据Bleeping Computer 9月12日消息，网络黑客正利用新型浏览器网络钓鱼技术——Browser In The Bopwser(BITB)，在游戏平台Steam窃取用户账户。 BITB是一种正逐步流行的攻击手法，主要是在活动窗口中创建伪造的登录页面，通常为用户所要登录服务的弹出页。 今年3月，Bleeping Computer 曾报道过由安全研究员 mr.d0x创建的这种新网络钓鱼工具包，该工具包可以让攻击者为 Steam、Microsoft、Google 和任何其他服务创建虚假登录表单。该项目的初中主要是服务于攻防中的红底人员。 9月12日，由 Group-IB发布的关于此类攻击的研究报告中说明了BITB攻击针对Steam用户的钓鱼过程，并出售这些账户的访问权限。这些目标账户通常价值不菲，大多在 100000 美元到 300000 美元之间。 以锦标赛为诱饵 钓鱼的第一步，是在Steam上向受害目标发送加入英雄联盟、CS、Dota 2 或 PUBG 锦标赛团队的邀请，受害者若点击邀请中的链接，就会被带往一个赞助和举办电子竞技比赛组织的网站，该网站实质上是一个钓鱼站点，受害者会被要求使用Steam账号登录加入团队，但登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口，而是在当前页面中创建的虚假窗口，因此很难将其识别为网络钓鱼攻击。 显示为游戏锦标赛平台的钓鱼页面 钓鱼登录页面甚至支持27个国家的语言，能自动从受害者的浏览器偏好中检测语言设置并加载相应的语言。一旦受害者输入他们的Steam账户凭证，一个新产生的表单会提示输入 2FA 代码，如果身份验证成功，用户将被重定向到 C2 指定的 URL，通常会是一个合法地址，以最大限度地减少受害者意识到这是网络钓鱼的可能性。 此时，受害者的凭证已被盗并已发送给攻击者。在类似的攻击中，攻击者为尽快控制窃取的 Steam 帐户，会立即更改密码和电子邮件地址，使受害者很难重新索回账户。 如何发现BITB攻击？ 在所有BITB网络钓鱼案例中，网络钓鱼窗口中的 URL 都是合法的，其本质是一个渲染窗口，而非浏览器窗口。该窗口甚至允许用户拖动、将其最小化、最大化或者关闭，因此很难将其识别为这是一个在浏览器中生成的虚假浏览器窗口。 由于该技术需要 JavaScript，因此阻止 JS 脚本是有效的预防措施之一，但这一操作有时会妨碍许多正常网站的一些功能。最主要的是应当警惕在Steam等平台上收到的陌生消息，避免点击未知的链接。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344356.html 封面来源于网络，如有侵权请联系删除

互联网上充满了高度敏感的数据。一般来说，复杂的加密技术可以保证这些材料无法被截获和读取。然而，在未来，高性能的量子计算机可以在几秒钟内破解这些密钥。而幸运的是，量子力学方法不仅提供了新的、快得多的算法，而且还提供了非常有效的可以与之对抗的密码学。 量子密钥分发 (QKD) 可以安全地抵御对通信通道的攻击，但不能抵御对设备本身的攻击或操纵。这是因为设备可能会输出一个制造商之前保存的密钥，并可能传递给黑客。与设备无关的QKD（缩写为DIQKD）则是一个不同的概念。加密协议不受设备的影响。这项技术自20世纪90年代起就在理论上为人所知，但它刚刚由慕尼黑路德维希-马克西米利安大学的物理学家哈拉尔德·温弗特和新加坡国立大学的查尔斯·林领导的一个国际研究小组在实验上实现。 交换量子力学密钥的方法有很多。发射器向接收器发送光信号，或者采用纠缠的量子系统。科学家们在目前的实验中采用了两个量子力学纠缠的铷原子，在LMU校园内相隔400米的两个实验室里。这两个设施由一条700米长的光缆连接，光缆从主楼前的Geschwister Scholl广场下穿过。 为了创造纠缠，科学家们首先用一个激光脉冲刺激每个原子。在这之后，原子自发地回到它们的基态，每个原子都释放出一个光子。由于角动量守恒，原子的自旋与它所发射的光子的偏振相纠缠。这两个光粒子通过光缆到达一个接收站，在那里对光子的综合测量显示了原子量子记忆纠缠。 为了交换密钥，Alice与Bob–这通常被密码学家称为两方测量他们各自原子的量子状态。在每种情况下，这是在两个或四个方向上随机进行的。如果方向一致，测量结果就会因纠缠而相同，并可用于生成密匙。对于其他测量结果，可以评估一个所谓的贝尔不等式。物理学家约翰·斯图尔特·贝尔最初提出这些不等式是为了测试自然界是否可以用隐藏的变量来描述。 “事实证明，它不能，”温弗特说。 在DIQKD中，该测试被用来”专门确保在设备上没有任何操作–也就是说，例如，隐藏的测量结果没有被事先保存在设备中，”温弗特解释说。 与早期的方法相比，由新加坡国立大学的研究人员开发的实施的协议使用两个测量设置来生成密钥，而不是一个。林说：”通过引入密钥生成的额外设置，截获信息变得更加困难，因此该协议可以容忍更多的噪音，甚至对于质量较差的纠缠状态也能生成密匙。” 相比之下，用传统的QKD方法，只有在所使用的量子设备被充分表征的情况下才能保证安全性。”因此，这种协议的用户必须依赖QKD供应商提供的规格，并相信设备在密钥分发期间不会切换到另一种工作模式，”Tim van Leent解释说，他是与Zhang Weo和Kai Redeker一起撰写该论文的四位主要作者之一。”至少十年前就已经知道，老式的QKD设备很容易从外部被入侵。” 温弗特解释说：”用我们的方法，我们现在可以用未定性的、可能不值得信赖的设备生成秘钥。” 事实上，他最初对该实验是否会成功也有怀疑。但他的团队证明了他的疑虑是没有根据的，并大大改善了实验的质量。除了LMU和NUS之间的合作项目，牛津大学的另一个研究小组也展示了独立于设备的密钥分配。为了做到这一点，研究人员在同一个实验室里使用了一个由两个纠缠的离子组成的系统。 “这两个项目为未来的量子网络奠定了基础，在这种网络中，远距离的通信是可能的，”查尔斯·林说。 研究人员下一个目标之一是扩大该系统，纳入几个纠缠的原子对。这将允许产生更多的纠缠状态，从而提高数据速率，最终提高密钥的安全性。 此外，研究人员还希望能增加范围。在目前的装置中，它受到实验室之间的光纤中大约一半的光子损失的限制。在其他实验中，研究人员能够将光子的波长转化为适合电信的低损耗区域。通过这种方式，只需一点额外的噪音，他们就能将量子网络的连接范围增加到33公里。 转自 CnBeta，原文链接：https://www.cnbeta.com/articles/tech/1315045.htm 封面来源于网络，如有侵权请联系删除

据《澳大利亚金融评论报》网站12日报道，在过去的一年里，由于黑客袭击增多和索赔激增，澳大利亚的网络安全保费出现大幅上涨。据全球保险经纪公司达信保险经纪有限公司说，过去3年来，平均每年用于网络安全的保费翻了一番。另一家经纪公司霍南集团指出，保费在过去12个月里上涨了80%，而前两年每年的涨幅均为20%。 报道称，保费涨价的主要原因是：与勒索软件相关的索赔数量和金额有所增加。犯罪分子利用恶意软件禁止人们访问某个组织的计算机系统，直到对方支付赎金。 报道指出，过去几年，澳大利亚的网络攻击数量也急剧增加。 澳大利亚网络安全中心去年收到了逾67500份网络犯罪报告，同比增加约13%。据信网络攻击的真实数量还要多得多。在这其中，约有一半被归为重大事故。 报道称，考虑到公司声誉问题，企业通常不愿公开承认其支付赎金以重新拿回网络控制权。但一项调查发现，80%的受访企业领袖说，如果遭到后果极其严重的网络攻击，他们愿意支付赎金。 转自 CnBeta，原文链接：https://www.cnbeta.com/articles/tech/1315153.htm 封面来源于网络，如有侵权请联系删除

Cisco Talos发现Lazarus 集团在今年的一波攻击，主要锁定VMware Horizon环境中含有Log4Shell漏洞的能源业者。Lazarus 此前曾被美国网络安全和基础设施安全局 (CISA)归咎于朝鲜政府。 在于Java纪录框架Apache Log4j中的Log4Shell漏洞（CVE-2021-44228），持续成为黑客入侵组织的起始点，朝鲜黑客集团Lazarus 从今年2月到7月间，锁定了VMware Horizon中修补该漏洞的美国、加拿大与日本的能源供应商并展开攻击，并在这些组织的系统内植入其它恶意程序。 据悉，思科曾评估这些攻击是由朝鲜国家支持的威胁组织 Lazarus Group 发起的。在Cisco Talos调查中，确定了威胁参与者使用的三种不同的 RAT，包括由 Lazarus 独家开发和分发的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近发布了报告（VSingle、YamaBot），详细描述了它们并将这些活动归因于 Lazarus 威胁参与者。 2021年11月被公布的Log4Shell为一任意程序执行漏洞，其CVSS风险等级高达10，大约有20个Apache专案受到Log4Shell漏洞的影响，而因为采用Log4j或相关专案而受到波及的商业服务则不计其数，安永会计师事务所（Ernest & Young）曾估计93%的云端环境都存在风险，而VMware的虚拟桌面及程序管理平台VMware Horizon也是众多受害者之一。 Cisco Talos指出，Lazarus把VMware产品中的Log4Shell漏洞当作进入企业网络的初步通道，继之再部署该集团所开发的恶意程序，以常驻于受害网络上，目的是为了窃取这些组织的机密资讯与智慧财产，以进行间谍活动或是支持朝鲜政府的目标。由于VMware Horizon是以管理权限执行，使得黑客完全不必担心权限问题，并在进入受害网络之后，关闭系统的防毒软件。 在这波攻击被锁定的加拿大、美国与日本能源供应商的攻击活动中，Lazarus集团使用了3种客制化恶意程序，其中的两款是已知的VSingle与YamaBot，以及新的MagicRAT。 VSingle早在去年3月就被公开，它是个HTTP机器人，能与远端的C&C伺服器通讯，以自远端执行任意程序，或是下载与执行外挂程序；YamaBot则是个以Golang撰写的恶意程序，原本锁定Linux平台，但亦有支援Windows的版本，两个版本皆允许黑客自远端执行命令，至于新发现的MagicRAT使用与VSingle及YamaBot不同的C&C伺服器，功能亦是用来维系黑客对系统的存取能力。 网络安全专家建议，在部署涉及Log4Shell的软件漏洞时，最好先确定现有的漏洞尚未被黑客开采，再进行软件更新，否则也许早就遭客黑渗透而不自知。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/GuqwiHVZMa_dVt4Q8GiLTQ 封面来源于网络，如有侵权请联系删除

根据 Statista 发布的预估报告，全球游戏市场在 2025 年预估会达到 2688 亿美元。这也让游戏行业成为黑客重点攻击的目标，让数十亿玩家处于他们的阴影中。作为最畅销的视频游戏之一，Minecraft 自然成为了不少恶意黑客执行攻击的诱饵。 根据端点安全供应商和消费者 IT 安全软件公司卡巴斯基的一份新报告，Mojang Studios 开发的热门沙盒游戏《我的世界》（Minecraft）在黑客使用最多的游戏。 《我的世界》经常被黑客用来向全球不同用户投放恶意软件。具体来说，该公司表示，从 2021 年 7 月到 2022 年 6 月，共计发现了存在恶意诱饵的 23239 个游戏文件，影响了 131005 名用户。卡巴斯基指出，虽然在手游领域使用《我的世界》作为诱饵的恶意文件数量有所下降，但它仍然排在首位，分发了 2406 个。 卡巴斯基在 Minecraft 之后列出了另外 9 款游戏，这些游戏在分发的相关恶意文件数量方面：FIFA (10,776), Roblox (8,903), Far Cry (8,736), Call of Duty (8,319), Need for Speed (7,569), Grand Theft Auto (7,125), Valorant (5,426), The Sims (5,005)以及CS:GO (4,790). 根据卡巴斯基安全解决方案，根据他们从这些游戏中观察到的文件，下载程序是分发的第一大恶意软件和不需要的软件，在研究期间占案例的 88.56%。这确实是一个巨大的数字，尽管安全公司表示“这种类型的未经请求的软件本身可能并不危险……它可用于将其他威胁加载到设备上”。 使用热门游戏传播的其他类型威胁包括非病毒：AdWare (4.19%)、Trojan (2.99%)、DangerousObject (0.86%)、Trojan-SMS (0.49%)、Trojan-Downloader (0.48%) , not-a-virus:WebToolbar (0.47%), not-a-virus:RiskTool (0.45%), Exploit (0.34%) 和 Trojan-Spy (0.29%)。尽管这类威胁的比例很小，但对于受影响的人来说，捕捉它们可能是一个巨大的问题。例如，特洛伊木马威胁可能会破坏、窃取或对个人数据或网络造成其他有害行为。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313435.htm 封面来源于网络，如有侵权请联系删除

在日媒发现“亲俄罗斯”的黑客组织KillNet 6日宣布对日本政府网站实施网络攻击后，共同社最新消息称，东京地铁公司和大阪地铁公司的网站也于当地时间7日晚无法访问，“这似乎是日本遭受网络攻击的第二天”。 共同社报道截图 共同社称，黑客组织Killnet7日18时30分左右在即时通讯应用Telegram上写道，它已经向日本“反俄运动”宣战，还上传了一段视频；大约在当天19时过后不久，该组织再次发帖称将瘫痪东京的地铁网络。为此报道称，这些攻击可能正是由Killnet发起的。 报道还称，最近的一次中断似乎是由另一次DDoS攻击引起的，在此次攻击中，黑客在短时间内从多个来源发送大量数据，使网络不堪重负。 此前一天，日本广播协会（NHK）等日媒7日报道称，黑客组织KillNet6日下午在社交媒体上宣布，对日本政府网站实施网络攻击，并称该组织“走在与日本军国主义对抗的道路上”。随后，由日本数字厅管理的行政信息网站“e-Gov”等多个网站陷入不稳定状态。对于KillNet声称发起网络攻击，日本内阁官房长官松野博一7日表示，日本政府部门网站的网络“中断的原因，包括它(与Killnet)的联系，正在确认过程中”，此外，他还表示，这些网站已恢复正常运行，有关数据泄露问题暂无法证实。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313811.htm 封面来源于网络，如有侵权请联系删除

9月3日，韩国政府的官方YouTube频道遭到黑客入侵，黑客们利用该频道推广一个加密货币骗局，并使用了特斯拉CEO埃隆-马斯克的形象。黑客将韩国政府频道的名称改为“SpaceX Invest”，以假装与马斯克旗下的太空探索技术公司（SpaceX）有关。 黑客们还发布了几段采访视频，其中包括马斯克谈到加密货币的采访视频片段。不过，韩国政府很快发现了黑客攻击，并在试图确定漏洞来源的同时将账户暂停了4小时。 负责管理政府YouTube帐户的韩国文化和旅游部发言人表示，政府正在与谷歌韩国公司合作，以确定黑客是如何进行攻击的，但怀疑该频道的 ID和密码可能已被泄露或被盗。 这不是韩国政府过去一周遭遇的唯一一次黑客攻击，就在上周四，韩国旅游发展局运营的YouTube频道遭受了为期两天的攻击，最终导致该频道无限期暂停。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312855.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 意大利石油巨头埃尼公司（Eni）披露了一个安全漏洞，黑客获得了访问其网络的权限，但据该公司称，入侵造成的后果很小，因为它很快就被发现了。 该公司向意大利当局报告了这一事件，意大利当局展开调查，以确定攻击的范围。 Bloomberg News周三首次报道了此次攻击的消息，推测埃尼集团似乎遭到勒索软件的攻击。 “埃尼集团证实，内部保护系统最近几天检测到对公司网络未经授权的访问。”公司发言人在回应Bloomberg News的询问时表示。 如果没有有关攻击的技术细节，目前无法确定攻击者是如何入侵公司的和他们的动机是什么，并将入侵归因于特定的黑客。 知情人士称，埃尼似乎受到了勒索软件攻击。勒索软件是一种恶意软件，它会锁定计算机并阻止对文件的访问以代替付款。目前尚不清楚谁会对这次违规行为负责。 意大利能源部门似乎受到攻击，上周末，意大利能源机构Gestore dei Servizi Energetici SpA遭到网络攻击。GSE是经营意大利电力市场的政府机构。 GSE的网站仍处于关闭状态，知情人士告诉Bloomberg News，该公司的基础设施遭到破坏，影响了该机构的运营。 破坏公用事业和其他关键基础设施运营商的一个主要风险是，他们的IT系统遭到黑客攻击可能会导致向终端用户提供电力、水和其他服务的操作系统中断，即使黑客从未真正接触过这些敏感设备。去年，总部位于乔治亚州的Alpharetta Colonial Pipeline Co.，在勒索软件攻击使其IT系统瘫痪后，关闭了美国最大的燃料管道。今年2月，总部位于德国汉堡的石油贸易商Mabanaft表示，它是网络攻击的受害者，该攻击中断了德国各地的燃油供应。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在2022年3月至6月期间，多达三个不同但相关的活动被发现将各种恶意软件（包括 ModernLoader、RedLine Stealer和加密货币矿工）发送到受感染系统上。 Cisco Talos研究员Vanja Svajcer在与The Hacker News分享的一份报告中说：“攻击者使用PowerShell、.NET程序集、HTA和VBS文件在目标网络中传播，最终丢弃其他恶意软件，例如SystemBC特洛伊木马和DCRat，以实现其操作的各个阶段。” 该恶意植入程序名为ModernLoader，旨在为攻击者提供对受害者计算机的远程控制，从而使攻击者能够部署额外的恶意软件、窃取敏感信息，甚至使计算机陷入僵尸网络。 Cisco Talos将感染归因于一名以前没有记录但会说俄语的黑客，理由是使用了现成的工具。潜在目标包括保加利亚、波兰、匈牙利和俄罗斯的东欧用户。 这家网络安全公司发现的感染链涉及试图破坏易受攻击的网络应用程序（WordPress和CPanel），通过假冒亚马逊礼品卡的文件传播恶意软件。 第一阶段有效负载是一个HTML应用程序（HTA）文件，它运行托管在命令和控制（C2）服务器上的PowerShell脚本，以启动临时有效负载的部署，最终使用称为进程空心化的技术注入恶意软件。 ModernLoader（又名Avatar bot）被描述为一种简单的.NET远程访问木马，它具有收集系统信息、执行任意命令或从C2服务器下载并运行文件的功能，允许攻击者实时更改模块时间。 Cisco的调查还发现了2022年3月的两个早期活动，其作案手法相似，利用ModerLoader作为主要的恶意软件C2通信，并提供其他恶意软件，包括XMRig、RedLine Stealer、SystemBC、DCRat和Discord令牌窃取程序等。 Svajcer说：“这些活动描绘了一个尝试不同技术的黑客，使用现成的工具表明，攻击者了解成功的恶意软件活动所需的TTP，但他们的技术技能还不足以完全开发自己的工具。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer网站8月30日消息，威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动，该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。 该恶意软件由 Golang 编写，Golang 因其跨平台的特性（Windows、Linux、Mac）以及对逆向工程和分析的强抵抗力而越发得到网络犯罪分子的青睐。在 Securonix 的研究人员最近发现的活动中，攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的有效负载。 感染链 感染始于一封带有“Geos-Rates.docx”恶意文档的网络钓鱼电子邮件，该文档会下载模板文件，其中包含一个经过混淆的 VBS 宏，如果在 Office 套件中启用了宏，该宏会自动执行。之后，该代码从一个远程资源（“xmlschemeformat[.]com”）下载 JPG 图片（“OxB36F8GEEC634.jpg”），使用 certutil.exe 将其解码为可执行文件（“msdllupdate.exe”）并启动。 以图像查看器（左）和文本编辑器（右）打开图片文件 在图像查看器中，这是一张由 NASA 的詹姆斯韦伯望远镜于 2022 年 7 月发布的星系团 SMACS 0723图片，若使用文本编辑器打开，则会显示伪装成内含证书的额外内容，其本质是Base64编码的恶意有效载荷。有效载荷的字符串使用ROT25进一步混淆，而二进制文件使用XOR来隐藏Golang程序集，以防止分析人员发现。除此之外，这些程序集还使用了案例修改来避免安全工具基于签名的检测。 根据动态恶意软件分析推断出的情况，该可执行程序通过复制到’%localappdata%%microsoft\vault\’并添加一个新的注册表键来实现持久性，之后便与命令和控制（C2）服务器建立了DNS连接，并发送加密查询。C2可通过设置连接请求之间的时间间隔、更改nslookup超时或通过Windows cmd.exe工具发出执行命令来响应恶意软件。 在测试过程中，Securonix观察到攻击者在其测试系统上运行任意的枚举命令，这是一个标准侦察步骤的第一步。研究人员指出，用于该活动的域名注册时间较新，最早的注册时间是 2022 年 5 月 29 日。 Securonix 提供了一组危害指标 (IoC)，其中包括基于网络和主机的指标。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343382.html 封面来源于网络，如有侵权请联系删除