Turla被Accenture Cyber Threat Intelligence认定为Belugasturgeon，该组织使用自定义恶意软件（包括更新的旧版工具）瞄准政府组织，这些恶意软件旨在通过重叠的后门访问来保持持久性，同时跳过受害者的防御。HyperStack后门程序就是这样一种工具，它已经完成了重大更新，这些更新似乎受到了Carbon后门程序和RPC后门程序的启发。 Turla开展间谍活动已有十多年了。该组织主要针对外国政府和大使馆，使用先进定制工具，进行长期隐藏。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1385/       消息来源：accenture ，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，当佛罗里达州州长Ron DeSantis在周一前去投票时一名投票工作人员告诉他，他的地址跟指定的投票地点不符。他的地址在他不知情的情况下被更改了，州长立即联系了警方调查发生了什么。 根据警方的记录，调查将警方引向了20岁的Anthony Steven Guevara的家。 Guevara告诉警方，他可以用公开信息改变地址如州长的姓、名和他的生日。 距离美国选举日还只有不到一周的时间，网络安全官员们都在警惕试图影响投票的黑客，无论是通过对竞选活动展开的直接攻击还是通过社交媒体上进行的虚假信息活动。 虽然黑客不太可能改变选票计数，但他们仍能攻击选举基础设施如选民登记数据库。FBI警告称，伊朗黑客正在利用选举记录对佛罗里达州的选民进行攻击和恐吓。2016年美国总统大选期间，该州也受了网络攻击，当时俄罗斯黑客访问了选民数据库。 但DeSantis的地址变更并不是由复杂的网络攻击造成，对此，佛罗里达州务卿Laurel Lee称其选举系统是安全的。 科利尔县警长办公室表示，他们是在要求对DeSantis的选民登记记录进行时间戳更改后才找到Guevara的。警方表示，他们收到了一个跟这起变更有关的Comcast IP地址并向该互联网供应商发出了传票以此提供该地址。 调查人员在查看了Guevara的电脑后发现他登录了佛罗里达州务院的网站并在维基百科上查找了DeSantis的名字。法庭记录没有显示Guevara是如何改变DeSantis的地址的完整细节，该州的选举官员也没有回答这是如何发生的或安全问题是否已经得到解决。 佛罗里达州执法部门表示，Guevara还访问了迈克尔·乔丹和勒布朗·詹姆斯等名人的选民登记，但没有改变他们记录的任何细节。 根据警方的记录，Guevara被控未经同意更改选民登记并需缴5000美元的保释金。     （消息及封面来源：cnbeta）

微软表示，由伊朗政府支持的黑客针对两个国际安全和政策会议的100多名高调的潜在与会者发动攻击。这个名为Phosphorus（或APT35）的组织发送了伪装成慕尼黑安全会议（国家元首出席的主要全球安全和政策会议之一）和定于本月晚些时候在沙特阿拉伯举行的Think 20峰会组织者的伪装邮件。 微软表示，这些伪造的电子邮件是发给前政府官员、学者和政策制定者，目的是窃取密码和其他敏感数据。 当被问及这次行动的目标是什么时，微软没有发表评论，但该公司的客户安全和信任主管汤姆-伯特表示，这些攻击是为了 “情报收集目的”。攻击成功地损害了几名受害者，包括前大使和其他高级政策专家，他们帮助制定各自国家的全球议程和外交政策。微软表示，已经与会议组织者合作，并将继续警告他们的与会者，微软正在披露我们所看到的情况，以便每个人都能对这种攻击方法保持警惕。 微软表示，攻击者会给目标写一封用完美英语书写的邮件，邀请目标参加会议。在目标接受邀请后，攻击者会试图欺骗受害者在一个虚假的登录页面上输入他们的电子邮件密码。随后，攻击者再登录邮箱，窃取受害者的电子邮件和联系人。该组织之前的黑客活动也曾试图窃取高知名度受害者的密码。由于伊朗驻纽约领事馆网站瘫痪，无法联系到伊朗领事馆发表评论。 众所周知，Phosphorus（或APT35）的目标是高调的个人，比如政治家和总统候选人。但微软表示，这次最新的攻击与即将举行的美国总统选举无关。去年，微软表示已经通知了超过1万名国家支持的黑客攻击的受害者，这些黑客包括包括Phosphorus和另一个伊朗支持的组织Holmium，也就是APT 33。3月，这家科技巨头获得了一项法院命令，要求控制Phosphorus使用的域名，这些域名被用来使用虚假的谷歌和雅虎登录页面窃取凭证。     （消息来源：cnbeta；封面来自网络）

据外媒TechCrunch报道，美国总统特朗普的竞选网站周二下午部分遭到黑客攻击，因为未知的对手接管了 “关于”页面，并将其替换为似乎是一个收集加密货币的骗局。尽管黑客声称，没有迹象表明实现了“对特朗普和其亲属的完全访问”，或者 “大多数内部和秘密对话严格保密的信息 ”被曝光。 这次黑客攻击似乎发生在太平洋时间10月27日下午4点之后不久。黑客很可能获得了对donaldjtrump.com网站服务器后台的访问权限，并将 “关于 “页面换成了一段长长的经过混淆的javascript，产生了一个模仿FBI “这个网站已经被查封”的信息。 “世界已经受够了总统唐纳德·特朗普每天传播的假新闻，”新网站写道。“是时候让世界知道真相了。” 黑客声称自己掌握了“新冠病毒起源”的内部信息以及其他诋毁特朗普的信息，他们提供了两个Monero地址。Monero是一种容易发送但相当难以追踪的加密货币。一个地址是给那些希望“严格保密信息 ”被公布的人的，另一个地址是给那些希望保密的人的。在一个未指定的截止日期后，加密货币的总数将被比较，较高的总数将决定如何处理这些数据。该页面用PGP公钥签署，对应一个不存在的域名（planet.gov）的电子邮件地址。 在黑客攻击发生后几分钟内，网站就恢复了原来的内容。没有证据表明捐赠者信息等任何敏感数据被访问，但在网站管理员彻底调查该事件之前，这是一个可能性。让人们不可逆地将加密货币发送到一个神秘的地址是网上常见的诈骗形式，通常依靠在名人Twitter账号等高知名度平台上短暂出现,这次也不例外。 没有任何迹象表明这次攻击是以任何方式由国家支持的。竞选和其他与选举相关的网站是黑客的高价值目标，它们并不像whitehouse.gov这样的官方网站那样安全。虽然用词似乎不是以英语为母语的人，但没有其他正面证据表明黑客来自外国。 这不是特朗普最近第一次被黑客攻击。一个猜到密码（”Maga2020！”）的安全研究人员称曾短暂接管特朗普的Twitter账号。特朗普最近表示，“没有人被黑客攻击。黑客入侵需要一个智商197的人，而他需要你密码的15%。”     （消息来源：cnbeta；封面来自网络）

最近几周，攻击者利用Purple Fox攻击Internet Explorer的次数激增。 我们的调查显示，Purple Fox利用了两个最新的CVEs—CVE-2020-1054和CVE-2019-0808。 此外，我们还注意到他们的攻击流发生了变化，这使得他们能够更好地规避防火墙保护和一些检测工具，通过采用代码虚拟化技术隐藏恶意代码。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1376/       消息与封面来源：SentinelLABS  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

一个黑客团体声称已攻击50,000多个家用摄像设备，部分录像已在成人网站上发布，并声称支付150美元就可享受终身观看服务。 The New Paper报道：“已有70多名成员支付订阅费。部分被上传的录像显示来自新加坡。该小组可在社交平台Discord上找到，目前它拥有近千名成员。” 经判断：大部分录像都来自新加坡，其他则来自泰国、韩国和加拿大。黑客提供了一个700兆的包含4,000多个录像和图片的数据包，还为客户提供被攻击摄像设备的访问权限。然而在大多数情况下，部署物联网设备（包括IP摄像设备）时都没有采取适当的安全措施。在发布这篇文章时，我们仍不清楚黑客如何破坏IP摄像设备，他可能利用了设备的漏洞或者猜测其保护密码。 2017年，Persirai  IoT僵尸网络劫持了数千台型号的IP摄像设备；2017年6月，F-Secure的安全专家发现了中国制造商Foscam的互联网摄像设备中的数十个漏洞。在过往的案例中，黑客都是利用漏洞攻击联网的摄像设备，通过内置FTP服务器查看视频源并上载和下载文件。 ESET安全专家Jake Moore表示：“这些事件警示我们，在使用联网摄像设备时，必须采取一定的安全保护措施。设置好安全保护设备后，便无需担心隐私泄露问题。” 专家建议：为了避免隐私泄露问题，请确保所有IoT设备都更新至最新版本并应用所有安全补丁；设置安全系数高的密码，使用多重身份验证以保障帐户安全；购买联网摄像设备时，选择信誉较好的、具有相关安全保护设备的供应商。         消息来源：securityaffairs，封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

一个以恶意软件活动而闻名的资金驱动型攻击组织FIN11，已经研究出了专注于勒索软件和勒索的策略。 据FireEye的Mandiant威胁情报团队称，该组织至少自2016年以来就参与了一系列网络犯罪活动，其中包括利用组织网络获取资金，此外还针对金融、零售、餐厅以及制药行业的销售点（POS）部署了恶意软件。 Mandiant说：“最近最常见的FIN11攻击通过分发CLOP勒索软件导致数据被盗、勒索和破坏受害者网络。” 尽管FIN11在过去的活动与诸如FaultedAmyy、FRIENDSPEAK和MIXLABEL等恶意软件有关，但Mandiant指出，TTP与另一个威胁组织TA505有着显著重叠。TA505是Dridex银行木马和Locky勒索软件的幕后黑手，它们通过Necurs僵尸网络进行恶意垃圾邮件攻击。 今年3月早些时候，微软策划了摧毁Necurs僵尸网络的行动，试图阻止攻击者的进一步活动。 大量恶意垃圾邮件活动 除了利用大量恶意电子邮件分发机制外，FIN11还将其目标扩展到本地语言诱饵，再加上伪造的电子邮件发送者信息，如伪造的电子邮件显示名称和电子邮件发送者地址，以使消息看起来更合法。在2020年，他们更倾向于攻击德国的组织。 例如，该组织在2020年1月发起了一场电子邮件活动，邮件主题包括“research report N-[five-digit number]”和“laboratory accident”，随后，他们在3月发起了第二波攻击，主题为“[pharmaceutical company name] 2020 YTD billing spreadsheet.”。 Mandiant威胁情报公司高级技术分析师Andy Moore通过电子邮件向The Hacker News表明：FIN11的高容量电子邮件分发活动在不断演变。 “有大量公开报告表明，2018年的某个时期，FIN11严重依赖Necurs僵尸网络进行恶意软件分发。值得注意的是，观察到的Necurs僵尸网络停机时间与FIN11的活动停滞直接对应。” 事实上，根据Mandiant的研究，从2020年3月中旬到2020年5月下旬，FIN11的活动似乎已经完全停止，但是在6月再次通过包含恶意HTML附件的钓鱼电子邮件来发送恶意Microsoft Office文件。 Office文件则利用宏来获取MINEDOOR dropper和FRIENDSPEAK downloader，然后将MIXLABEL后门发送到受感染的设备上。 向混合勒索转变 然而，近几个月来，FIN11的货币化努力导致一些组织感染了CLOP勒索软件，此外他们还采取了混合勒索攻击——将勒索软件与数据盗窃相结合，以迫使企业支付从几十万美元到百万美元不等的勒索账单。 Moore说：“FIN11通过勒索软件和勒索手段将入侵行为货币化，这在有经济动机的攻击者中呈现出更广泛的趋势。” “历史上比较常见的货币化策略，例如部署销售点恶意软件，限制了攻击者以某些行业的受害者为目标，而勒索软件的分发可以让攻击者入侵几乎任何组织的网络，然后从中获利。” “这种灵活性，再加上越来越多关于赎金不断膨胀的报道，极大地吸引了有经济动机的攻击者”他补充道。 更重要的是，据称FIN11使用了从地下论坛购买的各种工具（例如FORKBEARD, SPOONBEARD和MINEDOOR），因此很难进行归因。 攻击者可能是CIS出身 至于FIN11的根源，Mandiant表示，由于存在俄语文件元数据，避免在CIS国家部署CLOP，因此该组织在CIS国家之外开展业务。而且，1月1日至8日，俄罗斯新年和东正教圣诞节期间的活动急剧减少。 Moore说：“除非对他们的运营造成某种干扰，否则FIN11极有可能继续部署勒索软件，窃取数据用于勒索。” “由于该组织定期更新其TTP，以逃避检测并提高其活动的有效性，这些渐进性的变化也可能继续下去。然而，尽管最近的活动中，FIN11始终依赖于嵌入的Office文档的恶意更改”。 “我们可以通过培训用户识别网络钓鱼电子邮件、禁用Office宏以及为FRIENDSPEAK downloader执行检测，将被FIN11危害的风险降至最低。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Joker是最著名的恶意软件家族之一，它不断地攻击Android设备。尽管人们意识到了这种特殊的恶意软件，但它通过改变代码、执行方法或有效载荷检索技术，不断地进入谷歌的官方应用程序市场。这个间谍软件的目的是窃取短信、联系人名单和设备信息，同时悄悄地为受害者注册高级无线应用协议（WAP）服务。 我们的Zscaler ThreatLabZ研究团队一直在不断监视Joker恶意软件。最近，我们看到它定期上传到Google Play商店。一旦接到我们的通知，谷歌安卓安全团队立即采取行动，从谷歌Play商店删除可疑应用（如下所列）。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1352/     消息与封面来源：zscaler  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

9月24日，在与《The Hacker News》共享的一份报告中，Check Point研究人员披露了有关 Instagram Android应用程序中一个关键漏洞的详细信息，该漏洞可能允许远程攻击者仅向受害者发送特制图像即可控制目标设备。 更令人担忧的是，该漏洞不仅使攻击者可以在Instagram应用程序中代表用户执行操作（包括监视受害者的私人消息，甚至从其帐户中删除或发布照片），而且还可以在设备上执行任意代码。 根据Facebook发布的一份咨询报告，堆溢出安全问题（CVE-2020-1895，CVSS评分：7.8）影响到了Instagram应用程序128.0.0.26.128之前的所有版本。 Check Point Research在9月24日发表的一份分析报告中说：“这一缺陷使该设备成为了一种工具，攻击者可以在他们不知道的情况下监视目标用户，并可以恶意操纵其Instagram个人资料。” “无论哪种情况，攻击都可能导致对用户隐私的大规模入侵，并可能影响声誉——或者导致更严重的安全风险。 在将调查结果报告给Facebook之后，这家社交媒体公司通过六个月前发布的补丁程序更新解决了该问题。公开披露一直被推迟，以允许大多数Instagram用户更新应用程序，从而减轻此漏洞可能带来的风险。 尽管Facebook证实，没有迹象表明这一漏洞在全球范围内被利用。但这再次提醒人们，让应用程序保持更新并注意授予他们的权限至关重要。 堆溢出漏洞 根据Check Point的说法，内存损坏漏洞允许远程代码执行，鉴于Instagram具有访问用户相机、联系人、GPS、照片库和麦克风的广泛权限，这些代码可能被用来在受感染的设备上执行任何恶意操作。 至于缺陷本身，它源于Instagram集成MozJPEG的方式，MozJPEG是一种开源JPEG编码器库，旨在降低带宽，并为上传到服务的图像提供更好的压缩。当有问题的易受攻击的函数（“read_jpg_copy_loop”）试图使用特制的恶意图像解析恶意图像时，会导致整数溢出尺寸。 这样，攻击者可以获得对分配给图像的内存大小，要覆盖的数据长度以及最后的溢出内存区域内容的控制权，从而使攻击者能够破坏堆中的特定位置并转移代码执行。 攻击者只需通过电子邮件或WhatsApp将损坏的JPEG图像发送给受害者。一旦收件人将图像保存到设备并启动Instagram，攻击就会自动发生，从而授予攻击者对应用程序的完全控制权。 更糟糕的是，除非将其删除并重新安装在设备上，否则该漏洞可用于使用户的Instagram应用程序崩溃并使其无法访问。 Check Point的Gal Elbaz说：“对公开的代码进行模糊处理后发现了一些新漏洞，这些漏洞已得到修复。” “如果付出足够的努力，这些漏洞中的一个很可能在零点击攻击场景中被用于RCE。 “不幸的是，将来还可能会存在或将引入其他错误。因此，有必要在操作系统库和第三方库中对此和类似的媒体格式解析代码进行连续的模糊测试。 ” Check Point网络研究负责人Yaniv Balmas为智能手机用户提供了以下安全提示： 更新。确保定期更新您的移动应用程序和移动操作系统。每周都有几十个重要的安全补丁在这些更新中发布，每一个都可能对你的隐私造成严重影响。 监视权限。 更好地关注请求许可的应用程序。对于应用程序开发人员而言，向用户请求过多的权限是毫不费力的，而且用户单击“允许”也很容易，无需三思而后行。 三思而后行。 批准任何内容之前，请花几秒钟的时间思考。问：“我是否真的想为此应用程序提供这种访问权限，我真的需要吗？” 如果答案是否定的，就不批准。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

因可分享小段文字，Pastebin 受到了很多用户的青睐。今天该网站新增了名为“阅后即焚”、“密码保护粘贴”两项新功能，允许用户创建单次阅读就过期的文本文段，以及受密码保护的粘贴。不过网络安全研究人员认为这两项新功能将被恶意软件攻击者广泛而疯狂地滥用。 虽然这两项功能都不是什么新的概念，毕竟它们已经在很多粘贴网站上存在了很多年。不过，这两项功能对于 Pastebin 来说是新的，它是目前最受欢迎的粘贴门户网站，被列入Alexa互联网上最受欢迎的 2000 个网站中。 而热门的背后也吸引了很多糟糕的内容。虽然有些人用它来托管代码或文本片段，以便于和同事分享；不过在过去十年时间里，Pastebin 逐渐变成了托管恶意代码的网站。多年来，恶意软件作者利用 Pastebin 来存储他们检索并在受感染主机上运行的恶意命令、黑客数据、恶意软件命令和控制服务器的IP地址以及许多其他操作细节。 在接受 ZDNet 采访的时候，事件响应(IR)顾问 Ted Samuels 表示：“Pastebin 是迄今为止使用最广泛的粘贴网站，也是使用 PowerShell 进行无文件攻击的相当流行的集散地。例如，威胁行为者的初始有效载荷可能会使用 PowerShell 从 pastebin.com下载额外的（通常是混淆的）内容，以便通过 PowerShell 进一步执行。CobaltStrike 框架可以通过这种方式加载。” 为了应对 Pastebin 在恶意软件设计者中的日益流行，这些年来，网络安全公司已经创建了一些工具，这些工具可以刮取新的 Pastebin 条目，以搜索恶意或看起来敏感的内容。 不过安全研究人员认为，Pastebin 今天增加这两项新功能，是在阻挠他们检测恶意软件操作的善意努力，而且更多的是在迎合恶意软件人群，而不是实际用户和好人。 来自匹兹堡的安全研究人员 Brian 告诉 ZDNet：“除非它们采取了一些隐藏措施来阻止阅后即焚和密码保护进行 C2 和恶意软件的暂存，否则对于使用 PasteBin 来达到这些目的的攻击者来说，这些似乎是相当有用的新功能。这个新变化现在将使事件响应者更难快速评估在某些环境中可能已经下载并执行的内容”。 目前还不清楚 Pastebin 对网络安全社区对其最新功能的最新反应有何看法，但该公司在一封电子邮件中表示，应用户的要求，它增加了 “阅后即焚 “和 “密码保护的粘贴”。 该公司表示：“Pastebin为我们的用户存储了重要的数据，从计算和工程数据开始，如算法，来自各种服务、机器人、网络设备的日志，最后是专有软件代码。我们收到了许多用户的请求，因为他们的隐私权，帮助我们的用户保护他们的工作，实现这些功能。Pastebin是由开发者为开发者创建的，全球有数百万人在使用。当然，每个平台都有不良分子试图利用，包括 Github、Twitter、Facebook、Dropbox、Privnotes与Sendspace等等。”     （稿源：cnBeta，封面源自网络。）