Bleeping Computer网站8月23日消息，根据Palo Alto Networks Unit 42的一份调查报告，研究人员发现，攻击者滥用合法软件即服务 (SaaS) 平台创建钓鱼网站的行为正在激增，数据显示，从 2021 年 6 月到 2022 年 6 月，这种滥用行为大幅增加了 1100%。 SssS为网络钓鱼行为提供了一些便利，包括规避电子邮件安全系统的检测、享受高可用性以及无需学习编写代码来创建看似合法的网站。此外，由于 SaaS 平台简化了创建新站点的过程，攻击者可以轻松切换到不同的主题、扩大或多样化其运营。 Unit 42 将被滥用的平台分为六类：文件共享、调查表单器、网站生成器、笔记和文档编写平台以及个人档案。Palo Alto Networks 记录了所有类别的滥用增长。 按类别分类的 SaaS 平台滥用增长情况 Unit 42 报告解释说，多数情况下，攻击者直接在被滥用的服务上托管他们的凭证窃取页面，而在一些特定情况下，托管在被滥用服务上的登录页面本身并不包含凭证窃取表单，相反，攻击者通过一个重定向步骤将受害者带到另一个站点。 钓鱼网站可以托管在一个不回应删除请求的防弹主机服务提供商（BPH）上，因此，钓鱼行为者遵循这种做法，在牺牲转化率的同时增加活动的正常运行时间。如果最终的凭证窃取页面被删除，攻击者可以简单地更改链接并指向新的凭证窃取页面，保证钓鱼行为的持续性。 研究认为，阻止对合法 SaaS 平台的滥用非常困难，这也是 SaaS如此适合网络钓鱼活动的原因所在。对于用户而言，还是要牢记在被要求输入账户凭证时确保网站 URL 的正规性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342743.html 封面来源于网络，如有侵权请联系删除

根据Twitter前安全主管、由传奇黑客转为网络安全专家的Peiter Zatko的证词，Twitter隐藏了疏忽的安全做法，在安全方面误导了联邦监管机构，并且未能正确估计其平台上的机器人数量。这些爆炸性的指控可能会产生巨大的后果，包括联邦罚款和特斯拉首席执行官埃隆-马斯克(Elon Musk)收购Twitter的竞标可能会解体。 Peiter Zatko在1月被Twitter解雇，并声称这是对他拒绝对该公司的漏洞保持沉默的报复。上个月，他向美国证券交易委员会（SEC）提出申诉，指责Twitter欺骗股东，并违反了它与联邦贸易委员会（FTC）达成的维护某些安全标准的协议。他的投诉共200多页，由CNN和《华盛顿邮报》获得，并在今天上午以编辑的形式发表。 Peiter Zatko在接受CNN采访时说，他在2020年应时任首席执行官杰克-多尔西(Jack Dorsey)的要求加入了Twitter，当时该公司正遭受大规模黑客攻击，属于巴拉克-奥巴马、比尔-盖茨和坎耶-韦斯特等人的账户被泄露。扎特科说，他加入Twitter是因为他相信这个平台是世界上的一个”关键资源”，但由于首席执行官帕拉格-阿格拉瓦(Parag Agrawal)拒绝解决该公司的许多安全问题，他开始感到失望。 Peiter Zatko向美国证券交易委员会披露的信息包含了许多令人震惊的报告和指控，但这些是最重要的一些。Peiter Zatko在申诉中称，Twitter漏洞的一个重要部分是有太多员工可以访问关键系统。它指出，在Twitter的7000名左右的全职员工中，约有一半人可以访问用户的敏感个人资料（如电话号码）和内部软件，而且这种访问没有受到密切监控。 他还声称，数以千计的笔记本电脑包含Twitter源代码的完整副本。Peiter Zatko投诉称，Twitter多次向用户和联邦贸易委员会作出”虚假和误导性陈述”，违反了这一协议。Twitter多次声称，其每月日活跃用户中只有不到5%是机器人、虚假账户或垃圾邮件。对此，Peiter Zatko表示，Twitter衡量这一数字的方法具有误导性，而且高管们受到激励（奖金高达1000万美元），以提高用户数量，而不是清除垃圾机器人。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1307899.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer消息，安全研究人员发现超过八万台海康威视摄像机尚未更新固件，容易受到关键命令注入漏洞的影响。攻击者可将特定的消息发送至易受攻击的Web服务器，即可轻松利用该漏洞，并发起命令注入攻击。 2021年6月，网络安全研究机构Watchful IP首次发现了该漏洞，编号为CVE-2021-36260，同月，海康威视通过固件更新解决了这一问题。 但是，这并不意味着这一漏洞已经失去了效果。根据 CYFIRMA 发布的白皮书，全球100 个国家/地区的2300个正在使用受影响摄像机的组织，并未及时对固件进行安全更新，仍然处于被攻击者的威胁之中。 公开信息显示，CVE-2021-36260一共包含两个已知的公开漏洞，一个在2021 年 10 月发布，另一个在2022 年 2 月发布，因此所有技能水平的攻击者都可以轻松地搜索和利用易受攻击的摄像头。 截止到目前，安全研究人员已经观察到，大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。更糟糕的是，一个名为Moobot的恶意僵尸网络正在试图大规模利用该漏洞，这很有可能会引起更严重的网络攻击和信息泄露。因为Moobot是一基于Mirai开发的僵尸网络家族，自从其出现就一直很活跃，并且拥有零日漏洞利用的能力。 为此，海康威视强烈督促用户及时更新固件，2022年年初，CISA也曾发布警告称，CVE-2021-36260 是当时发布的列表中被积极利用的漏洞之一，攻击者可以“控制”设备，要求组织立即修补漏洞。 极易遭受攻击和伤害 CYFIRMA表示，出售网络入口点最多的是讲俄语的黑客论坛，这些入口点其中一大部分依赖于那些可用于僵尸网络或横向移动的，存在漏洞的海康威视摄像机。 在俄罗斯论坛上出售的样品 (CYFIRMA) 安全研究人员对285000个面向互联网的海康威视Web服务器的样本进行分析之后，得出的结论是仍有超过8万个摄像机容易遭受网络攻击，并广泛分布于全球各个地方。其中数量分布最多的是中国和美国，此外还有越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚等国家，未更新固件的摄像机均超过2000个。 易受攻击的海康威视摄像机 (CYFIRMA)的位置 虽然该漏洞的利用目前并未遵循特定模式，但是已经有不少攻击者参与其中。而用户想要避免被攻击者威胁，最好的办法就是立即更新固件，修复这一漏洞。倘若继续任由该漏洞存在，很有可能造成严重后果。 同时安全专家还进一步强调，用户应提升网络安全意识。除了上述命令注入漏洞外，研究员还发现很多时候用户图方便而将密码设置成“123456”等弱密码，或者是直接使用生产厂商的初始密码。 而这些日常的操作会让厂商的安全措施毁于一旦，哪怕是再好的安全产品，也无法彻底改变用户不安全的使用习惯。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342613.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 与流行智能手机品牌相关的廉价安卓设备型号是假冒版本，其中包含多个特洛伊木马，旨在攻击WhatsApp和WhatsApp Business消息传递应用程序。 Doctor Web于2022年7月首次发现的特洛伊木马，是在至少四款不同智能手机的系统分区中发现的：P48pro、radmi note 8、Note30u和Mate40。 这家网络安全公司在8月22日发布的一份报告中表示：“这些事件是由于被攻击的设备是著名品牌型号的仿冒品而造成的。此外，他们没有安装最新的操作系统版本，而是使用了早已过时的4.4.2版本，并在设备详细信息中显示相应的信息（例如，Android 10）。” 具体来说，篡改涉及两个文件“/system/lib/libcutils.so”和“/system/lib/libmtd.so”，它们被修改为当任何应用程序使用libcutils.so系统库时，它就会触发包含在libmtd.so中的特洛伊木马的执行。 如果使用这些库的应用程序是WhatsApp和WhatsApp Business，libmtd.so会继续启动第三个后门，其主要职责是从远程服务器下载附加插件并将其安装到受损设备上。 研究人员说：“被发现的后门及其下载的模块的危险在于，它们的运行方式会成为目标应用程序的一部分。因此，他们可以访问受攻击应用程序的文件，并可以阅读聊天记录、发送垃圾邮件、拦截和监听电话，以及执行其他恶意操作，具体取决于下载模块的功能。” 另一方面，如果使用这些库的应用程序是wpa_supplicant（用于管理网络连接的系统守护进程），libmtd.so则被配置为启动本地服务器，该服务器允许通过“mysh”控制台从远程或本地客户端进行连接。 基于在负责无线固件更新的系统应用程序中嵌入的另一个特洛伊木马的发现，Doctor Web推测系统分区植入可能是FakeUpdates（又名SocGholish）恶意软件家族的一部分。 就其本身而言，流氓应用程序旨在通过Lua脚本泄露有关受感染设备的详细元数据，并在用户不知情的情况下下载和安装其他软件。 为了避免成为此类恶意软件攻击的受害者，建议用户仅从官方商店和合法经销商处购买移动设备。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参8月22日消息，美国立法者希望立法改善政府的部分网络安全防御措施，但却引发了信息安全专家们的质疑和不满。 《2023财年国防授权法案》，对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过，接下来需要经参议院批准，最后由拜登总统签字执行。 今天要讨论的争议，集中在该法案草案看似合理的条款：管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。 这份拟议法案要求，对于新签和现有政府合同，软件供应商应保证“提交软件物料清单中列出的所有项目，均不存在影响最终产品或服务安全性的已知漏洞或缺陷，并给出证明。” 所谓“已知漏洞或缺陷”，是指美国国家标准与技术研究院（NIST）发布的国家漏洞数据库，以及网络安全与基础设施安全局（CISA）指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。 换句话说：国土安全部不得采购任何包含已知、已登记安全漏洞的软件。 这项要求的出发点是好的，旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面，任何代码都存在bug，这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面，漏洞数据库中相当一部分漏洞并不属于安全风险。 总而言之，如果严格执行该项法案，那么美国政府后续将无法部署任何软件/服务。 软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示，“这项要求往好了说是受到误导，往坏了想肯定会引发大麻烦。” 不过，这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”，政府一方就可购买包含已知缺陷的软件。换句话说，只要可以缓解或修复措施，就不会影响各部门的正常采购。 争议过大引发行业热议 这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件，故意对漏洞信息知情不报（不再注册CVE编号）。另一方面，各家企业在争夺合同的过程中，也可能会挖其他竞争者产品的漏洞作为“黑料”。 安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到，“立法者起草的条文相当于在说：要么放弃继续上报软件漏洞，要么被排除在软件投标范围之外，你们自己选。” “这里我要提醒一句，并不是所有安全漏洞都有严重危害，或者能够/应该缓解。感谢立法者，祝好。” 漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家，则呼吁安全专家们先别反应过激。她在Twitter上写道，新法案其实允许政府官员“采购那些虽包含CVE，但已有缓解方法的软件产品”，同时提醒政府方面“在部署之前必须缓解或接受这些风险”。 市场研究公司Dell”Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到，虽然他理解立法者们的善意动机，但在技术采购方面设置的种种要求，很可能会阻断政府的正常部署流程。 他提到，“很遗憾，这就是我们立法者的典型做法，只提要求、不讲方法。” 在Sanchez看来，这项法案的最终走向恐怕只有以下三种。 第一：立法者服软。技术游说部门等各方提出有力的反对意见，宣扬这项要求根本就无法实现（也确实无法实现），于是立法者选择删除这部分条文。 第二：做出澄清。立法者对条文“做出修正”，把这项过于理想的要求修改得更加实际。 最后：直接摆烂。立法者可能懒得费脑筋，强行出台这项新政，然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱，那就是各联邦机构和法院自己的问题了。 而且Sanchez本人的看法比较悲观。“如果让我押个宝，那我赌立法者会选择最后这条。” 转自 安全内参，原文链接：https://www.secrss.com/articles/46114 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，研究人员发现一个出于经济动机的网络犯罪集团，与针对拉丁美洲酒店和旅游机构的持续攻击浪潮有关。经研究人员详细分析后发现，其主要目的是在受感染的系统上安装恶意软件。 该犯罪团伙最早活跃可追溯到 2018 年 4 月，是一个小型犯罪威胁攻击组织。一份报告中显示，这个犯罪团伙自 2018 年以来，使用一致的战术、技术和程序，试图在受害者系统上，安装包括 Loda RAT、Vjw0rm 和 Revenge RAT 等在内的各种恶意软件。 直到 2022 年，TA558 网络犯罪组织的行动节奏开始逐渐加快，入侵的主要对象是拉丁美洲的葡萄牙语和西班牙语使用者，在西欧和北美的入侵程度较低。 据悉，该组织发起的网络钓鱼活动包括发送带有预订主题诱饵的恶意垃圾邮件消息，例如包含武器化文档或 URL 的酒店预订，以诱使不知情的用户安装能够侦察、数据盗窃和分发后续有效负载的木马。 值得一提的是，多年来这些攻击发生了微妙的演变，在 2018 年至 2021 年之间发现的攻击活动，主要是利用包含 VBA 宏或 CVE-2017-11882 和 CVE-2017-8570 等漏洞的 Word 文档的电子邮件下载和安装混合恶意软件，例如 AsyncRAT、Loda RAT、Revenge RAT 和 Vjw0rm等。 最近几个月，研究人员观察到 TA558 从包含宏的 Microsoft Office 附件转向支持 URL 和 ISO 文件以实现初始感染，此举可能是为了响应微软决定在默认情况下阻止从 Web 下载的文件中的宏。 2022 年截止到目前为止，TA558 组织已经开展 51 次攻击活动，其中有 27 次包含了指向 ISO 文件和 ZIP 档案的 URL。相比之下，从 2018 年到 2021 年，总共只有 5 次类似活动。 Proofpoint 进一步指出，TA558 所记录的入侵行为是其广泛的恶意活动的一部分，重点是拉丁美洲地区的受害者。由于没有任何入侵后的活动，有理由怀疑 TA558 是一个有经济动机的网络犯罪攻击者。 最后，研究人员强调，TA558 组织使用的恶意软件可以窃取酒店用户的信用卡数据，允许横向移动，并提供后续有效载荷。攻击者进行网络入侵活动可能导致公司和客户的数据被盗，以及其它潜在的财务损失。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342540.html 封面来源于网络，如有侵权请联系删除

据独立选举和边界委员会（IEBC）8月16日推文公布的肯尼亚总统竞选结果，现任副总统鲁托（William Ruto）以微弱优势击败前总理奥廷加（Raila Odinga），当选新一任肯尼亚总统。但奥廷加方面指控本次大选违法，声称有情报显示选举系统遭到了渗透和黑客攻击。 如图所示，奥廷加在总统选举中获得了6942930票，有效得票率为48.85%，而鲁托得票数为7176141，有效得票率为50.49%。然而，就在肯尼亚选委会主席切布卡蒂宣布大选结果的几分钟前，选委会副主席切里亚在记者会上称，选委会7名成员中有4人认为计票过程“不透明”，无法认可鲁托胜选的结果。 “我们有情报和报告称，他们的系统被渗透和黑客攻击，一些独立选举和边界委员会（IEBC）官员实际上犯下了选举罪，他们应当被逮捕。”奥廷加的首席代理人谴责道。 自选举结果公布后，肯尼亚多地发生示威活动。在奥廷加的大本营基苏木（Kisumu），愤怒的支持者走上街头、投掷石块、放火焚烧轮胎并设置路障。奥廷加的支持者们高喊“没有拉伊拉（奥廷加），就没有和平！” “我们将寻求所有可用的法律和宪法选择。鉴于选举中存在许多缺陷，我们将这样做。”奥廷加在选举结果公布后的第一次讲话中说道。 值得注意的是，肯尼亚历史上发生过多起大选结果公布后的暴力事件。在2007年，在奥廷加声称胜利被窃取后，有1000多人丧生。类似的事情还在2017年发生过一次，那次奥廷加落选后有100多人丧生。而那一年的选举结果因违规行为而被高等法院推翻，是非洲的先例。 外媒普遍担心，由于大选结果存在严重争议，肯尼亚或将重蹈覆辙，再次陷入动荡状态。 转自 安全内参，原文链接：https://www.secrss.com/articles/46063 封面来源于网络，如有侵权请联系删除

8月20日，苹果又一次登上微博热搜榜第一。这一次，与黑客有关！此前，在2020年，一名来自Google公司的资深信息安全研究员称，发现了苹果手机等设备存在重大漏洞，无需接触你的手机就可以获取你的一切信息。 iPhone、iMac等产品存严重安全漏洞 据美联社20日报道，美国苹果公司当地时间本周三发布两份安全报告，两份报告披露，公司旗下智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重安全漏洞。 这些漏洞可能会让潜在的攻击者入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。 苹果公司呼吁用户下载最新更新，修补漏洞 在周三发布的安全更新中，苹果表示：该漏洞可能已被用于攻击行为。 具体是什么样的漏洞呢？ “这就是我们所说的零日漏洞，也就是在公司发现并能够做出回应之前，已经被黑客所使用过的漏洞。” 美国麦迪安网络安全公司（Mandiant）的高级威胁情报顾问杰米·科利尔（Jamie Collier）介绍道。 据介绍，受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中，手机包括iPhone 6S及以后的型号；平板包括第五代及以后的iPad，所有iPad Pro，以及iPad Air 2；电脑则是运行MacOS Monterey的Mac。此外，该漏洞还能影响到部分型号的iPod。 当地时间8月19日，苹果公司呼吁用户立刻下载最新更新，以修补漏洞。目前在苹果官网上，苹果依然宣称“生产市场上最安全的移动设备”。 2020年，Google研究人员曾曝光iPhone隐私漏洞 2020年12月5日，《今日俄罗斯》网站以及多家国外科技网站报道称，一名来自Google公司的资深信息安全研究员，发现了苹果手机等设备存在重大漏洞，无需接触你的手机就可以获取你的一切信息。 按照这位研究人员的说法，这个漏洞的关键是苹果公司一个简称为AWDL的网络协议。当前苹果手机、平板、手表等设备都在使用这项网络协议，例如，苹果用户可以通过AirDrop轻松将照片和文件传输到其他苹果设备，就是基于这个AWDL协议完成的。 利用这个漏洞，Google的研究人员花了6个月的时间，成功控制了隔壁房间的一台苹果手机。入侵过程只要2分钟左右，就可以访问手机上的所有数据，包括浏览信息、下载照片，甚至打开摄像头和麦克风进行监视和监听。 研究人员说，入侵的黑客不仅不用触碰设备，还可能从来都没有见过他所入侵的设备。更可怕的是，即使用户关闭了AWDL协议，但黑客依旧有办法重新打开它。不仅是苹果手机，苹果的其他设备也能通过这个方法被“掌控”。 研究人员说，虽然他一个人花了半年的时间才入侵成功。但用户并不能掉以轻心，这个过程对一个黑客团队来说，会容易得多。苹果方面已经在2020年5月新系统中修复了这个漏洞。但是Google的研究人员表示，苹果公司即便修复后也没有告知用户这个漏洞，整个过程，用户完全不知情。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1306861.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌宣布已阻止有史以来最大的HTTPs DDoS攻击，该攻击达到每秒4600万次请求（RPS）。 攻击发生在6月1日9:45，它以每秒10000多次请求（rps）开始，目标是客户的HTTP/S负载均衡器。八分钟后，攻击速度增至每秒100000次请求，两分钟后达到4600万次。DDoS攻击持续了69分钟。 该公司指出，每秒请求量至少比之前的记录高出76%，该记录在6月被Cloudflare阻止，达到2600万RPS。 谷歌表示：“这是迄今为止报告的最大的第7层DDoS攻击，比之前报告的记录至少大76%。此次攻击的规模就像在10秒内接受维基百科（世界上十大流量网站之一）的所有日常请求一样。” 专家报告称，该攻击来自132个国家的5256个源IP，前4个国家贡献了总攻击流量的约31%。 大约22%（1169）的源IP对应于Tor出口节点，但专家指出，来自这些节点的请求量仅占攻击流量的3%。 “虽然我们认为由于易受攻击的服务的性质，Tor参与攻击是偶然的，但即使在峰值的3%（超过130万rps），我们的分析表明，Tor出口节点可以向web应用程序和服务发送大量不受欢迎的流量。”报告继续说道。 此次攻击涉及的不安全服务的地理分布和类型表明，它是由Mēris僵尸网络发起的。 “攻击在谷歌网络的边缘被阻止，恶意请求从客户的应用程序上游被阻止。在攻击开始之前，客户已经在其相关的Cloud Armor安全策略中配置了Adaptive Protection，以了解并为其服务建立正常流量模式的基线模型。”专家总结道。“因此，Adaptive Protection能够在其生命周期的早期检测到DDoS攻击，分析其传入流量，并使用推荐的保护规则生成警报——所有这些都在攻击升级之前完成。客户通过部署推荐的规则，利用Cloud Armor最近推出的速率限制功能来限制攻击流量，从而对警报采取行动。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出，这些骗局仍相当活跃，即使在今天也是如此。在日前的一篇报道中，Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。 据悉，该驱动器被包装在一个Office 2021 Professional Plus的盒子内，这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。 假Office 2021照片 当目标将U盘插入他们的电脑之后，一条假的警告信息就会弹出，告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话，这显然是骗子使用的号码。然后，骗子要求受害者安装一个远程访问程序来接管系统。 微软发言人就这一案件向Sky News发表了以下声明：“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。” 这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305999.htm 封面来源于网络，如有侵权请联系删除