The Hacker News 网站披露，安全研究人员在 2022 年 10 月 21 日开始的一场鱼叉式网络钓鱼行动中，发现远程访问特洛伊木马 Romcom Rate 运营商攻击了乌克兰军事机构。 黑莓研究和情报团队表示：最初“高级 IP 扫描器’活动发生在 2022 年 7 月 23 日，一旦受害者安装了特洛伊木马捆绑包，它就会向系统投放 Romcom Rate。 新鱼叉式网络钓鱼事件标志着攻击者作案手法发生转变，此前部分人员认为攻击者是通过欺骗 Advanced IP Scanner 和 pdfFiller 等合法应用程序，在受攻击的系统上安装后门程序。 此前攻击活动迭代涉及使用特洛伊木马高级 IP 扫描器，但自 10 月 20 日起，身份不明的攻击者已切换到 pdfFiller，这种情况说明，部分攻击者正在积极尝试完善战术和挫败检测。 这些看起来很像的网站都托管了一个流氓安装程序包，导致受害者部署了Romcom RAT，它能够收集信息和捕获屏幕截图，所有这些都被导出到远程服务器。 攻击者针对乌克兰军方的攻击活动好像没有使用最初的手段，反而使用了一封带有嵌入链接的钓鱼电子邮件作为初始感染载体，导致虚假网站放弃了下一阶段的下载。 下载程序使用“Blythe Consulting sp.z o.o”的有效数字证书进行签名，用于额外逃避层，然后用于提取和运行 RomCom RAT 恶意软件。黑莓表示，合法版本的 pdfFiller 使用了相同签名者。 除了乌克兰军队之外，这场攻击活动的目标还包括美国、巴西和菲律宾的 IT 公司、食品制造企业等。 黑莓公司威胁研究人员德米特里·贝斯图热夫（Dmitry Bestuzhev）表示，这场攻击活动是网络犯罪动机威胁者和目标攻击威胁者之间界限模糊的一个例子。过去，两组都是独立行动，依靠不同工具。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348151.html 封面来源于网络，如有侵权请联系删除

据Cybernews 10月27日报道，跨国传媒集团汤森路透公司至少有三个数据库处于开放状态，访客无需验证即可访问，里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。 Cybernews研究小组发现，汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库，3TB大小，包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题，目前已修复。 汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。 ElasticSearch数据库对威胁行为者来说是一个宝库，可以利用泄露的信息进行社会工程学攻击和勒索攻击，在地下犯罪论坛上可能价值数百万美元。 据了解，该数据库开放了好几天，恶意机器人能够在短短几小时内侦测到。汤森路透快速解决了该问题，并表示它只影响“汤森路透全球一小部分客户”。 汤森路透服务器内ElasticSearch索引的命名表明，这个开放的数据库被用作日志服务器，以收集用户-客户互动的大量数据。开放数据库还包含登录和密码重置日志。虽然这些日志不会暴露旧密码或新密码，但可以看到帐户持有人的电子邮件地址，以及发送密码更改查询的确切时间。 另一个敏感信息包括SQL（结构化查询语言）日志，它记录了用户查询信息和返还的信息。开放的数据库还包括对YouTube等其他平台的内部筛选、汤森路透客户的访问日志以及与其他数据库的连接字符串。 汤森路透声称，三个配置错误的数据库中，有两个被设置为可公开访问。第三台服务器是一个非生产性服务器，用于存储“生产前/实施环境的应用日志”。 ElasticSearch是一种非常常见和广泛使用的数据存储，容易出现配置错误，这使得任何人都可以访问它。这种情况下，敏感数据是开放的，并且已经被流行的物联网搜索引擎索引。Cybernews安全研究主管Mantas Sasnauskas表示，这为恶意行为者提供了一个巨大的攻击面，不仅可以利用内部系统，还可以进行供应链攻击。一个简单的人为错误就可能导致毁灭性的攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348202.html 封面来源于网络，如有侵权请联系删除

近日，美国网络安全和基础设施安全局（CISA）发布了一份新报告，概述了所有关键基础设施部门的基准网络安全性能目标（CPG）。该文件是由拜登总统在2021年7月签署的安全备忘录而来。已成为CISA和国家标准与技术研究所（NIST）为关键基础设施创建基本的网络安全实践，主要是为了帮助中小型企业（SMEs）改善其网络安全工作。 CPG旨在成为： 一套广泛适用于关键基础设施的网络安全做法的基线，具有已知的降低风险的价值。 关键基础设施运营商衡量和提高其网络安全成熟度的基准。 为IT和OT所有者推荐的实践组合，包括一套优先的安全实践。 与其他控制框架不同的是，它们不仅考虑了解决单个实体风险的做法，而且还考虑了国家的总体风险。 CISA指出：”CPG是IT和操作技术（OT）网络安全实践的一个优先子集，关键基础设施的所有者和经营者可以实施，以有意义地减少已知风险和对手技术的可能性和影响。这些目标是根据现有的网络安全框架和指南制定的。它们还依赖于CISA及其合作伙伴观察到的现实世界的威胁和对手的战术、技术和程序（TTPs）。 通过实施这些目标，业主和运营商将不仅减少对关键基础设施运营的风险，而且也减少对美国人民的风险。 CISA计划每6到12个月进行目标更新 Hexagon公司网络生态系统的全球总监Edward Liebig指出：”随着技术的发展，风险、TTP和范围自然会改变。这一点，再加上工业革命4.0的演变，将使建议和结果适当变形。” 在他看来CISA与监管机构一起起草具体部门目标的计划，如果没有行业垂直运营商的密切参与，随着时间的推移，可能会变得难以维持。应该共同努力，建立并鼓励参与特定行业的信息共享和分析中心（ISAC），如电力信息共享和分析中心（E-ISAC），因为供应商之间的合作将进一步解决OT安全中的问题。” 据悉，在Cyble研究人员发现超过8000个暴露的虚拟网络计算（VNC）实例，可能导致对关键基础设施组织的远程妥协攻击后的几个月，CISA报告出台。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/0auvvrTnRdMCqo45PxfqfA 封面来源于网络，如有侵权请联系删除

澳大利亚医疗保险公司Medibank周三披露，在最近一次勒索软件攻击之后，其所有客户的个人信息都遭泄露。 根据该公司的调查，攻击者获得了 “大量的健康索赔数据”，其中包含了ahm健康保险子公司和国际学生的个人数据。 Medibank是澳大利亚最大的私人健康保险供应商之一，为全国约390万客户提供服务。 “我们有证据表明，罪犯已经删除了其中的一些数据，同时罪犯很可能已经窃取了个人和健康索赔数据，”该公司进一步补充说。因此，预计受影响的客户数量可能会大幅增加。 该公司还表示将继续调查，以确定具体哪些数据在这次攻击中被盗，并将直接通知受影响的客户。 现该事件已成为澳大利亚联邦警察（AFP）调查的对象，与此同时，Medibank公司表述已被一个犯罪行为人联系，声称盗走了200GB的数据。 这些数据包含了名字、姓氏、地址、出生日期、医疗保险号码、保单号码、电话号码和一些索赔数据。这些索赔数据包括客户接受医疗服务的地点，以及他们诊断的信息。 其他唯一可识别的个人信息，如与国际学生保单有关的护照号码也被非法访问，但Medibank表示，现没有发现任何证据能直接表明借记的细节已被破坏。 在一份单独的投资者公告中，Medibank表示，它已经加强了其监测能力，以防未来发生此类攻击。Medibank估计这次网络犯罪事件给他们带来的损失在2500万到3500万澳元之间。 同时建议客户对任何网络钓鱼或smishing诈骗保持警惕，该公司承诺为那些 “因为此次事件受损的客户 “提供免费的身份监测服务和财务支持。 事实上在Medibank被黑之前，澳大利亚电信巨头Optus的也遭受到网络攻击，导致其近210万名现有和以前的客户数据被盗。 这些明目张胆且具有破坏性的数据泄露事件促使澳大利亚政府出台了严格的数据保护法，其中就包括从目前的220万澳元上限提高到最高5000万澳元的货币处罚。 澳政府新出台的《2022年隐私立法修正案》也赋予澳大利亚信息专员更多的权力来解决隐私泄露问题。 澳总检察长Mark Dreyfus表明：根据最近几周的重大隐私泄露事件表明，现有的保障措施是不够的。我们需要更好的法律来规范公司管理他们收集的大量数据，以及更大的惩罚来激励更好的行为。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348159.html 封面来源于网络，如有侵权请联系删除

据The Hacker News 10月27日消息，在苹果近期披露的漏洞中包含了名为SiriSpy的 iOS 和 macOS系统漏洞，使具有蓝牙访问权限的应用程序能够窃听用户与 Siri 的对话。 应用程序开发人员 Guilherme Rambo 在 2022 年 8 月发现并报告了该漏洞，编号为 CVE-2022-32946。 Rambo表示，在使用 AirPods 或 Beats 等设备时，只要请求访问蓝牙权限的都可以记录用户与Siri的对话。而该漏洞与 AirPods 中一项名为 DoAP 的服务有关，该服务用于支持 Siri 和听写功能，从而使攻击者能够制作可通过蓝牙连接到 AirPods 并在后台录制音频的应用程序，且不会显示麦克风的访问请求。 而在 macOS 系统上，该漏洞可能被滥用以完全绕过TCC用户隐私保护框架，这意味着任何应用程序都可以记录用户与 Siri 的对话，且无需请求任何权限。 Rambo表示，造成这一漏洞的原因是由于缺乏对 BTLEServerAgent 的权利检查，BTLEServerAgent 是负责处理 DoAP 音频的保护程序服务。 目前该漏洞已通过系统更新补丁得到修复，涉及的产品包括iPhone8及之后的所有机型；所有的iPad Pro；iPad Air 第 3 代、标准版iPad 第 5 代、iPad mini 第 5 代及后续机型。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348108.html 封面来源于网络，如有侵权请联系删除

莱顿高级计算机科学研究所的研究人员在GitHub上发现了数以千计存在问题的存储库，这些存储库为各种漏洞提供虚假的概念验证（PoC），并借此隐藏传播恶意软件。 GitHub是最大的代码托管平台之一，研究人员用它来发布PoC漏洞，以帮助安全社区验证漏洞的修复或确定一个漏洞的影响和范围。 据莱顿高级计算机科学研究所的研究人员称，如果不包括被证实的恶作剧软件，以虚假PoC进行掩饰，实际上上恶意软件的可能性可能高达10.3%。 数据收集和分析 研究人员使用以下三种机制分析了47300多个储存库，包含2017年至2021年期间披露的漏洞： IP地址分析：将PoC的发布者IP与公共封锁名单以及VT和AbuseIPDB进行比较。 二进制分析：对提供的可执行文件及其哈希值运行VirusTotal检查。 十六进制和Base64分析：在执行二进制和IP检查之前对混淆的文件进行解码。 在提取的150734个独特的IP中，有2864个与封锁名单条目相匹配，1522个在Virus Total的反病毒扫描中被检测为恶意的，其中1069个存在于AbuseIPDB数据库中。二进制分析检查了一组6160个可执行文件，发现共有2164个恶意样本托管在1398个存储库中。 总的来说，在测试的47313个软件库中，有4893个软件库被认为是恶意的，其中大部分涉及到2020年的漏洞。报告中包含了一小部分带有虚假PoC的软件库，这些软件库正在传播恶意软件。研究人至少分享了60个案例，然而这些例子仍然是存活的，并且正在被GitHub取缔。 PoC中的恶意软件 通过仔细研究其中一些案例，研究人员发现了大量不同的恶意软件和有害脚本，从远程访问木马到Cobalt Strike。 一个有趣的案例是CVE-2019-0708的PoC，通常被称为 “BlueKeep”，它包含一个base64混淆的Python脚本，从Pastebin获取一个VBScript。该脚本是Houdini RAT，一个基于JavaScript的老式木马，支持通过Windows CMD执行远程命令。 在另一个案例中，研究人员发现了一个假的PoC，这是一个收集系统信息、IP地址和用户代理的信息窃取器。这是另一个研究人员之前创建的安全实验，所以用自动工具找到它是对研究人员的确认，他们的方法是有效的。 还有一些没有在技术报告中体现的例子，例如： PowerShell PoC包含一个用base64编码的二进制文件，在Virus Total中被标记为恶意的。 Python PoC包含一个单行代码，用于解码在Virus Total中被标记为恶意的base64编码的有效载荷。 伪造的BlueKeep漏洞包含一个被大多数反病毒引擎标记为恶意的可执行文件，并被识别为Cobalt Strike。一个隐藏在假PoC中的脚本，其中有不活跃的恶意组件，但如果其作者愿意，依旧可以造成损害。 如何保持安全 盲目相信GitHub上未经验证的仓库是不可取的，因为其内容没有经过审核，所以用户在使用前要对其进行审查。建议软件测试人员仔细检查他们下载的PoC，并在执行之前尽可能多地进行检查。 专家认为，所有测试人员都应该遵循这三个步骤。 仔细阅读你即将在你或你客户的网络上运行的代码。 如果代码太模糊，需要太多的时间来手动分析，就在一个环境中（例如一个隔离的虚拟机）进行沙盒测试，并检查你的网络是否有可疑的流量。 使用开源的情报工具，如VirusTotal来分析二进制文件。 目前，研究人员已经将他们发现的所有恶意软件库报告给GitHub，但在所有这些软件库被审查和删除之前，还需要一些时间，所以许多软件库仍然对公众开放。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347905.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员披露了微软Windows中两个漏洞的详细信息，其中一个漏洞可能被利用来导致拒绝服务（DoS）。 这些漏洞被Varonis称为LogCrusher和OverLog，针对事件日志远程处理协议（MS-EVEN），该协议允许远程访问事件日志。 Dolev Taler在与the Hacker News分享的一份报告中表示，虽然前者允许“任何域用户远程崩溃任何Windows计算机的事件日志应用程序”，但OverLog通过“填充域上任何Windows计算机的硬盘空间”导致DoS。 OverLog被分配了CVE标识符CVE-2022-37981（CVSS评分：4.3），并由微软作为其10月补丁周二更新的一部分进行了处理。然而，LogCrusher仍未解决。 “性能可以被中断和/或降低，但攻击者不能完全拒绝服务。”这家科技巨头在本月早些时候发布的关于该漏洞的公告中表示。 根据Varonis的说法，这些漏洞在于攻击者可以获得旧版Internet Explorer日志的句柄，从而有效地为利用该句柄使受害者计算机上的事件日志崩溃甚至引发DoS条件的攻击奠定了基础。 这是通过将其与日志备份功能（BackupEventLogW）中的另一个漏洞相结合来实现的，该功能可将任意日志重复备份到目标主机上的可写文件夹中，直到硬盘驱动器被填满。 此后，Microsoft通过限制本地管理员访问Internet Explorer事件日志来修复OverLog漏洞，从而减少了滥用的可能性。 “虽然这解决了这组特定的Internet Explorer事件日志漏洞，但其他用户可访问的应用程序事件日志仍有可能同样用于攻击。”Taler说。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

McAfee的安全研究人员发现，GooglePlay官方商店里有16个恶意点击的应用程序，安装次数超过2000万次。其中一个名为DxClean的应用程序的安装次数更是超过500万次，搞笑的是，其用户评级竟然还有4.1分(满分5分)。 这类伪装成应用程序的广告软件，常常表现为在不可见的框架中或在后台加载广告并点击它们，为背后的攻击者创造收入。 最近，McAfee移动研究小组发现了潜入GooglePlay的新Clicker恶意软件。McAfee发表的报告中说:”总共有16个以前在GooglePlay上的应用程序被证实有恶意的有效载荷，大约有2000万次安装。” 攻击者将恶意点击代码隐藏在较为实用的应用软件中，如手电筒(Torch)、QR阅读器、 Camara、单位转换器和任务管理器。 恶意点击程序通过FCM消息（Firebase Cloud Messaging）传播，当应用程序收到符合某些条件的FCM消息时，相关功能就会在后台启动。FCM消息包括多种信息，比如要调用的函数和要传递的参数。” 通常情况下，这些功能会指示设备在后台访问网站，同时模仿用户的行为。这可能会消耗大量的网络流量和电力，同时通过在用户不知情的情况下点击广告为攻击者创造利润。 专家们在这些点击器应用程序中发现了两段代码，一个是”comclickcas”库，用于实现自动点击功能，第二个是”com.liveposting”库，作为一个代理，运行隐藏的广告软件服务。 目前安全公司分享了McAfee专家报告的所有16个Clicker应用程序，并且已从GooglePlay中删除。“Clicker恶意软件以非法广告收入为目标，可以破坏移动广告生态系统。恶意行为被巧妙地隐藏起来，难以被用户发现。” 最后，安全专家建议安装并激活一个安全软件，这样用户可及时了解设备上存在的任何移动安全威肋的通知。及时删除这些恶意应用程序，不仅可以延长电池使用时间，也可以大大减少流量的消耗，保护用户个人信息和数据安全。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347844.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 10月24日消息，英国著名汽车经销商集团Pendragon近期遭遇 LockBit 勒索软件组织的网络攻击，部分数据被窃取，并收到了高达6000万美元的赎金支付通知。 Pendragon在安全公告中声称：“我们在部分 IT 系统中发现了可疑活动，并确认我们遇到了 IT 安全事件。”在10月21日接受英国《泰晤士报》采访时，该公司首席营销官 Kim Costello 透露攻击发生在大约一个月前，并表示攻击者以发布被盗数据为威胁，要求在截止日期前支付高额赎金。经过其他媒体查证，确认LockBit 的索要金额为 6000 万美元。 “我们坚持不向攻击者付款！”该公司发言人说道。为了回应外界担忧，发言人强调称攻击发生后，公司 IT 团队立即做出了反应，调查结果显示，黑客仅窃取了数据库中 5%的数据。 BleepingComputer 已联系该公司以获取有关被盗数据的更多信息，以及如果黑客泄露数据会产生的影响，但在发布时没有收到任何回复。 Pendragon在英国遍布200多个经销商站点，拥有 CarStore、Evans Halshaw 和 Stratstone 豪华汽车零售品牌。就在攻击发生的同一个月，Pendragon曾收到另一家知名经销商集团Hedin Mobility价值4亿英镑（约4.52亿美元）的收购申请。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347783.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 自今年年初以来，苹果已经解决了在野外攻击中利用的第九个零日漏洞。该漏洞被跟踪为CVE-2022-42827，是一个越界写入漏洞，攻击者可以利用该漏洞以内核特权执行任意代码。 一位匿名研究人员向苹果报告了该漏洞，该公司通过改进iOS 16.1和iPadOS 16中的边界检查解决了该漏洞。 苹果公司发布的公告中写道：“苹果公司知道一份报告称，这个漏洞可能被积极利用。” 该漏洞影响了iPhone 8及更高版本、iPad Pro（所有型号）、iPad Air第3代及更高版本、iPad第5代及更高版本、iPad mini第5代及更高版本。 建议苹果用户立即更新其设备，以减少遭受攻击的风险。 自1月份以来，苹果已经解决了其他8个零日漏洞，下面是已修复问题的列表： 2022 年 1 月：CVE-2022-22587和CVE-2022-22594 2022 年 2 月：CVE-2022-22620 2022 年 3 月：CVE-2022-22674和CVE-2022-22675 2022 年 5 月：CVE-2022-22675 2022 年 8 月：CVE-2022-32894 2022 年 9 月：CVE-2022-32917   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文