11月12日，网络安全研究人员披露了一种新型的模块化后门，该后门针对Oracle的销售点（POS）餐馆管理软件，以试图窃取存储在设备中的敏感支付信息。 这个被称为“ModPipe”的后门影响了Oracle MICROS餐厅企业系列（RES）3700 POS系统，这是一个在餐厅和酒店业中广泛使用的软件套件，可以有效地处理POS、库存和人工管理。大多数已经确定的目标主要位于美国。 ESET的研究人员在报告中说：“后门的与众不同之处在于它的可下载模块及其功能，因为它包含一个自定义算法，该算法通过从Windows注册表值中解密来收集RES 3700 POS数据库密码。” “经过筛选的凭据使ModPipe的操作者可以访问数据库内容，包括各种定义和配置，状态表以及有关POS交易的信息。” 值得注意的是，在RES 3700中，诸如信用卡号和有效期之类的详细信息受到加密屏障的保护，从而限制了可能被进一步滥用的有价值的信息量，尽管研究人员认为，攻击者可能拥有第二个可下载模块解密数据库的内容。 ModPipe基础结构由一个初始删除程序组成，该删除程序用于安装持久性加载程序，然后将其解压缩并加载下一阶段的有效负载，该有效负载是主要的恶意软件模块，用于与其他“downloadable”模块以及命令和控制（ C2）服务器建立通信。 可下载模块中的主要组件包括“GetMicInfo”，该组件可以使用特殊算法来拦截和解密数据库密码，ESET研究人员认为，可以通过对密码库进行反向工程或利用所获得的加密实现细节来实现该功能。 第二个模块为“ModScan 2.20”，用于收集有关已安装POS系统的额外信息（如版本、数据库服务器数据），而另一个模块名为“Proclist”，收集当前运行进程的详细信息。 研究人员表示:“ModPipe的架构、模块及其功能也表明，它的作者对目标RES 3700pos软件有广泛的了解。”“运营商的熟练可能源于多种情况，包括窃取和逆向工程专有软件产品，滥用泄露的部件，或从地下市场购买代码。” 建议使用RES 3700 POS的酒店企业升级到软件的最新版本，并使用运行底层操作系统更新版本的设备。     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

该活动被Blackberry研究人员称为“CostaRicto”，这场运动似乎是APT组织的杰作，他们拥有定制的恶意软件工具和复杂的VPN代理和SSH隧道。 研究人员表示，“CostaRicto的目标分散在欧洲、美洲、亚洲、澳大利亚和非洲的不同国家，但最大的集中似乎在南亚（特别是印度、孟加拉国、新加坡和中国），这表明攻击者可能驻扎在该地区。但是，他们从不同的客户那里获得了广泛的佣金。” 攻击者通过被盗凭证在目标环境中获得了立足之地后，便开始建立SSH隧道以下载后门和称为CostaBricks的有效负载加载器，该负载实现了C ++虚拟机机制来解码并将字节码有效负载注入内存。 除了DNS隧道管理命令与控制（C2）服务器，上述加载器提供的后门是一个名为SombRAT的c++编译可执行文件。 后门配备了50个不同的命令来执行特定任务（可分为core、taskman、config、storage、debug、network函数），从将恶意dll注入内存到枚举存储中的文件，再到将捕获的数据泄漏到攻击者控制的服务器。 总共已经确定了6个版本的SombRAT，第一个版本可以追溯到2019年10月，最新的版本在今年8月初观测到，这意味着后门正在积极开发中。 虽然攻击者的身份仍不清楚，但其中一个注册了后门域名的IP地址与早前一次网络钓鱼活动有关，该网络钓鱼活动是由与俄罗斯有关的APT28黑客组织发起的，暗示着网络钓鱼活动有可能被外包给代表攻击者的雇佣兵。 这是Blackberry发现的第二起黑客雇佣行动，第一起是由一个名为Bahamut的组织发起的一系列行动，他们利用零日漏洞、恶意软件和虚假信息来跟踪中东和南亚的目标。 Blackberry研究人员表示:“勒索软件即服务（RaaS）取得了不可否认的成功，因此网络犯罪市场扩大其业务范围，将专门的网络钓鱼和间谍活动添加到服务列表中也就不足为奇了。” “将攻击或攻击链的某些部分外包给独立的佣兵组织，对攻击者有很多好处——它可以节省自己的时间和资源，简化程序，最重要的是，它利于保护自己的真实身份。”       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究人员发现了针对巴西，拉丁美洲和欧洲金融机构的银行木马“Tetrade”，四个月后，调查表明，攻击者扩大了策略，利用间谍软件感染移动设备。 根据卡巴斯基的全球研究和分析团队（GReAT）的说法，总部位于巴西的威胁集团Guildma部署了“Ghimob”，这是一种Android银行木马，针对的是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所和加密货币的金融应用程序。 网络安全公司在报告中表示，“Ghimob是您一种成熟间谍：一旦感染完成，黑客就可以远程访问受感染的设备，用受害者的智能手机完成欺诈交易，从而避免被识别、金融机构采取的安全措施以及所有他们的反欺诈行为系统。” 除了共享与Guildma相同的基础结构外，Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制，从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。 该木马一旦安装在设备上，其功能与其他移动RAT十分相似，它通过隐藏应用程序中的图标来掩饰自己的存在，并滥用Android的辅助功能来获得持久性，禁用手动卸载并允许银行木马捕获击键信息，操纵屏幕内容并向攻击者提供完全的远程控制。 研究人员表示：“即使用户有适当的屏幕锁定模式，Ghimob也能够记录下来，然后再解锁设备。” “当攻击者准备执行交易时，他们可以插入黑屏作为覆盖或以全屏方式打开某些网站，因此当用户查看该屏幕时，攻击者通过受害者运行的金融应用程序在后台执行交易。” 此外，Ghimob的目标多达153个移动应用程序，其中112个是巴西的金融机构，其余的是德国，葡萄牙，秘鲁，巴拉圭，安哥拉和莫桑比克的加密货币和银行应用程序。 卡巴斯基研究人员总结说：“Ghimob是巴西第一家准备扩展并瞄准居住在其他国家的金融机构及其客户的移动银行木马。” “该木马可以从许多国家/地区窃取银行、金融科技、交易所、加密货币交易所和信用卡数据。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Palo Alto Networks安全专家在调查在Kuwait发生的对Microsoft Exchange服务器的网络攻击事件时，发现了两个前所未有的Powershell后门。 专家将这次网络攻击归因于xHunt（又名Hive0081），该黑客组织于2018年首次被发现。在最近的攻击活动中，黑客使用了两个新型后门，分别为“ TriFive”和“ Snugy”，后者是基于PowerShell后门（CASHY200）的变体。 专家分析：“ TriFive和Snugy后门是PowerShell脚本，它们使用不同的命令和控制（C2）通道与黑客进行通信，从而提供对受害Exchange服务器的访问。TriFive后门基于电子邮件，使用Exchange Web Services（EWS）在受感染电子邮件帐户的Deleted Items文件夹中创建草稿。”  “ Snugy后门使用DNS通道在受害服务器上运行命令。我们将概述这两个后门，因为它们不同于之前使用的工具。” 在发布报告时，专家们尚未确定该黑客如何访问Exchange服务器。 TriFive使用了来自目标组织的合法帐户名和凭据，这意味着该黑客已在部署后门程序之前窃取了帐户。黑客登录到相同的合法电子邮件帐户，并创建主题为“ 555s”的电子邮件草稿，其中包括加密和base64编码格式的命令。 通过将编码后的密文设置为电子邮件草稿的邮件正文，将电子邮件再次以“ 555s”为主题保存在“已删除邮件”文件夹中，后门会将命令结果发送回黑客。基于Snugy powerShell的后门使用DNS通道在受感染Exchange服务器上运行命令。 黑客利用Snugy后门来获取系统信息，运行命令并从受感染的服务器中窃取数据。 研究人员共享了危害指标（IoC），以允许管理员检查其环境是否受到威胁，xHunt黑客组织的活动仍在继续。       消息来源：securityaffairs；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Ghacks 报道称，Mozilla 已经发布了 Firefox Web 浏览器的最新稳定版本，与 Thunderbird 电子邮件客户端一样修复了一个严重的安全漏洞。首先是 Firefox 82.0.3 和 Firefox 78.4.1 长期支持版（ESR），Mozilla 推荐用户通过“帮助 -> 关于”菜单来手动执行更新检查，或直接下载最新版的安装包。 （截图 via Ghacks） Thunderbird 电子邮件客户端的用户，亦可通过“帮助 -> 关于”菜单来手动执行更新检查，或通过官网下载完整的更新安装包。 由 Firefox 82.0.3 和 Thunderbird 78.4.2 的发行说明可知，本次更新仅仅修复了 CVE-2020-26950 安全漏洞，问题在于未充分考虑 MCallGetProperty 操作码在某些情况下的写入副作用。 据悉，该漏洞是在 2020 年 11 月 7-8 日举办的《2020 天府杯国际网络安全大赛》（中国版的 Pwn2Own 竞赛）期间被披露的。 Mozilla 基金会的 2020-49 安全通报显示，已在新版浏览器和电子邮件客户端中被修复的这个安全问题，属于严重度最高的等级。 作为应对，Mozilla 迅速生成了一个补丁程序，来修复当前所有版本的 Firefox Web 浏览器和 Thunderbird 电子邮件客户端中的安全隐患。 至于 Firefox 的下一个稳定版本，仍定于 2020 年 11 月 17 日发布。       （消息及封面来源：cnBeta）

一场勒索软件攻击已经影响到了苹果组装合作伙伴仁宝公司，导致其企业网络出现问题，并可能导致部分客户的生产出现短期延误。周一，仁宝公司证实其在周日遭到了勒索软件的攻击。据悉，此次攻击对其计算机系统造成了严重破坏，但由于被发现得早，只瘫痪了整个网络的30%左右。 据ZDNet报道，在发现问题后，工人们被要求将他们的工作站的健康状况告诉仁宝的IT支持团队，并尽可能地备份任何重要文件。目前已经开展工作修复受影响的电脑，仁宝也提醒其他供应链供应商注意这个问题。 据信，该勒索软件是DoppelPaymer恶意软件的产物，由一个同名团伙创建，并具有典型勒索软件攻击的所有特征。这包括一张勒索纸条，告知被加密的文件，并要求与该团伙合作，否则将面临所有文件仍被加密。 尽管有报道称这是一次勒索软件攻击，但仁宝代表最初坚持认为根本没有勒索软件攻击。该代表向UDN表示，自动化办公系统出现异常，并强调没有受到勒索。该代表还声称生产正常，与向供应商发出的警告潜在短期问题的通知相悖。 目前还不清楚这是否会影响苹果，因为仁宝是组装MacBook Pro和MacBook Air产品线的主要合作伙伴。预计周二采用苹果处理器的iMac即将上市，对于苹果供应链来说，这很可能是一个忙碌的时刻，因为它要赶在年底前制造出第一台非英特尔Mac。     （消息及封面来源：cnBeta）

在对2020年9月Ryuk黑客网络攻击事件的调查中，我们发现Ryuk黑客使用了获得初始访问权限的新方法：一个名为Buer的恶意软件删除程序。10月，该网络攻击事件演变成更大规模的垃圾邮件活动，并携带Buer及其他类型的恶意软件。 Buer于2019年8月首次推出，它是一种恶意软件服务产品，可用于交付客户所需的软件包，对目标Windows PC进行攻击，并允许恶意活动建立数据阵地。Buer曾与银行木马攻击等恶意软件有所联系，而现在，它显然已经被勒索软件运营商所接受。在许多方面，Buer可以替代Emotet和Trickbot的Bazar装载系统（都使用类似的行为进行部署）。 … 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1393/       消息来源：Sophos，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，日前，FBI发出了一个安全警报，其警告威胁行为者正在滥用配置错误的SonarQube应用以访问并窃取美国政府机构和私人企业的源代码库。该机构在上个月发出并于本周在其网站上公布的一份警告中指出，这种类型的攻击事件至少从2020年4月就已经开始了。 该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用，各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。 SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。 但FBI表示，一些公司没有保护这些系统，它们使用的是默认的管理凭证(admin/admin)并在默认配置（端口9000）上运行。 FBI官员称，威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库，然后访问和窃取私有/敏感的应用。 FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。 网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告，但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。 当时，数据泄露猎人Bob Diachenko警告称，那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。 今年，瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉，Kottmann在一年的时间中通过一个公共门户网站收集了 为了防止这样的泄露，FBI的警告列出了公司可以采取的一系列保护措施，首先是改变应用的默认配置和凭证，然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。     （消息来源：cnBeta；封面来自于网络）

据外媒报道，巴西高等司法法院(STJ)遭遇重大网络攻击，将使其业务停顿整整一周。事件是在周二（3日）发现的，当时正有几个审判庭在进行。据STJ称，在法院的网络中发现了一种病毒，作为预防措施，与互联网的链接被切断，促使审判会议被取消。法院的所有系统，包括电子邮件以及电话系统也因此无法使用。 STJ部长Humberto Martins 5日就这一事件发表声明，称此次攻击并没有影响到正在进行的法院诉讼的相关信息。根据部长的说明，入侵利用加密技术阻止了数据的访问，但有备份。后来，它出现了攻击也影响了法院的备份，这被描述为巴西有史以来最严重的网络安全事件。 除了巴西陆军网络防御中心和STJ的技术供应商(包括微软等公司)，该机构目前正在利用磁带备份恢复系统环境。原本以虚拟方式进行的STJ会议也全部暂停。据该法院表示，在恢复专责小组进展期间，只处理紧急的案件工作，预计11月10日系统将恢复运行。 在STJ的要求下，联邦警方已经展开调查。巴西总统博索纳罗5日在直播中表示，网络攻击事件的始作俑者已经索要赎金，并且已经找到了事件的肇事者。但截至发稿时，尚未得到警方证实。 在STJ网络攻击事件发生之前，上周日有消息称，巴西国家司法委员会的服务器遭到 “未经授权的访问”。     （消息及封面来源：cnBeta）

俄罗斯网络犯罪分子因参与一个造成至少1亿美元经济损失的僵尸网络计划而被判入狱8年。 据悉，犯罪分子Aleksandr Brovko是“数个精英在线论坛的活跃成员，这些论坛旨在为讲俄语的网络犯罪分子收集和交换其犯罪工具和服务。”Brovko编写了能够解析来自僵尸网络来源的数据脚本，搜索了数据转储以盗取个人身份信息（PII）和帐户凭据。 美国司法部声称：“Brovko攻击了超过200,000台未经授权的个人识别信息或金融帐户访问设备。” 2007年到2019年，Brovko持续参与该网络攻击计划，并被美国高级地方法院TS Ellis III判处八年徒刑。     消息来源：zdnet；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。