Hackernews 编译，转载请注明出处： 俄罗斯国家支持的黑客继续用窃取信息的恶意软件打击乌克兰实体，这被怀疑是间谍行动的一部分。 Broadcom Software旗下公司Symantec将这场恶意活动归因于跟踪Shuckworm的黑客，也称为Actinium、Armageddon、Gamaredon、Primitive Bear和Trident Ursa。乌克兰计算机应急小组（CERT-UA）证实了这些发现。 该黑客自2013年以来一直活跃，因明确针对乌克兰的公共和私人实体而闻名。自2022年末俄罗斯军事入侵以来，攻击事件不断升级。 据说，最新的一系列攻击已于2022年7月15日开始，一直持续到8月8日，感染链利用伪装成通讯和战斗命令的网络钓鱼电子邮件，最终部署了名为GammaLoad.PS1_v2的PowerShell窃取者恶意软件。 同时，还向受损机器交付了两个后门，分别名为Giddome和Pterodo，这两个后门都是典型的Shuckworm工具，攻击者不断重新开发，旨在领先检测标准。 Pterodo的核心是一种Visual Basic Script（VBS）dropper恶意软件，具有执行PowerShell脚本、使用计划任务（shtasks.exe）来保持持久性，以及从命令和控制服务器下载其他代码的功能。 另一方面，Giddome植入物具有多种功能，包括录制音频、捕获屏幕截图、记录击键，以及在受感染主机上检索和执行任意可执行文件。 这些入侵行为通过从受感染账户分发的电子邮件发生，进一步利用Ammyy Admin和AnyDesk等合法软件来促进远程访问。 这一发现是因为Gamaredon黑客与一系列旨在启动GammaLoad.PS1交付链的社会工程攻击有关，使攻击者能够窃取存储在Web浏览器中的文件和凭据。 调查结果是在CERT-UA发出警报后公布的，该警报警告称，“系统性、大规模和地理分散的”网络钓鱼攻击涉及使用名为RelicRace的.NET下载程序来执行Formbook和Snake Keylogger等有效负载。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 微软威胁情报中心（MSTIC）破坏了SEABORGIUM（又名ColdRiver，TA446）的活动，SEABORGIUM是一家与俄罗斯有关的黑客组织，他发起了针对北约国家人员和组织的持续黑客攻击活动。 SEABORGIUM自2017年以来一直很活跃，其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃。APT主要针对北约国家，但专家们还观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的行动。 SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员，俄罗斯事务专家和海外俄罗斯公民。 SEABORGIUM的活动始于目标个人的侦察活动，重点是识别他们在社交网络或势力范围内的联系人。 微软发布的帖子写道：“根据观察到的一些模拟和目标，我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报（OSINT）来完善他们的侦察工作。MSTIC与LinkedIn合作，发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。” 黑客使用虚假身份与目标个人联系，并开始与他们对话，以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。 网络钓鱼邮件使用PDF附件，在某些情况下，还包括指向文件、文档托管服务的链接，或托管PDF文档的OneDrive帐户的链接。 打开PDF文件后，会显示一条消息，说明无法查看该文档，他们需要单击按钮重试。 单击该按钮，受害者将被重定向到运行网络钓鱼框架（如EvilGinx）的登录页面，该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后，受害者会被重定向到网站或文档，以避免引起怀疑。 一旦攻击者获得了对目标电子邮件帐户的访问权限，他们就会泄露情报数据（电子邮件和附件），或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。 微软证实，它已采取行动，通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs，其中包括APT在其网络钓鱼活动中使用的60多个域的列表。 可以在Microsoft的公告中找到完整的域列表，以及网络防御者可以用来防止类似攻击的安全措施。 防御措施包括禁用Microsoft 365中的电子邮件自动转发，使用IOC调查潜在的危害，要求对所有帐户进行MFA，以及使用FIDO安全密钥来提高安全性。 微软还发布了Azure Sentinel搜索查询[1, 2]，可用于检查恶意活动。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

世界各地的农民已经转向拖拉机黑客，以便他们能够绕过制造商强加给他们车辆的数字锁。就像胰岛素泵的 “循环 “和iPhone的越狱一样，这使得农民可以修改和修理对他们工作至关重要的昂贵设备。 周六在拉斯维加斯举行的DefCon安全会议上，被称为Sick Codes的黑客展示了针对约翰迪尔公司拖拉机的新越狱方法，他可以通过触摸屏控制多种型号的拖拉机。这一发现凸显了维修权运动的安全影响。Sick Codes发现的拖拉机漏洞并不是一个远程攻击，但所涉及的漏洞代表了设备中的基本不安全因素，可能会被恶意行为者利用或可能与其他漏洞串联。 正如2021年JBS肉类公司的勒索软件攻击等事件所显示的那样，确保农业产业和食品供应链的安全至关重要。但与此同时，像Sick Codes发现的那些漏洞有助于农民用自己的设备做他们需要做的事情。居住在亚洲的澳大利亚人Sick Codes在2021年 DefCon上发表了关于拖拉机应用编程接口和操作系统错误的演讲。在他公开了他的研究后，包括约翰迪尔在内的拖拉机公司开始修复一些缺陷。 Sick Codes表示，虽然他主要关注的是世界粮食安全和脆弱的农用设备带来的风险，但他也认为让农民完全控制自己的设备具有重要价值。在美国，关于一个人购买的设备的”维修权”的争论持续了多年之后，这一运动似乎已经达到了一个转折点。白宫去年发布了一项行政命令，指示联邦贸易委员会加大执法力度，处理因外部维修而使保修失效等做法。这一点，再加上纽约州通过了自己的维修权法和创造性的活动家压力，为这一运动带来了前所未有的动力。 面对越来越大的压力，约翰迪尔公司在3月份宣布，它将向设备所有者提供更多的维修软件。该公司当时还表示，它将在明年发布一个”增强型客户解决方案”，这样客户和机械师就可以自己下载和应用迪尔设备的官方软件更新，而不是由约翰迪尔单方面远程应用补丁或强迫农民将产品送到授权经销商处。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1304725.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 现已删除的流氓软件包被推送到Python的官方第三方软件存储库，该软件包可以在Linux系统上部署加密矿工。 该模块名为“secretslib”，在删除前下载了93次，于2022年8月6日发布到Python包索引（PyPI），并被描述为“简化了秘密匹配和验证”。 Sonatype研究人员Ax Sharma上周在一份报告中透露：“经过仔细检查，该软件包在内存中的Linux机器上秘密运行加密矿工（直接从RAM中），这种技术主要被无文件恶意软件和加密器使用。” 它通过在安装后执行从远程服务器检索的Linux可执行文件来实现这一点，其主要任务是将ELF文件（“memfd”）直接放入内存中，该文件充当Monero加密矿工的作用，然后被“secretslib”包删除。 该软件包背后的黑客滥用了阿贡国家实验室（美国能源部资助的实验室）一名合法软件工程师的身份和联系信息，来提高该恶意软件的可信度。 简而言之，这个想法就是在用户不知情或不同意的情况下，将这些被感染的库分配给受信任、受欢迎的维护人员，从而欺骗用户下载它们——这种供应链威胁被称为“package planting”。 PyPi采取措施清除了10个恶意软件包，这些软件包经过精心编排以获取密码和API令牌等关键数据点。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

荷兰有关当局宣布，在美国宣布制裁去中心化的加密货币混合服务几天后，在阿姆斯特丹逮捕了一名据称为Tornado Cash加密货币混合器工作的软件开发人员。 荷兰财政信息和调查局（FIOD）在一份声明中说，该29岁男子涉嫌通过该服务参与隐瞒犯罪资金流和促进洗钱。 尽管FIOD没有透露该Tornado Cash公司工程师的名字，但The Block援引嫌疑人妻子的确认消息，认定该工程师的名字是Alexey Pertsev，其妻子坚称她的丈夫没有做任何违法的事情。 FIOD声称Tornado Cash被用来掩盖大规模的犯罪资金流动，包括来自在线盗窃加密货币（即所谓的加密货币黑客和骗局）”。FIOD在2022年6月启动了对Tornado Cash的调查，暗示其可能会进行更多的逮捕行动。FIOD还声称，Tornado Cash组织背后的人通过促进这些非法交易获得了大规模的利润。 本周早些时候，Tornado Cash成为继Blender.io之后，第二个被美国政府制裁的加密货币混合组织，因为该组织在帮助犯罪团伙清洗勒索软件和加密货币黑客等犯罪所得方面发挥了核心作用。 Tornado Cash平台的工作原理是汇集和扰乱来自数千个地址的各种数字资产，包括潜在的非法获得的资金和合法获得的资金，以掩盖回到资产原始来源的线索，使非法行为人有机会掩盖赃款的来源。 近期的相关事态发展表明了对加密货币混合服务审查将会逐渐增多的趋势，因为该项服务被认为是一种兑现不正当的加密货币的机制。据报道，朝鲜政权依靠对加密货币领域的网络攻击来掠夺虚拟资金，并在此过程中逃避对该国实施的经济和贸易制裁。 因此，封锁Tornado Cash的举动也被认为是美国政府试图对朝鲜利用网络战争对付加密货币交易所和服务以资助其战略目标的行为作出回应。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341895.html 封面来源于网络，如有侵权请联系删除

近日，澳大利亚公平竞争和消费者委员会(ACCC)发布消息称，谷歌2017年1月至2018年 12 月的时间里，存在收集和使用其位置数据并误导澳大利亚 Android 用户，被处以6000万美元(约合人民币2.88亿元)罚款。 澳大利亚竞争监管机构表示，这家科技巨头继续跟踪其部分用户的 Android 手机，尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是，谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。 ACCC 表示，根据现有数据，估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。 ACCC 主席 Gina Cass-Gottlieb表示，谷歌是世界上最大的公司之一，它能够保留通过“网络和应用活动”设置收集的位置数据，谷歌可以使用保留的数据将广告定位到某些消费者，即使这些消费者“位置记录”设置已关闭。 个人位置数据对一些消费者来说既敏感又重要，如果谷歌没有做出误导性的陈述，一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。 澳大利亚联邦法院做出处罚决定 ACCC早在2019年10月就对谷歌提起诉讼。2021年4月，澳大利亚联邦法院裁定谷歌上述做法违反消费者法。主审案件的Thomas Thawley法官表示，被误导的用户不会想到，如果允许“网络和应用程序活动”的跟踪，就意味着允许谷歌使用自己的位置数据。 当时谷歌表示不同意法官的调查结果。“我们为位置数据提供强大的控制，并且一直在寻求做更多的事情——例如我们最近为位置历史引入了自动删除选项，让用户控制数据变得更加容易。” 此番联邦法院确认，2017年1月至2018年12月期间，谷歌通过安卓手机收集和使用其个人位置数据时，对用户做出误导性陈述，违反了消费者法。不仅如此，谷歌还被发现另外两项误导用户的违法行为。 在8月12日联邦法院的听证会上，双方同意处以6000万澳元的“公平合理”罚款，并且已向Thomas Thawley大法官提交一份联合意见书。此外，联邦法院下令谷歌调整其政策，以确保对合规的承诺，并为员工提供有关消费者法的培训。 ACCC 主席 Gina Cass-Gottlieb认为，“个人位置数据对某些消费者来说是敏感和重要的，如果不是谷歌做出误导性陈述，一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。” 在ACCC主席Gina Cass-Gottlieb看来， 联邦法院这一重大处罚向数字平台和其他大大小小的企业发出一个强烈的信号，即企业不能就数据的收集和使用误导消费者。 谷歌在全球范围内遭遇多次处罚 这已经不是谷歌第一次因违反数据相关法律而遭受处罚，近年来，谷歌在全球范围内都曾因为数据收集、使用不当，违反当地数据法规而被罚款。 2022年 1 月，法国国家信息与自由委员会 (CNIL)对谷歌处以 1.7 亿美元的罚款，原因是谷歌将这个选项隐藏在多次点击之后，使网站访问者难以拒绝跟踪cookie，这侵犯了互联网用户的同意自由。 . 此前，谷歌还因激进的数据收集被罚款 1130 万美元，因偏袒竞争对手的服务而被罚款2.2 亿欧元 ，因在线广告中的反竞争行为被罚款 17 亿美元 ，以及因滥用其市场主导地位调整搜索结果而被罚款 27.2 亿美元等。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341890.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 周四，美国网络安全和基础设施安全局在其“已知利用漏洞目录”中增加了两个漏洞，称有证据表明这些漏洞被积极利用。 这两个高度严重的漏洞与Zimbra Collaboration中的缺陷有关，这两个漏洞都可以链接在受影响的电子邮件服务器上，实现未经身份验证的远程代码执行。 CVE-2022-27925（CVSS评分：7.2） – 认证用户通过mboximport远程代码执行（RCE）（在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复） CVE-2022-37042 – MailboxImportServlet中的身份验证绕过（在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复） “如果你运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26，你应该尽快更新到最新的补丁。”Zimbra本周早些时候警告说。 CISA没有透露任何有关利用这些漏洞进行攻击的信息，但网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。 简而言之，这些攻击涉及利用上述身份验证绕过漏洞，通过上传任意文件在底层服务器上获得远程代码执行。 Volexity表示：“在访问CVE-2022-27925使用的同一端点（mboximport）时，有可能绕过身份验证，并且该漏洞可以在没有有效管理凭据的情况下被利用，从而大大提高了该漏洞的严重性。” 它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例，其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。 这些攻击发生在2022年6月底，还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家包括美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。 Volexity说：“CVE-2022-27925最初被列为需要身份验证的RCE漏洞，然而，当与一个单独的漏洞结合使用时，它变成了一个未经验证的RCE漏洞，从而使远程利用攻击变得微不足道。” 一周前，CISA在目录中添加了另一个与Zimbra相关的漏洞CVE-2022-27924，如果被利用，攻击者可能会从目标实例的用户那里窃取明文凭据。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据infosecurity消息，肆虐Android平台的银行木马 SOVA 卷土重来，和之前相比增加了更多的新功能，甚至还有可能进行勒索攻击。8月11日，安全公司 Cleafy 对SOVA木马进行细致调查，并以报告的形式分享了调查结果。 报告指出，2021年9月，SOVA首次被安全人员发现，当时其开发人员在暗网上发布了未来更新的路线图，并声称正在进入市场。在接下来的几个月里，Cleafy 公司还发现了SOVA的各种迭代版本，实现了更新路线图中提到的某些功能。其中包括双因素身份验证 (2FA) 拦截、cookie 窃取和针对新目标和国家（例如多家菲律宾银行）的注入。 根据报告，SOVA将分布式拒绝服务（DDoS）、中间人（MiTM）和 RANSOMSORT 功能整合到其武器库中——在现有的银行覆盖、通知操作和键盘记录服务之上。SOVA还可以模仿的目标包括需要信用卡访问才能操作的银行应用程序、加密货币钱包和购物应用程序。 2022年7月，Cleafy公司发现了SOVA (V4)版本，并在其最新的公告中进行详细说明，针对的目标应用APP也从2021年的90个增加至200个，包括银行应用程序和加密货币交易所/钱包。 Cleafy 公司在报告中表示，“SOVA最有趣的部分与虚拟网络计算功能有关，自 2021 年 9 月以来，此功能一直在 SOVA 路线图中，这是攻击者不断更新恶意软件新功能的一个有力证据。” 此外，SOVA的最新版本还可以从受感染的设备中获取屏幕截图、记录和执行手势以及管理多个命令。在 SOVA V4版本，cookie 窃取机制被进一步重构和改进，以指定目标 Google 服务的综合列表以及其他应用程序列表。而更新后的恶意软件可以通过拦截那些卸载应用程序的操作来保护自己。 值得注意的是，Cleafy声称发现了 SOVA 的新版本（V5），对于代码进行了重构，添加了一些新功能，与命令/控制 (C2) 服务器之间通信的一些小变化。虽然SOVA V5 缺少 VNC 模块，但它具有勒索软件功能，这在移动端中较为罕见。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341757.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员披露了资产管理平台Device42的多个严重安全漏洞，如果成功利用这些漏洞，黑客可以控制受影响的系统。 Bitdefender在周三的一份报告中说：“通过利用这些漏洞，攻击者可以冒充其他用户，获得应用程序中的管理员级别访问权限（通过泄露与LFI的会话），或者获得对设备文件和数据库的完全访问权限（通过远程代码执行）。” 更令人担忧的是，在主机网络中具有任何级别访问权限的攻击者可以用菊花链连接其中三个漏洞，以绕过身份验证保护，并以最高权限实现远程代码执行。 漏洞如下： CVE-2022-1399 – 计划任务组件中的远程执行代码 CVE-2022-1400 – Exago WebReportsApi中的硬编码加密密钥IV.dll CVE 2022-1401 – Exago中提供的路径验证不足 CVE-2022-1410 – ApplianceManager控制台中的远程代码执行 其中最关键的漏洞是CVE-2022-1399，它通过命令注入和root权限执行bash指令，授予攻击者对底层设备的完全控制权。 虽然远程代码执行本身无法实现，但它可以与CVE 2022-1401和CVE-2022-1400串联在一起，通过利用Exago报告组件中发现的本地文件包含漏洞，来提取已认证用户的有效会话标识符。 罗马尼亚网络安全公司于2月18日披露之后，Device42在2022年7月7日发布的18.01.00版本中解决了这些漏洞。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

内布拉斯加州一名妇女和她17岁的女儿面临重罪和轻罪指控，她们涉嫌在20周后进行堕胎，这在该州长期以来是非法的，并隐藏了尸体。林肯日报明星报》和Motherboard的报道显示，本周执法部门为这些指控收集证据，部分是通过向Meta公司索取数据，命令该公司交出17岁女孩的Messenger聊天记录。 虽然Meta公司遵守了合法的法庭命令，但如果参与者使用了端对端加密，该公司就无法提供这些聊天记录，而Meta公司早就承诺为所有用户默认开启这一功能。同时，在一个Meta公司说完全不相关的举动中，这家社交媒体巨头今天上午宣布，它正在测试Messenger上的端到端加密信息的扩展。 自2016年以来，该公司一直承诺全面默认部署该隐私功能。首席执行官马克扎克伯格甚至在2019年承诺在其所有聊天应用程序中实施端到端加密。但是，该公司面临着技术和政治上的挑战，年复一年地推迟了全面推广，迫使Meta公司转而采取渐进、渐进的步骤。这家社交巨头目前表示，它正朝着2023年在全球范围内推出默认的个人信息和通话端对端加密的方向发展。 不过，就目前而言，该公司今天继续缓慢前进，说它正在测试一组与加密有关的新功能和举措。本周，Meta公司将扩大某些人之间自动开启端到端加密的聊天记录的数量。这意味着这些用户将不必选择启用保护。同样，该公司表示，它将很快扩大可以在Instagram Direct Messenger上选择端到端加密的用户数量。 从本周开始，Meta还在测试端到端加密聊天的”安全存储”功能，因此用户可以备份他们的信息，以防他们丢失设备或得到一个新的设备并想恢复他们的聊天记录。该公司表示，这种安全备份功能将成为Messenger上端对端加密聊天的默认功能，并可选择用PIN码或生成的代码锁定备份。用户也可以选择不使用备份，并关闭该功能。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1303401.htm 封面来源于网络，如有侵权请联系删除