英国国家网络安全中心启动了一项新计划，将持续扫描英国托管的每个互联网连接设备的漏洞，以帮助政府应对零日威胁。国家网络安全中心是政府通信总部的一部分，作为英国面向公众的网络威胁的技术权威，它说它发起这个倡议是为了建立一个数据驱动的”英国的脆弱性和安全性”的观点。 这与挪威国家安全局的努力类似，去年，该机构寻找利用微软Exchange漏洞针对该国互联网用户的证据。斯洛文尼亚的网络安全响应单位，即SI-CERT，当时也表示，它正在通知其互联网空间中的Exchange零日漏洞的潜在受害者。 该机构解释说，NCSC的扫描活动将涵盖任何在英国境内托管的互联网可访问系统，并将重点定位那些常见的或因影响广泛而特别重要的漏洞。 英国国家安全委员会说，它将使用收集到的数据来创建”英国在漏洞披露后的暴露概况，并跟踪他们在一段时间内的补救情况”。该机构还希望这些数据将有助于向系统所有者提供有关其日常安全状况的建议，并帮助英国更快地应对事件，如正在被积极利用的零日漏洞。 该机构解释说，从这些扫描中收集的信息包括连接到服务和网络服务器时发回的任何数据，如完整的HTTP响应，以及每个请求和响应的信息，包括请求的时间和日期以及源和目的端点的IP地址。 它指出，请求的目的是收集检查被扫描资产是否受漏洞影响所需的最低限度的信息。如果无意中收集到任何敏感或个人数据，NCSC说它将”采取措施删除这些数据，并防止其在未来再次被捕获”。 扫描是使用从NCSC的专用云托管环境内运行的工具进行的，允许网络管理员在其日志中轻松识别该机构。总部设在英国的组织可以选择不接受政府对其服务器的扫描，方法是向NCSC发送电子邮件，列出他们希望排除的IP地址。 NCSC即将离任的技术总监Ian Levy在一篇博文中解释说：”我们不是为了其他邪恶的目的而试图在英国寻找漏洞。我们从简单的扫描开始，并将慢慢增加扫描的复杂性，解释我们在做什么（以及为什么我们要这样做）。” 转自 cnBeta，原文链接：https://www.toutiao.com/article/7163273562827162153/?log_from=ecf1366fcccb4_1667876211079 封面来源于网络，如有侵权请联系删除

最近，一种新形式的钓鱼软件专门攻击 Python 开发人员。攻击者通过伪造的 Python 包并使用常规的伪装技术，通过 W4SP Stealer 来感染开发人员的系统。W4SP Stealer 是一种用来窃取加密货币信息、泄露敏感数据并从开发人员系统收集凭据的木马工具。 根据软件供应链公司 Phylum 本周发布的一份报告中说：一名攻击者在 Python 包索引 (PyPI) 上创建了 29 个流行软件包的克隆，给它们包装成合法的软件包名称，这种做法被称为仿冒域名。如果开发人员下载并加载了恶意程序包，安装脚本则会通过一些混淆步骤来误导安装 W4SP Stealer 木马。目前，这些软件包的下载量已高达 5,700 次。 Phylum 的联合创始人兼首席技术官 Louis Lang 表示，虽然 W4SP Stealer 的作用是针对加密货币钱包和金融账户，但当前攻击者最重要目的很有可能是开发者的隐私。 这与我们过去经常遇到的电子邮件网络钓鱼活动的形式一样，只是这次攻击者只针对开发人员。“考虑到开发人员经常可以访问最核心的地方，一旦被成功的攻击那么会对组织造成毁灭性的打击。 该组织对 PyPI 的攻击是针对软件供应链的最新威胁。通过存储库服务分发的开源软件组件，例如 PyPI 和节点包管理器 (npm)，是一种流行的攻击媒介，因为导入软件的需求数量急剧增加。攻击者试图利用生态系统将恶意软件传输到粗心的开发人员系统中，例如2020 年对 Ruby Gems 生态系统的攻击和对Docker Hub 映像生态系统的攻击。而在 8 月，Check Point Software Technologies 的安全研究人员发现了 10 个 PyPI 软件包，它们都为窃取信息的恶意软件。 Phylum 研究人员 在他们的分析中表示：在这次最新的攻击活动中，这些软件包是一种更复杂的尝试，将 W4SP Stealer 传递到 Python 开发人员的机器上。并补充说：“由于这是一个持续的攻击，攻击者通过不断的改变策略，导致我们很难发现。同时，我们怀疑在不久的将来会出现更多类似的恶意软件。 PyPI 攻击是一种“量化游戏” 这种攻击通过伪装通用软件包名称或使用新软件包来迷惑没有充分审查软件来源的开发人员。例如：一个名为“typesutil”的恶意程序包只是流行的 Python 程序包“datetime2”的副本，并进行了一些修改。 最初，任何导入恶意软件的程序都会在 Python 加载依赖项的设置阶段运行命令并下载恶意软件。后来，由于 PyPI 实施了某些检查，攻击者开始使用大量空格将可疑命令推送到大多数代码编辑器的正常可视范围之外。 Phylum 在其分析中说：攻击者稍微改变了策略，不是仅仅将导入文件放在一个明显的位置，而是将它放在屏幕外，利用 Python 很少使用的分号将恶意代码偷偷放到与其他合法代码的行中。 Phylum 的 Lang 表示，虽然域名仿冒是一种低保真攻击，成功率极低，但与潜在的回报相比，这种成本微乎其微。 这是一场量的游戏，攻击者每天都用大量的恶意软件包污染软件包生态系统。然而相对于回报率来说，成本却极低。 令人痛心的 W4SP 攻击的最终目标是安装“信息窃取木马 W4SP Stealer”，它入侵受害者的系统，窃取浏览器存储的密码，针对加密货币钱包，并使用关键字搜索感兴趣的文件，例如‘银行’和‘秘密’ 。 Lang说：除了窃取加密货币或银行信息带来的明显金钱回报外，攻击者还可以利用窃取的一些信息通过访问关键基础设施或借用开发人员的身份来进一步攻击。 目前，Phylum 在识别攻击者方面取得了一些进展，并向正在使用其基础设施的公司发送了报告。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349072.html 封面来源于网络，如有侵权请联系删除

研究人员发现了一个滥用微软Dynamics 365客户语音来窃取受害者凭证的活动。 据悉，来自网络安全公司Avanan的研究人员发现，微软的Dynamics 365客户语音产品允许企业获得客户反馈，它被用来进行客户满意度调查。 专家们在过去几周内报告了数百起此类攻击。  这些邮件来自Dynamics 365的调查功能，发送者的地址包括 “Forms Pro”，这是调查功能的旧名称。该信息通知收件人已收到一个新的语音邮件。点击播放语音邮件按钮后，收件人会被转到一个钓鱼链接，该链接指向一个克隆微软登录页面的页面。 利用客户语音链接，威胁者能够绕过安全措施。 “黑客不断地使用我们称之为 “静态高速公路 “的方法来接触最终用户。简而言之，这是一种利用合法网站来绕过安全扫描器的技术。其逻辑是这样的。安全服务不能直接阻止微软–这将不可能完成任何工作。相反，这些来自可信来源的链接往往会被自动信任。这为黑客创造了一个插入的渠道。”Avanan发表的文章中写道。 研究人员建议，对任何要求收件人点击链接检查语音邮件的来信都要持怀疑态度。以下是专家们提供的建议： 始终悬停所有的URL，甚至那些不在邮件正文中的URL 当收到一封带有语音信箱的电子邮件时，在考虑参与之前，确保这是一封典型的电子邮件类型。 如果对一封邮件不确定，请询问原发件人。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/lAh058P4OM0UmvT8s62sdg 封面来源于网络，如有侵权请联系删除

2022年10月底，沸沸扬扬的Twitter收购案已经落下帷幕，马斯克以440亿美元的价格买下推特。在消息公布的当天，马斯克端着一个洗手盆，以一种搞怪式的出厂方式正式入主Twitter。 但是谁也没有想到，刚刚坐上Twitter大BOSS位置的马斯克转眼就掀起一场腥风血雨，发布了前所未有的大裁员命令。所有员工在毫无准备的情况下得知，马斯克将立马辞退至多 75% 的推特员工。 根据Twitter新任首席信息安全官Lea Kissner发布的消息，原有的网络安全部门集体被裁撤。此前，Twitter 的多名高管被解雇，其中包括首席执行官 Parag Agrawal、公司总法律顾问 Sean Edgett、公司法律政策、信息安全负责人 Vijaya Gadde，他以致力于保护用户数据免受法院执法命令而在业界名声大振。 对此，马斯克表示，推特将组建一个观点广泛的内容审核委员会，在该委员会召开会议之前，不会发生重大的内容决定或帐户恢复。内容审核对任何平台上的用户安全都有密切的影响，尤其是涉及仇恨言论、暴力信息等。在未来的几周内，Twitter将着重发力用户隐私信息保护，对非法政府数据请求的保护，以及提高Twitter整体的安全防护能力。 安全公司 Scythe 的网络威胁情报主管 Jake Williams 表示：在任何重组中首先被裁减的一些人员是参与非职能活动的人员，例如安全专家和内部监督。 这大概是马斯克开除整个安全部门的主观原因，对于Twitter一直以来在内容安全、隐私保护等方面的工作并不满意，因此在开始新的安全征程之前所有的安全团队都被裁撤。 值得注意的是，前 Twitter 首席安全官 Zatko 在他的书面报告和随后的国会证词中都对 Twitter 的流氓内部人员（包括民族国家行为者）、访问控制严重不足和数字安全防御薄弱提出警告。随着时间的推移，马斯克时代缺乏安全投资可能会对用户构成真正的危险。毕竟多年来，Twitter 一直受到犯罪和国家背景攻击者的困扰。 那么，接下来压力给到Twitter用户这边，在未来的几周时间内，Twitter的安全性将会大大降低，而新的安全团队又无法及时进行响应，由此产生的网络攻击将会变得更加恐怖。甚至一些被裁撤的安全人员会充当黑客攻击的“辅助者”，进一步增加了黑客攻击出现的频率和实施的成功率。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348957.html 封面来源于网络，如有侵权请联系删除

近日，美国网络安全和基础设施安全局（CISA）发布了三份工业控制系统（ICS）公告，涉及ETIC电信、诺基亚和Delta工业自动化的软件中的多个漏洞。其中最突出的是影响ETIC电信公司远程访问服务器（RAS）的一组三个缺陷，它 “可能允许攻击者获得敏感信息，并控制有漏洞的设备和其他连接的机器”，CISA说。 这包括CVE-2022-3703（CVSS评分：9.0），这是一个关键的缺陷，源于RAS网络门户无法验证固件的真实性，从而有可能塞进一个流氓包，授予对手后门权限。 另外两个缺陷与RAS API中的目录穿越错误（CVE-2022-41607，CVSS评分：8.6）和一个文件上传问题（CVE-2022-40981，CVSS评分：8.3）有关，可被利用来读取任意文件和上传恶意文件，从而破坏设备。 以色列工业网络安全公司OTORIO被认为是发现和报告了这些缺陷。ETIC Telecom RAS 4.5.0及之前的所有版本都存在漏洞，法国公司在4.7.3版本中解决了这些问题。 CISA的第二个公告涉及诺基亚ASIK AirScale 5G通用系统模块的三个缺陷（CVE-2022-2482、CVE-2022-2483和CVE-2022-2484），这可能为任意代码执行和安全启动功能的停止铺平道路。所有的缺陷在CVSS严重性等级中被评为8.4级。CISA指出，成功利用这些漏洞可能导致执行恶意内核，运行任意的恶意程序，或运行修改过的诺基亚程序。 据说这家芬兰电信巨头已经公布了影响ASIK 474021A.101和ASIK 474021A.102版本的缺陷的缓解说明。该机构建议用户直接与诺基亚联系，以获得进一步信息。 最后，该网络安全机构还警告说，一个路径穿越漏洞（CVE-2022-2969，CVSS评分：8.1）影响了台达工业自动化公司的DIALink产品，可被利用来在目标设备上植入恶意代码。 该漏洞已在1.5.0.0 Beta 4版本中得到解决，CISA表示可以直接联系台达工业自动化或通过台达现场应用工程（FAEs）获得该版本。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/YlzSIFJSsLkFUAEiTfggaQ 封面来源于网络，如有侵权请联系删除

如果有一件事是黑客们喜欢利用的，那就是最新的头条新闻。在埃隆-马斯克计划对Twitter的蓝标验证状态每月收费20美元的消息传出后，网络犯罪分子正在发送钓鱼欺诈邮件，声称这是新认证程序的一部分。 马斯克最近宣布，作为Twitter的新主人，他的首要任务之一是改革验证程序。据报道，这将涉及使Twitter Blue – 每月4.99美元的可选订阅为用户提供额外的功能现在变得更加昂贵，那些已经验证的用户将有90天的时间来订阅，否则将失去他们的验证身份。 据报道，这位世界首富给了从事该项目工作的Twitter工程师11月7日之前推出该项目。如果这个期限没有得到满足，这些员工将被解雇。 而网络骗徒则已经试图利用这一变化，向已验证的用户发送钓鱼邮件，声称他们将不必通过确认他们是一个”知名”人士而为他们的蓝色复选标记付费。 欺诈邮件其实并不算高明，多处纰漏暴露了它是钓鱼诈骗。除了不专业的措辞和风格外，它来自Twittercontactcenter@gmail.com的邮件地址甚至都不是Twitter的官方域名。不过，邮件发得多了无疑会有一些人上当受骗。 点击欺诈邮件当中的”提供信息”按钮会将人们带到一个Google文档页面，它包含一个Google网站的链接，该网站允许用户托管网络内容，它很可能是为了试图避开Google的网络钓鱼检测工具。这个页面包含一个来自另一个网站的嵌入式框架，用户被要求提交他们的账户用户名、密码和电话号码。 即使有人启用了双因素认证并避免了他们的账户被泄露，他们仍然泄露了个人数据，包括他们可能在其他网站重复使用的密码。 Google关闭了这个钓鱼网站。但是，随着马斯克继续在Twitter上实施改革，预计会看到更多这种类型的骗局重复出现。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7161037825914176011/ 封面来源于网络，如有侵权请联系删除

世界上最先进的射电望远镜之一在一次网络攻击后处于离线状态，目前还不清楚何时能再次开始科学运作。位于智利的阿塔卡马大型毫米/亚毫米阵列（Alma）天文台在10月29日受到了网络攻击，天文台在周三的一条Twitter上说。这次攻击阻碍了天文台的计算机系统，使天文台的公共网站和射电望远镜的天线都处于离线状态。 “鉴于这一事件的性质，现在还不可能估计恢复正常活动的日期，”该天文台在推文中补充说。 根据该天文台的公告，这次攻击并没有损坏阿尔玛的66个无线电天线，这些天线排列在智利北部的沙漠中。Alma是一个干涉仪，一个由多个较小的望远镜阵列组成的望远镜，在一起工作时就像一个更大的仪器。据该天文台称，Alma收集到的科学数据目前也是安全的。 Alma是欧洲南方天文台、美国国家科学基金会的国家射电天文台和日本国家天文台的合作项目。 自2013年开始全职科学运作以来，Alma已经揭示了从星尘中形成的行星，观察到附近恒星上剧烈的太阳耀斑，并对被称为伽马射线暴的强大宇宙辐射爆炸提供了新的见解。Alma也是事件地平线望远镜项目的一部分，该项目在2019年首次拍摄了黑洞的直接图像。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7161691205825200674/ 封面来源于网络，如有侵权请联系删除

一个被称为OPA1ER讲法语的威胁者于2018年至2022年期间针对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司发起30多次成功的网络攻击。 据总部设在新加坡的网络安全公司Group-IB称，这些攻击导致了总额为1100万美元的失窃，实际损失估计高达3000万美元。 2021年和2021年的一些较近期的攻击事件，挑出了布基纳法索、贝宁、象牙海岸和塞内加尔的五家不同银行。据说，许多被确认的受害者已经被破坏了两次，他们的基础设施随后被武器化，以打击其他组织。 OPERA1ER，也被称为DESKTOP-GROUP、Common Raven和NXSMS，已知自2016年以来一直在活动，其运作目标是进行有经济动机的抢劫和渗出文件以进一步用于鱼叉式攻击。 “OPERA1ER经常在周末和公共假期运作，”Group-IB在一份与《黑客新闻》分享的报告中说，对手的 “整个武库是基于开源程序和木马，或在暗网上可以找到的免费发布的RAT。” 这包括现成的恶意软件，如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon，等等。 攻击链从 “高质量的鱼叉式网络钓鱼邮件 “开始，其发票和交付主题的诱饵主要用法语编写，其次是英语。 这些邮件具有ZIP档案附件或链接到Google Drive、Discord服务器、受感染的合法网站和其他行为人控制的域，这导致了远程访问木马的部署。 在RAT执行成功后，下载并启动了Metasploit Meterpreter和Cobalt Strike Beacon等后开发框架，以建立持久的访问，收获证书，并渗出感兴趣的文件，并延长侦察期以了解后端操作。 以下事实证明了这一点：据观察，威胁者从最初入侵到进行欺诈性交易从自动取款机上取钱，需要花费3至12个月的时间。 攻击的最后阶段涉及闯入受害者的数字银行后台，使对手能够将资金从高价值账户转移到数百个流氓账户，并最终在事先雇用的运钞车网络的帮助下通过自动取款机将其兑现。 “Group-IB解释说：”在这里，攻击和盗取资金显然是可能的，因为不良行为者通过窃取不同运营商用户的登录凭证，设法积累了不同级别的系统访问权限。 在一个例子中，超过400个骡子用户账户被用来非法抽走资金，这表明 “攻击是非常复杂的，有组织的，协调的，并在很长一段时间内计划的。 与电信巨头Orange合作进行的调查发现，OPERA1ER仅依靠公开可用的恶意软件就成功完成了银行欺诈行动，这凸显了为研究组织的内部网络所做的努力。 该公司指出：”OPERA1ER的武器库中没有零日威胁，而且攻击经常使用三年前发现的漏洞的漏洞”。通过缓慢而谨慎地在目标系统中步步为营，这才使他们能够在不到三年的时间里在世界各地成功地进行了至少30次攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348839.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Fortinet解决了该公司某些产品中的16个漏洞，其中6个漏洞的严重程度很高。 其中一个高严重性漏洞是FortiADC日志页面中的持续XSS，跟踪为CVE-2022-38374。该漏洞的根本原因是FortiADC中网页生成漏洞[CWE-79]期间输入的中和不当。未经身份验证的远程攻击者可触发此漏洞，通过流量和事件日志视图中观察到的HTTP字段执行存储的跨站脚本 （XSS） 攻击。 该公司解决的另一个问题是CLI命令中的命令注入漏洞，跟踪为FortiTester的CVE-2022-33870。 FortiTester命令行解释器中操作系统命令漏洞[CWE-78]中使用的特殊元素的不当中和，可能允许经过身份验证的攻击者通过对现有命令的特制参数执行未经授权的命令。 另一个漏洞，被追踪为CVE-2022-26119，影响FortiSIEM，被描述为“明文存储的Glassfish本地凭证”。 具有命令行访问权限的本地攻击者可以利用该漏洞，通过硬编码密码直接在Glassfish服务器上执行操作。 此处提供了2022年11月解决的漏洞的完整列表。 10月，Fortinet证实，被追踪为CVE-2022-40684的关键身份验证绕过漏洞正在野外被恶意利用。该问题影响了FortiGate防火墙和FortiProxy web代理。 攻击者可以利用该漏洞登录易受攻击的设备。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参11月3日消息，有恶意黑客侵入并操纵某家未公开名字的媒体公司基础设施，在美国数百家报纸的网站上部署了SocGholish JavaScript恶意软件框架（又名FakeUpdates）。 美国安全厂商Proofpoint威胁研究与检测副总裁Sherrod DeGrippo向媒体证实，“被黑的是一家主要向新闻机构提供视频和广告内容的媒体公司，一直服务于美国多个市场上的不同企业。” 这次供应链攻击背后的恶意团伙被Proofpion命名为TA569，他们将恶意软件注入各新闻媒体网站加载的正常JavaScript文件中。 该恶意JavaScript文件随后会安装SocGholish，后者会在网站上显示虚假更新警告，再利用伪装成浏览器更新但实为恶意软件有效载荷的文件（例如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip等）感染网站访问者。 Proofpoint公司威胁洞察团队在推文中透露，“我们观察到，一家为众多主要新闻机构提供服务的媒体公司发生了间歇性恶意注入。这家媒体一直通过JavaScript为各合作伙伴提供内容。” “原来的正常JavaScript代码文件遭到篡改，恶意黑客借此部署了SocGholish。” 图：恶意JavaScript文件混淆内容 据Proofpoint安全研究人员介绍，该恶意软件已被安装在250多家美国新闻媒体网站之上，其中包括不少重量级新闻机构。 虽然尚不清楚受影响新闻机构的确切数量，但Proofpoint表示包括国家新闻机构在内，已经有纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的多家媒体因此受害。 DeGrippo还提到，“TA569此前就曾利用媒体公司资产传播过SocGholish。这种恶意软件可能引发后续感染，包括潜在的勒索软件攻击。” “必须密切监视这种情况。Proofpoint已经观察到，TA569曾在目标资产被修复的几天之后，再次将其感染。” 与勒索软件攻击有关 Proofpoint之前还曾观察到，有SocGholish恶意活动利用虚假更新和网站重新定向来感染用户，并在有效载荷中添加勒索软件。 Evil Corp网络犯罪团伙也曾在一起类似的攻击中使用过SocGholish，当时他们通过数十个被感染的美国报纸网站发送虚假软件更新警报，借此蒙蔽了30多家美国主要私营企业中的员工。 一旦成功感染目标计算机，这群恶意黑客就会将这些设备作为入侵企业网络的跳板，尝试部署该团伙的WastedLocker勒索软件。 根据赛门铁克发布的报告，他们成功阻止了Evil Corp针对多家私营企业实施网络加密锁定的尝试。当时的事件共影响到30家美国企业，其中8家为财富500强公司。 SocGholish最近还曾配合Raspberry Robin恶意软件感染后门网络，微软将此事定性为Evil Corp团伙实施勒索攻击之前的准备行为。 转自 安全内参，原文链接：https://www.secrss.com/articles/48640 封面来源于网络，如有侵权请联系删除