蓝牙核心规范（Bluetooth Core）和蓝牙网状网络连接技术（Mesh Profile）规范近日被爆安全漏洞，可被网络犯罪分子利用进行中间人（man-in-the-middle）攻击。根据卡内基梅隆大学 CERT 协调中心的报告，“支持Bluetooth Core 和 Mesh 规范的设备存在漏洞，容易受到冒名攻击和AuthValue泄露，这可能使攻击者在配对期间冒充合法设备”。 这两个蓝牙规范确保了多对多蓝牙通信的协议，并使设备之间通过临时网络共享数据。蓝牙冒充攻击（Bluetooth Impersonation AttackS），也称为 BIAS，允许网络犯罪分子与受害者建立安全连接，并有效绕过蓝牙的认证机制。 根据安全研究人员的说法，与安全建立蓝牙认证程序、不良功能切换和安全连接降级有关的第一个问题是BIAS攻击。它们相当稳定，因为安全蓝牙连接不需要用户互动。为了证实 BIAS 攻击实际上是有效的，研究人员对苹果、高通、英特尔、赛普拉斯、博通、三星和CSR的所有主要蓝牙版本进行了测试，对主要技术供应商的 31 个蓝牙设备（28个特定蓝牙芯片）进行了测试。 在 Bluetooth Mesh Profile 规范 1.0 和 1.1 版本中发现了4 个漏洞。完整漏洞包括： ● CVE-2020-26555 蓝牙传统BR/EDR引脚配对协议中的冒充行为（从 v1.0B 到 5.2 版本的蓝牙核心规范） ● CVE-2020-26558 蓝牙LE和BR/EDR安全配对过程中的密码输入协议中的冒名顶替（从 2.1 到 5.2 版本的蓝牙核心规范）。 ● N/A（未编号） 蓝牙LE传统配对协议的认证（从 4.0 到 5.2 版本的蓝牙核心规范） ● CVE-2020-26556 蓝牙Mesh配置文件配置中的可塑性承诺（从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范）。 ● CVE-2020-26557 蓝牙Mesh Profile供应中的可预测 AuthValue（从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范）。 ● CVE-2020-26559 蓝牙 Mesh Profile AuthValue 泄漏（从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范）。 ● CVE-2020-26560 蓝牙Mesh Profile配置中的冒名攻击（从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范）。 在列出的受这些安全缺陷影响的产品供应商中，有Android开源项目（AOSP）、思科、Cradlepoint、英特尔、微芯科技和红帽。AOSP、思科和微芯科技表示，他们正在努力缓解这些问题。 负责监管蓝牙标准制定的蓝牙特别兴趣组 (Bluetooth SIG) 也在今天早些时候发布安全公告，指出了针对影响这两个易受攻击标准的每个安全缺陷的建议。Bluetooth SIG 表示，该组织机构正在就该漏洞及其修复方案与会员企业广泛沟通详情，并鼓励它们快速集成任意必要补丁。和之前一样，蓝牙用户应确保安装了操作系统厂商最新推荐的更新版本。   （消息及封面来源：cnBeta）

援引外媒 BleepingComputer 报道，Python 的官方软件库 PyPI 正遭受黑客攻击。黑客利用垃圾软件包的形式发起洪水攻击，而这些软件包均采用来自 BT 种子或者其他在线盗版内容的电影名称命名，部分名称还包括年份、在线、免费等字样。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。   Sonatype 的高级软件工程师 Adam Boesch 在 PyPI 上率先发现了以热门电视节目命名的可疑软件包。在接受 BleepingComputer 采访时，他提供了进一步的见解： 我在查看数据集时注意到 wandavision，这对于一个包的名字来说有点奇怪。仔细一看，我发现了那个包，并在 PyPI 上查找它，因为我不相信它。这在其他生态系统中并不罕见，比如 npm，那里有数以百万计的包。幸运的是，像这样的包是相当容易发现和避免的。 除了垃圾关键词和非法视频流网站的链接，在PyPI上发现的垃圾软件包还包含从合法Python软件包中窃取的功能代码和作者信息。当BleepingComputer发现一个名为 “watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality “的垃圾邮件包并对其进行调查时，该新闻机构发现它包含作者信息以及来自 “jedi- language-server “PyPI包的一些代码。 虽然以前通过在PyPI上搜索 “full-on-line-movie-free “可以很容易地找到许多类似的软件包，但在撰写本文时，Python软件包索引库的维护者似乎已经清理了大部分的垃圾邮件。然而，如果Python开发者决定下载并打开这些垃圾邮件中的任何一个，应该谨慎行事，因为它们可能包含恶意软件或其他恶意代码。   （消息及封面来源：cnBeta）

据外媒BGR报道，在Colonial Pipeline证实美国燃料公司强调的一次全新的系统故障不是公司遭受某种新的黑客攻击的产物后一天，Colonial首席执行官Joseph Blount在接受《华尔街日报》采访时“抛出了一颗重磅炸弹”。 早在5月7日，该燃料公司的一名员工在当天早些时候发现了一张来自DarkSide勒索团伙的赎金字条，从而引发了整个事件链。Blount现在证实，他已经做出决定，公司将支付赎金，同意支付440万美元的赎金–因为在那个时候，还公司还不能确定黑客在其系统中的破坏达到了什么程度。 Blount在这次采访中承认，这是他在本月初灾难发生后的第一次接受采访，他承认支付赎金是一个有争议的举动。事实上，执法官员对此不屑一顾，很多网络安全记者也感叹Colonial公司的行为将使其他勒索软件犯罪者更加胆大妄为。但Blount坚定地说：“我承认，我不愿意看到钱被这样的人拿走。但这是为国家做的正确事情。” Blount这样做是正确的吗？好吧，事实证明，DarkSide黑客给了Colonial一个解密工具，但效果并不好，作为付款的交换条件–事实上，这个低劣的工具让管道运营商不得不着手恢复其网络，这与它根本没有付款的情况几乎相同。 此外，来自GasBuddy的众包数据显示，至少有十几个州遭受了某种形式的燃料中断，甚至在Colonial公司说它已经在周末恢复了正常运营之后。如果这还不够，根据美国能源部以及国家国土安全部的机密分析，整个事件还几乎将美国带到了国家重大能源危机的边缘。根据《纽约时报》的报道，这两个机构都推测，如果Colonial输油管线中断的时间再长一点，就会出现一系列的坏结果。例如，只要该管道的运营网络再中断几天，柴油的缺乏就会迫使公共汽车和各种大众运输工具关闭，这是其一。“多米诺骨牌”效应还包括工厂和炼油厂同样被关闭–因为Colonial公司网络的持续关闭将使他们的产品无处可销。 这一切都发生在DarkSide勒索软件团伙显然从Colonial Pipeline的攻击中感受到自己的一些影响之后。据报道，最近几天，一个竞争对手的勒索软件团伙的人在一个暗网论坛上留言说，DarkSide的创始人已经失去了对他们用来托管和发布受害者被盗数据的网站的访问权。其他基础设施，如他们的支付服务器，据说也被从DarkSide团伙手中夺走。然而，这些说法的合法性存在一些疑问。 在相关新闻中，Colonial Pipeline证实，它在周二试图从勒索软件攻击中恢复时又遭遇了网络中断。然而，该公司强调，这个新问题的背后并没有什么邪恶的东西–尽管从某种程度上说，它确实是之前攻击的一种副产品。Colonial Pipeline公司在一份声明中说：“我们运行提名系统的内部服务器今天上午经历了间歇性的中断，这是由于正在进行的一些加固工作和我们恢复过程的一部分。这些问题与勒索软件或任何类型的再感染无关。”     （消息及封面来源：cnBeta）

在最近的一次网络攻击之后，国际教育保险公司guard.me的网站仍然无法使用。 这家全球企业在其主页上表示，最近的可疑活动是针对guard.me网站进行，为了谨慎起见，它立即关闭了该网站。 guard.me表示，它的信息系统和信息技术团队正在采取各种措施，以确保网站安全性得到加强，以便尽快恢复网站的全面服务。guard.me是世界上最大的保险公司之一，专门为在其他国家旅行或学习的学生提供健康保险。 周一，guard.me开始通过电子邮件向学生发出数据泄露警告，称一个网站漏洞使未经授权的人能够访问受保户的个人信息。guard.me在这份电子邮件当中表示，在2021年5月12日深夜，信息系统团队发现网站有异常活动，作为预防措施，他们立即关闭了网站，并立即采取措施保护系统。该漏洞已经得到解决，它的专家正在进一步调查此事。 这个漏洞使网络犯罪分子能够获得学生的出生日期、性别和加密密码。一些学生的电子邮件地址、实际地址和电话号码也被曝光。网络攻击者的身份现在还不清楚。guard.me声称已经修补了这个漏洞，并且正在努力部署额外的保护措施，如数据库分割和双因素认证。 由于guard.me是一家加拿大公司，目前还不清楚该漏洞是否被报告给加拿大隐私专员。     （消息及封面来源：cnBeta）

近日微软发布威胁警报，称一款名为 RevengeRAT 的远程访问工具正针对航空航天和旅游行业发起鱼叉式钓鱼攻击。这种特殊的威胁是通过电子邮件传递的，在骗取收件人的信任之后诱导受害者打开 Adobe PDF 格式附件，并继续下载恶意文件。 微软解释道，攻击者利用这类远程访问木马盗取用户数据，而且在后期可以通过传递额外的攻击有效载荷，用于数据渗透。 从数据盗窃到后续活动，以及传递额外的攻击有效载荷，用于数据渗透。微软在一系列关于这一威胁的推文中解释说：“该活动使用欺骗合法组织的电子邮件，其诱饵与航空、旅行或货物有关。一个冒充PDF文件的图像包含一个嵌入式链接（通常是滥用合法的网络服务），下载一个恶意的VBScript，从而投放RAT有效载荷”。 这类木马会窃取用户登录凭证以及网络摄像头图像等内容，以及系统剪贴板上被用来复制的任何东西。还有一点需要注意，这个威胁活动的中心的恶意可执行内容是一个名为 Snip3 的加载器。安全公司 Morphisec 还指出了 Snip3 的另一个特点–如果 “脚本在微软沙盒、VMWare、VirtualBox或Sandboxie环境中执行”，并且它识别出这些虚拟机环境之一，脚本就会终止，而不会加载木马。     （消息及封面来源：cnBeta）  

据外媒BleepingComputer报道，保险巨头安盛集团在泰国、马来西亚、中国香港和菲律宾的分公司遭到了勒索软件网络攻击。据该家媒体昨日报道，Avaddon勒索软件集团在其泄密网站上称，他们从安盛亚洲业务中窃取了3TB的敏感数据。 另外，BleepingComputer昨天观察到针对安盛全球网站的分布式拒绝服务(DDoS)正在进行，这使得安盛的全球网站在一段时间内无法访问。 根据该组织的说法，Avaddon获得的数据包括客户的医疗报告（暴露他们的性健康诊断）、身份证复印件、银行账户报表、索赔表格、付款记录、合同等等。 大约一周前，安盛表示，在法国承保网络保险时将不再报销勒索软件勒索支付的费用。 勒索软件集团攻击安盛亚洲办事处 昨天，Avaddon勒索软件集团声称对袭击保险巨头安盛(AXA)亚洲分支机构负责。 此外，该组织还称，安盛在泰国、马来西亚、中国香港和菲律宾的网站受到了主动DDoS攻击： Avaddon勒索软件团伙于2021年1月首次宣布，他们将发动DDoS攻击以摧毁受害者的网站或网络直到他们主动联系并开始就支付赎金进行谈判为止。 BleepingComputer曾于2020年10月首次报道了这一新趋势，当时该勒索软件组织开始将DDoS攻击作为额外的杠杆。 就在Avaddon宣布安盛系统受到攻击的大约一周前，安盛曾表示，他们在法国承保的网络保险将不再包括勒索软件勒索赔偿。 尽管攻击的确切日期尚不清楚，但正如BleepingComputer看到的，Avaddon昨天开始在他们的泄露网站上曝光了一些窃取来的数据。 另外，Avaddon还威胁称，安盛有约10天的时间跟他们沟通和合作，之后他们将曝光安盛的重要文件。 该集团声称获得了安盛3TB的数据，包括： 客户医疗报告（包括包含性健康诊断）； 客户索赔； 支付给客户的款项； 客户的银行账户扫描文件； 仅限于医院和医生的材料（私人欺诈调查、协议、拒绝偿付、合同）； 身份证明文件如身份证、护照等。 安盛：除了泰国合作伙伴外，还没有证据表明其他合作伙伴也被盗走数据 BleepingComputer联系到安盛时后者表示：“亚洲援助最近遭受了一场有针对性的勒索软件攻击，影响到了公司在泰国、马来西亚、中国香港和菲律宾的IT业务。因此，在泰国由国际合作伙伴援助(IPA)处理的某些数据已经被访问。目前，没有证据表明泰国IPA以外的任何进一步数据被获取。一个由外部法医专家组成的专门工作组正在调查这起事件。我们已经通知了监管机构和商业伙伴。” 安盛发言人对BleepingComputer表示：“安盛非常重视数据隐私，如果IPA的调查证实任何个人的敏感数据受到影响，那么我们将采取必要措施通知并为所有受影响的企业客户和个人提供支持。” 考虑到本周FBI和澳大利亚网络安全中心(ACSC)已经发出警告，Avaddon勒索软件正在针对美国和世界各地广泛领域的组织发起攻击，围绕该事件的时间点值得注意。 对组织的勒索软件攻击持续增长并导致许多组织受到破坏，攻击者要求支付高额赎金。 最近，DarkSide网络犯罪集团要求Colonial Pipeline支付500万美元以恢复其系统的正常运作。 就在本周，BleepingComputer报告称，爱尔兰卫生服务系统也收到了价值2000万美元的勒索软件需求。 安盛尚未就Avaddon要求的赎金金额发表评论。     （消息及封面来源：cnBeta）  

爱尔兰一位部长表示，对爱尔兰卫生服务计算机系统的网络攻击，可能是爱尔兰遭遇的最严重的网络犯罪攻击，这次攻击直指爱尔兰国家卫生系统的核心。 攻击发生后，卫生服务部门已经暂时关闭了其IT系统以进行保护。担任公共采购和电子政务部长的Smyth先生说这是一次国际攻击，这些是网络犯罪团伙，在寻找金钱。他们试图对爱尔兰国家卫生数据进行加密和锁定。然后试图向爱尔兰当局勒索金钱以赎回数据。爱尔兰卫生服务执行局表示，它已经关闭系统，采取预防措施，以进一步保护它们并评估情况。 国家网络安全中心（NCSC）表示，爱尔兰卫生服务执行局在周五凌晨意识到它的一些系统受到了重大的勒索软件攻击，NCSC被告知这个问题并立即启动了危机应对计划。爱尔兰卫生部长斯蒂芬-唐纳利说，这一事件正在对卫生和社会护理服务产生严重影响。 如果这种情况持续到周一，爱尔兰我卫生系统将处于非常严重的状况，将取消许多服务。爱尔兰一些医院正在报告服务中断。都柏林的Rotunda医院由于严重紧急情况已经取消了门诊。都柏林的国家妇产医院也说，由于一个重大的IT问题，其服务在周五会有重大干扰。 都柏林的St Columcille医院说，一些虚拟预约和与电子记录有关的事项被推迟了。克鲁姆林医院的爱尔兰儿童健康组织（CHI）通知人们，出现了延误，所有的虚拟/在线预约都被取消。由中西部六家医院组成的UL医院集团在一份声明中说，参加其服务的病人预计会有长时间延误，但是急诊服务仍在运作。 但是爱尔兰全国Covid-19疫苗接种和测试将正常进行。早些时候，爱尔兰卫生服务执行局首席执行官Paul Reid告诉RTÉ的《爱尔兰之晨》，它正在努力控制对其IT系统的勒索软件攻击。他说，网络攻击正在影响涉及所有核心服务。攻击的重点是访问存储在中央服务器上的数据。他说这是一个重大事件，但现阶段黑客还没有提出赎金要求。   （消息及封面来源：cnBeta）

作为一家全球领先、总部设在法国、在全球 670 个地区拥有 1.7 万余名员工的化学品分校公司，Brenntag 刚刚证实其遭受了网络攻击。由 ICS 化工百强分销商报告可知，北美市场为该公司贡献了第二大的销售额。然而为了解救被网络攻击者加密的数据、并防止被盗数据的公开泄露，Brenntag 还是被迫向 DarkSide 勒索软件团伙支付了价值 440 万美元的比特币赎金。 本月早些时候，Brenntag 北美分部遭遇了勒索软件攻击。网络犯罪分子不仅对该公司网络上的设备数据进行了加密，还窃取了大量未加密的文件。 Bleeping Computer 援引匿名消息人士的话称，DarkSide 勒索软件组织声称在本次攻击期间窃取了 150GB 的数据。 为了让受害者信服，该团伙还创建了一个私人数据泄露页面，其中就包含了针对被盗数据的描述、以及某些文件的屏幕截图。 DarkSide 最初要求 Brenntag 支付 133.65 比特币的赎金，当时的币值约为 750 万美元。然而经过谈判，双方最终将价格拉到了 440 万美元，并于两天前完成了交易。 由曝光的比特币钱包地址可知，Brenntag 在 5 月 11 日将这笔赎金转给了攻击者。今天，该公司向 Bleeping Computer 证实了此事，但没有完全声明与勒索软件攻击有关。 Brenntag 表示：北美分部正在努力解决影响范围有限的信息安全事件，为了控制事态的进一步发展，公司已于第一时间将受影响的系统与网络断开了连接。 此外该公司将此事上报给了执法部门，并且邀请了第三方网络安全和取证专家的介入以协助调查。   （消息及封面来源：cnBeta）

援引《纽约时报》记者 Nicole Perlroth 报道，成品油管道公司 Colonial Pipeline 的初期调查结果标明，该公司 IT 基础设施内“最可能的罪魁祸首”就是尚未修复的微软 Exchange 服务。虽然还有其他几个问题，但是研究人员将其描述为“缺乏网络安全的复杂性”。 Nicole Perlroth 在推文中指出，关于 Colonial Pipeline 的取证发现，他们仍在使用存在漏洞的微软 Exchange 版本，以及其他明显的缺陷。 网络安全和基础设施安全局警告管道运营商，2020 年有可能发生勒索软件攻击，并提供了一些潜在的缓解策略。联邦调查局证实，它认为 DarkSide 勒索软件对这次攻击负责。DarkSide 是一个起源于俄罗斯的犯罪集团。 由于几个漏洞在野外被利用，微软已经发布了许多关于保持内部交换服务器更新的重要性的建议。最新的更新是在2021年4月国家安全局的一份报告后发布的。Exchange Online 没有受到这些问题的影响。 截至周二，其主要管道仍处于瘫痪状态。该管道每天运输1亿加仑的燃料，包括东海岸消费的所有燃料的45%。其产品包括各种等级的汽油、柴油、家庭取暖油、喷气燃料和美国军队用燃料。   （消息及封面来源：cnBeta）

一位白宫周一表示，上周五被勒索软件（ransomware）攻击的Colonial输油管道没有遭到严重损害，可以相对较快地恢复服务。副国家安全顾问Elizabeth Sherwood-Randall在简报会上告诉记者，“目前不存在供应短缺”。 网络和新兴技术副国家安全顾问Anne Neuberger表示，政府正在与Colonial积极接触”，但该公司并未要求联邦在网络安全方面提供援助。 10月以来，联邦调查局一直在调查此次袭击中使用的勒索软件。 Neuberger说，政府尚未就是否应支付黑客要求的赎金对该公司提供建议。当被问及黑客是否与外国政府有联系时，她说，“目前”他们被视为“犯罪分子”。 Neuberger表示：“我们的情报部门正在寻找与民族国家行为者有关的任何联系。” 截至周一，该燃油管道连续第三天处于停工状态，燃油供应商们越来越担心美国东海岸可能出现汽油和柴油短缺。Colonial Pipeline周日表示 ，仍在制定重启管道的计划，一旦符合安全标准将付诸实施，会遵守所有批准的联邦规定。 该公司周一表示，预计管道将在本周末前多数恢复运营。 联邦调查局周一证实，袭击中用的勒索软件是一个名为DarkSide的组织制造。DarkSide在网页上发布了一条消息，暗示一个关联公司是攻击的幕后黑手，并且该组织将在将来审查勒索软件的购买者，以“避免造成社会后果”。 尽管调查仍处于初期阶段，但已经有一些证据将DarkSide与俄罗斯或东欧其他地区联系起来。   （消息及封面来源：cnBeta）