据Cyber News披露，美国纽约警方为了监视社交媒体上的用户及内容，花费数百万美元与一家曾被指控不当抓取平台数据的监控公司签订了合同。 监控公司 Voyager Labs 的产品声称能使用人工智能分析网络用户的行为。该公司表示，通过对大型数字文件进行快速分析，可帮助执法部门检测和预测欺诈和犯罪。根据倡导隐私权的非营利组织 “监控技术监督项目”（STOP）获取到的文件，早在 2018 年，该公司就与纽约警察局签署了一份价值近 850 万美元的合同。 但随后，Voyager Labs 被科技巨头 Meta 起诉，称其涉嫌使用近4万个虚假 Facebook 帐户来收集大约 60万个用户的数据，换句话说，就是进行不当的数据抓取。 与此同时，另一份文件显示，纽约皇后区检察机构也与以色列公司 Cobwebs Technologies签署了一项协议，使该公司向警方提供社交网络地图产品。 虽然美国执法部门多年来一直与社交媒体分析公司合作，利用其中的信息辅助一些特定调查，但专家警告说，这种做法需要合法使用，特别是当警方试图通过获取私人信息，并跳过获取传票和搜查令等步骤来预测未来的犯罪行为时。 STOP 主管威尔·欧文 (Will Owen)说道：“与 Voyager Labs 和 Cobwebs Technologies 签订的合同都扩大了执法部门对社交媒体的监控和其他天罗地网般监控工具的使用，这些工具长期以来一直针对包括儿童在内的纽约黑人和拉丁裔。” 欧文认为，这是具有侵入性且非法的行为，宪法要求执法部门在对公众进行搜查之前必须获得搜查令，此举是对宪法的公然绕过。 目前尚不清楚纽约警方到底如何使用 Voyager 软件，但法律允许其警察使用虚假的社交媒体资料。STOP 的实习生莉兹·黄 (Liz Huang) 为此担忧地表示，用户在社交媒体接受的每一个朋友和关注请求，都可能面临着来自警察的监视和对隐私的侵犯。   转自freebuf，原文链接：https://www.freebuf.com/news/377785.html 封面来源于网络，如有侵权请联系删除

美国CISA、FBI和网络司令部发布的一份联合报告显示，国家支持的黑客组织利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus关键漏洞攻击了美国一家航空机构。此次网络攻击事件背后的黑客组织尚未被命名，虽然联合通报没有将攻击者与特定国家联系起来，但美国网络司令部的新闻稿暗示攻击与伊朗民族国家工作者有关。 根据发布的联合警报显示，国家高级威胁行为者利用CVE-2022-47966未经授权访问面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），建立持久性，并在网络中横向移动。 CVE-2022-47966指的是一个关键的远程代码执行缺陷，该缺陷使未经身份验证的攻击者能够完全接管易受影响的实例。在成功利用这一漏洞之后，黑客获得了对web服务器的根级别访问权限，并采取措施下载其他恶意软件、收集管理用户凭据，并在网络中横向移动。 这些发现是基于CISA于2023年2月至4月在一家未具名的航空部门机构进行的事件响应调查。有证据表明，恶意活动早在2023年1月18日就开始了。并且美国网络司令部暗示伊朗民族国家工作者参与了袭击。 正如这三个美国机构所警告的那样，这些威胁组织经常扫描面向互联网的设备上未修补的漏洞，以查找关键且易于利用的安全漏洞。 据称，该黑客组织还利用Fortinet FortiOS SSL-VPN中的严重漏洞CVE-2022-42475来访问防火墙。Fortinet还警告说，在攻击期间，额外的恶意有效负载被下载到受感染的设备上，这些有效负载无法检索进行分析。 Fortinet于2022年11月28日悄然修复了该漏洞，但没有发布该漏洞已被广泛利用的信息，随后，12月中旬，客户首次被敦促修补其设备以抵御持续的攻击。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/ZVLSpOEg4Un3DgPbu8snBw 封面来源于网络，如有侵权请联系删除

CISA、FBI和美国网络司令部(USCYBERCOM)于本周四（9月7日）发布的一份联合报告显示，国家支持的黑客组织利用针对Zoho和Fortinet关键漏洞攻击了美国一家航空组织。 此次攻击背后的威胁组织尚未公布，联合公告中也并未将攻击者与特定国家联系起来，但USCYBERCOM的新闻稿中将此次攻击活动和伊朗黑客联系了起来。 CISA方面声称，黑客组织至少从 1 月份开始就入侵了航空组织网络。他们此前入侵了一台运行 Zoho ManageEngine ServiceDesk Plus 和 Fortinet 防火墙的互联网外露服务器。 CISA、FBI和CNMF在公告中提到，有高级持续威胁（APT）行为者利用CVE-2022-47966漏洞非法访问了一个面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），并在其网络中建立了持久性。 该漏洞允许黑客在 ManageEngine 应用程序上远程执行代码。还有其他 APT 行为者利用 CVE-2022-42475 在组织的防火墙设备上建立存在。 正如这三个美国机构所警告的那样，这些威胁组织经常会搜索那些面向互联网却没有打补丁的设备。在渗入目标网络后，攻击者会在被黑的网络基础设施组件上保持持久性。这些网络设备很可能会被用作受害者网络内横向移动的基础或者恶意基础设施。 美国国家安全局建人们采取措施以确保基础设施的安全，这些措施包括但不限于保护所有系统免受所有已知漏洞的攻击、监控远程访问软件的未经授权使用，以及删除不必要（已禁用）的账户和组（尤其是特权账户）。 攻击和确保系统安全的警告 今年 1 月，CISA 下令联邦机构保护其系统免受 CVE-2022-47966 漏洞的攻击，几天后，网上发布了概念验证 (PoC) 漏洞利用代码，威胁方开始攻击未打补丁的 ManageEngine 实例，以打开反向外壳。 在 CISA 发出警告几个月后，朝鲜 Lazarus 黑客组织也开始利用 Zoho 漏洞，成功入侵了医疗机构和一家互联网骨干基础设施提供商。 联邦调查局和 CISA 就国家支持的组织利用 ManageEngine 漏洞攻击关键基础设施，包括金融服务和医疗保健发布了其他多条警报。 正如Fortinet在1月份披露的那样，CVE-2022-42475 FortiOS SSL-VPN漏洞在针对政府组织和相关目标的攻击中也被作为零日漏洞加以利用。 Fortinet 曾在去年11月28日修复了该漏洞，但并未公布该漏洞被利用的具体信息。不过Fortinet 自12 月中旬后已经开始敦促客户为其设备打上补丁，以确保设备安全。 转自Freebuf，原文链接:https://www.freebuf.com/news/377479.html 封面来源于网络，如有侵权请联系删除

MITRE公司和美国网络安全和基础设施安全局(CISA)近日发布了基于开源平台Caldera的OT网络攻击模拟平台——Caldera for OT，该平台可模拟针对运营技术(OT)的对抗性攻击。 Caldera for OT是美国国土安全系统工程与开发研究所(HSSEDI)与CISA合作的成果，旨在帮助提高关键基础设施的弹性。 Caldera网络安全平台基于MITRE ATT&CK框架，向工控系统安全团队提供自动化对手模拟、安全评估以及红、蓝、紫组队演习。 Caldera for OT还支持工厂和安全验收测试(FAT/SAT)，工业控制系统(ICS)维护者可从该开源平台中受益。 在开发Caldera for OT的过程中，CISA和HSSEDI合作在CISA的控制环境实验室资源(CELR)中模拟对手的攻击，并将发现的攻击技术整合到了新的扩展中。 MITRE表示，新的扩展旨在帮助识别和消除OT的薄弱环节，OT是关键基础设施（包括电力、交通和供水设施）的重要组成部分。 Caldera for OT现已可在GitHub上下载（https://github.com/mitre/caldera-ot） MITRE和CISA正在为该工具开发新的开源模块和功能，以涵盖新的攻击、环境和协议。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/NeRyHfnbsXRRMgBUC0Esxw 封面来源于网络，如有侵权请联系删除

因发生勒索软件事件，美国宾州钱伯斯堡学区宣布连续三天取消所有课程，直到周五才正常开放。 新学年刚开始不到一周，美国宾夕法尼亚州钱伯斯堡学区宣布发生“临时网络故障”，连续三天（8月28-30日）取消所有课程。 该学区发表在线声明，表示“正在与第三方司法鉴定专家密切合作，调查故障来源，确认故障对系统的影响，并尽快恢复系统的全部功能。” 网络安全专家Angel Kern表示，服务中断最可能的原因是勒索软件攻击。Kern在宾夕法尼亚州立大学和南卡罗来纳州低地技术学院教导网络安全。他虽然没有和钱伯斯堡学区的司法鉴定专家合作，却也很关注这一事件。 Kern说：“勒索软件特别恶劣。如果你无法访问系统，就无法教学。（勒索软件导致）你不能访问系统进行教学。所以，（学校关闭）并不令人意外。” 上周四，钱伯斯堡学区确认，技术故障与“勒索软件事件”有关。 学区还宣布，所有学校将于上周五（9月1日）按常规时间开放。学区将上周四的课程表整体向后推迟两小时，要求学生在上周剩余时间里，将平板电脑设备留在家中，禁止访客和志愿者进入学校建筑。学区表示，预期技术限制还将持续，学生将无法访问互联网。 学区工作人员在学区网站上发布消息，表示：“我们将继续调查，与我们的专业领域专家以及执法部门一起确定这一事件的全部性质和范围。” 勒索软件威胁态势严峻 根据威胁情报公司Recorded Future的数据，迄今为止，今年美国已有至少120个学区遭受了勒索软件攻击。许多学校在系统中存储敏感数据，包括学生社保号码和医疗记录。 Angel Kern表示：“防范勒索软件真的很困难。只要某一个员工点击电子邮件中的链接——特别是管理级别的员工——你就失去了对所有系统的控制。你要么得支付比特币，要么得从备份中恢复数据。只要黑客掌控了服务器，他们就一定能访问存储的数据。” 上周二晚上，忧心忡忡的家长在钱伯斯堡学区董事会会议上要求学区给出解释。在会议的公共评论环节，一名家长说：“我只是想知道，为什么学区不说出实际发生了什么。我有朋友在学区工作，他们说系统被黑了。” 根据钱伯斯堡学区有关计算机存储个人信息遭泄漏的官方政策，除非有“合理的原因”，学区不得“延迟”通知受影响的学生和家长。 虽然勒索软件攻击可能导致敏感信息泄露，但是家长不用过度恐慌。Angel Kern说：“现在遍地都是黑客和勒索软件攻击，你的数据可能早已经外泄了。” 考虑到这一点，Angel Kern建议所有人，无论是否受到影响，都定期检查银行和信用卡账户，并和美国三家主要信用报告机构联系，冻结自己的信贷数据。     转自安全内参，原文链接:https://www.secrss.com/articles/58481 封面来源于网络，如有侵权请联系删除

身份服务提供商Okta上周五（9月1日）警告称，有威胁行为者针对该公司进行了一次社会工程攻击获得了管理员权限。 该公司表示：最近几周，多家美国Okta客户报告了多个针对IT服务人员的社会工程攻击。这些威胁行为者会打电话给服务台人员，然后要求重置高权限用户注册的所有多因素身份验证（MFA）因子，从而开始滥用Okta超级管理员帐户的最高权限来冒充受感染组织内的用户。该公司表示，这些活动发生在2023年7月29日至8月19日之间。 虽然Okta没有透露威胁参与者的身份，但其使用的攻击战术符合名为“Muddled Libra”的活动集群的所有特征，据说它与“Scattered Spider”和“Scatter Swine”也有一定的关联。 这些攻击的核心是一个名为 0ktapus 的商业网络钓鱼工具包，它提供预制模板来创建更为逼真的虚假身份验证门户，并最终获取凭证和多因素身份验证（MFA）代码。它还通过Telegram整合了一个内置的命令与控制 (C2) 通道。 Palo Alto Networks 的第42部门曾在 2023 年 6 月告诉《The Hacker News》，有多个威胁行为体正在 “将其添加到自己的武器库中”，而且 “仅使用 0ktapus 钓鱼工具包并不一定能将威胁行为体归类为 “Muddled Libra”。 该公司还表示，它无法找到足够的关于目标定位、持续性或目的的数据，以确认该行为体与谷歌旗下的 Mandiant 追踪的一个未分类组织 UNC3944 之间的联系。据悉，该组织也采用类似的手法。 Trellix 研究员 Phelix Oluoch 在上个月发布的一份分析报告中指出：Scattered Spider 主要针对电信和业务流程外包（BPO）组织。然而，最近的活动表明这个组织已经开始瞄准其他行业，包括关键基础设施组织。 在最新的一组攻击中，威胁分子已经掌握了属于特权用户账户的密码，或者 “能够通过活动目录（AD）操纵委托身份验证流”，然后再致电目标公司的 IT 服务台，要求重置与账户相关的所有 MFA 因子。 超级管理员账户的访问权限随后被用来为其他账户分配更高的权限，重置现有管理员账户中的注册验证器，甚至在某些情况下从验证策略中移除第二要素要求。 Okta表示：据观察，威胁行为者已经配置了第二个身份提供程序，以作为’冒充的应用程序’，代表其他用户访问被入侵组织内的应用程序。”这第二个身份提供商也由攻击者控制，将在与目标的入站联盟关系（有时称为’Org2Org’）中充当’源’IdP”。 通过这个’源’IdP，威胁者操纵了第二个’源’身份提供商中目标用户的用户名参数，使其与被攻击的’目标’身份提供商中的真实用户相匹配。这就提供了以目标用户身份单点登录（SSO）目标身份提供商应用程序的能力。 该公司建议客户执行防网络钓鱼身份验证，加强服务台身份验证流程，启用新设备和可疑活动通知，并审查和限制超级管理员角色的使用，从而更好的应对此类攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/376952.html 封面来源于网络，如有侵权请联系删除

Security Week 网站披露，美国能源部近期即将举办一项网络安全竞赛，帮助小型电力公司获得资金和技术援助，以期改善其网络安全状况。 该项名为 “先进网络安全技术（ACT）1 “的竞赛是拜登政府”农村和市政公用事业网络安全（RMUC）计划 “的一部分。据悉，RMUC 计划在五年内拨款 2.5 亿美元，用于加强市政和小型投资者拥有的电力公用事业的网络安全。 ACT 1 比赛是一系列竞赛中的第一场，总预算为 896 万美元的现金和技术援助，比赛共分为三个阶段：承诺、规划和实施。 项目第一阶段的截止日期为 2023 年 11 月 29 日，能源部指出在承诺阶段获胜的公用事业公司将根据其承诺获得现金奖励和技术援助，以通过投资网络安全技术、员工培训和改进治理流程来改善其公用事业公司的网络安全态势。 规划阶段，公用事业部门将进行系统评估，确定培训领域，了解潜在风险和解决方案，并起草实施路线图。最后阶段，参赛者将努力实施路线图。 值得一提的是，第二和第三阶段，电力公司将根据其在相应阶段完成的工作获得现金奖励和技术援助。 美国政府逐渐加大对网络安全的资源投入 近些年，美国逐渐在加大对网络安全方面的资金投入。上个月，美国国土安全部（DHS）宣布鉴于最近几个月的勒索软件不断攻击州和地方政府，将向这些政府提供近 3.75 亿美元（约合人民币 27.1 亿元）的资金，以帮助这些机构增强网络安全防御能力。 不仅仅是资金投入方面，美国近些年也逐步加强在演练防御上的资金投入。例如，上个月美国网络司令部举行“网络旗帜23-2”演习，旨在增强网络部队的战备状态和作战能力，参演团队在活动中开展了“红蓝对抗”，其中红队尝试入侵网络，而蓝队则负责识别并阻止网络攻击活动。 美国通过加大对网络安全方面的资金投入和增加网路安全攻防演习的频次，增强美国地方政府和军队人员的整体网络战备状态和能力，逐渐加强美国政府网络安全防御以及进攻能力。     转自Freebuf，原文链接:https://www.freebuf.com/news/376822.html 封面来源于网络，如有侵权请联系删除

一些世界领先的天文台报告称，它们受到了网络攻击，导致观测工作暂时停止。美国国家科学基金会的国家光学-红外天文研究实验室（NOIRLab）报告说，8月1日发生的网络安全事件促使该实验室暂时停止了夏威夷双子座北望远镜和智利双子座南望远镜的运行。位于智利Cerro Tololo的其他小型望远镜也受到了影响。双子座北站位于夏威夷的茂纳凯亚岛上。双子座北站是国际双子座天文台的一部分，是美国国家科学基金会 NOIRLab 计划的一部分。(图片来源：国际双子座天文台/NOIRLab/NSF/AURA/P. Horálek (奥帕瓦物理研究所)) 8月24日，NOIRLab在其网站上发表的一份声明中写道：”我们的员工正在与网络安全专家合作，以尽快恢复所有受影响的望远镜和我们的网站。” 目前尚不清楚这些网络攻击的确切性质或来源。NOIRLab指出，由于调查仍在进行中，该组织将谨慎对待有关入侵的信息共享。 更新补充说：”我们计划在我们能够提供更多信息时，向社会提供更多信息，这与我们对透明度的承诺以及我们对基础设施安全的承诺是一致的。” 就在NOIRLab设施遭受网络攻击的前几天，美国国家反间谍与安全中心（NCSC）发布了一份公告，提醒美国太空公司和研究机构注意网络攻击和间谍活动的威胁。 公告称，外国间谍和黑客”认识到商业航天产业对美国经济和国家安全的重要性，包括关键基础设施对天基资产日益增长的依赖性”。”他们将美国与太空相关的创新和资产视为潜在威胁，同时也是获取重要技术和专业知识的宝贵机会。” 这已经不是天文观测台第一次成为网络攻击的目标了。2022年10月，黑客破坏了智利阿塔卡马大毫米波/亚毫米波阵列（ALMA）的运行，而美国国家航空航天局多年来一直是网络攻击的受害者。2021 年，该机构受到了全球 SolarWinds 入侵事件的影响，NASA 领导层称这次事件为网络安全敲响了”警钟”。     转自cnBeta，原文链接:https://www.toutiao.com/article/7273461428563247635/?log_from=67ce899b4d62c_1693548601554 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 国家安全保障会议(NSC)泄露了近1万名会员的电子邮件和密码，包括政府机关和大企业在内的2000多家企业被曝光。 美国国家安全委员会(NSC)是一家提供工作场所和驾驶安全培训的非营利组织。NSC的数字平台为不同企业、机构和教育机构的近55,000名成员提供在线资源。 然而，该组织网站在长达5个月的时间里都暴露在网络攻击的危险中。Cybernews研究小组发现，公开访问网络目录暴露了数千个凭据。 在泄露的一长串证书清单中，大约有2000家公司和政府机构的员工信息，包括: 化石燃料巨头:壳牌、英国石油、埃克森（Exxon,）、雪佛龙(Chevron) 电子制造商:西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD 航空公司:波音公司、美国联邦航空管理局(FAA) 制药公司:辉瑞、礼来 汽车制造商:福特、丰田、大众、通用、劳斯莱斯、特斯拉 政府机构:司法部(DoJ)、美国海军、联邦调查局、五角大楼、NASA、职业安全与健康管理局(OSHA) 互联网服务提供商:Verizon、Cingular、Vodafone、 ATT、Sprint、 Comcast 其他:亚马逊、Home Depot、Honeywell、可口可乐、UPS 这些公司可能在该平台上拥有账户，以获取培训材料或参加国家安全委员会组织的活动。 该漏洞不仅对NSC系统构成了风险，而且对使用NSC服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击，这种攻击试图登录公司的互联网连接工具，如VPN门户、人力资源管理平台或公司电子邮件。 此外，凭据可能被用来获得进入公司网络的初始访问权限，以部署勒索软件、窃取或破坏内部文件或访问用户数据。Cybernews联系了NSC，并迅速解决了这个问题。 曝光的网页文件夹|来源:Cybernews 对网络目录的公共访问 该漏洞于3月7日被发现。Cybernews研究小组发现了NSC网站的子域名，该域名可能用于开发目的。它向公众公开了其网络目录列表，使攻击者能够访问对网络服务器运行至关重要的大多数文件。在可访问的文件中，研究人员还发现了存储用户电子邮件和散列密码的数据库备份。这些数据被公开访问了5个月，因为IoT搜索引擎在2023年1月31日首次对泄漏进行了索引。 总的来说，备份存储了大约9500个唯一帐户及其凭证，涉及到各个行业的近2000个不同的公司电子邮件域。 泄露的包含用户凭证的表|来源:Cybernews 一个对公众开放的开发环境显示出其开发实践有多糟糕。这样的环境应该与生产环境的域分开托管，并且必须避免托管实际的用户数据，更不应该是公开访问的。 用户表架构|来源:Cybernews 由于大量电子邮件被泄露，平台用户遇到垃圾邮件和网络钓鱼邮件的情况可能会激增。建议用户从外部验证电子邮件中包含的信息，并谨慎点击链接或打开附件。 可破译的密码 被暴露的密码使用SHA-512算法进行杂凑—该算法被认为对密码散列是安全的，另外还使用了一种额外的安全措施—salts。但是，salts与密码散列存储在一起，并且仅使用base64进行编码。这使得潜在的攻击者很容易检索到salts的明文版本，从而简化了密码破解过程。 破解数据库中发现的单个密码可能需要长达6小时的时间，这取决于密码的强度以及攻击者使用的先前泄露的密码或单词组合列表状况。 这并不意味着泄露的数据库中的每个密码都可以被破解，然而其中很大一部分可以被黑客获取。研究表明，80%的成功破解此类密码的概率是相对常见的。 出于这个原因，我们建议拥有NSC帐户的用户在nsc.org网站和使用相同密码的任何其他帐户上更改其密码。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Qakbot是迄今为止规模最大、运行时间最长的僵尸网络之一。8月29日，FBI牵头的一次名为“猎鸭行动”的大规模跨国执法行动成功捣毁了Qakbot的基础设施网络，但也有业界人士担忧FBI的做法带来了“窃听风险”。 最大规模的僵尸网络清除行动 Qakbot僵尸网络是网络犯罪分子中非常流行的网络犯罪工具，用于实施勒索软件、金融欺诈和其他活动。多年来，Qakbot一直充当各种勒索软件团伙及其附属组织的初始感染载体，包括Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex以及最近的BlackBasta。 Qakbot主要通过包含恶意附件或链接的钓鱼邮件感染受害者计算机。用户下载或单击钓鱼邮件发送的恶意附件或链接后，其计算机将被恶意软件控制成为Qakbot僵尸网络的一部分，Qakbot僵尸网络会向他们的计算机投送其他恶意软件（包括勒索软件）。多年以来，大多数Qakbot受害者都不知道自己的计算机已被Qakbot感染。 据路透社报道，受访安全研究人员表示Qakbot源自俄罗斯，并攻击过从德国到阿根廷等世界各地的组织。自2008年问世以来，Qakbot恶意软件已被大量用于勒索软件攻击和其他网络犯罪，给全球各地的个人、企业、医疗提供商和政府机构造成了数亿美元的损失。 据保守估计，Qakbot僵尸网络（也称为Qbot和Pinkslipbot）与全球至少40起针对公司、医疗提供商和政府机构的勒索软件攻击联系起来，造成了数亿美元的损失。 根据FBI和美国司法部的联合公告，“猎鸭”行动在美国、法国、德国、荷兰、罗马尼亚、拉脱维亚和英国同步进行，是美国主导的对僵尸网络基础设施的史上最大规模的执法行动之一。 “猎鸭行动”扣押了Qakbot网络犯罪组织价值近900万美元的加密货币。根据FBI发布的证据，仅在2021年10月至2023年4月期间，Qakbot管理员就收取了受害者支付的约5800万美元赎金。 虽然大型僵尸网络遭受执法机构的沉重打击后经常“复活”（例如EMonet），但FBI局长克里斯托弗·雷(ChristopherWray)言之凿凿地表示：“FBI消灭了这个影响深远的犯罪供应链，已将其彻底斩断。” 70万台僵尸网络计算机的流量被导向FBI控制的服务器 在启动全球执法行动之前，FBI设法渗透了Qakbot僵尸网络基础设施的一部分（其中包括Qakbort管理员使用的一台计算机），并获得了对Qakbot基础设施的访问权限，发现Qakbot在全球范围已经感染了超过70万台受感染的计算机，其中超过20万台位于美国（50万台分布在全球各地）。 在Qakbot管理员使用的一台（感染Qakbot的）计算机上，FBI找到了许多与Qakbot僵尸网络操作相关的文件，包括Qakbot管理员和同谋之间的聊天内容，以及虚拟货币钱包的信息。 为了彻底捣毁Qakbot的大规模僵尸网络，FBI将Qakbot流量重定向到FBI控制的服务器，并获取了在全球受感染设备上部署卸载程序所需的访问权限。FBI报告称其服务器指示受感染的计算机下载卸载程序文件，进而删除Qakbot恶意软件，并可阻止设备安装任何其他恶意软件。FBI声称此举是为了彻底清除感染并防止部署其他恶意负载。 虽然FBI声称在部署Qakbot卸载工具时通过从受害者计算机收集的IP地址和路由信息通知了受害者，但没有用户在卸载程序从系统中删除恶意软件时收到通知。用户也可以通过在HaveIBeenPwned或荷兰国家警察网站（https://politie.nl/checkyourhack）上提交电子邮件地址来检查是否受到感染。 FBI承诺，自己在主动从受感染的私人系统中删除恶意软件的过程中不会查看或收集任何个人信息。 美国司法部也在本周二的新闻稿中再次强调：“此次执法行动的范围仅限于Qakbot在受害者计算机上安装的信息。它（该行动）没有扩展到修复已安装在受害者计算机上的其他恶意软件，也没有涉及访问或修改受感染计算机所有者和用户的信息。”     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/AOm2zUCecPK_hWhpwNSZjw 封面来源于网络，如有侵权请联系删除