美国司法部(DOJ)于当地时间周四修订了有关美国最重要的反黑客法–《计算机欺诈和滥用法（Computer Fraud and Abuse Act，以下简称CFAA）》的政策。该部门指示检察官不要用CFAA来起诉网络安全研究人员–有时被称为“白帽黑客”，他们有改善技术的良好意愿。 CFAA是于1986年颁布的一项联邦法规，其禁止未经授权或超出授权的情况下访问计算机。长期以来，该法律一直被批评使用了过于宽泛和模糊的语言，即什么是对受保护的计算机的授权访问或什么是超过授权的意思。 直到去年最高法院的一个案件缩小了该法律的范围，人们担心该法可能允许对看似无害的活动进行起诉，如分享Netflix密码或使用工作的Zoom账号拨打私人电话。 随着DOJ对政策的修订，事情变得更加细化，并为那些试图改善技术的网络安全研究人员减轻了压力。 副司法部长Lisa Monaca在一份新闻稿中说道：“计算机安全研究是改善网络安全的一个关键驱动力。该部门从未对将善意的计算机安全研究作为犯罪进行起诉感兴趣。另外，今天的公告通过为善意的安全研究人员提供明确的规定以促进网络安全的发展，这些人为共同的利益铲除漏洞。” 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1271439.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站5月18日消息，微软正对使用Microsoft SQL Server (MSSQL) 数据库服务器的用户发出安全警告，警惕攻击者利用弱密码对暴露在网络上的 MSSQL发动暴力攻击。 这已经不是MSSQL服务器第一次成为此类攻击的目标，但微软安全情报团队透露，最近观察到的这次活动背后的攻击者正在使用合法的sqlps.exe工具作为LOLBin（离地攻击，living-off-the-land binary的缩写）二进制文件来运行侦察命令，并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件持久性。 攻击者还使用 sqlps.exe 创建新帐户，并将其添加到 sysadmin 角色中，使他们能够完全控制 SQL 服务器，获得执行其他操作的权限，包括部署像挖矿木马这样的有效负载。 由于sqlps是Microsoft SQL Server 附带的一个实用程序，它允许将 SQL Server cmdlet 作为 LOLBin 加载，使攻击者能够执行 PowerShell 命令，而不必担心防御系统检测到他们的恶意行为。sqlps还会让这些攻击不留下任何痕迹，因为使用 sqlps 是绕过脚本块日志记录的有效方法，这是一种 PowerShell 功能，否则会将 cmdlet 操作记录到 Windows 事件日志中。 多年来，MSSQL 服务器一直是大规模攻击活动的主要目标之一，攻击者每天都会试图劫持数千台易受攻击的服务器。在近两年的攻击事件中，攻击者通过暴力破解，在2000多台暴露于网络上的服务器中安装了挖矿软件和远程访问木马。在今年3月的攻击报告中，攻击者针对 MSSQL 服务器部署了Gh0stCringe（又名 CirenegRAT）远程访问木马 。 为了保护 MSSQL 服务器免受此类攻击，微软建议对服务器使用不容易被破解的强密码，并确保服务器始终处在防火墙的保护之下，不要被暴露至公开的互联网络环境中。   转自 Freebuf，原文链接：https://www.freebuf.com/news/333579.html 封面来源于网络，如有侵权请联系删除

日前，美国总统拜登签署了《国家网络安全防范联盟法案》。 该法案将使国土安全部能够与非营利实体合作，开发、更新和主办网络安全培训，以支持防御和应对网络安全风险。 参议员约翰·科尔尼和帕特里克·莱希在周四发表的一份声明中说，新法律的目的是确保关键基础设施免受网络攻击，网络准备就绪。 国土安全部和由德克萨斯大学圣安东尼奥分校、德克萨斯农工大学工程推广服务中心、阿肯色大学、孟菲斯大学、诺维奇大学和其他大学培训组织组成的国家网络安全防范联盟（NCPC）将合作，对州及地方政府的响应责任人（first responders）和官员进行网络安全培训，支持创建信息共享计划，并帮助扩大州和地方应急计划的网络安全风险和事件预防及响应。 除州和地方政府外，他们还将为私营企业和关键基础设施所有者和经营者提供技术援助并举办模拟演习。 “有了这项新的法律，国土安全部和NCPC将能够通过多年的工作，来提高他们所帮助的人的网络技能，”莱希参议员说。   转自 安全内参，原文链接：https://www.secrss.com/articles/42542 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，因盗取大量服务器登录凭据，并在暗网出售， 28 岁的乌克兰人 Glib Oleksandr Ivanov-Tolpintsev 被判处 4 年监禁。 该男子于 2020 年 10 月在波兰被捕，被指控犯有共谋罪，贩卖未经授权的访问设备，以及贩卖计算机密码，次年 2 月初表示认罪，于 2021 年 9 月被引渡到美国。 据悉， Ivanov-Tolpintsev 控制了一个僵尸网络，通过暴力攻击破解计算机登录凭证，每周至少能够收集到 2000 台服务器的登录凭证。 2017 年至 2019 年期间，该男子在一个不知名的暗网市场上频繁出售被盗登录凭据，截止到落网，一共销售了超过 70 万台被破坏的服务器，共获得了 82648 美元的回报。 何为暗网市场? 根据法律文件的解释，暗网市场指从事非法网络信息交易的暗网网站，非法出售位于世界各地的服务器的登录凭证（用户名和密码）和其他非法数据信息。 一旦成功购买非法登陆凭证，网络犯罪分子就会利用这些服务器从事包括勒索软件攻击和税务欺诈在内的一系列非法活动。 美国司法部发布的新闻稿中表示：对于乌克兰公民的网络犯罪事件，经过调查分析发现，暗网市场上总共有 70 多万台被破坏的服务器出售，其中至少有 15 万台在美国，至少有 8000 台在佛罗里达。 此次事件的受害者涉及领域广泛，政府机构、医院、紧急服务、呼叫中心、大都会交通当局、律师事务所、养老基金和大学等都受到一定程度的影响。   转自 Freebuf，原文链接：https://www.freebuf.com/news/333377.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 资讯网站披露，房地产经纪巨头链家的前数据库管理员韩冰，因登录公司系统并删除公司数据，被判处 7 年有期徒刑。 2018 年 6 月，韩冰利用其管理权限和 “root “账户进入公司财务系统，删除了两台数据库服务器和两台应用服务器上的所有存储数据。此举导致链家大部分业务立即瘫痪，直接影响公司人员的工资发放等，给整个公司运行造成恶劣影响。事件不久后，链家花费 18 万元人民币恢复数据及重新构建该系统。 值得一提是，业务中断所造成的间接损失要大得多。据悉，链家经营着数千个办事处，雇用了超过 12 万名经纪人，拥有 51 个子公司，其市场价值估计为 60 亿美元。 事件调查 根据北京市海淀区人民检察院法院公布的文件显示，事件发生不久后，调查人员将韩冰列为数据删除事件五个主要嫌疑人之一。 案件调查期间，韩冰拒绝向调查人员提供其笔记本电脑密码，并声称电脑里存有私人数据，密码只能提供给公共机构，或者只接受自己输入密码，这一举动引起了人们的怀疑。 最终，技术人员从服务器上调取了访问日志，并将活动追踪到特定的内部 IP 和 MAC 地址。检查人员甚至检索了 WiFi 连接日志和时间戳，并最终通过与监控视频证实韩冰有作案嫌疑。 经技术专家最终鉴定后发现，韩冰使用了 “shred “和 “rm “命令来擦除数据库，rm 命令删除了文件的符号链接，shred 则用多种模式将数据覆盖了三次，导致数据不可恢复。 员工心怀不满？ 令人惊讶的是，韩冰曾多次向公司主管反映财务系统存在安全漏洞，甚至向其他管理员发送了警示电子邮件，提出安全漏洞的担忧。然而，这些行为没有引起重视，所在部门的领导也从未批准他提出的安全项目。 值得一提的是，链家一高管告诉法庭，韩冰觉得自己的建议不受重视，经常与上司争论。 类似案件 2020 年 2 月， SaaS 服务商微盟遭遇员工“删库跑路”，服务器出现大面积故障。公司一调查发现，犯罪嫌疑人是微盟研发中心运维部的核心运维人员贺某，于 2 月 23 日晚 18 点 56 分通过个人 VPN 登入公司内网跳板机，因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。 2021 年 3 月，王某入职上海某知名互联网公司从事计算机系统研发工作，负责公司网购平台部分规则代码研发。3 个月后王某因试用期未合格被公司劝退，并于离职当天，未经公司许可将其在职期间所写平台优惠券、预算系统以及补贴规则等代码删除，导致原定按期上线项目延后。 2021 年 9 月，一名总部位于纽约的前信用社员工，为报复其上司对她的解雇，在 40 分钟内，删除了超过 21.3GB 文件。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/333221.html 封面来源于网络，如有侵权请联系删除

5月9日，Secureworks Counter Threat Unit (CTU) 的研究人员发布的报告显示，臭名昭著的勒索软件 REvil（又名 Sodin 或 Sodinokibi）在销声匿迹一段时间后再度开始活动。 研究人员对新发现的样本进行分析，发现在短时间内已经出现多个修改过的新版本，表明 REvil 再次处于积极的开发过程中。 4月20日，REvil 在 TOR 网络中的数据泄露站点开始重定向到新的主机，这是一个明显的复苏信号，网络安全公司 Avast 在一周后披露，他们已在野外阻止了一个看起来像新的 Sodinokibi / REvil的勒索软件样本变种。 根据对另一个时间戳为3月11日的样本源代码进行检查，发现与2021年10月的样本相比已经有了明显的更改，包括对其字符串解密逻辑、配置存储位置和硬编码公钥的更新，并修订了赎金记录中显示的 Tor 域，与上个月发现的新 Tor 域相匹配： REvil 泄露站点：blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion REvil 赎金支付网站：landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion 2022 年 3 月样本中的字符串解密逻辑更改（资料来源：Secureworks） 作为一种勒索软件即服务 (RaaS)，REvil是最早采用双重勒索计划的组织之一，即以泄露窃取的数据为由威胁受害者支付赎金。该勒索软件组织自 2019 年开始运作，在2021年7月针对 Kaseya 云端系统供应链攻击中曾开出7000万美元的赎金要求，创勒索软件最高赎金记录。但在2021年10月份的多国联合执法行动中，REvil的服务器被查，今年1月初，俄罗斯联邦安全局 (FSB) 在该国多地进行突袭后，逮捕了多名组织成员。 REvil的复出被认为与俄乌战争有关，就在上个月，美国单方面退出了与俄罗斯为保护关键基础设施进行合作的计划。此外这也表明，勒索软件即使被打压或解散后，也能够很容易的死灰复燃，当下要彻底根除网络犯罪组织可谓困难重重。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/332892.html 封面来源于网络，如有侵权请联系删除

据Security affairs网站5月10日消息，网络安全机构Resecurity近期发现了一项名为Frappo的新型地下网络犯罪服务，以网络钓鱼即服务（PHaaS）的形式，使网络犯罪分子能够托管和生成以假乱真的网络钓鱼页面，这些页面主要针对网络银行、电子商务、流行零售商和在线服务来窃取客户数据。 这项服务最早于2021年 3 月22 日左右出现在暗网上，之后有过重大升级，最后一次更新是在 2022 年 5 月 1 日。除了暗网，Frappo也积极利用Telegram 进行宣传，拥有一个将近2000名活跃成员的群组，网络犯罪分子们在这就各种成功的攻击经验展开交流。 Frappo赋予网络犯罪分子以匿名和加密格式处理被盗数据的能力，具备匿名计费、技术支持、凭证搜集和追踪等功能。Frappo根据他们选择的订阅期限为网络犯罪分子提供了几种付款计划，就像为合法企业提供基于 SaaS 服务的平台一样，Frappo允许网络犯罪分子最大限度地降低开发网络钓鱼工具包的成本，并在更大范围内得到运用。 值得注意的是，网络钓鱼页面的部署过程完全自动化，Frappo利用一个预先配置的 Docker 容器和一个安全通道，通过 API 收集受损的凭证。 正确配置Frappo后，将会对搜集到的数据可视化——例如有多少受害者打开了网络钓鱼页面、授权或输入凭据、正常运行时间和服务器状态。日志部分将显示这些凭证，其中包含有关每个受害者的详细信息，例如 IP 地址、用户名、密码等。 根据Resecurity的观察，这些网络钓鱼页面的逼真度很高，其中包含诱骗受害者输入授权凭证的交互式场景。Frappo的出现表明，网络犯罪分子一直在利用先进的工具和技术来发动攻击，数字身份信息的保护已成为在线网络安全的关键。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/332796.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，谷歌将禁止俄罗斯用户和开发者从 Google Play 商店下载或更新付费应用程序。 Google 在其网站更新中声明：作为“合规”的一部分，2022 年 5 月 5 日起，Google Play 禁止俄罗斯用户或开发者下载付费应用程序和更新付费应用程序。 据悉，俄罗斯用户和开发者目前仍然可以发布和更新免费应用程序，但所有付费应用程序的更新已经被自动阻止。鉴于不能继续订阅付费应用程序，谷歌建议用户可以授予订阅计费宽限期和免费试用期，这一做法将适用于“订阅计费宽限期和任何免费试用期”。 另外，用户也可以将续订延期长达一年，此举允许用户在延期期间能够继续免费访问内容。如果用户愿意，同样可以选择免费提供应用程序，或者暂时删除付费订阅。 战争爆发后，俄罗斯禁止多款应用在境内运行 俄乌战争爆发后，谷歌开始制裁俄罗斯，3 月 10 日，首次暂停了其在俄罗斯的 Google Play 计费系统，以阻止俄罗斯用户购买应用程序和游戏，支付订阅或购买任何应用。 3 月 23 日，俄罗斯以谷歌提供有关乌克兰持续战争不可靠信息为由，禁止了 Alphabet 的新闻聚合服务 Google News 在该国运行，并阻止境内对 news.google.com 的访问。 除此之外，俄罗斯电信监管机构 Roskomnadzor 还要求 Google 停止在YouTube 视频中，传播有关俄罗斯与乌克兰战争“错误信息”的广告活动。作为回应，Google 封锁了俄罗斯国营媒体今日俄罗斯（RT）和卫星通讯社面向欧洲的 YouTube 频道。 值得一提的是，3 月初，根据总检察长办公室的要求，俄罗斯封锁了 Facebook 和 Twitter 社交网络，一周后，又禁止了Instagram。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332518.html 封面来源于网络，如有侵权请联系删除

美国证券交易委员会 (SEC) 5月6日发布声明，称对芯片制造商英伟达的指控，双方已达成一致，英伟达承认未能充分披露挖矿对其游戏业务的影响，同意支付550万美元的罚款。 此前，SEC认为，从 2017 年开始，已有越来越多的用户使用英伟达生产的游戏显卡（GPU） 来挖掘加密货币，但在2018财年的连续几个季度中，该公司未能披露大量的挖矿是其促成游戏GPU销售增长的重要因素。 相反，英伟达公布了加密货币需求对其它业务增长的推动，对游戏相关业务的影响则被一笔带过，仿佛游戏业务未受到加密货币的影响，但根据SEC的数据，英伟达的游戏业务收入在 2018 年第二财季同比增长了 52%，在 2018 年第三财季同比增长了 25%。尽管分析师和投资者有兴趣了解该公司的游戏收入受加密货币挖矿的影响有多大，但英伟达并未在 2018 年第二和第三财季提交的季度报告中披露其巨大影响。 SEC 加密资产和网络部门负责人 Kristina Littman表示： “英伟达这一做法使投资者无法获得关键信息，无法评估公司在关键市场的业务 。” 由于英伟达此举违反了美国《证券法》和《交易法》中的若干条款，这家科技巨头将不得不向SEC支付 550万美元的民事罚款。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332333.html 封面来源于网络，如有侵权请联系删除