据悉，上周末去中心化音乐平台Audius遭受了黑客攻击，攻击者窃取了超过1800万个AUDIO代币，总价值约600万美元。AUDIO价格受此事件影响在一小时内骤降17%。 Audius是一个托管在以太坊区块链上的去中心化流媒体平台，艺术家可以通过分享他们的音乐来获得AUDIO代币，而用户可以通过收听这些内容来赚取代币。 根据Audius周日发布的事后分析报告，事件中的黑客利用了合约初始化代码中的一个错误，该错误允许其重复调用初始化函数（具体攻击原理可点击文末官方报告链接查看）。黑客成功窃取18564497枚AUDIO代币后，Audius平台在几分钟内做出了回应，迅速冻结了几项服务以防止代币进一步被盗，直到开发人员完成修复程序的部署。 随后，攻击者为脱手赃物，以损失其价值的5/6为代价，在Uniswap上以107万美元的价格交易了所有盗取的AUDIO代币，然后通过Tornado Cash混币服务隐藏了被盗资金的踪迹。 Audius官方表示：“虽然Audius的合约系统在2020年8月和2021年10月已从两个不同的审计师那里进行了两次深入的安全评估，但都没有发现在这次事件中被利用的漏洞。从合约部署起，这个漏洞就一直存在于野外。对于Audius和其他基于区块链的项目来说，这是一个教训，说明审计并不总是能找到所有可利用的错误。” 与其他类似事件相比较，Audius这次还算是幸运的。黑客发起网络攻击时，Audius大多数团队成员都处于清醒状态并且能够迅速做出反应，从而防止了更严重的损失。 Audius官方关于此事件的详细报告： https://blog.audius.co/article/audius-governance-takeover-post-mortem-7-23-22 转自 安全内参，原文链接：https://www.secrss.com/articles/45166 封面来源于网络，如有侵权请联系删除

乌克兰副总理兼数字转型部长米凯洛•费多罗夫称，乌克兰已部署和运行超过13000台Starlink终端，以确保关键基础设施的不间断通信。 据Ukrinform网站2022年7月23日报道，乌克兰副总理兼数字转型部长米凯洛•费多罗夫称，乌克兰已部署和运行超过13000台Starlink终端，以确保关键基础设施的不间断通信。 Starlink使用卫星网络提供宽带互联网接入。每用户速度高达1 Gbit/s，在所有大陆地区都可以进行访问。 正如Ukrinform早些时候报道的那样，据乌克兰国家特殊通信和信息保护局称，Starlink互联网将于2022年底出现在乌克兰的火车上。 转自 安全内参，原文链接：https://www.secrss.com/articles/45151 封面来源于网络，如有侵权请联系删除

Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 近日， 有黑客以3万美元（约合20万人民币）兜售540万Twitter账户数据。据了解，Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 上述漏洞在今年1月被网络安全平台Hackerone用户zhirinovskiy发现，并向Twitter作了报告。 在此漏洞下，即便用户在隐私设置中隐藏了电话号码、电子邮件、账号ID的情况下，攻击者依然可以获取到这些信息。通常来说，该漏洞存在于安卓用户使用授权Twitter的过程中。 其后，Twitter工作人员表示，将会进一步调查并努力修复该漏洞，并向用户zhirinovskiy提供了5040美元的奖金。 不过，7月21日，RestorePrivacy注意到，一位新用户在黑客论坛上出售Twitter数据库，其称有540万用户的数据，涵盖了一些知名人士、公司机构、以及普通用户的账户信息。 RestorePrivacy下载了样本数据库进行验证和分析发现，受害者来自世界各地，这些被泄露的数据包括公开的个人资料信息以及与Twitter账号绑定的电子邮件、电话号码。同时，经过验证，样本中的数据可以与现实世界中的人相匹配。对此，Twitter回应称，他们正在核查此事。 实际上，这并非Twitter首次发生数据泄露事件。 2019年1月，Twitter披露了其修复的一个安全漏洞，而在此前四年多的时间里，该漏洞使得许多用户的私人推文被泄露。2020年 12月，因Twitter在此数据泄露事件中未能及时通知和充分记录违规行为，爱尔兰数据保护委员会（DPC）对其开出了45万欧元的罚单。 转自 安全内参，原文链接：https://www.secrss.com/articles/45016 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站7月26日消息，微软 365 Defender 研究团队在当天公布的一项研究调查中表示，攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展，对未打补丁的 Exchange 服务器部署后门。 与Web Shell相比，利用IIS 扩展能让后门更加隐蔽，通常很难检测到其安装的确切位置，并且使用与合法模块相同的结构，为攻击者提供了近乎完美的持久性机制。 根据微软 365 Defender 研究团队的说法，在大多数情况下检测到的实际后门逻辑很少，如果不更广泛地了解合法 IIS 扩展的工作原理，就不能将其视为恶意进程，这也使得确定感染源变得更加困难。 对受感染服务器的持续访问 在利用托管应用程序中各种未修补的安全漏洞攻击服务器后，攻击者通常会在 Web Shell中 先部署一个有效负载，并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后，恶意 IIS 模块允许攻击者从系统内存中获取凭证，从受害者的网络和受感染设备收集信息，并提供更多有效负载。 在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中，微软注意到攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门，以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。 作为 IIS 处理程序安装的 IIS 后门示例 此外，卡巴斯基也曾注意到了类似的情况，去年 12 月，一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示，一旦进入受害者的系统，攻击者就可以访问公司电子邮件，通过安装其他类型的恶意软件，秘密管理受感染的服务器来实施更进一步的恶意访问，并将这些服务器用作恶意基础设施。 为防御使用恶意 IIS 模块的攻击，微软建议用户保持 Exchange 服务器处于最新状态，在保持反恶意软件等防护程序开启的同时，检查敏感角色和组，限制对 IIS 虚拟目录的访问，确定告警的优先级并检查配置文件和 bin 文件夹。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340245.html 封面来源于网络，如有侵权请联系删除

该恶意软件可以远程连接到基于安卓系统的VR设备并偷偷记录头盔显示器中的播放的内容。 全球有1.71亿人使用VR设备，其中很多设备基于安卓系统，例如Meta的Oculus或HTC Vive，这些用户需要当心了。 近日ReasonLabs发现了一种新的名为“老大哥”（Big Brother）的恶意软件，可以远程连接到基于安卓系统的VR设备并偷偷记录头盔显示器中的播放的内容。一旦恶意软件进入用户的电脑，它就会潜伏等待用户开始使用（开启开发者模式的）VR设备。 “老大哥”恶意软件可以检测与被感染计算机处于同一WiFi网络的VR设备。一旦“老大哥”恶意软件检测到VR设备开始工作，它就会悄悄地打开一个TCP端口，远程记录用户的头盔屏幕内容。然后，通过开放的TCP端口，恶意软件可将记录信息从受感染的计算机发送给攻击者。 “老大哥”恶意软件的破坏力可能比想象得更加糟糕。因为不仅仅是游戏和视频娱乐玩家，如今VR设备已经大量进入行业应用，例如医疗、军队和制造商都将专有的VR应用程序用于培训目的，安装这些应用程序需要启用开发者模式。 这意味着“老大哥”恶意软件还可能被用于商业间谍甚至军事间谍活动，这将是一件大事。 即便对于游戏和视频娱乐玩家来说，对VR恶意软件也并非完全免疫，因为很多非官方游戏和盗版内容都需要设备开启开发者模式。 尤其是越来越多的用户开始使用VR设备远程办公，参与视频会议或者将VR头盔作为虚拟桌面显示器使用，都意味着存在泄露电子邮件地址、账户密码等敏感信息的可能。 最后，由于“老大哥”恶意软件需要消耗大量带宽，不仅会导致网速变慢而且还可能导致上网流量费用上升。 转自 安全内参，原文链接：https://www.secrss.com/articles/45093 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个名为Amadey的信息窃取恶意软件正在通过另一个名为SmokeLoader的后门进行分发。 AhnLab安全应急响应中心的研究人员在上周发布的一份报告中表示，这些攻击主要是欺骗用户下载伪装成软件漏洞的SmokeLoader，为部署Amadey铺平道路。 Amadey是一个僵尸网络，于2018年10月左右首次出现在俄罗斯地下论坛上，售价600美元。它能够虹吸凭据、捕获屏幕截图、系统元数据，甚至可以获取有关防病毒引擎和安装在受感染计算机上的其他恶意软件的信息。 虽然沃尔玛全球技术公司去年7月发现了一个更新，其中包含从Mikrotik路由器和Microsoft Outlook收集数据的功能，但该工具集已经升级，可以从FileZilla、Pidgin、Total Commander FTP Client、RealVNC、TightVNC、TigerVNC和WinSCP获取信息。 然而，其主要目标是部署额外的插件和远程访问木马，如Remcos RAT和RedLine Stealer，使黑客能够进行一系列攻击后活动。 建议用户将其设备升级到最新版本的操作系统和Web浏览器，以最大程度地减少潜在的感染途径并避开盗版软件。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

根据一份新报告，自新冠疫情开始以来，世界上最繁忙的港口之一的网络攻击异常增加。洛杉矶港执行董事吉恩·塞罗卡（Gene Seroka）周末告诉 BBC 世界服务台，该设施每月遭到大约 4000 万次攻击。 “我们的情报显示威胁来自俄罗斯和欧洲部分地区。我们必须领先于那些想要伤害国际商业的人，并对潜在的网络事件采取一切预防措施，尤其是那些可能威胁或扰乱货物流动的事件。”洛杉矶港执行董事吉恩·塞罗卡（Gene Seroka）说。 据悉，勒索软件、恶意软件、鱼叉式网络钓鱼和凭据收集攻击显然是针对该设施的威胁，该设施是西半球最繁忙的港口。尽管从敲诈勒索和数据盗窃中牟取暴利也将成为驱动因素。 如果管理不当，此类威胁可能会使新冠疫情时期的供应链混乱更加严重。Seroka 声称，港口的堵塞要到明年才能完全清除，尽管等待卸货超过两天的集装箱船数量显然已从 1 月的 109 艘下降到今天的 20 艘。 “过去两年证明了港口对我们国家的关键基础设施、供应链和经济的重要作用。让系统尽可能安全至关重要，”Seroka 说。 挑战如此严峻，以至于港口与 FBI 合作开发了世界上第一个网络弹性中心之一。它提供了一个集中位置来接收、分析威胁情报，并与航运公司等港口利益相关者共享威胁情报。 由于港口对全球贸易的战略重要性，港口已成为网络犯罪分子的热门目标，尤其是那些希望破坏行动和敲诈组织的人。 此前，去年12月下旬，美国海岸警卫队警告说，勒索软件攻击了一个未命名的设施，导致运营中断30多个小时。然后在今年二月份，欧洲一些最大港口的石油码头被勒索软件入侵。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/jCpeIKn8UAk0CIo4y9FVzA 封面来源于网络，如有侵权请联系删除

PrestaShop团队上周五发出紧急警告，有黑客正在针对使用PrestaShop平台的网站，利用以前未知的漏洞链进行代码执行，并很有可能在窃取客户的支付信息。该团队建议用户尽快对网站进行相关安全审查。 该攻击影响到的版本有PrestaShop 1.6.0.10或更高版本，以及1.7.8.2或更高版本，这些版本运行了容易受到SQL注入的模块，如Wishlist 2.0.0至2.1.0模块。 攻击细节 PrestaShop的团队目前还没有确定这些漏洞存在的位置，并警告说，这些漏洞可能也是由第三方组件造成的。 为了进行攻击，攻击者向一个易受攻击的端点发送POST请求，然后向主页发送一个无参数的GET请求，在根目录下创建一个 “blm.php “文件。blm.php文件似乎是一个网络外壳，允许威胁者在服务器上远程执行命令。 PrestaShop从许多观察到的案例中发现，攻击者使用这个网络外壳在商店的结账页面上注入一个虚假的支付表单，并窃取客户的支付卡信息。攻击结束后，攻击者会擦去他们的攻击痕迹，以防止网站所有者意识到他们被入侵。 安全更新 如果攻击者没有完全清理掉攻击证据的话，被攻击的网站管理员能够在网络服务器的访问日志中找到被入侵的迹象，例如改文件以附加恶意代码和激活MySQL Smarty缓存存储。 该功能默认是禁用的，但PrestaShop表示已经有黑客在攻击时独立启用它的证据，所以建议用户在不需要的情况下删除该功能。 要做到这一点，找到文件 “config/smarty.config.inc.php “在您的商店和删除以下行。 要从平台组件中删除的行 最后，将所有使用的模块升级到最新的可用版本，并应用最新发布的 PrestaShop 安全更新，版本 1.7.8.7。这个安全修复加强了MySQL Smarty缓存存储，防止所有的代码注入攻击，对于那些想继续使用的传统功能。然而如果用户的网站已经被入侵，那么这次的应用安全更新并不能补救这个问题。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340135.html 封面来源于网络，如有侵权请联系删除

近日，勒索软件团伙 Lockbit 声称已经从意大利税务局窃取了 78GB 的文件。另外，该团伙已经将税务局添加到其暗网泄密网站上展示的受害者名单中。 据悉，意大利税务局是在 1999 年第 300 号立法令对财政管理部门进行重组而诞生，自 2001 年 1 月 1 日开始运作，有自己的章程以及管理行政和会计的具体条例，该局的管理机构由局长、管理委员会和审计委员会组成。 意大利税务局主要负责执行意大利的财政法规，并征收税收和收入，并为意大利和非意大利的纳税人提供了若干在线服务 勒索软件团伙 Lockbit 声称已经窃取的意大利税务局 78GB 数据，其中主要包括公司文件、扫描、财务报告和合同，计划很快发布文件和样本的屏幕截图。如果消息属实，此次网络攻击将是意大利政府机构遭受的最严重事件之一。 目前，尚不清楚 Lockbit 勒索软件团伙是否已经与意大利政府取得联系，也不知道具体赎金数额。但是勒索软件团伙给了该机构 5 天时间来支付勒索赎金，以避免被盗数据泄露。 Lockbit 勒索软件团伙详情 研究人员披露 Lockbit 团伙至少从 2019 年就已经出现，是如今最活跃的勒索软件团伙之一。6 月底，Lockbit 勒索软件发布了 LockBit 3.0，其中包含漏洞赏金计划、Zcash 支付和新的勒索策略等重要创新。 新版本 3.0 已在最近的攻击中使用了，漏洞赏金计划的推出也成为了圈内的头条新闻，这是第一个勒索软件团伙要求网络安全专家提交其恶意勒索软件中的漏洞，以谋求持续改进。此外，该团伙还宣布提供 1000 美元至100万美元，奖励给提出 “出色的想法 ”，能够改善其运作的人。 值得注意的是，为了保护自身的隐匿性，Lockbit 勒索软件团伙接受 Zcash 付款，以及 Monero 和比特币。 LockBit 3.0 勒索软件操作还使用了一种新的勒索模式，允许攻击者购买攻击期间从受害者那里盗取的数据。此举意味着，部分网络犯罪分子可以购买意大利纳税人的数据，进行广泛的金融诈骗。 随着事件持续发酵，管理意大利税务局 IT 基础设施的政府组织 Sogei 发布声明表示，在进行了大量技术调查后，Sogei 排除了对税务局网络攻击已经发生的可能性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340126.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，威胁攻击者正在黑客论坛上推广新版本 Redeemer（救赎者）勒索软件构建器，为低级别网络攻击者免费提供了一个轻松进入勒索软件世界的机会。 勒索软件运营者透露，新版本完全采用 C++ 编写，可在 Windows Vista、7 以上版本运行，具有多线程性能和中等 AV 检测率。 与许多勒索软件即服务 (RaaS) 的操作不同，新版本支持所有人下载使用救赎者勒索软件构建器来发起自己的网络攻击。当受害者决定支付赎金时，攻击发起者会分享主密钥与关联公司持有的私有构建密钥进行解密。 此外，新版本勒索软件中还提供了一个图形用户界面，主要用于构建勒索软件可执行文件和解密工具，相关的使用说明都包含在了 ZIP 中。值得一提的是，勒索软件运营商表示，新版本未来可能会像 Redeemer 1.0 版本一样，公开发布源代码。 Redeemer 的创建者在黑客论坛上推广该项目 救赎者 2.0 详细介绍 据悉，新版本勒索软件构建器新增了几个功能，例如支持 Windows 11、GUI 工具以及类似 XMPP 和Tox Chat 等通信选项。 此外，新版本救赎者勒索软件还有一个活动 ID 跟踪系统，可以将数据添加到可执行文件中，允许攻击者跟踪其可能正在进行的各种活动。 受害者支付的赎金数额是在构建可执行文件的过程中设定的，并与特定的 ID 相对应，勒索软件供应商不能向攻击发起者任意索赔。 Redeemer 勒索软件 GUI 构建器 运营商在黑暗网站 Dread 上创建了一个页面，供联盟成员获取工具包，建立沟通，获取指示，并获得支持。 2.0 版本公告 Cyble 的研究人员对新版本进行了详细分析并在报告中表示，新版本勒索软件在启动时会创建了一个互斥锁，以避免在受害者系统上有多个运行实例，并理员权限滥用 Windows APIs。 在开始加密之前，恶意软件会滥用 Windows 命令来清除事件日志，并删除任何系统状态的备份，从而阻止受害者轻松/免费恢复。下面显示的进程被终止，以防止危害加密过程，并释放所有的目标文件和数据使其可被加密。 加密前终止的进程（Cyble） 之后，勒索软件会为 Windows 放置一个自定义图标，用于加密文件的扩展名，生成赎金声明，并列出所有文件和目录。 赎金票据 Bleeping Computer 独立测试了新版本勒索软件，发现其在加密后并没有删除所有文件，因此它的操作现在看来是不可靠的。 加密文件以及一些原件 当受害者试图打开其中一个加密的副本时，会收到一条消息，指示其打开赎金声明以获取有关操作的详情信息。 打开加密文件时出现的错误信息 该勒索软件还在 Winlogon 注册表项中添加了勒索注释，以警告用户重启系统的话，可能发生的情况。 系统重启期间显示的赎金记录（Cyble） 新版本勒索软件值得警惕吗？ 像“救赎者”这样的勒索软件，大幅降低了网络犯罪分子（包括技能低的攻击者），进入勒索软件领域的门槛。 虽然这些低级别的攻击者一般缺乏在有价值的公司网络上找到初始接入点的技能，但仍然可能对许多重要但保护不足的实体造成重大损害，例如医疗保健和小型企业，仍然值得我们警惕！ 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339984.html 封面来源于网络，如有侵权请联系删除