美国当地时间11月25日，美国联邦通信委员会（FCC）正式宣布，禁止进口和销售包括华为和中兴通讯在内的，中国科技巨头制造的电信和监控设备，认为这些设备“对国家安全构成不可接受的风险”。 此次涉及的公司还包括海能达、海康威视和大华股份制造的电信和视频监控摄像头，这些设备一般用于公共安全、政府设施安保、关键基础设施监控和国家安全环境等场景。 公开资料显示，华为、中兴、海康威视、海能达和大华等5家中企，此前都被FCC列入了2021年3月12日的 “对美国国家安全构成威胁的通信设备和服务”清单。 FCC主席Jessica Rosenworcel在11月25日的命令中表示，“这些新规则是我们保护美国人民免受涉及电信的国家安全威胁行动的重要部分。” 2022年9月20日，FCC将太平洋网络公司和中国联通（美洲）也加入 “对美国国家安全构成威胁的通信设备和服务”清单，至此中国三大电信运营商全部上榜。FCC称这一行动是为了遏制中国国有通信运营商在美国网络中的影响力。 上个月，拜登政府还宣布，将收紧对中国出口的可用于军事应用的半导体产品的监管。 不仅仅是美国，英国也采取了类似措施，禁止在“敏感”的政府场所安装中国企业生产的安全监控摄像头，涉及海康威视和大华股份两家企业。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350904.html 封面来源于网络，如有侵权请联系删除

Binarly 研究人员发现，戴尔、惠普和联想的设备仍在使用过时版本的 OpenSSL 加密库。 OpenSSL软件库允许通过计算机网络进行安全通信，能够有效防止窃听。OpenSSL包含开源的安全套接字协议（SSL）和传输层安全（TLS）协议，研究人员通过分析上述制造商使用的设备的固件图像时发现了问题所在。 专家们分析了作为任何UEFI固件所必要的核心框架之一EDKII，该框架在CryptoPkg组件中的OpenSSL库（OpensslLib）上有自己的子模块和包装器。EDK II 是一个现代化、功能丰富的跨平台固件开发环境，适用于 UEFI 和 UEFI 平台初始化 (PI) 规范。EDKII的主要存储库托管在Github上，并经常更新。但专家们在分析这些厂商的设备时，发现在其固件镜像中使用过时版本的OpenSSL：0.9.8zb、1.0.0a 和 1.0.2j，其中最新的 OpenSSL 版本早在2018 年就已发布。专家们甚至还在部分设备中发现了 更早的、来自2009 年发布的 0.9.8l 版本。 戴尔、惠普和联想部分设备中的 OpenSSL版本 Binarly Platform 在野外检测到的戴尔、惠普和联想设备中 不同OpenSSL 版本占比 Binarly 发布的报告表示，许多与安全相关的固件模块包含明显过时的 OpenSSL 版本。其中一些像 InfineonTpmUpdateDxe 包含的代码早在8年前就已成为易受攻击的“不安全代码”。 专家指出，同一个设备固件代码往往依赖不同版本的OpenSSL。 选择这种设计的原因是第三方代码的供应链依赖于其自己的代码库，而设备固件开发人员通常无法使用这些代码库，这通常会增加供应链的复杂性，带来潜在的安全风险。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350909.html 封面来源于网络，如有侵权请联系删除

安全内参11月25日消息，微软近期发布一份报告，揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看，已经有黑客利用软件中的漏洞攻击能源组织。 本周二，微软研究人员在一份分析报告中透露，他们在Boa Web Server软件中发现了一个易受攻击的开源组件，被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包（SDK）。 尽管Boa Web Server在2005年就已停止更新，但它仍被广泛应用，并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式，防御方其实很难缓解这一安全缺陷。 微软报告称，恶意黑客试图利用Boa Web Server的多个漏洞，包括一个高危级别的信息泄露漏洞（CVE-2021-33558）和一个任意文件访问漏洞（CVE-2017-9833）。未经身份验证的攻击者可以利用这些漏洞获取用户凭证，并远程执行代码。 “影响该组件的两个漏洞，可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息，并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中，恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起，黑客方就能引发更大影响，甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。 微软最初发现这个易受攻击的组件，是在调查一起针对印度电网的入侵事件中。此前，美国威胁情报公司Recorded Future曾在2021年发布报告，详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。 2022年4月，Recorded Future又发布一份报告，介绍了另一个国家支持的恶意黑客团伙。报告称，该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术（OT）网络上开辟登陆点。 在此之后，微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见，这个易受攻击的组件很可能给整个世界带来巨大威胁。 另一个重要问题在于，由于经常被整合在流行的SDK当中，所以很多用户根本不确定自己的产品中是否存在Boa Web Server。比如Realtek SDK，这款软件开发工具包在路由器、接入点及其他网关设备制造商中得到广泛使用，而它正好包含Boa Web服务器。 由于持续观察到针对Boa漏洞的攻击，微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。 转自 安全内参，原文链接：https://www.secrss.com/articles/49412 封面来源于网络，如有侵权请联系删除

11月、12月是电商狂欢季，随之而来的是大批快递到货。你可知道，客户的物流信息可是香饽饽，总有坏人盯着！否则怎么客户刚下单不久，就接到了诈骗电话。 今年“双十一”以来，浙江慈溪网警大队接到多家电商公司报警，客户刚在网店下单，随后就接到诈骗电话，引发许多客户不满。 电商公司百思不得其解——明明按正常流程发的货，怎么骗子就知道了我们平台的发货信息呢？ 慈溪网警对受害网店的电脑进行勘查，发现部分连接打印机的电脑中被植入了不明木马软件。顺线循迹深挖，民警最终确定了犯罪嫌疑人。 慈溪警方果断出击，抓获了一个专门入室安装木马软件盗取打印信息的团伙，而背后的利益链条令人咋舌。 经查，犯罪嫌疑人蒙某和吴某拥有一定技术水平，此前通过境外聊天软件进行交流，购买木马软件。随后，他们在慈溪电商聚集地撒网，通过应聘等方式，寻找可以下手的电商公司。 深夜，他们秘密潜入电商公司，他们从不偷盗，只是在电商公司的办公电脑上安装木马软件，在他们眼中，海量的客户信息远比实物本身更有价值。 这些木马软件已被设置成自动将秘密窃取的客户信息上传到境外服务器，上家一旦通过木马软件获取打印的客户信息，便会支付高额的佣金。 为了赚取佣金，早在“双十一”购物节前夕，犯罪嫌疑人蒙某和吴某就连续多次作案，在慈溪6家电商公司里的电脑上安装了木马软件。 截至案发，他们非法获取物流信息3000余条，目前两名犯罪嫌疑人均已被依法采取刑事强制措施。 网警提醒 电商运营者需严格审核打单人员的资质，加强公司内部的网络安全知识培训，办公电脑务必密码锁屏，谨防客户信息在不知不觉中被窃取。 转自 安全内参，原文链接：https://www.secrss.com/articles/49375 封面来源于网络，如有侵权请联系删除

英国已经完成脱欧后的第一个独立数据保护决议，这将允许英国在今年年底之前不受限制地将个人数据安全地转移到韩国。英国政府表示，在7月首次达成原则性协议的新立法，将使两国的企业更容易分享数据，增强合作和增长的机会。这一决定是在对韩国的个人数据立法进行全面评估之后做出的，就评估结果而言，韩国拥有强大的隐私法，将保护数据传输，同时维护英国公民的权利。 消除数据传输障碍将促进研究和创新 英国政府在数字、文化、媒体和体育部的一份新闻稿中表示，一旦生效，新的数据传输协议将消除数据传输的障碍，通过简化协作来促进研究和创新。韩国作为英国增长最快的市场之一，超过三分之二的英国服务出口到韩国。在此之前，各企业需要制定昂贵且耗时的合同保障措施，如标准数据保护条款和有约束力的公司规则。消除这些障碍将为许多中小型企业提供机会，企业可以不为这些负担而担忧。 数据部长Julia Lopez在评论该立法时说：在今年年底之前，企业将能够自由地与韩国共享数据–因为我们知道这些数据将按照英国期望的高隐私标准进行保护。 比欧盟与韩国的协议更广泛 英国政府表示，这不仅是英国自脱欧以来第一个独立数据传输的新协议，它也比欧盟与韩国的数据传输协议更广泛。两项协议之间最重要的区别是，英国机构将能够与韩国分享与信用信息有关的个人数据，以帮助识别客户和验证付款，这将有助于促进在韩国的英国企业信贷、借贷、投资和保险业务。 英国信息专员John Edwards说：我们支持政府进行充分性评估，以使个人数据能够自由地流向世界各地值得信赖的合作伙伴。他补充说，英国信息专员办公室（ICO）在这次对韩国的评估中向政府提供了建议，它对政府承认韩国法律中类似的数据保护权利和法案感到满意。这将为英国企业带来帮助，减少合规的负担，同时确保人们的数据得到负责任的处理。 惠特克公司的全球数据合规总监Tash Whitaker说道：这一决定是在欧盟与韩国合作近一年后作出的，所以很高兴看到英国赶上了欧盟，在允许个人数据跨境自由流动到一个保护措施不损害英国或欧盟GDPR的国家。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350741.html 封面来源于网络，如有侵权请联系删除  

Hackernews 编译，转载请注明出处： 一位研究人员揭示了如何绕过思科安全电子邮件网关设备中的一些过滤器，并使用特制的电子邮件发送恶意软件。 研究人员在完整披露邮件列表中写道：“本报告是在协调的披露程序内发布的。研究人员一直与供应商保持联系，但在规定的时间范围内没有收到满意的答复。由于攻击复杂度较低，而且第三方已经发布了漏洞攻击，因此在公开线程方面不能再有任何推迟。” 研究人员解释说，利用电子邮件客户端的容错能力和不同的MIME解码能力，远程攻击者可以绕过思科安全电子邮件网关。 研究人员披露的方法可能会让攻击者绕过思科安全电子邮件网关，他们可以针对Outlook、Thunderbird、Mutt和Vivaldi等多个电子邮件客户端。 这三种方法是： 方法1：Cloaked Base 64-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法会影响多个电子邮件客户端，包括Microsoft Outlook for Microsoft 365 MSO（版本2210 Build 16.0.15726.20070）64位、Mozilla Thunderbird 91.11.0（64位）、Vivaldi 5.5.2805.42（64位）、Mutt 2.1.4-1ubuntu1.1等。 方法2:yEnc编码-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Mozilla Thunderbird 91.11.0（64位）电子邮件客户端。 方法3：隐藏引用的可打印文件-已使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Vivaldi 5.5.2805.42（64位）和Mutt 2.1.4-1ubuntu1.1电子邮件客户端。 思科发布了一份错误报告，警告思科安全邮件网关的Sophos和McAfee扫描引擎存在一个问题，该问题可能允许未经身份验证的远程攻击者绕过特定的过滤功能。 报告中写道：“这个问题是由于对潜在恶意电子邮件或附件的识别不当。攻击者可以利用这个漏洞，通过受影响的设备发送带有格式错误的内容类型标头（MIME类型）的恶意电子邮件，从而绕过基于受影响的扫描引擎的默认反恶意软件过滤功能，并成功将恶意消息传递给最终客户端。” 这些漏洞会影响使用默认配置运行的设备。 研究人员解释说，使用攻击方法的代码，以及许多操纵MIME编码的类似技术，都是在一个开源工具包中实现的，该工具包可以在GitHub上生成和测试错误的MIME。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Meta平台周二表示，它在Facebook和Instagram上关闭了一个由美国军方相关人员操作的账户和页面网络，这些账户和页面在中东和中亚传播对美国有利的描述。 该网络起源于美国，主要针对阿富汗、阿尔及利亚、伊朗、伊拉克、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、索马里、叙利亚、塔吉克斯坦、乌兹别克斯坦和也门。 这家社交媒体巨头表示，活动背后的个人冒充了他们所针对的社区，用阿拉伯语、波斯语和俄语传播内容，提出了与美国加强军事合作的主题，并批评了伊朗、中国和俄罗斯。 Meta在其《对抗威胁季度报告》中表示，这些叙述涵盖了“俄罗斯入侵乌克兰、中国对待维吾尔族人民、伊朗在中东的影响力，以及俄罗斯和中国对阿富汗塔利班政权的支持”。 该公司补充道，与新冠肺炎相关的内容也被发布，其中一些内容因违反其虚假信息政策而被删除。 这些虚假账户可能还使用了生成对抗网络（GANs）等机器学习技术创建的个人资料照片，并在美国东部标准时间（EST）而不是在目标国家的工作时间发布。 在Instagram上，多达39个Facebook账户、16个Pages、2个Groups和26个Instagram账户被发现参与了协调的不真实行为。该行动进一步扩展到其他平台，如Twitter、YouTube、Telegram、VKontakte和Odnoklassniki。 然而，这些努力似乎基本上没有成功。Meta表示：“此次行动的大部分帖子几乎没有来自真实社区的参与。” 今年8月初，当Graphika和斯坦福互联网观察组织的研究人员发现使用多种社交媒体服务来宣传亲西方的叙事时，有关该运动的细节首次被曝光。 近两个月前，Meta解散了来自中国和俄罗斯的两个独立集群，因为这些集群的信息业务试图操纵平台上的公共言论。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国司法部（DoJ）当地时间11月21日宣布关闭七个与“杀猪盘”加密货币骗局有关的域名。美国司法部表示，该欺诈计划从2022年5月至2022年8月运作，从五名受害者那里净赚了超过1000万美元。 杀猪，也被称为杀猪盘，是一种骗局，骗子引诱毫无戒心的投资者发送他们的加密资产。犯罪分子在约会软件、社交媒体网站和短信上遇到了潜在的受害者。 这些人发起虚假关系，试图建立信任，只是为了欺骗他们在虚假平台上进行加密货币投资。 美国司法部表示：“一旦钱被发送到虚假投资应用程序，骗子就会消失，带走所有的钱，给受害者造成重大损失。” 该机构指出，被查封的七家门户网站都模仿了新加坡国际货币交易所（SIMEX）。 但是，一旦资金被转移到这些域名提供的钱包地址，数字货币会立即通过一系列私人钱包和交换服务，来隐藏踪迹。 “情感的操纵、友好的语气，以及事先利用阶段的持续时间，让真实的情感得以发展，黑客利用这种情感获得经济利益，有时会损失数百万美元。” 美国联邦调查局（FBI）上个月发布的一份咨询报告指出，当受害者试图撤回投资时，他们被要求支付额外的税款或罚款，从而导致更多的损失。 今年4月，该情报机构透露，它在2021年收到了4300多起与加密浪漫诈骗有关的投诉，造成超过4.29亿美元的损失。 Proofpoint最近的一份报告还详细介绍了欺诈者采取的一些其他策略，包括建议将对话转移到Telegram或WhatsApp进行“更私密的聊天”，并鼓励受害者发送有损隐私的照片。 研究人员Tim Krombhardt和Genina Po表示：“除了基于加密货币的诱饵，这些犯罪企业还利用黄金、外汇、股票和其他对象来剥削受害者。” “这种计划之所以成功，是因为导致‘屠杀’的对话具有亲密性质。对于利用这种社会工程剥削受害者的黑客来说，制造羞耻和尴尬是关键目标，类似于浪漫诈骗。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer 网站披露，近期爱沙尼亚逮捕了两名本国国民，此前这两人因实施大规模加密货币庞氏骗局被起诉，该骗局最终导致 5.75 亿美元的损失。 据悉，此次逮捕的两名爱沙尼亚公民姓名分别是 Sergei Potapenko 和 Ivan Turõgin，这两人被指控在 2013 年 12 月至 2019 年 8 月期间，与居住在爱沙尼亚、白俄罗斯和瑞士的其他四名同伙一起诈骗了数十万名受害者。 犯罪分子苦心经营庞氏骗局 这个诈骗团伙通过一个由空壳公司（疑似出售挖矿设备）、银行账户、虚拟资产服务和加密货币钱包组成的复杂网络，将受害者资金集中在一起，以帮助他们洗钱。 当不能按时交付设备时，为了避免客户退款，诈骗团伙通过一种名为 HashFlare（于 2015 年 2 月推出）的新加密货币挖矿服务，诱骗已支付挖矿硬件费用的客户签署远程挖矿合同（”云挖矿“）。 从起诉书的内容来看，该团伙许诺部分同意”云挖矿“的客户将从一个集中远程挖矿中获得采矿权，并可以获得一定比例的利润。但是 HashFlare 利润回报和余额都是假的，HashFlarePotapenko 和 Turõgin 只是将其当作了一个大规模的庞氏骗局来运营。 值得一提的是，起诉书显示，当受害者要求提取其采矿收益时，为了掩盖骗局，该犯罪团伙要么拒绝付款，要么从公开市场上购买一些虚拟货币支付给受害者。 以开”银行“的名义，欺骗受害者 从起诉书内容来看，这伙诈骗分子还在爱沙尼亚成立了一家名为 Polybius Foundation OÜ（又名 Polybius Bank ）的新公司，并邀请许多潜在投资者通过 “首次代币发行”（ICO）为项目提供资金，以换取被称为 Polybius代币（PLBT）的虚拟代币，表示这一举措是 “数字加密银行世界的真正革命 “的一部分。 随后，Polybius 在一份新闻稿中声称，ICO 已经从超过 14250 名投资者手里筹集了约 1700 万美元，满足了获得欧洲银行执照的要求（想要获得银行执照需要三天内筹集 600 多万美元）。 此外，FBI 的 HashFlare 调查结果显示，这伙诈骗分子从第三方投资者处筹集了超过 3100 万美元，这些资金被转移到他们的个人银行账户和虚拟货币钱包，而不是用于资助 Polybius 银行，犯罪分子从未向投资者支付任何股息，也从未组建银行。 相反，欺诈分子利用非法资金购买了至少 75 处房地产、豪华车辆，还投资了数以千计的加密货币采矿机。 美国检察官尼克-布朗表示，犯罪分子利用加密货币的”诱惑力“，围绕加密货币采矿的神秘性实施了一个巨大庞氏骗局，涉及范围和造成的影响确实令人震惊。 诈骗分子利用虚假消息吸引投资者，然后利用拉来的资金支付给早期投资者，还试图把这些赃款”隐匿“在爱沙尼亚的房产、豪华汽车以及世界各地的银行账户和虚拟货币钱包里。 目前，美国与爱沙尼亚当局正在努力追查赃款，两名诈骗分子也被指控了 16 项电信诈骗罪，一项阴谋洗钱罪。一旦罪名成立，这两人将面临最高 20 年监禁。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350426.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Cyble研究和情报实验室（CRIL）的专家发现了三个新的勒索软件：AXLocker、Octocrypt和Alice勒索软件。 AXLocker勒索软件会加密受害者的文件，并从受感染的机器上窃取Discord令牌。对代码的分析表明，startencryption()函数通过枚举C:\驱动器上的可用目录来实现搜索文件的功能。该恶意软件只针对特定的文件扩展名，并从加密过程中排除目录列表。 AXLocker勒索软件使用AES加密算法加密文件，与其他勒索软件不同，它不会更改加密文件的名称或扩展名。 Cyble发布的分析表明：“在加密受害者的文件后，勒索软件收集并向黑客发送敏感信息，如计算机名、用户名、机器IP地址、系统UUID和Discord令牌。” 恶意软件使用正则表达式在本地存储文件中查找Discord令牌，然后将其与其他信息一起发送到Discord服务器。 一旦勒索软件对文件进行了加密，它就会弹出一个窗口，其中包含一张赎金通知，指示用户与操作人员联系。赎金单不包括要求受害者恢复文件的金额。 Cyble还发现了一种名为Octocrypt的新勒索软件，这是一种Golang勒索软件，其运营商正在采用勒索软件即服务（RaaS）的商业模式。该恶意软件于2022年10月左右出现在威胁环境中，售价为400美元。 Cyble继续说道：“Octocrypt网页面板生成器界面允许黑客通过输入API URL、加密地址、加密金额和联系人邮箱地址等选项来生成勒索软件二进制可执行文件。” Cyble发现的第三种勒索软件被称为“Alice”，也被提供为勒索软件即服务（RaaS）。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文