近日，日本川崎重工披露了一项安全漏洞，该公司发现多个海外办事处未授权访问日本公司服务器，该安全漏洞可能导致其海外办事处的信息被盗。 川崎重工有限公司是一家日本的跨国公司，主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶，也涉及工业机器人、燃气轮机、锅炉和其他工业产品的生产。 公司发布声明：“截止2020年6月11日，安全人员发现从泰国站点未经授权访问日本服务器的情况，随后又发现了从其他海外站点（印度尼西亚、菲律宾和美国）未经授权的访问日本服务器的情况。” 该公司随后加强了对海外办事处访问的监控操作，还限制了从国外对日本服务器的访问。 11月30日，公司恢复了海外办事处与日本总部之间终止的网络通信。 川崎重工有限公司表示：“经过调查，海外办事处的相关信息可能已被泄露。” 自发现该漏洞以来，川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前，还未发现泄露信息的证据。 除此之外，国防承包商Pasco、神户制铁和 三菱电机等日本知名企业在今年也受到了类似的网络攻击。               消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

日前，谷歌反馈工具中的存在安全漏洞，可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现，他因此项发现获得了$ 3133.70的奖励。 Google的许多产品，包括Google Docs，都带有“发送反馈”或“帮助提升”的选项，用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站（“ www.google.com”）中，并通过iframe元素集成到其他域中，该元素从“反馈”加载.googleusercontent.com弹出式窗口。” 这意味着，每当包含Google文档窗口的屏幕被截图时，图像都需要将每个像素的RGB值传输到父域（www.google.com），然后将这些RGB值重定向到反馈域，最终构造图像并将其以Base64编码格式发送回去。 Sreeram发现了传递到“ feedback.googleusercontent.com”方式中的漏洞，使黑客可以将框架修改为任意外部网站，进而窃取Google Docs屏幕截图。 值得注意的是，该漏洞源于Google Docs域中缺少X-Frame-Options标头，这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。 尽管此类网络攻击需要一定形式的用户交互，但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到黑客选择的域来实现。 在跨域通信期间未能提供目标源会引起安全人员的注意，因为它会公开将数据发送到任意网站。 Mozilla文档警示：“恶意站点可以在用户不知情的情况下更改窗口位置，进而拦截使用postMessage发送的数据。因此当使用postMessage将数据发送到其他窗口时，请始终指定确切的目标来源，而不是* 。”               消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

安全专家警告：黑客利用信用卡分离器可以收集Shopify、BigCommerce、Zencart和Woocommerce在线商店的付款信息，通过伪造付款表格，记录顾客进入实际结帐页面之前输入的信息。 在顾客提供了信用卡数据后，页面将引导顾客返回到实际付款页面，以避免引起怀疑。 该网络攻击活动之所以出色，是因为它针对不同平台，黑客可能已经破坏了被攻击商店的共享组件。 专家指出，这种多平台分离器使用的是编程生成的渗透域。第一个渗透域于2020年8月31日注册。 zg9tywlubmftzw5ldza.com; zg9tywlubmftzw5ldze.com; zg9tywlubmftzw5ldzu.com： zg9tywlubmftzw5ldzq.com; zg9tywlubmftzw5ldzm.com; zg9tywlubmftzw5ldzy.com; zg9tywlubmftzw5ldzi.com; zg9tywlubmftzw5ldzg.com …………………………………….. Sansec总结称：“此次攻击活动表明在线平台并非获利欺诈的边界，无论顾客是否输入付款详细信息，都存在一定的风险。”       消息及封面来源：Security Affairs，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

今年美国总统大选已经尘埃落定，并没有重蹈 2016 年那样严重的网络攻击。尤其是本次选举期间并没有出现电子邮件泄漏事件，而这可能归功于小小的 USB 安全密钥。而本次选举也极大地推动了安全市场的发展，例如 CrowdStrike 和 Zscaler 的股票今年升值了 200% 以上。 在过去四年里，有一件小事或者说一个习惯正逐渐养成。那就是政治家、竞选工作者、以及他们的家人和好友都开始使用 USB 硬件密钥来登录电子邮件账户和其他在线服务。而且谷歌为销售这些硬件提供了非常便捷的平台，可供用户挑选的产品也非常丰富，包括来自 GoTrust, TrustKey 和 Yubico 厂商的产品。 在 12 月 9 日发布的博文中，谷歌表示正和非营利机构 Defending Digital Campaigns 合作，发放了超过 10500 个包含 USB 物理安全密钥的工具包。联邦选举委员会授权该非营利组织以免费或优惠价格向竞选活动发放网络安全产品，这意味着竞选活动如果想提高安全性，就不用担心资金问题。微软也与该非营利组织合作。 一位知情人士告诉 CNBC，乔·拜登在竞选活动中要求团队成员部署安全密钥，不过目前并未得到回应。 曾在美国国家标准与技术研究所从事网络安全工作，现在是 Venable 律师事务所的董事总经理杰里米·格兰特（Jeremy Grant）表示：“由于这些小东西起效了，因此没有再发生类似于 Podesta 这样的事件。并不是说没有人试图对这些账户进行钓鱼，但他们知道这一切都会发生，而且有工具可以阻止它们。” 2016年，一个被认为与俄罗斯有关的黑客组织攻击了希拉里·克林顿（Hillary Clinton）总统竞选活动主席约翰·波德斯塔（John Podesta ）的个人谷歌 Gmail 账户，邮件信息在维基解密上被翻出来。民主党全国委员会也遭到了攻击。       （消息及封面来源：cnBeta）

WeLeakInfo是一种现已失效的在线服务网站，曾出售其他网站被入侵数据的访问权。 英国国家犯罪局（NCA）表示，该网站的用户利用被盗个人凭据进一步实施了网络犯罪。 在被捕的21名男子（18至38岁之间）中，有9人因涉嫌违反《计算机滥用法》而被拘留，9人涉嫌欺诈罪，另外3人正在接受调查。NCA还从犯罪嫌疑人身上查获了价值41,000多英镑的比特币。 今年1月初，美国联邦调查局（FBI）、NCA、荷兰国家警察总队、德国Bundeskriminalamt和北爱尔兰警察局共同攻破了WeLeakInfo的域。 该网站的服务于2017年推出，为用户提供搜索引擎，用户可访问从10,000多个数据泄露事件中非法获取的个人信息，其中包含超过120亿索引的被盗凭证，涉及姓名、电子邮件地址、用户名、电话号码和账户密码等信息。   最重要的是，WeLeakInfo提供了订阅计划：允许在一天（2美元）、一周（7美元）、一个月（25美元）或三个月的订阅期间无限搜索和访问这些数据泄露的结果。 订阅费用使入门级黑客都可以访问该网站，以每天低至2美元的价格获取大量数据缓存，并利用这些信息发起网络攻击活动。 在该域名于1月被查封后，两名22岁男子因经营该网站而被捕，其中一人在荷兰、另一人在北爱尔兰。 NCA表示，一名犯罪嫌疑人还购买了其他网络犯罪工具，例如远程访问特洛伊木马（RAT）和加密程序，另外三名犯罪嫌疑人藏有不雅儿童照。 NCA的Paul Creffield表示：“人们在多个站点上设置的重复密码为黑客提供了便利。因此，密码设置非常重要。”       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

据外媒报道，泄露的任天堂文件显示，一名正在研究3DS掌上游戏机漏洞的黑客遭到了可怕的监视行动。除了监控他的私人生活–包括他的教育方面、离开家的时间和他去的地方，这家公司都会从其工作的地方跟踪目标以迫使他停止活动。保护企业知识产权的间谍项目在世界各地都有在持续进行，但很少有行动细节泄露给公众。 然而对于任天堂来说不幸的是，相关信息被曝光，根据泄露的文件显示，成为这家公司的主机黑客的目标是一件多么可怕的事情，即使这些目标已经声明他们的工作不是为了盗版目的而设计的。 泄露文件披露了任天堂警方式的监视行动 在过去的24小时里，各种Twitter账号发布了最近从任天堂泄露的文件片段。虽然有许多有趣的项目，但最令人震惊的发现涉及了一名叫做Neimod的黑客，他曾在几年前发现了3DS掌机的漏洞。 当然，像任天堂这样的公司对Neimod这样的人的作品产生浓厚兴趣也并不奇怪。任天堂的文档将他描述为一位“技艺高超的硬件工程师”且“在任天堂产品的黑客领域享有很高的声誉”。 然而，泄露的文件还详细披露了这家游戏巨头准备如何阻止他的工作。 例如，文件揭露了深入挖掘Neimod教育状况的个人剖析、列出了他的工作生活细节，同时还提供了物理窥探他日常生活方式的证据，如什么时候能在家里找到他、谁来见他甚至他去银行和餐馆之类的地方等信息也都能找到。 有关拦截目标的详细行动计划 根据任天堂的计划，针对Neimod的行动始于2013年4月15日左右，其团队在当地一家酒店开会讨论并敲定他们的计划。在回顾了Neimod前一周的活动之后，该团队决定在哪里和何时进行接触–例如下班后或在家。 在一名监视Neimod的卧底调查人员负责搞清楚他下班的时间的情况下，“联络小组”被要求以友好、不具威胁性、专业和礼貌的方式接近目标Neimod。 在跟Neimod开始交谈之后，团队被要求奉承这个黑客，承认他的工程/编程天赋。另外他们还被告知，要提到他不会“促进盗版”发展的声明目的，但也要指出任天堂的担忧–公布了他的黑客行为可能就会促进这一点的发展。 无论Neimod同意还是拒绝，任天堂都做好了应对准备。由Eclipse-TT发布到Twitter上的幻灯片显示了一个流程图。 任天堂表示，如果双方能达成合作，它可以避免提起刑事诉讼。它还可能跟Neimod签订“赏金”合同，为发现和记录漏洞而支付报酬。在一定范围内，他的发现仍可以向公众公布，但要让他保留吹嘘权利。该公司写道，这可能有助于提升任天堂的形象。 只有当侵入性监控行动的细节远离公众视线时才有可能长期显著提升公众形象。然而现在随着Hacker Enforcement Proposal的全面泄露，这对任天堂来说可能会变得有点困难。 另一方面，这也可能也会让黑客停下来思考或将他们推向更糟糕的境地。         （消息及封面来源：cnBeta）

经过将近两个月的休整之后，Emotet僵尸网络复苏，并开展了每天数十万个网络攻击活动。 Emotet僵尸网络于2014年以银行木马的身份诞生，并发展成提供全方位服务的威胁传递机制。它可在受害者计算机上安装一系列包括信息窃取者、电子邮件收集器、自我传播机制等恶意软件。该僵尸网络最近一次出现是在10月份，目标群体是民主党全国委员会（DNC）志愿者。五个月的中断之后，它在7月重新活跃，并丢弃了Trickbot木马。2月份的一次竞选活动中，有人发现了来自受害者银行的短信。 Cofense研究人员布拉德·哈斯（Brad Haas）在星期二的博客中说：“Emotet僵尸网络后是恶意电子邮件活动最多的发件人之一，但通常一次休眠数周或数月。” “今年，这种中断从2月持续到7月中旬，这是Cofense在过去几年中看到的最长的中断。从那以后，他们观察到整个十月底的Emotet僵尸网络活动正常，直到今天都没有新的案例。” 研究人员说，僵尸网络在有效载荷方面也始终如一。在十月份，最常见的辅助负载是TrickBot、Qakbot和ZLoader，而今天我们观察到的是TrickBot。 TrickBot恶意软件是众所周知的复杂木马，于2016年作为银行恶意软件首次开发，与Emotet一样，它具有自我转换和添加新功能 以 逃避检测 或增强其感染能力的历史。感染了TrickBot木马的用户的设备将成为僵尸网络的一部分，黑客可使用该僵尸网络加载第二阶段的恶意软件，研究人员称其为“几乎所有其他恶意软件有效负载的理想丢弃程序”。TrickBot感染的典型后果是银行帐户被接管、高额电汇欺诈和勒索软件攻击。它最近实现了旨在检查目标系统的UEFI / BIOS固件的功能。微软和其他公司于10月对恶意软件的基础架构进行拆除之后，该恶意软件却严重复苏。 Proofpoint在Twitter上指出： “我们看到了相关英文、德文、西班牙文、意大利文并受密码保护的zip和URL的线程劫持的带有Word附件的诱饵。” Proofpoint威胁研究高级主管Sherrod DeGrippo说：“我们的团队仍在审核新样品，到目前为止，我们只发现了微小的变化。例如，Emotet二进制文件现在被用作DLL而不是.exe。当Emotet运行时，我们每天会观察到数十万封电子邮件。”她指出：“我们通常会看到Emotet在12月24日至1月初停止运营。如果他们继续这种模式，那么最近的活动对他们来说将是短暂而罕见的。” 研究人员同时指出，“黑客在不同的网络诱饵之间交替变化，以使社会工程学用户能够使用包括COVID-19主题的宏。尽管缺乏重大发展，该恶意软件的复兴仍应引起人们的注意。” 鉴于今年的严峻形势，安全人员建议相关组织和个人应提高警惕，并继续采取相关保护措施。         消息及封面来源：Threat Post；译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

援引外媒 ZDNet 今天早些时候报道，有攻击者利用 Citrix ADC 网络设备向 Steam、Xbox 等在线游戏服务发起拒绝服务攻击（DDoS）。首波攻击上周被德国 IT 系统管理员 Marco Hofmann 发现并记录在案。 图片来自于 WikiMedia 随后 Hofmann 追踪到了 Citrix ADC 设备上的 DTLS 接口。DTLS，即数据报传输层安全，是 TLS 协议的一个更多版本，实现在对流友好的 UDP 传输协议上，而不是更可靠的TCP。就像所有基于UDP的协议一样，DTLS是可欺骗的，可以作为DDoS放大载体。 这意味着，攻击者可以向具有DTLS功能的设备发送小的DTLS数据包，并将结果以一个大很多倍的数据包返回到一个被欺骗的IP地址（DDoS攻击受害者）。原数据包被放大多少倍，决定了具体协议的放大系数。对于过去基于 DTLS 的 DDoS 攻击，放大系数通常是原始数据包的 4-5 倍。 不过在本周一的报告中，在 Citrix ADC 设备上实现的 DTLS 似乎被放大了 35 倍，使其成为最有力的 DDoS 放大载体之一。在多家媒体报道之后，Citrix 也承认这个问题，并承诺会在圣诞节假期之后在明年 1 月中旬发布修复补丁。该公司表示，已经有证据表明有黑客利用该 DDoS 向全球少数客户发起攻击。 当攻击者滥用Citrix ADC设备时，他们可能最终会耗尽其上游带宽，造成额外的成本并阻止来自ADC的合法活动。 在Citrix准备好官方缓解措施之前，出现了两个临时的修复方法。第一种是在不使用Citrix ADC DTLS接口的情况下，禁用该接口。第二种是如果需要 DTLS 接口，建议强制设备验证传入的 DTLS 连接，尽管这可能会因此降低设备的性能。     （消息及封面来源：cnBeta）

据外媒报道，日前，GoDaddy对其员工进行了一个钓鱼邮件测试，结果约有500名员工没有通过。据悉，测试中的邮件声称他们将获得650美元的假期奖金。这封邮件是由Happyholiday@Godaddy.com发送，包裹在一片闪闪发光的雪花banner下，上面则印着GoDaddy Holiday Party的字样。 这封邮件于当地时间12月14日发给数百名GoDaddy员工的。 “虽然我们不能在年度节日聚会上一起庆祝，但我们想表达我们的感谢并分享650美元的一次性假期奖金！”邮件写道，“为确保您能及时获得一次性假期奖金，请在12月18日周五之前选择您的地点并填写详细信息。” 然而两天后，该公司又发了一封电子邮件。“你收到这封邮件是因为你没有通过我们最近的钓鱼测试，”该公司的首席安全官Demetrius Comes写道，“你需要重新接受安全意识社会工程培训。” 网络钓鱼测试是由公司发送，用来评估员工是否容易受到网络钓鱼攻击，公司外的人会试图伪装成可信来源以获取敏感信息如用户名和密码。 总部位于斯科茨代尔的GoDaddy是全球最大的域名注册商和网络托管公司。 今年早些时候，《福布斯》报道称，2.8万名GoDaddy客户的账户用户名和密码因数据泄露而受到影响。 尽管该公司今年的客户超过2000万并报告了创纪录的客户增长，但该公司在新冠大流行期间解雇或重新分配了数百名员工，包括亚利桑那州、爱荷华州和德克萨斯州的员工。 GoDaddy并不是今年第一家以潜在奖金的方式作为诱饵诱骗员工陷入网络钓鱼骗局的公司。 今年9月，在全美拥有多家主流报纸的Tribune Publishing也向其员工发送了一封类似的电子邮件。 对此，该公司的几名员工表示愤怒，他们在Twitter上转发了这封邮件并称：“这种钓鱼尝试是多么得荒谬和多么得悲哀。”         （消息及封面来源：cnBeta）

本周二，欧洲刑警组织（Europol）宣布联合多国执法机构开展了 Operation Nova 活动，关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器，从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务，主要用于隐藏身份。 据欧洲刑警组织称，这项服务可以隐藏客户的 IP 地址，并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年，它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码，以及其他攻击，如网络钓鱼活动和账户接管。 欧洲刑警组织在公告中写道：“这种VPN服务被高价卖给了犯罪团伙，作为避免执法拦截的最佳工具之一，提供多达5层的匿名VPN连接”。这些机构没有宣布对该VPN提供商或其任何客户进行任何逮捕或指控。然而，拿下VPN服务很可能会让使用该服务的犯罪分子更难继续行动，至少目前来看是这样的。 网络安全专家表示，在无法抓住网络犯罪分子或完全关闭其业务时，这种做法是有意义的，也符合各大科技公司采取的行动。例如，微软在12月查封了SolarWinds黑客事件中使用的网络域名，以阻止一场大规模的恶意软件活动。 在查获Safe-Inet的服务器之后，警方发现全球已有250个企业受到犯罪集团的监控，也立即警告这些企业，要求它们多加防范，以免受到勒索软体之类的网路攻击。         （消息及封面来源：cnBeta）