Cybereason Nightnus团队一直在追踪朝鲜的各种黑客组织，其中包括名为Kimsuky（又名：Velvet Chollima、Black Banshee和Thillium）的网络间谍组织。该组织至少从2012年开始活跃，在全球有许多攻击历史，包括针对韩国智库的攻击，在过去几年里，他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。他们的观测目标包括： Pharmaceutical/Research companies working on COVID-19 vaccines and therapies UN Security Council South Korean Ministry of Unification Various Human Rights Groups South Korean Institute for Defense Analysis Various Education and Academic Organizations Various Think Tanks Government Research Institutes Journalists covering Korean Peninsula relations South Korean Military … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1385/     消息来源：Cybereason ，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

Maze 是最活跃、最臭名昭著的数据窃取勒索软件组织之一，不过现在它宣布“正式关闭”。这是一个令人费解的公告，公告中不仅多处出现拼写错误，而且是在暗网网站上发布的。在过去一年中，该组织已针对大量目标公司发起了攻击，包括信息技术咨询及业务流程提供商 Cognizant、网络安全保险公司 Chubb、制药巨头 ExecuPharm、特斯拉和SpaceX的零件供应商 Visser 和国防承包商 Kimchuk。 通常情况下，勒索软件会对硬盘数据进行加密，用户只有交付赎金之后才能解锁。而 Maze 的做法更加激进，它们会首先泄漏受害者的部分数据，并威胁他们如果不支付赎金就公开这些数据。它很快成为勒索软件组织的首选策略，勒索软件组织通常在黑暗的网络上建立网站，以在受害者拒绝付款时泄露其窃取的文件。 Maze最初使用漏洞攻击工具包和垃圾邮件活动来感染受害者，但后来开始使用已知的安全漏洞专门针对大型公司。Maze 随后使用易受攻击的虚拟专用网（VPN）和远程桌面（RDP）服务器对受害者的网络发动有针对性的攻击。 部分要求的赎金高达数百万美元。据报道，Maze向一家佐治亚州的电线和电缆制造商索要600万美元，并向一个未具名的组织索要 1500 万美元。但是，在 3 月宣布 COVID-19 大流行之后，Maze 以及其他勒索软件组织承诺不会以医院和医疗设施为目标。 安全公司 EMSIsoft 的勒索软件专家和威胁分析师布雷特·卡洛（Brett Callow）说：“显然，Maze 的这次退休是将信将疑的。这可能是该团体已经赚够了钱，可以关门大吉。不过更大的可能是他们要重新命名。由于迷宫是一个附属机构，他们的犯罪伙伴不太可能退休，而只会与另一个团体结盟。”       （消息来源：cnBeta；封面来自网络）

据外媒报道，就在美大选前几周，黑客通过操纵发票的手段从威斯康辛州共和党那里窃取了230万美元。据悉，这起盗窃案在10月22日被注意到，威斯康辛州共和党主席Andrew Hitt表示，FBI目前正在调查此案。 据Hitt介绍，黑客使用了来自竞选团队合作的几家供应商的伪造发票，这些发票主要用于竞选邮递和特朗普周边商品等。这些文件没有提供供应商的付款信息，而是将钱转给了黑客。 这种黑客攻击实际上是一种相当常见的骗局：Facebook和谷歌在2017年也曾遭受过类似的网络钓鱼攻击，当时涉案金额高达1亿美元。骗子经常使用假发票来针对企业、组织和其他团体，希望能在合法发票的基础上偷到假发票。考虑到在大选前最后几周进行竞选活动是多么得疯狂，所以很容易想象那些诈骗发票是如何漏掉的。 威斯康辛州被认为是特朗普和拜登在即将到来的选举中必不可少的州。     （消息及封面来源：cnBeta）

网络安全报告书由网络安全基础设施安全局（CISA）、联邦调查局（FBI）和美国网络司令部国家宣教部队（CNMF）联合撰写，主要描述了针对朝鲜高级黑客组织Kimsuky网络攻击所使用的战术、技术和程序（TTP）。 本文描述了截止2020年7月已知的Kimsuky黑客网络攻击事件，旨在保护相关组织免受该黑客影响。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1384/     消息来源：us-cert.cisa.gov ，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据报道，Facebook周二表示，伊朗黑客上周涉嫌通过电子邮件向美国选民发送威胁消息，并散布有关选举制度受到破坏的虚假信息，并在去年针对中东进行了一场虚假宣传活动。 上周，美国官员指责伊朗发送了数千封威胁性电子邮件和一个网上视频，该视频显示黑客在美国总统大选前几天就闯入了选民登记系统。 德黑兰否认了指控。 Facebook表示已暂停了一个试图在其网站分享该视频的假冒帐户。该账户引出了在Facebook和Instagram上的20多个其他账户，揭示出2019年针对以色列和沙特阿拉伯等国的散布虚假信息行动。 Facebook网络安全政策负责人纳撒尼尔·格莱歇尔（Nathaniel Gleicher）表示，新发现的帐户基本上处于不活跃状态，但此前曾试图在去年以色列“欧洲歌唱大赛”（Eurovision Song Contest）上散布有关“所谓的大屠杀”的说法。 上周三位知情人士对媒体表示，美国情报机构仍在分析具体是谁在伊朗指挥了这次行动及其意图。 格莱歇尔周二说，他的团队发现了少量技术链接，这些链接与4月份暂停的虚假信息网络有关，这归因于伊朗国家广播公司以及“与伊朗政府有关联的个人之间的联系”。 Facebook还表示，已暂停由墨西哥和委内瑞拉人开设的两个页面和22个Instagram帐户，这些帐户使用假冒身份和其他所谓的“协调一致的不真实行为”的形式来发布有关美国时事和政治的信息。 Facebook说，一些账户冒充是美国人，用西班牙语和英语发布涉及种族关系、女权主义和环境等话题的贴文。联邦调查局根据线索提示发现了这些账户。 虽然尚不清楚活动的幕后主使，但一些账户上贴有以前由俄罗斯互联网研究机构（Internet Research Agency）使用过的带有说明的图片。美国检察官表示，这家研究机构在2016年莫斯科影响美国大选中发挥了关键作用。 格莱歇尔说，这两个网络以及针对缅甸互联网用户的第三次行动，在吸引大量关注者之前都已被抓获。 但是他说，“恶意行为者”越来越多地利用人们对干预选举的担忧，试图进一步播下不信任和分裂的种子。 “我们称之为感知入侵，”他说，“这不是真正侵入一个敏感的选民数据库，或者利用一个大型的社会影响力竞选活动，只是利用了每个人的恐惧。” （消息及封面来源：新浪科技）

研究人员发现大型在线游戏Street Mobster存在一个严重漏洞。该漏洞可能导致玩家用户名、电子邮件地址和密码以及存储在数据库中相关数据被破坏。 Street Mobster是一种免费在线游戏，玩家在其中管理虚拟犯罪活动。该游戏储存了190多万玩家用户的数据，黑客通过在游戏网站上利用漏洞攻击该数据库。 Street Mobster中的SQLi漏洞可能破坏玩家用户名、电子邮件地址和密码以及其他相关数据的记录。 幸运的是，在向Big Mage Studios，CERT Bulgaria和保加利亚数据保护机构报告了此漏洞之后，开发人员就及时解决了该问题，因此黑客被禁止访问该数据库。     消息及图片来源：cybernews；译者：小江 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究人员本周五发布警告称，2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用，从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”，能让攻击者访问活动目录，以管理员身份创建、删除和管理网络账号。 在黑客攻击中会掌控 Active directories 和域控制器，允许攻击者使用执行代码对所有连接到该网络的计算机发起攻击。微软在今年 8 月补丁星期二活动日发布的累积更新中，已经修复了这个编号为 CVE-2020-1472 的漏洞。 上周五，以独立研究员身份工作的凯文·博蒙特（Kevin Beaumont）在一篇博客文章中表示，已经有证据表明黑客利用该漏洞发起了攻击。他表示已经有黑客针对他的蜜罐（honeypot）进行了攻击，这个尚未修复的诱饵服务器中受到了攻击，攻击者便能够使用Powershell脚本成功更改管理员密码并对该服务器进行后门操作。 博蒙特表示这些攻击完全是脚本化的，所有命令在几秒钟内即可完成。这样，攻击者安装了后门，从而可以远程管理其模拟网络中的设备。攻击者（使用用户名sdb和密码jinglebell110 @设置了帐户）也启用了远程桌面。结果，如果后续修补CVE-2020-1472，攻击者将继续具有远程访问权限。     （消息来源：cnbeta，封面来自网络）

网络威胁情报公司Check Point Research在其季度品牌钓鱼报告中强调了黑客模仿最多的品牌，这种伪造页面的钓鱼手法通常会诱使人们交出个人数据或支付凭证。根据该报告，在2020年6月-8月期间，微软是网络犯罪分子最常攻击的品牌。微软从第二季度的第五位飙升至第三季度品牌钓鱼攻击的第一位，占这一时期全球钓鱼攻击总数的19%（从第二季度的7%）。 紧随其后的是DHL和谷歌–两者各占全球所有品牌钓鱼企图的9%，排名前十的其他公司包括PayPal、Netflix、Facebook、苹果、WhatsApp、亚马逊和Instagram。 电子邮件是最主要的攻击媒介，占所有网络钓鱼攻击的44%，紧随其后的是网页钓鱼（43%）。被电子邮件钓鱼攻击利用最多的钓鱼品牌依次是微软、DHL和苹果，被网络钓鱼攻击利用最多的是微软、谷歌和PayPal。 一个最经典的场景是，黑客群发恶意钓鱼邮件，试图通过引诱受害者点击一个恶意链接，将用户重定向到一个欺诈性的微软登录页面，从而窃取微软账户的凭证。 模仿微软的网络钓鱼尝试井喷，是为了利用大量员工因为病毒大流行进行远程工作的机会，很多人都是第一次在家办公，缺乏公司完善的网络安全设施，个人PC在安全防护方面特别脆弱，攻击这些人的计算机有助于渗透到企业内部，犯罪所得利益相应也会最大。     （稿源：cnbeta；封面来自网络）

据外媒报道，当地时间周四晚，Twitter宣布了一项有关发布通过黑客获取内容的修改后政策。而就在一天前，该社交媒体公司因限制《纽约邮报》一篇有关乔·拜登儿子的文章的链接而受到批评，据悉，这文章获取源头来自黑客的网络攻击。 Twitter表示，他们将不再删除含有被黑客攻击内容的帖子，除非这些帖子是由黑客自己或其他跟他们有合作的人分享出来的。该公司表示，它还将为这些推文贴上标签，这样内容仍旧会在平台上显示而不是遭到阻止。 Twitter首席法律官Vijaya Gadde在周四晚的一系列推文中表示，这些改变是为了“解决人们的担忧，即可能会给记者、告密者和其他人带来许多意想不到的后果，而这些后果跟Twitter服务于公众对话的宗旨背道而驰。” 这项新政策对Twitter来说是一个巨大转变。 不过Twitter指出，《纽约邮报》的文章中包含了含有电子邮件地址和电话号码等个人和私人信息的图片，这违反了该社交网络的规定。     （稿源：cnBeta，封面源自网络。）

据报道，Twitter计划更改平台上有关黑客破解内容的政策。此前，Twitter删除了《纽约邮报》一篇关于民主党总统候选人乔·拜登之子的报道链接。这一决定引来广泛争议。Twitter当时表示，该报道违反了平台上针对黑客破解内容的政策。 Twitter称，其已经屏蔽了指向该报道的链接，因为报道中包含的一些图片为带有个人和私人信息的黑客破解内容。 根据Twitter的法务、政策和信任及安全负责人维哈雅·贾德（Vijaya Gadde）的说法，在收到“大量反馈”后，Twitter决定调整其关于黑客破解内容的政策。 修改有两点。首先，Twitter不会删除黑客破解内容，除非该内容由黑客或与之合作之人直接分享。其次，Twitter将标记相关帖子提供背景信息，而不是直接屏蔽平台上分享的链接。贾德表示，其他Twitter条款仍将适用。比如，如果内容中的图片包含破解得到的电子邮件和电话号码等信息，该内容仍会被删除。 贾德还表示，新的针对黑客破解内容的政策将在未来数天内更新。     （稿源：cnBeta，封面源自网络。）