今天的网络犯罪分子使用一系列的方法来破坏系统，但最久经考验的方法仍然是最受欢迎的：窃取别人的密码。根据一份新的报告，每秒钟有近1000次基于密码的攻击，与去年相比增加了74%。这些数据来自微软的《2022年数字防御报告》，该报告分析了来自微软全球产品和服务生态系统的数万亿信号，以揭示全球网络威胁的规模。 黑客事件的数量从今年年初至今大幅增加，这主要是由于俄罗斯在2月份入侵乌克兰，以及由此引发的国家间的网络战争。但黑客仍然喜欢基于密码的攻击；微软估计，每分钟有921起这样的攻击发生。 暴力穷举仍然是未经授权访问密码系统的一种常见方法。NVIDIA的RTX 4090显卡的强大计算能力使得这类攻击更加有效（在特定情况下）。研究人员最近展示了Lovelace旗舰显卡产品如何在短短48分钟内循环完成一个八字密码的所有2000亿次尝试。 由于许多人在多个网站和服务中循环使用账户凭证，大规模数据泄露后在线泄露的密码是黑客的主要收获地。2012年发生的大规模LinkedIn漏洞被认为使黑客能够在2016年进入马克·扎克伯格的Twitter和Pinterest账户。 目标窃取密码的钓鱼式攻击仍然很猖獗。最近，犯罪分子一直试图利用Twitter的验证改革，通过钓鱼方式获取已验证账户的密码，甚至Steam用户也成为了目标。这种增长的部分原因是微软在Windows11 22H2更新中加入了增强的网络钓鱼保护。 微软写道，90%的黑客账户没有受到”强认证”的保护，”强认证”是指正在使用的单层保护，不包括多因素认证（MFA）。微软警告说，使用MFA的账户数量很低，甚至在管理员账户中也是如此，尽管这些额外的保护层并不能保证账户100%安全。 除了在有MFA的地方使用MFA之外，如果你想让黑客难以下手，通常的建议也适用：避免重复使用密码（考虑一个好的密码管理器），保持你的软件有最新的补丁，并避免那些仍然莫名其妙地流行的可怕的弱密码。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7163721733680136739/?log_from=a58aa5b672b16_1667974231947 封面来源于网络，如有侵权请联系删除

11月7日，美国司法部宣布对一名黑客定罪，其以非法手段窃取了超过50000枚比特币。执法部门缉获这些比特币时其价值超过33.6亿美元。这也是美国司法部历史上数额最大的加密货币缉获。 据悉，该黑客名为James Zhong，现年32岁。十年前的2012年9月，他实施了一项从暗网黑市“丝绸之路”骗取钱财的计划。 丝绸之路（Silk Road）是一个大约在2011年到2013年运营的暗网黑市，其被众多毒贩和其他非法供应商利用，向许多买家大量售卖毒品、枪支和其他非法商品和服务，并清洗其中流通的资金。2015年，丝绸之路的创始人Ross Ulbricht被陪审团一致定罪并被判处终身监禁。 James Zhong先是在隐藏自身身份的情况下创建了九个“丝绸之路”账户，但这些账户并非用于在“丝绸之路”上出售或购买任何物品或服务。James Zhong创建账户时只填写了所需的最低限度的信息，他创建这些账户其实另有目的。 James Zhong随后为所有这些账户都存进了200至2000比特币，但在存款之后，他立即利用“丝绸之路”提款处理系统的漏洞迅速进行了一系列提款。例如，2012年9月19日，James Zhong将500个比特币存入了丝绸之路钱包，紧接着他在一秒内连续执行了五次数额为500比特币的提款，净收益2000比特币。最夸张的一次，James Zhong在一个账户进行了一次存款和五十多次提款。James Zhong通过这种方式总共触发了140多笔交易，将大量比特币（约50000枚）转移到了其控制下的多个独立地址，以混淆比特币的来源并避免暴露。 2021年11月9日，执法部门申请得到James Zhong居所的搜查令，查获了大约 50676.17851897枚比特币，当时价值超过 33.6 亿美元（现值约10亿美元）。除此之外，执法部门还查获并没收了James Zhong的大量房地产股份、66.19万美元现金以及各种贵金属。该次缉获是美国司法部历史上最大的加密货币缉获，并且是该部门迄今为止的第二大金融缉获。 2022年11月4日星期五，James Zhong在美国地区法官Paul G. Gardephe面前认罪，承认在2012年9月从丝绸之路暗网市场非法获取超过50000个比特币，犯有一项电汇欺诈罪。该罪名最高刑期为20年监禁。 转自 安全内参，原文链接：https://www.secrss.com/articles/48770 封面来源于网络，如有侵权请联系删除

安全内参11月1日消息，欧洲内陆国家斯洛伐克议会IT系统遭遇网络安全事件，导致上周举行的会议被迫暂停。 上周四（10月27日），斯洛伐克议会议长鲍里斯·科拉尔（Boris Kollár）在电视简报会中解释称，为了着手调查此次安全事件，原定的议会投票被迫取消。 科拉尔在简报会上透露，“我们发现了一起网络安全事件……有一个信号来自某个点，干扰了我们的系统和计算机，甚至为议员们服务的自助餐厅都受到了影响。” 斯洛伐克国家安全办公室（NSB）后续发表声明，确认收到了关于国民议会期间“网络安全事件”的报告。该办公室拒绝提供关于情况的更多细节，也没有回应置评请求。 值得一提的是，官员们给出的事件信息间存在冲突。有人说国民议会“报告称当天早上记录到IT服务中断”，并导致会议提前结束。但斯洛伐克国家安全局（NBU）发言人彼得·哈巴拉（Peter Habara）提醒说，这起（网络安全）事件可能不是网络攻击，只是普通的系统中断，网络攻击是一种“故意行为”。 据斯洛伐克共和国通讯社（TASR）发言人米凯拉·尤尔乔娃（Michaela Jurcová）介绍，“对这起网络安全事件的初步分析表明，网络通信确实出现了异常，结果导致所有组件功能均受到影响，包括接入网络基础设施的投票设备。” 该国执法机构目前正与国家安全局合作开展调查。 科拉尔称这起事件“非常严重”，并取消了11月8日之前的所有原定会议。他还指出，如果能早点解决问题，议会也可以考虑在下周重启会议。 斯洛伐克一些反对党派对事件本身以及应对决定提出了质疑。反对党政客安娜·泽马诺娃（Anna Zemanová）在采访中表示，把会议推迟到11月8日简直“荒谬”，并声称此次攻击可能是在故意拖延时间，避免执政党的几位政客在重要立法会议上缺席。 继罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰和拉脱维亚之后，斯洛伐克成为又一个议会遭受网络攻击的国家。就在上周，保加利亚政府网站也受攻击影响，官员们将事件归咎于某亲俄罗斯黑客团伙。 据路透社报道，波兰议会上周四同样遭遇了网络攻击。 转自 安全内参，原文链接：https://www.secrss.com/articles/48543 封面来源于网络，如有侵权请联系删除

以色列网络情报公司 KELA近期发布的报告显示，2022年Q3季度已观察到黑客以总计400万美元的价格出售全球576 家企业网络的访问权限。 初始访问代理 (IAB) 能让黑客获得企业网络访问权限，通常是通过窃取凭证、Webshell 或利用公开暴露在硬件中的漏洞来实现。随后，他们将这些访问权限出售给其他黑客，这些黑客用它来窃取有价值的数据、部署勒索软件或进行其他恶意活动。 报告反映出反映出黑客对企业初始访问权限的泄露销售活动虽然相对稳定，但与Q2仅66万美元的总价来看，Q3季度的价格在急剧上升。 Q3季度详情 在2022年Q3季度，KELA 的分析师观察到110 名黑客共发布了 576 家企业的初始访问权限，总价为 400万美元，而其中平均售价为 2800 美元，中位售价则达到创纪录的 1350 美元。 销售平均价格与中位价格 报告显示出排名前三的 IAB黑客手握大量权限，在 2022 年第三季度提供 40 到 100 个访问权限供出售。根据黑客论坛内的交流情况和售卖列表的变更，发现出售企业访问权限的平均时间仅为 1.6 天，而大多数是远程桌面协议(RDP)和 VPN 类型。 在国家分布上，本季度占比最多的国家是美国，占所有 IAB 的 30.4%。这一统计数据接近Q3季度针对美国公司的勒索软件攻击中 39.1% 的份额。 Q3季度最常针对的国家/地区 从目标行业来看，专业服务、制造业和科技领域分别以 13.4%、10.8% 和 9.4% 位居榜首。同样，勒索软件攻击具有相似的排名，说明二者之间存在密切关联。 Q3季度目标行业分部 由于IAB已成为勒索软件攻击链不可或缺的一部分，因此采取正确措施保护网络免受入侵至关重要，包括将远程访问服务器放置在 VPN 后面、限制对公开设备的访问、启用 MFA 以及进行网络钓鱼培训以防止企业凭证被盗。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348439.html 封面来源于网络，如有侵权请联系删除

The hacker news 网站披露，黑客组织“国内小猫”（Domestic Kitten）正在进行一项新的恶意攻击活动，该活动伪装成一个翻译应用程序，分发更新版本的 FurBall的Android 恶意软件。 “国内小猫”介绍 Domestic Kitten，也称 APT-C-50，据称是伊朗的一个黑客组织，主要是从受损的移动设备获取敏感信息，至少从 2016 年起，就一直非常活跃。 趋势科技（Trend Micro）在 2019 年一项分析报告中表示，APT-C-50 可能与另一个名为“弹跳高尔夫”（Bouncing Golf）的黑客组织有联系。（Bouncing Golf主要针对中东国家进行网络间谍活动）。 针对部分伊朗公民发动攻击 据 Check Point 报道，APT-C-50 依赖于伊朗博客网站、电报频道和短信等不同攻击载体，诱使潜在受害者安装恶意应用程序，主要攻击对象包括内部持不同政见者、反对派力量、ISIS 倡导者、伊朗库尔德少数民族等可能对伊朗政权稳定构成威胁的伊朗公民。 无论黑客采用何种方法，翻译应用程序都充当了一个管道，传递一种以色列网络安全公司命名为 FurBall 的恶意软件（KidLogger 的定制版本），该软件可以从设备中收集和过滤个人数据。ESET 发现最新一轮攻击活动主要涉及以翻译服务为幌子的应用程序。 应用程序（“sarayemaghale.apk”）是通过一个模仿 downloadmaghaleh[.]com 的假冒网站发布，该网站是一个合法网站，主要提供从英语翻译成波斯语的文章和书籍。 值得一提的是，该组织以前使用安全、新闻、游戏和壁纸等应用程序隐藏恶意软件。   转自 Freebuf，原文链接：https://www.freebuf.com/news/347519.html 封面来源于网络，如有侵权请联系删除

本周早些时候，The Register 报道了今夏了一起无人机袭击事件。然而受害的私人投资公司却对此保持沉默，仅同意根据保密协议与安全人员展开探讨。据说当时网络管理员发现公司的 Confluence 页面在局域网内表现出了奇怪的行为，而 Confluence 则是 Atlassian 开发的基于 Web 的远程写作软件。 报道称，安保人员在大楼顶层发现了两架无人机 —— 其一是经过改装的 DJI Matrice 600，其二是经过改装的 DJI Phantom —— 前者炸机但仍在运行，而后者实现了安全着陆。 后续调查发现，Matrice 600 无人机被加装了渗透套件，包含一台树莓派、GPD 迷你笔记本电脑、4G 调制解调器、Wi-Fi 设备、以及几块电池。 此外 Phantom 无人机则打包了 Hak5 开发的一套名为 Wi-Fi Pineapple 的网络渗透测试设备。 与该公司 IT 团队沟通的安全研究员 Greg Linares 表示，攻击者在数日前使用 Phantom 无人机 + Wi-Fi 渗透装置拦截了员工的凭据。 接着攻击者将窃取的信息编码到了 Matrice 无人机携带的穿透设备中，利用员工 MAC 地址和访问凭据、从屋顶侵入了公司的 Cnnfluence 页面。 可知其浏览了 Confluence 日志，试图窃取更多登录信息、以连接到公司内网的其它设备。庆幸的是，攻击者仅取得了有限的进展。 当管理员注意到受感染员工设备的 MAC 地址在本地和数英里外的远程地点登录时，立即意识到公司网络遭受了攻击。 在对 Wi-Fi 信号实施隔离后，安全团队带着福禄克测试仪追踪并定位了屋顶上的渗透设备。 Greg Linares 表示，这是他在近两年里看到的第三次基于无人机的网络攻击。 不过大家也无需惊慌，毕竟新案例得逞的前提，是受害企业启用了一套未妥善部署安全措施的临时网络。 而且就算是这套本就脆弱的网络，攻击者也蛰伏了数周时间来实施‘内部侦查’。 综上所述，该威胁行为者距离目标地点的物理距离肯定不太远，手头有足够预算、且知悉受害企业的物理安全限制。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1327417.htm 封面来源于网络，如有侵权请联系删除

安全内参10月10日消息，支持伊朗女性抗议浪潮的黑客劫持了该国国家电视台的新闻播报，在画面中放出最高领袖阿亚图拉·阿里·哈梅内伊 (Ayatollah Ali Khamenei)头部被十字准星瞄准并在火焰中燃烧的形象。该视频在互联网上广泛传播。 在上周六晚间的电视转播期间，屏幕上出现了一条简短视频，“你的双手，沾满我们年轻人的鲜血。” “加入我们，站起来。”黑客组织Edalat-e Ali（阿里的正义）宣称对此负责。 在这波抗议浪潮中，活动人士在伊朗首都德黑兰各处公共广告牌上喷涂“哈梅内伊之死”和“警察谋杀人民”等字样。 伊朗库德族22岁女孩玛莎·艾米妮(Mahsa Amini)之死是本轮抗议浪潮的导火索。该事件曝光后，街头抗议再次震动德黑兰等多处伊朗城市。。 伊朗国家通讯社IRNA报道称，“警方使用催泪瓦斯驱散了德黑兰数十个地点的抗议人群”，示威者们“高呼口号，还放火烧毁了公共财产，包括一处警察亭。” 艾米妮9月16日身故以后，民众的愤怒被彻底点燃。就在三天前，这位年轻的库尔德女性因涉嫌违反伊斯兰共和国严格的女性着装规定，而被臭名昭著的道德警察逮捕。 篡改视频还播放了艾米妮和另外三名在镇压中丧生的女性的照片。据总部位于挪威的伊朗人权组织称，这场镇压活动已经夺走至少95人的生命。 伊朗人权组织援引总部位于英国的俾路支激进主义者运动的消息称，9月30日，锡斯坦-俾路支斯坦省一名警察局长强奸一名少女的事件引发了骚乱，导致另外 90 人丧生。 伊斯兰革命卫队一名成员上周六在库尔德斯坦省萨南达吉被杀，另一名卫队成员在德黑兰死于“暴徒武装袭击导致的头部重伤”。根据IRNA的统计，目前革命卫队方面的死亡人数已经增加至14人。 “到处都是抗议” 伊朗遭受了近三年来最严重的一波社会震荡，包括大学生及年轻女学生在内的抗议人群高呼“女性、生活、自由”口号。 美国活动家兼记者奥米德·梅马里安（Omid Memarian）在推特上说，“来自德黑兰的视频表明，这座城市里到处都是抗议，已经蔓延到了每一个角落。” 根据亨沃格人权组织称于上周六录制的视频，在艾米妮的家乡库尔德斯坦萨基兹，女学生们高呼口号并走上街头，在空中挥舞着头巾。 尽管伊朗已经全面中断了国内互联网连接，封锁了各大主要社交媒体平台，但该国惨烈的对抗、特别是令人毛骨悚然的血腥镜头仍然在网络之上广为流传。 其中一段视频显示，在库尔德斯坦首府萨南达吉，一名男子被枪杀在自己的车内，该省警察局长阿里·阿扎迪（Ali Azadi）随后称此人是“被反革命势力所杀害”。 另一段在网上引起轩然大波的视频中，愤怒的男人们似乎将一名巴斯基民兵围住，并疯狂殴打。 还有视频片段显示，据称在伊朗东北部的马什哈德，一名年轻女性被枪杀。 社交媒体上许多用户表示，这让人想起妮达-阿迦-索尔坦的遭遇。这位年轻女性在2009年的抗议活动中被枪杀，随后长期成为伊朗反对派的象征。 抗议者的对抗策略 面对暴力与网络限制，抗议者们采取了新策略，开始在公共场所传播自己的抵抗信息。 德黑兰莫达雷斯高速公路立交桥上挂起一面巨大的横幅，写道“我们不再害怕，我们将要抗争。”法新社核实了图片的真实性。 在其他画面中，还能看到一名手持喷漆罐的男子将一条高速公路上的政府广告牌，从“警察服务人民”改成了“警察谋杀人民”。 有传言称，伊朗首都多个喷泉景观被染成血红色。但德黑兰市政公园组织负责人阿里·穆罕默德·莫赫塔里（Ali Mohamad Mokhtari）反驳道，“这种说法纯属造谣，德黑兰的喷泉颜色没有任何变化。” 伊朗指责有外部势力在煽动抗议活动，否则全球数十个城市不可能同时组织起群体示威。与此同时，美国、欧盟及其他多国政府都对伊朗出台了新的制裁。 关于艾米妮的死，伊朗政府上周五公布了法医的调查结果，表示她的死因是长期健康问题，并非活动人士宣称的头部受到打击。 艾米妮的父亲则向总部位于伦敦的伊朗国际组织驳斥了官方的说法，“我亲眼看到玛莎的耳朵和后颈流出了鲜血。” 转自 安全内参，原文链接：https://www.secrss.com/articles/47788 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据Mandiant称，至少有三个支持俄罗斯利益的黑客组织可能与国家支持的网络黑客合作。 谷歌旗下的威胁情报和事件响应公司表示：“据称，黑客活动Telegram频道‘XakNet Team’、‘Infoccentr’和‘CyberArmyofRussia_Reborn’的发布者正在与俄罗斯主要情报局（GRU）资助的网络黑客协调其业务。” Mandiant的评估基于以下证据：从乌克兰组织窃取的数据泄漏发生在被追踪为APT28（又名Fancy Bear、Sofacy或Strontium）的俄罗斯民族国家组织实施的恶意雨刷事件的24小时内。 为此，来自这些组织的16次数据泄露中，有4次与APT28发起的磁盘擦除恶意软件攻击同时发生，该恶意软件使用了一种名为CaddyWiper的病毒。 APT28从2009年开始活跃，与俄罗斯军事情报局、总参谋部主要情报局（GRU）有关联，并在2016年因在美国总统选举前违反民主党全国委员会（DNC）而引起公众关注。 虽然所谓的黑客组织已经针对乌克兰进行了分布式拒绝服务（DDoS）攻击和网站破坏，但有迹象表明，这些虚假角色是信息操作和破坏性网络活动的幌子。 也就是说，这种关系的确切性质以及与俄罗斯国家的关联程度仍然未知，尽管它表明，要么是GRU官员本人直接参与，要么是通过运营Telegram频道的管理员参与。 XakNet泄露了APT28用于入侵乌克兰网络的“独特”技术工件，以及CyberArmyofRussia_Reborn的数据发布之前是APT28入侵操作的事实，从而证实了这一推理。 这家网络安全公司指出，它还发现了XakNet团队和Infoccentr以及亲俄罗斯组织KillNet之间的某种程度的协调。 Mandiant说：“乌克兰战争也为了解俄罗斯网络计划的整体性、协调性和有效性提供了新的机会，包括黑客对社交媒体平台的使用情况。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Security Affairs 网站披露，“匿名者”黑客组织声称已成功入侵俄罗斯国防部网站并泄露了 305925 人的数据信息。据悉，这些人中可能包含部分俄罗斯新动员起来赴乌克兰作战的士兵。 “匿名者”黑客组织通过 ProtonDrive 分享了一个大小 90MB 的TXT 文件，文件中包含 30 多万人的姓名、出生日期、区域和地区等详细信息。值得注意的是，目前还无法核实所公布档案的确切来源。 匿名者一直支持乌克兰 近日，俄罗斯总统普京发表了全国讲话，宣布军事动员 30 万名预备役军人，以加强在乌克兰的特别军事行动。如果“匿名者”所说的网络攻击消息属实，可能会使俄预备役人员受到社工攻击，并存在被乌克兰方面“联系”的可能性。 俄乌冲发生后，“匿名者”黑客组织立即宣布对俄罗斯政府进行“网络战争”，至今已发起多次对俄罗斯的网络攻击活动。 3 月份，匿名者组织声称攻破了负责监督通信、信息技术和大众媒体的俄罗斯联邦机构数据库，并泄露了超过 36 万份文件。同月，该组织还入侵了俄罗斯流媒体服务和电视新闻频道，播放了乌克兰战争画面。 网络战已经成为俄乌战争中重要组成部分，网络也逐渐成为双方角力的战场。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/345581.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在发现攻击者利用新的关键零日漏洞攻击其客户网络后，安全软件公司Sophos发布了其防火墙产品的补丁更新。 该漏洞跟踪为CVE-2022-3236（CVSS 评分：9.8），影响Sophos Firewall v19.0 MR1 (19.0.1) 及更早版本，并涉及用户门户和Webadmin组件中的代码注入漏洞，该漏洞可能导致远程代码执行。 该公司表示，它已经发现该漏洞被用于针对一小部分特定组织，主要是在南亚地区，并直接通知了这些实体。 Sophos建议用户采取措施确保用户门户和Webadmin不会暴露于WAN。或者，用户可以更新到最新版本。 v19.5 GA v19.0 MR2 (19.0.2) v19.0 GA, MR1, and MR1-1 v18.5 MR5 (18.5.5) v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4 v18.0 MR3, MR4, MR5, and MR6 v17.5 MR12, MR13, MR14, MR15, MR16, and MR17 v17.0 MR10 运行旧版本Sophos Firewall的用户需要升级才能获得最新的保护和相关补丁。 这一进展标志着Sophos防火墙漏洞在一年内第二次受到主动攻击。今年3月初，另一个漏洞 ( CVE-2022-1040 ) 被用于针对南亚地区的组织。 然后在2022年6月，网络安全公司Volexity分享了攻击活动的更多细节，将入侵行为归因于一种称为DriftingCloud的中国高级持续威胁（APT）。 Sophos防火墙设备以前也曾遭到攻击，部署了所谓的Asnarök 特洛伊木马，企图窃取敏感信息。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文