CNBC 报道称，对于具有官方背景的大规模黑客攻击事件，即将接任美国总统职务的乔·拜登已宣称将对此采取强硬的态度。此前一些针对美国政府机构或企业的黑客攻击报道，曾多次将矛头对向俄方。而拜登政府的最新表态，预示着美国将与盟友一道，让躲在暗处的敌人付出更大的代价。 拜登过渡小组在周四发表的一份声明中称，美方落实的防护措施还远远不够，且必须率先打乱和阻止对手发现的大型网络攻击。 作为应对，美方将在必要的措施之外，让恶意攻击发起者付出显著的代价，其中还包括与盟友开展协调合作。 我们的对手应该知道，美国总统不会对此类具有国家级背景的网络攻击事件袖手旁观。 周三晚间，美国联邦调查局、网络安全和基础设施安全局（CISA）、以及国家情报局局长办公室（ODNI）组成了三个负责调查网络攻击、保护美国免受网络威胁的领导机构。 除了就‘针对美国的重大且持续的网络安全形势’作出响应，联合司令部还在一份声明中指出 —— 形势仍处于发展阶段，但它已经对联邦政府的内部网络产生了影响。与此同时，我们需要继续努力了解事件的全貌。         （消息及封面来源：cnBeta）

攻击者总是在寻找一种方法来执行受害者机器上的文件，并且希望不被发现。一种方法是使用一种脚本语言。如果受害者的操作系统中没有内置的编译器或解释器，那么这种脚本语言就无法执行。Python、AutoIT和AutoHotkey（AHK）就属于这种脚本语言。特别是，AHK是一种面向Windows的开源脚本语言，旨在提供简单的键盘快捷方式或热键、快速的微创建以及软件自动化。AHK还允许用户使用代码创建一个compiled.EXE文件。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1432/         消息及封面来源：trendmicro，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

最新研究显示，越来越多的网络犯罪分子利用商品恶意软件和攻击工具，将部署勒索软件的任务外包给其附属机构。 Sophos发布的一项新分析表示，Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。 分支机构通常是负责在目标网络中获得初始立足点的攻击者。 Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说：“SystemBC是最近勒索软件攻击者工具中的常规部分。” “后门可以与其他脚本和恶意软件结合使用，以自动方式跨多个目标执行发现、过滤和横向移动。这些SystemBC功能最初是为大规模利用而设计的，但现在已被整合到针对性攻击的工具包——包括勒索软件。” 2019年8月，Proofpoint首次记录了SystemBC。它是一种代理恶意软件，它利用SOCKS5互联网协议屏蔽命令和控制（C2）服务器的流量并下载DanaBot银行木马。 此后，SystemBC RAT利用新特性扩展了工具集的范围，允许它使用Tor连接来加密和隐藏C2通信的目的地，从而为攻击者提供一个持久的后门来发起其他攻击。 研究人员指出，SystemBC已被用于许多勒索软件攻击中，通常与其他后攻击工具（如cobaltstake）一起使用，以利用其Tor代理和远程访问功能来解析和执行恶意shell命令、VBS脚本，以及服务器通过匿名连接发送的其他DLL blob。 另外，SystemBC似乎只是众多商品工具中的一个，这些工具最初是由于网络钓鱼邮件而被部署的。这些邮件会传递诸如Buer Loader、Zloader和Qbot之类的恶意软件加载程序，这使得研究人员怀疑这些攻击可能是由勒索软件攻击者的分支机构发起的，或者勒索软件攻击者本身通过多个恶意软件即服务发起的。 研究人员表示：“这些功能使攻击者能够使用打包的脚本和可执行文件进行发现、过滤和横向移动，而无需动用键盘。” 商品恶意软件的兴起也表明了一种新的趋势，即勒索软件作为服务提供给附属公司，就像MountLocker那样，攻击者向附属公司提供双重勒索能力，以便以最小的代价分发勒索软件。 Gallagher表示：“在勒索软件即服务攻击中使用多种工具会产生越来越多样化的攻击模式，IT安全团队更难预测和应对。深入防御、员工培训和以人为基础的威胁搜索对于检测和阻止此类攻击至关重要。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

一种新的蠕虫僵尸网络通过GitHub和Pastebin传播，在目标系统上安装加密货币矿工和后门，并扩展了攻击web应用程序、IP摄像机和路由器的能力。 上个月初，Juniper威胁实验室的研究人员记录了一个名为“Gitpaste-12”的加密挖掘活动，该活动使用GitHub来托管包含多达12个已知攻击模块的恶意代码，这些代码通过从Pastebin URL下载的命令执行。 这些攻击发生在2020年10月15日开始的12天中，而Pastebin URL和存储库于2020年10月30日被关闭。 现在，根据Juniper的说法，第二波攻击始于11月10日，使用的是来自不同GitHub存储库的有效负载，其中包括一个Linux加密矿工（ls）、一个包含暴力尝试密码列表的文件（pass），以及一个针对x86_64 Linux系统的本地权限提升漏洞。 最初的感染是通过X10-unix（一种用Go编程语言编写的二进制文件），然后从GitHub下载下一阶段的有效负载。 Juniper的研究员Asher Langton指出，“该蠕虫针对web应用程序、IP摄像头、路由器等进行了一系列广泛的攻击，涉及至少31个已知漏洞（其中7个漏洞在之前的Gitspaste-12示例中也出现过），试图破坏开放的Android Debug Bridge连接和现有恶意软件后门。” 31个漏洞中包括F5 BIG-IP流量管理用户界面（CVE-2020-5902）、Pi-hole Web（CVE-2020-8816）、Tenda AC15 AC1900（CVE-2020-10987）、vBulletin（CVE-2020-17496），以及FUEL CMS（CVE-2020-17463），这些漏洞都是今年曝光的。 值得注意的是，今年10月，人们观察到Mirai僵尸网络的新变种Ttint利用包括CVE-2020-10987在内的两个Tenda路由器零日漏洞，传播能够执行拒绝服务攻击、执行恶意命令、实现远程访问的反向shell的远程访问木马（RAT）。 除了在机器上安装X10-unix和Monero加密挖掘软件外，该恶意软件还打开了监听端口30004和30006的后门，将受害者的外部IP地址上传到私有的Pastebin，并试图连接到5555端口上的Android Debug Bridge连接。 连接成功后，它继续下载Android APK文件（“weixin.apk”），最终安装了一个ARM CPU版本的X10-unix。 据Juniper估计，总共至少有100个不同的宿主被发现传播这种感染。 完整的恶意二进制文件和其他与活动相关的危害指标（IOC）可以在这里访问。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

一伙为不法分子提供攻击工具的黑客找到了一种非常巧妙的方法，能够绕过目标网络的多因素身份验证（MFA）系统。根据安全公司 Volexity 本周一发布的博文，他们在 2019 年年末和 2020 年年初发现了这些攻击者的踪迹，并不少于 3 次利用该方法潜入某些机构内部。 在一次入侵期间，Volexity 的研究人员注意到黑客使用一种新颖技术绕过了 Duo 提供的 MFA 保护。在受感染的网络上获得管理员特权后，黑客使用这些不受束缚的权限从运行 Outlook Web App 的服务器上窃取了名为 akey （企业为各种网络服务提供帐号身份验证）的 Duo 机密。 然后，黑客使用 akey 生成 cookies。因此，当拥有正确用户名和密码的用户登录之后，黑客就能通过 cookies 接管账户。Volexity 认为该方法是由黑客集团  Dark Halo 提供的。研究人员 Damien Cash，Matthew Meltzer，Sean Koessel，Steven Adair 和 Thomas Lancaster 写道： “在 Volexity 对 Dark Halo 的第二次调查进入尾声的时候，研究人员观察到黑客通过 Outlook Web App 访问了用户的电子邮件账户。出于某些原因，这是完全意外的，最重要的原因是目标邮箱是受到 MFA 保护的。 来自Exchange服务器的日志显示，攻击者提供的用户名和密码身份验证正常，但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明，未尝试登录到该帐户。 Volexity能够确认不涉及会话劫持，并且通过OWA服务器的内存转储，还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。 Volexity对这一事件的调查确定，攻击者已从OWA服务器访问了Duo集成密钥（akey）。然后，该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后，服务器评估了duo-sid cookie并确定其有效。 这使攻击者知道用户帐户和密码，然后完全绕过帐户上设置的MFA。此事件强调了确保与密钥集成关联的所有机密（例如与MFA提供者的机密）在发生泄露后应进行更改的必要性。此外，重要的是，不仅要在违规后更改密码，而且不要将密码设置为与以前的密码类似的内容（例如，Summer2020！vs Spring2020！或SillyGoo $ e3 vs SillyGoo $ e2）。”         （消息及封面来源：cnBeta）

针对近期涌现的疑似具有国家级技术和资源背景的黑客攻击，微软其实已经在 2020 版《数字防御报告》中有所预料。虽然截止目前，微软尚未在相关调查中发现自家产品或云服务有漏洞被利用，但该公司还是在一篇博客文章中发出了提醒，希望客户能够采取切实有效重要步骤，以防其成为此类网络攻击的受害者。 微软在文中列出了恶意代理开展复杂网络攻击的一些技术细节，比如通过 SolarWinds Orion 产品中的恶意代码实施入侵。若被攻击者得逞，后续黑客可能以此为跳板，在网络中获得更高的权限。 其次，攻击者或利用本地窃取的管理员权限，获得对机构内受信任 SAML 签名证书的访问权限。然后通过伪造 SAML 令牌，假扮组织内任何现有用户的账户，甚至染指特权较高的账户。 为应对此类异常登录，建议客户在网络系统上进行适当的安全配置，以区分访问本地或云端任何资源的可信证书。由于 SAML 令牌使用了自签名证书，组织内很可能会忽视掉这部分异常。 利用上述或其它技术获得了搞特权账户的访问权限之后，攻击者还可将自己的登录凭证添加到现有的应用程序服务主体中，从而使之获得相关应用程序的权限调用 API 。 至于 COVID-19 大流行期间的完整事件分析、以及社区对网络安全的态度等问题，微软将在完整版的 2020 数字防御报告中进行阐述。       （消息及封面来源：cnBeta）

在周四发布的联合安全警报中，美国网络基础设施安全局及联邦调查局表示：针对美国K-12教育的勒索软件网络攻击的数量有所增加，这些网络攻击活动通常会导致数据泄露和远程学习的中断。 警报写道：“截至2020年12月，FBI、CISA和MS-ISAC持续收到来自K-12教育机构的网络攻击报告。” “黑客可能将学校视为攻击目标，预计这类攻击将持续到2020/2021学年。” 勒索软件攻击 CISA和FBI表示：“ 针对K-12教育机构的今年所有网络攻击中，勒索软件一直是最重大的威胁。MS-ISAC数据显示2020学年开始之际，针对K-12教育的勒索软件事件的百分比有所增加。”他们说：“在8月和9月，MS-ISAC已知的勒索软件事件中有57％针对K-12教育，而从1月到7月，针对K12教育的网络攻击占比只有28％。” 该数字与Emsisoft最新报告一致  ，该公司还注意到2020年第三季度针对教育行业的勒索软件攻击激增。 根据两家机构收到的报告，今年针对美国K-12的五个最活跃的勒索软件组织是Ryuk、Maze、Nefilim、AKO和Sodinokibi / REvil。 这五个都是勒索软件操作，它们已知运行“泄漏站点”，通常在这些泄漏站点上从没有付款的受害者中转储数据，这也存在将学生数据在线发布的危险。 商品性恶意软件 但是，勒索软件攻击的增加并不是本学年K-12教育机构面临的唯一问题。CISA和FBI表示，商品性质的恶意软件已在美国网络攻击中流行。 恶意软件的变种是偶然性的，因为它们不仅影响教育机构，还影响其他组织。 在K-12网络攻击上最常见的恶意软件感染中，ZeuS（Zloader）木马（Windows）和Shlayer loader（macOS）在感染排行榜上名列前茅。 我们不应轻视这种恶意软件，因为这些威胁通常演变成更大的网络攻击，需要立即加以解决。 DDOS攻击和视频会议中断 除了恶意软件之外，美国网络基础设施安全局及联邦调查局还警告K-12教育机构要注意其他形式的网络攻击：包括DDoS攻击和实时视频会议中断（也称为“ 缩放轰炸”）。 随着学校IT系统现在需要满负荷工作以保持学校资源正常运行，DDoS攻击已成为最受欢迎的攻击媒介，用于勒索学校以牟取收益或学生逃课。 这两点由卡巴斯基 在今年早些时候指出，针对教育机构的DDoS攻击数量在美国乃至全世界都大量增加。 自2020年3月以来，视频会议中断一直是学校面临的问题。 警报中也包含应对措施，受害组织可以采用这些对策预防今年以来最常见的威胁。       消息及封面来源：zdnet；译者：小江 本文由 HackerNews.cc 翻译整理 转载请注明“转自 HackerNews.cc ”   

据英国卫报报道，黑客组织Darkside把勒索获得的0.88比特币捐给了Children International和Water Project两家慈善机构，价值1万美元。捐款后，Darkside在暗网公布了得到捐款的这两家慈善机构的收据。根据法律，慈善机构不得保留犯罪收益捐款，但因捐赠加密算法导致捐款无法退回，机构因此陷入尴尬境地。 Children International表示:“如果这笔捐款跟黑客有关，我们将无意保留。” 但Darkside发出警告称:这笔钱是通过加密算法mixer发送的，模糊了比特币的真正发送者和接收者，故无法退回。 资料显示，网络犯罪组织Darkside主要开发勒索软件，通过给电脑加密，借此向大公司勒索牟利。 据了解，这些慈善捐款是Darkside怪异的品牌宣传活动的一部分，其目的是将自己塑造成不同于普通罪犯的形象。该组织表示，根据他们的原则，其不会攻击医院、学校、政府或慈善机构，勒索只针对盈利的大公司进行，如果要求得不到满足，他们就会在网上泄露大公司的数据。             （消息来源：cnBeta；封面来自网络）

据外媒报道，一位神秘的黑客利用网络攻击强行打开了位于莫斯科的2732个快递寄存柜的门。据悉，这次袭击发生在当地时间12月4日周五下午，目标是当地快递服务公司PickPoint的网络。该公司在莫斯科和圣彼得堡持有8000多个包裹寄存柜的网络。 据了解，俄罗斯人可以在网上订购商品并选择将他们的任何订单送到一个PickPoint储物柜，而非他们的家庭住址。一旦包裹送达，用户就会收到一封电子邮件或手机通知，然后他们就可以使用PickPoint应用来领取他们的订单。 然而，这个允许用户打开储物柜并取回他们的包裹的系统在周五遭到了攻击。 视频链接：https://v.youku.com/v_show/id_XNDk5ODQ1MzEwMA==.html?refer=shipinyunPC_operation.liuliling_bofangqi_1244000_fQZ7Fj_18101900 一名神秘的黑客利用一种尚未识别的漏洞强行打开了PickPoint 1/3的储物柜，进而使得莫斯科各地数千个包裹暴露在失窃的危险之下。 遭攻击的原因尚未查明，但PickPoint在周末发布的新闻稿中称，它已通知了相关部门。 这家俄罗斯公司表示，他们目前正在努力恢复在攻击中受损的网络。 目前还不清楚包裹是否有包裹被从储物柜盗走。根据社交媒体上的帖子，保安和房东在周五迅速介入从而阻止被盗事件的发生。 正如PickPoint在周六的一份新闻稿中强调的那样，这似乎是“全球首次针对邮寄网关网络的针对性网络攻击”。       （消息及封面来源：cnBeta）

在安全性问题上，苹果公司一直走在前列。人在德国的黑客、安全研究专家Jeffrey Paul日前更新博客文章，并详细介绍了对搭载T2安全芯片和M1处理器MacBook的新发现，简单来说，你无法在离线状态下对设备进行重置恢复。 他提到这意味着这些Mac对于某些场景将不再适用，比如气隙系统。 至于具体的原理是，不管你出于何种原因想要重置电脑（遭遇病毒、遭遇死机卡顿、想要卖二手等），T2和M1处理器中的安全单元也需要同步重置，而其重置的前提是拿到苹果下发的一个密钥凭证。 该密钥凭证针对绑定了Apple ID的特定硬件，需要联网从苹果服务器免费获取。这是因为，T2运行了名为BridgeOS的安全子系统，其权限和优先级高于macOS，M1处理器同样。 Paul提到几点担忧，首先是如果想要用M1做孤岛式的网络连接或者安全部署，那已经不可能。其次是，如若苹果服务器在某些国家和地区遭到限制，重置Mac变成天方夜谭。         （消息来源：cnBeta；封面来源于网络）