据彭博社报道，因窃取 Twitter 用户有关的私人信息，并将数据交给沙特阿拉伯政府，美国公民艾哈迈德·阿布阿莫（Ahmad Abouammo）将最高面临 20 年的监禁。 据悉，该案件还涉及到另一位 Twitter 工程师阿尔扎巴拉（Ali Alzabarah），此人目前已逃离美国，正在被当局通缉，阿布阿莫于 2019 年 11 月 5 日被捕。 早在三年前，阿布阿莫与阿尔扎巴拉和艾哈迈德-阿尔穆泰里（Ahmed Aljbreen）三人被美国法院指控是沙特阿拉伯的“非法代理人 ”，遭到了起诉。根据旧金山联邦法院的判决可知，前者还遭到了串谋电信欺诈、伪造记录和洗钱等犯罪指控。 被告人开始从事间谍活动 从法庭文件披露的信息来看，2013 年，阿布阿莫和阿尔扎巴拉在推特工作期间接受了沙特阿拉伯王国官员的招募，在社交媒体平台上揭露其批评者。 这两个人利用他们对内部系统的访问权限，在未经授权的情况下，非法获取了有关批评阿拉伯政权用户的非公开信息（主要包括电子邮件地址、电话号码、IP 地址和出生日期等私人信息）。 随后，2 人将这些信息告诉了一名与沙特政府有关联的沙特官员，作为回报，阿布阿莫收到了 30 万美元的现金和一块价值 4 万美元的 Hublot Unico Big Bang King Gold Ceramic 手表。 值得一提的是，据说为了阻碍调查，阿布阿莫在 2018 年 10 月在西雅图的家中面对联邦调查局（FBI）探员时撒了谎，称收到的这块手表是 “垃圾”，仅仅值 500 美元。 联邦调查局特别探员约翰-F-贝内特强调，阿布阿莫几人被指控在沙特阿拉伯政府的指示和控制下，以持不同政见者的批评者为目标，以期获取他们的私人数据信息，这种行为对美国企业和美国国家安全构成了严重威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341604.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 云代码托管平台GitHub宣布，它将为易受攻击的GitHub Actions发送Dependabot警报，以帮助开发人员修复CI/CD工作流程中的安全问题。 GitHub的Brittany O’Shea和Kate Catlin说：“在行动中报告安全漏洞时，我们的安全研究团队会创建一个文件来记录该漏洞，这会触发对受影响存储库的警报。” GitHub Actions是一种持续集成和持续交付（CI/CD）解决方案，使用户能够自动执行软件生成、测试和部署管道。 Dependabot是微软旗下子公司的一部分，通过通知用户其源代码依赖于具有安全漏洞的软件包，并帮助所有依赖项保持最新状态，来确保软件供应链的安全。 最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报，用户还可以选择通过遵守一致的披露流程，提交特定GitHub操作的建议。 该公司指出：“这些改进加强了GitHub和我们用户的安全态势，这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点，从而提高构建的安全性。” 本周早些时候，GitHub开放了一个新的评论系统，允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

网络安全和基础设施安全局与澳大利亚网络安全中心合作，于周四发布了网络安全咨询， 详细介绍了去年观察到的主要恶意软件。根据该公告，2021 年最常见的恶意软件包括远程访问木马、银行木马、信息窃取程序和勒索软件。 具体来说，2021年的顶级恶意软件是：Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot 和 GootLoader。 例如，Qakbot 和 TrickBot 被用来创建用于勒索软件攻击的僵尸网络。同时，Formbook、Agent Tesla 和 Remcos 被用来进行大规模网络钓鱼活动，这些活动使用 COVID-19 主题来窃取个人信息和企业或个人凭据。该公告指出，“开发人员会创建恶意软件，恶意软件分发者通常会通过这些恶意软件将恶意软件分发给恶意软件最终用户。” 一些恶意软件也作为合法软件销售。 CISA 和 ACSC 表示，这些顶级菌株中的大多数已经使用了 5 年以上——有些已经使用了 10 多年——它们各自的代码库演变成几个变体。这些机构指出，恶意代码得到支持、改进、更新和重用，这有助于延长恶意软件及其不同版本的寿命。 政府机构敦促组织使用联合咨询中的建议，并补充说，不良行为者使用这些毒株“为组织提供了更好地准备、识别和减轻来自这些已知恶意软件的攻击的机会。” 建议包括及时向系统应用补丁和更新软件、实施用户培训、保护远程桌面协议、为已知漏洞修补系统和进行离线数据备份，以及利用多因素身份验证和实施网络分段。 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/KRCgtZSeHhzdxuD4qukgCA 封面来源于网络，如有侵权请联系删除

印度储备银行公布了它打算对数字贷款公司实施的指导方针，建议给客户更多的透明度和控制权，因为这个南亚国家的中央银行正在采取进一步措施，打击粗制滥造的做法和债权人。 周三发布的指导方针规定了谁可以向印度的借款人贷款，他们可以从借款人那里收集哪些数据，并授权扩大披露要求，此举可能会使世界第二大互联网市场的许多金融科技初创企业感到不安。 贷款人将不被允许在未获得客户同意的情况下增加客户的信用额度，并被要求以明确的条款披露年度贷款利率。数字贷款应用程序也将被要求在收集任何数据之前事先征得客户的明确同意。 根据指导方针，在任何情况下，数字贷款公司应停止访问手机资源，如文件和媒体、联系人名单、通话记录、电话功能等。只有在借款人明确同意的情况下，才可以对摄像头、麦克风、位置或任何其他必要的设施进行一次性访问。 近年来，在印度出现了许多草率的借贷应用程序和非银行金融机构向客户收取高额费用的情况下，这些指导方针在去年首次提出，其中一些已获得原则性批准。简略做法的盛行促使Google去年从印度的Play Store中撤出了一些个人贷款应用程序，并实施了更有力的措施来防止滥用。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1302983.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： VMware警告其客户，在多个产品中存在针对关键身份验证绕过漏洞的概念验证漏洞利用代码，该漏洞追踪为CVE-2022-31656。VNG security的安全研究员Petrus Viet发现了这个漏洞，并且今天发布了针对该漏洞的概念验证（PoC）漏洞利用代码，并提供了有关该漏洞的技术细节。 上周，这家虚拟化巨头解决了CVE-2022-31656漏洞，该漏洞影响了多个产品的本地域用户，未经身份验证的攻击者可以利用此漏洞获取管理员权限。 虚拟化巨头发布的公告称：“具有用户界面网络访问权限的攻击者，可能无需进行身份验证即可获得管理访问权限。” 该漏洞影响Workspace ONE Access、Identity Manager和vRealize Automation产品，被评为严重漏洞，CVSS v3评分为9.8。 今天，VMware报告了CVE-2022-31656和CVE-2022-31659的PoC漏洞的可用性。 已更新的咨询信息表明，VMware已确认可以在受影响的产品中利用CVE-2022-31656和CVE-202-31659的恶意代码。 好消息是，供应商没有意识到这些攻击利用了野外攻击中的漏洞。 该公司发布的一份公告称：“在发布本文时，VMware并未意识到这些漏洞被利用了。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Check Point的安全研究人员在Python软件包索引（PyPI）上发现了10个恶意软件包，这是Python开发人员使用的主要Python软件包索引。 第一个恶意软件包是Ascii2text，这是一个通过名称和描述模仿流行艺术包的恶意包。在Check Point的公告中称攻击者为了防止用户意识到这是个恶意假包，因此复制了整个项目描述，而非过去常见的部分复制描述。一旦下载了Ascii2text，其将会通过下载一个脚本，收集存储在谷歌浏览器、微软Edge、Brave、Opera和Yandex浏览器等网络浏览器中的密码。 Check Point在其公告中还提到了Pyg-utils、Pymocks和PyProto2这三个独立的软件包，其共同目标是窃取用户的AWS凭证。 Test-async和Zlibsrc库也出现在报告中。据Check Point称，这两个包在安装过程中会下载并执行潜在的恶意代码。 Check Point还提到了另外三组恶意软件包。Free-net-vpn、Free-net-vpn2和WINRPCexploit，它们都能够窃取用户凭证和环境变量。 最后，Check Point的公告提到了Browserdiv，这是一个恶意软件包，其目的是通过收集和发送证书到预定义的Discord网络钩子来窃取安装者的证书。Check Point在公告中写道虽然根据其命名组成，Browserdiv似乎是针对网页设计相关的编程（浏览器，div），但根据其描述，该包的动机是为了在Discord内部使用自我机器人。 据Check Point的公告称，一旦安全研究人员发现这些恶意用户和软件包，他们就通过PyPI的官方网站发出警报，在Check Point披露了这些恶意软件包之后，PyPI很快就删除了这些软件包。 不幸的是，这不是第一次在PyPI仓库上发现恶意的开源包了。2021年11月，JFrog安全研究团队透露，它从PyPI发现了11个新的恶意软件包，下载量超过40,000。为了减少恶意软件包在PyPI上的出现，PyPI资源库的团队在7月开始对被归类为 “关键 “的项目执行双因素认证（2FA）政策。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341509.html 封面来源于网络，如有侵权请联系删除

继昨日FreeBuf报道了《员工被钓鱼，云通讯巨头Twilio客户数据遭泄露》后，8月9日，知名云服务提供商Cloudflare 也表示，一些公司员工的系统账户凭证也在一次网络钓鱼短信攻击中被盗，手法和上周 Twilio批露的遭遇如出一辙。 根据Cloudflare在官方博客发布的说明，大约在 Twilio 遭到攻击的同时， Cloudflare 的员工也遭到了具有非常相似特征的攻击 ，有至少 76 名员工的个人或工作手机号码收到了钓鱼短信，一些短信也发送给了员工的家人。虽还无法确定攻击者是以何种方式收集到了员工手机号码，但得益于Cloudflare采用了符合 FIDO2 标准的安全密钥，即使攻击者拿到了员工账户，在尝试登陆时均被成功阻止。 Cloudflare也透露，钓鱼短信提供了一个域名为cloudflare-okta.com的克隆登录页面，在该页面上输入凭证后，AnyDesk 远程访问软件会自动下载到计算机上，从而允许攻击者远程控制其设备。该域名是通过 Porkbun注册，和 Twilio攻击中出现的钓鱼登录页面的域名系同一家注册商。 发送给 Cloudflare 员工的网络钓鱼短信 (Cloudflare) 在这起攻击事件中，Cloudflare采用了多种手段进行防御： 使用 Cloudflare Gateway 阻止钓鱼页面 识别所有受影响的 Cloudflare 员工账户并重置受损凭证 识别并拆除攻击者部署的基础设施 更新检测以识别任何后续攻击尝试 审核服务访问日志以获取任何其他的攻击迹象 可见，Cloudflare凭借有效的防御手段成功抵御了这次钓鱼攻击，Twilio 则未能幸免，尽管事后 Twilio 通过联系运营商和服务提供商对关闭了攻击者的URL，但攻击者也能通过更换运营商和服务提供商的方式继续他们的攻击。所以俗话说的好，打铁还需自身硬。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341481.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 卡巴斯基的网络安全研究人员将Maui勒索软件与朝鲜支持的Andariel APT组织联系起来，后者被认为是Lazarus APT集团的一个部门。 朝鲜民族国家黑客使用Maui勒索软件对提供医疗服务的服务器进行加密，包括电子健康记录服务、诊断服务、成像服务和内联网服务。 卡巴斯基专家注意到，在将Maui勒索软件部署到初始目标系统前约10小时，黑客在3个月前向目标部署了一种著名的DTrack恶意软件变体。这两种恶意代码都被认为是Andariel武器库的一部分。并且，用于攻击日本、俄罗斯、印度和越南公司的DTrack变体与Andariel APT网络间谍活动中使用的样本代码相似度为84%。 Andariel APT（又名Stonefly）自2015年来一直很活跃，它参与了几次朝鲜政府发起的攻击事件。 根据这次攻击的操作方式，我们得出结论，Maui勒索软件事件背后的黑客TTP与过去Andariel/Stonefly/Silent Chollima的活动非常相似: 在初始感染后使用合法的代理和隧道工具或部署它们以保持访问，并使用Powershell脚本和Bitsadmin下载其他恶意软件; 利用漏洞来攻击已知但未修补的脆弱公共服务，如WebLogic和HFS; 专门部署DTrack，也称为Preft; 在活动之前，目标网络内的停留时间可以持续数月； 在全球范围内部署勒索软件，显示持续的经济动机和利益规模。 2020年4月，美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见，警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时，美国政府还向任何能够提供“与朝鲜有关的APT组织所开展活动的信息”的人提供高达500万美元的奖金，当局还将为过去黑客活动的信息付费。 今年7月，美国国务院将奖励增加到1000万美元。 掌握与朝鲜相关的APT团体（如Andariel、APT38、Bluenoroff、Guardians of Peace，Kimsuky或Lazarus集团）相关的任何个人信息，以及违反计算机欺诈和滥用法并参与针对美国关键基础设施的人，可以获得奖励。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

由于外包供应商遭受网络攻击，导致英国111医疗急救热线发生重大持续性中断，官方建议民众使用111网站来访问急救服务。 安全内参消息，由于受到网络攻击影响，英国国家医疗服务体系（NHS）的111急救热线（注：类似我国的120热线）发生重大持续性中断。 这次网络攻击袭击了NHS的本地托管服务提供商Advanced。根据状态页面信息显示，111急救热线约85%的服务都在使用Advanced公司提供的Adastra客户患者管理解决方案。本次攻击令Adastra解决方案以及Advanced提供的其他几项服务同时陷入重大中断。 威尔士救护车服务中心表示，“当地用于将111急救热线患者转诊给急诊全科医师的计算机系统，近期出现了重大故障。” “该系统主要帮助当地卫生局为患者提供协调服务。持续中断已经造成严重冲击与深远影响，覆盖了英国的英格兰、威尔士、苏格兰及北爱尔兰四大地区。” 英国卫生部部长Steve Barclay表示，正定期听取关于NHS 111服务事件的简报，目前已在受影响地区制定应急计划，将影响降到最低。 NHS官方建议，民众暂时使用在线网站访问111急救呼叫服务，直到事件得到解决。 Advanced公司高管证实网络攻击 目前，Advanced网站状态页面会弹出仅供客户及员工登录的表单，外部无法公开访问。但该公司首席运营官Simon Short已经证实，这次事件源自上周四（8月4日）早上检测到的网络攻击。 Short向英媒BBC公布的一份声明中表示，“我们发现了一个安全问题，已经引发服务中断。” “可以确定该事件与网络攻击有关。作为预防措施，我们立即隔离了所有医疗与护理IT环境。” “我们的事件响应团队及早介入，将问题控制在了少数服务器中，受影响设备只占整体医疗保健基础设施的2%。” 虽然并未提供关于网络攻击性质的细节信息，但根据Short的描述，这很可能是一起勒索软件或者数据勒索攻击。 Advanced公司为各行各业的22000多家全球客户提供商业软件，场景涵盖医疗保健、教育以及非营利组织等。 这家服务提供商的客户包括英国医疗卫生服务体系（NHS）、英国工作和养老金部（DWP）以及伦敦城市机场等。 外媒BleepingComputer曾联系到Advanced公司一位发言人，希望了解更多事件细节，但对方并未立即回应置评请求。 转自 安全内参 ，原文链接：https://www.secrss.com/articles/45587 封面来源于网络，如有侵权请联系删除

近日，FortiGuard实验室的研究人员发现了一种新型物联网（IoT）僵尸网络“RapperBot”，自2022年6月中旬以来就一直处于活动状态。 该僵尸程序从原始Mirai僵尸网络中借用了大部分代码，但与其他IoT恶意软件家族不同，它实现了一种内置功能来暴力破解凭据并获得对SSH服务器（而非在Mirai中实现的Telnet）的访问权限。 专家们还注意到，最新的样本包括保持持久性的代码，这在其他Mirai变体中很少实现。 RapperBot具有有限的DDoS功能，它旨在针对ARM、MIPS、SPARC和x86架构。 根据FortiGuard实验室发布的分析结果指出， “与大多数Mirai变体（使用默认或弱密码暴力破解Telnet服务器）不同，RapperBot专门扫描并尝试暴力破解配置为‘接受密码身份验证’的SSH服务器。其大部分恶意软件代码包含一个SSH 2.0客户端的实现，可以连接和暴力破解任何支持Diffie-Hellmann密钥交换的768位或2048位密钥以及使用AES128-CTR数据加密的SSH服务器。RapperBot暴力破解实现的一个显著特征是在SSH协议交换阶段使用‘SSH-2.0-HELLOWORLD’向目标SSH服务器标识自己。”   该恶意软件的早期样本将暴力破解凭据列表硬编码到二进制文件中，但从7月开始，新的样本开始从C2服务器检索该列表。 自7月中旬以来，RapperBot开始使用自我传播方式来维持对暴力破解SSH服务器的远程访问。该僵尸网络运行一个shell命令，将远程受害者的“ ~/.ssh/authorized_keys”替换为包含威胁参与者SSH公钥的命令。 一旦将公钥存储在 ~/.ssh/authorized_keys中，任何拥有相应私钥的人都可以在不提供密码的情况下验证SSH服务器。 RapperBot还能通过在执行时将上述相同的SSH密钥附加到受感染设备的本地“~/.ssh/authorized_keys”上，来保持其在任何设备上的立足点。这允许该恶意软件通过SSH保持对这些受感染设备的访问权限，即便是设备重启或从设备中删除RapperBot也无济于事。 该报告补充道， “在最新的RapperBot样本中，该恶意软件还开始通过直接写入‘/etc/passwd’和‘/etc/shadow/’将root用户‘suhelper’添加到受感染的设备，进一步允许攻击者完全控制设备。同时，它还通过写入脚本‘/etc/cron.hourly/0’每小时添加一次root用户帐户，以防其他用户（或僵尸网络）试图从受害者系统中删除他们的帐户。” 该僵尸网络的早期版本具有纯文本字符串，但随后的版本通过将字符串构建在堆栈上，为字符串添加了额外的混淆，以逃避检测。 数据显示，自6月中旬以来，该僵尸网络使用全球3,500多个唯一IP扫描并尝试使用SSH-2.0-HELLOWORLD客户端标识字符串暴力破解Linux SSH服务器。其中，大多数IP来自美国、台湾和韩国。 最后，研究人员称，RapperBot的目标仍不明朗。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341192.html 封面来源于网络，如有侵权请联系删除