从臭名昭著的丝绸之路开始，暗网市场就一直备受关注。在 2013 年的鼎盛时期，在所有比特币活动中暗网占据了将近 20%。虽然随着时间推移它在整体加密货币活动中比例减少，但由于加密货币的蓬勃发展暗网生态系统也得到了快速的发展。 在 Chainalysis 公布的《2020加密犯罪报告》中，在 2019 年整个暗网市场实现了大约 8 亿美元的加密货币收入，活跃的独立市场规模拥有 49 个。而在最新公布的《2021加密犯罪报告》中，暗网市场有了较大的改变。虽然暗网市场总收入已经超过 2019 年，但是购买的总数以及可能的用户规模已经大幅下降，这表明有更少的人购买了更多的加密货币。而活跃市场数量也大大减少，几个著名的市场已经关闭，而新市场几乎没有开辟。 那么为什么会这样呢？有人认为持续的 COVID-19 新冠疫情是最直接的原因。正如我们下文探讨的那样，新冠疫情的流行让全球的邮政系统紧张，导致很多暗网市场供应商的传输失败或者延误。而专家认为另一个重要原因就是网络执法力度的增强，正在让暗网市场生态从散户整合为一个大参与者。 在美国开始因新冠疫情而实施封锁三周之后，该报告检测了疫情对暗网市场活动的影响。结果发现在比特币以及其他加密货币的价值急剧下跌之后，暗网市场的交易活动有所下降。 在我们的发现中值得注意的是，到目前为止，暗网市场活动似乎不受比特币市场活动的影响。比特币价值的波动一直很普遍，很少反映到暗网市场消费者的购买活动中。不过当美国启动第一轮封锁之后，伴随着比特币在 3 月中旬开始下跌，暗网交易活动度也开始下跌。 但是事实证明，这种改变只是暂时的。从5月左右开始，暗网市场收入恢复到之前的状态，不再与比特币的价格同步变动。自那时以来，暗网市场的每月收入一直稳定增长，除了9月和11月的小幅下降外，这在很大程度上与季节性趋势保持一致。 凭借这些最新发展，2020年的整个暗网市场收入已超过2019年，仅剩一个月了。但是尽管总收入可能不会改变，但其他数字表明，暗网市场可能会面临艰难时期。 上图显示了按年计算的暗网市场总收入以及向暗网市场转移的总数，我们可以使用这些粗略数来粗略估计单个客户和购买的数量。有趣的是，我们看到虽然收入已经超过了2019年的总和（再次，还有一个月的余地），但向暗网市场的转移总额仅略高于900万，远低于达到2019年的总和超过1200万的速度。 数字显示，与2019年相比，2020年的客户购买量减少，但每次购买的金额更大。这可能表明，临时购买者或购买个人用途药物的人正在从暗网市场转移，而购买数量较大的人-要么个人使用或出售给他人-正在购买更多商品。这也可能意味着在不确定的情况下，一些临时买家已经开始下达更大的订单以囤积。         （消息来源：cnBeta；封面来源于网络）

在安全性问题上，苹果公司一直走在前列。人在德国的黑客、安全研究专家Jeffrey Paul日前更新博客文章，并详细介绍了对搭载T2安全芯片和M1处理器MacBook的新发现，简单来说，你无法在离线状态下对设备进行重置恢复。 他提到这意味着这些Mac对于某些场景将不再适用，比如气隙系统。 至于具体的原理是，不管你出于何种原因想要重置电脑（遭遇病毒、遭遇死机卡顿、想要卖二手等），T2和M1处理器中的安全单元也需要同步重置，而其重置的前提是拿到苹果下发的一个密钥凭证。 该密钥凭证针对绑定了Apple ID的特定硬件，需要联网从苹果服务器免费获取。这是因为，T2运行了名为BridgeOS的安全子系统，其权限和优先级高于macOS，M1处理器同样。 Paul提到几点担忧，首先是如果想要用M1做孤岛式的网络连接或者安全部署，那已经不可能。其次是，如若苹果服务器在某些国家和地区遭到限制，重置Mac变成天方夜谭。         （消息来源：cnBeta；封面来源于网络）

跨站泄露，也被称为 “XS-Leaks”，是网络设计中的一类问题，它允许网络应用相互交互，即使它们不相关。这导致用户数据在不同的Web应用之间共享，通常会带来严重的安全漏洞。依靠跨站泄密的安全漏洞日渐增多，为了解决这一问题，谷歌宣布建立了一个知识库，以便开发者和安全研究人员更好地了解这个问题，并围绕它建立防御措施。 这一知识库被称为 “XS-Leaks Wiki”，包含的文章解释了跨站点泄漏的概念，演示一些常见的攻击，以及你介绍针对它们设置的防御措施。除了每种攻击的细节，还提供概念验证代码。 这个知识库的另一个目标也是帮助开发者了解浏览器提供的各种安全功能，以防止跨站泄漏，如跨源资源策略和SameSite cookie。 谷歌希望将这个知识库提供给公司、安全研究人员和网络开发人员，以使所有相关方提供的多年经验基础上，通过保护所有用户免受利用这种行为的威胁，使网络对所有用户更加安全。 你可以通过访问谷歌的专门网站了解更多关于跨站泄密的信息，这里是谷歌的专门网站，或者这里是相关的GitHub仓库。         （消息来源：cnBeta；封面来源于网络）

安全专家分析了Docker Hub上托管的400万个共享文件夹，发现其中一半存在严重漏洞。 该网络安全公司使用其Prevasio Analyzer服务器在800台计算机上运行了一个月。在400万张文件夹中，有51％存在至少一个漏洞程序包或应用程序，13％存在高危漏洞。 “安全专家还发现了6432个潜在恶意漏洞，占Docker Hub上共享文件夹的0.16％。” Prevasio发布的分析报告显示，“这份报告解释了恶意软件类型以及相关典型示例。” 转专门研究Linux的研究人员发现，由于仅针对Windows生成而未针对Linux生成，将近1％的映像被排除外。 研究人员还发现，恶意软件潜藏在6,432张图像中，例如加密货币矿工、黑客工具、恶意npm软件包stream、受害应用程序。 潜在受害图像总数量超过3亿，部分包含动态有效载荷，勒索软件会在运行时下载加密货币矿工的源代码并执行它。 专家指出，目前发现的大多数恶意软件都以Windows为目标。报告总结称：“ Prevasio调查表明，Linux操作系统无法幸免于安全风险。” “我们的研究表明，主要安全风险是由关键漏洞造成的。Docker Hub托管的所有图像文件中，有一半以上包含一个或多个严重漏洞;另一个风险是，在400万个共享文件中，有6432个被发现包含恶意潜在漏洞。”       消息及封面来源：securityaffairs；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

早在 2018 年，这家社交媒体巨头就已经提供了对于硬件安全密钥的支持，以代替另外两种双因素身份认证选项（短信 / 验证器 App）。尽管硬件密钥小巧得可以轻松挂在钥匙圈上，但仅限于 Web 登录的功能，也给移动设备用户造成了巨大的不便。好消息是，Twitter 周三表示，基于硬件安全密钥保护的账户，现在也可从 iPhone / Android 设备上登录。 硬件双因素认证需要用户在登录时插入密钥，即便被攻击者知晓了用户名和密码，这套方案也能够努力避免账户被黑客入侵。 然而此前的技术限制，意味着这类账户使用者只能从计算机端登录，而无法使用更加便捷的移动设备。 当时一些苦恼的 Twitter 用户，更是直接发推吐槽官方，甚至迫使许多人都默认关闭了登录验证。 去年的时候，Twitter 通过切换至 WebAuthn 协议解决了部分让人感到头疼的麻烦，同时也为将硬件保护方案引入更多设备和浏览器而铺平了道路。 现在，只需支持硬件密钥，任何在 Twitter 账户安全设置中启用了该功能的用户，都可以顺利地在移动设备端登录。 值得一提的是，除了 YubiKeys、Google Titan 等可在不同设备上工作的安全密钥，Twitter 还在今年早些时候向自家员工推出了硬件安全密钥，以防再次遭遇 7 月份的网络攻击事件。 当时黑客侵入了 Twitter 内网，滥用“管理员”工具劫持了多个高知名度的账户，然后大肆用于加密货币骗局的传播。 事件发生后，Twitter 聘请了 Rinki Sethi 接替首席信息安全官，并招募了知名黑客 Peiter“Mudge”Zatko 作为企业安全负责人。       （消息来源：cnBeta；封面来自网络）

根据一项新的研究，自2012年以来，以网络间谍活动而闻名的国家性质的黑客，正在使用挖矿技术来躲避检测，并在受害者系统上建立持久性。 微软的365 Defender威胁情报团队称，今年7月至8月期间，该组织部署了Monero硬币矿工，对法国和越南的私营部门和政府机构进行攻击。 研究人员在昨天发表的一份分析报告中表示：“这些硬币矿工的背后或许隐藏着更邪恶的活动。” 此次攻击的主要受害者是越南的国有企业以及与越南政府机构有关联的实体。 微软把Bismuth比作“OceanLotus”（或APT32），将其与间谍软件攻击联系在一起，这些间谍软件使用定制和开源工具集攻击大型跨国公司、政府、金融服务、教育机构、人权和民权组织等。 此前，OceanLotus利用了macOS的一个新后门，攻击者能够窥探并窃取受感染机器的机密信息和敏感商业文件。 使用硬币矿工进行混入 尽管该组织的渗透策略和间谍活动基本上没有什么变化，但“硬币矿工”为他们提供了一种新的盈利方式。 这个想法是为了争取时间进行横向移动，感染像服务器这样的高价值目标，以便进一步传播。 为了实现这一点，攻击者针对受害者使用了特制的越南语编写的鱼叉式网络钓鱼邮件。在某些情况下，攻击者甚至与目标建立通信，以增加打开电子邮件中嵌入的恶意文档并触发感染链的机会。 另一种技术涉及使用DLL侧加载，其中合法库被恶意变体替换，利用过期版本的合法软件（如Microsoft Defender Antivirus、Sysinternals DebugView和Microsoft Word 2007）加载恶意DLL文件，并在受损设备和网络上建立一个持久的命令和控制（C2）通道。 新建立的通道随后被用来丢弃一些下一阶段的有效负载，包括用于网络扫描、凭证盗窃、Monero硬币挖掘和执行侦察的工具，其结果以“.csv”文件的形式传回服务器。 躲避策略 微软表示：“攻击者通过与正常的网络活动或预期会得到低关注的常见威胁混合在一起来躲避检测。” 建议企业通过加强电子邮件过滤和防火墙设置，加强凭证保护，启用多因素身份验证来限制用于获得初始访问权限的攻击面。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Check Point的研究人员发现，利用DHL、亚马逊和联邦快递的品牌，试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前，Check Point的研究人员记录了针对网上购物者的 “特别优惠”的恶意网络钓鱼活动增加了80%，最新的峰值出现在使用 “跟踪您的货物”和 “交付问题”等主题词。 DHL是全球被模仿最多的品牌，占到与运输相关的钓鱼邮件总量的56%，其次是亚马逊的37%和联邦快递的7%。 虽然美国和欧洲的增幅最大，但其他地区的增幅也很大。在欧洲，运费钓鱼邮件增加了401%，其中77%是假冒的DHL。美国的航运钓鱼邮件增加了427%，其中亚马逊是被冒充最多的品牌，65%是假冒的亚马逊送货邮件。在亚太地区，送货钓鱼邮件增加了185%，其中65%是与DHL品牌有关。 “黑客正在追寻整个在线购物体验，在人们购物之前和之后，”Check Point的数据情报经理Omer Dembinsky说。“首先，黑客会从他们最喜欢的品牌向人们的收件箱发送’特别优惠’。然后，黑客会发送一封关于交付购买的电子邮件，即使你是从一个值得信赖的来源购买的。” “现在 “黑色星期五 “和 “网络星期一 “已经结束，我们正在转向等式的另一边，也就是送货。当你在这个假日季节打开任何购买后的电子邮件时，请三思。这封邮件可能来自黑客。仔细查看任何声称自己来自亚马逊、DHL或联邦快递的电子邮件。我们很清楚，黑客在网上购物体验的每一步都在瞄准网上购物者，在你购物前后，危险是非常真实的。” 诈骗范例：     （消息及封面来源：cnBeta）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/fYZJikSlifHmqikVB4FSyQ   一、概述 Medusalocker勒索团伙于2019年10月开始活跃，国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币（BTC）。随着文件加密+数据窃取的勒索模式流行，该团伙会在勒索信中威胁称：“已收集了高度机密的资料，不付赎金就公之于众”。 腾讯安全威胁情报中心在进行例行高危风险样本排查过程中，发现Medusalocker勒索团伙使用的样本托管资产（IP:45.141.84.182(ZoomEye搜索结果)），对该资产其进行分析后发现，Medusalocker勒索团伙除使用加密模块对文件进行加密外，其武器库中还包括一系列渗透过程中使用的相关工具和窃密木马。 分析发现，Medusalocker勒索团伙除使用CobaltStrike窃密木马外。还对商业远程控制软件RemoteUtilities（类Teamviwer软件）进行了破解重打包（系对官方版本的窗口、托盘、模块完整校验位置进行Patch）。 由于RemoteUtilities属于正规商业远程控制软件，如果被用于窃密监听，会更加隐蔽，安全软件通常并不将此类商业远控软件报告为病毒。同时，由于破解修改版本与官方版本程序代码仅存在少量差异，也将比一般窃密木马具备更好的免杀效果。 近年来，勒索病毒从广撒网模式到针对性特定企业的精准打击，从单纯的数据加密演变为数据窃取加勒索。攻击者入侵企业内一台资产后，通常并不立刻进行加密操作。而是通过长时间的扫描探测，窃取机密信息后，再大面积对企业实施加密勒索。若企业使用备份数据进行还原，勒索团伙则威胁公开受害企业的机密数据继续敲诈，这对企业带来经济和社会声誉的双重损失。因此，我们提醒各政企机构高度警惕勒索病毒的攻击。 Medusalocker勒索病毒攻击者留下的勒索信 受害者在安全论坛发布的求助帖   腾讯电脑管家、腾讯安全T-Sec终端安全管理系统（御点）均可查杀拦截Medusalocker勒索病毒，腾讯安全针对Medusalocker勒索病毒的完整响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Medusalocker勒索团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Medusalocker勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）Medusalocker勒索网络相关联的IOCs已支持识别检测； 2）支持检测拦截Medusalocker团伙发起的爆破攻击行为。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀Medusalocker相关联的利用模块，勒索模块； 2）已支持检测拦截Medusalocker发起的爆破攻击行为。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Vulnerability Scan Service，VSS） 1）已集成无损检测POC，企业可以对自身资产进行远程检测。   关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。   关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）Medusalocker团伙相关联的IOCs已支持识别检测； 2）Medusalocker团伙发起的爆破攻击行为已支持检测； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）企业终端管理系统可查杀Medusalocker团伙相关联的利用模块，勒索模块； 2）企业终端管理系统已支持检测拦截恶意爆破攻击行为。 3）企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 1、魔改RemoteUtilities远程控制软件 RemoteUtilities是一款可免费，可商用，能够自建中继服务器的远程控制软件（类似于Teamviewer、向日葵等工具），该软件支持Windows、Mac、Linux、IOS、Android等多个平台版本。该软件服务端（Agent）运行后会弹出明显的服务端窗口信息，托盘展示信息等，一般用于管理员对多台设备进行统一的操作和管理。 Medusalocker勒索病毒团伙通过对RemoteUtilities进行破解重打包后，将其作为窃密木马使用，达到植入目标系统持久化控制的目的，其修改流程主要有下文中分析中的多个步骤。 RemoteUtilities远控软件官网介绍 正常RemoteUtilities被控端（Agent）运行后的界面 2、RemoteUtilities精简破解重打包 RemoteUtilities正常被控端安装后后会存在大量模块文件，修改版本安装后后仅使用3个模块（移除非远程控制必须组件以外的其他模块），精简破解后重打包的版本安装完成后，会添加计划任务启动，进而实现持久化的远程控制。 下图上为完整版RemoteUtilities被控端安装文件，下为病毒修改版安装文件： 计划任务将自动启动病毒远控。   3、RemoteUtilities-Patch-1 通过对官方版本被控端的ShowWindow函数调用进行nop处理，导致官方版本被控端启动时的所有窗口界面消失，从而实现无交互界面被远程控制，系统托盘、消息界面全部被隐藏： 官方版本完整代码： 修改后病毒版本代码：   4、RemoteUtilities-Patch-2 通过对官方版本被控端的Terminateprocess函数调用进行nop处理，导致官方被控端相关快捷退出方式失效，从而让攻击者稳定持久的远程控制，持续进行窃密活动。   官方版本完整代码： 修改后病毒版本代码：   5、RemoteUtilities-Patch-3 官方版本远程控制软件在运行后首先会对其安装目录下的所有模块完整性校验，当发现安装模块缺失后则直接会退出。病毒对其代码进行patch，使官方远控软件被控端校验流程被强行跳过。 官网软件模块完整性校验流程 官方版本完整代码： 修改破解后病毒版本代码： 6、RemoteUtilities-Patch-4 官方程序每次接受命令或启动时会监测程序安装路径下rfuslient.exe模块，并将其执行起来，如果该文件不存在，则弹出一个系统错误对话框，随后服务端直接退出。病毒对其相关路径参数进行patch（破解），导致该处校验流程失效。 被绕过的模块完整性校验提示窗口，正常流程下服务端执行到此处代码将提示错误直接退出。 官方版本完整代码： 破解修改后病毒版本代码： 下图为控制端界面，攻击者向攻击目标植入RemoteUtilities破解修改版本后可完全控制受控机器，可执行远程Shell、屏幕监控操作、语音监控操作、远程文件操作、RDP登录等等。 7、加壳的CobaltStrike Medusalocker勒索病毒团伙同时还使用了加壳的CobaltStrike窃密木马，该版本窃密木马运行后首先以挂起方式启动系统白进程mstsc.exe，随后将Beacon恶意payload注入到mstsc.exe进程内，进而实现系统进程内执行远程控制恶意功能。 其C2信息使用0x2E异或方式简单加密，解密后得到C2地址如下： oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space 解密后的CobaltStrike配置信息 8、勒索辅助工具包 在该地址内，也发现了Medusalocker勒索团伙以往常用的工具包。包括本地系统口令窃取工具、浏览器密码窃取工具、局域网端口扫描工具、网络共享资源扫描工具、PsExec命令执行工具、Ark内核对抗工具、两个bat脚本文件等，这些工具在后期渗透局域网其他主机过程中使用。 Bat脚本主要功能有以下部分： EnableLUA，避免系统提示以管理员权限执行等问题； 对系统内粘滞键、放大镜、系统帮助、Windows辅助工具管理器等程序进行映像劫持，侧面印证该团伙可能对系统内该系列工具位置进行后门劫持利用； 开启3389端口并允许远程控制，关闭RDP相关的远程登录安全策略项； 删除系统卷影，删除系统备份等。 9、Medusalocker勒索病毒 Medusalocker勒索病毒出现于2019年10月，2019年11月腾讯安全检测到该病毒开始在国内活跃，该病毒主要通过弱口令爆破方式进行传播，由于该勒索病毒加密使用RSA+AES的方式对文件进行加密，目前尚无有效的解密工具，被加密后的文件末尾组成部分如下。 使用硬编码RSA公钥加密后的AES文件密钥数据； 使用硬编码RSA公钥加密后的后缀信息数据； 被加密文件原始明文长度0x0000000000000018； 文件后缀明文长度0x00000014； AES密钥原始长度0x0000002C； 1、2部分密文长度0x00000200； 0x0000001标记。 具体分析可参考：《警惕Medusalocker勒索变种攻击企业，中毒被勒索1比特币》   本次发现的变种版本Medusalocker加密完成后添加.ReadInstructions扩展名后缀，留下名为Recovery_Instructions.html的勒索文件，攻击者使用的勒索邮箱为asaphelper@protonmail.com，asaphelper@firemail.cc 三、安全建议 腾讯安全专家建议企业用户参考以下操作，以提升系统安全性： 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 3、采用高强度的密码，避免使用弱口令。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据（数据库等数据）进行定期非本地备份。 6、建议终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统（御点、https://s.tencent.com/product/yd/index.html）。腾讯御点具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码； 2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。   IOCs MD5: 81f327ba23b03e261a0bcb3b4be3ffb4 860cdd118f68793a680ad4d22c43619a dbffcc741c54ae7632fb2807c888bdfe 40e85653abe687ddfd95b67a5f5dd452 bb62cb286e2386da92837a37d0ec3445 39c2a273de3f1eee2dd6e567a00f1137 URL: hxxp://45.141.84.182/Build.exe（魔改RemoteUtilities） hxxp://45.141.84.182/Build1.exe/ hxxp://45.141.84.182/beacon.exe（加壳的CobaltStrike） hxxp://45.141.84.182/64x.exe hxxp://45.141.84.182/run.exe hxxp://45.141.84.182/cb.exe hxxp://45.141.84.182/1.zip（勒索工具包） hxxp://45.141.84.182/AN_UPD.exe（Medusalocker勒索病毒） C2: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space IP: 45.141.84.182(ZoomEye搜索结果) 勒索邮箱： asaphelper@protonmail.com asaphelper@firemail.cc 勒索平台暗网地址： hxxp://gvlay6u4g53rxdi5.onion/18-oWREq832SIH6V6yoKU1Z3fMRYR5wmpR0-cvxencen8tpja5kxwsd12had3lurjur7    

瑞士公共电视台SRF发现，除了Crypto AG之外，还有第二家公司参与制造涉嫌被外国情报部门用于间谍活动的操纵设备。据SRF消息人士称，瑞士公司Omnisec AG与美国情报部门有联系。此前，SRF、德国ZDF电视台和《华盛顿邮报》在2月份披露，总部位于楚格的Crypto AG公司是由美国中央情报局（CIA）领导的大规模国际间谍行动的核心，其次是德国BND间谍机构。Omnisec是Crypto AG的最大竞争对手之一。 瑞士密码学家、教授Ueli Maurer曾为Omnisec担任顾问多年，他告诉SRF，1989年美国情报部门（国家安全局）通过他与Omnisec联系。值得关注的是OC-500系列设备。这些设备被卖给了几个瑞士联邦机构。然而，瑞士当局在2000年代中期才注意到这些设备不安全。 一些瑞士公司也收到了来自Omnisec的操纵设备，包括瑞士最大的银行UBS。目前还不清楚当局是否在2000年代中期就将这些薄弱设备告知了瑞银。瑞银集团告诉SRF，它不对安全问题发表评论，但当时没有迹象表明敏感数据被暴露。 Omnisec公司成立于1987年，生产语音、传真和数据加密设备。它在几年前解散了。该公司最近的负责人Clemens Kammer告诉SRF，Omnisec的客户“已经并将继续高度重视商业关系中的安全性、保密性、谨慎性和可靠性””。 一些政治家呼吁进一步调查这些最新的指控，这些指控可能会揭示联邦政府中可能有人知道Omnisec与外国情报部门的商业事务。 密码事件 本月早些时候，瑞士议会审计委员会（GPDel）进行了为期九个月的调查，发现瑞士情报部门早在1993年就知道美国中央情报局是瑞士Crypto AG的幕后黑手。报告称，瑞士情报部门后来与他们合作，从国外收集信息。 有100多个国家从这家总部设在楚格的公司购买了加密设备，该公司打着瑞士中立的幌子开展业务。实际上，该公司属于美国中央情报局和德国情报部门，他们可以自由读取其加密的内容。在Crypto公司设备的帮助下截获的信息改变了事件的进程，包括1979年的伊朗人质危机。       （稿源：cnBeta；封面来自网络）

据外媒报道，美国最高法院将在当地时间周一听取一起案件的辩论，可能会导致美国有争议的计算机黑客法的全面变化–并影响数百万人如何使用他们的计算机和访问在线服务。美国《计算机欺诈和滥用法》(Computer Fraud and Abuse Act，CFAA)于1986年签署成为联邦法律，但至今仍在规范什么构成黑客行为–或 “未经授权 “访问计算机或网络。 这部有争议的法律旨在起诉黑客，但被批评者称为技术法律书籍中 “最糟糕的法律”，他们说，它的过时和模糊的语言无法保护善意的黑客发现和披露安全漏洞。 本案的核心是佐治亚州的前警察警长Nathan Van Buren。Van Buren利用他对警用车牌数据库的访问权限，搜索一个熟人以换取现金。Van Buren被抓，并以两项罪名被起诉：因访问警方数据库而接受回扣，以及违反CFAA。第一项罪名被推翻，但违反CFAA的罪名被维持。 Van Buren可能是通过警察工作的方式被允许访问数据库，但他是否超越了他的访问权限仍然是关键的法律问题。 加州大学伯克利分校的法学教授Orin Kerr说，Van Buren对美国案是最高法院受理的 “理想案件”。他在4月份的一篇博客文章中认为，”这个问题的提出再干净不过了”。最高法院将试图通过决定法律上所说的 “未经授权 “的访问是什么意思，来澄清这几十年来的法律。但这本身就不是一个简单的答案。 斯坦福大学法学院监控和网络安全副主任Riana Pfefferkorn说：“最高法院在本案中的意见可能会决定数百万普通美国人是否每当他们从事计算机活动时就会犯下联邦罪行，这些活动虽然常见，但不符合在线服务或雇主的使用条款。”（Pfefferkorn的同事Jeff Fisher在最高法院代表Van Buren）。 目前尚不清楚最高法院将如何确定 “未经授权 “的含义。法院可能会将未经授权的访问定义在任何地方，从违反网站的服务条款到登录一个没有用户账户的系统。 Pfefferkorn说，对CFAA的广义解读可能会将任何行为定为犯罪，包括在约会资料上撒谎、分享流媒体服务的密码，或者违反雇主的政策将工作电脑用于个人用途。 但最高法院的最终裁决也可能对善意的黑客和安全研究人员产生广泛的影响，这些人有目的地破坏系统，以使其更加安全。几十年来，黑客和安全研究人员一直在法律的灰色地带活动，因为成文的法律会让他们的工作受到起诉，即使目标是改善网络安全。 科技公司多年来一直鼓励黑客私下联系安全漏洞。作为回报，公司会修复他们的系统，并向黑客支付工作报酬。Mozilla、Dropbox和特斯拉是少数几家承诺不根据CFAA起诉善意的黑客的公司之一。并非所有的公司都欢迎这种审查，并逆势而上，威胁要就他们的研究结果起诉研究人员，在某些情况下还积极发起法律行动，以防止出现不光彩的头条新闻。 安全研究人员对法律威胁并不陌生，但如果最高法院作出不利于Van Buren的裁决，可能会对他们的工作产生寒蝉效应，并将漏洞披露推向地下。 “如果违反计算机系统的使用政策会有潜在的刑事（和民事）后果，那将使这些系统的所有者有权禁止善意的安全研究，并使研究人员噤若寒蝉，不敢披露他们在这些系统中发现的任何漏洞。”Pfefferkorn说。“即使是无意中在一套漏洞赏金规则的界限之外着色，也会使研究人员面临责任。” “法院现在有机会解决法律范围上的歧义，并通过对CFAA的狭义解释，让安全研究人员更安全地开展他们急需的工作。”Pfefferkorn说。“我们不能承受吓跑那些想要改善网络安全的人。” 最高法院可能会在今年晚些时候或明年初对此案作出裁决。       （消息及封面来源：cnBeta）