使用REvil（Sodinokibi）勒索软件勒索大型组织的网络罪犯瞄准未打补丁的Pulse Secure VPN服务器，并禁用防病毒软件。 安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补，否则将面临犯罪分子的“大规模”勒索软件攻击，这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。 上个月，在纳斯达克上市的美国数据中心提供商CyrusOne遭到REvil（Sodinokibi）勒索软件攻击，而去年夏天，美国的几个网络服务商、德克萨斯州的20多个地方政府机构以及400多个牙医诊所也相继遭到了网络攻击。 由于犯罪分子利用该勒索软件来加密关键业务系统，并要求巨额赎金解密，英国安全研究员凯文·博蒙特将REvil归为“big game”类别，该勒索软件病毒株于去年4月被发现，主要是使用Oracle WebLogic中的漏洞来感染系统。 去年10月，美国CISA、美国国家安全局联合英国国家网络安全中心发布的警告称：REvil瞄准的Pulse secure VPN服务器还未打补丁。此前有证据显示，政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN产品中的漏洞，由于该漏洞已被网络犯罪分子广泛使用，因而波及范围也越来越广。 凯文·博蒙特指出：由于该服务器允许远程攻击者在没有有效凭据的情况下连接公司网络，同时禁用多种形式的身份验证，在这样的情况下以纯文本的形式远程查看包括活动目录和账户密码在内的日志和缓存密码，导致Pulse Secure VPN 漏洞情况越来越糟糕。上周发生的两起漏洞事件都采用了类似的手段：通过访问网络来获取域管理控制，然后使用开源VNC远程访问软件来访问移动网络。 在这样的流程后，所有安全端口都会被禁用，REvil（Sodinokibi）勒索软件会通过PsExec渗透到Windows远程管理系统中。网络安全公司Bad Packets 1月4日扫描数据显示：仍有3825台Pulse secure VPN服务器漏洞还未被修补，其中去年10月警报中所提到的CVE-2019-11510漏洞就包含其中，而1300多个易受攻击的漏洞VPN服务器均位于美国。   消息来源：zdnet， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，Mozilla日前宣布，它计划在新的一年里在全球范围内遵守新的《加州消费者隐私法(CCPA)》，而不只是针对美国西部各州的用户。《CCPA》是一项给加州人更多隐私保护的新法律，类似于欧盟推行的《GDPR》。据悉，CCPA将于当地时间1月1日正式实行。 有了《CCPA》，加州的总检察长将可以加强隐私保护、那些在加州的人也可以起诉那些没有按照该法处理数据的公司。根据《CCPA》，加州用户可以询问公司收集了哪些个人信息、获得访问权限、更新和更正信息、删除信息、了解其跟谁共享这些信息并选择不向第三方出售这些信息等。 Mozilla在声明中指出，它已经收集的用户数据非常少，然而，在即将到来的更新中，Mozilla计划让用户能从Mozilla的服务器上删除他们的遥测数据。在Firefox中，遥测只能提供Mozilla一般信息，比如打开了多少个标签页、打开了多长时间，但其无法知道用户在浏览的具体网站也不会在用户处于私密浏览模式时收集任何数据。 等到1月7日的浏览器更新中，用户将能找到一个可以删除其遥测数据的控件。   （稿源：cnBeta，封面源自网络。）

外媒报道称，微软刚刚清理了由朝鲜网络黑客组织 APT37 运营的 50 个域名。软件巨头称，这些域名一直被 Thallium（亦称作 PT37）组织用于发动网络攻击。通过持续数月的关注、监视和追踪，该公司数字犯罪部门（DCU）和威胁情报中心（MSTIC）团队得以厘清 Thallium 的基础架构。 12 月 18 日，总部位于雷德蒙德的微软，在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久，美当局即批准了法院命令，允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。 此前，这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点，窃取凭证，从而获得对内部网络的访问权限，并执行后续针对内网的升级攻击。 微软表示，除了追踪该组织的网络攻击，该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示： “攻击主要集中在美、日、韩三国的目标，受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。 在诸多案例中，黑客的最终目标是感染受害机器，并引入 KimJongRAT 和 BabyShark 两个远程访问木马（RAT）。 Tom Burt 补充道：“一旦将恶意软件安装在受害者计算机删，它就会从中窃取信息，保持潜伏并等待进一步的指示”。 当然，这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。 此前，微软曾对有俄方背景的 Strontium（又名 APT28 或 Fancy Bear）黑客组织发起过 12 次行动（上一次是 2018 年 8 月）、并成功撤下了 84 个域名。 以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus（APT35）运营的 99 个域名。   （稿源：cnBeta，封面源自网络。）

据外媒报道，在美国政府封杀并被标记为网络安全威胁之后，TikTok（抖音国际版）现在韩国也面临着类似的问题，出于安全考虑，韩国地方当局宣布调查这款应用。日前， 韩国通信委员会(KCC)宣布对TikTok展开调查，此前自由韩国党众议员Song Hee-kyeoung曾在10月发布警告称，这家中国公司可能对个人信息处理不当。 Song指出，TikTok收集的某些用户信息可能会跟中国政府共享。 根据KoreaTimes的一份报告，TikTok在韩国拥有400万用户，不过目前韩国当局并没有对该应用或其母公司字节跳动(ByteDance)实施制裁。 字节跳动曾在最近的一份声明中表示，该应用必须在多国需要处理的法律问题并不意味着他们会把TikTok卖掉。 有知情人士在本月早些时候表示，字节跳动正在考虑出售TikTok的可能性，原因是越来越多的政府表达了对该应用存在的安全问题的担忧。 字节跳动尚未就韩国发起的调查发表声明。   （稿源：cnBeta，封面源自网络。）

马斯特里赫特大学（Maastricht University）成为了勒索软件的最新受害者，黑客于圣诞节前夕（12月23日）入侵并破坏了该大学的Windows系统。这家位于荷兰的大学在12月24日发布的公告中表示，几乎所有Windows系统都感染了勒索软件，电子邮件系统影响尤为严重。 在12月27日发布的后续更新中，该大学工作人员日夜不停地进行恢复工作。并解释称团队已经付出最大努力，希望最大程度地减少对教育、科研人员以及学生的影响。在公告中并未提及黑客部署的勒索软件类型，也不确定黑客是否已经获得了数据访问权限，并且在被勒索软件感染之前提取了相关信息。 在最初的公告中写道：“马斯特里赫特大学（UM）正在研究解决方案。UM正在调查网络攻击者是否有权访问此数据。目前尚不清楚UM需要多少时间来找到解决方案，但是，要使这些系统再次完全投入运行，肯定会需要一段时间。” 马斯特里赫特大学解释说，它已经向执法部门提交了一份报告，目前正在与专家合作进行进一步调查，并在袭击发生后进行康复。“自发现攻击以来，UM的IT人员以及该领域的外部专家一直在全力以赴。当前阶段主要是进行相关调查和维护工作。而且团队正在开发解决方案，确保大学未来能够收到更全面的保护，免受此类攻击。” 团队表示：“为了尽可能安全地工作，UM暂时将所有系统脱机处理。一切目的都是为了让学生和员工尽快（可能分阶段）访问系统。考虑到攻击的规模和程度，尚无法指出何时可以准确地做到。目前也无法确认哪些系统受到影响那些没有，这需要进一步的调查。”   （稿源：cnBeta，封面源自网络。）

近日腾讯刀锋（Tencent Blade）安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞，允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个，编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753，所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0（麦哲伦）是一组存在于SQLite的漏洞。它由Tencent Blade Team发现，并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中，因此该漏洞影响十分广泛。经测试，Chrome浏览器也受此漏洞影响，目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文，除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外，苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中，通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan（麦哲伦）”。根据SQLite的官方提交记录，麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞，攻击者可以在用户电脑上远程运行恶意代码，导致程序内存泄露或程序崩溃。 目前，Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时，Tencent Blade Team也提醒用户及时关注系统与软件更新通知，需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71，也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器，都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium，因此仍会受到影响。 另外，虽然并不支持Web SQL，但Firefox也会受到这个漏洞的影响，原因在于他们使用了可以在本地访问的SQLite数据库，因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议，使用Chromium系产品的团队，请尽快更新至官方稳定版本71.0.3578.80，如果使用产品中涉及SQLite，请更新到3.26.0. 另外，如暂时没有条件采用官方提供的修补方案，也有一些应急建议方案： 关闭SQLite中的fts3功能； 禁用WebSQL：编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范，目前仅有Chrome、Safari支持。 最后，验证方法：重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源：cnBeta，封面源自网络。）

每当备受期待的节目或电影上映甚至临近上映时，盗版内容就会开始泛滥。成千上万的人开始寻找免费在线观看最新内容的方法，而一些不良行为者总是很快就可以利用这一趋势。例如去年，恶意软件伪装成《权力的游戏》等剧集，该剧的种子资源病毒泛滥，占比高达17%。 由于剧集非常受欢迎，骗子借此机会将病毒和其他危险软件与伪造甚至真实的视频文件一起传播。 现在，似乎骗子再次利用了这些策略。在迪士尼发行《星球大战：天行者崛起》电影之后，似乎很多互联网用户已经成为“以星球大战为主题的恶意软件攻击的受害者”。据报道，卡巴斯基实验室在2019年发现了285103次这类攻击。 就其本身而言，这是一个惊人的数字，但据报道，最近，该公司在“ 30多个”网站和社交媒体帐户中发现了65个恶意软件“活动”。所有这些活动旨在针对希望免费下载最新《星球大战》电影的个人。对于更精通技术的用户而言，这些“活动”中的大多数显然都是可疑的，并且很容易避免。 但是，对于那些缺乏网络经验的人来说，很容易就可以从表面上获得这些太过真实的提议，这些人似乎经常成为此类陷阱的受害者。 在接下来的几周内，虚假的《星球大战》下载“活动”的数量可能只会增加，因此卡巴斯基建议用户保持警惕，并最好前往影院观看电影。另外，也可以等待其登陆官方流媒体或下载平台，例如Amazon，Disney +或其他平台。   (稿源：cnBeta，封面源自网络。）

据报道，由于担心网络安全问题，美国海军已禁止TikTok应用程序工作在由政府配发的移动设备之上。路透社周五报道，美国海军在本周初发布在Facebook页面上的军事人员公告中表示，那些未删除该短视频应用程序的人将被海军内部网络拒绝访问。 海军和TikTok都没有立即回应置评请求，但五角大楼发言人在接受路透社采访时说，该禁令是“解决现有威胁和新兴威胁”举措的一部分。 发言人说，该公告“确认了与使用TikTok应用程序相关的潜在风险，并指导员工采取适当措施以保护其个人信息。”但是，海军不会透露TikTok会带来什么危险的细节。 TikTok由总部位于北京的字节跳动（ByteDance）拥有，美国官员一段时间以来对中国科技公司的产品充满了担忧，称其可能会被用于间谍活动和其他威胁性活动。 路透社指出，在参议员查克·舒默（Chuck Schumer）对使用该应用程序的陆军招募工作表示担忧之后，上个月，美国陆军已先行禁止学员使用TikTok。   （稿源：cnBeta，封面源自网络。）

今天早些时候，推特（Twitter）面向所有Android端推特用户发送了一封电子邮件，在确认公司已经修复Android端APP存在的严重漏洞之外，有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中，推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用，在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施，推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码，从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道： 我们最近修复了存在于Android端Twitter应用中的一个漏洞，该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户（即发送推文或直接消息）。在修复之前，通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程，不良行为者可能已经可以访问来自Twitter应用程序的信息（例如，直接消息，受保护的推文，位置信息）。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞，但是目前我们无法百分百确认，因此我们需要格外的小心。   （稿源：cnBeta，封面源自网络。）

与WhatsApp和Skype相似，阿联酋用户消息传递应用程序ToTok对外宣称旨在连接任何人。但是，美国官员却发现该应用程序的目的邪恶。阿拉伯联合酋长国政府一直在利用这款名为ToTok的消息应用跟踪用户。包括但不限于数据挖掘文本对话，通过定位服务收集物理位置以及记录设备使用时的音频。 ToTok能够成为一个流行应用的吸引力在于它在限制了其他更受欢迎的消息服务的国家（如阿拉伯联合酋长国）中运行良好。在中东国家，许多公民无法使用诸如WhatsApp之类的流行消息传递应用程序。 ToTok可用于Android和苹果iOS设备，在中东，欧洲，亚洲，非洲以及最近在北美变得越来越流行。在发现安全隐患后，苹果和谷歌都已从其应用商店中删除了该应用。以前下载ToTok的用户仍然可以使用该应用程序，直到他们从手机上手动将其删除为止。 ToTok的用户群主要位于阿联酋。但是，在其推出的几个月再到从App Store和Google Play移除之前，它也已成为美国下载次数最多的社交应用之一。 据《纽约时报》报道，目前尚不清楚情报官员何时确定ToTok有跟踪用户和挖掘数据的操作。一位知情人士说，美国官员已在内部警告一些盟友有关运行ToTok的危险。   （稿源：cnBeta，封面源自网络。）