卫星在其运行寿命结束时被移入此类轨道，以避免与运行中的航天器和卫星发生碰撞。 该小组的一名成员Karl Koscher解释说，他们可以使用一个未使用的上行链路设施，其中包括连接卫星的硬件。 “[Koscher]说，他们还获得了使用上行链路的许可证，并租用了卫星转发器，该转发器是在接收天线和发射天线之间打开通道的单元。”Lorenzo Franceschi-Bicchierai在主板上写道。 这群黑客能够将去年在ToorCon举行的黑客会议上的谈话与WarGames等黑客电影一起播放。 Koscher及其团队强调黑客一旦进入上行链路设施，就可能控制退役卫星进行恶意活动。 Koscher解释说，很容易找到连接卫星的硬件，该小组使用了一种Hack RF软件定义的无线电外围设备，能够传输或接收从1 MHz到6 GHz的无线电信号。这个软件很便宜，只需300美元左右。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 被称为Bumblebee的恶意软件加载程序越来越多地被与BazarLoader、TrickBot和IcedID相关的黑客利用，来破坏目标网络，进行开发后的活动。 Cybereason研究人员Meroujan Antonyan和Alon Laufer在一篇技术文章中说： “Bumblebee操作员进行密集的侦察活动，并将执行命令的输出重定向到文件中进行过滤。” Bumblebee于2022年3月首次曝光，当时谷歌的威胁分析小组揭露了一个名为Exotic Lily的初始访问经纪人的活动，该经纪人与TrickBot和更大的Conti组织有联系。 通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付，此后，这种操作方式得到了调整，避开使用带有宏的文档，转而使用ISO和LNK文件，主要是为了响应微软默认阻止宏的决定。 研究人员说：“恶意软件的传播是通过钓鱼电子邮件来完成的，该邮件带有附件或指向包含Bumblebee的恶意档案的链接。初始执行依赖于最终用户的执行，最终用户必须提取存档，挂载ISO映像文件，并单击Windows快捷方式(LNK)文件。” LNK文件就其本身而言，包含启动Bumblebee加载程序的命令，然后将其用作下一阶段操作（如持久性、权限升级、侦察和凭据盗窃）的管道。 攻击期间还使用了Cobalt Strike对手模拟框架，该框架在受感染端点上提升权限后，使黑客能够在网络中横向移动。持久性是通过部署AnyDesk远程桌面软件实现的。 在Cybereason分析的事件中，一名高权限用户的被盗凭据随后被用来控制Active Directory，更不用说创建一个本地用户帐户来进行数据泄露。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参8月18日消息，微软官方宣布，在过去12个月中（2021.7-2022.6），他们通过漏洞奖励计划支付了1370万美元（约9299万元）奖金。 作为全球知名科技巨头，微软公司目前拥有17个漏洞奖励计划，广泛涵盖服务、桌面应用程序与操作系统、机密级虚拟化解决方案等资产，甚至还专门为ElectionGuard开源软件开发工具包（SDK）设置了相应项目。 如果能发现Hyper-V中的远程代码执行、信息泄露或拒绝服务（DoS）之类的严重漏洞，参与微软漏洞奖励计划的安全研究人员最高可以拿到25万美元的高额奖金。 事实上，微软在2021年7月1日到2022年6月30日期间，发出的最大单笔奖金达到20万美元，奖励的是Hyper-V虚拟机管理程序中的一个严重漏洞。 在这12个月中，共有超过330名安全研究人员通过微软漏洞奖励计划拿到了奖金，平均每个漏洞的奖金超过12000美元（约8.5万元）。 图：参与微软漏洞奖励计划的研究人员地理分布 微软公司表示，他们正根据研究人员的反馈改进现有漏洞奖励计划。今年，该公司还打算进一步引入新的研究挑战和高影响攻击场景。 新增及更新内容将包括Azure SSRF挑战赛，Edge奖励计划纳入Android与iOS平台版本，将本地Exchange、SharePoint及Skpye for Business纳入多个漏洞奖励计划，并为Azure、M365、Dynamics 365以及Power Platform等奖励计划添加高影响攻击场景。 微软公司总结道，“将这些攻击场景引入Azure、Dynamics 365、Power Platform以及M365奖励计划，将帮助我们把研究重点集中在影响最大的云漏洞上，具体涵盖Azure Synapse Analytics、Key Vault及Azure Kubernetes服务等领域。” 转自 安全内参，原文链接：https://www.secrss.com/articles/45997 封面来源于网络，如有侵权请联系删除

通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出，这些骗局仍相当活跃，即使在今天也是如此。在日前的一篇报道中，Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。 据悉，该驱动器被包装在一个Office 2021 Professional Plus的盒子内，这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。 假Office 2021照片 当目标将U盘插入他们的电脑之后，一条假的警告信息就会弹出，告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话，这显然是骗子使用的号码。然后，骗子要求受害者安装一个远程访问程序来接管系统。 微软发言人就这一案件向Sky News发表了以下声明：“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。” 这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305999.htm 封面来源于网络，如有侵权请联系删除

根据身份盗用资源中心 (ITRC) 的数据，谷歌语音诈骗在 2021 年的身份相关欺诈案例中创下新纪录。这家非营利组织表示，在2021年它收到了 14,947 份来自消费者的报告，比 2020 年增加了 26%，这也是有史以来处理的最多的。在这些报告中，其中一半 (50%) 是诈骗案中的受害者：也就是说，他们与攻击者共享个人身份信息 (PII)。该组中超过一半 (53%) 包含 谷歌语音诈骗，使其成为今年最流行的欺诈类型。 欺诈者通常会寻找在网上销售商品的受害者。他们会向目标发送一个谷歌验证码并要求受害者分享该代码——表面上是为了验证他们是一个“真正的”卖家。实际上，如果受害者这样做，他们的电话号码将与一个新创建的欺诈性 Google Voice 帐户相关联，然后欺诈者就会利用该账户继续诈骗下一个目标。 在其他地方，ITRC记录的“身份滥用”事件增加了8%，共计4168起。其中五分之二(40%)与滥用金融账户有关，其中大多数与新账户欺诈(64%)有关，其余与接管账户(36%)有关。超过一半(55%)的身份滥用案例被记录为试图打开、访问或接管政府账户或申请福利，这无疑是受到美国COVID救济款项的流行的刺激。 这家非盈利机构还说，他们中的许多人都是社交媒体上有影响力的人，被诱骗参与了比特币投资骗局，又或者说他们可以增加自己的账户被Instagram验证的几率。在这两个案例中，他们都被要求提供细节，结果被锁定在他们的账户之外。所以ITRC首席执行官Eva Velasquez 将 2021年称为身份诈骗创纪录的一年，“由于身份欺诈的风险很高，所以采取保护措施很重要，比如冻结你的信用卡，在所有账户上使用12+字符的独特密码，以及忽略可疑信息等。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342245.html 封面来源于网络，如有侵权请联系删除

据The Hacker News报道，攻击者正在想法设防绕过 Google Play 商店的安全保护措施。安全研究人员也发现了一个以前未记录的Android滴管木马，该木马目前正在开发中。 荷兰网络安全公司ThreatFabric的Han Sahin 在一份报告中指出，这种恶意软件试图使用一种从未见过的新技术来感染设备，以传播极其危险的Xenomorph银行木马，允许犯罪分子在受害者的设备上进行欺诈攻击。 该恶意软件被ThreatFabric命名为BugDrop，是一种dropper应用程序，其设计目的十分明确，就是为了应对Android系统更新引入的新功能：使恶意软件难以向受害者请求辅助功能服务权限。 ThreatFabric认为BugDrop恶意软件的始作俑者是臭名昭著的“Hadoken Security”网络犯罪组织，该组织也是Xenomorph /Gymdrop 等Android等系列恶意软件的幕后黑手。 从以往滴管木马的表现来看，这类银行木马通常会利用无害的滴管应用程序部署在Android系统上，滴管程序则会伪装成具有生产力或比较实用的应用程序，用户一旦安装，就会诱骗用户授予侵入性权限。 例如可读取手机屏幕内容，并代表用户执行操作的Accessibility API已经被攻击者广泛滥用，攻击者可以借此捕获账户密码、财务信息等较为敏感的用户数据。具体实现方式为，当受害者打开所需的应用程序（例如加密货币钱包）时，木马会注入从远程服务器检索到的假冒登录表单。 鉴于大多数这些恶意应用程序都是侧载，只有在用户允许从未知来源安装时才有可能发生这种情况，因此谷歌在 Android 13 中采取了阻止辅助功能 API 访问，从应用程序商店外部安装应用程序的步骤。 但这并没有阻止对手试图绕过这个受限的安全设置。输入 BugDrop，它可以伪装成 QR 码阅读器应用程序。安全人员亲自进行测试，可通过基于会话的安装过程部署恶意有效负载。安全人员进一步强调，“攻击者正在使用这类恶意软件，能够在受感染的设备上安装新的APK，以测试基于会话的安装方法，并将其整合到更精细的 dropper 中，这在未来是很有可能会发生的事情。” 如果上述变化成为现实，可能会使银行木马更具威胁性，甚至能够绕过安全防护体系，给用户造成严重损失。 ThreatFabric公司也表示，“随着BugDrop逐步完善当前存在的各种缺陷，攻击者在与安全团队、银行机构的战争中拥有一种全新的高威力的武器，足以击败谷歌目前采用的解决方案，这需要引起谷歌和安卓的警惕。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342264.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌周二推出了适用于桌面的Chrome浏览器补丁，来解决在野外积极利用的高严重性零日漏洞。 跟踪为CVE-2022-2856，该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和谷歌威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞。 与通常的情况一样，在更新大多数用户之前，这家科技巨头都没有透露关于该漏洞的更多细节。“谷歌意识到CVE-2022-2856漏洞存在于野外。”它在一份简短的声明中承认。 最新更新进一步解决了其他10个安全漏洞，其中大部分与FedCM、SwiftShader、ANGLE和Blink等各种组件中的use-after-free漏洞有关，同时还修复了下载中的堆缓冲区溢出漏洞。 这是谷歌自年初以来修复的第五个Chrome零日漏洞： CVE-2022-0609 – 动画中的Use-after-free CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 建议用户更新到适用于macOS和Linux的104.0.5112.101版本，以及适用于Windows的104.O.5112.102/101版本，以缓解潜在威胁。基于Chromium浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户也建议应用修复程序。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer 网站披露，Realtek 爆出严重漏洞，该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片（SoC）的网络设备。 该漏洞被追踪为 CVE-2022-27255，远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。 无需身份验证 据悉，CVE-2022-27255 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现，并在 DEFCON 黑客大会上披露了详细的技术细节。 CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞，其严重程度为 9.8 分（满分10分），远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码，这个过程完全无需身份验证。此外，攻击者还可以通过 WAN 接口利用漏洞。 早在 3 月份，Realtek 已经解决这一漏洞问题，并指出了漏洞主要影响rtl819x-eCos-v0.x 系列和 rtl819x-eCos-v1.x 系列产品。 来自 Faraday Security 的四位研究人员为 CVE-2022-27255 开发了概念验证（PoC）利用代码，该代码可用于 Nexxt Nebula 300 Plus 路由器。研究人员还分享了一段视频，展示了即使远程管理功能被关闭，远程攻击者也可能破坏设备。 视频链接：https://vimeo.com/740134624?embedded=true&source=video_title&owner=52361365 最后，研究人员指出攻击者利只需有漏洞设备的外部 IP 地址，就可以 利用CVE-2022-27255 漏洞，意味着不需要与用户交互， 注：发现漏洞的四名研究人员分别是来自布宜诺斯艾利斯大学的计算机科学学生Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga。 存在几道防线 SANS 研究部主任 Johannes Ullrich 表示，远程攻击者可以利用 CVE-2022-27255 漏洞进行以下操作： 导致设备崩溃 执行任意代码 建立持久性的后门 改变网络流量的路线 拦截网络流量 另外，尽管 Realtek 在3 月已经发布了一个补丁，但 Ullrich 强调该漏洞影响到数百万设备，修复补丁很难被推广到所有待修复的设备，如果 CVE-2022-27255 漏洞变成了蠕虫病毒，可以在短短几分钟内扩散到互联网上。 多家供应商将易受攻击的 Realtek SDK 用于基于 RTL819x SoC 的设备，其中许多供应商尚未发布固件更新。目前还不清楚有多少网络设备使用 RTL819x 芯片，但 RTL819xD 版本的 SoC 出现在 60 多个供应商的产品中，其中包括华硕、贝尔金、Buffalo、D-Link、Edimax、TRENDnet 和 Zyxel。 研究人员的观点： 使用 2022 年 3 月之前围绕 Realtek eCOS SDK 构建的固件的设备存在漏洞，易受攻击； 即使用户不暴露任何管理界面功能，也容易受到攻击； 攻击者可以使用单个 UDP 数据包到任意端口来利用该漏洞； 此漏洞可能对路由器影响最大，但一些基于 Realtek SDK 的物联网设备也可能受到影响。 安全专家建议用户应尽快检查其网络设备是否存在漏洞，一经发现，应立即安装供应商发布的固件更新。除此以外，企业可以尝试阻止未经请求的 UDP 请求。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342152.html 封面来源于网络，如有侵权请联系删除

近日，德国计划强制要求在政府网络中使用安全、现代的网络浏览器，并公布了最低标准提案的意见征求稿。 德国联邦信息安全办公室(BSI)曾在7月发布了一个最低标准草案，希望这些标准能够增强政府的网络弹性并更好地保护敏感数据。先进的浏览器包含多种功能，可阻止或减轻各种常见的基于Web的攻击。 提议的标准涵盖桌面和移动浏览器，而之前的安全指南仅适用于政府PC和工作站上的桌面浏览器。 意见征询后，BSI预计将在政府系统中强制执行最低标准。此举将禁止联邦雇员在政府业务中使用不合规的浏览器，例如现已弃用的Internet Explorer。 BSI规定的大多数安全和隐私技术目前大多数现代浏览器都能提供。其中包括支持X.509标准的证书、加密与服务器的连接以及支持HSTS（HTTP严格传输安全）。 浏览器还需要支持自动更新机制，只有在完整性检查成功时才会执行更新。此外还必须实施同源策略(SOP)，以便文档和脚本无法访问其他网站的资源，例如文本和图形。 事实上，所有现代浏览器都已经非常安全（忽略隐私），它们中的大多数共享完全相同的引擎（编者：例如开源的Chromium），因此共享相同的安全功能和加密功能。浏览器公司Vivaldi的开发人员和安全专家Tarquin Wilton Jones指出：“总的来说，浏览器一直处于建立安全连接和实施沙盒等安全功能的最前沿。” 他补充说，此举的目的更多是为了提高政府IT的安全性，而不是改变浏览器的设计方式。但是，他警告说，某些浏览器不允许用户关闭遥测或供应商跟踪数据的方式可能会导致合规问题。 转自 安全内参 ，原文链接：https://www.secrss.com/articles/45880 封面来源于网络，如有侵权请联系删除