据火绒安全实验室发布的消息，火绒监测到某勒索软件突然爆发，后门模块位于用友畅捷通 T+ 软件目录里。病毒爆发时间与用友畅捷通 T+ 软件升级模块时间很近，火绒安全实验室怀疑此安全问题可能是供应链攻击。 即黑客可能使用某些方式劫持用友畅捷通 T+ 升级模块，导致用户尝试更新升级将后门模块下载到本地执行。 目前用友并未就该问题发布声明 , 因此还无法确定到底是供应链攻击还是通过其他方式劫持导致企业中毒的。 企业用户应提高警惕： 使用用友畅捷通的主要都是企业，而且存储的可能都是财务之类的重要信息，中毒后被加密可能会有大麻烦。 火绒经过研究发现黑客首先会通过漏洞或其他方式向受害者终端投放后门模块，然后通过后门模块执行代码。 之后通过后门模块在内存中加载并执行勒索病毒，当文件被加密后黑客在勒索信里要求企业支付 0.2 比特币。 该病毒被命名为FakeTplus，也就是根据用友畅捷通T+来命名的，目前火绒安全软件已经可以成功查杀病毒。 使用畅捷通的企业可以在升级前安装火绒杀毒，这样如果升级时仍然存在安全问题火绒会直接杀掉这个后门。 疑似有企业支付赎金： 蓝点网查询火绒提供的勒索信，发现里面黑客留的地址已经开始有交易记录，交易记录时间与病毒投放吻合。 该地址有4次交易记录，有1次是笔0.2 BTC 转账，这意味着已经有受害企业向黑客支付赎金以换取解密密钥。 考虑到黑客可能会给每个受害者留不同的地址因此更难以追查，也无法判断黑客到目前已经收到多少比特币。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310351.htm 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，研究人员发现了从泰国医学科学部泄漏的患者个人身份信息（PII），其中包含部分 COVID-19患者的数据信息。 首次发现泄露泰国患者 PII 的是网络安全公司 Resecurity，随后与泰国 CERT共享这一事件。（Resecurity 公司主要为大型企业提供网络安全保护服务） 值得一提的是，目前已经有几个暗网市场在出售泄露的数据，可通过不良犯罪分子创建的 Telegram 频道进一步购买。 根据对获得样本进行详细分析可以发现，攻击者能够在未经授权的情况下，访问政府门户网站，使其能够非法管理用户信息和相关记录。 从 Resecurity 发布的帖子来看，由于用于在线调查的 WEB-app 授权模块中存在主动 SQL 注入漏洞，使得攻击者能够窃取用户个人信息。据不完全统计，患者信息主要包括姓氏、名字、性别、年龄、联系方式、医疗史和相关当地医疗识别码等。 漏洞爆出之前，攻击者可能已经访问了至少 5151 份详细记录，潜在暴露的总数约为 15000 份。 泰国并不是唯一“受害者” 在泰国，大多数医疗服务都是以数字形式提供给其公民，这导致其成为网络黑客组织和其他攻击者收集信息的诱人目标。举一个很简单的例子，黑客在成功盗取公民个人信息后，可以使用被盗数据进一步盗取身份。 泰国并不是网络犯罪分子窃取公民个人医疗数据唯一地区，印度尼西亚和印度也发生了 COVID-19 患者记录被盗事件。 Resecurity 已经与相关部门和执法部门分享了被曝光的泄漏数据，以确保受影响的公民能够在泰国现有的隐私法和数据保护条例范围内得到保护。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343260.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）在其已知漏洞目录中添加了10个新漏洞，其中包括影响Delta Electronics工业自动化软件的高严重性安全漏洞（CVE-2021-38406 CVSS 评分：7.8）。 根据具有约束力的操作指令（BOD）22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 据美国机构称，Delta Electronics DOPSoft 2在解析特定项目文件时缺乏对用户提供的数据的正确验证（输入验证不正确）。攻击者可以触发该漏洞，导致越界写入并实现代码执行。 重要的是没有安全补丁可以解决此问题，并且受影响的产品已经报废。 CISA还在Apple iOS、macOS和watchOS中添加了一个Sanbox绕过漏洞，跟踪为CVE-2021-31010 （CVSS评分：7.5）。 “在受影响的Apple iOS、macOS和watchOS版本中，沙盒进程可能能够绕过沙盒限制。”公告中写道。 添加到该目录的其他漏洞有： CVE-2022-26352  – dotCMS无限制上传文件漏洞 CVE-2022-24706  – Apache CouchDB资源不安全默认初始化漏洞 CVE-2022-24112  – Apache APISIX身份验证绕过漏洞 CVE-2022-22963  – VMware Tanzu Spring Cloud Function远程代码执行漏洞 CVE-2022-2294  – WebRTC堆缓冲区溢出漏洞 CVE-2021-39226  – Grafana身份验证绕过漏洞 CVE-2020-36193  – PEAR Archive_Tar链接解析不当漏洞 CVE-2020-28949  – PEAR Archive_Tar不受信任数据反序列化漏洞 CISA命令联邦机构在2022年9月15日之前修复这些漏洞。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

能拍照，能定位，还能打电话……近年来，儿童智能手表获得了越来越多未成年学生的青睐。暑假期间，各大品牌的儿童智能手表更是再次进入了销售高峰。然而，儿童智能手表这个快速增长的市场却频发乱象。信息泄露和免密支付带来的资金风险等问题，都是对未成年人安全的潜在威胁。 “碰一碰手表，加个好友吧！”如今，这句话成了不少儿童社交时打招呼的见面语。从前的儿童手表，只能提供定位和紧急通信联络等一些简单功能。而如今，经过多年的迭代升级，儿童智能手表样式新颖而时尚，硬件配置和功能越来越强大。儿童智能手表早已不像传统的手表，而更像是一部戴在手腕上的，集定位、通话、社交、娱乐、学习、购物、拍照搜题等多种功能于一体“智能手机”。而且由于其手表的外观，佩戴儿童智能手表，往往可以绕开“中小学生不得带手机进校园”的规定。因此，儿童智能手表备受中小学生的推崇。 儿童智能手表市场蓬勃发展背后，乱象也在滋生。记者调查发现，一些儿童手表里可以下载的应用程序（App）多达上百款，其中不乏游戏类App。下载这些各式各样的App，很容易导致孩子沉迷其中，既耽误学习，也影响视力。 其中，一些App一旦绑定手机号，就同步开通了免密支付。在家长不知情的情况下，孩子可以随意进行消费，包括购物、开通平台VIP服务，购买游戏皮肤等，极大地影响了家庭的资金安全。 公开统计数据显示，近10年来我国14岁以下儿童人口数量一直保持在2.5亿人左右，这些人都是儿童智能手表的潜在用户。而随着“三胎政策”的放开，14岁以下儿童的数量可能会进一步上升，儿童智能手表的潜在用户还在进一步增加。据相关机构统计，近年来我国儿童手表保持较快增长，在2020年，其销售量已经达到了2990万件。 信息泄露极大危害用户安全 今年央视的“3·15”晚会曝光了儿童手表的许多信息安全漏洞。儿童手表中的一些App在安装后，无需用户授权就可以获得定位、通讯录、麦克风、摄像头等多种敏感权限，从而轻易获取孩子的位置、人脸图像、录音等个人隐私信息。 根据报道，“3·15”信息安全实验室对电商平台有着“10万+”销售记录的一款儿童智能手表展开了专门的测试。测试人员将一个恶意程序的下载二维码伪装成抽奖游戏，儿童通过这款手表扫码之后，恶意程序就轻松进驻到了手表中。工程师可以实现对这款手表的远程控制，采集位置信息、监听通话记录、偷窥视频等操作易如反掌。 儿童智能手表信息泄露的根本原因在于操作系统过于老旧。报道指出，这款手表使用的竟然是没有任何权限管理要求的安卓4.4操作系统。由于该操作系统的落后性，App申请什么权限，系统就会给App什么权限，而不会给用户任何告知。在该系统下，App无需用户授权就可以获得多种敏感权限。手表厂商选择低版本的操作系统是压缩成本而忽视安全的举措，给儿童带来的风险后患无穷。 廉价儿童手表更是信息安全的“重灾区”。科技日报记者在某电商平台搜索发现，在售的电话手表价格从35元到3600元不等，既有“小天才”“华为”“360”等大品牌，也有不少小品牌，可谓鱼龙混杂。 此外，许多儿童智能手表对App缺乏监管和筛选，用户可以轻易搜到色情、暴力等不良内容。部分平台还存在诱导消费、推送广告等问题。 解决乱象应靠他律与自律 今年4月，市场监管总局发布了推荐性国家标准GB/T41411-2022《儿童手表》。该标准将于今年11月1日开始实施。作为首个儿童手表国家标准，该标准覆盖了儿童手表的定位性能、通话、电磁辐射、信息安全等关键质量安全和性能指标，并提出了相关的评估和检测方法。 7月18日，中央网信办等部门将组织开展为期2个月的专项行动，聚焦未成年人使用频率高的短视频直播、社交、学习类App、网络游戏、电商、儿童智能设备等平台，集中解决涉未成年人问题乱象。该项活动强化对专门供未成年人使用的智能手表、智能音箱、平板电脑、早教故事机等智能设备信息内容管理，深入排查语音、视频、文字、图片、游戏等场景，以全面清理违法不良信息。 产业经济分析师、钉科技创始人丁少将在接受媒体采访时表示：“儿童智能硬件，安全性一定是基础，包括硬件本身的安全和内容的安全。一方面，厂商需要在功能开发和商业变现上进行克制和自律，确保安全底线不被突破；另一方面，国家有关方面在安全性方面可以设置细化的准入标准，特别是内容审查上要更加严苛，从而规范儿童智能硬件市场的发展。” 儿童手表制造、销售等相关行业呼吁，应对专项行动过程中行之有效、操作性强的具体措施和经验加以总结、完善，构建规范化、制度化、长效化的制度机制。比如在严格落实《未成年人保护法》等法律法规的基础上，针对儿童智能硬件的安全性设立行业准入标准，进一步明确儿童手表厂商和软件开发商的法律责任以及相关部门的监管责任，将儿童手表的生产、销售、使用等所有环节纳入常态化监管，还孩子们一个清朗的成长环境。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310111.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 泄露的文件显示，监控公司Intellexa以800万美元的价格为iOS和Android设备提供漏洞攻击。 Intellexa是一家由以色列企业家Tal Dilian创立的监控公司，为执法和情报机构提供监控和黑客解决方案。 Vx-underground研究人员分享了一些机密文件的图像，这些文件似乎是Intellect提供的商业服务。 泄露的文件详细说明了以800万美元的价格购买了一个iOS远程代码执行零日漏洞。 泄露的文档表明，该公司提供从Android和iOS设备远程提取数据的服务。该服务包括基于浏览器的远程一键攻击，允许黑客破坏Android和iOS移动设备，攻击者可以通过诱骗客户点击链接来利用这些漏洞。 该公司为iOS和Android设备提供10种并发感染，以及“100种成功感染的杂志”。 重要的是，这些漏洞可能针对Android 12升级和iOS 15.4.1，因为苹果在3月份发布了iOS 15.4.1，这意味着这是最近发生的事情，因此，目前还无法确定苹果公司是否已经解决了这些漏洞。 该监控公司的一份文件提供了Android设备列表，这些设备可能会成为一键式攻击的目标。 Vx-undergroud分享的文件表明，监控行业持续增长，利润可能巨大。 今年6月，谷歌威胁分析小组的研究人员透露，意大利监控公司RCS Labs 在意大利和哈萨克斯坦的一些互联网服务提供商的帮助下，用间谍软件感染Android和iOS用户。 过去几个月，许多其他监控公司登上了头条，包括NSO 集团、Candiru和DSIRF。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer网站8月28日消息，LockBit 勒索软件团伙宣布，他们正着手改进对分布式拒绝服务 (DDoS) 攻击的防御，以应对来自安全机构的攻击，并借此来大力提高自身勒索实力。 近期，该团伙曾遭到数字安全巨头 Entrust组织的DDoS攻击，这是由于在6月18日，Entrust 的数据在一次攻击中被 LockBit 窃取。Entrust拒绝支付赎金，该团伙宣布在 8 月 19 日公布所有被盗数据，但Entrust发动的DDoS攻击成功阻止了这次公开行为。 上周，LockBit的对外账号LockBitSupp发布消息称，该组织已重新开展业务，拥有更大的基础设施，可以进行不受 DDoS 攻击影响的数据泄露，并表示正在招募 dudosers（DDoSers），试图将 DDoS 作为一种勒索策略。经历了来自Entrust的攻击，该团伙似乎认为三重勒索、加密 + 数据泄漏 +DDoS的攻击组合方式不仅威力更大，也更加有趣。 可能是出于对攻击的报复，LockBit承诺会泄露从Entrust 窃取的超过 300GB数据，并宣称“要让全世界都知道你的秘密”。 LockBit表示，他们将与任何与他们联系的人私下分享 Entrust 数据，目前看来LockBit似乎信守了承诺，在上周末发布了一个名为“entrust.com”的种子文件，其中包含 343GB大小的文件。 Lockbit 泄露的 Entrust 数据 LockBit希望Entrust 的数据可以从多个渠道公开，除了在他其自有网站上发布之外，他们还通过至少两个文件存储服务共享了 Torrent。 为了防止进一步的 DDoS 攻击，LockBit已在受害者的赎金记录中使用唯一链接，此外还增加镜像和复制的服务器数量，并计划通过防弹存储服务（bulletproof storage service）及 Clearnet 访问被盗数据，从而提高被盗数据的可用性。 自 2019 年 9 月以来，LockBit 勒索软件已经活跃了近三年，近期除了针对Entrust进行攻击，还攻陷了意大利税务局，并窃取了78GB的个人数据信息。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343132.html 封面来源于网络，如有侵权请联系删除

安全研究人员发现，超过130个组织，包括Twilio、DoorDash和Signal，都有可能被黑客入侵，这是被安全研究人员称为 “0ktapus”的长达数月的网络钓鱼活动一部分。 根据网络安全机构Group-IB的一份报告，属于近10000人的登录凭证被攻击者盗取，他们模仿了流行的单点登录服务Okta。目标被发送短信，将他们转到一个钓鱼网站。正如Group-IB的报告所说，从受害者的角度来看，这个钓鱼网站看起来很有说服力，因为它与他们习惯看到的认证页面非常相似。受害者被要求提供他们的用户名、密码和一个双因素认证代码。这些信息随后被发送给攻击者。 尽管该活动很成功，但Group-IB的分析表明，攻击者有点缺乏经验。有趣的是，Group-IB的分析表明，攻击者在某种程度上是没有经验的，对网络钓鱼工具包的分析显示，它的配置很差，它的开发方式提供了提取被盗凭证进行进一步分析的能力。 但无论是否缺乏经验，这次攻击的规模是巨大的，Group-IB检测到该活动所针对的169个独特域名。据了解，0ktapus活动始于2022年3月左右，到目前为止，大约有9931个登录凭证被盗。攻击者把他们的网撒得很开，目标是多个行业，包括金融、游戏和电信业。Group-IB引用的目标域名（但未确认被盗）包括微软、Twitter、AT&T、Verizon Wireless、Coinbase、Best Buy、T-Mobile、Riot Games和Epic Games。 现金似乎至少是攻击的动机之一，在被攻击的名单中看到金融公司，让我们认为攻击者也在试图偷钱。此外，一些目标公司提供访问加密资产和市场的机会，而其他公司则开发投资工具。Group-IB警告说，我们很可能在一段时间内不会知道这次攻击的全部规模。为了防范类似的攻击，Group-IB提供了通常的建议：一定要检查你要输入登录信息的任何网站的URL；对从未知来源收到的URL持怀疑态度；为了增加保护，你可以使用 “不可伪造的 “双因素安全密钥，如YubiKey。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309189.htm 封面来源于网络，如有侵权请联系删除

根据美国联邦通信委员会FCC周四公布的电信公司信息，15大移动运营商中有10家收集地理位置数据，并且没有提供消费者选择退出的方式。 美国联邦通信委员会7月提出的关于数据收集和保留的问题，该机构要求电信公司提供关于地理定位做法的信息，因为人们担心执法部门利用电话数据来逮捕那些现在非法或不久将非法的堕胎者。 AT&T, Best Buy Health, Charter, Comcast, Consumer Cellular, C-Spire, DISH Network, Google FI, H2O Wireless, Lycramobile, Mint Mobile, Red Pocket, T-Mobile, U.S. Cellular和Verizon对FCC的询问做出了回应。FCC主席杰西卡-罗森沃塞尔表示，这些信息和地理定位数据真的很敏感。它记录了我们去过的地方和我们是谁。这就是为什么FCC正在采取措施，确保这些数据得到保护。 在答复中，各家电信公司普遍提到需要遵守执法要求以及联邦通信委员会的规定，作为它们不能允许消费者选择不收集和保留的理由。这些答复也提供了一个了解数据保留做法的窗口，这些公司在答复当中表示，手机塔数据的保留时间从两个月到五年不等。其中只有七家公司明确提到用加密来保护这些数据。 地理定位数据为用户的生活提供了一个详细的窗口，包括从他们的购物地点到他们寻找的医疗机构等一切。然而，该机构并不依赖运营商的答复。杰西卡-罗森沃塞尔责成该机构的执法局进行后续调查，确保运营商遵守FCC的规定，要求他们披露如何使用和分享地理位置数据。 美国运营商之前曾误导消费者如何使用他们的地理位置数据。2020年，美国联邦通信委员会建议对几家主要运营商处以2亿多美元的罚款，因为他们向保释金公司和其他第三方出售客户位置数据。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309475.htm 封面来源于网络，如有侵权请联系删除

本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障，导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特（Ashutosh Barot）发现的，其中包括客户全名、性别、电子邮件地址、手机号码等等。 在阿卡萨航空公司网站于 8 月 7 日成立上线之后，巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通，但没有找到直接联系人。 这位研究专家表示：“我通过他们的官方Twitter账户联系了航空公司，要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID，我没有向其分享漏洞详细信息，因为它可能由支持人员或第三方供应商处理。所以，我再次给他们发了电子邮件，并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。 在没有得到航空公司关于他如何与安全团队联系的回应后，研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后，该航空公司承认确实存在该问题，导致 34,533 条客户记录面临风险。该航空公司还表示，暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch，它进行了额外的审查，以确保其所有系统的安全性。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309711.htm 封面来源于网络，如有侵权请联系删除

据悉，黑山国家基础设施遭到大规模“前所未有的”网络攻击。袭击了黑山政府的数字基础设施，政府已及时采取措施减轻其影响。另外，黑山立即向北约其他成员国报告了这次袭击。 公共行政部长 Maras Dukaj 说：“出于安全原因，某些服务被暂时关闭，但属于公民和公司的账户及其数据的安全并未受到威胁。” 据部长称，袭击于周四晚上开始。美国驻黑山大使馆建议美国公民将在该国的行动和旅行限制在必需品范围内，并保持最新且易于获取的旅行证件，担心这次袭击可能会影响政府识别黑山居民身份和交通的基础设施。 美国驻首都波德戈里察大使馆的网站报道说：“正在进行持续不断的网络攻击，攻击可能包括对公用事业、交通（包括边境口岸和机场）和电信部门的破坏。” 美国国家安全局向运营关键基础设施的组织发出警告。 EPCG 董事会主席 Milutin Djukanovic 解释说，国有电力公司 EPCG 已将其操作改为人工操作，以防止任何可能的损坏。作为预防措施，该公司还选择暂时停用一些客户的服务。 政府认为，这次袭击是由一个民族国家行为者精心策划的。 路透社报道，即将卸任的总理德里坦·阿巴佐维奇在周五晚上召开了国家安全委员会会议，讨论这次袭击事件。并表示，上周他的政府倒台后，这是出于政治动机。 2017年6月，尽管俄罗斯政府强烈反对威胁要进行报复，但黑山正式加入北约联盟后，黑山成为与俄罗斯有关的黑客组织 APT28 的目标。 2017年2月，黑山在几个月内第二次遭受了针对政府和媒体网站的大规模长期网络攻击。安全公司 FireEye 的研究人员分析了这些攻击，他们观察到与臭名昭著的与俄罗斯有关的 APT 组织 APT28 （又名 Fancy Bear、  Pawn Storm、  Strontium、  Sofacy、  Sednit和 Tsar Team）相关的恶意软件和漏洞利用。 在2016年10月的选举期间，又一次大规模袭击袭击了该国的机构 ，外界猜测俄罗斯政府 参与其中。 当时，黑客针对黑山发起了鱼叉式网络钓鱼攻击，恶意信息使用了与北约秘书会议有关的武器化文件，以及欧洲军队对黑山的访问。 黑客提供了 GAMEFISH 后门 （又名 Sednit、Seduploader、JHUHUGIT 和 Sofacy），这是一种仅由 APT28 组织在过去的攻击中使用的恶意软件。 2020 年 1 月，北约军事委员会 (MC) 主席斯图尔特·皮奇元帅爵士宣布了北约应对俄罗斯混合攻击的努力。“混合战”是指运用政治战，将常规战、非常规战和网络战与假新闻、外交、法律和外国选举干预等其他影响手段相结合的军事战略。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Oq8Y7zB5n7ZjQLjYobcXnQ 封面来源于网络，如有侵权请联系删除