美国网络安全和基础设施安全局（CISA）已官方发布声明，督促美国联邦机构在年底之前更新SolarWinds 版本。 CISA发布的《紧急指令21-01补充指南》表示，所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。 SolarWinds在12月15日发布了2020.2.1HF2版本，以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。 美国CERT协调中心详细介绍了Orion API中的身份验证绕过漏洞，跟踪该漏洞为CVE-2020-10148，这使得黑客可以在Orion安装上执行远程代码。 黑客利用此漏洞在与SolarWinds供应链黑客无关的攻击中安装了后门。 基于此，CISA敦促相关联邦政府机构将SolarWinds Orion更新至2020.2.1HF2版本，以修复包括CVE-2020-10148在内的漏洞。 受影响的版本列表如下： Orion Platform 2019.4 HF5 版本2019.4.5200.9083 Orion Platform 2020.2 RC1 版本2020.2.100.12219 Orion Platform 2020.2 RC2 版本2020.2.5200.12394 Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432             消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

芬兰国会议员表示：“芬兰议会技术监控部门发现，芬兰议会在2020年秋天遭受了网络攻击，此次攻击活动可能导致议员的电子邮件帐户遭到入侵。” 2020年秋天同一时刻，与俄罗斯有关的黑客访问了部分挪威议会代表的电子邮件数据。 芬兰中央刑警（KRP）正在议会的支持下调查安全漏洞。根据KRP专员Tero Muurman的说法，这次攻击互活动很可能是民族主义者开展的，目前未对议会的基础设施造成损害。“此次攻击活动影响广泛，但不幸的是，我们仍无法提供确切的数字。” 芬兰议会会长AnuVehviläinen表示，此次事件针对芬兰社会民主的恶意攻击活动。“我们不能接受任何形式的针对政府或非政府机构的网络攻击活动，” 她补充说，“为了加强网络安全，我们需要采取相关国家措施，配合欧盟和其他国际合作中的积极行动。”         消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

安全专家警告：黑客利用信用卡分离器可以收集Shopify、BigCommerce、Zencart和Woocommerce在线商店的付款信息，通过伪造付款表格，记录顾客进入实际结帐页面之前输入的信息。 在顾客提供了信用卡数据后，页面将引导顾客返回到实际付款页面，以避免引起怀疑。 该网络攻击活动之所以出色，是因为它针对不同平台，黑客可能已经破坏了被攻击商店的共享组件。 专家指出，这种多平台分离器使用的是编程生成的渗透域。第一个渗透域于2020年8月31日注册。 zg9tywlubmftzw5ldza.com; zg9tywlubmftzw5ldze.com; zg9tywlubmftzw5ldzu.com： zg9tywlubmftzw5ldzq.com; zg9tywlubmftzw5ldzm.com; zg9tywlubmftzw5ldzy.com; zg9tywlubmftzw5ldzi.com; zg9tywlubmftzw5ldzg.com …………………………………….. Sansec总结称：“此次攻击活动表明在线平台并非获利欺诈的边界，无论顾客是否输入付款详细信息，都存在一定的风险。”       消息及封面来源：Security Affairs，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞，在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示，用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞（CVE-2020-10148），该漏洞可能允许黑客执行未经身份验证的攻击API命令，从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示，黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止，我们仍不清楚相关漏洞的细节。 在过去的一周中，Microsoft透露黑客可能正在滥用SolarWinds的Orion软件，在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点，他们都将其描述为.NET Web Shell：一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件，但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出：“SUPERNOVA的新颖之处在于：在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果，并汇总全球入侵活动。 为了修复身份验证绕过漏洞，安全专家建议用户将SolarWinds Orion Platform更新至最新版本： 2019.4 HF 6（2020年12月14日发布） 2020.2.1 HF 2（2020年12月15日发布） 2019.2 SUPERNOVA补丁（2020年12月23日发布） 2018.4 SUPERNOVA补丁（2020年12月23日发布） 2018.2 SUPERNOVA补丁（2020年12月23日发布）       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

WeLeakInfo是一种现已失效的在线服务网站，曾出售其他网站被入侵数据的访问权。 英国国家犯罪局（NCA）表示，该网站的用户利用被盗个人凭据进一步实施了网络犯罪。 在被捕的21名男子（18至38岁之间）中，有9人因涉嫌违反《计算机滥用法》而被拘留，9人涉嫌欺诈罪，另外3人正在接受调查。NCA还从犯罪嫌疑人身上查获了价值41,000多英镑的比特币。 今年1月初，美国联邦调查局（FBI）、NCA、荷兰国家警察总队、德国Bundeskriminalamt和北爱尔兰警察局共同攻破了WeLeakInfo的域。 该网站的服务于2017年推出，为用户提供搜索引擎，用户可访问从10,000多个数据泄露事件中非法获取的个人信息，其中包含超过120亿索引的被盗凭证，涉及姓名、电子邮件地址、用户名、电话号码和账户密码等信息。   最重要的是，WeLeakInfo提供了订阅计划：允许在一天（2美元）、一周（7美元）、一个月（25美元）或三个月的订阅期间无限搜索和访问这些数据泄露的结果。 订阅费用使入门级黑客都可以访问该网站，以每天低至2美元的价格获取大量数据缓存，并利用这些信息发起网络攻击活动。 在该域名于1月被查封后，两名22岁男子因经营该网站而被捕，其中一人在荷兰、另一人在北爱尔兰。 NCA表示，一名犯罪嫌疑人还购买了其他网络犯罪工具，例如远程访问特洛伊木马（RAT）和加密程序，另外三名犯罪嫌疑人藏有不雅儿童照。 NCA的Paul Creffield表示：“人们在多个站点上设置的重复密码为黑客提供了便利。因此，密码设置非常重要。”       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

美国密歇根州东区检察官办公室详细介绍了一项名为“Operation Nova”的国际执法工作，该行动的目标是一项被指控支持犯罪分子的 “防弹”VPN服务。这项工作是由FBI、欧洲刑警组织和其他机构联合开展的，德国罗伊特林根警察总部负责协调这项行动。 在“Operation Nova”行动中，执法机构共同进行了取缔工作；它针对的是一个被指控为犯罪分子提供“防弹托管服务”的运营。行动中查封了三个域名，包括“insorg.org”、“safe-inet.com”和“safe-inet.net”。这些网站现在呈现的是被执法部门查封的通知。 除其他外，美国司法部将 “防弹托管服务 “描述为：“…可能包括忽略或编造借口，以回应客户的受害者提出的滥用投诉； 将客户账户或数据从一个IP地址，服务器或国家转移到另一个IP地址，以帮助他们逃避检测； 不保存日志（因此，没有任何日志可供执法部门审查）。通过提供这些服务，防弹主机明知故犯地支持客户的犯罪活动，成为犯罪计划的共犯。” 官员们在谈到“Operation Nova”行动时介绍说，据称在网络上发生的犯罪活动有接管账户、勒索软件、电子窃取数据泄露和鱼叉钓鱼等。据报道，支持是以英语和俄语两种语言“高价提供给黑社会犯罪组织”的。 国际执法机构关闭了与被查封域名有关的服务器，美国当局也关闭了与位于美国的服务器有关的服务器。     （消息及封面来源：cnBeta）

经过将近两个月的休整之后，Emotet僵尸网络复苏，并开展了每天数十万个网络攻击活动。 Emotet僵尸网络于2014年以银行木马的身份诞生，并发展成提供全方位服务的威胁传递机制。它可在受害者计算机上安装一系列包括信息窃取者、电子邮件收集器、自我传播机制等恶意软件。该僵尸网络最近一次出现是在10月份，目标群体是民主党全国委员会（DNC）志愿者。五个月的中断之后，它在7月重新活跃，并丢弃了Trickbot木马。2月份的一次竞选活动中，有人发现了来自受害者银行的短信。 Cofense研究人员布拉德·哈斯（Brad Haas）在星期二的博客中说：“Emotet僵尸网络后是恶意电子邮件活动最多的发件人之一，但通常一次休眠数周或数月。” “今年，这种中断从2月持续到7月中旬，这是Cofense在过去几年中看到的最长的中断。从那以后，他们观察到整个十月底的Emotet僵尸网络活动正常，直到今天都没有新的案例。” 研究人员说，僵尸网络在有效载荷方面也始终如一。在十月份，最常见的辅助负载是TrickBot、Qakbot和ZLoader，而今天我们观察到的是TrickBot。 TrickBot恶意软件是众所周知的复杂木马，于2016年作为银行恶意软件首次开发，与Emotet一样，它具有自我转换和添加新功能 以 逃避检测 或增强其感染能力的历史。感染了TrickBot木马的用户的设备将成为僵尸网络的一部分，黑客可使用该僵尸网络加载第二阶段的恶意软件，研究人员称其为“几乎所有其他恶意软件有效负载的理想丢弃程序”。TrickBot感染的典型后果是银行帐户被接管、高额电汇欺诈和勒索软件攻击。它最近实现了旨在检查目标系统的UEFI / BIOS固件的功能。微软和其他公司于10月对恶意软件的基础架构进行拆除之后，该恶意软件却严重复苏。 Proofpoint在Twitter上指出： “我们看到了相关英文、德文、西班牙文、意大利文并受密码保护的zip和URL的线程劫持的带有Word附件的诱饵。” Proofpoint威胁研究高级主管Sherrod DeGrippo说：“我们的团队仍在审核新样品，到目前为止，我们只发现了微小的变化。例如，Emotet二进制文件现在被用作DLL而不是.exe。当Emotet运行时，我们每天会观察到数十万封电子邮件。”她指出：“我们通常会看到Emotet在12月24日至1月初停止运营。如果他们继续这种模式，那么最近的活动对他们来说将是短暂而罕见的。” 研究人员同时指出，“黑客在不同的网络诱饵之间交替变化，以使社会工程学用户能够使用包括COVID-19主题的宏。尽管缺乏重大发展，该恶意软件的复兴仍应引起人们的注意。” 鉴于今年的严峻形势，安全人员建议相关组织和个人应提高警惕，并继续采取相关保护措施。         消息及封面来源：Threat Post；译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

援引外媒 ZDNet 今天早些时候报道，有攻击者利用 Citrix ADC 网络设备向 Steam、Xbox 等在线游戏服务发起拒绝服务攻击（DDoS）。首波攻击上周被德国 IT 系统管理员 Marco Hofmann 发现并记录在案。 图片来自于 WikiMedia 随后 Hofmann 追踪到了 Citrix ADC 设备上的 DTLS 接口。DTLS，即数据报传输层安全，是 TLS 协议的一个更多版本，实现在对流友好的 UDP 传输协议上，而不是更可靠的TCP。就像所有基于UDP的协议一样，DTLS是可欺骗的，可以作为DDoS放大载体。 这意味着，攻击者可以向具有DTLS功能的设备发送小的DTLS数据包，并将结果以一个大很多倍的数据包返回到一个被欺骗的IP地址（DDoS攻击受害者）。原数据包被放大多少倍，决定了具体协议的放大系数。对于过去基于 DTLS 的 DDoS 攻击，放大系数通常是原始数据包的 4-5 倍。 不过在本周一的报告中，在 Citrix ADC 设备上实现的 DTLS 似乎被放大了 35 倍，使其成为最有力的 DDoS 放大载体之一。在多家媒体报道之后，Citrix 也承认这个问题，并承诺会在圣诞节假期之后在明年 1 月中旬发布修复补丁。该公司表示，已经有证据表明有黑客利用该 DDoS 向全球少数客户发起攻击。 当攻击者滥用Citrix ADC设备时，他们可能最终会耗尽其上游带宽，造成额外的成本并阻止来自ADC的合法活动。 在Citrix准备好官方缓解措施之前，出现了两个临时的修复方法。第一种是在不使用Citrix ADC DTLS接口的情况下，禁用该接口。第二种是如果需要 DTLS 接口，建议强制设备验证传入的 DTLS 连接，尽管这可能会因此降低设备的性能。     （消息及封面来源：cnBeta）

据外媒体报道，近日，有黑客窃取了英国一家大型整容连锁店– Hospital Group的数据并威胁要公布患者手术前后的照片和其他细节。Hospital Group目前已经证实遭到了勒索软件的攻击。该公司表示，其已将此事告知信息专员(Information Commissioner)。 黑客组织REvil在其暗网网页上表示，顾客的照片并不完全是令人愉快的景象。它声称已经获得了超过900G的病人照片。 遭到网络攻击的Hospital Group–也被称为Transform Hospital Group–声称是英国减肥和美容手术的领先者。 据悉，它拥有11家专门从事减肥手术、隆胸、乳头矫正和鼻子调整的诊所。 该公司此前曾通过名人代言来宣传自己，不过已经有好几年没有这样做了。 前Big Brother选手Aisleyne Horgan-Wallace 2009年曾向Zoo杂志透露了她在Hospital Group做过丰胸手术。Atomic Kitten歌手Kerry Katona、《无耻之徒》女演员Tina Malone和真人秀《The Only Way is Essex》明星Joey Essex也都曾是该诊所的病人。 Hospital Group在一份声明中说道：“我们可以证实我们的IT系统已经遭遇了数据安全漏洞。虽然我们所有病人的支付卡信息都未被泄露，但在现阶段，我们了解到一些病人的个人数据可能已被访问。” 该公司表示，他们已经向所有客户发送了有关此次网络攻击的电子邮件并将联系可能有更多个人信息被泄露的个人。 勒索软件是最常见的网络攻击形式之一。它通常涉及黑客进入计算机网络、对文件进行加密或将用户锁定在系统之外直到被攻击一方支付赎金。 针对这种现象，执法机构不鼓励受害者支付赎金，因为这样做会助长犯罪团伙的犯罪火焰。 网络安全公司EMSIsoft估计，在2020年，这种迅速发展的网络犯罪形式为犯罪分子带来了250亿美元的收入。 REvil–也被称为Sodinokibi–是最多产的勒索软件组织之一。备受瞩目的受害者包括货币交易所Travelex和娱乐律师事务所Grubman Shire Meiselas & Sacks。       （消息来源：cnBeta；封面来自网络）

近日，有密码学专家提出了一个有关苹果 iPhone 智能机的一套理论。首先，即便有着定期推送的 iOS 补丁和增强保护措施，但执法机构仍可轻易闯入用户设备。其次，苹果公司日渐强大的加密技术，所能保护的数据量却少于以往。作为对 ACLU 诉请 FBI 揭示有关 iPhone 破解方式的回应，约翰·霍普金斯信息安全研究所助理教授 Matthew Green 于本周三通过 Twitter 发表了他的最新观点。 据悉，该理论基于 Matthew Green 带领的两名学生 Maximilian Zinkus 和 Tushar M. Jois 的相关研究。即执法机构无需攻破 iPhone 上最强大的加密算法，因为并非所有用户数据都受到这方面的保护。 Matthew Green 补充道，取证工具开发公司不再需要攻破苹果的安全加密区芯片（Secure Enclave Processor），毕竟这么做的难度非常高。 后来他和学生们想到了一个可行的方案，并且推测出了政府与执法机构是如何从锁定的 iPhone 中提取数据的。（详细的文章会在假日后公布） 据悉，iPhone 可处于首次解锁前的 BFU 模式、以及解锁后的 AFU 模式。最初打开设备电源并输入密码时，设备可进入 AFU 状态。 随着用户输入 Passcode，iPhone 也将同步导出保留在内存中、并用于加密文件的不同密钥集。当用户再次锁定其设备时，它也不会转入 BFU 模式、而是维持在 AFU 状态。 Matthew Green 指出，在用户再次解锁其设备前，只有一组加密密钥被从 iPhone 的内存中清除。 被清除的密钥集，正好属于解密特定保护级别的 iPhone 文件子集。而保留在内存中的其它密钥集，则可用于解密其它所有文件。 基于此，执法机构只需利用已知的软件漏洞来绕过 iOS 的锁屏保护措施，即可在后续解密大多数文件。加上以普通权限运行的代码，取证工具还可像合法应用程序那样访问数据。 尴尬的是，由苹果官方文档可知，最强的加密保护等级，似乎仅适用于邮件和应用启动数据。这样即便与 2012 年的同类情况进行比较，苹果在用户数据的安全保护上反而还倒退了。 最后，除了 iOS，Matthew Green 还指出了 Android 移动设备上存在的类似情况。这位密码学教授表示：“手机加密无法从根本上拦截别有用心的攻击者”。       （消息来源：cnBeta；封面来自网络）