Hackernews 编译，转载请注明出处： 美国国务院将任何与朝鲜有关的黑客的信息奖励增加到1000万美元。 2020年4月，美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见，警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时，美国政府还向任何能够提供“与朝鲜有联系的APT组织所开展活动的信息”的人提供高达500万美元的奖金，当局还将为过去黑客活动的信息付费。 现在，美国国务院将奖励增加到1000万美元。 掌握与朝鲜有联系的APT组织（如Andariel，APT38，Bluenoroff，Guardians of Peace，Kimsuky或Lazarus Group）相关的任何个人信息，并且违反《计算机欺诈和滥用法案》参与针对美国关键基础设施的人，都可以获得奖励。 正义奖励组织建立了一个黑暗网站，允许任何人通过安全渠道，提供有关针对美国的外国恶意网络活动的信息。 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 被追踪为“漫游螳螂”的移动威胁运动与针对法国手机用户的新一波妥协有关，数月前，它将目标扩大到欧洲国家。 Sekoia在上周发布的一份报告中表示，作为活动恶意软件操作的一部分，至少有7万台Android设备被感染。 众所周知，涉及漫游螳螂的攻击链是一种出于经济动机的中国黑客组织，它要么部署一个名为MoqHao（又名XLoader）的银行木马，要么将iPhone用户重定向到模仿iCloud登录页面的凭证获取登录页面。 “MoqHao（又名Wroba，Android的XLoader）是一种Android远程访问木马，具有信息窃取和后门功能，可能通过短信传播。”Sekoia研究人员表示。 这一切都始于网络钓鱼短信，这是一种被称为短信诈骗的技术，通过包含流氓链接的包裹交付主题消息吸引用户，单击后，继续下载恶意APK文件，但前提是要确定受害者的位置是否在法国境内。 如果收件人位于法国境外，并且设备操作系统既不是Android也不是iOS（通过检查IP地址和User-Agent字符串可以确定这一因素），则服务器设计为使用“404未找到”状态代码进行响应。 MoqHao通常使用通过动态DNS服务Duck DNS生成的域作为其第一阶段交付基础架构。更重要的是，恶意应用程序伪装成Chrome网络浏览器应用程序，来诱骗用户授予其入侵权限。 间谍软件特洛伊木马使用这些权限，为与受感染设备进行远程交互提供了途径，使攻击者能够秘密获取敏感数据，例如iCloud数据、联系人列表、通话记录、SMS消息等。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

2022年初发现的一个Twitter安全漏洞被用来盗取540万用户的账户信息，黑客正在提供这套资料进行销售。与2021年8月受影响的4.78亿T-Mobile用户相比，540万用户的黑客攻击相比算是很小的。与同月晚些时候受影响的AT&T的7000万用户相比也不算大。 然而，现在出售的黑客数据来自2022年1月报告的一个漏洞。Twitter承认这是一个现实存在安全问题，并向发现者”zhirinovskiy”支付了5040美元的赏金。 正如HackerOne用户zhirinovskiy在1月的最初报告中所描述的那样，一个威胁者现在正在出售据称从这个漏洞中获得的数据，Restore Privacy的Sven Taylor说。”该帖子现在仍在叫卖，据称由540万用户组成的Twitter数据库正在出售。” 黑客论坛上的卖家的用户名是’魔鬼’，并声称该数据集包括’名人、公司等重要账号的数据。”我们联系了这个数据库的卖家，以收集更多信息，”Taylor说。”卖家为这个数据库至少要价3万美元，据卖家说，由于’Twitter的无能’，这个数据库现在可以使用了。” 卖家在网站Breach Forums上发布了关于这些数据的信息。该论坛的所有者已经核实了该泄漏的真实性。 在Breach Forums的帖子中，有一个可用数据的样本。它似乎显示了可公开获得的Twitter个人资料信息，以及用于登录的电话号码和/或电子邮件地址，但它似乎并不包括密码。虽然它确实包含可用于Twitter”忘记密码”功能的电子邮件地址，但不良行为者必须单独获得该电子邮件账户的登录密码。 因此，人们担心的不是用户账户会被坏人破坏，而是这些数据可能被卖给广告商利用。 Twitter还没有发表评论。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1295681.htm 封面来源于网络，如有侵权请联系删除

俄罗斯关联黑客组织舒适熊（Cozy Bear）曾发起臭名昭著的 SolarWinds 间谍活动，而现在又利用 Google Drive 将魔爪伸向了新的受害者。根据 Palo Alto Networks 旗下 Unit 42 威胁情报团队本周二的报告，有俄罗斯对外情报局(SVR)背景、被美国联邦政府归类为高级持续威胁 APT29 的舒适熊组织利用 Google 的云存储服务隐藏它们的恶意软件和活动。 根据 Unit 42 披露的信息，APT29 在近期的活动中使用了全新的策略，在今年 5 月初至 6 月期间对葡萄牙和巴西的外交使团和外国使馆发起了攻击。 研究人员表示：“攻击者采用了全新的策略，利用 Google 云存储服务的普遍性以及基于全球数百万用户对其的信任传播恶意软件，而意味着如何检测出这些恶意软件面临着巨大的挑战。在使用经过加密且值得信任的服务时，大多数人都会直接打开文件，而要检测黑客活动中的所有恶意软件是极端困难的”。 事实上这并非是 ATP29 组织首次滥用合法的网络服务。在今年 5 月，根据安全机构 Mandiant 披露的报告，该组织利用 Dropbox 针对各种政府机构传播各种带命令和控制的恶意文件。不过 Dropbox 发言人表示在发现这些动机之后立即禁用了这些账号。 Unit 42 披露了 ATP29 在 Google Drive 和 Dropbox 上的活动情况。目前 Google 并未做出回应。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1294921.htm 封面来源于网络，如有侵权请联系删除

在黑客冒充合法服务机构从美国投资者那里盗取了数千万美元之后，联邦调查局对欺诈性加密货币投资应用程序发出了公开警告。该执法机构在周一发布的一份公告中说，黑客一直冒充合法的加密货币投资机构，试图说服投资者下载欺诈性的应用程序。 在下载这些应用程序后–它们使用合法服务的名称、标志和其他识别信息–受害者发现自己无法提取所谓存入其账户的资金。 当他们试图这样做时，他们收到的信息显示，他们需要先为他们的投资交税。联邦调查局说，即使他们支付了所谓“税款”，资金仍然会被锁定。 联邦调查局说，网络犯罪分子一直在利用这些应用程序”越来越成功”地欺骗投资者，并估计在2021年10月至2022年5月的八个月时间里，大约有4270万美元从244名受害者那里被盗。 在一个特定的案例中，网络犯罪分子冒充YiBit公司的员工，该公司是一家在2018年倒闭的加密货币交易所。犯罪分子利用一个假的应用程序，从四个不同的受害者那里偷了大约550万美元。在另一起案件中，他们以Supayos或Supay（澳大利亚一家货币兑换商的名称）的身份发帖，对两名受害者进行欺诈。 在2021年12月至2022年5月期间观察到的另一起案件中，身份不明的黑客通过假装是一个合法的、未命名的金融实体的代表，在6个月的时间里从28个人那里拿走了大约370万美元。 联邦调查局建议投资者警惕来自不明身份者的安装投资应用程序的提示，核实这些应用程序背后的公司是否合法，并以怀疑的态度对待功能损坏或有限的应用程序。 虽然联邦调查局没有说出黑客的名字或将其归于某个特定的团体或国家政府，但几个美国政府机构–包括CISA和联邦调查局在最近几个月警告说，朝鲜黑客用恶意窃取加密货币和区块链公司的应用程序来攻击。朝鲜长期以来一直使用加密货币窃取业务来资助其核武器计划。 虽然网络犯罪分子长期以来一直依赖加密货币作为金融提取手段，但他们越来越多地将注意力转向针对加密货币钱包和区块链桥梁，这些工具使用户能够将其加密货币资产从一个区块链转移到另一个区块链。上个月，黑客利用一个漏洞从Harmony的区块链桥上盗取了1亿美元，这次攻击后来被认为与朝鲜支持的Lazarus集团有关。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1294273.htm 封面来源于网络，如有侵权请联系删除

《孙子兵法》有云：“兵者，诡道也”。在 2500 年后的今天，这句格言也适用于虚拟/物理战场。在俄乌冲突中，来自 Google 的研究人员发现了一款由俄罗斯政府支持的恶意应用程序，它伪装成为亲乌克兰的应用进行传播。 在 Google Threat Analysis Group (TAG) 团队今天发布的博文中，详细地披露了这个俄罗斯政府支持的恶意应用程序。该应用叫做 Cyber Azov，伪装成乌克兰的极右翼军事部门 Azov Regiment 创建，但实际上是由俄罗斯政府支持的黑客组织 Turla 创建。 根据 TAG 的研究，这款应用通过 Turla 控制的域名即逆行分发，网站上提供了离线的 APK 安装文件，而不是托管在 Google Play Store 上。在 Cyber Azov 网站上描述，称该应用会对俄罗斯网站发起拒绝服务攻击，不过实际上经 TAG 分析该应用并无这方面的功能。 通过 VirusTotal 分析该 APK 文件，很多知名反恶意软件提供商都将其标记为含有木马的恶意应用。TAG 博文中表示目前安装该恶意应用的用户数量并不多。不过 The Verge 发现 Cyber Azov 的域名网站仍可访问，这意味着会有更多的 Android 用户中招。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1294409.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据报道，2022年3月底，价值5.4亿美元的Axie Infinity Ronin Bridge黑客攻击事件，是该公司一名前员工被LinkedIn上的一份虚假工作欺骗的结果。 根据The Block上周发表的一份报告，该公司的一名高级工程师被骗向一家不存在的公司申请工作，导致此人下载了伪装成PDF格式的虚假招聘文件。 该要约文件随后充当了部署恶意软件的渠道，旨在破坏Ronin的网络，最终促成了加密行业迄今为止最大的黑客攻击之一。 2022年4月，美国财政部暗示朝鲜支持的Lazarus集团与该事件有关，并指出该敌对集团曾攻击加密货币行业，为朝鲜筹集资金。 长期以来，虚假工作机会一直被高级持久威胁用作社会工程诱惑，早在2020年8月，以色列网络安全公司ClearSky就发起了一场名为“梦想工作行动”的运动。 ESET在其2022年T1威胁报告中指出，在Lazarus保护伞下，黑客如何通过LinkedIn等社交媒体利用虚假工作机会，作为其打击国防承包商和航空航天公司的战略。 虽然Ronin的以太坊桥在黑客攻击三个月后的6月重新启动，但Lazarus Group也被怀疑是最近从Harmony Horizon Bridge盗窃1亿美元山寨币的幕后黑手。 区块链审计和安全公司CertiK在上周的一份报告中透露，今年上半年，以Web 3.0为中心的区块链项目因黑客攻击而损失了超过20亿美元。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，迪士尼Facebook和Instagram账户被一名自称“超级黑客”的人入侵，他利用迪士尼账户发布了一系列种族主义相关的帖子。经调查，这个名为“David Do”的威胁行为者声称在迪士尼乐园遭到员工侮辱，为此他正在寻求“报复”，他在一篇博文中写道：我是一名超级黑客，来这里是为了报复迪士尼乐园……现在谁是硬汉杰罗姆? 不仅如此，这名黑客还声称“发明”了COVID-19，并暗示他正在研究一种新的“COVID20”病毒。 据迪士尼的回应，该威胁行为者在太平洋时间凌晨5点前在其Instagram账户上发布了4篇帖子，同时黑客还标记了其他几个Instagram账户，但尚不清楚他们是否是朋友，是否会为警方提供找到黑客的帮助。 有意思的是，这名威胁行为者甚至鼓励社交媒体用户关注他的私人Instagram帐户@chi11estpanda。这些帖子收到了迪士尼840万粉丝的数千条评论，他们都对此表达了震惊和愤怒。 在帖子发布不久后，迪士尼就暂时关闭了其Facebook和Instagram 帐户，并在团队删除帖子后重新上线，目前迪士尼表示其他社交媒体页面似乎没有受到影响，目前尚不清楚此人是如何设法访问迪士尼乐园Instagram帐户的，是陌生黑客还是可以访问登录名的前员工。 随后迪士尼乐园在最近的帖子更新中说：“我们迅速采取行动，删除了应受谴责的内容，保护了我们的账户，目前我们的安全团队正在对此事进行调查。”目前在迪士尼乐园博客文章底部还能看到被黑客入侵并发布恶意帖子的版本。 转自 FreeBuf，原文链接：https://www.freebuf.com/articles/338805.html 封面来源于网络，如有侵权请联系删除

研究人员近日发现了一个高危漏洞，允许黑客远程解锁和启动多款本田（Honda）车型。目前本田旗下 10 款最受欢迎的车型均受到了影响。更糟糕的是，研究人员调查认为从 2012 到 2022 年发售的所有车型可能都存在这个漏洞。 这个漏洞被安全研究人员称之为“RollingPWN”，主要利用本田的无钥匙进入系统的一个组件。目前本田的进入系统依赖于滚动代码模型，每次所有者按下 fob 按钮时都会创建一个新的进入代码。 在新进入代码创建之后，理论上此前创建的代码应该弃用以防止重放攻击。不过研究人员 Kevin26000 和 Wesley Li 发现旧代码可以回滚并用于获取对车辆的不必要访问权限。 研究人员对 2012-2022 年发售的多款本田车型进行了测试，均发现了这个漏洞。目前经过测试，已经确认受到影响的车辆型号包括 ● Honda Civic 2012 ● Honda XR-V 2018 ● Honda CR-V 2020 ● Honda Accord 2020 ● Honda Odyssey 2020 ● Honda Inspire 2021 ● Honda Fit 2022 ● Honda Civic 2022 ● Honda VE-1 2022 ● Honda Breeze 2022 根据漏洞影响车型列表和成功测试情况，Kevin26000 和 Li 坚信该漏洞可能会影响所有本田汽车，而不仅仅是上面列出的前十个。 为漏洞提供修复可能与漏洞利用本身一样复杂。本田可以通过无线 (OTA) 固件更新修复该漏洞，但许多受影响的汽车不提供 OTA 支持。更大的潜在受影响车辆池使得召回情况不太可能发生。 目前，Kevin26000 和 Li 正怀疑该漏洞是否也存在于其他车企的车辆型号中。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1290501.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 以“Bitter”为名的高级持续性威胁继续对孟加拉国的军事实体进行网络攻击。 该消息来自SecuInfra网络安全专家团队，他们在周二发布了一份报告，描述了南亚APT最近的行动。 “通过恶意文档文件和中间恶意软件阶段，黑客通过部署远程访问木马进行间谍活动。”该文件写道。 SecuInfra的调查结果基于Talos 去年5月发布的一份报告(该报告披露了该组织的扩张和攻击孟加拉国政府组织的意图)，并涵盖了可能在2022年5月中旬发生的一次攻击事件。 具体来说，该攻击可能源于一份武器化Excel文档，该文档可能通过鱼叉式网络钓鱼电子邮件分发。 打开后，电子邮件将利用Microsoft 公式编辑器漏洞(CVE-2018-0798) 从远程服务器中删除名为ZxxZ的有效载荷。 然后，恶意代码将在 Visual C++中实现，并作为第二阶段植入工作，允许黑客部署其他恶意软件。 “将这个指纹识别功能与Cisco Talos文档中记录的指纹识别功能进行比较，我们可以发现Bitter放弃了ZxxZ值分隔符，而使用了一个简单的下划线。” 据SecuInfra称，APT这样做是为了避免通过基于此特定分离器的IDS/IPS系统进行检测。 安全研究人员说，为了防止此类攻击，企业和政府应该定期实施网络和端点检测和响应措施，并修补 Microsoft Office等常用软件。   消息来源：infosecurity，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文