8月29日，国内知名技术社区qidao123.com消息，我国多个安全技术社群开启疯狂吐槽模式，网传以用友为代表的头部管理软件厂商遭遇大规模勒索攻击，从而影响到无数下游企业，引发了难以想象的危害，其损失暂时无法估计。 由于病毒模块的投放时间与企业用户升级软件时间相近，因此有安全厂商表示，该勒索攻击事件有可能是黑客通过供应链污染或漏洞的方式进行投毒。简单来说，黑客首先通过漏洞或其他方式向受害者终端投放后门病毒模块，以此执行任意恶意模块（恶意模块数据被AES算法加密），再通过后门模块在内存中加载执行勒索病毒。 据悉，一旦被攻击，用户计算机文件被.locked后缀的勒索病毒加密，攻击者索要0.2个BTC（约合2.7万+人民币）的赎金。 目前受该勒索病毒影响的企业用户数量还在不断增加。根据现有的信息，该勒索病毒与之前流行的TellYouThePass勒索病毒为关联家族，甚至有可能就是TellYouThePass的最新变种。 建议：可能遭受攻击的企业用户应立即对本地数据进行手动备份和自动备份你，一旦不幸中招也可通过备份对数据进行恢复，或者求助于安全厂商，寻找解决方案。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343248.html 封面来源于网络，如有侵权请联系删除

能拍照，能定位，还能打电话……近年来，儿童智能手表获得了越来越多未成年学生的青睐。暑假期间，各大品牌的儿童智能手表更是再次进入了销售高峰。然而，儿童智能手表这个快速增长的市场却频发乱象。信息泄露和免密支付带来的资金风险等问题，都是对未成年人安全的潜在威胁。 “碰一碰手表，加个好友吧！”如今，这句话成了不少儿童社交时打招呼的见面语。从前的儿童手表，只能提供定位和紧急通信联络等一些简单功能。而如今，经过多年的迭代升级，儿童智能手表样式新颖而时尚，硬件配置和功能越来越强大。儿童智能手表早已不像传统的手表，而更像是一部戴在手腕上的，集定位、通话、社交、娱乐、学习、购物、拍照搜题等多种功能于一体“智能手机”。而且由于其手表的外观，佩戴儿童智能手表，往往可以绕开“中小学生不得带手机进校园”的规定。因此，儿童智能手表备受中小学生的推崇。 儿童智能手表市场蓬勃发展背后，乱象也在滋生。记者调查发现，一些儿童手表里可以下载的应用程序（App）多达上百款，其中不乏游戏类App。下载这些各式各样的App，很容易导致孩子沉迷其中，既耽误学习，也影响视力。 其中，一些App一旦绑定手机号，就同步开通了免密支付。在家长不知情的情况下，孩子可以随意进行消费，包括购物、开通平台VIP服务，购买游戏皮肤等，极大地影响了家庭的资金安全。 公开统计数据显示，近10年来我国14岁以下儿童人口数量一直保持在2.5亿人左右，这些人都是儿童智能手表的潜在用户。而随着“三胎政策”的放开，14岁以下儿童的数量可能会进一步上升，儿童智能手表的潜在用户还在进一步增加。据相关机构统计，近年来我国儿童手表保持较快增长，在2020年，其销售量已经达到了2990万件。 信息泄露极大危害用户安全 今年央视的“3·15”晚会曝光了儿童手表的许多信息安全漏洞。儿童手表中的一些App在安装后，无需用户授权就可以获得定位、通讯录、麦克风、摄像头等多种敏感权限，从而轻易获取孩子的位置、人脸图像、录音等个人隐私信息。 根据报道，“3·15”信息安全实验室对电商平台有着“10万+”销售记录的一款儿童智能手表展开了专门的测试。测试人员将一个恶意程序的下载二维码伪装成抽奖游戏，儿童通过这款手表扫码之后，恶意程序就轻松进驻到了手表中。工程师可以实现对这款手表的远程控制，采集位置信息、监听通话记录、偷窥视频等操作易如反掌。 儿童智能手表信息泄露的根本原因在于操作系统过于老旧。报道指出，这款手表使用的竟然是没有任何权限管理要求的安卓4.4操作系统。由于该操作系统的落后性，App申请什么权限，系统就会给App什么权限，而不会给用户任何告知。在该系统下，App无需用户授权就可以获得多种敏感权限。手表厂商选择低版本的操作系统是压缩成本而忽视安全的举措，给儿童带来的风险后患无穷。 廉价儿童手表更是信息安全的“重灾区”。科技日报记者在某电商平台搜索发现，在售的电话手表价格从35元到3600元不等，既有“小天才”“华为”“360”等大品牌，也有不少小品牌，可谓鱼龙混杂。 此外，许多儿童智能手表对App缺乏监管和筛选，用户可以轻易搜到色情、暴力等不良内容。部分平台还存在诱导消费、推送广告等问题。 解决乱象应靠他律与自律 今年4月，市场监管总局发布了推荐性国家标准GB/T41411-2022《儿童手表》。该标准将于今年11月1日开始实施。作为首个儿童手表国家标准，该标准覆盖了儿童手表的定位性能、通话、电磁辐射、信息安全等关键质量安全和性能指标，并提出了相关的评估和检测方法。 7月18日，中央网信办等部门将组织开展为期2个月的专项行动，聚焦未成年人使用频率高的短视频直播、社交、学习类App、网络游戏、电商、儿童智能设备等平台，集中解决涉未成年人问题乱象。该项活动强化对专门供未成年人使用的智能手表、智能音箱、平板电脑、早教故事机等智能设备信息内容管理，深入排查语音、视频、文字、图片、游戏等场景，以全面清理违法不良信息。 产业经济分析师、钉科技创始人丁少将在接受媒体采访时表示：“儿童智能硬件，安全性一定是基础，包括硬件本身的安全和内容的安全。一方面，厂商需要在功能开发和商业变现上进行克制和自律，确保安全底线不被突破；另一方面，国家有关方面在安全性方面可以设置细化的准入标准，特别是内容审查上要更加严苛，从而规范儿童智能硬件市场的发展。” 儿童手表制造、销售等相关行业呼吁，应对专项行动过程中行之有效、操作性强的具体措施和经验加以总结、完善，构建规范化、制度化、长效化的制度机制。比如在严格落实《未成年人保护法》等法律法规的基础上，针对儿童智能硬件的安全性设立行业准入标准，进一步明确儿童手表厂商和软件开发商的法律责任以及相关部门的监管责任，将儿童手表的生产、销售、使用等所有环节纳入常态化监管，还孩子们一个清朗的成长环境。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310111.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 泄露的文件显示，监控公司Intellexa以800万美元的价格为iOS和Android设备提供漏洞攻击。 Intellexa是一家由以色列企业家Tal Dilian创立的监控公司，为执法和情报机构提供监控和黑客解决方案。 Vx-underground研究人员分享了一些机密文件的图像，这些文件似乎是Intellect提供的商业服务。 泄露的文件详细说明了以800万美元的价格购买了一个iOS远程代码执行零日漏洞。 泄露的文档表明，该公司提供从Android和iOS设备远程提取数据的服务。该服务包括基于浏览器的远程一键攻击，允许黑客破坏Android和iOS移动设备，攻击者可以通过诱骗客户点击链接来利用这些漏洞。 该公司为iOS和Android设备提供10种并发感染，以及“100种成功感染的杂志”。 重要的是，这些漏洞可能针对Android 12升级和iOS 15.4.1，因为苹果在3月份发布了iOS 15.4.1，这意味着这是最近发生的事情，因此，目前还无法确定苹果公司是否已经解决了这些漏洞。 该监控公司的一份文件提供了Android设备列表，这些设备可能会成为一键式攻击的目标。 Vx-undergroud分享的文件表明，监控行业持续增长，利润可能巨大。 今年6月，谷歌威胁分析小组的研究人员透露，意大利监控公司RCS Labs 在意大利和哈萨克斯坦的一些互联网服务提供商的帮助下，用间谍软件感染Android和iOS用户。 过去几个月，许多其他监控公司登上了头条，包括NSO 集团、Candiru和DSIRF。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer网站8月28日消息，LockBit 勒索软件团伙宣布，他们正着手改进对分布式拒绝服务 (DDoS) 攻击的防御，以应对来自安全机构的攻击，并借此来大力提高自身勒索实力。 近期，该团伙曾遭到数字安全巨头 Entrust组织的DDoS攻击，这是由于在6月18日，Entrust 的数据在一次攻击中被 LockBit 窃取。Entrust拒绝支付赎金，该团伙宣布在 8 月 19 日公布所有被盗数据，但Entrust发动的DDoS攻击成功阻止了这次公开行为。 上周，LockBit的对外账号LockBitSupp发布消息称，该组织已重新开展业务，拥有更大的基础设施，可以进行不受 DDoS 攻击影响的数据泄露，并表示正在招募 dudosers（DDoSers），试图将 DDoS 作为一种勒索策略。经历了来自Entrust的攻击，该团伙似乎认为三重勒索、加密 + 数据泄漏 +DDoS的攻击组合方式不仅威力更大，也更加有趣。 可能是出于对攻击的报复，LockBit承诺会泄露从Entrust 窃取的超过 300GB数据，并宣称“要让全世界都知道你的秘密”。 LockBit表示，他们将与任何与他们联系的人私下分享 Entrust 数据，目前看来LockBit似乎信守了承诺，在上周末发布了一个名为“entrust.com”的种子文件，其中包含 343GB大小的文件。 Lockbit 泄露的 Entrust 数据 LockBit希望Entrust 的数据可以从多个渠道公开，除了在他其自有网站上发布之外，他们还通过至少两个文件存储服务共享了 Torrent。 为了防止进一步的 DDoS 攻击，LockBit已在受害者的赎金记录中使用唯一链接，此外还增加镜像和复制的服务器数量，并计划通过防弹存储服务（bulletproof storage service）及 Clearnet 访问被盗数据，从而提高被盗数据的可用性。 自 2019 年 9 月以来，LockBit 勒索软件已经活跃了近三年，近期除了针对Entrust进行攻击，还攻陷了意大利税务局，并窃取了78GB的个人数据信息。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343132.html 封面来源于网络，如有侵权请联系删除

The hacker news 网站披露，Atlassian Bitbucket 服务器和数据中心出现严重漏洞，该漏洞可能允许攻击者执行恶意代码，Atlassian 目前已经推出了漏洞修复方案。 安全漏洞被追踪为 CVE-2022-36804（CVSS 评分：9.9），是一个多端点的命令注入漏洞，潜在攻击者可通过特制的 HTTP 请求加以利用。 服务器多个版本受到漏洞影响 据悉，CVE-2022-36804 漏洞由网络安全研究员 TheGrandPew 发现，经过详细分析，这一漏洞主要影响了 6.10.17 之后发布的所有版本 Bitbucket Server 和 Datacenter，7.0.0 和更高版本也受到严重影响。 受漏洞影响的服务器版本详情如下： Bitbucket 服务器和数据中心7.6； Bitbucket服务器和数据中心7.17版； Bitbucket服务器和数据中心7.21版； Bitbucket服务器和数据中心 8.0版； Bitbucket服务器和数据中心 8.1版； Bitbucket服务器和数据中心 8.2版； Bitbucket服务器和数据中心 8.3版。 CVE-2022-36804 漏洞爆出不久后，Atlassian 在一份公告中表示，潜在攻击者在拥有公共 Bitbucket 存储库访问权或私有存储库读取权限的情况下，可以通过发送恶意的 HTTP 请求来执行任意代码。 Atlassian 建议用户应尽快更新补丁 鉴于部分用户无法立即应用补丁，Atlassian提供了临时解决办法。用户可以使用 “feature.public.access=false ”关闭公共存储库，以防止未经授权的用户利用该漏洞。 Atlassian 强调，这种方式并不是一个完美的缓解措施，已经通过其他方式获取了有效凭据的潜在攻击者依然可以利用漏洞，这意味着部分拥有用户账户的攻击者仍然可以成功利用该漏洞，进行网络攻击活动。 最后，Atlassian 建议受漏洞影响的用户尽快升级到最新版本，以减轻潜在的安全威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343151.html 封面来源于网络，如有侵权请联系删除

安全研究人员发现，超过130个组织，包括Twilio、DoorDash和Signal，都有可能被黑客入侵，这是被安全研究人员称为 “0ktapus”的长达数月的网络钓鱼活动一部分。 根据网络安全机构Group-IB的一份报告，属于近10000人的登录凭证被攻击者盗取，他们模仿了流行的单点登录服务Okta。目标被发送短信，将他们转到一个钓鱼网站。正如Group-IB的报告所说，从受害者的角度来看，这个钓鱼网站看起来很有说服力，因为它与他们习惯看到的认证页面非常相似。受害者被要求提供他们的用户名、密码和一个双因素认证代码。这些信息随后被发送给攻击者。 尽管该活动很成功，但Group-IB的分析表明，攻击者有点缺乏经验。有趣的是，Group-IB的分析表明，攻击者在某种程度上是没有经验的，对网络钓鱼工具包的分析显示，它的配置很差，它的开发方式提供了提取被盗凭证进行进一步分析的能力。 但无论是否缺乏经验，这次攻击的规模是巨大的，Group-IB检测到该活动所针对的169个独特域名。据了解，0ktapus活动始于2022年3月左右，到目前为止，大约有9931个登录凭证被盗。攻击者把他们的网撒得很开，目标是多个行业，包括金融、游戏和电信业。Group-IB引用的目标域名（但未确认被盗）包括微软、Twitter、AT&T、Verizon Wireless、Coinbase、Best Buy、T-Mobile、Riot Games和Epic Games。 现金似乎至少是攻击的动机之一，在被攻击的名单中看到金融公司，让我们认为攻击者也在试图偷钱。此外，一些目标公司提供访问加密资产和市场的机会，而其他公司则开发投资工具。Group-IB警告说，我们很可能在一段时间内不会知道这次攻击的全部规模。为了防范类似的攻击，Group-IB提供了通常的建议：一定要检查你要输入登录信息的任何网站的URL；对从未知来源收到的URL持怀疑态度；为了增加保护，你可以使用 “不可伪造的 “双因素安全密钥，如YubiKey。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309189.htm 封面来源于网络，如有侵权请联系删除

根据美国联邦通信委员会FCC周四公布的电信公司信息，15大移动运营商中有10家收集地理位置数据，并且没有提供消费者选择退出的方式。 美国联邦通信委员会7月提出的关于数据收集和保留的问题，该机构要求电信公司提供关于地理定位做法的信息，因为人们担心执法部门利用电话数据来逮捕那些现在非法或不久将非法的堕胎者。 AT&T, Best Buy Health, Charter, Comcast, Consumer Cellular, C-Spire, DISH Network, Google FI, H2O Wireless, Lycramobile, Mint Mobile, Red Pocket, T-Mobile, U.S. Cellular和Verizon对FCC的询问做出了回应。FCC主席杰西卡-罗森沃塞尔表示，这些信息和地理定位数据真的很敏感。它记录了我们去过的地方和我们是谁。这就是为什么FCC正在采取措施，确保这些数据得到保护。 在答复中，各家电信公司普遍提到需要遵守执法要求以及联邦通信委员会的规定，作为它们不能允许消费者选择不收集和保留的理由。这些答复也提供了一个了解数据保留做法的窗口，这些公司在答复当中表示，手机塔数据的保留时间从两个月到五年不等。其中只有七家公司明确提到用加密来保护这些数据。 地理定位数据为用户的生活提供了一个详细的窗口，包括从他们的购物地点到他们寻找的医疗机构等一切。然而，该机构并不依赖运营商的答复。杰西卡-罗森沃塞尔责成该机构的执法局进行后续调查，确保运营商遵守FCC的规定，要求他们披露如何使用和分享地理位置数据。 美国运营商之前曾误导消费者如何使用他们的地理位置数据。2020年，美国联邦通信委员会建议对几家主要运营商处以2亿多美元的罚款，因为他们向保释金公司和其他第三方出售客户位置数据。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309475.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 国家黑客越来越多地在其入侵活动中采用和整合Sliver命令和控制（C2）框架，以取代Cobalt Strike。 微软安全专家说：“鉴于Cobalt Strike作为攻击工具的受欢迎程度，随着时间的推移，针对它的防御措施也有所提高。因此，Sliver为寻找低门槛的鲜为人知的工具集的黑客提供了一个有吸引力的选择。” Silver于2019年底由网络安全公司BishopFox首次公开，是一个基于Go的开源C2平台，支持用户开发的扩展、自定义植入物生成和其他征用选项。 “C2框架通常包括一个服务器，该服务器接受来自受损系统上植入物的连接，以及一个客户端应用程序，该客户端应用程序允许C2操作员与植入物进行交互并发出恶意命令。”微软表示。 除了促进对受感染主机的长期访问外，跨平台工具包还提供stagers，这是一种主要用于在受损系统上检索和启动全功能后门的有效载荷。 其用户中包括一个多产的勒索软件即服务（RaaS）附属公司，被追踪为DEV-0237（又名FIN12），该附属公司以前利用从其他集团（又名初始访问代理）获得的初始访问权限来部署各种勒索软件，如Ryuk、Conti、Hive和BlackCat。 微软表示，它最近观察到网络犯罪行为人通过将Sliver和其他后期开发软件嵌入到Bumblebee（又名COLDTRAIN）加载器中，然后将其丢弃。该加载器于今年早些时候作为BazarLoader的继任者出现，并与更大的Conti集团有联系。 从Cobalt Strike到免费可用的工具被认为是对手的一种尝试，以减少其在受损环境中暴露的机会，并使归因具有挑战性，从而提高其活动的隐蔽性和持久性。 Sliver并不是唯一一个引起黑客注意的框架。近几个月来，一个可疑的俄罗斯国家赞助组织开展的活动涉及另一个名为Brute Ratel的合法对抗性攻击模拟软件。 “Sliver和许多其他C2框架是黑客如何不断试图逃避自动安全检测的另一个例子。”微软表示。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 黑客已经开始使用Tox点对点即时消息服务作为命令和控制方法，这标志着其早期作为勒索软件谈判的联系方式的角色发生了变化。 Uptycs分析了一个可执行和可链接格式（ELF）工件（“72client”），该工件充当机器人，可以使用Tox协议在受损主机上运行脚本。 Tox是一种用于在线通信的无服务器协议，它通过使用网络和加密库 （NaCl，发音为“salt”）进行加密和身份验证，提供端到端加密 （E2EE） 保护。 研究人员Siddharth Sharma和Nischay Hedge说：“在野外发现的二进制文件是一个剥离但动态的可执行文件，使反编译更容易，整个二进制文件似乎是用C编写的，并且只是静态链接了c-toxcore库。” 值得注意的是，c-toxcore是Tox协议的参考实现。 Uptycs进行的逆向工程表明，ELF文件旨在将shell脚本写入位置“/var/tmp/”（Linux中用于临时文件创建的目录）并启动它，使其能够运行命令以杀死加密矿工相关进程。 除此之外，还执行了第二个例程，该例程允许它在系统上运行许多特定命令（例如，nproc、whoami、machine-id等），其结果随后通过UDP发送到Tox接收方。 此外，二进制文件还具有通过Tox接收不同命令的功能，在此基础上更新shell脚本或临时执行，发出的“退出”命令将退出Tox连接。 Tox历来被勒索软件黑客用作通信机制，但最新的开发标志着该协议首次被用于在受感染的机器上运行任意脚本。 研究人员说：“虽然讨论的样本没有做任何明显的恶意行为，但我们认为它可能是coinminer活动的一部分。因此，监控攻击链中涉及的网络组件变得非常重要。” 在披露的同时，有报道称，被称为IPFS的分布式文件系统解决方案越多地用于托管网络钓鱼网站，使数据拦截变得更加困难。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

8月23日消息，谷歌威胁分析小组（TAG）发现，名为Charming Kitten的伊朗政府支持团体，在其恶意软件库中增加了一个新工具，可以从Gmail、雅虎和微软Outlook账户中检索用户数据。 谷歌将该工具称为HYPERSCRAPE，该工具在2021年12月首次被发现。据说伊朗用这个开发中的软件入侵了二十余个帐户，已知最早的样本可以追溯到2020年。 Charming Kitten是一个高度活跃的高级持续性威胁（APT），据信与伊朗的伊斯兰革命卫队（IRGC）有关，曾参与过与政府利益一致的间谍活动。 它还被追踪为APT35、Cobalt Illusion、ITG18、Phosphorus、TA453和Yellow Garuda，该组织的成员还进行勒索软件攻击，这表明威胁者的动机既包含间谍活动，又包含经济原因。 谷歌TAG研究员Ajax Bash说：”HYPERSCRAPE需要受害者的账户凭证，通过劫持的有效、认证的用户会话或者攻击者已经获得的凭证运行。 该工具以.NET编写，可以在Windows机器上运行，它具有下载和窃取受害者电子邮件收件箱内容的功能，此外，它还可以删除谷歌发送的安全邮件。 如果一封邮件原本是未读的，该工具会在打开并下载邮件的”.eml “文件后将其标记为未读。更重要的是，据说HYPERSCRAPE的早期版本包含了一个从谷歌Takeout请求数据的选项，该功能允许用户将他们的数据导出到一个可下载的存档文件中。 在此之前，普华永道最近发现了一个基于C++的Telegram “抓取 “工具，用于获取特定账户的Telegram信息和联系人。 此前，Charming Kitten还部署了一个名为LittleLooter的定制安卓监控软件，这是一款功能丰富的植入软件，能够收集存储入侵设备中的敏感信息，并记录音频、视频和通话。 研究员表示：”像他们的许多工具一样，HYPERSCRAPE技术并不复杂，但能高效地实现目标。”他表示，受影响的账户已被重新保护，并通知了受害者。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342863.html 封面来源于网络，如有侵权请联系删除