Hackernews 编译，转载请注明出处： 研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。 这项攻击活动已经进行了六个月，操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater，SeedWorm，或 TEMP.Zagros)有关。 这份报告来自 Symantec 的威胁猎手团队，他们收集了以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝最近发生的袭击事件的证据和工具样本。 瞄准 Exchange 服务器 攻击者似乎对易受攻击的 Exchange 服务器最感兴趣，他们将这些服务器用于 web shell 部署。 在最初的入侵之后，他们盗取帐户凭证并在企业网络中横向移动。在某些情况下，他们利用自己的立足点转向其他关联组织。尽管感染源不明，Symantec还是找到了一个名为“ Special discount program.ZIP”的 ZIP 文件，其中包含一个远程桌面软件应用程序的安装程序。 因此，攻击者可能正在向特定目标发送鱼叉式网络钓鱼邮件。 工具和方法 攻击者开始行动的第一个迹象通常是创建一个 Windows 服务，以启动一个 Windows 脚本文件(WSF) ，对网络进行侦察。 接下来，PowerShell 用于下载更多 WSFs，Certutil 用于下载隧道工具和运行 WMI 查询。 ”根据进程沿袭数据，攻击者似乎广泛使用脚本。这些可能是用于收集信息和下载其他工具的自动脚本。”Symantec的报告解释说。 “然而，在一个案例中，一个命令向 cURL 求助，这表明攻击者至少有一些动手操作键盘的行为。” 在目标组织中建立了他们的存在，攻击者使用了 eHorus 远程访问工具，这使他们能够做到以下几点: 1. 运送及(可能)运行本地安全认证子系统服务倾倒工具。 2. 提供(据信是) Ligolo 隧道工具。 3. 执行 Certutil 来请求其他目标组织的 exchangeweb 服务(EWS)的 URL。 为了转向其他电信公司，攻击者寻找潜在的 Exchange Web 服务链接，并为此使用以下命令: Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews 下面是攻击者使用的工具集的完整列表: ScreenConnect: 合法的远程管理工具 RemoteUtilities: 合法的远程管理工具 eHorus: 合法的远程管理工具 Ligolo: 反向隧道工具 Hidec：命令行工具，用于运行隐藏窗 Nping: 包生成工具 LSASS Dumper: 从本地安全认证子系统服务进程中转储凭证的工具 SharpChisel: 隧道工具 Password Dumper CrackMapExec: 公开可用的工具，用于自动化 Active Directory 环境的安全评估 ProcDump: 微软 Sysinternals 工具，用于监视应用程序的 CPU 峰值和生成崩溃转储，但也可以用作一般的进程转储工具 SOCKS5代理服务器: 隧道工具 键盘记录器: 检索浏览器凭据 Mimikatz: 公开的证书转储工具 大多数这些工具是安全进攻队通常使用的公开可用工具，因此在组织中它们可能不会引发警报。 链接至 MuddyWater 尽管来源并不确定，Symantec记录了两个 IP 地址，这两个地址与之前  MuddyWater 攻击中使用的基础设施相同。 此外，这个工具集还与Trend Micro的研究人员报告的2021年3月的攻击有几个相似之处。 尽管如此，许多伊朗政府支持的攻击者使用现有的公开工具，并定期更换基础设施，因此，目前还无法确定真正的幕后黑客。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据称，用于攻击记者、人权活动家和被压迫者使用的iPhone的Pegasus（飞马座）间谍软件背后的安全公司NSO集团，正在考虑通过关闭有关项目来摆脱丑闻的影响。总部设在以色列的NSO集团在发现其Pegasus间谍软件被政府滥用后，面临着相当大的批评和影响，以至于它显然正在寻求完全退出这一局面。 彭博社的匿名消息来源称，该公司已经与投资基金讨论了可能的再融资或出售该公司。Moelis & Co公司的顾问正在与NSO集团合作处理此事，而未透露姓名的贷款人则由Willkie Farr & Gallagher公司的律师提供咨询。 虽然身份不明，但潜在的买家包括一对美国基金，它们将在交易后控制并关闭PegASUS。作为回报，这些基金理论上将向NSO集团提供约2亿美元的资金，这可能有助于重新关注该公司的知识产权和技术，使其成为一家纯粹的防御性安全公司，也可以扩大其无人机技术工作。 NSO的审议是在美国商务部将该公司列入黑名单之后进行的，尽管NSO声称其”技术支持美国国家安全利益和政策”。苹果公司也起诉了NSO集团，阻止其使用其产品和服务。 Pegasus利用iOS中的各种漏洞，在iPhone上安装侵入性间谍软件，该软件旨在供政府和执法部门用来对付犯罪分子。在发现它被一些专制政府用来对付潜在的批评者后，它成了一桩丑闻。 这家安全公司还处于需要偿还约4.5亿美元债务的境地。NSO在2019年发放的一笔贷款在11月的交易价格为每美元70美分，但周一的出价为每美元50美分。 NSO的收入已经比2018年下降了8%，2021年的销售额预计将在2.3亿美元左右。随着Pegasus的关闭，这一收入预计将被削减一半。   （消息及封面来源：cnBeta）

美国司法部本周宣布，伴随着现年 22 岁的密苏里州居民加勒特·恩迪科特（Garrett Endicott）被判刑，知名国际黑客组织“The Community”所有 6 名成员均已落网并判刑。他们此前曾施行了 SIM 卡劫持活动，从受害者手中窃取了价值数百万美元的加密货币。 图片来自于 publicdomainpictures Endicott 因参与该活动被判处 10 个月监禁，并被命令支付 121549 美元的赔偿金。SIM 劫持，也被称为 SIM 交换，是一种攻击者控制目标电话号码的技术，允许他们接收短信和其他形式的双因素认证（2FA）代码，然后可以用来登录受害者的电子邮件，云存储，并最终登录他们的加密货币交易所账户。 据检察官称，在 The Community 的案件中，SIM 卡劫持活动“通常是通过贿赂移动电话供应商的员工来促成的”。其他时候，SIM卡劫持是通过社区成员联系移动电话供应商的客户服务–冒充受害者–并要求将受害者的电话号码换成社区控制的SIM卡（从而控制移动设备）来完成的。 该计划导致数千万美元的加密货币被盗。来自美国各地的个人，包括加利福尼亚州、密苏里州、密歇根州、犹他州、德克萨斯州、纽约州和伊利诺伊州，损失的加密货币价值（在被盗时）从2000美元以下到500万美元以上。司法部表示，被判刑的被告人涉及的盗窃总额从大约5万美元到超过900万美元不等。 Endicott 被判处的刑罚比社区的其他成员要轻。佛罗里达州居民Ricky Handschumacher被判处四年监禁，并被罚款760多万美元；爱荷华州居民Colton Jurisic被判处42个月监禁，并被命令支付950多万美元；南卡罗来纳州居民Reyad Gafar Abbas被判处两年监禁并被罚款31万多美元。 爱尔兰公民康纳-弗里德曼（Conor Freedman）此前被爱尔兰法院判处三年监禁，而康涅狄格州居民瑞安-史蒂文森（Ryan Stevenson）被判处缓刑。两人都被命令支付某种形式的赔偿金。   （消息及封面来源：cnBeta）

NSO的Pegasus（飞马）iPhone黑客是今年最重要的科技争议之一。过去几个月的几份报告揭示了一个令人难以置信的复杂的iPhone黑客攻击活动。Pegasus允许国家行为者通过使用零日攻击来监视使用iPhone的特定人物目标。 受害者甚至不需要点击信息中的链接来安装PegASUS间谍软件程序，黑客就能完成入侵。他们也不会知道，iPhone正在向未知的攻击者发送个人数据。鉴于这些iPhone的安全报告，苹果修补了这个漏洞。 但苹果并没有停留在仅仅修复漏洞上。本周早些时候，苹果公司起诉了间谍软件背后的以色列公司。随后，苹果公司迅速采取行动，通知受害者这一攻击。结果，该公司间接地揭示了飞马黑客所追求的目标种类。 不要担心黑客在苹果公司修补漏洞之前已经窥探到你的iPhone。你可能没事。这不会影响大多数iPhone用户。采用Pegasus黑客的黑客是冲着特定的目标去的，比如活动家、政治家、立法者和记者。这就是为什么美国政府将飞马公司列入实体清单，有效地禁止NSO集团与任何美国科技公司合作。苹果向受害者发出警报，有助于我们更好地了解飞马黑客的范围和重点。 据路透社报道，苹果公司周三向至少六名泰国活动家和研究人员发出警报信息。这些人过去一直对泰国政府持批评态度。 例如，收到苹果公司关于飞马黑客的通知的人之一是Prajak Kongkirati（孔基拉提）。孔基拉提是曼谷塔玛萨大学的政治学家，他收到了苹果公司的两封邮件。该公司通知他，它认为黑客的目标是他的iPhone和iCloud账户。 此外，泰国还有五名iPhone用户收到了苹果的飞马警报。名单中包括一名研究人员、另外两名活动人士、一名说唱歌手和一名政治家。 飞马警告告知潜在的受害者，如果国家支持的攻击者破坏了他们的iPhone，可能会发生什么。黑客”可能能够远程访问你的敏感数据、通信，甚至是摄像头和麦克风”。 另外，波兰语的ThinkApple报道，苹果公司通知一名波兰检察官，她的iPhone可能已经遭遇了Pegasus。 Ewa Wrzosek可能是在调查了一次失败的总统选举后成为目标的，在这次选举中，有人花钱进行了一次没有发生的邮政投票。报告指出，Wrzosek的上司最终将该检察官从该案中剔除。此外，还开始了对她的纪律处分程序。 检察官在Twitter上宣布，她收到了苹果公司的Pegasus提醒。下面是上面的Twitter内容，其中还提到了波兰司法部长。 我刚刚收到来自苹果支持账户的警报，说我的手机可能受到国家部门的网络攻击。有迹象表明，我可能因为我正在做的事情或我是谁而成为目标。我会认真对待这个警告，因为在这之前还有其他事件。@ZiobroPL这是个巧合吗？ 路透社的同一篇报道还指出，苹果向加纳、乌干达和萨尔瓦多的iPhone用户发出了类似警告。黑客利用Pegasus可能在属于加纳的两名政治活动家、乌干达的一名政治家和萨尔瓦多的十几名记者的iPhone上安装间谍软件。 苹果公司没有公布受到Pegasus黑客攻击的人的名字。但这些iPhone用户中的一些人正在自己站出来证实这些间谍活动。 如果你没有收到苹果公司发出的类似上述推文中的信息，这意味着你不是购买NSO软件的民族国家行为者的目标。如果你有，你会想立即在你的iPhone上安装最新的iOS版本。当然，你也可能想换一部全新的手机，这是一位《纽约时报》记者在他的iPhone上发现Pegasus黑客行为后所做出的的叙述。   （消息及封面来源：cnBeta）

计算机安全组织 Cisco Talos 发现了一个新的漏洞，包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。该漏洞存在于 Windows 安装程序中，允许攻击者提升自己的权限成为管理员。 在发现该漏洞之后，Cisco Talos 集团升级了自己的 Snort 规则，该规则由检测针对一系列漏洞的攻击的规则组成。更新后的规则清单包括零日特权提升漏洞，以及针对浏览器、操作系统和网络协议等新兴威胁的新规则和修改后的规则。 利用该漏洞，拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本，这表明可能已经有黑客利用该漏洞发起攻击。 此前，微软的安全研究员 Abdelhamid Naceri 向微软报告了这个漏洞，据说在 11 月 9 日用 CVE-2021-41379 修复了该漏洞。然而，这个补丁似乎并不足以解决这个问题，因为这个问题仍然存在，导致Naceri在GitHub上发布了概念证明。 简单地说，这个概念证明显示了黑客如何利用微软Edge提升服务的酌情访问控制列表（DACL）将系统上的任何可执行文件替换为MSI文件。 微软将该漏洞评为”中等严重程度”，基本CVSS（通用漏洞评分系统）评分为5.5，时间评分为4.8。现在有了功能性的概念验证漏洞代码，其他人可以尝试进一步滥用它，可能会增加这些分数。目前，微软还没有发布一个新的更新来缓解这个漏洞。   （消息及封面来源：cnBeta）

包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中，这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 GitHub 来找到它们，这就是所谓的搜索“dork”。 总部位于伦敦的铁路旅行服务公司 Trainline 的安全工程师 Aidan Marlin 在通过 HackerOne 报告了他的发现，并被 GitHub 代表告知“我们用户暴露的凭据不在范围内后，提醒 The Register 这些文件的公开可用性。我们的漏洞赏金计划”。Marlin 然后问他是否可以公开他的发现，并被告知他可以自由这样做。 在发送给 The Register 的电子邮件中，Marlin 表示：“我很沮丧 GitHub 没有认真对待用户的安全和隐私。它至少可以防止这个 GitHub dork 的结果出现。如果上传这些 cookie 数据库的人知道他们做了什么，他们会尿裤子”。 Marlin 承认，受影响的 GitHub 用户在提交代码并将其推送到公共存储库时未能阻止他们的 cookies.sqlite 数据库被包含在内，因此应该受到一些指责。 “但是这个 dork 的点击量接近 4500 次，所以我认为 GitHub 也有注意的义务”。他说，并补充说他已经通知了英国信息专员办公室，因为个人信息处于危险之中。 Marlin 推测这种疏忽是从一个人的 Linux 主目录提交代码的结果。他解释说：“我想在大多数情况下，个人不知道他们已经上传了他们的 cookie 数据库，用户这样做的一个常见原因是跨多台机器的公共环境”。 Marlin 说，GitHub dorks 并不新鲜，但它们通常只影响单一服务，例如 AWS。这种特殊的失误令人不安，因为它可能允许攻击者访问任何面向互联网的网站，在提交 cookie 文件时，GitHub 用户已通过该网站进行身份验证。他补充说，可能也可以找到其他浏览器的傻瓜。   （消息及封面来源：cnBeta）

据Techspot报道，根据卡巴斯基的一项调查，30%的人认为使用跟踪软件来监视他们的伴侣是正常的。跟踪软件是一类允许一个人监视另一个人的软件，通常是在目标的移动设备上安装该软件，而他们并不知情。这类应用程序通常伪装成家长控制应用程序或防盗解决方案，可以监控互联网活动，跟踪用户的行踪，录制音频和视频，以及其他功能。 卡巴斯基最近委托进行了一项调查，以衡量公众对隐私的看法–特别是数字跟踪。在接受调查的21个国家的21000多名处于恋爱关系中的人中，有30%的人认为监视其伴侣的数字活动是正常的，这令人吃惊。在这个子集中，超过一半的人说，只有在某些情况下这样做才合适。 什么构成可接受的情况？调查结果显示，在那些认为监视伴侣是正常的人中，64%的人说如果他们认为伴侣不忠，他们会这样做，而63%的人说如果这与安全有关，他们会这样做。在这个群体中，如果他们认为他们的伴侣参与了犯罪活动，有一半人也会监视他们的伴侣。 近四分之三（74%）的受访者表示他们从未被技术手段跟踪过。 如果在设备上发现了跟踪软件，人们会如何反应？大多数受访者（83%）表示，如果他们发现自己的设备上未经自己同意安装了监控软件，他们会与伴侣对峙，但报告指出，在这种情况下站出来与伴侣对峙，可能只会让跟踪软件受害者面临的风险升级。    （消息及封面来源：cnBeta）

美国财政部近几个月来扩大了其数字监控权力，一份泄露的合同显示，它转向了有争议的公司Babel Street，批评者说它帮助联邦调查员买通了第四修正案的规定。 通过《信息自由法》申请获得的两份合同，以及研究和倡导组织”技术调查”与”拦截者”分享的合同显示，在过去四个月中，财政部从Babel Street获得了两个强大的新数据源，其中一个用于其制裁执法部门，另一个用于国内税收局。这两个数据源使政府能够使用私人公司收集不受正当程序限制的敏感数据。批评者特别震惊的是，美国财政部获得了智能手机应用程序中获取的位置和其他数据；用户往往不知道应用程序是如何广泛分享这些信息。 第一份合同的日期为7月15日，费用为154982美元，是与美国财政部外国资产控制办公室（OFAC）签订的，该办公室是一个准情报部门，负责对伊朗、古巴和俄罗斯等外国政权实施经济制裁。纽约大学法学院布伦南司法中心（Brennan Center for Justice）6月份的一份报告发现，OFAC庞大的执法权力需要国会的更大监督。该报告批评对OFAC可以制裁的对象缺乏法律限制，并指出OFAC甚至在制裁授权后还可以自由地将人加入制裁名单。 根据合同文件，OFAC的调查人员现在可以使用名为Locate X的Babel Street工具，在没有搜查令的情况下追踪个人的行动。Locate X为客户提供从移动应用程序中收集的地理位置数据，这些应用程序通常通过广告或嵌入的预包装代码将你的坐标传递给难以计数的第三方，以提供应用程序的社交网络功能或研究用户的统计数据。这种商业位置数据在很大程度上存在于监管真空中，由无数的应用程序获得，并在世界各地的广告技术公司和数据经纪人当中一个令人难以置信的，巨大和不断增长的生态系统之间购买、出售和交换，最终落入Babel Street的手中，然后将搜索权限出售给政府客户，如OFAC。 该软件的批评者说，它基本上允许国家买通第四修正案，该修正案保护美国人免受不合理的搜查。合同指出，OFAC的全球目标办公室将使用Locate X来分析手机广告技术数据，以研究恶性活动和识别恶性行为者，进行网络开发，检查公司结构，并确定实际所有权，这是美国政府罕见地公开承认其使用用现金而不是法官手令获得的个人定位数据。该合同没有表明Locate X是否会被用来对付美国人或外国人。   （消息及封面来源：cnBeta）

美国司法部已宣布逮捕并起诉臭名昭著的 REvil 黑客组织的一名涉案嫌疑人，据称其与针对 IT 管理企业 Kaseya 和苹果供应商的勒索软件攻击有关联。今年 8 月，美方已因涉嫌网络犯罪而起诉乌克兰国籍的 Yaroslav Vasinskyi 。然后 10 月份的时候，波兰当局对其采取了逮捕拘留措施。 正如一份已启封的法庭文件所揭示的那样，Yaroslav Vasinskyi 正面临被引渡到美国受审的问题。至于本次逮捕，波兰当局声称与嫌疑人运营的 REvil 相关资产有关。 美司法部还披露，其已从 FTX 交易所没收了 610 万美元的资产。据称这笔赃款来自俄罗斯籍的 Yevgeniy Polyanin，他同样涉嫌参与针对政企的勒索软件攻击，并于 8 月被提起诉讼（CNN / DOJ 报告称其尚未被捕）。 起诉书中写到，乌克兰人 Yaroslav Vasinskyi 涉嫌非法入侵和操控计算机网络、窃取政企数据、以及通过加密原始数据并删除任何备份而索取赎金。 若企业不愿屈服，REvil 团伙还会将数据转售或散布到网络上。受害者中包括了苹果供应商之一的广达（Quanta），泄露事件让外界提前知晓了新款 MacBook 的相关细节。 至于两名犯罪嫌疑人在 REvil 勒索软件攻击事件中分别扮演了怎样的角色，起诉书中并未明确提及，仅指责他们参与合谋发动网络攻击。若罪名成立，俩人都将面临百年以上的监禁。 最后，执法机构已经抓获了另外两名与 REvil 有染的嫌疑人，且政府愿意花费巨额悬赏来抓捕更多涉案成员。若帮助顺利抓捕 REvil 组织头目，举报人可获千万美元赏金（其他成员最高奖励 500 万美元）。   （消息及封面来源：cnBeta）

安全软件公司McAfee周一宣布，该公司将通过一个投资集团的收购进行私有化，交易价值超过140亿美元。彭博社上周首次报道，一项可能的交易即将发生。McAfee由John McAfee于1987年创立，以其计算机防病毒软件而闻名。 创始人McAfee于1994年离开McAfee公司，该公司于2010年被英特尔以76.8亿美元收购。2014年，英特尔宣布逐步取消安全软件的McAfee品牌名称，并将其重新命名为”英特尔安全”。 去年10月，该公司回到了公共股票市场。McAfee在公告中说，在7月份以40亿美元的价格将其企业业务出售给私募股权公司Symphony Technology Group之后，它将继续作为一家”纯粹的消费者网络安全”公司。 该公司表示，周一宣布的出售给投资者集团的交易，包括Advent International Corp.、Permira Advisers和Crosspoint Capital Partners，本次交易预计将在2022年上半年完成。 John McAfee在离开公司后过着潦倒的生活；2012年，他逃到了危地马拉，因为伯利兹当局试图就一名邻居的谋杀案对他进行讯问。今年3月，他因炒作和不当交易加密货币被指控犯有证券欺诈罪，当局称他和他的保镖说服他们的Twitter粉丝投资某些虚拟货币，然后在价格上涨时出售他们持有的货币。6月，麦卡菲被发现死在巴塞罗那的一间牢房里，当时西班牙已经批准将他引渡到美国，以面对税务欺诈指控。   （消息及封面来源：cnBeta）