超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死（hardcoded）的管理员后门帐号，能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。 这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的，被认为是最糟糕的漏洞，建议设备拥有者在时间允许的情况下尽快更新系统。 安全专家警告说，从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙，任何人都可以滥用这个后门账户来访问脆弱的设备，并转入内部网络进行额外的攻击。 据悉，Zyxel 大部分主打产品均存在这个漏洞，受影响的产品型号包括：“Advanced Threat Protection (ATP) 系列：主要用于防火墙 Unified Security Gateway (USG) 系列：主要用于混合防火墙或者 VPN 网关 USG FLEX 系列：主要用于混合防火墙或者 VPN 网关 VPN 系列：主要用于 VPN 网关 NXC 系列：主要用于 WLAN 接入点控制” 这些设备很多都是在公司网络的边缘使用，一旦被入侵，攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询，NXC系列的补丁预计将在2021年4月推出。 在安装补丁之后，Eye Control 表示可以删除后门帐号–用户名为“zyfwp”，密码为“PrOw!aN_fXp”。 研究人员表示，该账户拥有设备的root权限，因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。           （消息及封面来源：cnBeta）  

自12月初以来，一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露，这个多平台的恶意软件还具有蠕虫功能，可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。 自首次发现该蠕虫以来，背后的攻击者一直通过其命令和控制（C2）服务器积极更新该蠕虫的功能，这暗示着该蠕虫依然是一个积极维护的恶意软件。 C2服务器用于托管bash或PowerShell滴管脚本（取决于目标平台），一个基于Golang的二进制蠕虫，以及部署的XMRig矿工，以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币（门罗币）。 该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器，就会部署加载器脚本（Linux的ld.sh和Windows的ld.ps1），该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。 如果恶意软件检测到受感染的系统正在监听52013端口，它将自动杀死自己。如果该端口未被使用，蠕虫将打开自己的网络套接字。 要防御这种新的多平台蠕虫发动的蛮力攻击，网络管理员应该限制登录条件，并在所有暴露在互联网上的服务上使用难以猜测的密码，以及尽可能使用双因素认证。       （消息来源：cnBeta；封面来自网络）  

据外媒TechCrunch报道，研究人员得出结论，间谍软件制造商NSO集团在向政府和记者展示其新型COVID-19接触者追踪系统时使用了数千名不知情的人的真实手机定位数据。NSO是一家私营情报公司，以开发并向各国政府出售其Pegasus间谍软件而出名。 今年早些时候，该公司继续展开攻势推销其名为Fleming的联系人追踪系统，旨在帮助各国政府追踪COVID-19的传播。Fleming的设计目的是让政府能从手机公司获取位置数据进而可视化和跟踪病毒的传播。NSO分别向几家新闻媒体展示了Fleming，NSO表示，它可以帮助政府在不损害个人隐私的情况下做出公共卫生决策。 然而在5月的时候，一位安全研究员告诉TechCrunch，他发现了一个暴露的数据库，其存储着数千个NSO用来演示Fleming如何工作的位置数据点—。 为此TechCrunch向NSO报告了这一明显的安全漏洞，该公司虽然对该数据库采取了保护措施，但表示这些数据并非是基于真实的数据。 NSO声称这些位置数据是假的，这跟以色列媒体的报道有所出入。以色列媒体报道称，NSO使用了从广告平台获得的手机位置数据来“训练”该系统。学术和隐私专家Tehilla schwartz Altshuler也参加了Fleming的演示，她披露NSO告诉她，这些数据是从数据中间商那里获得的。据悉，这些中间商出售从数百万部手机上安装的应用中收集的大量综合位置数据。 针对这一情况，TechCrunch邀请了伦敦大学金史密斯学院研究和调查侵犯人权行为的学术机构Forensic Architecture的研究人员展开调查。研究人员于周三公布了他们的研究结果，他们得出的结论是，这些暴露的数据可能是基于真实的手机定位数据。研究人员指出，如果这些数据是真实的，那么NSO相当于侵犯了NSO间谍软件客户–卢旺达、以色列、巴林、沙特阿拉伯和阿拉伯联合酋长国的32,000个个人的隐私。 研究人员分析了一个暴露的手机位置数据样本，通过寻找他们期望在真实的人的位置数据中看到的模式，比如人们在大城市的集中程度以及测量个人从一个地方到另一个地方的旅行时间。研究人员还发现，跟真实数据相关的空间不规则性如当跟卫星的视线被高楼挡住时手机会试图精确定位其位置，此时就会产生类星星的模式。 研究人员指出：“我们样本中的空间‘不规则’–真实移动位置轨迹的常见特征–进一步支持了我们的评估，即这是真实数据。因此，数据集很可能不是‘虚拟的’也不是计算机生成的数据，而是反映了可能从电信运营商或第三方来源获得的实际个人的移动（数据）。” 研究人员绘制了地图、图表并通过可视化手段来解释他们的发现，同时他们还保留了那些将位置数据输入到NSO的Fleming演示中的个人的匿名性。 移动网络安全专家、网络情报公司Exigent Media创始人Gary Miller查看了一些数据集和图表并得出了这是真实手机位置数据的结论。 Miller表示，人口中心周围的数据点数量有所增加。“如果你在一个给定的时间点上做一个手机位置的散点图，郊区和城市的位置点数将会是一致的。”另外Miller还发现了人们一起旅行的证据，他指出这“看起来跟真实的手机数据一致”。此外，Miller还表示，即使是“匿名化”的位置数据集也可以用来透露一个人的很多信息，如他们在哪里生活和工作以及他们拜访过谁。 Citizen Lab高级研究员John Scott-Railton认为这些数据可能来自手机应用，这些应用混合使用了直接的GPS数据、附近Wi-Fi网络和手机内置的传感器以提高定位数据的质量。“但它从来都不是完美的。如果你看广告数据，它看起来很像这个。”Scott-Railton还表示，使用模拟数据进行接触追踪系统将会“适得其反”，因为NSO想要让Fleming掌握尽可能真实和有代表性的数据。”“整个情况表明，一家间谍软件公司再次无视敏感和潜在的个人信息。” 不过NSO否认了研究人员们的发现。“我们没有看到所谓的检查，必须质疑这些结论是如何得出的。尽管如此，我们仍坚持我们在2020年5月6日做出的回应。该演示材料并非基于跟COVID-19感染者有关的真实数据，”一位不愿透露姓名的发言人回应称，“正如我们上一份声明所述，演示所用的资料并不包括任何可辨识个人身分的资料。而且，如前所述，这个演示是基于模糊数据的模拟。Fleming系统是一套分析由终端用户提供的数据以在全球大流行期间帮助医疗保健决策者的工具。NSO不会为系统收集任何数据，也无权访问所收集的数据。” NSO没有回答TechCrunch提出的具体问题，包括数据从何而来以及如何获得。该公司在其网站上称，Fleming已经在世界各国运营，但当被问及其政府客户时，该公司拒绝证实或进行了否决。 这家以色列间谍软件制造商推动接触追踪被视为修复其形象的一种方式，眼下，该公司正在美国打一场官司，而该官司可能会揭露更多关于购买其PegASUS间谍软件的政府的信息。据悉，NSO卷入了一场跟Facebook旗下WhatsApp的诉讼，后者去年指责NSO利用WhatsApp的一个未披露的漏洞让约1400部手机感染了Pegasus，其中包括记者和人权捍卫者。NSO表示，它应获得法律豁免权，因为它是在代表各国政府行事。但微软、谷歌、思科和VMware本周提交了一份法庭之友陈述书以表示对WhatsApp的支持，另外它们还呼吁法庭驳回NSO的豁免权要求。           （消息及封面来源：cnBeta）

美国财政部的金融犯罪执行网络（FinCEN）发布了通知，警告金融机构针对COVID-19疫苗研究组织的勒索软件攻击。 FinCEN通知表示：“发布此通知，旨在提醒金融机构有关与COVID-19疫苗研究组织的勒索软件攻击等网络犯罪活动。 FinCEN发现了针对疫苗研究的勒索软件，要求金融机构保持警惕。”  美国食品和药物管理局（FDA）还发布了两项 紧急使用COVID-19疫苗授权，提供了有关与COVID-19疫苗及其分发的可疑活动的报告（SAR）归档说明。 FinCEN敦促金融机构对针对COVID-19疫苗交付操作以及供应链开发疫苗的勒索软件攻击保持警惕，金融机构及其客户也应警惕有关COVID-19疫苗的网络钓鱼活动。FinCEN已于10月发布了有关勒索软件的咨询报告，包含相关洗钱活动的趋势、类型和潜在指标。 欧洲刑警组织 等国际机构也发出了类似的警告：“网络罪犯已经迅作出反应，新型勒索软件已成为COVID-19大流行期间最突出的犯罪活动。”           消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

美国网络安全和基础设施安全局（CISA）已官方发布声明，督促美国联邦机构在年底之前更新SolarWinds 版本。 CISA发布的《紧急指令21-01补充指南》表示，所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。 SolarWinds在12月15日发布了2020.2.1HF2版本，以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。 美国CERT协调中心详细介绍了Orion API中的身份验证绕过漏洞，跟踪该漏洞为CVE-2020-10148，这使得黑客可以在Orion安装上执行远程代码。 黑客利用此漏洞在与SolarWinds供应链黑客无关的攻击中安装了后门。 基于此，CISA敦促相关联邦政府机构将SolarWinds Orion更新至2020.2.1HF2版本，以修复包括CVE-2020-10148在内的漏洞。 受影响的版本列表如下： Orion Platform 2019.4 HF5 版本2019.4.5200.9083 Orion Platform 2020.2 RC1 版本2020.2.100.12219 Orion Platform 2020.2 RC2 版本2020.2.5200.12394 Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432             消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

黑客正在分发一种新的以AutoHotkey（AHK）脚本语言编写的凭据窃取程序，这是自2020年初开始的攻击活动的一部分。 美国和加拿大银行用户是黑客的主要目标，特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。 AutoHotkey是Microsoft Windows的一种开源自定义脚本语言，旨在为宏创建和软件自动化提供简单的热键，允许用户在任何Windows应用程序中自动执行重复的任务。 多阶段感染链始于一个嵌入了Visual Basic for Applications（VBA）AutoOpen宏的带有恶意软件的Excel文件，该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。 下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。 该恶意软件下载并执行AHK脚本以完成不同的任务，而不是直接从C&C服务器接收命令。 Trend Micro的研究人员表示：“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露，特别是向其他研究人员或沙盒披露。” 其中最主要的是针对各种浏览器（比如Google Chrome、Opera、Microsoft Edge等）的凭证窃取程序。一旦安装，窃取程序会尝试在受感染的机器上下载SQLite模块（“sqlite3.dll”），使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。 最后，窃取程序从浏览器收集并解密凭证，并通过HTTP POST请求以明文形式将信息导出到C&C服务器。 恶意软件组件“在代码级别上组织得很好”，其中包含的使用说明（用俄语编写）可能意味着攻击链的背后存在一个“雇佣黑客”组织。 研究人员总结：“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言，加载恶意组件并频繁更改C&C服务器，黑客就能隐藏其恶意意图。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

FBI在近日发布的公共服务公告中表示：”黑客正在劫持安全性较弱的智能设备，通过家庭监控设备进行swatting攻击。” 黑客使用了之前在网上泄露用户名和密码，向执法部门举报，谎称受害者正在进行犯罪活动。 当执法部门到达住所时，黑客通过摄像头和扬声器监视警察，黑客有时还在共享在线社区平台上直播事件。这类 “swatting “事件的数量近年来在美国各地有所增加，更有甚者因警察误射毙命。 已知最早的“swatting”事件可追溯到2010年中期。如今的案件和起初的案件的区别在于，最初的设备并没有被黑客攻击。黑客会找出在网上直播婚礼、教会等活动，通过Discord机器人和暗网的服务拨打匿名电话报警。 FBI表示，为了应对数量激增的相关案件，他们现在正与设备供应商合作，并建议用户设置高强度密码。此外，FBI还提醒相关执法部门的快速响应。每个账户应使用高强度密码，并尽可能使用双重认证。             （消息来源：cnBeta；封面来源于网络）

12月初，我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。 该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务：密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中，该蠕虫还尝试利用WebLogic的最新漏洞：CVE-2020-14882。 在我们的分析过程中，攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态，并且可能在将来的更新中针对其他弱配置的服务。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1440/         消息来源：intezer，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软表示，日前SolarWinds黑客正部署Solorigate后门，以破坏相关用户的云基础架构。 Microsoft 365 安全团队透露，SolarWinds供应链攻击幕后黑客旨在利用Sunburst / Solorigate后门感染受害者网络，进而破坏用户的云基础架构。 微软表示：“黑客可以随意挑选目标受众群体。根据调查，此网络攻击的下一阶段涉及本地活动，其目标是非本地访问云资源。” 一旦部署后门，黑客就可以窃取凭据、提升特权并在目标网络内获得创建有效SAML的权限，进而来访问云资源并窃取电子邮件及相关敏感数据。   专家表示：“这种网络攻击是具有极强的的隐身能力，因此我们很难发现相关活动。”  基于此，CISA和网络安全公司Crowdstrike都发布了用于审核Azure和MS 365安全环境的免费工具。           消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

近日，网络安全和基础设施安全局（CISA）的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。 CISA发帖声明：“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具，供相关事件响应者使用，且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面，以获取更多信息和检测对策。 Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块，在MSAzure / M365中审核日志中是否存在某些IoC，列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。 基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况，CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。             消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c