新兴跨平台BianLian勒索软件的运营商本月增加了他们的命令和控制（C2）基础设施，这一发展暗示着该组织的运营节奏正在提速。 使用Go编程语言编写的BianLian勒索软件于2022年7月中旬首次被发现，截至9月1日已声称有15个受害组织。 值得注意的是，这一新兴的双重勒索勒索软件家族与同名的Android银行木马没有联系，后者主要针对移动银行和加密货币应用程序窃取敏感信息。 安全研究人员Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介绍称， “该勒索软件对受害者网络的初始访问是通过成功利用ProxyShell Microsoft Exchange Server漏洞实现的，利用它来删除web shell或ngrok有效负载以进行后续活动。BianLian还将SonicWall VPN设备作为攻击目标，这是勒索软件组织的另一个常见目标。” 与另一个名为“Agenda”的新Golang恶意软件不同，BianLian攻击者从初始访问到实施加密的停留时间最长可达6周，这一持续时间远高于2021年报告的15天入侵者停留时间的中值。 除了利用离地攻击（living-off-the-land，LotL）技术进行网络分析和横向移动外，该组织还部署定制植入物作为维持对网络的持久访问的替代手段。 据研究人员介绍，后门的主要目标是从远程服务器检索任意有效负载，将其加载到内存中，然后执行它们。 BianLian与Agenda类似，能够在Windows安全模式下启动服务器以执行其对文件加密恶意软件，同时不被系统上安装的安全解决方案检测到。 为消除安全障碍而采取的其他步骤包括删除卷影副本、清除备份以及通过Windows远程管理（WinRM）和PowerShell脚本运行其Golang加密器模块。 据报道，已知最早的与BianLian相关的C2服务器于2021年12月出现在网络上。但此后，该C2基础设施经历了“令人不安的扩张”，现已超过30个活跃IP地址。 网络安全公司Cyble在本月早些时候详细介绍了该勒索软件的作案手法，据Cyble称，该勒索软件的目标组织跨越多个行业，如媒体、银行、能源、制造、教育、医疗保健和专业服务等。而且大多数组织位于北美、英国和澳大利亚。 BianLian是网络犯罪分子继续使用跳跃战术（hopping tactics）以避免被发现的又一迹象。它还增加了使用Go作为基础语言的越来越多的威胁，使攻击者能够在单个代码库中进行快速更改，然后可以针对多个平台进行编译。 研究人员补充道，BianLian已经证明自身擅长使用离地攻击（LOtL）方法来横向移动，并根据他们在网络中遇到的防御能力来调整操作。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343832.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一项国际执法行动导致WT1SHOP被拆除，这是一个专门销售被盗登录凭据和其他个人信息的在线犯罪市场。 此次查封是由葡萄牙当局策划的，美国官员控制了该网站使用的四个域名：”wt1shop[.]net,” “wt1store[.]cc,” “wt1store[.]com,” 和”wt1store[.]net.”。 美国司法部 (DoJ)表示，该网站兜售了超过585万条个人身份信息 (PII) 记录，其中包括大约25000份扫描的驾照/护照、170万份各种网上商店的登录凭据、108000个银行账户、21800张信用卡。 美国司法部还公布了对Nicolai Colesnicov的刑事诉讼，指控这名来自摩尔多瓦共和国的36岁男子经营市场。Colesnicov被指控共谋和贩卖未经授权的访问设备。 根据未密封的法庭文件，WT1SHOP提供了一种支付机制，为使用比特币贩运被盗个人信息提供了便利。截至2021年12月，该账户商店拥有106273名注册用户和94名卖家，可供出售的凭证总数约为585万张。 登录凭据包括属于零售商和金融机构的凭据、电子邮件帐户、PayPal帐户和身份证，以及未经授权远程访问和操作计算机、服务器和网络设备的凭据。 美国司法部还表示，执法部门能够将WT1SHOP上的比特币交易以及这些账户的电子邮件地址和登录信息追踪到Colesnicov，从而使当局能够确定他作为非法市场管理员的角色。 如果罪名成立，Colesnicov将面临最高10年的联邦监禁。 一年前，来自美国、德国、荷兰和罗马尼亚的执法机构破坏并拆除了一个名为Slilpp的地下市场的基础设施，该市场专门用于交易被盗登录凭据。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Holiday Inn 所有者洲际酒店集团 (IHG) 已确认该公司受到网络攻击。拥有全球最大连锁酒店的 IHG 在近日发布的声明中，承认正在调查一些技术系统的“未经授权的访问”。 这家总部位于英国的集团表示自周一以来，其“预订渠道和其他应用程序”已被中断。该集团旗下的 Holiday Inn、Crowne Plaza 和 Regent hotels 均使用这些系统。IHG 表示该公司正在努力尽快完全恢复所有系统， IHG 确认正在评估事件的性质、程度和影响，并已实施其应对计划，包括任命外部专家调查违规行为。IHG 也已经向监管机构报告了本次攻击。 在声明中，IHG 集团表示：“作为应对持续服务中断的一部分，我们将支持酒店业主和运营商。集团旗下酒店仍然能够运营并直接接受预订”。IHG 在声明中并未提及是否有消费者数据被窃。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313545.htm 封面来源于网络，如有侵权请联系删除

在为其硬接线和插入式设备增加了端对端加密选项一年多后，Ring现在为其电池供电的视频门铃和安全摄像机提供了端对端加密。 端对端加密使该公司视频摄像头的用户能够锁定他们的录像，使其只能在他们注册的iOS或Android设备上访问。另外，当用户出售或处理Ring设备时，也会更容易保存录制的视频。在启用端对端加密后，除了相机的主人，没有人可以访问录制的录像。即使执法部门向Ring或其母公司亚马逊索取视频，他们也无法提供。只有注册的移动设备才能解锁视频。 默认情况下，当视频和音频记录被上传到云端并存储在Ring的服务器上时，Ring会对它们进行加密。端对端加密提高了安全级别，只允许设备所有者通过一个指定的设备和只有他们才有的密码来访问和控制他们的录像。 当Ring在2021年1月首次预览视频端对端加密时，Ring Pro 2和Ring Elite是唯一适用于视频门铃的产品，而将其最受欢迎的电池供电设备如Ring 4、Ring Video门铃排除在隐私保护之外。它也是其所有有线和插入式摄像机的一个选项，包括Ring Floodlight cam，但不是电池供电产品的选项，如Ring Stick Up Cam。 现在，所有Ring公司目前销售的摄像头和门铃都可以进行端对端加密，唯一的例外是Ring视频门铃Wired。但增加的隐私保护是有注意事项的。打开端对端加密后，用户将失去在Ring应用的事件时间线视图和丰富的通知中预览视频的能力，这些通知在打开应用前会显示通知中的行动快照。 另外，Ring设备的共享用户无法看到其设备上的视频，任何用户都无法从Ring应用中分享视频，也无法在Echo Show设备或任何第三方应用中查看录像。端对端加密还使Alexa问候语和快速回复失效，鸟瞰图也无法使用，在一些Ring摄像头上有一个选项，可以显示访客到达门铃或摄像头的路径。禁用端到端加密可以恢复所有这些功能。对于许多用户来说，增加的隐私保护将失去一些便利功能。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313635.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络设备制造商Zyxel发布了针对影响其网络附加存储 (NAS) 设备的关键安全漏洞的补丁。 跟踪为CVE-2022-34747（CVSS评分：9.8），该问题与影响NAS326、NAS540和NAS542模型的“格式字符串漏洞”有关。Zyxel研究员Shaposhnikov Ilya报告了该漏洞。 该公司在9月6日发布的公告中表示： “在Zyxel NAS产品的特定二进制文件中发现了一个格式字符串漏洞，该漏洞可能允许攻击者通过特制的UDP数据包实现未经授权的远程代码执行。” 该漏洞影响以下版本 ： NAS326（V5.21(AAZF.11)C0及更早版本） NAS540（V5.21(AATB.8)C0 及更早版本） NAS542（V5.21(ABAG.8)C0及更早版本） 本次披露之际，Zyxel曾于7月解决了影响其防火墙产品的本地权限升级和认证目录遍历漏洞（CVE-2022-30526 和 CVE-2022-2030 ）。 入侵NAS设备已成为一种常见做法。如果您不采取预防措施或使软件保持最新状态，攻击者可能会窃取您的敏感数据和个人数据。在某些情况下，他们甚至能够永久删除数据。 2022年6月，它还修复了一个安全漏洞 ( CVE-2022-0823 )，该漏洞使GS1200系列交换机容易受到定时侧信道攻击的密码猜测攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer 网站披露，上月初，被称为 “MooBot ” 的 Mirai 恶意软件僵尸网络变种在新一轮攻击浪潮中再次出现，以易受攻击的 D-Link 路由器为目标，混合使用新旧漏洞，展开网络攻击。 2021 年 12 月，Fortinet 分析师发现了 MooBot 恶意软件团伙，当时该组织正在针对某厂商摄像头中存在的一个漏洞，进行了 DDoS 攻击。 恶意软件开始针对 D-Link 设备 最近，研究人员发现 MooBot 恶意软件更新了其目标范围。从 Palo Alto Network 的Unit 42 研究人员编制的报告来看，MooBot 现在主要针对 D-Link 路由器设备中存在的几个关键漏洞。漏洞详情如下： CVE-2015-2051: D-Link HNAP SOAPAction Header 命令执行漏洞； CVE-2018-6530: D-Link SOAP 接口远程代码执行漏洞； CVE-2022-26258: D-Link 远程命令执行漏洞； CVE-2022-28958: D-Link 远程命令执行漏洞。 用于利用 CVE-2022-26258 的有效载荷(unit 42) MooBot 恶意软件幕后操作者利用漏洞的低攻击复杂性，在目标上远程执行代码并使用任意命令获取恶意软件二进制文件。 MooBot 的最新攻击概述（unit单元） 恶意软件从配置中解码出硬编码地址后，新捕获的路由器会立即被注册在攻击者的 C2 上。值得注意的是，unit 单元在报告中提出的 C2 地址与 Fortinet 的写法不同，侧面证明了攻击者的基础设施有了更新。 最终，被捕获的路由器会参与针对不同目标的定向 DDoS 攻击，具体怎样操作取决于 MooBot 团伙希望实现的目标。不过通常情况下，攻击者往往会向其他人出售 DDoS 服务。 目前，设备供应商已经发布了安全更新来解决上述漏洞，但并非所有用户都应用了更新补丁。其中最后两个补丁是在今年 3 月和 5 月才发布，应该还有用户没有更新补丁。 用户需要及时应用安全更新 据悉，一旦 D-Link 设备遭受攻击，用户可能会感到到网速下降、反应迟钝、路由器过热或莫名其妙的 DNS 配置变化，这些都是僵尸网络感染的常见迹象。 对于用户来说，杜绝 MooBot 危害的最好方法是在 D-Link 路由器上应用可用的固件更新。如果用户使用的是一个旧设备，则应将其配置为防止远程访问管理面板。 此外，如果用户一旦感觉可能遭受了网络入侵，应该从相应的物理按钮执行重置，例如改变管理密码，然后立刻安装供应商提供的最新安全更新。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343953.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 国际刑警组织宣布逮捕了12名涉嫌是跨国性勒索团伙核心成员的人。由于国际刑警组织网络犯罪部门与新加坡和香港警方进行了联合调查，逮捕行动于7月和8月进行。 “在#YouMayBeNext的旗帜下，在75个国际刑警组织成员国和21个公共或私人实体的支持下，这场运动特别关注性勒索、勒索软件和分布式拒绝服务（DDoS）攻击。”国际刑警发布的声明写道。“在国际刑警组织的支持下，国际警察行动发现并捣毁了一个跨国性勒索团伙，该团伙设法从受害者身上榨取了至少47000美元。到目前为止，调查已追踪发现34起案件，并追溯到该犯罪集团。” 性勒索是一种犯罪行为，是一种性剥削形式，涉及通过威胁或操纵胁迫个人制作色情材料并通过互联网发送。 嫌疑人通过在线性爱和约会平台联系潜在受害者，然后诱骗他们下载恶意移动应用程序进行“裸聊”。 勒索团伙使用该应用程序窃取受害者的电话联系列表，然后通过威胁与亲友分享他们的裸体视频来勒索受害者。 这个性勒索团伙的受害者大多居住在香港和新加坡。 国际刑警组织还警告说，近年来性勒索报告急剧增加，而新冠肺炎疫情加剧了这种增长。 该机构强调了这种犯罪的风险，只需点击未经验证的链接或向某人发送私密照片或视频，就可能使个人面临性勒索威胁。 2021年9月，FBI互联网犯罪投诉中心 (IC3)警告称， 自2021年初以来，性勒索投诉显着增加 。 据当局称，截至2021年7月末，这些攻击造成了800多万美元的经济损失。 截至2021年7月31日，FBI收到16000多起性勒索投诉，大多数受害者的年龄在20至39岁之间。 以下是FBI发布的避免勒索企图的提示列表： 永远不要向任何人发送自己的裸露图片，无论他们是谁。 不要打开不认识的人的附件。链接可以使用恶意软件秘密入侵你的电子设备，以访问你的私人数据、照片和联系人，或者在你不知情的情况下控制网络摄像头和麦克风。 不使用时关闭电子设备和网络摄像头。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

面向企业和消费者的开源密码管理器Bitwarden在一轮融资中筹集了1亿美元，该轮融资由PSG牵头，Battery Ventures跟投。总部位于加州圣巴巴拉的Bitwarden最初成立于2015年，这一领域的其他成员包括许多令人耳熟能详的现有公司，包括1Password（最近在6.2亿美元的融资后达到68亿美元的估值）和Lastpass（最近在落入私募股权公司手中两年后再次作为独立公司被剥离出来）。 简而言之，Bitwarden及其同类产品使人们更容易自动生成安全密码，并将其所有独特的密码和敏感信息（如信用卡数据）存储在一个安全的数字保险库中，使他们不必在其所有在线账户中重复使用同一个不安全的密码。 当然，Bitwarden最大的区别在于它是建立在一个开源的代码库之上，这对具有安全意识的个人和企业来说是件好事–他们可以完全检查平台的内部工作。此外，人们可以对代码库做出贡献，加快新功能的开发。 在基本的免费服务之上，Bitwarden还提供了一系列付费的高级功能和服务，包括单点登录（SSO）集成和身份管理等高级企业功能。 值得注意的是，今天的”少数人增长投资”代表了Bitwarden在其七年历史上的第一次实质性外部融资，它在2019年筹集了一个未披露的小型A轮融资。其最新的现金注入表明，在这几年中，世界已经发生了变化。远程工作的兴起，人们越来越多地将个人和工作账户连接在同一设备上，这意味着同一密码被用于不同的服务。而这种糟糕的密码和凭证卫生使企业面临巨大风险。 此外，管理领域日益激烈的竞争和投资意味着Bitwarden不能安于现状–它需要扩张，而这正是它的资金将被用于此。事实上，Bitwarden已经确认计划将其产品扩展到几个统一的安全和隐私垂直领域，包括私密信息管理–这是1Password去年通过收购SecretHub扩展到的。 Bitwarden首席执行官Michael CranDELL在一份新闻稿中指出：”这项投资的时机非常理想，因为我们正在向开发者秘密、无密码技术和认证领域拓展。最重要的是，我们的目标是继续为所有Bitwarden用户提供长期的服务。” 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313155.htm 封面来源于网络，如有侵权请联系删除

洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击，导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务，并雇用了超过 26000 名教师。 本周一，该学区承认在上周末遭到网络攻击，随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”，不过该学区表示正着手恢复受影响的服务。LAUSD 表示，预计技术问题不会影响交通、食品或课后活动，但指出“业务运营可能会延迟或修改”。 该学区警告说，持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实，教师和学生可能无法访问 Google Drive 和 Schoology，这是一个 K- 12 学习管理系统，直至另行通知。 LAUSD 表示，根据对关键业务系统的初步分析，“员工医疗保健和工资单没有受到影响，网络事件也没有影响学校的安全和应急机制”。然而，目前尚不清楚攻击期间是否有任何数据被盗，LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件，旨在进一步勒索受害者，威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313305.htm 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发现一个名为EvilProxy的反向代理网络钓鱼即服务 (PaaS) 平台在暗网开始活跃。在其宣传资料中，EvilProxy声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。如果它没有吹牛的话，那么全球科技巨头几乎都被一网打尽。 而该服务最令安全专家感到担忧之处是，它可以让一个没有多少技术水平的小白黑客也可以轻松设置反向代理，从而窃取那些有着安全措施的账户信息。换句话说，一旦EvilProxy宣传的功能成为现实，那么人人皆可成为黑客，企业安全将面临巨大的网络钓鱼攻击威胁。 反向代理服务窃取账户信息 资料显示，反向代理服务器位于用户与目标服务器之间，但是对于用户而言，反向代理服务器就相当于目标服务器，即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时，用户不需要知道目标服务器的地址，也无须在用户端作任何设定。 而当用户连接到网络钓鱼页面时，反向代理会显示合法的登录表单、转发请求并从公司网站返回响应，这意味着用户所拥有的防护措施将会完全失效。由于反向代理服务期存在，用户登录账户的整个过程相当于是一个正常流程：用户会将登录的账号密码、MFA全部输入到网络钓鱼页面，同时被转发到用户登录的实际平台服务器，并返回一个会话 cookie，这和正常登录没有任何区别。 但是在这个过程中，攻击者可以轻松窃取包含身份验证令牌的会话 cookie，使用此身份验证 cookie 以用户身份登录站点，绕过配置的多因素身份验证保护，从而实现窃取用户账号的隐私信息。 反向代理工作示意图 近段时间以来，极具威胁的APT组织一直在使用反向代理来绕过目标账户的MFA保护，其中既会使用一些自有工具，也会使用一些更易于部署的工具包，如 Modlishka、Necrobrowser 和 Evilginx2。 这些网络钓鱼框架和 EvilProxy之间的区别在于后者更易于部署，提供详细的教学视频、教程、图形界面，以及用于互联网攻击服务的大量克隆的网络钓鱼页面。而这才是EvilProxy最可怕的地方，它的出现拉低了网络钓鱼攻击的技术门槛，让发起攻击和信息窃取成为一件更普通的事情。 平台使用说明 EvilProxy究竟是如何实现的 网络安全公司 Resecurity 报告称 ，EvilProxy 提供了一个易于使用的 GUI，攻击者可以在其中设置和管理网络钓鱼活动，以及支持它们的所有细节。 选择网络钓鱼服务上的活动选项 EvilProxy服务承诺窃取用户名、密码和会话cookie，费用为150美元（10天）、250美元（20 天）或400美元（30天）。而针对Google帐户攻击的使用费用更高，为 250/450/600 美元。Resecurity还在社交平台上演示了，EvilProxy是如何针对Google帐户发起网络钓鱼攻击。 虽然该服务在各种 clearnet 和暗网黑客论坛上得到积极推广，但运营商会对客户进行针对性审查，因此对于一些潜在买家可能毫无吸引力。 据 Resecurity 称，EvilProxy服务的付款是在Telegram上单独进行，付款结束后，用户可以访问托管在洋葱网络 (TOR) 中的门户。Resecurity 对该平台的测试证实，EvilProxy 还提供虚拟机、反分析和反机器人保护，以过滤平台托管的网络钓鱼站点上的无效或不受欢迎的访问者。 EvilProxy 上的反分析功能 Resecurity在报告指出，不良行为者正在使用多种技术和方法来识别受害者，并保护网络钓鱼工具包代码不被检测到。与欺诈预防和网络威胁情报 (CTI) 的解决方案一样，它们汇总了目前已知的VPN服务、代理、TOR 出口节点和其他主机的数据，这些数据可用于（潜在受害者的）IP声誉分析。 随着 MFA 采用率的不断提高，越来越多的攻击者转向反向代理工具，EvilProxy自动化反向代理平台的出现，对于企业安全人员来说是一个非常糟糕的消息。目前该问题仍然可以通过实施客户端 TLS 指纹识别和过滤中间人请求来解决。但是，这样的解决方式并不适合所有的行业。 因此，像 EvilProxy这样的平台本质上弥合了技能差距，并为低技术能力的攻击者提供了一种具有成本效益的方式来窃取有价值的账户。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343843.html 封面来源于网络，如有侵权请联系删除