本周迎来的 RETBLEED 补丁，修复了影响当今硬件的两个新投机执行攻击漏洞。Phoronix 指出 —— Retbleed 会利用返回指令、并能够破坏针对“幽灵”（Spectre）分支目标注入（BTI）的现有防御措施。 在四年前之时，人们还不怎么相信会受到 BTI 攻击。但这种“不切实际”的设想，最终还是被现实给打了脸。 Computer Security Group 安全研究人员发现 —— Retbleed 不仅能够绕过“retpolines”防御，还证明了返回指令可被实际利用。 据悉，该问题影响 AMD Zen 1 / 1+ / 2，以及 Intel 6~8 代酷睿处理器。此外从今天的披露来看，处理器也面临性能开销增加的压力。 想要在 Linux 内核层面缓解 Retbleed 攻击，需要付出巨大的努力。涉及修改 68 处文件，引入 1783 行新代码、同时剔除 387 行旧代码。 性能评估表明，缓解 Retbleed 的代价非常高昂 —— 实测 AMD（CVE-2022-29900）/ Intel（CVE-2022-29901）补丁的开销，有在 14% 到 39% 之间。 最后，Retbleed 缓解工作已于今早被合并到 Linux 内核中。至于更多细节，还请移步至 Retbleed 专题网站（via ComSec）了解。 转自 cnbeta，原文链接：https://www.cnbeta.com/articles/tech/1291757.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： GitHub Actions和Azure虚拟机正被用于基于云的加密货币挖掘，这表明黑客一直试图将云资源用于非法目的。 趋势科技研究人员Magno Logan在上周的一份报告中表示:“攻击者可以滥用GitHub提供的运行器或服务器来运行组织的管道和自动化，通过恶意下载和安装自己的加密货币矿工轻松获利。” GitHub Actions是一个持续集成和持续交付平台，允许用户自动化软件构建、测试和部署管道。开发人员可以利用该功能创建工作流，以构建和测试代码存储库的每个拉取请求，或将合并的拉取请求部署到生产环境。 这家日本公司表示，它发现了1000多个存储库和550多个代码样本，它们正在利用GitHub提供的运行器挖掘加密货币。Microsoft 拥有的代码托管服务已收到该问题的通知。 此外，在11个存储库中发现了类似的YAML脚本变体，其中包含挖掘Monero硬币的命令，所有这些命令都指向同一个钱包，这表明它要么是单个黑客的行为，要么是一个协同工作的团队。 众所周知，面向加密劫持的团体通过利用目标系统内的安全漏洞（例如未修补的漏洞、弱凭据或配置错误的云实现）渗透到云部署中。 非法加密货币开采领域的一些重要参与者包括8220，Keksec（又名Kek Security），Kinsing，Outlaw和TeamTNT。 该恶意软件工具集的另一个特点是使用kill脚本终止和删除竞争的加密货币矿工，以最好地利用云系统为自己谋利，趋势科技称这是一场“为控制受害者资源而战”的战斗。 也就是说，加密矿工的部署，除了产生基础设施和能源成本外，也是安全卫生状况不佳的晴雨表，使黑客能够将通过云错误配置获得的初始访问武器化，以实现更具破坏性的目标，如数据泄露或勒索软件。 争夺并保留对受害者服务器的控制权是这些团体工具和技术发展的主要驱动力，促使他们不断提高从受损系统中删除竞争对手的能力，同时抵制他们的攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 以“Bitter”为名的高级持续性威胁继续对孟加拉国的军事实体进行网络攻击。 该消息来自SecuInfra网络安全专家团队，他们在周二发布了一份报告，描述了南亚APT最近的行动。 “通过恶意文档文件和中间恶意软件阶段，黑客通过部署远程访问木马进行间谍活动。”该文件写道。 SecuInfra的调查结果基于Talos 去年5月发布的一份报告(该报告披露了该组织的扩张和攻击孟加拉国政府组织的意图)，并涵盖了可能在2022年5月中旬发生的一次攻击事件。 具体来说，该攻击可能源于一份武器化Excel文档，该文档可能通过鱼叉式网络钓鱼电子邮件分发。 打开后，电子邮件将利用Microsoft 公式编辑器漏洞(CVE-2018-0798) 从远程服务器中删除名为ZxxZ的有效载荷。 然后，恶意代码将在 Visual C++中实现，并作为第二阶段植入工作，允许黑客部署其他恶意软件。 “将这个指纹识别功能与Cisco Talos文档中记录的指纹识别功能进行比较，我们可以发现Bitter放弃了ZxxZ值分隔符，而使用了一个简单的下划线。” 据SecuInfra称，APT这样做是为了避免通过基于此特定分离器的IDS/IPS系统进行检测。 安全研究人员说，为了防止此类攻击，企业和政府应该定期实施网络和端点检测和响应措施，并修补 Microsoft Office等常用软件。   消息来源：infosecurity，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处：   OpenSSL于1998年首次发布，是一个通用加密库，它提供了安全套接字层和传输层安全协议的开源实现，使用户能够生成私钥，创建证书签名请求，安装SSL/TLS证书。 OpenSSL项目的维护者已经发布了补丁，以解决加密库中的一个严重错误，该错误可能在某些场景下导致远程代码执行。 该问题现在被分配为漏洞编号CVE-2022-2274，并被描述为在2022年6月21日发布的OpenSSL 3.0.4版本中引入的RSA私钥操作导致堆内存损坏的情况。 维护者称其为“RSA实现中的严重漏洞”，称该漏洞可能导致计算过程中的内存损坏，攻击者可能将其武器化，以触发执行计算的机器上的远程代码执行。 西安电子科技大学博士生Xi Ruoyao于2022年6月22日向OpenSSL报告了该漏洞。建议该库的用户升级到OpenSSL版本3.0.5，以减轻任何潜在的威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： CloudSEK研究人员发现了一场大规模的网络钓鱼活动，其中黑客假冒阿联酋政府人力资源部。 通过该公司的人工智能(AI)数字风险监测平台XVigil，新的威胁将针对金融、旅游、医院、法律、油气和咨询行业的各种政府和企业实体。 安全专家的调查表明，这是一场大规模的网络钓鱼活动，主要针对个人求职者和企业，并使他们面临419和BEC诈骗。 据安全专家称，上述网络钓鱼项目还可能被其他黑客团体利用，以特定用户为目标，窃取他们的密码、文件、加密钱包和其他敏感信息。 CloudSEK表示，为了减轻这些攻击的影响，公司和个人应该避免从未知来源下载可疑文件或点击可疑链接。 此外，该公司还表示，应该启用文件扩展名的可见性(在Windows系统上)，以便在下载未知扩展名的文件之前发现它们。 最后，CloudSEK得出结论，多因素认证(MFA)和使用最新的杀毒软件和异常检测工具也有助于减少这些高级网络钓鱼诈骗的影响。 消息来源：infosecurity，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

酒店集团万豪国际集团已经证实了另一起数据泄露事件，黑客们声称窃取了20GB的敏感数据–包括客人的信用卡信息。该事件首先由Databreaches.net报道，据说发生在6月，一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。 “万豪国际知道有一个威胁者利用社会工程骗取了一家万豪酒店的一名员工，以让他访问了该员工的电脑，”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch，“（不过）该威胁者没有进入万豪的核心网络。 万豪表示，在威胁者联系公司进行敲诈之前，连锁酒店已经发现并正在调查这一事件，万豪表示它没有支付这笔钱。 声称对这次攻击负责的组织称，被盗的数据包括客人的信用卡信息及客人和员工的机密信息。提供给Databreaches.net的数据样本据称显示了从2022年1月开始的航空公司机组成员的预订记录和客人的姓名和其他细节以及用于预订的信用卡信息。 然而，万豪酒店告诉TechCrunch，其调查确定，被访问的数据主要包含有关酒店运营的非敏感内部业务文件。 该公司表示，它正在准备通知300-400人有关这一事件并已通知相关执法机构。 这并不是万豪第一次遭遇重大数据泄露事件。2014年，黑客入侵该连锁酒店并获取了全球近3.4亿条客人记录–这一事件直到2018年9月才被发现并导致英国信息专员办公室处以1440万英镑的罚款。2020年1月，万豪在一次单独的事件中再次被黑，该次事件影响了约520万名客人。 TechCrunch询问万豪有哪些网络安全保护措施来防止此类事件的发生，但这家公司拒绝回答。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1289421.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： “Hive勒索软件即服务”(RaaS)计划的幕后运营者已经彻底修改了他们的文件加密软件，完全迁移到Rust，并采用了更复杂的加密方法。 Hive于2021年6月首次被观察到，现已成为最多产的RaaS组织之一，仅在2022年5月就与Black Basta和Conti一起发生了17次攻击事件。 从GoLang到Rust的转变使Hive成为继BlackCat之后第二种用编程语言编写的勒索软件，使该恶意软件能够获得额外的好处，如内存安全性、对底层资源更深入的控制以及广泛密码库的使用。它还提供了使恶意软件抵抗逆向工程的能力，使其更具规避性。此外，它还具有停止与安全解决方案相关的服务和进程的功能，这些服务和进程可能会阻止其追踪。 Hive和其他勒索软件系列没有什么不同，它会删除备份以防止恢复，但在新的基于Rust的变体中，显著变化的是它的文件加密方法。 MSTIC解释说:“它不是在每个加密的文件中嵌入一个加密的密钥，而是在内存中生成两组密钥，用它们来加密文件，然后将这两组密钥集加密并写入它加密的驱动器的根目录，这两组密钥的扩展名都是.key。” 为了确定两个密钥中哪一个用于锁定特定文件，将加密文件重命名为包含密钥的文件名，然后后跟下划线和Base64编码的字符串(例如，”C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8″)，该字符串指向对应的.key文件中的两个不同位置。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

白宫新闻稿称，美国现任总统乔·拜登于本周二签署了三项新法案，且其中有两项都侧重于加强政府网络安全。首先是标题为《2021 联邦网络职员轮岗计划》的 S.1097 法案。CIO 委员会指出，该法案旨在机构内部建立管理、设计、防御、分析、管理、以及运维能力，且涵盖了保障联邦政府系统网络数据的多元化从业者群体。 S. 1097法案规定，某些联邦雇员有望在其它机构轮换网络管理职位时得到详细的说明，并授权机构确定哪些雇员有机会参与该计划。 其次是 S. 2520 号《2021 州与地方政府网络安全法案》，其旨在要求国土安全部门加强各州和地区政府实体，与企业、协会和公众在网络安全方面的合作。 该法案还要求国家网络安全与通信集成中心为相关人员提供培训和开展沿袭，并于所有较低层级的政府机构中促进网络安全意识教育。 为尽量减少美国政府机构面临的网络安全威胁，民主党、共和党议员和相关代表共同发起了这两项法案。 早些时候，拜登政府还监督了一个网络安全局和网络安全审查委员会的成立、并签署了一项行政命令，以期在能源公司 Colonial Pipeline 于去年遭遇黑客攻击后增强相关网络的安全性。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1283629.htm 封面来源于网络，如有侵权请联系删除

英国通讯管理局今天公布了对全国网络习惯的新研究，称其发现英国女性网民对其网络安全的信心低于男性，而且受到歧视性、仇恨性和嘲弄性内容的影响更大。 这项研究涉及监管机构对约6000名英国人进行调查，以了解他们的在线经验和习惯，研究还表明，与男性同行相比，女性觉得在网络上的发言权和分享意见的能力较差，但是研究也发现，女性往往是互联网和主要社交媒体服务的更热心用户。 监管机构正在敦促科技公司听取其调查结果，并立即采取行动，使其平台对妇女和女孩更加友好和安全。虽然监管机构还没有正式的权力来迫使平台改变他们的运作方式，但根据目前提交给议会的在线安全法案，该法案将引入平台的注意义务，以保护用户免受一系列非法和其他类型的伤害，它将能够对违反规则者处以最高达其全球年营业额10%的罚款。 因此，通信管理局的言论可以被视为对Facebook和Instagram所有者Meta等社交媒体巨头的警告，一旦法律通过并生效，它们将面临监管机构的密切运营审查。英国通讯管理局敦促科技公司认真对待女性的在线安全问题，并将人们的安全置于其服务的核心。这包括在设计服务和提供内容的算法时，听取用户的反馈。 这项研究表明，在每一个方面，女性对上网的感觉不如男性积极。她们只是觉得不太安全，而且她们受仇恨言论和嘲弄的影响更深。因此，老实说，有一种寒蝉效应，让女性觉得不太能够在网上分享她们的意见，不太能够让人听到她们的声音。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1276187.htm 封面来源于网络，如有侵权请联系删除

近日，欧盟已就新的立法达成政治协议，将对关键行业组织实施共同的网络安全标准。 新指令将取代欧盟关于网络和信息系统安全的现有规定（NIS指令）。“因为社会的数字化和互联程度不断提高，全球网络恶意活动的数量不断增加”，原来的指令需要更新。 NIS2指令将涵盖在关键领域运营的大中型组织， 其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。 新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。 它还旨在制定更严格的执法要求，并协调成员国之间的制裁制度。如果不遵守规定，基础服务运营商将面临高达年营业额2%的罚款，而对于重要服务提供商，最高罚款将为1.4%。 这些措施最初是由欧盟委员会于2020年12月提出的，该政治协议需要得到欧盟成员国和欧洲议会的正式批准，一旦通过，成员国将需要在21个月内将新要求转化为国家法律。 欧洲数字时代组织（a Europe Fit for the Digital Age）执行副总裁玛格丽特·维斯塔格（Margrethe Vestager）在评论该公告时说：“我们一直在为社会的数字化转型而努力。在过去的几个月里，我们已经建立了一些基石，如《数字市场法》和《数字服务法》。今天，成员国和欧洲议会还就NIS 2达成了协议，这是欧洲数字战略的又一重要突破，这次是为了确保公民和企业受到保护并信任基本服务。” 欧盟委员会副主席希纳斯马加里蒂斯·希纳斯（Margaritis Schinas）表示：“网络安全对于保护经济和社会免受网络威胁始终至关重要，随着我们在数字化转型中不断前进，这一点变得越来越重要。当前的地缘政治环境使得欧盟确保其法律框架符合目的变得更加紧迫。我们正在履行提高欧盟网络安全标准的承诺。欧盟也已表明其决心，以提高防范和恢复针对经济、民主与和平的网络威胁的能力。” 该公告是在政府机构就网络安全采取一系列重大举措之后发布的，其中包括美国总统拜登的行政命令种对联邦机构的零信任要求、美国对关键基础设施组织施加报告义务的新立法以及英国的产品安全和电信基础设施（PSTI）法案，该法案将对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。 去年，欧盟制定了建立联合网络部门的计划，以提高应对成员国不断增加的网络攻击的能力。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/OlhWd2GJ8IsoguXTsc2Xdg 封面来源于网络，如有侵权请联系删除