近日，网络安全和基础设施安全局（CISA）的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。 CISA发帖声明：“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具，供相关事件响应者使用，且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面，以获取更多信息和检测对策。 Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块，在MSAzure / M365中审核日志中是否存在某些IoC，列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。 基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况，CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。             消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

安全专家警告：黑客利用信用卡分离器可以收集Shopify、BigCommerce、Zencart和Woocommerce在线商店的付款信息，通过伪造付款表格，记录顾客进入实际结帐页面之前输入的信息。 在顾客提供了信用卡数据后，页面将引导顾客返回到实际付款页面，以避免引起怀疑。 该网络攻击活动之所以出色，是因为它针对不同平台，黑客可能已经破坏了被攻击商店的共享组件。 专家指出，这种多平台分离器使用的是编程生成的渗透域。第一个渗透域于2020年8月31日注册。 zg9tywlubmftzw5ldza.com; zg9tywlubmftzw5ldze.com; zg9tywlubmftzw5ldzu.com： zg9tywlubmftzw5ldzq.com; zg9tywlubmftzw5ldzm.com; zg9tywlubmftzw5ldzy.com; zg9tywlubmftzw5ldzi.com; zg9tywlubmftzw5ldzg.com …………………………………….. Sansec总结称：“此次攻击活动表明在线平台并非获利欺诈的边界，无论顾客是否输入付款详细信息，都存在一定的风险。”       消息及封面来源：Security Affairs，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞，在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示，用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞（CVE-2020-10148），该漏洞可能允许黑客执行未经身份验证的攻击API命令，从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示，黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止，我们仍不清楚相关漏洞的细节。 在过去的一周中，Microsoft透露黑客可能正在滥用SolarWinds的Orion软件，在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点，他们都将其描述为.NET Web Shell：一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件，但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出：“SUPERNOVA的新颖之处在于：在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果，并汇总全球入侵活动。 为了修复身份验证绕过漏洞，安全专家建议用户将SolarWinds Orion Platform更新至最新版本： 2019.4 HF 6（2020年12月14日发布） 2020.2.1 HF 2（2020年12月15日发布） 2019.2 SUPERNOVA补丁（2020年12月23日发布） 2018.4 SUPERNOVA补丁（2020年12月23日发布） 2018.2 SUPERNOVA补丁（2020年12月23日发布）       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

WeLeakInfo是一种现已失效的在线服务网站，曾出售其他网站被入侵数据的访问权。 英国国家犯罪局（NCA）表示，该网站的用户利用被盗个人凭据进一步实施了网络犯罪。 在被捕的21名男子（18至38岁之间）中，有9人因涉嫌违反《计算机滥用法》而被拘留，9人涉嫌欺诈罪，另外3人正在接受调查。NCA还从犯罪嫌疑人身上查获了价值41,000多英镑的比特币。 今年1月初，美国联邦调查局（FBI）、NCA、荷兰国家警察总队、德国Bundeskriminalamt和北爱尔兰警察局共同攻破了WeLeakInfo的域。 该网站的服务于2017年推出，为用户提供搜索引擎，用户可访问从10,000多个数据泄露事件中非法获取的个人信息，其中包含超过120亿索引的被盗凭证，涉及姓名、电子邮件地址、用户名、电话号码和账户密码等信息。   最重要的是，WeLeakInfo提供了订阅计划：允许在一天（2美元）、一周（7美元）、一个月（25美元）或三个月的订阅期间无限搜索和访问这些数据泄露的结果。 订阅费用使入门级黑客都可以访问该网站，以每天低至2美元的价格获取大量数据缓存，并利用这些信息发起网络攻击活动。 在该域名于1月被查封后，两名22岁男子因经营该网站而被捕，其中一人在荷兰、另一人在北爱尔兰。 NCA表示，一名犯罪嫌疑人还购买了其他网络犯罪工具，例如远程访问特洛伊木马（RAT）和加密程序，另外三名犯罪嫌疑人藏有不雅儿童照。 NCA的Paul Creffield表示：“人们在多个站点上设置的重复密码为黑客提供了便利。因此，密码设置非常重要。”       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

据外媒报道，泄露的任天堂文件显示，一名正在研究3DS掌上游戏机漏洞的黑客遭到了可怕的监视行动。除了监控他的私人生活–包括他的教育方面、离开家的时间和他去的地方，这家公司都会从其工作的地方跟踪目标以迫使他停止活动。保护企业知识产权的间谍项目在世界各地都有在持续进行，但很少有行动细节泄露给公众。 然而对于任天堂来说不幸的是，相关信息被曝光，根据泄露的文件显示，成为这家公司的主机黑客的目标是一件多么可怕的事情，即使这些目标已经声明他们的工作不是为了盗版目的而设计的。 泄露文件披露了任天堂警方式的监视行动 在过去的24小时里，各种Twitter账号发布了最近从任天堂泄露的文件片段。虽然有许多有趣的项目，但最令人震惊的发现涉及了一名叫做Neimod的黑客，他曾在几年前发现了3DS掌机的漏洞。 当然，像任天堂这样的公司对Neimod这样的人的作品产生浓厚兴趣也并不奇怪。任天堂的文档将他描述为一位“技艺高超的硬件工程师”且“在任天堂产品的黑客领域享有很高的声誉”。 然而，泄露的文件还详细披露了这家游戏巨头准备如何阻止他的工作。 例如，文件揭露了深入挖掘Neimod教育状况的个人剖析、列出了他的工作生活细节，同时还提供了物理窥探他日常生活方式的证据，如什么时候能在家里找到他、谁来见他甚至他去银行和餐馆之类的地方等信息也都能找到。 有关拦截目标的详细行动计划 根据任天堂的计划，针对Neimod的行动始于2013年4月15日左右，其团队在当地一家酒店开会讨论并敲定他们的计划。在回顾了Neimod前一周的活动之后，该团队决定在哪里和何时进行接触–例如下班后或在家。 在一名监视Neimod的卧底调查人员负责搞清楚他下班的时间的情况下，“联络小组”被要求以友好、不具威胁性、专业和礼貌的方式接近目标Neimod。 在跟Neimod开始交谈之后，团队被要求奉承这个黑客，承认他的工程/编程天赋。另外他们还被告知，要提到他不会“促进盗版”发展的声明目的，但也要指出任天堂的担忧–公布了他的黑客行为可能就会促进这一点的发展。 无论Neimod同意还是拒绝，任天堂都做好了应对准备。由Eclipse-TT发布到Twitter上的幻灯片显示了一个流程图。 任天堂表示，如果双方能达成合作，它可以避免提起刑事诉讼。它还可能跟Neimod签订“赏金”合同，为发现和记录漏洞而支付报酬。在一定范围内，他的发现仍可以向公众公布，但要让他保留吹嘘权利。该公司写道，这可能有助于提升任天堂的形象。 只有当侵入性监控行动的细节远离公众视线时才有可能长期显著提升公众形象。然而现在随着Hacker Enforcement Proposal的全面泄露，这对任天堂来说可能会变得有点困难。 另一方面，这也可能也会让黑客停下来思考或将他们推向更糟糕的境地。         （消息及封面来源：cnBeta）

据外媒报道，日前，GoDaddy对其员工进行了一个钓鱼邮件测试，结果约有500名员工没有通过。据悉，测试中的邮件声称他们将获得650美元的假期奖金。这封邮件是由Happyholiday@Godaddy.com发送，包裹在一片闪闪发光的雪花banner下，上面则印着GoDaddy Holiday Party的字样。 这封邮件于当地时间12月14日发给数百名GoDaddy员工的。 “虽然我们不能在年度节日聚会上一起庆祝，但我们想表达我们的感谢并分享650美元的一次性假期奖金！”邮件写道，“为确保您能及时获得一次性假期奖金，请在12月18日周五之前选择您的地点并填写详细信息。” 然而两天后，该公司又发了一封电子邮件。“你收到这封邮件是因为你没有通过我们最近的钓鱼测试，”该公司的首席安全官Demetrius Comes写道，“你需要重新接受安全意识社会工程培训。” 网络钓鱼测试是由公司发送，用来评估员工是否容易受到网络钓鱼攻击，公司外的人会试图伪装成可信来源以获取敏感信息如用户名和密码。 总部位于斯科茨代尔的GoDaddy是全球最大的域名注册商和网络托管公司。 今年早些时候，《福布斯》报道称，2.8万名GoDaddy客户的账户用户名和密码因数据泄露而受到影响。 尽管该公司今年的客户超过2000万并报告了创纪录的客户增长，但该公司在新冠大流行期间解雇或重新分配了数百名员工，包括亚利桑那州、爱荷华州和德克萨斯州的员工。 GoDaddy并不是今年第一家以潜在奖金的方式作为诱饵诱骗员工陷入网络钓鱼骗局的公司。 今年9月，在全美拥有多家主流报纸的Tribune Publishing也向其员工发送了一封类似的电子邮件。 对此，该公司的几名员工表示愤怒，他们在Twitter上转发了这封邮件并称：“这种钓鱼尝试是多么得荒谬和多么得悲哀。”         （消息及封面来源：cnBeta）

据外媒体报道，近日，有黑客窃取了英国一家大型整容连锁店– Hospital Group的数据并威胁要公布患者手术前后的照片和其他细节。Hospital Group目前已经证实遭到了勒索软件的攻击。该公司表示，其已将此事告知信息专员(Information Commissioner)。 黑客组织REvil在其暗网网页上表示，顾客的照片并不完全是令人愉快的景象。它声称已经获得了超过900G的病人照片。 遭到网络攻击的Hospital Group–也被称为Transform Hospital Group–声称是英国减肥和美容手术的领先者。 据悉，它拥有11家专门从事减肥手术、隆胸、乳头矫正和鼻子调整的诊所。 该公司此前曾通过名人代言来宣传自己，不过已经有好几年没有这样做了。 前Big Brother选手Aisleyne Horgan-Wallace 2009年曾向Zoo杂志透露了她在Hospital Group做过丰胸手术。Atomic Kitten歌手Kerry Katona、《无耻之徒》女演员Tina Malone和真人秀《The Only Way is Essex》明星Joey Essex也都曾是该诊所的病人。 Hospital Group在一份声明中说道：“我们可以证实我们的IT系统已经遭遇了数据安全漏洞。虽然我们所有病人的支付卡信息都未被泄露，但在现阶段，我们了解到一些病人的个人数据可能已被访问。” 该公司表示，他们已经向所有客户发送了有关此次网络攻击的电子邮件并将联系可能有更多个人信息被泄露的个人。 勒索软件是最常见的网络攻击形式之一。它通常涉及黑客进入计算机网络、对文件进行加密或将用户锁定在系统之外直到被攻击一方支付赎金。 针对这种现象，执法机构不鼓励受害者支付赎金，因为这样做会助长犯罪团伙的犯罪火焰。 网络安全公司EMSIsoft估计，在2020年，这种迅速发展的网络犯罪形式为犯罪分子带来了250亿美元的收入。 REvil–也被称为Sodinokibi–是最多产的勒索软件组织之一。备受瞩目的受害者包括货币交易所Travelex和娱乐律师事务所Grubman Shire Meiselas & Sacks。       （消息来源：cnBeta；封面来自网络）

在微软今年 6 月发布的更新中，修复了存在于 Windows 系统中的一个高危漏洞，允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用，不过近日谷歌 Project Zero 团队使用公开的概念证明，表示这个问题依然存在，只是方法有所不同。 谷歌 Project Zero 安全研究员 Maddie Stone 发现，微软 6 月份的补丁并没有修复原来的漏洞(CVE-2020-0986)，经过一些调整后，该漏洞仍然可以被利用。2020 年 5 月，该问题与 Internet Explorer中的一个允许远程代码执行的 BUG 一起被黑客利用进行权限升级。在卡巴斯基发现攻击时，这两个缺陷都是零日。 Stone 表示，攻击者现在仍然可以通过发送偏移量而不是指针来触发CVE-2020-0986，将权限增加到内核级别。在Twitter上，研究人员阐明说，最初的bug是一个任意的指针误引，允许攻击者控制memcpy函数的 “src “和 “dest “指针。 但是微软的修复补丁是不恰当的，因为微软只是将指针改为偏移，所以函数的参数仍然可以被控制。在今天的一份简短的技术报告中，她解释了如何触发该漏洞，现在确定为CVE-2020-17008。 一个低完整性的进程可以发送LPC消息到splwow64.exe（中等完整性），并在splwow64的内存空间中获得 write-what-where 权限 。攻击者通过memcpy调用控制目标、复制的内容和复制的字节数。       （消息来源：cnBeta；封面来源于网络）

本周二，欧洲刑警组织（Europol）宣布联合多国执法机构开展了 Operation Nova 活动，关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器，从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务，主要用于隐藏身份。 据欧洲刑警组织称，这项服务可以隐藏客户的 IP 地址，并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年，它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码，以及其他攻击，如网络钓鱼活动和账户接管。 欧洲刑警组织在公告中写道：“这种VPN服务被高价卖给了犯罪团伙，作为避免执法拦截的最佳工具之一，提供多达5层的匿名VPN连接”。这些机构没有宣布对该VPN提供商或其任何客户进行任何逮捕或指控。然而，拿下VPN服务很可能会让使用该服务的犯罪分子更难继续行动，至少目前来看是这样的。 网络安全专家表示，在无法抓住网络犯罪分子或完全关闭其业务时，这种做法是有意义的，也符合各大科技公司采取的行动。例如，微软在12月查封了SolarWinds黑客事件中使用的网络域名，以阻止一场大规模的恶意软件活动。 在查获Safe-Inet的服务器之后，警方发现全球已有250个企业受到犯罪集团的监控，也立即警告这些企业，要求它们多加防范，以免受到勒索软体之类的网路攻击。         （消息及封面来源：cnBeta）

近日，有密码学专家提出了一个有关苹果 iPhone 智能机的一套理论。首先，即便有着定期推送的 iOS 补丁和增强保护措施，但执法机构仍可轻易闯入用户设备。其次，苹果公司日渐强大的加密技术，所能保护的数据量却少于以往。作为对 ACLU 诉请 FBI 揭示有关 iPhone 破解方式的回应，约翰·霍普金斯信息安全研究所助理教授 Matthew Green 于本周三通过 Twitter 发表了他的最新观点。 据悉，该理论基于 Matthew Green 带领的两名学生 Maximilian Zinkus 和 Tushar M. Jois 的相关研究。即执法机构无需攻破 iPhone 上最强大的加密算法，因为并非所有用户数据都受到这方面的保护。 Matthew Green 补充道，取证工具开发公司不再需要攻破苹果的安全加密区芯片（Secure Enclave Processor），毕竟这么做的难度非常高。 后来他和学生们想到了一个可行的方案，并且推测出了政府与执法机构是如何从锁定的 iPhone 中提取数据的。（详细的文章会在假日后公布） 据悉，iPhone 可处于首次解锁前的 BFU 模式、以及解锁后的 AFU 模式。最初打开设备电源并输入密码时，设备可进入 AFU 状态。 随着用户输入 Passcode，iPhone 也将同步导出保留在内存中、并用于加密文件的不同密钥集。当用户再次锁定其设备时，它也不会转入 BFU 模式、而是维持在 AFU 状态。 Matthew Green 指出，在用户再次解锁其设备前，只有一组加密密钥被从 iPhone 的内存中清除。 被清除的密钥集，正好属于解密特定保护级别的 iPhone 文件子集。而保留在内存中的其它密钥集，则可用于解密其它所有文件。 基于此，执法机构只需利用已知的软件漏洞来绕过 iOS 的锁屏保护措施，即可在后续解密大多数文件。加上以普通权限运行的代码，取证工具还可像合法应用程序那样访问数据。 尴尬的是，由苹果官方文档可知，最强的加密保护等级，似乎仅适用于邮件和应用启动数据。这样即便与 2012 年的同类情况进行比较，苹果在用户数据的安全保护上反而还倒退了。 最后，除了 iOS，Matthew Green 还指出了 Android 移动设备上存在的类似情况。这位密码学教授表示：“手机加密无法从根本上拦截别有用心的攻击者”。       （消息来源：cnBeta；封面来自网络）