据彭博社报道，因窃取 Twitter 用户有关的私人信息，并将数据交给沙特阿拉伯政府，美国公民艾哈迈德·阿布阿莫（Ahmad Abouammo）将最高面临 20 年的监禁。 据悉，该案件还涉及到另一位 Twitter 工程师阿尔扎巴拉（Ali Alzabarah），此人目前已逃离美国，正在被当局通缉，阿布阿莫于 2019 年 11 月 5 日被捕。 早在三年前，阿布阿莫与阿尔扎巴拉和艾哈迈德-阿尔穆泰里（Ahmed Aljbreen）三人被美国法院指控是沙特阿拉伯的“非法代理人 ”，遭到了起诉。根据旧金山联邦法院的判决可知，前者还遭到了串谋电信欺诈、伪造记录和洗钱等犯罪指控。 被告人开始从事间谍活动 从法庭文件披露的信息来看，2013 年，阿布阿莫和阿尔扎巴拉在推特工作期间接受了沙特阿拉伯王国官员的招募，在社交媒体平台上揭露其批评者。 这两个人利用他们对内部系统的访问权限，在未经授权的情况下，非法获取了有关批评阿拉伯政权用户的非公开信息（主要包括电子邮件地址、电话号码、IP 地址和出生日期等私人信息）。 随后，2 人将这些信息告诉了一名与沙特政府有关联的沙特官员，作为回报，阿布阿莫收到了 30 万美元的现金和一块价值 4 万美元的 Hublot Unico Big Bang King Gold Ceramic 手表。 值得一提的是，据说为了阻碍调查，阿布阿莫在 2018 年 10 月在西雅图的家中面对联邦调查局（FBI）探员时撒了谎，称收到的这块手表是 “垃圾”，仅仅值 500 美元。 联邦调查局特别探员约翰-F-贝内特强调，阿布阿莫几人被指控在沙特阿拉伯政府的指示和控制下，以持不同政见者的批评者为目标，以期获取他们的私人数据信息，这种行为对美国企业和美国国家安全构成了严重威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341604.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 云代码托管平台GitHub宣布，它将为易受攻击的GitHub Actions发送Dependabot警报，以帮助开发人员修复CI/CD工作流程中的安全问题。 GitHub的Brittany O’Shea和Kate Catlin说：“在行动中报告安全漏洞时，我们的安全研究团队会创建一个文件来记录该漏洞，这会触发对受影响存储库的警报。” GitHub Actions是一种持续集成和持续交付（CI/CD）解决方案，使用户能够自动执行软件生成、测试和部署管道。 Dependabot是微软旗下子公司的一部分，通过通知用户其源代码依赖于具有安全漏洞的软件包，并帮助所有依赖项保持最新状态，来确保软件供应链的安全。 最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报，用户还可以选择通过遵守一致的披露流程，提交特定GitHub操作的建议。 该公司指出：“这些改进加强了GitHub和我们用户的安全态势，这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点，从而提高构建的安全性。” 本周早些时候，GitHub开放了一个新的评论系统，允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。其中一个已经在Windows支持诊断工具(MSDT)中作为零日漏洞了潜在了两年多的时间，并且它具有公开可用的漏洞利用代码。这两个安全问题的严重程度都很高，并且是目录遍历漏洞，可以帮助攻击者在目标系统上植入恶意软件。该漏洞编号为CVE-2022-34713，非正式地称为DogWalk，MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。 该问题最初是由研究员Imre Rad于2020年1月向微软报告的，但他的报告被错误地归类为未描述安全风险，因此被驳回。今年，安全研究员j00sean再次引起了公众的关注，他总结了攻击者可以通过利用它实现的目标，并提供了视频证明。 该漏洞的成功利用需要用户交互，这是一个很容易通过社会工程克服的障碍，尤其是在电子邮件和基于Web的攻击中，微软在今天的一份咨询中表示： 在电子邮件攻击场景中，攻击者可以通过向用户发送特制文件并诱使用户打开文件来利用该漏洞。在基于 Web 的攻击情形中，攻击者可能拥有一个网站（或利用接受或托管用户提供的内容的受感染网站），其中包含旨在利用该漏洞的特制文件。 自6月初以来，0patch微补丁服务已为大多数受影响的Windows 版本（Windows 7/10/11 和 Server 2008 至 2022）提供了一个非官方补丁。作为2022年8月Windows安全更新的一部分，微软今天解决了CVE-2022-34713 。该公司指出，该问题已在攻击中被利用。 添加到CISA 的已知已利用漏洞目录的第二个漏洞编号为CVE-2022-30333，它是用于Linux 和 Unix系统的 UnRAR 实用程序中的路径遍历漏洞。攻击者可以利用它在解压操作期间将恶意文件提取到任意位置，从而在目标系统上植入恶意文件。 瑞士公司SonarSource于 6 月下旬在一份报告中披露了该安全问题，该报告描述了如何将其用于远程执行代码，从而在未经身份验证的情况下破坏 Zimbra 电子邮件服务器。本月早些时候，被利用的代码已添加到Metasploit渗透测试软件中。对于这两个漏洞，美国的联邦机构预计将在 8 月 30 日之前应用供应商的更新。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341495.html 封面来源于网络，如有侵权请联系删除

近日，FortiGuard实验室的研究人员发现了一种新型物联网（IoT）僵尸网络“RapperBot”，自2022年6月中旬以来就一直处于活动状态。 该僵尸程序从原始Mirai僵尸网络中借用了大部分代码，但与其他IoT恶意软件家族不同，它实现了一种内置功能来暴力破解凭据并获得对SSH服务器（而非在Mirai中实现的Telnet）的访问权限。 专家们还注意到，最新的样本包括保持持久性的代码，这在其他Mirai变体中很少实现。 RapperBot具有有限的DDoS功能，它旨在针对ARM、MIPS、SPARC和x86架构。 根据FortiGuard实验室发布的分析结果指出， “与大多数Mirai变体（使用默认或弱密码暴力破解Telnet服务器）不同，RapperBot专门扫描并尝试暴力破解配置为‘接受密码身份验证’的SSH服务器。其大部分恶意软件代码包含一个SSH 2.0客户端的实现，可以连接和暴力破解任何支持Diffie-Hellmann密钥交换的768位或2048位密钥以及使用AES128-CTR数据加密的SSH服务器。RapperBot暴力破解实现的一个显著特征是在SSH协议交换阶段使用‘SSH-2.0-HELLOWORLD’向目标SSH服务器标识自己。”   该恶意软件的早期样本将暴力破解凭据列表硬编码到二进制文件中，但从7月开始，新的样本开始从C2服务器检索该列表。 自7月中旬以来，RapperBot开始使用自我传播方式来维持对暴力破解SSH服务器的远程访问。该僵尸网络运行一个shell命令，将远程受害者的“ ~/.ssh/authorized_keys”替换为包含威胁参与者SSH公钥的命令。 一旦将公钥存储在 ~/.ssh/authorized_keys中，任何拥有相应私钥的人都可以在不提供密码的情况下验证SSH服务器。 RapperBot还能通过在执行时将上述相同的SSH密钥附加到受感染设备的本地“~/.ssh/authorized_keys”上，来保持其在任何设备上的立足点。这允许该恶意软件通过SSH保持对这些受感染设备的访问权限，即便是设备重启或从设备中删除RapperBot也无济于事。 该报告补充道， “在最新的RapperBot样本中，该恶意软件还开始通过直接写入‘/etc/passwd’和‘/etc/shadow/’将root用户‘suhelper’添加到受感染的设备，进一步允许攻击者完全控制设备。同时，它还通过写入脚本‘/etc/cron.hourly/0’每小时添加一次root用户帐户，以防其他用户（或僵尸网络）试图从受害者系统中删除他们的帐户。” 该僵尸网络的早期版本具有纯文本字符串，但随后的版本通过将字符串构建在堆栈上，为字符串添加了额外的混淆，以逃避检测。 数据显示，自6月中旬以来，该僵尸网络使用全球3,500多个唯一IP扫描并尝试使用SSH-2.0-HELLOWORLD客户端标识字符串暴力破解Linux SSH服务器。其中，大多数IP来自美国、台湾和韩国。 最后，研究人员称，RapperBot的目标仍不明朗。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341192.html 封面来源于网络，如有侵权请联系删除

近日，美国财政部海外资产控制办公室 (OFAC) 今天批准了加密货币混合器 Tornado Cash一种去中心化加密货币混合服务，据悉，自 2019 年创建以来用于洗钱超过 70 亿美元。 朝鲜支持的 APT Lazarus Group 还使用加密货币混合器恶意洗钱大约 4.55 亿美元，这是有史以来最大的已知加密货币抢劫案。据悉，这是自 Lazarus 在 4 月入侵 Axie Infinity 的 Ronin 网桥后窃取价值 6.2 亿美元的以太坊以来，攻击后收集的总赏金的一部分。 Tornado Cash 还被用于在 6 月 Harmony Bridge 黑客攻击事件中洗钱超过 9600 万美元 （其中 1 亿美元被盗），以及至少 780 万美元来自 8 月 Nomad Heist  （被盗 1.5 亿美元）。 在入侵区块链音乐平台Audius、Beanstalk DeFi 平台和去中心化加密货币交易所Uniswap以及 Arbix Finance退出骗局之后，这种加密混合器还被用来使追踪被盗资金变得更加困难。 “今天，财政部正在制裁 Tornado Cash，这是一种虚拟货币混合器，可以清洗网络犯罪的收益，包括针对美国受害者的犯罪，”负责恐怖主义和金融情报的财政部副部长 Brian E. Nelson 说。“尽管公众另有保证，但 Tornado Cash 一再未能实施旨在阻止其定期为恶意网络行为者洗钱的有效控制措施，并且没有采取基本措施来解决其风险。” 财政部对加密货币混合器实施制裁绝非第一次 此前，美国财政部官员今年发起了一波制裁，以防止加密货币被用于逃避制裁和洗钱。今年4月，在首次制裁虚拟货币混币器之前不久，美国财政部也首次点名了一家加密货币挖矿公司——总部设在瑞士的Bitriver AG，因为它在俄罗斯科技领域运营。同样在那个月，美国财政部还指控总部位于莫斯科的Garantex加密货币交易所“故意无视”反洗钱义务，并“允许(其)系统被非法行为者滥用”。 金融犯罪执法网络 (FinCEN) 还于 2020 年 10 月对 Helix 和 Coin Ninja 混合器服务的创始人和运营商拉里·迪恩·哈蒙 (Larry Dean Harmon) 发出了有史以来第一次民事罚款，罪名 是违反了《银行保密法》(BSA) 及其实施条例。 FinCEN 当时透露，使用 Helix 不倒翁洗钱的最大数量的加密货币来自暗网非法市场，包括 AlphaBay、Dream Mark、Agora Market、Nucleus 等。 “协助犯罪分子的虚拟货币混合器对美国国家安全构成威胁。财政部将继续调查混合器用于非法目的的情况，并利用其权力应对虚拟货币生态系统中的非法融资风险，”OFAC 今天补充道。 “正如今天的行动所表明的那样，虚拟货币公司通常应将混合器视为高风险，只有当它们有适当的控制措施以防止混合器被用于洗钱非法收益时，它们才应处理交易。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/oh4s1eF0dT415wf-WNe9YA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： LogoKit：黑客利用在线服务和应用中流行的开放重定向漏洞，来绕过网络钓鱼活动中的垃圾邮件过滤器。 Resecurity, Inc.（美国）是一家总部位于洛杉矶的网络安全公司，为财富500强企业提供托管威胁检测和响应，识别黑客，它利用在线服务和应用中流行的开放式重定向漏洞来绕过垃圾邮件过滤器，最终提供网络钓鱼内容。 他们使用高度可信的服务域，如Snapchat和其他在线服务，创建特殊的URL，从而通过网络钓鱼工具获得恶意资源。所识别的工具包名为LogoKit，曾用于攻击Office 365、美国银行、GoDaddy、Virgin Fly以及国际上其他主要金融机构和在线服务的客户。 LogoKit的峰值是在8月初左右发现的，当时已经注册了多个冒充流行服务的新域名，并与开放重定向一起使用。虽然LogoKit在地下就为人所知，但自2015年以来，其背后的网络犯罪集团一直在利用新策略。 LogoKit以其使用JavaScript的动态内容生成而闻名——它能够实时更改登录页面上的徽标（模拟服务）和文本，以适应动态变化，这样，目标受害者更有可能与恶意资源进行交互。2021年11月左右，在利用LogoKit的活动中使用了700多个已识别的域名，其数量还在不断增长。 值得注意的是，参与者更喜欢在滥用管理流程相对较差的异域管辖区使用域名——.gq、.ml、.tk、ga、.cf，或未经授权访问合法网络资源，然后将其用作主机来进行进一步的网络钓鱼分发。 LogoKit依靠向用户发送包含其电子邮件地址的钓鱼链接。一旦受害者导航到URL，LogoKit就会从第三方服务（如Clearbit或谷歌的favicon数据库）获取公司徽标。然后，受害者的电子邮件会自动填写电子邮件或用户名字段，从而使他们感觉自己以前登录过。如果受害者随后输入密码，LogoKit将执行AJAX请求，将目标的电子邮件和密码发送到外部源，最终将受害者重定向到他们的“合法”公司网站。 这些策略允许网络犯罪分子在合法服务的通知背后伪装其活动以逃避检测，从而诱使受害者访问恶意资源。 不幸的是，开放重定向漏洞的使用极大促进了LogoKit的分发，因为许多（甚至流行的）在线服务并不将此类漏洞视为关键问题，在某些情况下，甚至不进行修补，为这种滥用留下了机会。 Resecurity发布的分析报告中提供了更多细节。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 据观察，一个名为Orchard的新僵尸网络使用比特币创始人中本聪的账户交易信息生成域名，以隐藏命令和控制（C2）基础设施。 奇虎360的Netlab安全团队的研究人员在周五的一份报告中表示：“由于比特币交易的不确定性，这种技术比使用常见的时间生成（域生成算法）更不可预测，因此更难防御。” 据说自2021年2月以来，Orchard已经进行了三次修订，其中僵尸网络主要用于将额外的有效载荷部署到受害者的机器上，并执行从C2服务器接收到的命令。 它还旨在上传设备和用户信息以及感染USB存储设备，以传播恶意软件。Netlab的分析显示，迄今为止，已有超过3000台主机被该恶意软件奴役，其中大部分位于中国。 Orchard在一年多的时间里也经历了重大更新，其中之一就是在Golang的实施方面进行了短暂的尝试，然后在第三次迭代中切换回C++。 除此之外，最新版本包含启动XMRig挖矿程序的功能，通过滥用受损系统的资源来铸造门罗币（XMR）。 另一个变化涉及攻击中使用的DGA算法。虽然前两个版本完全依靠日期字符串来生成域名，但较新版本使用从加密货币钱包地址“1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa”获得的余额信息。 值得指出的是，钱包地址是比特币创世纪区块的矿工奖励接收地址，该地址发生在2009年1月3日，据信由中本聪持有。 研究人员表示：“在过去十年左右的时间里，由于各种原因，每天都有少量比特币被转移到这个钱包中，所以它是可变的，而且这种变化很难预测，因此这个钱包的余额信息也可以用作DGA输入。” 研究人员揭开了一个名为RapperBot的物联网僵尸网络恶意软件的神秘面纱，该恶意软件被发现可以强制SSH服务器进行分布式拒绝服务（DDoS）攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

马里兰州杰瑟普在米德堡的边境地区，美国海军正在采取串联方式进行网络防御和人才培养。 由美国舰队网络司令部授权的首席准尉斯科特布赖森的心血结晶“赛博龙行动”，旨在修复虚拟漏洞一点一点地支撑系统同时培养新一波的网络安全专业知识。“我们这样做是为了继续减轻和加强我们的攻击媒介，并更好地保护我们的网络，”布赖森在7月22日对记者说。 据悉，Cyber Dragon于3月启动，目前该计划的第二阶段正在进行中。在目前的形势下，该行动的重点是加强非机密网络并根除常见的、普遍存在的数字弱点：松懈的安全设置、容易猜到的凭据、未打补丁的软件等等。 官员们表示，这样做会使黑客更难闯入并造成严重破坏。据海军称，最初在服务网络上发现了大约 14,500 个需要解决的问题。每个都可能成为对手的立足点，尤其是在网络冲突加剧的时候。负责信息战的海军作战部副部长杰弗里·特鲁斯勒（Jeffrey Trussler）在2月份的一份备忘录中警告水手们，“针对企业和美国基础设施的网络攻击的频率和复杂性正在增加。” 为了应对如此庞大且不断变化的工作量，需要人力。所以布赖森求助于储备，包括那些不一定能熟练使用网络的人。“我去了第 10 舰队的预备役部队，我想出了一个训练计划。我说，’好吧，如果你给我 X 天的 X 数量的水手，我认为我们可以得到一定百分比的漏洞，修补和扫描。预备队通过人员配备，他们通过空间。“布赖森说。 据参与这项工作的官员称，到目前为止，Cyber Dragon 团队已经发现并修复了数千个问题——从几次“高调曝光”到默认用户名和密码 ，再到发现“我们不希望数据存在的数据”。 “默认用户名和密码意味着任何人都可以在这些特定机器上登录并执行。现在，它们与国家安全无关。没有直接关系到国家安全的重大问题，”美国第 10 舰队舰队网络司令部副司令、海军少将史蒂夫·唐纳德说。“但在某些情况下，它可能会对个人造成伤害、身份盗窃或类似性质的事情。我们能够关闭它。” 团队还关注潜在的欺骗证书、有风险的软件使用和云管理问题。大约50名水手接受了最先进的攻击面管理软件的培训，用于发现、分类和评估组织资产的安全性，预计未来几个月还将有 100 人接受同样的教育。 具有网络和技术背景的预备役军人布莱克·布雷兹中尉表示，这次行动提高了他对该领域和海军网络安全的理解。“我留在预备队的最大动机是我想接近战斗，以防我们的一些近乎同行的对手变得有趣，”布拉兹说。“可以这么说，我们并没有直接与敌人接触，但我们正在努力阻止他们进入我们网络的途径。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/izSWfzO5o25UCe_Ib8rb6A 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。 Tutanota是一款端到端加密的电子邮件应用程序和免费增值安全电子邮件服务，截至2017年3月，Tutanota称用户已经超过200万。 “大西洋两岸的政客们正在讨论制定更强有力的反垄断法来监管大型科技公司——正如微软团队阻止Tutanota用户访问那样，这些法律是非常有必要的。大型科技公司有市场力量，可以通过一些非常简单的方法来伤害小型竞争对手，比如拒绝小公司的客户使用自己的服务。这家德国电子邮件服务提供商分享了一条评论，“目前，微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。这种严重的反竞争做法迫使我们的客户注册第二个电子邮件地址（可能来自Microsoft），以创建Teams帐户。” 微软不会将该公司识别为电子邮件服务，而是将其视为公司地址。Tutanota用户第一次注册Teams帐户时，其域被识别为公司，因此，其他使用该流行电子邮件服务的用户都无法注册其账户，并被要求联系其管理员。 Tutanota联合创始人Matthias Pfau表示：“我们多次试图与微软解决这个问题，但不幸的是，我们的请求被忽视了。” “微软只需更改Tutanota是电子邮件服务的设置，这样每个人都可以注册个人帐户，但他们（微软）表示这样的更改是不可能的。” 让我们看看微软是否会解决这个问题，允许200万用户使用其MS Teams服务。 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全研究人员发现了一种名为”黑暗公用事业”的新服务，它为网络犯罪分子提供了一种简单而廉价的方式，为其恶意行动建立一个指挥和控制（C2）中心。Dark Utilities服务为威胁者提供了一个支持Windows、Linux和基于Python的恶意程序载荷的平台。 C2服务器指的是攻击者在外部控制其恶意软件的方式，发送命令、配置和新的有效载荷，并接收从被攻击系统收集的数据。 “黑暗公用事业”的运作是一种”C2即服务”（C2-as-a-Service），它对外宣称可以提供可靠、匿名的C2基础设施和所有必要的附加功能，起价仅为9.99欧元。 思科Talos的一份报告称，该服务有大约3000名活跃用户，这将为运营商带来大约3万欧元的收入。 Dark Utilities在2022年初出现，在Tor网络和透明网络上提供全面的C2能力，并在IPFS – 一个用于存储和共享数据的分散的网络系统中托管恶意软件载荷。 所提供的恶意软件一条龙服务还支持多种架构，而且这一运营商似乎正计划扩大该列表，以提供一套更大的可能成为目标的设备选项。 思科Talos研究人员说，选择操作系统会产生一个命令字符串，”威胁者通常会将其嵌入PowerShell或Bash脚本中，以方便在受害者机器上检索和执行恶意载荷”。 所选的载荷还通过在Windows上创建一个注册表键，或在Linux上创建一个Crontab条目或一个Systemd服务，在目标系统上建立了持久存在。 根据研究人员的说法，客户的管理面板带有多种模块，用于各种类型的攻击，包括分布式拒绝服务（DDoS）和加密劫持。 由于数以万计的威胁者已经订阅，而且价格低廉，Dark Utilities可能会吸引更多不太熟练的对手。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1301527.htm 封面来源于网络，如有侵权请联系删除