在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上，两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家，Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下过佳绩。 本次挑战期间，俩人将目标瞄向了名为“OPC UA”的工业控制软件。其采用的开源通信协议，被广泛应用于连接全球电网和其它关键基础设施等工业系统。 尽管攻破 OPC UA 已经让外人感到相当不安，Keuper 和 Alkemade 仍声称这是他们能够搞定的“最简单”的系统。 Keuper 在接受 MIT 科技评论采访时称：“在工业控制系统中，仍有许多隐患可被轻松利用，该领域的安防已经严重落后于现实世界”。 Alkemade 补充道，在工控环境中的操作相当容易得逞。事实上，俩人还攻击了其它几套基础设施系统，但仅耗时两天就攻破了 OPC UA 。 Daan Keuper 和 Thijs Alkemade 收到了 Master of Pwn 奖杯与夹克 Keuper 指出：“OPC UA 被用于连接世界各地的基础设施，作为典型的工业网络核心组件，我们可绕过通常需要读取或修改任何内容的身份验证”。 正因如此，他们才花了几天时间就找到了突破口，并最终成功入侵了被世人认为相当重要的工控系统。 联想到俄乌冲突期间发生的针对能源、水利、以及核基础设施系统的网络攻击，相关行业显然需要打起十二分精神去巩固安全措施。 最后，虽然报道未提及开发者是否已经修补了 OPC UA 漏洞，但考虑到 Pwn2Own 赛事主办方 Zero Day Initiative 的“私下披露奖励政策”，目前暂可推定它是安全的。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261601.htm 封面来源于网络，如有侵权请联系删除

近日，我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告，可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务（GoogleUpdate.exe）没有给“goopdate.dll”这个动态链接库文件签名，Microsoft Defender 也突然变得严格了起来。 在运行 Google Chrome 更新时，Kevin Gary 留意到了 Microsoft Defender 安全防护软件的异常。 从他分享的日志截图来看，Defender 直接将谷歌更新标记成了恶意软件。 然后微软最有价值专家 Ota Hirufumi 解释称，官方已确认该问题属于误报，并且已经实施了修复。 据悉，家庭版（Microsoft Defender for Home）在最近的 AV-Comparatives 和 AV-TEST 横评中的总体表现相当不错。 尴尬的是，企业版（Microsoft 365 Defender）却总是将切实无害的文件和服务标记为恶意。 此外去年 2 月，Defender for Endpoint 就已经误报过一次 Chrome 更新，最近甚至将自家的 Office 更新也打上了恶意软件的标记。 即使该公司在那次事后发布了一份指南，以减少此类误报。但从实际表现来看，相关措施并未起到实质性的帮助作用。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260783.htm 封面来源于网络，如有侵权请联系删除

NSO集团用于入侵iPhone的间谍软件Pegasus陷入了另一桩间谍丑闻，该监视工具被用来对付西班牙加泰罗尼亚地区的民间社会和政治人物的设备。继2020年2020年的一份报告称加泰罗尼亚高级政治家Roger Torrent和支持独立的人通过WhatsApp成为“政府级间谍软件”的目标后，Citizen Lab对针对该地区官员和相关人员的更广泛的间谍软件使用情况展开了调查。 当地时间周一，调查显示有证据表明使用了另一种工具：PegASUS。 报告称，至少有63人成为Pegasus的目标或被感染，另有4人成为Candiru间谍软件的目标，还有2人成为两种工具的目标。受害者名单包括加泰罗尼亚自治区主席、立法者、民间社会组织成员、欧洲议会成员和家庭成员。 虽然Citizen Lab没有直接归咎于这些攻击，但它称有大量间接证据指向西班牙政府的方向。 作为西班牙最富有的自治区之一，加泰罗尼亚地区长期以来一直试图扩大其自治权，通常受到西班牙政府的反对。这一点在2017年被西班牙宪法法院视为非法的独立公投期间尤为明显，据称警察将选民拒之门外并据称过度使用武力。 在加泰罗尼亚议会批准投票后不久，西班牙政府解散了该议会并安排了新的选举。此后，参加公投的人被送进监狱，西班牙则继续与独立运动作斗争。 调查确定，在63个目标中，有51个被发现有法医证实的感染。然而由于西班牙的Android系统比iOS系统的普及率高且调查人员使用的取证工具对iOS系统更加发达，报告认为它严重低估了可能因为拥有Android设备而成为目标并感染Pegasus的人数。 几个“非中心”目标的例子即家庭成员、工作人员的亲近成员和其他跟相关人员有关的个人被发现遭到了感染，这能在不一定保持连接的情况下就能收集有关主体的数据。 所有支持独立的加泰罗尼亚欧洲议会议员都沦为目标，无论是直接的还是非中心的，其中包括对欧洲议会议员的三次直接感染和两次非中心攻击。 其他已确定的目标包括支持政治独立的民间团体，如Assemblea Nacional Catalana、Omnium Cultural及代表加泰罗尼亚知名人士的律师们。 “Homage”和证据 就Pegasus的工作方式而言，零点击iMessage漏洞在2017年至2020年期间被实施过，这是一种相当普遍的技术。然而在2019年年底发现的一个零点击漏洞叫Homage。 据了解，Homage涉及一个iMessage零点击组件启动WebKit实例，发生在执行Pegasus电子邮件地址的查询后。WebKit实例获取了JavaScript支架，然后获取了漏洞本身。 该支架甚至可以通过比较可能匹配的屏幕分辨率来确定iPhone的型号、“显示变焦”模式是否参与以及加密一个缓冲区所需的时间。 跟这些漏洞有关的域名似乎是由一个Pegasus客户控制，这表明这一切都是由一个实体完成。据报道，西班牙国家情报中心(CNI)是NSO集团的一个客户，该国的内政部有可能进行同样的攻击。 其他间接证据包括：目标的时间似乎是西班牙政府感兴趣的、诱饵短信的内容推断出可以获取官方身份证号码等个人信息以及目标是西班牙政府明显感兴趣的。 Citizen Lab认为，该案件的严重性显然值得进行正式调查，从而确定责任方、如何授权黑客攻击、法律框架、行动规模及黑客数据的用途。另外，它还认为该案件值得注意的原因是黑客活动的性质不受限制。 关于加泰罗尼亚地区使用Pegasus攻击的报告是在确定欧盟委员会高级官员在2021年成为攻击者的目标并使用同样的工具试图获得智能手机的访问权后一周发布的。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1259837.htm 封面来源于网络，如有侵权请联系删除

微软今天宣布近日捣毁了一个名为 ZLoader 的主要犯罪僵尸网络，这也是使用 XLM 宏作为攻击面的僵尸网络之一。微软的最新行动包括技术和法律活动，以破坏利用 ZLoader 作为恶意软件即服务（malware-as-a-service）的犯罪集团的运作。 在本次捣毁行动中，微软还锁定了一位开发 Zloader 用来分发勒索软件的犯罪分子。他是生活在 Crimean Peninsula Simferopol 的丹尼斯·马利科夫（Denis Malikov）。这一身份在微软的调查中被披露，该公司认为公开披露这一身份将向其他犯罪分子发出一个明确的信息，即他们不能躲在数字匿名的面具后面。 微软还争取到了一项法院命令，以控制犯罪团伙用来发展其僵尸网络的65个域名。该僵尸网络通常由属于全球医院、学校、家庭和企业的受感染电脑组成。 这些域名现在被引导到微软的一个天坑，在那里它们不能再被僵尸网络的犯罪操作者使用。Zloader包含一个嵌入在恶意软件中的域名生成算法（DGA），它创建了额外的域名作为僵尸网络的后备或备用通信渠道。除了硬编码的域名外，法院命令允许我们控制另外319个目前注册的DGA域名。我们还在努力阻止DGA域名的未来注册。 微软数字犯罪部门（DCU）总经理艾米-霍根-伯尼说，ZLoader的最初目标是金融和凭证盗窃。然而，现在它还出售恶意软件即服务，以分发Ryuk等勒索软件，该软件针对医疗机构。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1258209.htm 封面来源于网络，如有侵权请联系删除

一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动，以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一，它承载着一个留言板系统，恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和被盗数据，据悉，其中就包括最近在2021年公开的T-Mobile数据泄漏。 该网站上的一个横幅现在显示，它已被“FBI、美特勤局和司法部查封”。该横幅还宣称有一组其他机构参与了此次查封，包括美国税收署(IRS)和来自德国、葡萄牙、罗马尼亚、瑞典和英国的执法组织。与此同时，21岁的RaidForums所有者和管理员Diogo Santos Coelho于今年早些时候在英国被捕，目前被当局羁押，对他的引渡程序尚未完成。 全球领先黑客组织使用的RaidForums RaidForums创立于2015年，最初通常由原始黑客通过从全球低级安全漏洞中获得的用户名和密码交换数据库。安全研究员Brian Krebs指出，该网站是一个通过定向突袭和扫荡等活动组织“电子骚扰”的地方。Krebs还指出，随着需求的增加，RaidForums成为“讲英语的黑客兜售他们商品的首选之地”。Vice则报道称，随着其根基的加深，该网站还被主要的黑客组织使用，其中包括LAPSUS$。据了解，该组织从包括EA、微软、英伟达、三星和沃达丰等知名平台窃取数据。 据报道，以管理员身份“Omnipotent”而闻名的Coelho主要通过出售不同等级的论坛会员资格–包括MVP和God–来换取加密货币而获益。据报道，他还会提供收费服务以在出售和购买被破解数据的各方之间进行联络。 美司法部在公告中称，RaidForums拥有超100亿条居住在美国境内和境外的人的记录。与此同时，欧洲刑警组织在另一份声明中指出，该网站拥有50多万用户。 网站管理员被指控犯有欺诈和阴谋罪 根据对Coelho提出的正式起诉书，调查是由一名卧底探员主导，其利用RaidForums的信用系统试图从该网站购买数据。指控书还写道，除了向该官员提供被盗数据的信息，Coelho还在交易中充当了中间人。这位21岁的黑客被指控犯有严重的身份盗窃、国际欺诈和阴谋罪。 根据Krebs的说法，Coelho于2018年6月在乔治亚州亚特兰大的哈兹菲尔德-杰克逊国际机场首次进入美国执法机构的视野。抵达亚特兰大后，Coelho略的电子设备被搜身，政府机构发现了提及他的RaidForums账号的信息、电子邮件和文件。当年晚些时候，Coelho试图跟当局联系要求他们归还他的物品，其使用的是用于注册URL名称raid.lol和rf.ws的同一个电子邮件ID。据悉，这两个域名都是作为RaidForums的备份域名。自2022年2月以来，所有跟RaidForums有关的已知域名都被FBI查封并控制。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1258423.htm 封面来源于网络，如有侵权请联系删除

SSLPing 是一款相当实用的工具，在注册并添加了你的服务器后，它就会帮助检查证书、协议、密码和已知漏洞。从 SSL v3 到 TLS 1.2，对于一些大型服务提供商来说，如果未能在证书到期前妥善处理，后续的影响还是相当难以规避的。然而近日，这款免费工具的创作者正在发出寻求帮助的讯号。 （来自：SSLPing 官网） 据悉，作为一项没有广告支撑的免费服务，其有为超过 500 名注册用户提供对 12500 台 TLS 服务器的监测。 作为一个顺兴而为的项目，Chris Hartwig 认为 SSLPing 还是相当成功的。这是一次极佳的体验，他很高兴能够为所有人提供一项实用的服务。 然而由于 Patreon 赞助仅能覆盖 1/4 左右的成本，他已对此感到难以为继。更糟糕的是，SSLPing 在五天前遇到了问题。 Docker 容器在系统更新破坏了大量事务后拒绝运行（涉及 upstart / system / FS 驱动等），且他暂不清楚如何让它起死回生。 显然，SSLPing 的消亡，归咎于自 2016 年 3 月以来的一系列问题的叠加。 ● 首先，SSLPing 使用了较旧的操作系统，且 Chris Hartwig 尝试更新无果。由于从 OpenSSL 中删除了一些旧内容，导致 SSLPing 的功能发生了改变。 ● 其次，SSLPing 使用了较旧的 nodejs 版本，结果升级会剔除 SSL v3 检测。 ● 第三，SSLPing 使用了现已失宠的 Docker Swarm 容器（最终的赢家是 Kubernetes），且物理服务器（其中 3 台）也年事已高 —— 上周挂掉了一台，另外两台已正常运行 1400 多天。 ● 第四，SSLPing 依赖于现已弃用的 UI 库。 ● ……（以及其它拖欠已久的技术债） 好消息是，如果 Chris Hartwig 能够顺利发布 sslbot.io（旨在取代老旧的 SSLPing 服务），他也将在第一时间向外界公布。 对于在此期间引发的麻烦（但愿不会太严重），他还是深表歉意。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1257845.htm 封面来源于网络，如有侵权请联系删除

乌克兰计算机应急响应小组（CERT-UA）在周二的一份安全公告中称，他们刚刚破坏了 Sandworm 想要攻陷一家该国能源供应商的企图。据说 Sandworm 是一个与俄罗斯军事情报部门有关联的黑客组织，期间试图利用臭名昭著的新版 Industroyer 恶意软件，来切断未具名的某能源供应商的变电站。 （来自：CERT-UA） 外媒指出：2016 年，Sandworm APT 组织曾利用 Industroyer，导致乌克兰数十万客户在圣诞节前两天遭遇了大停电。 与 CERT-UA 合作分析并修复攻击的网络安全公司 ESET 的研究人员表示，他们十分肯定针对工业控制系统（ICS）的恶意软件，是基于早前的源代码而构建的。 2016 年的时候，Industroyer 被视作自震网（Stuxnet）面世以来的最大威胁。而近期出现的 Industroyer2 新变种，又试图对高压变电站造成破坏。 据说它与 CaddyWiper（3 月首次发现针对乌克兰银行的破坏性擦除恶意软件）打了个配合，被植入了运行 Windows 操作系统的平台上，以不留下攻击的痕迹。 此外攻击者还是用了被称作 Orcshred、Soloshred 和 Awfulshred 的擦除恶意软件变种，来攻击组织机构的 Linux 服务器。 安全公告补充道：攻击者最晚在 2 月 22 日攻破了这家能源供应商的网络，并企图于 4 月 8 日切断乌克兰地区的电力供应。庆幸的是，CERT-UA 声称其已阻断 Sandworm 的恶意软件部署工作。 不过 ESET 安全研究人员指出，他们尚不清楚攻击者是如何侵入受害者网络、以及如何从 IT 网络染指工业控制系统（ICS）的。其在技术分析中写道： 乌克兰关键基础设施（KRITIS）再次成为了网络攻击的主要目标，本次 Industroyer 新变种攻击瞄向了该国的诸多部门。我们将持续监测威胁形势，以保护组织机构免受此类攻击的破坏。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1257619.htm 封面来源于网络，如有侵权请联系删除

微软宣布旗下的 BUG 悬赏项目新增覆盖 3 个产品，分别为 Exchange, SharePoint 和 Skype for Business。和 BUG 悬赏项目中的其他产品一样，针对这 3 个产品的 BUG 悬赏金额从 500 美元起步，根据 BUG 的危险等级最高上限为 3 万美元。 微软解释道：“Microsoft 365 和 Microsoft Office Servers 是我们工作和生活中的生产力解决方案，旨在通过创新的 Office 应用程序、智能云服务和世界级的安全来帮助您实现更多目标。Microsoft Applications 和 On-Premises Servers Bounty Program 邀请全球研究人员识别特定微软应用程序和企业内部服务器中的漏洞，并与我们的团队分享这些漏洞。符合条件的提交者有资格获得 500 美元至 30,000 美元的赏金奖励”。 当然，微软为远程代码执行缺陷提供最大的奖励。如果它们被评为关键缺陷，并与高质量的报告一起被送到微软，它们可能价值 20,000 美元。另一方面，如果你遇到的是特权提升，也被评为关键性缺陷，当高质量的报告也被发送时，赏金就会降到 8000 美元。然而，微软表示，它也可以提供更高的奖励，这取决于你的发现。 微软表示：“赏金奖励范围从 500 美元到 30,000 美元。根据漏洞的严重性和影响以及提交的质量，微软有可能提供更高的奖励，由微软全权决定。如果研究人员提交的材料不符合赏金奖励的条件，但如果他们提交的材料修复了漏洞，他们仍有资格获得公开承认，并在我们的研究人员表彰计划中获得积分”。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255865.htm 封面来源于网络，如有侵权请联系删除

微软透露，它已经控制了由一个与俄罗斯有联系的黑客实体（称为Strontium）控制的七个互联网域名。据该公司称，这些域名被用于对乌克兰机构的网络攻击，如新闻媒体组织以及美国和欧盟涉及外交政策的政府机构和智囊。 在微软于4月6日获得法院命令后，这些域名被查封。微软长期以来一直在对付Strontium，并且已经有了一个框架可以迅速获得法院命令对该组织的黑客活动采取行动。在控制了这些域名之后，微软已经将这些域名重新定向到它所运行的一个停靠站，以保证用户的安全并通知攻击的受害者。 微软客户安全与信任部企业副总裁汤姆-伯特说： “这次协助执法是2016年开始的一项持续的长期投资的一部分，目的是采取法律和技术行动，查封被Strontium使用的基础设施。我们已经建立了一个法律程序，使我们能够迅速获得法院对这项工作的裁决。在本周之前，我们已经通过这一程序采取了15次行动，获得了100多个Strontium控制的域的控制权。” 虽然微软能够解决Strontium的最新攻击是件好事，但该公司承认，这只是应对乌克兰网络战的一小部分。尽管如此，微软继续与该国的组织合作，以解决自俄罗斯入侵开始以来不断升级的网络攻击。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255821.htm 封面来源于网络，如有侵权请联系删除

针对黑客组织 Lapsus$ 的专项打击活动仍在继续，就在一周前逮捕 7 名青少年之后，英国警方指控 2 名青少年犯有多项网络罪行。目前这 2 人仍处于拘留中，并将于本周五晚些时候在海布里角地方法院出庭。 在周五的一份声明中，伦敦市警察局探长迈克尔·奥沙利文表示这两名年龄分别为 16 岁和 17 岁的青少年被指控犯有三项罪行：包括未经授权访问计算机并意图损害数据可靠性、通过虚假陈述进行欺诈以及未经授权访问计算机并意图阻碍数据访问。这名 16 岁的少年还被指控犯有一项导致计算机执行一项功能以确保未经授权访问程序的罪行。 科技媒体 TechCrunch 尝试进行联系，伦敦市警方不愿确认这些青少年的身份，他们的名字没有被公布，因为他们受到英国关于识别非成年人的报告限制。然而，彭博社最近的一份报告显示，一名位于英国牛津的青少年被怀疑是 Lapsus$ 黑客组织的主谋。在对手的黑客在网上公布了他的个人信息后，记者追踪到了这个使用”White”或”Breachbase”这一网络名称的 16 岁少年。 这份报告发表前几个小时，伦敦市警察局宣布他们逮捕了7名年龄在16至21岁之间的人，因为他们涉嫌与Lapsus$黑客组织有联系。在逮捕消息出现的第二天，Lapsus$在Telegram上告诉其5万多名粉丝，其部分成员正在”度假”。该组织后来否认其任何成员在3月被捕。 Lapsus$黑客组织于2021年12月首次浮出水面，本周又出现了一个新的数据泄露受害者。总部位于卢森堡的软件开发咨询公司Globant。该组织在其 Telegram 频道上发布了一个 70GB 的种子文件，其中包含据称从该公司窃取的数据，黑客声称其中包括其企业客户的源代码。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1253887.htm 封面来源于网络，如有侵权请联系删除