Hackernews 编译，转载请注明出处： 国家黑客越来越多地在其入侵活动中采用和整合Sliver命令和控制（C2）框架，以取代Cobalt Strike。 微软安全专家说：“鉴于Cobalt Strike作为攻击工具的受欢迎程度，随着时间的推移，针对它的防御措施也有所提高。因此，Sliver为寻找低门槛的鲜为人知的工具集的黑客提供了一个有吸引力的选择。” Silver于2019年底由网络安全公司BishopFox首次公开，是一个基于Go的开源C2平台，支持用户开发的扩展、自定义植入物生成和其他征用选项。 “C2框架通常包括一个服务器，该服务器接受来自受损系统上植入物的连接，以及一个客户端应用程序，该客户端应用程序允许C2操作员与植入物进行交互并发出恶意命令。”微软表示。 除了促进对受感染主机的长期访问外，跨平台工具包还提供stagers，这是一种主要用于在受损系统上检索和启动全功能后门的有效载荷。 其用户中包括一个多产的勒索软件即服务（RaaS）附属公司，被追踪为DEV-0237（又名FIN12），该附属公司以前利用从其他集团（又名初始访问代理）获得的初始访问权限来部署各种勒索软件，如Ryuk、Conti、Hive和BlackCat。 微软表示，它最近观察到网络犯罪行为人通过将Sliver和其他后期开发软件嵌入到Bumblebee（又名COLDTRAIN）加载器中，然后将其丢弃。该加载器于今年早些时候作为BazarLoader的继任者出现，并与更大的Conti集团有联系。 从Cobalt Strike到免费可用的工具被认为是对手的一种尝试，以减少其在受损环境中暴露的机会，并使归因具有挑战性，从而提高其活动的隐蔽性和持久性。 Sliver并不是唯一一个引起黑客注意的框架。近几个月来，一个可疑的俄罗斯国家赞助组织开展的活动涉及另一个名为Brute Ratel的合法对抗性攻击模拟软件。 “Sliver和许多其他C2框架是黑客如何不断试图逃避自动安全检测的另一个例子。”微软表示。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer8月24日消息，一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合，以入侵企业高管的 Microsoft 365 帐户，其中包括受多因素身份验证 （MFA） 保护的帐户。 Mitiga 的研究人员在一次事件响应案例中发现了这一活动，这是一种典型的商业电子邮件泄露攻击，目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信，并在适当的时候回复电子邮件，将大笔资金交易转移到他们控制的银行账户。 在攻击开始时，攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件，并附有新的付款指令，这些指令会切换到由攻击者控制的银行账户。 在Mitiga例举的一个攻击样例中，对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件，（DocuSign 是一种在企业环境中广泛使用的电子协议管理平台），虽然电子邮件没有通过 DMARC 检查，但 Mitiga 发现， DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时，受害者会被带到一个欺骗域上的网络钓鱼页面，要求收件人登录到 Windows 域。 发送给目标高管的网络钓鱼邮件 攻击者被认为使用网络钓鱼框架（例如 Evilginx2 代理）来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间， Evilginx2 等工具充当代理，位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间，当受害者输入他们的凭证并解决 MFA 问题时，代理会窃取 Windows 域生成的Cookie。这时，可以将偷来的Cookie加载到他们自己的浏览器中，自动登录到受害者的账户中，并绕过MFA。 攻击者将手机添加为新的 MFA 设备 由于有效Cookie可能会过期或被撤销，因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户，这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。 在 Mitiga 看到的案例中，攻击者添加了一部手机作为新的身份验证设备，以确保他们可以不间断地访问受感染的帐户。据研究人员称，攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志，他们没有对受害者的收件箱采取任何行动，大概只是阅读电子邮件。 然而，攻击者可能正在等待合适的时机注入他们自己的电子邮件，以将发票付款转移到攻击者控制的银行账户中。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342973.html 封面来源于网络，如有侵权请联系删除

新的研究称，在五大科技公司中，Google追踪的用户隐私数据比其他公司都多，而苹果追踪的数据最少。此前，苹果公司专门推出了《应用程序跟踪透明度》指引，以保护用户的隐私不受其他公司的影响。然而，一份新的报告称，苹果也在避免自己做任何超过运行其服务所需的追踪，据StockApps.com报道，苹果”是最有隐私意识的公司”。 研究人员评价：”苹果只存储维护用户账户所需的信息，这是因为他们的网站不像Google、Twitter和Facebook那样依赖广告收入”。 StockApps.com的报告没有列出它所说的大科技公司为每个用户收集的”数据点”。然而，它说它们包括位置信息、浏览器历史记录、在第三方网站上的活动，在Google的案例中，还包括Gmail中的电子邮件。 研究报告没有详细说明其方法，但委托了营销公司digitalinformationworld调查苹果、亚马逊、Facebook、Google和Twitter。 在这五家公司中，Google跟踪每个用户的39个独立数据点，而苹果只跟踪12个。出乎意料的是，Facebook却只追踪14个数据点，而亚马逊追踪23个，Twitter追踪24个。 StockApps.com的Edith Reads说：”大多数人没有时间或耐心去阅读他们所访问的每个网站的隐私政策，这些政策可能有几页长。结果，用户最终允许Google通过同意隐私政策条款收获他们需要的所有数据。” 澳大利亚政府最近因Android系统的位置追踪问题对Google罚款4000万澳元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308685.htm 封面来源于网络，如有侵权请联系删除

Microsoft Security 博客官方发布的最新《Cyber Signals》报告指出，勒索软件即服务 (RaaS)日益猖獗，但是常规的软件设置就能应对，可以阻止大部分勒索软件攻击。此外，报告中还发现客户错误配置云服务、依赖不可靠的安全软件、通过默认宏设置流量勒索软件，这导致微软制造了某种勒索软件攻击，即人为操作的勒索软件。 在报告中指出：“你可能会使用某个热门应用来实现某种目的，但是这并不意味着攻击者将其武器化以实现另一个目标。其中最为常见的是，应用的‘经典’配置意味着它的默认状态，允许该组织内的任意用户进行广泛访问。不要忽视这种风险，也不要担心中断而更改应用设置”。 那么解决方案是什么呢？ 微软威胁情报分析师 Emily Hacker 建议删除重复或未使用的应用程序，这有助于防止有风险的程序成为勒索软件攻击的门户。其次，注意授予 TeamViewer 等应用程序的权限。 Hacker 发现的其他一些勒索软件端点包括密码被盗、身份不受保护、安全产品丢失或禁用以及修补速度缓慢，她为此提供了身份验证、解决安全盲点以及保持系统最新等解决方案。Hacker 分析认为，与实施增强的安全协议相比，早期和常规的预防措施成本更低。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308853.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 黑客已经开始使用Tox点对点即时消息服务作为命令和控制方法，这标志着其早期作为勒索软件谈判的联系方式的角色发生了变化。 Uptycs分析了一个可执行和可链接格式（ELF）工件（“72client”），该工件充当机器人，可以使用Tox协议在受损主机上运行脚本。 Tox是一种用于在线通信的无服务器协议，它通过使用网络和加密库 （NaCl，发音为“salt”）进行加密和身份验证，提供端到端加密 （E2EE） 保护。 研究人员Siddharth Sharma和Nischay Hedge说：“在野外发现的二进制文件是一个剥离但动态的可执行文件，使反编译更容易，整个二进制文件似乎是用C编写的，并且只是静态链接了c-toxcore库。” 值得注意的是，c-toxcore是Tox协议的参考实现。 Uptycs进行的逆向工程表明，ELF文件旨在将shell脚本写入位置“/var/tmp/”（Linux中用于临时文件创建的目录）并启动它，使其能够运行命令以杀死加密矿工相关进程。 除此之外，还执行了第二个例程，该例程允许它在系统上运行许多特定命令（例如，nproc、whoami、machine-id等），其结果随后通过UDP发送到Tox接收方。 此外，二进制文件还具有通过Tox接收不同命令的功能，在此基础上更新shell脚本或临时执行，发出的“退出”命令将退出Tox连接。 Tox历来被勒索软件黑客用作通信机制，但最新的开发标志着该协议首次被用于在受感染的机器上运行任意脚本。 研究人员说：“虽然讨论的样本没有做任何明显的恶意行为，但我们认为它可能是coinminer活动的一部分。因此，监控攻击链中涉及的网络组件变得非常重要。” 在披露的同时，有报道称，被称为IPFS的分布式文件系统解决方案越多地用于托管网络钓鱼网站，使数据拦截变得更加困难。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

8月23日消息，谷歌威胁分析小组（TAG）发现，名为Charming Kitten的伊朗政府支持团体，在其恶意软件库中增加了一个新工具，可以从Gmail、雅虎和微软Outlook账户中检索用户数据。 谷歌将该工具称为HYPERSCRAPE，该工具在2021年12月首次被发现。据说伊朗用这个开发中的软件入侵了二十余个帐户，已知最早的样本可以追溯到2020年。 Charming Kitten是一个高度活跃的高级持续性威胁（APT），据信与伊朗的伊斯兰革命卫队（IRGC）有关，曾参与过与政府利益一致的间谍活动。 它还被追踪为APT35、Cobalt Illusion、ITG18、Phosphorus、TA453和Yellow Garuda，该组织的成员还进行勒索软件攻击，这表明威胁者的动机既包含间谍活动，又包含经济原因。 谷歌TAG研究员Ajax Bash说：”HYPERSCRAPE需要受害者的账户凭证，通过劫持的有效、认证的用户会话或者攻击者已经获得的凭证运行。 该工具以.NET编写，可以在Windows机器上运行，它具有下载和窃取受害者电子邮件收件箱内容的功能，此外，它还可以删除谷歌发送的安全邮件。 如果一封邮件原本是未读的，该工具会在打开并下载邮件的”.eml “文件后将其标记为未读。更重要的是，据说HYPERSCRAPE的早期版本包含了一个从谷歌Takeout请求数据的选项，该功能允许用户将他们的数据导出到一个可下载的存档文件中。 在此之前，普华永道最近发现了一个基于C++的Telegram “抓取 “工具，用于获取特定账户的Telegram信息和联系人。 此前，Charming Kitten还部署了一个名为LittleLooter的定制安卓监控软件，这是一款功能丰富的植入软件，能够收集存储入侵设备中的敏感信息，并记录音频、视频和通话。 研究员表示：”像他们的许多工具一样，HYPERSCRAPE技术并不复杂，但能高效地实现目标。”他表示，受影响的账户已被重新保护，并通知了受害者。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342863.html 封面来源于网络，如有侵权请联系删除

一位擅长以各种创新方式从断网设备中提取数据的安全研究专家近日发现了一个新漏洞，可以使用手机窃取气隙系统的数据。气隙系统（air gapped）指的是，将电脑与互联网以及任何连接到互联网上的电脑进行隔离。该系统在物理上是隔离的，无法与其他计算机或网络设备进行无线或物理连接。 气隙系统主要用于关键基础设施以及其他对网络安全有极高要求的场所。虽然气隙系统在日常环境中并不常见，但是近年来也出现了针对这种系统的攻击方式，例如使用附近智能手机的麦克风接收数据的 Mosquito 攻击。 因此，Apple 和 Google 在 iOS 和 Android 中引入了权限设置，阻止应用程序访问设备的麦克风，并且当麦克风处于活动状态时，这两种操作系统都会使用视觉指示器。 和麦克风不同，在大部分现代化智能手机中陀螺仪已经是标准配置。陀螺仪用于检测智能手机的旋转速度，并被广泛认为是一种更安全的传感器，因为 iOS 或 Android 都没有指示它们何时被使用，也没有提供完全阻止访问的选项。 现在，Mosquito 攻击的创造者有了一项新技术，它使用智能手机的陀螺仪来接收附近听不见的声波，整个过程不依赖于麦克风。 本古里安大学网络安全研究中心的研发负责人 Mordechai Guri 在他最新的研究论文中表示，这种被他称为“Gairoscope”的新攻击可以在“几米远”的范围内从气隙计算机中窃取敏感信息。 与针对气隙系统的其他攻击一样，Guri 的“Gairoscope”概念验证需要非常接近气隙系统。但是从那里，攻击者可以通过侦听从气隙系统的扬声器产生的声波并从附近智能手机的陀螺仪中拾取来收集密码或登录凭据。 Guri 说，这些听不见的频率会产生“智能手机陀螺仪内的微小机械振荡”，可以将其转换为可读数据。他补充说，攻击者可以使用移动浏览器执行漏洞利用，因为可以使用 JavaScript 访问手机陀螺仪。 虽然该方法仍处于试验阶段，但 Guri 和他的团队建议了一些旨在限制新恶意软件影响的对策，例如消除扬声器以创建无音频网络环境，并使用音频硬件过滤掉音频硬件产生的共振频率。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308531.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： VMware本周发布了补丁，以解决VMware Tools实用工具套件中的一个严重漏洞，该漏洞被跟踪为CVE-2022-31676。 VMware Tools是一组服务和模块，支持公司产品中的多项功能，以便更好地管理客户机操作系统，并与客户机操作系统进行无缝用户交互。 对客户机操作系统具有本地非管理访问权限的攻击者可以触发CVE-2022-31676漏洞，从而提升受损系统上的权限。 通报中写道：“VMware Tools受到本地权限提升漏洞的影响，对客户机操作系统具有本地非管理访问权限的黑客可以作为虚拟机中的root用户提升权限。” 该漏洞影响了Windows和Linux平台上的工具，该公司发布的固定版本是12.1.0和10.3.25。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

安全内参8月24日消息，距巴黎市中心28公里，拥有1000张床位的Center Hospitalier Sud Francilien（简称CHSF）医院上周日（8月21日）遭遇网络攻击，迫使其将患者转诊至其他机构，并推迟了手术预约。 CHSF为当地60万居民提供诊疗服务，因此任何运营中断，都有可能给身处危急关头的病患造成健康甚至是生命威胁。 经谷歌翻译，CHSF发布的公告称，“此次计算机网络攻击，导致我院业务软件、存储系统（特别是医学影像）及与患者入院相关的信息系统暂时无法访问。” 该医院的管理部门尚未发布进一步事态更新，目前IT系统中断引发的运营紧缺也仍未结束。 CHSF的医生们已经在对需要紧急护理的病患进行评估，如果迫切需要医学影像诊疗，病患们将被转移至另一处医疗中心。 法媒《世界报》称，攻击CHSF的勒索软件团伙要求受害者支付1000万美元以换取解密密钥。 一位警方消息人士向《世界报》透露，“目前，巴黎检察官办公室旗下的网络犯罪部门，已经启动了对这一入侵计算机系统，并企图实施勒索的有组织黑客团伙的调查”，由“调查工作由打击数字犯罪中心（C3N）的宪兵负责。” 幕后黑手或为LockBit 3.0 法国网络安全记者Valéry Riess-Marchive在事件中发现了LockBit 3.0感染的迹象，并提到介入调查的国家宪兵也正在负责追踪Ragnar Locker和LockBit。 Riess-Marchive表示，根据Ragnar Locker以往只向大规模关键基础设施目标下手的特点，这次事件应该不是其所为。相比之下，LockBit 3.0的攻击目标则要广泛得多。 如果LockBit 3.0确实就是CHSF攻击事件的幕后黑手，那他们就违反了RaaS的“行规”，即不得由附属组织向医疗保健服务商的系统发动加密攻击。 目前，这场事端究竟是谁所为还不明确，LockBit 3.0的勒索网站上也还没挂出CHSF的信息，所以前面的一切分析仍然只是假设。 转自 安全内参，原文链接：https://www.secrss.com/articles/46196 封面来源于网络，如有侵权请联系删除

近期，Security Affairs 网站披露，DevOps 平台 GitLab 修复了其社区版（CE）和企业版（EE）中出现的一个关键远程代码执行漏洞，该漏洞被追踪为 CVE-2022-2884（CVSS 评分 9.9）。 据悉，攻击者经过“身份验证”后，可以通过 GitHub 导入 API 利用该漏洞。目前 DevOps 平台 GitLab 已经发布了安全更新，修复了这一影响其 GitLab 社区版（CE）和企业版（EE）的关键远程代码执行漏洞。 GitLabCE/EE 多个版本受到漏洞影响 漏洞爆出不久后，GitLab 运营商在发布的安全公告中表示，GitLab CE/EE 中的漏洞（CVE-2022-2884）主要影响11.3.4——15.1.5之间的所有版本，此外，从 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到严重影响。 值得一提的是，运营商在公告中着重强调，CVE-2022-2884 漏洞允许经过“身份认证”的攻击者从 GitHub 导入 API 端点实现远程代码执行，因此强烈建议所有安装了受漏洞影响版本的用户尽快升级到最新版本。 漏洞是否在野被利用尚不清楚 从媒体披露的信息来看，研究人员 yvvdwf 最早发现了 CVE-2022-2884 漏洞，随后通过 HackerOne 漏洞赏金计划，快速报告了该漏洞。 鉴于一些用户无法立即升级到最新版本，GitLab 运营商提供了一个解决方法。建议用户以 “管理员 ”身份认证后，从设置菜单的 “可见性和访问控制 ”标签中禁用 GitHub 的导入功能。 最后，安全研究人员声称，目前尚不清楚 CVE-2022-2884 漏洞是否在野外攻击中被积极利用。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342725.html 封面来源于网络，如有侵权请联系删除