分类: 安全快讯

戴尔、惠普和联想的设备使用过时的 OpenSSL 版本

Binarly 研究人员发现,戴尔、惠普和联想的设备仍在使用过时版本的 OpenSSL 加密库。 OpenSSL软件库允许通过计算机网络进行安全通信,能够有效防止窃听。OpenSSL包含开源的安全套接字协议(SSL)和传输层安全(TLS)协议,研究人员通过分析上述制造商使用的设备的固件图像时发现了问题所在。 专家们分析了作为任何UEFI固件所必要的核心框架之一EDKII,该框架在CryptoPkg组件中的OpenSSL库(OpensslLib)上有自己的子模块和包装器。EDK II 是一个现代化、功能丰富的跨平台固件开发环境,适用于 UEFI 和 UEFI 平台初始化 (PI) 规范。EDKII的主要存储库托管在Github上,并经常更新。但专家们在分析这些厂商的设备时,发现在其固件镜像中使用过时版本的OpenSSL:0.9.8zb、1.0.0a 和 1.0.2j,其中最新的 OpenSSL 版本早在2018 年就已发布。专家们甚至还在部分设备中发现了 更早的、来自2009 年发布的 0.9.8l 版本。 戴尔、惠普和联想部分设备中的 OpenSSL版本 Binarly Platform 在野外检测到的戴尔、惠普和联想设备中 不同OpenSSL 版本占比 Binarly 发布的报告表示,许多与安全相关的固件模块包含明显过时的 OpenSSL 版本。其中一些像 InfineonTpmUpdateDxe 包含的代码早在8年前就已成为易受攻击的“不安全代码”。 专家指出,同一个设备固件代码往往依赖不同版本的OpenSSL。 选择这种设计的原因是第三方代码的供应链依赖于其自己的代码库,而设备固件开发人员通常无法使用这些代码库,这通常会增加供应链的复杂性,带来潜在的安全风险。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350909.html 封面来源于网络,如有侵权请联系删除

Koxic 勒索软件在韩国传播

据悉,Koxic勒索软件正在韩国境内传播。它在今年早些时候首次被发现,最近该团队发现,一个外观和内部勒索笔记都经过修改的文件被检测到,并被ASD基础设施屏蔽。 当感染时,“.KOXIC_[Random string]”扩展名将添加到加密文件的名称中,并在每个目录中生成TXT文件勒索通知。 最近收集的勒索信与BlueCrab(Sodinokibi,REvil)勒索软件的勒索笔记相似,该勒索软件曾在韩国发行。 BlueCrab有自己的网站,并指定用户应该通过TOR浏览器访问它。与BlueCrab相反,Koxic勒索软件通过电子邮件指导联系。 在过去收集的Koxic勒索软件样本中,有些样本的勒索笔记完全不同,有些则与BlueCrab格式几乎相同。但这两个勒索软件之间似乎没有直接联系,因为它们的代码没有相似之处。 另外需要注意的是,部分名称被故意更改以隐藏UPX包装。这种技术被称为UPX技巧,是一种常用的方法,用UPX打包的文件被修改以阻碍分析或绕过AV软件的自动解包。   更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/2027/ 消息来源:ASEC,封面来自网络,译者:Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Twitter 遭黑客攻击泄露 540 万户数据,影响比想象中严重

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码,预计影响到多达540多万用户。据悉,这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。 威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月,一份发表在Hacker上的报告声称发现了一个漏洞,攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户,即使用户在隐私选项中选择了防止这种情况。 该漏洞允许任何一方在没有任何认证的情况下,通过提交电话号码/电子邮件获得任何用户的twitter ID(这几乎等同于获得一个账户的用户名),即使用户在隐私设置中已经禁止了这一行为。该漏洞的存在是由于Twitter的安卓客户端所使用的授权程序,特别是在检查Twitter账户的重复性的程序。 zhirinovskiy通过漏洞赏金平台HackerOne提交的报告中读到了这样的描述。这是一个严重的威胁,因为人们不仅可以通过电子邮件/电话号码找到那些被限制了能力的用户,而且任何具有基本脚本/编码知识的攻击者都可以枚举一大块之前无法枚举的Twitter用户群(创建一个具有电话/电子邮件到用户名连接的数据库)。这样的数据库可以卖给恶意的一方,用于广告目的,或者用于在不同的恶意活动中给名人打标签。 卖家声称,该数据库包含从名人到公司的用户数据(即电子邮件、电话号码),卖家还以csv文件的形式分享了一份数据样本。 8月,Twitter证实,数据泄露是由研究人员zhirinovskiy通过漏洞赏金平台HackerOne提交的现已修补的零日漏洞造成的,他获得了5040美元的赏金。 据悉,这个错误是由2021年6月对我们的代码进行更新导致的。当我们得知此事时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。 本周,网站9to5mac.com声称,数据泄露的内容比该公司最初报告的要多。该网站报告说,多个威胁者利用了同一个漏洞,网络犯罪地下的数据有不同的来源。去年Twitter的一次大规模数据泄露,暴露了500多万个电话号码和电子邮件地址,比最初报告的情况更糟糕。我们已经看到证据表明,同一个安全漏洞被多人利用,而被黑的数据已经被几个来源提供给暗网出售。 9to5Mac的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性。消息人士告诉该网站,该数据库 “只是他们看到的一些文件中的一个”。似乎受影响的账户只是那些在2021年底启用了 “可发现性|电话选项(在Twitter的设置中很难找到)”的账户。 9to5Mac看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据。专家们推测,多个威胁者可以进入Twitter数据库,并将其与其他安全漏洞的数据相结合。 账号@chadloder(Twitter在消息披露后)背后的安全研究员告诉9to5Mac.电子邮件-Twitter配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的”。该研究人员告诉该网站,他们将与Twitter联系以征求意见,但整个媒体关系团队都离开了该公司。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/_WiUXUxnzepgCuaiq9gCkA 封面来源于网络,如有侵权请联系删除

他们假装应聘偷偷潜入电商公司,目的竟是窃取物流信息

11月、12月是电商狂欢季,随之而来的是大批快递到货。你可知道,客户的物流信息可是香饽饽,总有坏人盯着!否则怎么客户刚下单不久,就接到了诈骗电话。 今年“双十一”以来,浙江慈溪网警大队接到多家电商公司报警,客户刚在网店下单,随后就接到诈骗电话,引发许多客户不满。 电商公司百思不得其解——明明按正常流程发的货,怎么骗子就知道了我们平台的发货信息呢? 慈溪网警对受害网店的电脑进行勘查,发现部分连接打印机的电脑中被植入了不明木马软件。顺线循迹深挖,民警最终确定了犯罪嫌疑人。 慈溪警方果断出击,抓获了一个专门入室安装木马软件盗取打印信息的团伙,而背后的利益链条令人咋舌。 经查,犯罪嫌疑人蒙某和吴某拥有一定技术水平,此前通过境外聊天软件进行交流,购买木马软件。随后,他们在慈溪电商聚集地撒网,通过应聘等方式,寻找可以下手的电商公司。 深夜,他们秘密潜入电商公司,他们从不偷盗,只是在电商公司的办公电脑上安装木马软件,在他们眼中,海量的客户信息远比实物本身更有价值。 这些木马软件已被设置成自动将秘密窃取的客户信息上传到境外服务器,上家一旦通过木马软件获取打印的客户信息,便会支付高额的佣金。 为了赚取佣金,早在“双十一”购物节前夕,犯罪嫌疑人蒙某和吴某就连续多次作案,在慈溪6家电商公司里的电脑上安装了木马软件。 截至案发,他们非法获取物流信息3000余条,目前两名犯罪嫌疑人均已被依法采取刑事强制措施。 网警提醒 电商运营者需严格审核打单人员的资质,加强公司内部的网络安全知识培训,办公电脑务必密码锁屏,谨防客户信息在不知不觉中被窃取。 转自 安全内参,原文链接:https://www.secrss.com/articles/49375 封面来源于网络,如有侵权请联系删除

微软发布带外更新,紧急修复补丁引发的 Kerberos 问题

微软发现最近的一个Windows 补丁可导致 Kerberos 认证问题后,发布带外安全更新。 11月补丁星期二,微软修复了影响 Windows Server 的提权漏洞CVE-2022-37966。该高危漏洞可导致能够收集目标系统信息的攻击者获得管理员权限。 微软在安全公告中指出,“未认证攻击者可执行攻击,利用RFC 4757和MS-PAC中的加密协议漏洞,绕过Windows AD 环境中的安全特性。” 然而,就在补丁发布几天后,用户开始抱怨Kerberos认证问题。微软快速行动并在几天后提供了缓解措施。11月17日,微软发布带外更新。 微软告知客户称,“尚未安装11月8日发布的安全更新的客户,应当安装该带外更新。已经安装Windows安全补丁且遇到问题的客户,应当安装该带外更新。” 虽然CVE-2022-37966并未遭在野利用且并未公开披露,不过微软仍然给出“更可能利用”的评级。 转自 安全内参,原文链接:https://www.secrss.com/articles/49306 封面来源于网络,如有侵权请联系删除

研究人员警告说,思科安全电子邮件网关很容易被绕过

Hackernews 编译,转载请注明出处: 一位研究人员揭示了如何绕过思科安全电子邮件网关设备中的一些过滤器,并使用特制的电子邮件发送恶意软件。 研究人员在完整披露邮件列表中写道:“本报告是在协调的披露程序内发布的。研究人员一直与供应商保持联系,但在规定的时间范围内没有收到满意的答复。由于攻击复杂度较低,而且第三方已经发布了漏洞攻击,因此在公开线程方面不能再有任何推迟。” 研究人员解释说,利用电子邮件客户端的容错能力和不同的MIME解码能力,远程攻击者可以绕过思科安全电子邮件网关。 研究人员披露的方法可能会让攻击者绕过思科安全电子邮件网关,他们可以针对Outlook、Thunderbird、Mutt和Vivaldi等多个电子邮件客户端。 这三种方法是: 方法1:Cloaked Base 64-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法会影响多个电子邮件客户端,包括Microsoft Outlook for Microsoft 365 MSO(版本2210 Build 16.0.15726.20070)64位、Mozilla Thunderbird 91.11.0(64位)、Vivaldi 5.5.2805.42(64位)、Mutt 2.1.4-1ubuntu1.1等。 方法2:yEnc编码-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Mozilla Thunderbird 91.11.0(64位)电子邮件客户端。 方法3:隐藏引用的可打印文件-已使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Vivaldi 5.5.2805.42(64位)和Mutt 2.1.4-1ubuntu1.1电子邮件客户端。 思科发布了一份错误报告,警告思科安全邮件网关的Sophos和McAfee扫描引擎存在一个问题,该问题可能允许未经身份验证的远程攻击者绕过特定的过滤功能。 报告中写道:“这个问题是由于对潜在恶意电子邮件或附件的识别不当。攻击者可以利用这个漏洞,通过受影响的设备发送带有格式错误的内容类型标头(MIME类型)的恶意电子邮件,从而绕过基于受影响的扫描引擎的默认反恶意软件过滤功能,并成功将恶意消息传递给最终客户端。” 这些漏洞会影响使用默认配置运行的设备。 研究人员解释说,使用攻击方法的代码,以及许多操纵MIME编码的类似技术,都是在一个开源工具包中实现的,该工具包可以在GitHub上生成和测试错误的MIME。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Meta 删除与亲美相关的虚假 Facebook 和 Instagram 账户

Hackernews 编译,转载请注明出处: Meta平台周二表示,它在Facebook和Instagram上关闭了一个由美国军方相关人员操作的账户和页面网络,这些账户和页面在中东和中亚传播对美国有利的描述。 该网络起源于美国,主要针对阿富汗、阿尔及利亚、伊朗、伊拉克、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、索马里、叙利亚、塔吉克斯坦、乌兹别克斯坦和也门。 这家社交媒体巨头表示,活动背后的个人冒充了他们所针对的社区,用阿拉伯语、波斯语和俄语传播内容,提出了与美国加强军事合作的主题,并批评了伊朗、中国和俄罗斯。 Meta在其《对抗威胁季度报告》中表示,这些叙述涵盖了“俄罗斯入侵乌克兰、中国对待维吾尔族人民、伊朗在中东的影响力,以及俄罗斯和中国对阿富汗塔利班政权的支持”。 该公司补充道,与新冠肺炎相关的内容也被发布,其中一些内容因违反其虚假信息政策而被删除。 这些虚假账户可能还使用了生成对抗网络(GANs)等机器学习技术创建的个人资料照片,并在美国东部标准时间(EST)而不是在目标国家的工作时间发布。 在Instagram上,多达39个Facebook账户、16个Pages、2个Groups和26个Instagram账户被发现参与了协调的不真实行为。该行动进一步扩展到其他平台,如Twitter、YouTube、Telegram、VKontakte和Odnoklassniki。 然而,这些努力似乎基本上没有成功。Meta表示:“此次行动的大部分帖子几乎没有来自真实社区的参与。” 今年8月初,当Graphika和斯坦福互联网观察组织的研究人员发现使用多种社交媒体服务来宣传亲西方的叙事时,有关该运动的细节首次被曝光。 近两个月前,Meta解散了来自中国和俄罗斯的两个独立集群,因为这些集群的信息业务试图操纵平台上的公共言论。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

勒索软件组织控制加拿大城镇 Westmount 以索取赎金

邪恶的LockBit 3.0网络犯罪组织声称对加拿大魁北克小城Westmount(韦斯特芒特)的勒索软件攻击负责,该攻击导致Westmount的市政服务停止并关闭了员工电子邮件帐户,勒索者要求该市在12月4日之前支付一笔未公开数字的赎金。通过电话联Westmount市长,21日下午晚些时候,在得知袭击事件发生24小时后,仍然没有具体信息可以传达。市长和信息技术部门都无法确定黑客是否真的能够窃取公民或员工的信息。 Westmount是魁北克西南部一个拥有近21,000名居民的城市,周一(21日)最初报告称,由于不明原因的计算机中断,该市的电子邮件服务无法使用。后来,该市证实此次中断还影响了其他市政服务,并且源于有针对性的网络攻击。 该市网站上公告称电子邮件系统停服 “不幸的是,网络攻击在我们的社会中变得越来越普遍和复杂,尽管我们采取了所有措施,但公共行政部门并不能完全免受这一悲惨现实的影响,”Westmount市长克里斯蒂娜史密斯在一份声明中说。“我想向所有Westmount市民保证,我们的团队正在认真和勤奋地工作以应对这种情况,我们会随时通知居民。” Westmount市在政府网站上发布的消息 该市没有对攻击的范围发表评论,但表示已聘请一家网络安全公司进行调查并尽快恢复其系统。为了从袭击中恢复过来,Westmount得到了魁北克市政联合会的帮助。该组织委托VARS(Raymond Chabot Grant Thornton 的子公司)支持该市。 魁北克当地数字新闻机构La Presse援引该市IT主管Claude Vallières的话说,“我们知道我们有服务器被加密,但不知道是谁攻击了我们。我们仍在调查受感染的服务器,但我们没有与任何人进行过任何沟通。”最早发现异常的,是一名员工在周日(20日)早上报告了一台电脑的问题。作为预防措施,随后关闭了几台机器,”Claude Vallières 说。“我们将努力阻止感染。他的团队花了一整天的时间进行调查。 LockBit 3.0勒索软件组织声称对此次攻击负责,并表示已成功下载14TB的敏感数据。作为勒索软件即服务组织运营的LockBit 示,如果在接下来的两周内未支付赎金,它将公布被盗数据。 这条给Westmount的消息发布在LockBit暗网博客网站上。(来源:ISMG) LockBit勒索软件团伙以2021年针对埃森哲的勒索软件攻击而闻名,在进行了两个月的Beta测试并为道德黑客提供漏洞赏金以检查解密代码后,于2022年6月推出了LockBit 3.0恶意软件。 LockBit运营者发布了显示不同部门文件和其他数据的屏幕截图作为他们索赔的证据,但信息安全媒体集团无法立即联系市政当局并确认文件的真实性。 此次攻击发生在加拿大网络安全中心发布新的《2023-2024年国家网络威胁评估》之后。该报告中关键发现的第一条就是:勒索软件是对加拿大组织的持续威胁。网络犯罪仍然是最有可能影响加拿大人和加拿大组织的网络威胁活动。由于其对组织运作能力的影响,勒索软件几乎可以肯定是加拿大人面临的最具破坏性的网络犯罪形式。部署勒索软件的网络犯罪分子已经在不断发展和复杂的网络犯罪生态系统中进化,并将继续适应以实现利润最大化。 “只要勒索软件仍然有利可图,我们几乎肯定会继续看到网络犯罪分子部署它,”报告说。 美国司法部最近的一份声明,Lockbit是“最活跃和最具破坏性”的勒索软件之一。联邦调查局在对安大略省警察局 (OPP) 于10月底逮捕的一名俄裔加拿大人提起的诉讼中指出,他在最近几个月内“在世界上造成了至少1000名受害者。 Westmount市的官方网站并未受到此次攻击的影响,该市政府表示将在该网站上发布有关恢复情况的任何更新。市长向居民保证,数据安全是其“首要任务”,“保护我们居民和员工的信息也是如此”。 转自 安全内参,原文链接:https://www.secrss.com/articles/49270 封面来源于网络,如有侵权请联系删除

多方受害!Donut 勒索组织正对企业部署双重勒索

BleepingComputer在8月首次报道了Donut 勒索集团,将他们与对希腊天然气公司DESFA、英国建筑公司Sheppard Robson和跨国建筑公司Sando的袭击联系起来,证实Donut在对企业的双重勒索攻击中部署勒索软件。 而近期,BleepingComputer再次发现了用于Donut操作的加密器样本“VirusTotal”,进一步表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。奇怪的是,Sando和DESFA的数据也被发布到几个勒索软件操作的网站上,Hive勒索软件声称发起了Sando攻击,Ragnar Locker则声称发起了DESFA攻击。 Unit 42研究员Doel Santos还表示:“赎金记录中使用的TOX ID可以在HelloXD勒索软件的样本中看到。这种被盗数据和附属关系的交叉发布让我们相信Donut Leaks背后的威胁行为者是众多行动的附属机构,现在正试图在他们自己的行动中将数据货币化。” Donut 勒索软件介绍 对于Donut勒索软件的分析仍在进行中。目前已知的是,在执行时,它会扫描匹配特定扩展名的文件进行加密。加密文件时,勒索软件会避开包含以下字符串的文件和文件夹: 当文件被加密时,Donut勒索软件会将.donut扩展名附加到加密文件。例如,1.jpg将被加密并重命名为1.jpg.donut。 由Donut勒索软件加密的文件 Donut Leaks的操作非常独特,其使用有趣的图形,在攻击中体现了一丝“幽默”。它甚至为可执行文件提供构建器,作为其Tor数据泄漏站点的网关。这种独特尤其体现在其赎金记录中,他们在其中使用了不同的ASCII艺术,例如旋转的ASCII甜甜圈。 Donut赎金记录 BleepingComputer看到的另一个勒索软件笔记会伪装成一个显示PowerShell错误的命令提示符,然后打印一个滚动的勒索笔记。为了避免被发现,赎金票据被严重混淆,所有字符串都经过编码,JavaScript在浏览器中解码赎金票据。这些赎金票据包括联系威胁行为者的不同方式,包括通过TOX和Tor协商站点。 Donut赎金谈判现场 Donut勒索软件操作还在其数据泄露站点上包含一个“构建器”,该构建器由一个bash脚本组成,用于创建Windows和Linux Electron应用程序,并带有捆绑的Tor客户端以访问其数据泄露站点 D0nut勒索软件electron应用程序 总的来说,这个敲诈勒索团体值得关注,不仅仅因为他们明显的技能,还因为他们推销自己的能力。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/iclz2GKglxTW-dNQG4s-dg 封面来源于网络,如有侵权请联系删除

亚洲航空 500 万乘客和员工数据信息被盗,快看看有你没?

The Hacker News 网站披露,马来西亚廉价航空公司-亚洲航空内部系统遭到勒索软件组织袭击,约 500万名乘客和员工的个人数据信息泄露。 据悉,此次网络攻击背后黑手是名为 Daixin 的勒索软件团伙,该团伙在成功获取亚洲航空大量内部数据资料后,随即在其数据泄露网站上公开了部分数据样本。根据上传到泄密网站的样本显示,被盗数据包含了乘客身份证号码、姓名和订票编号以及员工信息。 值得一提的是,Daixin 勒索软件团伙不仅袭击了亚洲航空,还对包括菲茨吉本医院、Trib Total Media、ista International GmbH 和 OakBend Medical 等在内的组织机构展开了攻击活动。最近美国网络安全和情报机构已经盯上了Daixin 组织,并发布警告表示这伙人攻击对象主要集中在医疗保健部门。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350525.html 封面来源于网络,如有侵权请联系删除