澳大利亚的一个政府监察机构发现，澳大利亚的情报机构在该国的COVIDSafe接触者追踪应用推出的前六个月，“偶然 ”收集了数据。澳大利亚政府负责监督政府间谍和窃听机构的情报界监察长周一公布的报告称，该应用数据是在 “合法收集其他数据的过程中 ”被收集的。 但该监督机构表示，“没有证据”表明任何机构“解密、访问或使用任何COVID应用数据”。澳大利亚政府发言人告诉最先报道这一消息的一家媒体，偶然的收集也可能是 “执行手令 “的结果。报道没有说附带收集何时停止，但指出各机构正在 “采取积极措施确保遵守”法律，并将 “在切实可行的情况下尽快删除”这些数据，但没有确定日期。 对一些人来说，担心政府间谍机构能够获取COVID-19联系追踪数据是最坏的结果。 自COVID-19大流行开始以来，各国纷纷建立了接触者追踪应用程序，以帮助防止病毒的传播。但这些应用程序在功能和隐私方面差异很大。大多数都采用了对隐私更友好的方法，即使用蓝牙来追踪人们可能接触过的带有病毒的人。许多人选择实施苹果-谷歌系统，数百名学者支持该系统。但其他国家，比如以色列和巴基斯坦，则采用了更多侵犯隐私的技术，比如追踪位置数据，政府也可以利用这些数据来监控一个人的行踪。在以色列的案例中，这种追踪引起了很大的争议，以至于法院关闭了它。 澳大利亚的情报监督机构没有具体说明间谍机构收集了哪些数据。该应用使用蓝牙而非位置数据，但该应用要求用户上传一些个人信息–如姓名、年龄、邮政编码和电话号码–让政府卫生部门联系那些可能接触过感染者的人。 自疫情开始以来，澳大利亚已经出现了超过27800例新冠确诊病例，900多人死亡。       （消息来源：cnBeta；封面来自网络）

网络威胁情报（CTI）专员可通过跟踪地缘性紧张局势来深入了解对手行动。与刑事调查中的“遵循金钱”方法类似，查看冲突区域可以揭示相关网络功能。 上述理论得到了地缘政治紧张局势相关事件的验证： 俄罗斯黑客入侵导致的2015年和2016年的乌克兰电力事件、2017年的NotPetya事件以及至今的持续攻击活动。 阿拉伯/波斯湾地区的恶意软件和2017年的“封面”海卫/ TRISIS事件。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1408/         消息来源：domaintools，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

每当新游戏主机上市，除了玩家迫不及待入手游玩自己期待的游戏之外，摩拳擦掌的还有全球各地的技术大牛和黑客们，能够在第一时间攻破新主机的防线，完成主机软件系统到硬件的全方位的破解是对技术能力最好的证明。在PS5全球发售不足半月的今天，已经有团队取得了PS5破解的初步胜利。 近日，知名黑客组织BigBlueBox宣布成功Dump了两款PS5游戏镜像，这两款游戏其中包括上市初期销量最高的《漫威蜘蛛侠：迈尔斯·莫拉莱斯》，这款游戏Dump出的镜像文件达到49.78GB，另一款游戏是《过山车之星主机版》，容量11.8GB。 虽然PS5游戏在上市短短一周多就被成功Dump，不过就目前PS5的破解工作开展进度来说，游戏镜像完全没有办法派上用场。最早成功Dump出Switch游戏的组织也是BigBlueBox，距离通过破解手段运行这些游戏镜像则用了一年到两年多的时间。 值得一提的是，在被Dump出的PS5游戏镜像的nfo文件中，BigBlueBox还写下了两行以Mariko开头的密钥，疑似与续航版Switch和Lite的破解工作新进展有关。       （消息及封面来源：cnBeta）

谷歌的Project Zero团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷，并在公开披露前给他们90天的时间来修复。根据情况的严重程度，这一期限可能会根据该集团的标准准则被延长或拉近。 11月初，谷歌公开披露了GitHub中的一个 “高”严重性安全问题，此前后者无法在104天内修复–超过了标准时限。不过，GitHub用户现在会很高兴地知道，这个安全漏洞终于被填补了。 该安全漏洞源自GitHub Actions中的工作流命令，它作为执行动作和Action Runner之间的通信渠道极易受到注入攻击。谷歌Project Zero的Felix Wilhelm最初报告了这个安全漏洞，他表示工作流命令的实现方式 “从根本上来说是不安全的”。短期的解决方案是废止命令语法，而长期的修复方法是将工作流命令转移到一些外链通道，但这也很棘手，因为这会破坏依赖性代码。在GitHub未能在规定的104天内修复该问题后，谷歌于11月2日公开披露了该问题。 显然，这给该公司带来了一定的压力，目前该漏洞已经被修复。补丁说明显示，该修复方法与Wilhelm提出的短期解决方案一致。 停用add-path和set-env runner命令(#779) 更新了dotnet安装脚本(#779) 几天前，GitHub已经修复了这个问题，但现在已经被谷歌Project Zero团队验证，并在问题库中标记。这样一来，安全团队报告的公开问题清单就减少到了9个。其中包括微软、高通和苹果等众多厂商开发的软件。唯一存在于谷歌自家软件中的开放问题与Android上的指针泄露有关，但这一 “中等”严重性缺陷的状态自2016年9月以来一直处于开放状态。         （消息及封面来源：cnBeta）

实时自动化（RTA）499ES EtherNet/IP（ENIP）堆栈中存在一个严重漏洞，该漏洞可能会使工业控制系统受到远程攻击。 RTA的ENIP堆栈是广泛使用的工业自动化设备之一，被誉为“北美工厂I/O应用的标准”。 美国网络安全与基础设施局（CISA）在一份咨询报告中表示：“成功利用此漏洞可能造成拒绝服务，缓冲区溢出可能允许远程代码执行。” 到目前为止，尚未发现针对此漏洞的已知公开攻击。然而，“根据互联网连接设备的公共搜索引擎，目前有超过8000台与ENIP兼容的互联网设备。” 该漏洞编号为CVE-2020-25159，CVSS评分为9.8（满分10分），影响2.28之前版本的EtherNet/IP Adapter Source Code Stack。 安全公司Claroty的研究员Sharon Brizinov上个月向CISA披露了这个堆栈溢出漏洞。 RTA似乎早在2012年就从软件中删除了可攻击代码，但许多供应商可能在2012年更新之前就购买了该堆栈的易受攻击版本，并将其集成到自己的固件，从而使多台设备处于危险之中。 研究人员表示：“在六家供应商的产品中，有11种设备运行了RTA的ENIP堆栈。” 该漏洞本身涉及对通用工业协议（CIP）中使用的路径解析机制的不正确检查（CIP是一种用于组织和共享工业设备中的数据的通信协议），使得攻击者能够打开具有较大连接路径大小（大于32）的CIP请求，并导致解析器写入内存地址超出固定长度缓冲区，从而可能会导致任意代码执行。 RTA在披露中表示：“RTA设备中的旧代码试图通过限制EtherNet / IP转发打开请求中使用的特定缓冲区的大小来减少RAM的使用。” “通过限制RAM，攻击者有可能试图使缓冲区溢出，并利用它来控制设备。” Claroty的研究人员扫描了290个与ENIP兼容模块，其中来自6个不同供应商的11个设备被发现使用了RTA的ENIP堆栈。 Brizinov在分析中指出：“与先前的披露类似（例如Ripple20或Urgent / 11），这是另一个易受攻击的第三方核心库使工业控制系统供应商的产品面临风险的案例。” 我们建议用户更新到ENIP堆栈的当前版本，以减轻该漏洞带来的影响。CISA还建议用户最大程度地减少所有控制系统设备的网络暴露，确保不能从网络访问这些设备。 CISA表示： “将控制系统网络和远程设备放在防火墙后面，并将它们与业务网络隔离开。当需要远程访问时，使用安全方法，例如虚拟专用网（VPN）。但是VPN可能存在漏洞，应将其更新为可用的最新版本。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

vpnMentor研究人员发现了一个在线公开的ElasticSearch数据库，其中包含超过100.000个受感染Facebook帐户的信息。这些信息被恶意分子用作针对社交网络用户的全球黑客活动的一部分。 黑客使用被盗的登录凭据访问Facebook帐户并在帖子中分享垃圾邮件，链接到伪造的比特币交易平台，该平台曾欺诈至少250欧元的“存款”。 研究人员说：“通过提供虚假新闻网站的链接，黑客希望绕过并混淆Facebook检测工具。” “如果被黑客入侵的帐户一遍又一遍地发布与比特币骗局相同的链接，那么它们很快就会被禁止。” 黑客通过提供一种假装泄露谁在访问其个人资料的工具，诱使Facebook用户提供其帐户登录凭据。 档案包括电子邮件、姓名和电话号码等个人身份信息（PII）数据，专家们还发现了该欺诈活动中被雇用的数十个域。该档案还包括有关网络犯罪分子如何自动执行流程的技术信息。目前尚不清楚其他第三方是否访问或泄漏了公开的数据。档案大小超过5.5 GB，在今年6月至9月间保持打开状态。据专家称，至少有10万名Facebook用户数据被泄露。 vpnMentor指出Facebook帐户未遭到黑客攻击，该公开数据库属于第三方，使用该数据库处理通过一组针对Facebook用户的欺诈网站非法获取的帐户登录凭据。研究人员将情况发布至社交网络，并确认该数据库的真实性。 发现数据库的第二天，它很可能受到Meow攻击的攻击擦除了其数据，使数据库脱机。自7月以来，专家观察到数十个不安全的Elasticsearch和MongoDB实例在网上公开，它们被黑客莫名其妙地擦除。 “Facebook用户受害者，请立即更改您的登录凭据。”  “此外，如果您在其他任何帐户上重复使用了Facebook密码，请立即更改密码以防止黑客入侵。我们建议使用密码生成器创建唯一的强密码，并定期进行更改。”       消息来源：securityaffairs，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

视频会议软件厂商 Zoom 今天推出了一项新的功能，如果在线视频中可能因为 Zoombombing 攻击而存在被破坏风险，那么该功能就会向会议组织者发出提醒。这项功能名为“At-Risk Meeting Notifier”，在 Zoom 的后端服务器上运行，通过连续扫描社交媒体和其他公共站点上的公开帖子以查找和确认 Zoom 会议链接是否被泄漏。 如果 At-Risk Meeting Notifier 找到 Zoom 会议 URL 链接，那么就会自动向会议组织者发送电子邮件，并警告其他人可能会进入其会议室并可能打乱会议。这些中断类型称为 Zoombombing 或 Zoom raid，是指在没有收到邀请的情况下，擅自进入到某个 Zoom 会议中，并通过侮辱，播放色情内容或威胁其他参与者来破坏会议。 Zoombombing 事件通常是在一名参与者在社交媒体，Discord 频道或 Reddit 帖子上共享一个Zoom会议的链接（有时是其密码），要求其他人中断会议后发生的。       （消息来源：cnBeta；封面来自网络）  

网络安全研究人员揭秘了韩国一场新型供应链攻击，该攻击滥用合法安全软件和窃取的数字证书，在目标系统上分发远程管理工具（RAT）。 Slovak网络安全公司ESET将此次行动归咎于Lazarus集团，该集团也被称为“Hidden Cobra”。ESET表示，黑客利用了该国的强制要求，即互联网用户必须安装额外的安全软件。 虽然攻击范围有限，但它利用了WIZVERA VeraPort，该程序被宣传为“旨在整合和管理与互联网银行相关的安装程序的程序”，比如银行向个人和企业发放的数字证书，以确保所有交易和处理支付的安全。 这是韩国长期以来针对受害者的间谍攻击的最新进展，包括Operation Troy、2011年的DDoS攻击，以及过去十年针对银行机构和加密货币交易所的攻击。 除了使用上述安装安全软件的技术从合法但受到损害的网站传递恶意软件外，攻击者还使用非法获得的代码签名证书来签署恶意软件样本，其中一份发给了韩国一家名为Dream Security USA的安全公司在美国的分公司。 ESET研究人员PeterKálnai表示：“攻击者将Lazarus恶意软件样本伪装成合法软件。这些样本具有与韩国合法软件相似的文件名，图标和资源。”“被攻击的网站结合了WIZVERA VeraPort支持和特定的VeraPort配置选项，使得攻击者能够执行这种攻击。” ESET的研究人员指出，攻击者的目标是那些使用VeraPort的网站，这些网站还附带了一个base64编码的XML配置文件，其中包含要安装的软件列表及其相关下载URL。ESET的研究人员表示，攻击者通过损害一个合法的网站，然后用非法获得的代码签名证书签署交付有效载荷。 研究人员指出：“WIZVERA VeraPort配置包含一个选项，可以在执行之前对下载的二进制文件进行数字签名验证，并且在大多数情况下，这个选项是默认启用的。”“但是，VeraPort只验证数字签名是有效的，而不检查它属于谁。” 然后，二进制文件继续下载一个恶意软件卸载程序，该程序提取另外两个组件——加载器和下载器，后者被加载器注入到一个Windows进程中（“svchost.exe”）。下载器获取的最后阶段有效载荷采用RAT的形式，它带有允许恶意软件在受害者的文件系统上执行操作的命令，并从攻击者的武器库中下载和执行辅助工具。 更重要的是，此次行动似乎是另一场名为“Operation BookCodes”的攻击的延续，今年4月初韩国互联网与安全局（Korea Internet & Security Agency）详细描述了这一攻击，该攻击在TTPs和命令与控制（C2）基础设施上存在明显重叠。 研究人员表示，“攻击者对供应链攻击特别感兴趣，因为他们可以在同一时间秘密地在许多电脑上部署恶意软件。” “支持VeraPort的网站的所有者可以通过启用特定选项（例如在VeraPort配置中指定二进制文件的哈希值）来降低此类攻击的可能性，如果网站已经受到了攻击也可以采用这种方法。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

来自加利福尼亚大学和清华大学的一群学者发现了一系列严重的安全漏洞，这些漏洞可能导致DNS缓存中毒攻击死灰复燃。 这种技术被称为“SAD DNS攻击”（Side-channel AttackeD DNS的缩写），该技术使攻击者可以进行路径外攻击，将最初发往特定域的所有流量重新路由到其控制下的服务器，从而允许他们窃听和篡改通信。 研究人员表示：“这是一个重要的里程碑，这是第一个可武器化的网络侧通道攻击，具有严重的安全影响。”“这使攻击者可以将恶意DNS记录注入DNS缓存中。” 这一发现被追踪为CVE-2020-25705。该漏洞影响操作系统Linux 3.18-5.10，Windows Server 2019（版本1809）和更高版本，macOS 10.15和更高版本以及FreeBSD 12.1.0和更高版本。   DNS转发器成为新的攻击面 DNS解析器通常将对IP地址查询的响应缓存特定时间段，以提高网络中响应性能。但可以利用这种机制来毒化缓存，方法是为给定网站模拟IP地址DNS条目，并将尝试访问该网站的用户重定向到攻击者选择的其他站点。 但是，此类攻击的有效性受到了一定程度的影响，因为诸如DNSSEC（域名系统安全扩展）之类的协议通过在现有DNS记录中添加加密签名和允许DNS的基于随机化的防御来创建安全的域名系统解析程序为每个查询使用不同的源端口和事务ID（TxID）。   一种新颖的Side-Channel攻击 研究人员指出，由于“激励和兼容性”的原因，这两种缓解措施还远未得到广泛应用，因此他们设计了一种Side-Channel攻击，可以成功地用于最流行的DNS软件堆栈。所以，像Cloudflare的1.1.1.1和Google的8.8.8.8这样的公共DNS解析程序易受攻击。 SAD DNS攻击的工作原理是利用任何网络中的一台受损机器，该网络能够触发DNS转发器或解析器的请求，例如咖啡馆、购物中心或机场中由无线路由器管理的公共无线网络。 然后，它利用网络协议栈中的一个侧信道来扫描并发现哪些源端口用于启动DNS查询，随后通过暴力强制TxIDs注入大量伪造的DNS应答。 更具体地说，研究人员使用域名请求中使用的一个通道，通过向受害者服务器发送每个具有不同IP地址的伪造UDP数据包来缩小确切的源端口号，并根据收到的ICMP响应（或没有响应）来推断是否已命中正确的源端口。 这种端口扫描方法达到每秒1000个端口的扫描速度，累计需要60秒多一点的时间来枚举由65536个端口组成的整个端口范围。然后，攻击者所要做的就是插入一个恶意IP地址来重定向网站流量，并成功地完成DNS缓存中毒攻击。   减轻SAD DNS攻击 除了演示如何扩展攻击窗口（允许攻击者扫描更多端口并注入额外的恶意录来攻击DNS缓存）外，该研究还发现，互联网上超过34%的开放解析程序易受攻击，其中85%由流行的DNS服务（如Google和Cloudflare）组成。 为了应对SAD DNS，研究人员建议禁用传出的ICMP响应，并更积极地设置DNS查询的超时。 研究人员还提供了一种工具来检查容易受到此攻击的DNS服务器。此外，该小组与Linux内核安全团队合作开发了一个补丁，该补丁随机化ICMP全局速率限制，从而将噪声引入旁通道。 研究人员得出结论：“这项研究提出了一种基于全球ICMP速率限制的侧通道，所有现代操作系统都普遍采用这种限制。”“这可以有效扫描DNS查询中的UDP源端口。结合扩展攻击窗口的技术，可以导致DNS缓存中毒攻击死灰复燃。”       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

最新研究显示，今年9月初，针对运行Magento 1.x电子商务平台零售商的网络攻击是由一个攻击组织发起的。 RiskIQ在11月11日发表的一份报告中说：“这个组织实施了大量不同种类的Magecart攻击，这些攻击通常通过供应链攻击（如Adverline事件）或利用漏洞（如9月Magento 1事件）危害大量网站。” 这些攻击被统称为CardBleude，针对至少2806多家Magento 1.x的在线商店，这些商店在2020年6月30日已经停止使用。 Magecart是针对在线购物系统的不同黑客团体的联合体，在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart已实践过的作案手法。 其攻击被称为formjacking攻击，攻击者通常会在支付页面上偷偷将JavaScript代码插入到电子商务网站中，以实时捕获客户卡的详细信息并将其传输到远程攻击者控制的服务器。 但在最近几个月中，Magecart组织加大了攻击，他们将代码隐藏在图像元数据中，甚至进行了IDN同形攻击，以隐藏在网站的favicon文件中的网络浏览器。 Cardbleed（最初由Sansec记录）通过使用特定域与Magento管理面板进行交互，然后利用“Magento Connect”功能下载并安装一个名为“mysql.php”的恶意软件。在skimmer代码被添加到“prototype.js”后，它会自动删除。 现在，根据RiskIQ的说法，这些攻击具有Magecart group 12组织的所有特征。 此外，刚刚提到的skimmer是Ant和Cockroach在2019年8月首次观测到的skimmer的变体。 有趣的是，研究人员观察到的其中一个域名（myicons[.]net）也与5月份的另一个活动有关，在那个活动中，一个Magento favicon文件被用来把skimmer隐藏在支付页面上，并加载一个假的支付表单来窃取捕获的信息。 但就在恶意域名被识别时，Magecart group 12已经熟练地换入了新的域名，以继续进行攻击。 RiskIQ的研究人员表示:“自从Cardbleed行动被公开以来，攻击者已经重组了他们的基础设施。”“他们开始从ajaxcloudflare[.]com装载skimmer，并将渗透转移到最近注册的域console..in中。” RiskIQ威胁研究人员Jordan Herman表示，“升级到Magento 2是一种特别的缓解措施，尽管升级的成本可能会让较小的供应商望而却步。” 他补充说，“还有一家名为Mage One的公司也在继续支持和修补Magento 1。他们发布了一个补丁来缓解攻击者在10月底利用的特殊漏洞。所以，防止这类攻击的最好方法是让电子商店在其网站上运行完整的代码清单，这样他们就可以识别出软件的弃用版本，以及任何其他可能引发Magecart攻击的漏洞”。       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。