报告显示，英国与COVID-19有关的网络犯罪数量在上升，与前三年的总和相比，去年被英国网络安全机构破获的骗局更多，而冠状病毒大流行正在助长这种趋势。根据国家网络安全中心（NCSC）的数据，专家们看到，与前一年相比，2020年处理的相关欺诈活动增加了15倍。 这份报告是在为期两天的CyberUK活动前发布的人们的个人信息通过电子邮件和短信，利用官方的COVID-19疫苗推广活动被欺诈性地获取。结果是以英国健保系统NHS品牌为特征的网络钓鱼攻击增加，以欺骗受害者。 此外，43个假的NHS COVID-19应用程序被通报下架，这些应用程序通常在手机官方应用程序商店之外托管。 NCSC的技术总监Ian Levy博士告诉记者，与COVID-19有关的骗局、假疫苗销售、假防疫设备网店的大量增加表明，犯罪分子对他们滥用什么以及他们所引起的恐惧没有任何敬畏之心，只想伤害和欺诈人们。然而，在超过4000个促销活动中，英国税务与海关总署（HMRC）仍然是欺诈者使用最多的复制品牌，其次是政府的gov.uk网站和电视牌照。 根据NCSC的第四次主动网络防御报告，超过700500个欺诈活动被查，其中涉及1448214个欺骗性URL。   （消息及封面来源：cnBeta）

美国最大的燃料管线之一在遭受网络攻击后被其运营商关闭了。据《纽约时报》报道，为美国东部地区输送45%燃料供应的Colonial管道公司周五晚些时候在一份声明中说，它 “关闭了某些系统以控制威胁，这暂时停止了所有管道的运作，并影响了我们的一些IT系统。” 该管道长5500英里，从墨西哥湾沿岸向纽约输送飞机引擎燃料和精炼汽油，每天运输约250万桶。 目前还不清楚这次攻击是否针对Colonial的工业控制系统，或者是否涉及勒索软件或恶意软件。总部位于乔治亚州阿尔法雷塔的科隆公司表示，它已经聘请了一家 “领先的第三方网络安全公司来调查该事件的性质和范围，并已与执法部门联系。 Colonial Pipeline正在采取措施了解和解决这个问题。目前，我们的首要重点是安全和有效地恢复我们的服务，并努力恢复正常运营。这个过程已经在进行中，我们正在努力解决这个问题，并尽量减少对我们的客户和那些依赖管道的人的影响。 关闭管道不太可能对最终消费者造成直接影响，因为大部分燃料都进入了储油罐，而且美国由于大流行病的影响，能源使用已经减少。但是仍不清楚输油管线可能持续关闭多长时间。   （消息及封面来源：cnBeta）

一个针对全球QNAP设备的大规模勒索软件活动正在进行中，用户发现他们的文件现在存储在有密码保护的7zip档案中。 该勒索软件被称为Qlocker，于2021年4月19日开始针对QNAP设备。根据BleepingComputer Qlocker支持专题中受害者的报告，攻击者使用7-zip将QNAP设备上的文件转移到有密码保护的档案中。当文件被锁定时，QNAP资源监控器会显示许多 “7z “进程，这是7zip的命令行可执行程序。 当勒索软件完成后，QNAP设备的文件将被存储在有密码保护的7-zip档案中，以.7z为扩展名。要提取这些档案，受害者将需要输入一个只有攻击者知道的密码。QNAP设备被加密后，用户会收到一个txt赎金说明，其中包括一个独特的客户密钥，受害者需要输入该密钥来登录赎金软件的Tor支付网站。 从BleepingComputer看到的Qlocker赎金说明来看，所有受害者都被告知要支付0.01比特币，约合557.74美元，以获得存档文件的密码。在支付赎金并输入有效的比特币交易ID后，Tor支付网站将显示受害者的7Zip档案的密码。今天凌晨，安全研究员Jack Cable联系了BleepingComputer，说他在Qlocker Tor网站发现了一个漏洞，允许用户免费恢复他们的7zip密码。 利用这个漏洞，受害者可以从一个已经付款的人那里获得一个比特币交易ID，并稍作修改。当他们向Qlocker Tor网站提交修改后的交易ID时，该网站接受它作为付款并显示受害者的7zip密码。昨晚，Jack Cable一直在私下里帮助人们恢复他们的密码，并且正在与EMSIsoft安排建立一个帮助系统，以更好地利用这一弱点。 可悲的是，在安全人员了解到这个漏洞的一个小时后，勒索软件运营者抓住了这个漏洞并进行了修复。因此现在如果没有密码，就没有办法恢复文件，而密码已经无法免费取回了。   （消息及封面来源：cnBeta）

安全研究人员在Google Play上的一款应用中发现了一个新的Android恶意软件变种，该软件通过承诺免费订阅Netflix来吸引受害者。周三，Check Point Research(CPR)表示，这种 蠕虫类移动恶意软件是在Android应用的官方存储库Google Play商店中被发现的。 这款被称为 “FlixOnline “的恶意软件将自己伪装成一个合法的Netflix应用，似乎重点针对WhatsApp消息应用。COVID-19大流行迫使我们许多人长期呆在家里，商店关门，酒吧关闭，允许外出的次数有限，我们转而使用流媒体服务来打发时间。到2020年底，Netflix的付费用户数突破了2亿大关。很可能是由于COVID-19的刺激，恶意软件运营商决定抓住这一趋势。”FlixOnline “欺诈性应用承诺全球 “无限娱乐”，并因大流行而免费订阅两个月的高级Netflix。 然而，一旦下载，该恶意软件就会 “监听 “WhatsApp的对话，并自动回复带有恶意内容的信息。安装后，该应用会要求获得覆盖权限，这是盗窃服务凭证的常见行为，它还要求忽略电池优化，它可以阻止设备自动关闭软件以节省电力。此外，FlixOnline还要求获得通知权限，使恶意软件能够访问与WhatsApp通信相关的通知。 WhatsApp消息的自动回复包括以下内容，发送给受害者的联系人，”在世界任何地方60天获得2个月的Netflix高级免费服务。”，并且附带一条恶意链接。据研究人员介绍，该恶意软件可以通过恶意链接进一步传播，窃取WhatsApp的对话数据，并在安卓设备上安装后，有能力通过消息服务传播虚假信息或有害内容。 此次活动中使用的恶意链接会将受害者发送到一个虚假的Netflix网站，试图获取用户的信用卡信息和证书。然而，由于该消息是从命令和控制（C2）服务器获取的，其他恶意活动可能会链接到不同的钓鱼网站或恶意软件有效载荷。 在被发现之前，FlixOnline约造成500名受害者，时间大约为两个月，而且该恶意软件很可能会再次出现。CPR将其发现告知谷歌，目前该应用已从Play Store中删除。WhatsApp也被告知该活动，但由于没有可利用的漏洞或问题，恶意软件使用通过消息应用程序传播，因此不需要采取行动。           （消息及封面来源：cnBeta）

Ubiquiti 是一家专业的消费级路由器厂商，凭借着安全和可管理性赢得市场的认可。不过该公司近日却被指责掩盖一个“灾难性”的安全漏洞，在沉默了 24 小时之后，现在该公司发表了一份声明，并没有否认举报人的说法。 在今年 1 月 11 日发给“第三方云提供商”的公开信中，表示发现了一个轻微的安全漏洞。不过知名网络安全新闻网站 KrebsOnSecurity 报道称，该漏洞实际远比 Ubiquiti 描述的更加严重。一位来自该公司的举报人向 Krebs 透露，Ubiquiti 本身也被黑客入侵，只不过该公司的法律团队阻止了向客户准确报告危险的努力。 黑客获得了对公司 AWS 服务器的完全访问权，因为据称 Ubiquiti 在 LastPass 账户中留下了根管理员的登录信息，黑客可能已经能够访问客户通过公司的云服务设置控制的任何 Ubiquiti 网络设备。 消息人士告诉 Krebs：“他们能够获得单点登录cookie和远程访问的密码学秘密，完整的源代码控制内容，以及签名密钥”。而 Ubiquiti 今天晚上终于发表声明时，公司依然在强调目前没有任何证据表明用户数据被访问或者被盗。 但正如 Krebs 所指出的那样，举报人明确表示，该公司并没有保留日志，而这些日志可以作为该证据，说明谁做了或没有访问被黑的服务器。Ubiquiti 的声明还证实，黑客确实试图向其勒索钱财，但并没有涉及掩盖事实的指控。 “正如我们在1月11日通知您的那样，我们是一起网络安全事件的受害者，该事件涉及未经授权访问我们的IT系统。鉴于布莱恩-克雷布斯的报道，人们对此事产生了新的兴趣和关注，我们希望向我们的社区提供更多信息。 首先，请注意，自1月11日通知以来，我们对客户数据的分析和产品的安全性没有任何变化。针对此次事件，我们利用外部事件响应专家进行了彻底的调查，以确保攻击者被锁定在我们的系统之外。 这些专家没有发现任何证据表明客户信息被访问，甚至是目标。攻击者试图通过威胁发布被盗的源代码和特定的 IT 凭证来敲诈公司，但没有成功，他从未声称访问过任何客户信息。这一点以及其他证据表明，我们相信客户数据不是此次事件的目标，也不是与此次事件有关的其他访问。 在这一点上，我们有充分的证据表明，肇事者是一个对我们的云基础设施有深入了解的人。由于我们正在与执法部门合作进行调查，我们无法进一步评论。 说了这么多，作为预防措施，我们仍然鼓励您更改密码，如果您还没有这样做，包括在您使用相同用户ID或密码的任何网站上。我们也鼓励您在您的Ubiquiti账户上启用双因素认证，如果您还没有这样做。 谢谢您的支持。—Team UI ”         （消息及封面来源：cnBeta）

据外媒报道，据两名熟悉此次网络更经济的美国国会消息人士透露，去年，疑似俄罗斯黑客窃取了数千封国务院官员的电子邮件。这是在不到10年时间里由克里姆林宫支持的对美国务院电子邮件服务器发起的第二起已知攻击。 美国会消息人士称，黑客侵入了国防部欧洲和欧亚事务局及东亚和太平洋事务局的电子邮件。第三位官员称，目前看来，这个机密网络还没有被攻破。 目前尚不清楚被盗国务院电子邮件是否是SolarWinds间谍活动的一部分。据悉，SolarWinds是俄罗斯黑客潜入躲美联邦政府和私营部门网络利用的一家软件开发IT公司–在政府和私营机构都有使用。据《华盛顿邮报》(The Washington Post)报道，美国国务院就使用了SolarWinds软件并在漏洞中暴露了自己。 这一具体事件以前没有被报道过。 美国务院发言人在回应有关黑客攻击的问题时称：“国务院有认真履行保护信息安全的责任并不断采取措施确保信息受到保护。出于安全原因，我们目前无法讨论任何所谓网络安全事件的性质或范围。” 负责网络和新兴技术的副国家安全顾问Anne Neuberger在一份声明中指出，白宫对具体机构不予置评。 “去年有几家联邦机构遭到黑客攻击。作为政府SolarWinds审查的一部分，我们发现联邦机构在网络安全防御方面存在巨大漏洞。我们确定了五个具体的网络安全现代化领域、评估了针对这些领域的机构并正在实施一个‘重建更好’计划以迅速资助和推出这些技术进而弥补漏洞并使我们的网络安全方法更现代化，”Neuberger说道。 美国务院电子邮件被盗事件表明，被怀疑是俄罗斯黑客的人获得的美国政府资料比公众此前所知的要多。受影响的办事处负责处理跟北约、欧洲和印度-太平洋伙伴等美国盟友有关的问题。 这次黑客攻击引发了人们对美国国务院网络安全实践的质疑–这是10年内已知的疑似俄罗斯黑客攻入美国务院的电子邮件服务器的第二次。2015年，俄罗斯黑客成功侵入国务院的网络和白宫的电脑。新冠大流行五一加剧了这种风险，因为许多联邦雇员在不那么安全的系统上远程工作。 对此，俄罗斯大使馆发言人没有立即回应置评请求。           （消息来源：cnBeta；封面源自网络）

美联社报道称，美国土安全部门要员的电子邮件账户，亦受到了 SolarWinds 恶意软件活动的幕后黑手的影响。据悉，这批账户属于特朗普总统在 2019 年 11 月任命的代理国务卿 Chad Wolf，以及负责调查境外威胁的国土安全部官员。 早在 2020 年 12 月，FireEye 网络安全专家就曝光了波及甚广的 SolarWinds 黑客入侵事件，导致成千上万的企业和政府机构在部署恶意更新后被感染。 周一的报道称，疑似俄方黑客入侵了特朗普政府要员的电子邮件账户，而受害者本就负责着与之对抗的工作。 此外上月的消息称，除了百余家私营企业，SolarWinds 黑客还打击了包括国土安全部在内的至少 9 个联邦机构。 截止外媒发稿时，美国土安全部尚未就此事给出回应。不过美联社称，在事件曝光后的几天里，Char Wolf 等人就已经换成了支持加密聊天的软件服务来开展通信。           （消息来源：cnBeta；封面源自网络）

许多企业内部的Exchange服务器正在忙着打补丁，但微软警告说，调查发现，在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限，或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。 微软本周早些时候表示，已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而，网络安全公司F-Secure表示，已经有 “数万台”Exchange服务器被入侵。 在一篇新的博客文章中，微软重申了它的警告，即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动，例如人为操作的勒索软件攻击或数据外流，这表明攻击者可能正在建立和保留他们的访问权限，以便以后的潜在行动，”微软365 Defender威胁情报团队指出。 在系统被入侵的地方，微软敦促管理员实践最小特权原则，减轻网络上的横向移动。最低权限将有助于解决常见的做法，即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变，这可以为攻击者提供很大的优势，即使他们由于防病毒检测而失去了最初的Web Shell访问，因为该账户可以用于以后提升权限，”微软指出。 以DoejoCrypt勒索软件（又名DearCry）为例，微软指出，该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现，并且可能为攻击者提供了一条重新获得访问的途径，在那里感染已经被检测和删除。 “这个批处理文件会执行安全账户管理器（SAM）数据库以及系统和安全注册表蜂巢的备份，允许攻击者稍后访问系统上本地用户的密码，更关键的是，在注册表的LSA[本地安全]部分，那里存储着服务和计划任务的密码，”微软指出。 即使在受害者没有被勒索的情况下，攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前，Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说，受害者今天可能没有被勒索，但攻击者已经在网络上留下了明天动手的工具。 Exchange服务器面临的另一个网络犯罪威胁来自于恶意加密货币矿工。据观察，Lemon Duck加密货币僵尸网络就在利用脆弱的Exchange服务器。有趣的是，Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器，使其独占Exchange服务器的权限。微软还发现，服务器被用来安装其他恶意软件，而不仅仅是挖掘加密货币。 微软同时公布了大量的泄密指标，系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。           （消息及封面来源：cnBeta）

最近，我们发现了一些无法解压的D-Link路由器的固件样本。通过分析类似的更旧、更便宜的设备（DIR882），我们可以找到一种破解固件加密的方法，以防止篡改和静态分析。本系列文章重点介绍了编写自定义解密例程的结果和必要步骤，该例程也可用于其他模型，后续会对此进行更多介绍。 … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1523/           消息来源：Low-level adventures，译者：小江； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

早在 2018 年，安全研究人员就已经发现了后被命名为 Purple Fox 的 Rootkit 恶意软件，起初攻击者主要利用网络钓鱼电子邮件和漏洞利用工具包进行传播。然而 Guardicore 安全研究人员 Amit Serper 和 Ophir harpaz 在一篇博客文章中指出：在利用了一种全新的感染技术之后，该恶意软件已能够在 Windows 设备间更迅速地传播，且僵尸网络的规模也在不断增长。 研究人员指出，该恶意软件正在对使用弱密码和面向互联网的 Windows 计算机发起新一轮攻击。此外通过利用新的感染技术，其传播速度也得到了极大的增强。 具体说来是，该恶意软件通过针对服务器信息块（简称 SMB）来猜测 Windows 用户帐户的弱密码，进而使 Windows 与其它设备（例如打印机和文件服务器）进行通信和达成传播感染的目的。 一旦获得了易受攻击的计算机的访问权，Purple Fox 就会从将近 2000 台较旧且受感染的 Windows Web 服务器网络中，提取恶意负载并悄悄安装 Rootkit、让恶意软件持久锚定在计算机上，同时更加难以被发现、检测和删除。 研究人员指出，一旦被感染，该恶意软件就会关闭最初用于感染计算机的防火墙端口，这或许可阻止重复感染、或避免被其它攻击者入侵并劫持受害者的计算机。 之后，该恶意软件会生成一份 Internet 地址列表，扫描网络上具有弱密码的易受攻击的设备，以进一步感染和创建一个不断扩大的僵尸网络。 通常情况下，黑客会利用僵尸网络来发起 DDoS 攻击，但也可以用于散播恶意软件和垃圾邮件、或在受感染的计算机上部署加密劫持用户文件的勒索软件。 Guardicore 北美安全研究副总裁 Amit Serper 表示，由于自身传播的能力较强，蠕虫僵尸网络对受害者造成的风险也更大。相较于此前的网络钓鱼和漏洞利用工具包，蠕虫感染技术的“运营成本”也更低。 作为一种“机会主义”的攻击形式，它会不断扫描互联网并寻找更易受攻击的机器，意味着攻击者可以一劳永逸。 根据 Guardicore 的互联网传感器监测数据，自 2020 年 5 月以来，Purple Fox 的感染率已飙升 600%，且实际数量可能会更高（过去一年总计超狗 90000 感染）。             （消息及封面来源：cnBeta）