2020年8月，Group-IB发布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告描述了网络犯罪组织UltraRank的活动，该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。 2020年11月，我们发现了新一轮的UltraRank攻击。攻击者没有使用现有的域进行新的攻击，而是改用新的基础架构来存储恶意代码并收集拦截的支付数据。 在UltraRank的新活动中，我们发现了12个被JavaScript-sniffer感染的电子商务网站。 这次，JS sniffer的代码使用了Radix模糊处理。然后，攻击者使用了SnifLite家族的sniffer。由于受感染网站的数量相对较少，攻击者最有可能使用了CMS管理面板中的凭据，而这些凭据又可能被恶意软件或暴力攻击破坏。 在最近的一系列攻击中，UltraRank模仿合法的Google Tag Manager域将恶意代码存储在网站上。研究发现，攻击者的主服务器由Media Land LLC托管，该公司与一家防弹托管公司有联系。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1438/       消息来源：group-ib，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，泄露的任天堂文件显示，一名正在研究3DS掌上游戏机漏洞的黑客遭到了可怕的监视行动。除了监控他的私人生活–包括他的教育方面、离开家的时间和他去的地方，这家公司都会从其工作的地方跟踪目标以迫使他停止活动。保护企业知识产权的间谍项目在世界各地都有在持续进行，但很少有行动细节泄露给公众。 然而对于任天堂来说不幸的是，相关信息被曝光，根据泄露的文件显示，成为这家公司的主机黑客的目标是一件多么可怕的事情，即使这些目标已经声明他们的工作不是为了盗版目的而设计的。 泄露文件披露了任天堂警方式的监视行动 在过去的24小时里，各种Twitter账号发布了最近从任天堂泄露的文件片段。虽然有许多有趣的项目，但最令人震惊的发现涉及了一名叫做Neimod的黑客，他曾在几年前发现了3DS掌机的漏洞。 当然，像任天堂这样的公司对Neimod这样的人的作品产生浓厚兴趣也并不奇怪。任天堂的文档将他描述为一位“技艺高超的硬件工程师”且“在任天堂产品的黑客领域享有很高的声誉”。 然而，泄露的文件还详细披露了这家游戏巨头准备如何阻止他的工作。 例如，文件揭露了深入挖掘Neimod教育状况的个人剖析、列出了他的工作生活细节，同时还提供了物理窥探他日常生活方式的证据，如什么时候能在家里找到他、谁来见他甚至他去银行和餐馆之类的地方等信息也都能找到。 有关拦截目标的详细行动计划 根据任天堂的计划，针对Neimod的行动始于2013年4月15日左右，其团队在当地一家酒店开会讨论并敲定他们的计划。在回顾了Neimod前一周的活动之后，该团队决定在哪里和何时进行接触–例如下班后或在家。 在一名监视Neimod的卧底调查人员负责搞清楚他下班的时间的情况下，“联络小组”被要求以友好、不具威胁性、专业和礼貌的方式接近目标Neimod。 在跟Neimod开始交谈之后，团队被要求奉承这个黑客，承认他的工程/编程天赋。另外他们还被告知，要提到他不会“促进盗版”发展的声明目的，但也要指出任天堂的担忧–公布了他的黑客行为可能就会促进这一点的发展。 无论Neimod同意还是拒绝，任天堂都做好了应对准备。由Eclipse-TT发布到Twitter上的幻灯片显示了一个流程图。 任天堂表示，如果双方能达成合作，它可以避免提起刑事诉讼。它还可能跟Neimod签订“赏金”合同，为发现和记录漏洞而支付报酬。在一定范围内，他的发现仍可以向公众公布，但要让他保留吹嘘权利。该公司写道，这可能有助于提升任天堂的形象。 只有当侵入性监控行动的细节远离公众视线时才有可能长期显著提升公众形象。然而现在随着Hacker Enforcement Proposal的全面泄露，这对任天堂来说可能会变得有点困难。 另一方面，这也可能也会让黑客停下来思考或将他们推向更糟糕的境地。         （消息及封面来源：cnBeta）

援引外媒 ZDNet 今天早些时候报道，有攻击者利用 Citrix ADC 网络设备向 Steam、Xbox 等在线游戏服务发起拒绝服务攻击（DDoS）。首波攻击上周被德国 IT 系统管理员 Marco Hofmann 发现并记录在案。 图片来自于 WikiMedia 随后 Hofmann 追踪到了 Citrix ADC 设备上的 DTLS 接口。DTLS，即数据报传输层安全，是 TLS 协议的一个更多版本，实现在对流友好的 UDP 传输协议上，而不是更可靠的TCP。就像所有基于UDP的协议一样，DTLS是可欺骗的，可以作为DDoS放大载体。 这意味着，攻击者可以向具有DTLS功能的设备发送小的DTLS数据包，并将结果以一个大很多倍的数据包返回到一个被欺骗的IP地址（DDoS攻击受害者）。原数据包被放大多少倍，决定了具体协议的放大系数。对于过去基于 DTLS 的 DDoS 攻击，放大系数通常是原始数据包的 4-5 倍。 不过在本周一的报告中，在 Citrix ADC 设备上实现的 DTLS 似乎被放大了 35 倍，使其成为最有力的 DDoS 放大载体之一。在多家媒体报道之后，Citrix 也承认这个问题，并承诺会在圣诞节假期之后在明年 1 月中旬发布修复补丁。该公司表示，已经有证据表明有黑客利用该 DDoS 向全球少数客户发起攻击。 当攻击者滥用Citrix ADC设备时，他们可能最终会耗尽其上游带宽，造成额外的成本并阻止来自ADC的合法活动。 在Citrix准备好官方缓解措施之前，出现了两个临时的修复方法。第一种是在不使用Citrix ADC DTLS接口的情况下，禁用该接口。第二种是如果需要 DTLS 接口，建议强制设备验证传入的 DTLS 连接，尽管这可能会因此降低设备的性能。     （消息及封面来源：cnBeta）

本周二，欧洲刑警组织（Europol）宣布联合多国执法机构开展了 Operation Nova 活动，关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器，从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务，主要用于隐藏身份。 据欧洲刑警组织称，这项服务可以隐藏客户的 IP 地址，并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年，它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码，以及其他攻击，如网络钓鱼活动和账户接管。 欧洲刑警组织在公告中写道：“这种VPN服务被高价卖给了犯罪团伙，作为避免执法拦截的最佳工具之一，提供多达5层的匿名VPN连接”。这些机构没有宣布对该VPN提供商或其任何客户进行任何逮捕或指控。然而，拿下VPN服务很可能会让使用该服务的犯罪分子更难继续行动，至少目前来看是这样的。 网络安全专家表示，在无法抓住网络犯罪分子或完全关闭其业务时，这种做法是有意义的，也符合各大科技公司采取的行动。例如，微软在12月查封了SolarWinds黑客事件中使用的网络域名，以阻止一场大规模的恶意软件活动。 在查获Safe-Inet的服务器之后，警方发现全球已有250个企业受到犯罪集团的监控，也立即警告这些企业，要求它们多加防范，以免受到勒索软体之类的网路攻击。         （消息及封面来源：cnBeta）

近日，有密码学专家提出了一个有关苹果 iPhone 智能机的一套理论。首先，即便有着定期推送的 iOS 补丁和增强保护措施，但执法机构仍可轻易闯入用户设备。其次，苹果公司日渐强大的加密技术，所能保护的数据量却少于以往。作为对 ACLU 诉请 FBI 揭示有关 iPhone 破解方式的回应，约翰·霍普金斯信息安全研究所助理教授 Matthew Green 于本周三通过 Twitter 发表了他的最新观点。 据悉，该理论基于 Matthew Green 带领的两名学生 Maximilian Zinkus 和 Tushar M. Jois 的相关研究。即执法机构无需攻破 iPhone 上最强大的加密算法，因为并非所有用户数据都受到这方面的保护。 Matthew Green 补充道，取证工具开发公司不再需要攻破苹果的安全加密区芯片（Secure Enclave Processor），毕竟这么做的难度非常高。 后来他和学生们想到了一个可行的方案，并且推测出了政府与执法机构是如何从锁定的 iPhone 中提取数据的。（详细的文章会在假日后公布） 据悉，iPhone 可处于首次解锁前的 BFU 模式、以及解锁后的 AFU 模式。最初打开设备电源并输入密码时，设备可进入 AFU 状态。 随着用户输入 Passcode，iPhone 也将同步导出保留在内存中、并用于加密文件的不同密钥集。当用户再次锁定其设备时，它也不会转入 BFU 模式、而是维持在 AFU 状态。 Matthew Green 指出，在用户再次解锁其设备前，只有一组加密密钥被从 iPhone 的内存中清除。 被清除的密钥集，正好属于解密特定保护级别的 iPhone 文件子集。而保留在内存中的其它密钥集，则可用于解密其它所有文件。 基于此，执法机构只需利用已知的软件漏洞来绕过 iOS 的锁屏保护措施，即可在后续解密大多数文件。加上以普通权限运行的代码，取证工具还可像合法应用程序那样访问数据。 尴尬的是，由苹果官方文档可知，最强的加密保护等级，似乎仅适用于邮件和应用启动数据。这样即便与 2012 年的同类情况进行比较，苹果在用户数据的安全保护上反而还倒退了。 最后，除了 iOS，Matthew Green 还指出了 Android 移动设备上存在的类似情况。这位密码学教授表示：“手机加密无法从根本上拦截别有用心的攻击者”。       （消息来源：cnBeta；封面来自网络）

本周二，欧洲刑警组织（Europol）宣布联合多国执法机构开展了 Operation Nova 活动，关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器，从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务，主要用于隐藏身份。 据欧洲刑警组织称，这项服务可以隐藏客户的 IP 地址，并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年，它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码，以及其他攻击，如网络钓鱼活动和账户接管。         （消息及封面来源：cnBeta）

今年早些时候，我们观察到网络犯罪组织TeamTNT使用XMRig加密货币矿工攻击暴露的Docker API。TeamTNT使用窃取Amazon Web Services（AWS）secure shell（SSH）凭证和用于传播的自我复制行为开展攻击。 TeamTNT的最新攻击涉及到该组织自己的IRC（互联网中继聊天）bot。IRC bot被称为TNTbotinger，能够进行分布式拒绝服务（DDoS）。 需要注意的是，攻击者首先必须在初始目标机器上执行远程代码（RCE），然后才能成功地对系统发起攻击。攻击者可以通过利用错误配置问题、滥用未修补的漏洞、利用脆弱或重复使用的密码、密钥或泄漏的凭据等安全缺陷来执行RCE。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1436/         消息来源：trendmicro，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作，安全与技术研究所（IST）正倡导组建全新的勒索软件特别工作组（RTF）。该工作组的创始成员包括了微软、McAfee等诸多科技公司。 RTF的主要工作内容包括：“RTF 将评估现有解决方案在处理勒索软件方面的级别，寻找其中的差距，并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献，RTF将委托专家撰写论文，并让各行业的利益相关者参与进来，围绕经过审核的解决方案进行讨论”。 目前 RTF 工作组的成员包括 Aspen Digital ● Citrix ● The Cyber Threat Alliance ● Cybereason ● The CyberPeace Institute ● The Cybersecurity Coalition ● The Global Cyber Alliance ● McAfee ● Microsoft ● Rapid7 ● Resilience ● SecurityScorecard ● Shadowserver Foundation ● Stratigos Security ● Team Cymru ● Third Way ● UT Austin Stauss Center ● Venable LLP         （消息及封面来源：cnBeta；）

据外媒CNET报道，一场复杂的或由俄罗斯黑客进行的攻击活动的范围继续被披露，该活动已经渗透到美国联邦机构和私营公司。据《纽约时报》周一的报道，黑客设法侵入美国财政部高层官员使用的电子邮件系统等。 据报道，参议员罗恩·怀登(Ron Wyden)在为参议院金融委员会举行的简报会后表示，财政部承认其“从7月份开始遭受了严重的入侵。”他补充说，黑客入侵的 “最大程度”尚不清楚。据《纽约时报》报道，Wyden补充说，该部门从运行其大部分通信软件的微软那里了解到这一漏洞。 务部，以及国家卫生研究院。漏洞始于黑客入侵网络安全公司SolarWinds，该公司销售的软件可以让机构看到其计算机网络上发生的事情。据报道，数十家私营公司–包括微软、思科、英特尔和FireEye–也感染了该恶意软件。 上周，美国国家安全机构发表联合声明，称这次活动是“重大的、持续的黑客活动”。美国国务卿迈克·蓬佩奥和一些网络安全专家将此次黑客活动归咎于俄罗斯。 美国财政部拒绝对《纽约时报》的报道发表评论，但指出美国财政部部长史蒂夫·姆努钦周一在CNBC上发表的关于网络攻击的评论。 姆努钦说：“我们的非机密系统确实有一些访问权限。”他补充说，该部门没有看到任何入侵其机密系统的情况。“我要说的好消息是，没有任何损害，也没有看到任何大量信息被转移。”         （消息及封面来源：cnBeta；）

近日，一名网络攻击者在黑客论坛发帖，免费公布了从 Ledger 窃取的电子邮件和邮寄地址。Ledger 是一家硬件加密货币钱包，用于存储、管理和销售加密货币。这些钱包中的资金使用 24 个字的恢复短语以及一个可选的秘密口令来保护所有者。 在今年 6 月 Ledger 网站被爆出现数据泄漏事件，利用安全漏洞允许攻击者访问用户的联系人信息。今天，一位威胁攻击者分享了一个存档，其中包括“All Emails (Subscription).txt” 和 “Ledger Orders (Buyers) only.txt”两个文本，包含数据泄漏期间被盗取的数据。 All Emails (Subscription).txt 包含了 1,075,382 名订阅 Ledger 通讯的人的电子邮件地址；而 Ledger Orders (Buyers) only.txt 包含了 272,853 名购买 Ledger 设备的人的姓名、邮寄地址和电话号码。 网络安全情报公司 Cyble 已经与 BleepingComputer 分享了这份泄露的文件，外媒随后已经与 Ledger 的所有者确认，数据是准确的。Ledger 在推特中进一步确认，这次数据转储很可能来自2020年6月的数据泄露事件。         （消息及封面来源：cnBeta）