现在已经打了补丁的Pegasus iPhone攻击是近年来看到的最复杂的攻击之一。在研究了多次成为头条新闻的iMessage安全漏洞后，来自Project Zero的Google研究人员将其描述为“技术上最复杂的漏洞之一”。 他们称，NSO集团的工具在复杂程度上跟民族国家间谍工具不相上下。而NSO的客户–包括极权主义政权–已经使用PegASUS来监视毫无戒心的iPhone用户。这种零日攻击通过iMessage在iPhone上安装恶意代码，而用户甚至没有都没有信息互动–这就是它的可怕之处。 Pegasus iPhone攻击已经给公司带来了相当戏剧性的后果。美国政府在Pegasus事件被披露后将这家以色列安全软件开发商列入禁止名单。此外，苹果在修补安全漏洞后起诉了这家公司。另外，苹果已经开始通知过去可能成为Pegasus目标的iPhone用户。 Pegasus受害者名单通常包括持不同政见者、记者或政治家，而非普通的终端用户。苹果已经发布了补丁以化解让Pegasus悄悄入侵iPhone的安全漏洞的风险。来自Project Zero的Google安全研究人员则获得了Pegasus的样本并确定了这个先进间谍工具在iPhone上的工作方式。 NSO集团可怕的复杂iMessage攻击 Project Zero的Google研究人员公布了Pegasus分析的第一部分。他们还跟The Wired分享了Pegasus如何在目标不知情的情况下入侵iPhone的简要说明。 Project Zero的Ian Beer和Samuel Groß告诉The Wired：“我们还没有见过这样一个被外部利用的漏洞从如此有限的起点建立起同等的能力，如不跟攻击者的服务器互动、无需加载JavaScript或类似的脚本引擎，等等。在安全界有许多人认为这种类型的利用–单次远程代码执行–是一个已解决的问题。他们认为，移动设备所提供的缓解措施的分量太重无法建立一个可靠的单次攻击的漏洞。这表明，它不仅是可能的，而且在野外被可靠地用来对付人。” Pegasus如何攻击iPhone ForcedEntry是iOS漏洞的名称，它让Pegasus的iPhone黑客攻击成为可能。NSO的黑客们想出了一个办法，利用iMessage处理GIF文件的播放方式将一个伪装成GIF的PDF文件偷偷带入。然后他们利用了一个压缩工具的漏洞，该工具处理来自物理扫描仪的图像中的文本。这个可以追溯到20世纪90年代的工具仍在像iPhone这样的现代计算机中找到它的方式。 如果这还不够，ForcedEntry建立了一种虚拟计算机，然后在iMessage中运行。这是因为恶意软件需要跟一个指挥和控制中心进行对话，而该中心会发出指令。这种行为使攻击更难被发现。 另外，Pegasus还不需要用户的任何输入，攻击者只需要一个电话号码或苹果ID就可以通过iMessage发送有效载荷。屏幕上不会显示任何信息。一旦无形的信息进入iPhone，iPhone攻击就会成功。从那时起，目标根本就不知道有人闯入他们的iPhone。 Project Zero研究人员在谈到ForcedEntry时感叹道：“这太不可思议了，同时也非常可怕。” 运行最新iOS版本的iPhone用户有反Pegasus的保护措施。这并不意味着类似的安全公司已经停止为iPhone设计间谍工具，只是ForcedEntry攻击将不再适用于运行最新软件的设备。 另外，Pegasus的目标已经开始收到苹果关于黑客攻击的通知。   （消息及封面来源：cnBeta）

一场严重的勒索软件危机打乱了很多大公司的运作，一些工人则担忧无法在圣诞假期前拿到最后一笔工资。而这一切的魁首就是近期臭名昭著的 Log4Shell 攻击，这让劳务解决方案公司 Kronos 可能要面临持续数周的业务中断。这一安全事件已经影响了纽约市地铁交通局、本田公司、GameStop 等机构的人力资源运作。 一名全食超市的工作人员向 NBC 新闻透露：“我们对即将到来的星期五的工资支票真的很担心”。他说，员工们不得不使用“纸质打卡表来记录我们的工作时间”。 Kronos 私有云是一套人力资源软件，由一家名为 Ultimate Kronos Group（简称 UKG）的公司运营。最初，Kronos 没有透露问题究竟有多严重：该公司报告说，它的 Workforce Central、TeleStaff和其他服务的托管版本无法使用，并说它没有估计它们何时能恢复在线。UKG建议其客户“评估其他计划，以处理用于工资处理的时间和考勤数据”。 但第二天一早，UKG 透露，这个问题比服务中断更深：该公司说它是勒索软件攻击的受害者，说“可能需要几周时间才能完全恢复系统可用性”。它还说其备份“目前不可用”。 UKG的客户名单包括一些大型公司，包括特斯拉、GameStop、本田、Sainsbury’s、彪马、基督教青年会、米高梅度假村、丹佛市和纽约市地铁交通管理局。据报道，医疗设施也受到了影响–Honolulu 的急救中心和供水委员会使用了 Kronos，还有德克萨斯州圣安吉洛的香农医疗中心等等。   （消息及封面来源：cnBeta）

虽然概念验证代码是上周四发布的，但有证据表明已经有黑客在 2 周前利用 Log4Shell 漏洞发起攻击了。根据 Cloudflare 和 Cisco Talos 的数据，第一批攻击是在 12 月 1 日和 12 月 2 日观察到的。 虽然大规模的攻击利用是在上周末开始的，但这一启示意味着安全团队需要扩大他们的事件响应调查，为了安全起见针对他们的网络检查要追溯到 11 月初。目前，滥用 Log4Shell 漏洞的攻击仍然是温和（tame）的–如果这个词甚至可以用来描述对安全漏洞的滥用。 大量的攻击来自于专业的密码挖掘和 DDoS 僵尸网络，如 Mirai、Muhstik 和 Kinsing，它们通常在所有人之前率先利用任何有意义的企业漏洞。但在周末的一篇博客文章中，微软表示，它开始观察到 Log4Shell 被用来部署网络外壳和Cobalt Strike信标（后门）的第一个实例。 CISA、NSA和一些网络安全公司在过去一年中多次警告说，网络外壳和Cobalt Strike信标的组合通常是民族国家集团和勒索软件团伙在攻击中部署的第一个工具，因此，虽然未经证实，但如果我们在今天结束前得到第一个滥用Log4Shell的勒索软件集团，不要感到惊讶。 现在，对易受Log4Shell漏洞影响的互联网连接系统的扫描绝对是通过屋顶。安全公司Kryptos Logic周日表示，它检测到超过10,000个不同的IP地址探测互联网，这是上周五探测Log4Shell的系统数量的100倍。 并非所有这些流量都是坏的，因为也有白帽安全研究人员和安全公司在寻找易受攻击的系统，但大的情况是，威胁者已经闻到了血腥味，IT管理员应该看看他们基于Java的系统是否有易受Log4Shell攻击。   （消息及封面来源：cnBeta）

印度总理纳伦德拉-莫迪的Twitter账户在周日”短暂受损”，他的办公室在遭受攻击后今天对外公布。莫迪账号是@narendramodi的账户在周日午夜之后发布推文，称印度已经正式采用比特币作为法定货币，这迅速引起了人们对黑客攻击的怀疑，因为宣布这一消息与印度先行政策相悖，新德里在最近几个月暗示它将引入严格的监管来监督加密货币。 该推文还包括一个简略的网站链接，称新德里购买了一些比特币，并计划在全国居民中分发。 总理莫迪的办公室周日在Twitter上说，经过技术处理，莫迪的账户已经完全安全，在此期间分享的任何推文”必须被忽略”。 莫迪在Twitter上拥有超过7300万粉丝，是该社交网络上最受欢迎的账户之一。Twitter和总理办公室表示，社交网络在意识到该活动后立即采取了必要的措施来保护该账户。   （消息及封面来源：cnBeta）

Google 正起诉两名俄罗斯人，称他们操纵着一个复杂的僵尸网络发起了多次攻击，该网络已经悄悄地渗透到全球 100 多万台 Windows 机器中。在设备被感染之后，僵尸网络就会窃取用户的证书和数据，秘密挖掘加密货币，并设置代理，通过受感染的机器和路由器输送其他人的互联网流量。 图片来自于 internetsecurity 在一份提交给纽约南区美国地方法院的诉状中，Google 称俄罗斯国民德米特里·斯塔罗维科夫（Dmitry Starovikov）和亚历山大·菲利波夫（Alexander Filippov）是 Glupteba 僵尸网络的两个主要操作者，并列举了据称他们创建的 Gmail 和 Google Workspace 账户来帮助他们运作犯罪企业。 Google 声称，两名被告利用僵尸网络（被描述为“现代的、无边界的有组织犯罪的技术体现”），包括盗窃和未经授权使用 Google 用户的登录和账户信息。它要求 Starovikov 和 Filippov 支付赔偿金，并永久禁止使用 Google 服务。 Google 表示自 2020 年以来一直在追踪 Glupteba 僵尸网络，到目前为止，它已经感染了全球约 100 万台 Windows 机器，并且每天都在以数千台新设备的速度增长。一旦设备被感染，通常是欺骗用户通过第三方“免费下载”网站下载恶意软件–僵尸网络就会窃取用户的证书和数据，秘密挖掘加密货币，并设置代理，通过受感染的机器和路由器输送其他人的互联网流量。 Google在其投诉中补充说：”在任何时候，Glupteba 僵尸网络的力量都可能被用于强大的勒索软件攻击或分布式拒绝服务攻击。除了对所谓的 Glupteba 僵尸网络发起诉讼外，该公司的威胁分析小组（TAG）已经观察到该僵尸网络以美国、印度、巴西、越南和东南亚的受害者为目标。Google 宣布它已经与互联网托管服务提供商合作，破坏了该僵尸网络的关键指挥和控制（C2）基础设施。这意味着其运营商不再控制该僵尸网络，尽管Google警告说，由于Glupteba使用区块链技术作为一种弹性机制，它可能会卷土重来。   （消息及封面来源：cnBeta）

随着美国公司日益成为恶意软件攻击的目标，美国军方近日宣布已开始对勒索软件集团发动进攻。美国网络司令部负责人兼国家安全局局长 Paul M. Nakasone 中将向《纽约时报》透露，多个执法机构已经负责控制勒索软件攻击。 Nakasone 表示像针对 Colonial Pipeline 和 JBS 肉厂的攻击“一直影响我们的关键基础设施”，这导致联邦机构加强收集和分享有关勒索软件集团的情报。 在 Reagan 国防论坛上，Nakasone 接受采访时表示：“我们必须做的第一件事是比我们以前更了解对手和他们的洞察力”。中曾根没有描述所采取的行动或确定所针对的团体，但他说目标之一是为勒索软件团体“施加成本”。 Nakasone 表示：“在攻击发生之前、期间和之后，与我们政府的一些权力一起，我们已经采取了行动，我们已经施加了成本。这是我们应该始终注意的一个重要部分”。   （消息及封面来源：cnBeta）

通过入侵世界各地企业的票据打印机，有人正在发出“反工作”宣言。在 Reddit 社区有数十个帖子声称看到了这个宣言，还有一家网络安全公司正在分析通往不安全打印机的网络流量。 根据 Reddit 和 Twitter 上发布的几张截图，其中一份宣言写道：“你的付出大于工资回报吗？你有受保护的合法权利，可以与你的同事讨论你的薪酬。[低工资之所以存在，是因为人们’愿意’为其工作]”。 周二，一位 Reddit 用户在一篇帖子中写道，该宣言在他的工作中被随意打印。帖子中写道：“你们谁在做这个，因为这很搞笑。我和我的同事们需要答案”。 在r/Antiwork subreddit上有无数类似的帖子，其中一些有这个相同的宣言。其他的则有不同的信息，但都有相同的工人赋权的情绪。所有这些帖子都建议信息的读者去看看。 一个 Reddit 帖子写道：“停止使用我的票据打印机吧，伙计们。虽然很搞笑，但我希望它能停下来”。另一个帖子写道：“我喜欢r/antiwork，但请停止向我的票据打印机发送垃圾邮件”。 另一个帖子写道：“在过去的一周里，我在工作中随机收到了大约4条不同的信息。很有启发性，很有鼓励性，当我的老板不得不把它们从打印机上撕下来时，看到他的表情很有趣”。 Reddit上的一些人认为，这些信息是假的（即由能够使用票据打印机的人打印出来，并为Reddit的影响力而发布），或者是阴谋的一部分，使人觉得r/antiwork子版块在做一些非法的事情。 但监控互联网的网络安全公司GreyNoise的创始人安德鲁-莫里斯（Andrew Morris）告诉Motherboard，他的公司已经看到实际的网络流量进入不安全的票据打印机，而且似乎有人或多人在互联网上不分青红皂白地发送这些打印作业，就像到处喷洒或爆破。莫里斯在抓捕利用不安全打印机的黑客方面有一定的经验。 莫里斯在一次在线聊天中告诉 Motherboard：“有人正在使用一种类似于’大规模扫描’的技术，在互联网上直接向打印机服务大规模地喷射原始TCP数据。基本上是向每一个打开TCP 9100端口的设备，打印一份预先写好的文件，其中引用了/r/antiwork的一些工人权利/反资本主义的信息”。   （消息及封面来源：cnBeta）

根据微软蜜罐服务器网络收集的数据，大多数暴力攻击者主要试图猜测短密码，很少有攻击是针对长密码或包含复杂字符的凭证的。”我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据，”微软的安全研究员罗斯·贝文顿说。 “77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。”他在微软担任欺诈主管，他的任务是创建看起来合法的蜜罐系统，以研究攻击者的趋势。在他分析的样本数据中，只有7%的暴力攻击尝试包括一个特殊字符。此外，39%的人实际上至少有一个数字，而且没有一个暴力尝试使用包括空格的密码。 研究人员的发现表明，包含特殊字符的较长密码很可能在绝大多数暴力攻击中是安全的，只要它们没有被泄露到网上，或者已经成为攻击者暴力攻击字典的一部分。 此外，根据截至今年9月针对微软蜜罐服务器网络尝试的140多亿次暴力攻击的数据，对远程桌面协议（RDP）服务器的攻击与2020年相比增加了两倍，出现了325%的增长。网络打印服务也出现了178%的增长，还有Docker和Kubernetes系统，也出现了110%的增长。 “关于SSH和VNC的统计数字也同样糟糕–它们只是自去年以来没有那么大的变化，”贝文顿说。”默认情况下，像RDP这样的解决方案是关闭的，但如果你决定打开它们，不要把它直接暴露在互联网上。记住，攻击者会对任何强行的远程管理协议进行攻击。如果你必须让你的东西在互联网上访问，请运用各种加固手段，例如强密码，管理身份，MFA，”这位微软经理说。   （消息及封面来源：cnBeta）

英国国家网络安全中心（NCSC）近日向 4000 多家网店的店主发出警告，他们的网站受到了 Magecart 的攻击影响，会窃取客户的支付信息。Magecart 攻击也称网络盗取、数字盗取或电子盗取，攻击者将被称为信用卡盗取器的脚本注入被攻击的网店，以收获和窃取顾客在结账页面提交的支付和/或个人信息。 图片来自于 Picserver 攻击者随后将利用这些数据进行各种金融和身份盗窃欺诈计划，或在黑客或刷卡论坛上将其卖给出价最高的人。NCSC 表示截至今年 9 月底，已经发现有 4151 家网店被攻击，并提醒零售商注意这些安全漏洞。 NCSC 发现的大多数用于盗刷的网店都是通过流行的电子商务平台 Magento 的一个已知漏洞被攻破的。自2020年4月以来，NCSC监测了这些商店，并在通过其主动网络防御计划发现被入侵的电子商务网站后，向网站所有者和中小型企业（SMEs）发出警告。 受影响的在线零售商被敦促升级 Magento–以及他们使用的任何其他软件–的最新状态，以阻止攻击者在黑色星期五和网络星期一期间企图入侵他们的服务器并损害他们的在线商店和客户的信息。 负责经济和社会的 NCSC 副主任 Sarah Lyons 表示：“我们希望中小型在线零售商知道如何防止他们的网站在购物高峰期被投机取巧的网络犯罪分子利用。尽可能保持网站的安全是很重要的，我敦促所有企业主遵循我们的指导，并确保他们的软件是最新的”。 该机构还为希望在网上安全购物的个人和家庭提供指导，建议他们只在值得信赖的网上商店购物，使用信用卡进行网上支付，并始终注意可疑的电子邮件和短信，这些信息看起来好得不像真的。美国网络安全和基础设施安全局（CISA）也提供了关于如何在网上购物时保持安全的安全提示。 视频地址：https://www.bilibili.com/video/BV1cb4y1b7fX   （消息及封面来源：cnBeta）

经历了持续一年多的追踪，网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知，一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道，而攻击者的最终目标却是网站访客。 伊朗驻阿布扎比大使馆网站的脚本注入 据悉，这轮黑客活动一直从 2020 年 3 月活跃到 2021 年 8 月，期间波及大约 20 个网站，同时导致不少访客中招。 具体说来是，攻击者利用了所谓的“水坑攻击”（watering hole attacks）—— 借道合法网站，来瞄准它们的目标。 换言之，网站本身没有受到太大的破坏，但却让特定的访问者陷入了危险之中。 （图 via TechTarget） ESET 研究员 Matthieu Faou 在接受 Motherboard 电话采访时称，他们一直没能摸清攻击者的最终有效载荷，显得它们在选择攻击目标时非常谨慎。 此外伊朗、叙利亚、也门等多国政府网站、一家位于意大利的航空航天企业、以及南非政府旗下的某国防集团站点 —— 它们都与“中东之眼”攻击事件有千丝万缕的联系。 ESET 推测，黑客可能是来自以色列的间谍软件供应商 Candiru 的一位客户，该公司已于早些时候被美国政府列入了黑名单。 Medica Trade Fair 克隆站点 作为业内最神秘的间谍软件供应商之一，Candiru 并无所谓的官网，且据说已多次变更名称。 不过由以色列《国土报》分享的一份文件可知，该公司“致力于提供渗透 PC 计算机、网络、手机的高端网络情报平台”。 在以色列纸媒于 2019 年首次曝光了 Candiru 的存在之后，包括卡巴斯基、微软、Google、Citizen Lab 在内的多家网络安全公司，纷纷对它的恶意软件展开了持续追踪。 FingerprintJS 主页 当 Motherboard 与“中东之眼”取得联系人，该网站数字开发负责人 Mahmoud Bondok 表示他们刚刚意识到这一切，同时在周二发布的一份新闻中对攻击事件予以谴责。 Matthieu Faou 表示，其计划于华盛顿特区举办的 CYBERWARCON 会议上展示更多发现。遗憾的是，尽管他尝试联系某些受影响的站点，但却迟迟没能收到任何答复。 虽然这些站点看起来都没有收到损害，但目前也不清楚是否相关网站已经逮住了黑客并删除了恶意代码，还是黑客自己动手清理了蛛丝马迹。   （消息及封面来源：cnBeta）