微软发现最近的一个Windows 补丁可导致 Kerberos 认证问题后，发布带外安全更新。 11月补丁星期二，微软修复了影响 Windows Server 的提权漏洞CVE-2022-37966。该高危漏洞可导致能够收集目标系统信息的攻击者获得管理员权限。 微软在安全公告中指出，“未认证攻击者可执行攻击，利用RFC 4757和MS-PAC中的加密协议漏洞，绕过Windows AD 环境中的安全特性。” 然而，就在补丁发布几天后，用户开始抱怨Kerberos认证问题。微软快速行动并在几天后提供了缓解措施。11月17日，微软发布带外更新。 微软告知客户称，“尚未安装11月8日发布的安全更新的客户，应当安装该带外更新。已经安装Windows安全补丁且遇到问题的客户，应当安装该带外更新。” 虽然CVE-2022-37966并未遭在野利用且并未公开披露，不过微软仍然给出“更可能利用”的评级。 转自 安全内参，原文链接：https://www.secrss.com/articles/49306 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一位研究人员揭示了如何绕过思科安全电子邮件网关设备中的一些过滤器，并使用特制的电子邮件发送恶意软件。 研究人员在完整披露邮件列表中写道：“本报告是在协调的披露程序内发布的。研究人员一直与供应商保持联系，但在规定的时间范围内没有收到满意的答复。由于攻击复杂度较低，而且第三方已经发布了漏洞攻击，因此在公开线程方面不能再有任何推迟。” 研究人员解释说，利用电子邮件客户端的容错能力和不同的MIME解码能力，远程攻击者可以绕过思科安全电子邮件网关。 研究人员披露的方法可能会让攻击者绕过思科安全电子邮件网关，他们可以针对Outlook、Thunderbird、Mutt和Vivaldi等多个电子邮件客户端。 这三种方法是： 方法1：Cloaked Base 64-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法会影响多个电子邮件客户端，包括Microsoft Outlook for Microsoft 365 MSO（版本2210 Build 16.0.15726.20070）64位、Mozilla Thunderbird 91.11.0（64位）、Vivaldi 5.5.2805.42（64位）、Mutt 2.1.4-1ubuntu1.1等。 方法2:yEnc编码-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Mozilla Thunderbird 91.11.0（64位）电子邮件客户端。 方法3：隐藏引用的可打印文件-已使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Vivaldi 5.5.2805.42（64位）和Mutt 2.1.4-1ubuntu1.1电子邮件客户端。 思科发布了一份错误报告，警告思科安全邮件网关的Sophos和McAfee扫描引擎存在一个问题，该问题可能允许未经身份验证的远程攻击者绕过特定的过滤功能。 报告中写道：“这个问题是由于对潜在恶意电子邮件或附件的识别不当。攻击者可以利用这个漏洞，通过受影响的设备发送带有格式错误的内容类型标头（MIME类型）的恶意电子邮件，从而绕过基于受影响的扫描引擎的默认反恶意软件过滤功能，并成功将恶意消息传递给最终客户端。” 这些漏洞会影响使用默认配置运行的设备。 研究人员解释说，使用攻击方法的代码，以及许多操纵MIME编码的类似技术，都是在一个开源工具包中实现的，该工具包可以在GitHub上生成和测试错误的MIME。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Meta平台周二表示，它在Facebook和Instagram上关闭了一个由美国军方相关人员操作的账户和页面网络，这些账户和页面在中东和中亚传播对美国有利的描述。 该网络起源于美国，主要针对阿富汗、阿尔及利亚、伊朗、伊拉克、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、索马里、叙利亚、塔吉克斯坦、乌兹别克斯坦和也门。 这家社交媒体巨头表示，活动背后的个人冒充了他们所针对的社区，用阿拉伯语、波斯语和俄语传播内容，提出了与美国加强军事合作的主题，并批评了伊朗、中国和俄罗斯。 Meta在其《对抗威胁季度报告》中表示，这些叙述涵盖了“俄罗斯入侵乌克兰、中国对待维吾尔族人民、伊朗在中东的影响力，以及俄罗斯和中国对阿富汗塔利班政权的支持”。 该公司补充道，与新冠肺炎相关的内容也被发布，其中一些内容因违反其虚假信息政策而被删除。 这些虚假账户可能还使用了生成对抗网络（GANs）等机器学习技术创建的个人资料照片，并在美国东部标准时间（EST）而不是在目标国家的工作时间发布。 在Instagram上，多达39个Facebook账户、16个Pages、2个Groups和26个Instagram账户被发现参与了协调的不真实行为。该行动进一步扩展到其他平台，如Twitter、YouTube、Telegram、VKontakte和Odnoklassniki。 然而，这些努力似乎基本上没有成功。Meta表示：“此次行动的大部分帖子几乎没有来自真实社区的参与。” 今年8月初，当Graphika和斯坦福互联网观察组织的研究人员发现使用多种社交媒体服务来宣传亲西方的叙事时，有关该运动的细节首次被曝光。 近两个月前，Meta解散了来自中国和俄罗斯的两个独立集群，因为这些集群的信息业务试图操纵平台上的公共言论。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

邪恶的LockBit 3.0网络犯罪组织声称对加拿大魁北克小城Westmount（韦斯特芒特）的勒索软件攻击负责，该攻击导致Westmount的市政服务停止并关闭了员工电子邮件帐户，勒索者要求该市在12月4日之前支付一笔未公开数字的赎金。通过电话联Westmount市长，21日下午晚些时候，在得知袭击事件发生24小时后，仍然没有具体信息可以传达。市长和信息技术部门都无法确定黑客是否真的能够窃取公民或员工的信息。 Westmount是魁北克西南部一个拥有近21,000名居民的城市，周一（21日）最初报告称，由于不明原因的计算机中断，该市的电子邮件服务无法使用。后来，该市证实此次中断还影响了其他市政服务，并且源于有针对性的网络攻击。 该市网站上公告称电子邮件系统停服 “不幸的是，网络攻击在我们的社会中变得越来越普遍和复杂，尽管我们采取了所有措施，但公共行政部门并不能完全免受这一悲惨现实的影响，”Westmount市长克里斯蒂娜史密斯在一份声明中说。“我想向所有Westmount市民保证，我们的团队正在认真和勤奋地工作以应对这种情况，我们会随时通知居民。” Westmount市在政府网站上发布的消息 该市没有对攻击的范围发表评论，但表示已聘请一家网络安全公司进行调查并尽快恢复其系统。为了从袭击中恢复过来，Westmount得到了魁北克市政联合会的帮助。该组织委托VARS（Raymond Chabot Grant Thornton 的子公司）支持该市。 魁北克当地数字新闻机构La Presse援引该市IT主管Claude Vallières的话说，“我们知道我们有服务器被加密，但不知道是谁攻击了我们。我们仍在调查受感染的服务器，但我们没有与任何人进行过任何沟通。”最早发现异常的，是一名员工在周日（20日）早上报告了一台电脑的问题。作为预防措施，随后关闭了几台机器，”Claude Vallières 说。“我们将努力阻止感染。他的团队花了一整天的时间进行调查。 LockBit 3.0勒索软件组织声称对此次攻击负责，并表示已成功下载14TB的敏感数据。作为勒索软件即服务组织运营的LockBit 示，如果在接下来的两周内未支付赎金，它将公布被盗数据。 这条给Westmount的消息发布在LockBit暗网博客网站上。(来源:ISMG) LockBit勒索软件团伙以2021年针对埃森哲的勒索软件攻击而闻名，在进行了两个月的Beta测试并为道德黑客提供漏洞赏金以检查解密代码后，于2022年6月推出了LockBit 3.0恶意软件。 LockBit运营者发布了显示不同部门文件和其他数据的屏幕截图作为他们索赔的证据，但信息安全媒体集团无法立即联系市政当局并确认文件的真实性。 此次攻击发生在加拿大网络安全中心发布新的《2023-2024年国家网络威胁评估》之后。该报告中关键发现的第一条就是：勒索软件是对加拿大组织的持续威胁。网络犯罪仍然是最有可能影响加拿大人和加拿大组织的网络威胁活动。由于其对组织运作能力的影响，勒索软件几乎可以肯定是加拿大人面临的最具破坏性的网络犯罪形式。部署勒索软件的网络犯罪分子已经在不断发展和复杂的网络犯罪生态系统中进化，并将继续适应以实现利润最大化。 “只要勒索软件仍然有利可图，我们几乎肯定会继续看到网络犯罪分子部署它，”报告说。 美国司法部最近的一份声明，Lockbit是“最活跃和最具破坏性”的勒索软件之一。联邦调查局在对安大略省警察局 (OPP) 于10月底逮捕的一名俄裔加拿大人提起的诉讼中指出，他在最近几个月内“在世界上造成了至少1000名受害者。 Westmount市的官方网站并未受到此次攻击的影响，该市政府表示将在该网站上发布有关恢复情况的任何更新。市长向居民保证，数据安全是其“首要任务”，“保护我们居民和员工的信息也是如此”。 转自 安全内参，原文链接：https://www.secrss.com/articles/49270 封面来源于网络，如有侵权请联系删除

BleepingComputer在8月首次报道了Donut 勒索集团，将他们与对希腊天然气公司DESFA、英国建筑公司Sheppard Robson和跨国建筑公司Sando的袭击联系起来，证实Donut在对企业的双重勒索攻击中部署勒索软件。 而近期，BleepingComputer再次发现了用于Donut操作的加密器样本“VirusTotal”，进一步表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。奇怪的是，Sando和DESFA的数据也被发布到几个勒索软件操作的网站上，Hive勒索软件声称发起了Sando攻击，Ragnar Locker则声称发起了DESFA攻击。 Unit 42研究员Doel Santos还表示：“赎金记录中使用的TOX ID可以在HelloXD勒索软件的样本中看到。这种被盗数据和附属关系的交叉发布让我们相信Donut Leaks背后的威胁行为者是众多行动的附属机构，现在正试图在他们自己的行动中将数据货币化。” Donut 勒索软件介绍 对于Donut勒索软件的分析仍在进行中。目前已知的是，在执行时，它会扫描匹配特定扩展名的文件进行加密。加密文件时，勒索软件会避开包含以下字符串的文件和文件夹： 当文件被加密时，Donut勒索软件会将.donut扩展名附加到加密文件。例如，1.jpg将被加密并重命名为1.jpg.donut。 由Donut勒索软件加密的文件 Donut Leaks的操作非常独特，其使用有趣的图形，在攻击中体现了一丝“幽默”。它甚至为可执行文件提供构建器，作为其Tor数据泄漏站点的网关。这种独特尤其体现在其赎金记录中，他们在其中使用了不同的ASCII艺术，例如旋转的ASCII甜甜圈。 Donut赎金记录 BleepingComputer看到的另一个勒索软件笔记会伪装成一个显示PowerShell错误的命令提示符，然后打印一个滚动的勒索笔记。为了避免被发现，赎金票据被严重混淆，所有字符串都经过编码，JavaScript在浏览器中解码赎金票据。这些赎金票据包括联系威胁行为者的不同方式，包括通过TOX和Tor协商站点。 Donut赎金谈判现场 Donut勒索软件操作还在其数据泄露站点上包含一个“构建器”，该构建器由一个bash脚本组成，用于创建Windows和Linux Electron应用程序，并带有捆绑的Tor客户端以访问其数据泄露站点 D0nut勒索软件electron应用程序 总的来说，这个敲诈勒索团体值得关注，不仅仅因为他们明显的技能，还因为他们推销自己的能力。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/iclz2GKglxTW-dNQG4s-dg 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，马来西亚廉价航空公司-亚洲航空内部系统遭到勒索软件组织袭击，约 500万名乘客和员工的个人数据信息泄露。 据悉，此次网络攻击背后黑手是名为 Daixin 的勒索软件团伙，该团伙在成功获取亚洲航空大量内部数据资料后，随即在其数据泄露网站上公开了部分数据样本。根据上传到泄密网站的样本显示，被盗数据包含了乘客身份证号码、姓名和订票编号以及员工信息。 值得一提的是，Daixin 勒索软件团伙不仅袭击了亚洲航空，还对包括菲茨吉本医院、Trib Total Media、ista International GmbH 和 OakBend Medical 等在内的组织机构展开了攻击活动。最近美国网络安全和情报机构已经盯上了Daixin 组织，并发布警告表示这伙人攻击对象主要集中在医疗保健部门。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350525.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月22日消息称，名为甜甜圈（D0nut）的勒索软件组织正制定针对企业的双重勒索攻击策略。 今年8月，BleepingComputer首次报道了甜甜圈勒索软件组织，它们分别参与了对希腊天然气公司 DESFA、英国建筑公司 Sheppard Robson 和跨国建筑公司 Sando 的网络勒索攻击。 最近，BleepingComputer 发现了用于甜甜圈的加密器样本，表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。根据分析，加密器在执行时会扫描匹配特定扩展名的文件进行加密，并避开包含以下字符串的文件和文件夹： Edge ntldr Opera bootsect.bak Chrome BOOTSTAT.DAT boot.ini AllUsers Chromium bootmgr Windows thumbs.db ntuser.ini ntuser.dat desktop.ini bootmgr.efi autorun.inf 当文件被加密时，Donut 勒索软件会将 .d0nut 扩展名附加到加密文件。因此，例如，1.jpg 将被加密并重命名为 1.jpg.d0nut。 甜甜圈勒索软件还会利用 ASCII 编码，制作富有个性化的赎金票据页面，如旋转的 ASCII 甜甜圈。 甜甜圈勒索软件的赎金票据 为了增强隐蔽性，赎金票据被严重混淆，所有字符串都被编码，要通过JavaScript在浏览器中对赎金票据进行解码。这些赎金票据包括联系攻击者的不同方式，例如通过 TOX 和 Tor 协商站点。 甜甜圈勒索软件还在其数据泄露站点上设置了一个构建器，由一个 bash 脚本组成，用于创建 Windows 和 Linux Electron 应用程序，并带有捆绑的 Tor 客户端以访问数据泄露站点。 BleepingComputer认为，该勒索组织不仅有较为突出的技能水平，而且还有一定的营销能力，需要对其引起足够的警惕。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350528.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国司法部（DoJ）当地时间11月21日宣布关闭七个与“杀猪盘”加密货币骗局有关的域名。美国司法部表示，该欺诈计划从2022年5月至2022年8月运作，从五名受害者那里净赚了超过1000万美元。 杀猪，也被称为杀猪盘，是一种骗局，骗子引诱毫无戒心的投资者发送他们的加密资产。犯罪分子在约会软件、社交媒体网站和短信上遇到了潜在的受害者。 这些人发起虚假关系，试图建立信任，只是为了欺骗他们在虚假平台上进行加密货币投资。 美国司法部表示：“一旦钱被发送到虚假投资应用程序，骗子就会消失，带走所有的钱，给受害者造成重大损失。” 该机构指出，被查封的七家门户网站都模仿了新加坡国际货币交易所（SIMEX）。 但是，一旦资金被转移到这些域名提供的钱包地址，数字货币会立即通过一系列私人钱包和交换服务，来隐藏踪迹。 “情感的操纵、友好的语气，以及事先利用阶段的持续时间，让真实的情感得以发展，黑客利用这种情感获得经济利益，有时会损失数百万美元。” 美国联邦调查局（FBI）上个月发布的一份咨询报告指出，当受害者试图撤回投资时，他们被要求支付额外的税款或罚款，从而导致更多的损失。 今年4月，该情报机构透露，它在2021年收到了4300多起与加密浪漫诈骗有关的投诉，造成超过4.29亿美元的损失。 Proofpoint最近的一份报告还详细介绍了欺诈者采取的一些其他策略，包括建议将对话转移到Telegram或WhatsApp进行“更私密的聊天”，并鼓励受害者发送有损隐私的照片。 研究人员Tim Krombhardt和Genina Po表示：“除了基于加密货币的诱饵，这些犯罪企业还利用黄金、外汇、股票和其他对象来剥削受害者。” “这种计划之所以成功，是因为导致‘屠杀’的对话具有亲密性质。对于利用这种社会工程剥削受害者的黑客来说，制造羞耻和尴尬是关键目标，类似于浪漫诈骗。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一种名为Aurora Stealer的基于Go的新兴恶意软件正被越来越多地部署，用于从受攻击主机上窃取敏感信息。 网络安全公司SEKOIA表示：“这些感染链冒充合法软件的下载页面，包括加密货币钱包或远程访问工具，以及911方法，利用YouTube视频和搜索引擎优化（SEO）的假冒破解软件下载网站。” Aurora于2022年4月首次在俄罗斯网络犯罪论坛上发布广告，作为商品恶意软件提供给其他黑客，被称为“具有窃取、下载和远程访问功能的多用途僵尸网络”。 在过去的几个月里，该恶意软件的规模已经缩小到一个窃取者，可以从40个加密货币钱包和Telegram等应用程序中获取感兴趣的文件、数据。 Aurora还附带了一个加载器，可以使用PowerShell命令部署下一阶段的负载。 这家网络安全公司表示，至少有不同的网络犯罪组织，称为traffers，负责将用户的流量重定向到由其他参与者操作的恶意内容，已经将Aurora添加到了他们的工具集中，无论是单独添加还是与RedLine和Raccoon一起添加。 SEKOIA表示：“Aurora是另一个以浏览器、加密货币钱包、本地系统的数据为目标的信息窃取者，并充当加载器。收集到的数据在市场上以高价出售，网络犯罪分子对这些数据特别感兴趣，这让他们能够开展后续有利可图的活动，包括大型狩猎活动。” 帕洛阿尔托网络Unit 42的研究人员详细介绍了另一款名为Typhon stealer的增强版本。 这种新变体被称为Typhon Reborn，旨在从加密货币钱包、网页浏览器和其他系统数据中窃取数据，同时删除先前存在的功能，如密钥记录和加密货币挖掘，以尽量减少检测。 Unit 42的研究人员Riley Porter和Udai Pratap Singh表示：“Typhon Stealer为黑客提供了一个易于使用、可配置的构建器。” Typhon Reborn的新反分析技术正在沿着行业路线发展，在规避策略方面变得更加有效，同时拓宽了他们窃取受害者数据的工具集。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

从理论上讲，将照片和视频上传到云端应该是确保你的文件安全可靠的一种便捷方式。但在Windows版iCloud的情况下，结果似乎正好相反。来自MacRumors的一份报告指出了一系列来自iCloud for Windows用户的投诉，他们解释说，在将他们的视频上传到云端后，文件最终被完全损坏，以至于无法再观看它们。 然而，更令人担忧的是，一些用户最终获得了属于他人的照片，原因至今都还没有确定。目前还不太清楚为什么会出现这种情况，但苹果公司还没有对这个bug发表评论。但根据上述消息来源，整个事情有可能是由服务器端问题引起的，删除iCloud forWindows并重新安装该应用似乎并不能使事情恢复正常。 “iCloud for Windows正在破坏从iPhone14 Pro Max录制的视频，导致出现带有一条白色扫描线的黑色视频。在极少数情况下，它还会显示可能是其他人的iCloud账户里的内容，我在我的iCloud账户中看到了我在生活中从未见过的其他人的家庭照片，足球比赛和其他随机照片。显然，这非常令人担忧，并不完全让我感到使用iCloud有足够安全。”一位用户解释说。 在这一点上，看起来Windows版iCloud运行的平台不是主要原因，因为这个问题在Windows 10和Windows 11上都会发生。目前官方似乎还没有提供解决的办法。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7168862497855209999/?log_from=3332e25087635_1669171877414 封面来源于网络，如有侵权请联系删除