安全快讯Top News

iCloud 遭入侵:Cameo CEO 损失无聊猿 NFT 等逾 20 万美元加密资产

Cameo 联合创始人 Steven Galanis 表示,因苹果 iCloud 账户(Apple ID)遭黑客入侵,其于本周六损失了包括“无聊猿”(BAYC)在内的多个“非同质化代币”(NFT)、以及价值超 7 万美元的其它加密货币 —— 总损失超过了 20 万美元。 由 Steven Galanis 分享的账单记录可知,其于今年 1 月以 31.9 万美元的价格购入 BAYC NFT,结果上周末被黑客以 13 万美元的低价给迅速抛售。 除了 NFT,他的损失还包括 Yuga Labs 即将推出的 BAYC 元宇宙游戏里的一些土地(Otherdeed land NFT)、价值 6.9 万美元的 APE Coin、以及近 4000 美元的 ETH 。 至于 Steven Galanis 联合创立的 Cameo,其允许网友购买来自数千位名人的定制视频内容,比如 Caitlyn Jenner、Lindsay Lohan 和 Ice T 。 该应用程在 COVID 大流行初年很受欢迎,并于 2020 年创造了超 1 亿美元的营收 —— 然而今年 5 月,该公司还是在大环境遇冷的情况下,削减了 25% 的雇员。 虽然 Steven Galanis 没有披露除苹果 iCloud 账户被黑客入侵之外的更多细节,但近年来针对名人的此类攻击并不是头一遭。 此外今年 4 月,人们发现在 iPhone 上使用 MetaMask 钱包的话,后台会自动将密码助记词,备份到关联的 iCloud 账户中。 那样在入侵了某人的 iCloud 账户后,也意味着能够随意访问这些内容,进而完全掌控受害者的加密钱包账户。(4 月一男子因此损失价值超 65 万美元的 NFT 和加密代币) 一位区块链调查人员当时在 Twitter 上写道:“在某人被窃取多达 65 万美元的加密资产之后,此类事件也将很快发生在更多人身上”。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1301987.htm 封面来源于网络,如有侵权请联系删除

美国海军发起“网络龙行动”预计培养数百名网络安全人才

马里兰州杰瑟普在米德堡的边境地区,美国海军正在采取串联方式进行网络防御和人才培养。 由美国舰队网络司令部授权的首席准尉斯科特布赖森的心血结晶“赛博龙行动”,旨在修复虚拟漏洞一点一点地支撑系统同时培养新一波的网络安全专业知识。“我们这样做是为了继续减轻和加强我们的攻击媒介,并更好地保护我们的网络,”布赖森在7月22日对记者说。 据悉,Cyber Dragon于3月启动,目前该计划的第二阶段正在进行中。在目前的形势下,该行动的重点是加强非机密网络并根除常见的、普遍存在的数字弱点:松懈的安全设置、容易猜到的凭据、未打补丁的软件等等。 官员们表示,这样做会使黑客更难闯入并造成严重破坏。据海军称,最初在服务网络上发现了大约 14,500 个需要解决的问题。每个都可能成为对手的立足点,尤其是在网络冲突加剧的时候。负责信息战的海军作战部副部长杰弗里·特鲁斯勒(Jeffrey Trussler)在2月份的一份备忘录中警告水手们,“针对企业和美国基础设施的网络攻击的频率和复杂性正在增加。” 为了应对如此庞大且不断变化的工作量,需要人力。所以布赖森求助于储备,包括那些不一定能熟练使用网络的人。“我去了第 10 舰队的预备役部队,我想出了一个训练计划。我说,’好吧,如果你给我 X 天的 X 数量的水手,我认为我们可以得到一定百分比的漏洞,修补和扫描。预备队通过人员配备,他们通过空间。“布赖森说。 据参与这项工作的官员称,到目前为止,Cyber Dragon 团队已经发现并修复了数千个问题——从几次“高调曝光”到默认用户名和密码 ,再到发现“我们不希望数据存在的数据”。 “默认用户名和密码意味着任何人都可以在这些特定机器上登录并执行。现在,它们与国家安全无关。没有直接关系到国家安全的重大问题,”美国第 10 舰队舰队网络司令部副司令、海军少将史蒂夫·唐纳德说。“但在某些情况下,它可能会对个人造成伤害、身份盗窃或类似性质的事情。我们能够关闭它。” 团队还关注潜在的欺骗证书、有风险的软件使用和云管理问题。大约50名水手接受了最先进的攻击面管理软件的培训,用于发现、分类和评估组织资产的安全性,预计未来几个月还将有 100 人接受同样的教育。 具有网络和技术背景的预备役军人布莱克·布雷兹中尉表示,这次行动提高了他对该领域和海军网络安全的理解。“我留在预备队的最大动机是我想接近战斗,以防我们的一些近乎同行的对手变得有趣,”布拉兹说。“可以这么说,我们并没有直接与敌人接触,但我们正在努力阻止他们进入我们网络的途径。” 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/izSWfzO5o25UCe_Ib8rb6A 封面来源于网络,如有侵权请联系删除

微软 365 网络钓鱼攻击中滥用 Snapchat 和 Amex 网站

Bleeping Computer 网站披露,攻击者在一系列网络钓鱼攻击中滥用 Snapchat 和美国运通网站上的开放重定向,以期窃取受害者 Microsoft 365 凭证。 据悉,开放式重定向作为 Web 应用程序的弱点,允许威胁者使用受信任网站的域名作为临时登陆页面,以简化网络钓鱼攻击。 在以往的网络攻击案例中,重定向一般被用来将目标重定向到恶意网站,使其感染恶意软件或诱使其交出敏感信息(如登录凭证、财务信息、个人信息等)。 发现此次网络攻击的电子邮件安全公司 Inky 表示,被“操纵”的链接中第一个域名实际上是原网站的域名,受信任的域名(如美国运通,Snapchat)在浏览者被转到恶意网站之前,充当了一个临时登陆页面。 冒充 Microsoft (Inky) 的网络钓鱼电子邮件 恶意重定向锁定了成千上万的潜在受害者 据 Inky 研究人员称,在两个半月内,从谷歌和微软 365 劫持的 6812 封钓鱼邮件中使用了 Snapchat 的开放重定向,这些电子邮件冒充 Microsoft、DocuSign 和 FedEx,并将收件人重定向到旨在获取 Microsoft 凭据的登录页面。 值得一提的是,一年前(2021 年 8 月 4 日),研究人员已经通过开放平台 Bug Bounty 将 Snapchat 漏洞报告给了其所属公司,但目前开放的重定向还没有修补。美国运通的开放式重定向在 7 月下旬被利用了几天后,很快就打上了补丁,新的尝试攻击目前会链接到美国运通的一个错误页面上。 美国运通打开重定向的错误页面 (Inky) 在漏洞问题解决之前,美国运通的开放重定向被用于 2029 封使用微软 Office 365 诱饵的钓鱼邮件中,这些邮件从刚注册的域名发出,旨在将潜在的受害者引向微软凭证采集网站。 另外,Inky 表示,攻击者在利用 Snapchat 和美国运通的漏洞过程中,将个人身份信息 (PII) 插入到 URL 中,以便可以为个别受害者即时定制恶意登录页面。以上两种情况,插入都是通过将其转换为 Base 64 编码来伪装的,使其看起来像一堆随机字符。 为防范此类网络攻击,Inky 建议用户在收到电子邮件后,仔细检查“url=”、“redirect=”、“xternal-link”或“proxy”字符串或电子邮件中嵌入的 URL 中,是否多次出现“HTTP”可能显示指示的重定向。 另外,强烈建议网站所有者实施外部重定向免责声明。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341287.html 封面来源于网络,如有侵权请联系删除

微软阻止 Tutanota 电子邮件地址注册 MS Teams 帐户

Hackernews 编译,转载请注明出处: 微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。 Tutanota是一款端到端加密的电子邮件应用程序和免费增值安全电子邮件服务,截至2017年3月,Tutanota称用户已经超过200万。 “大西洋两岸的政客们正在讨论制定更强有力的反垄断法来监管大型科技公司——正如微软团队阻止Tutanota用户访问那样,这些法律是非常有必要的。大型科技公司有市场力量,可以通过一些非常简单的方法来伤害小型竞争对手,比如拒绝小公司的客户使用自己的服务。这家德国电子邮件服务提供商分享了一条评论,“目前,微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。这种严重的反竞争做法迫使我们的客户注册第二个电子邮件地址(可能来自Microsoft),以创建Teams帐户。” 微软不会将该公司识别为电子邮件服务,而是将其视为公司地址。Tutanota用户第一次注册Teams帐户时,其域被识别为公司,因此,其他使用该流行电子邮件服务的用户都无法注册其账户,并被要求联系其管理员。 Tutanota联合创始人Matthias Pfau表示:“我们多次试图与微软解决这个问题,但不幸的是,我们的请求被忽视了。” “微软只需更改Tutanota是电子邮件服务的设置,这样每个人都可以注册个人帐户,但他们(微软)表示这样的更改是不可能的。” 让我们看看微软是否会解决这个问题,允许200万用户使用其MS Teams服务。 消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

NHS 遭网络攻击,系统出现重大故障

英国国家卫生服务(NHS)的111紧急服务受到网络攻击,继而引发了重大影响,服务系统出现持续性中断,该攻击袭击了英国管理服务提供商(MSP)Advanced的系统。 根据NHS111服务的介绍页面,85% 的 NHS 111 服务都使用了Advanced 的 Adastra 客户患者管理解决方案,该解决方案与 MSP 提供的其他几项服务一起遭遇重大中断 。 威尔士救护车服务中心近日称用于将病人从威尔士的国家医疗服务体系转诊到小时外全科医生的NHS计算机系统发生了重大故障,该系统是由地方卫生局用来协调病人转诊的。此次持续的故障是非常重大的,故障造成的影响也十分深远,英国全境都因此受到了不同程度的影响。NHS建议英国公众在此次事件得到解决之前,先使用在线平台访问NHS 111紧急服务。 Advanced首席运营官确认了网络攻击 目前为止,公众暂时无法查看Advanced状态页面,Advanced的首席运营官Simon Short证实,该故障事件是由周四上午发现的网络攻击造成的。 Simon Short在BBC上发表声明称,近日发现的安全问题造成了此次服务的故障,他们可以确认,该事件与网络攻击有关,作为预防措施,Advanced立即隔离了该组织所有的健康和护理环境。Advanced的事件响应小组的早期干预将这个问题控制在少数服务器上,这些问题服务器约占Advanced使用的健康和护理基础服务器的2%。 虽然没有提供有关网络攻击性质的细节,但根据Advanced的首席运营官的发言推测,此次事件可能是一个勒索软件或数据勒索攻击。Advanced为22,000多个全球客户提供商业软件服务,这些客户来自不同的行业垂直领域,从医疗保健和教育到非营利组织,MSP的客户名单包括NHS、英国工作和养老金部(DWP)以及伦敦城市机场。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341264.html 封面来源于网络,如有侵权请联系删除

GwisinLocker:专门针对韩国的勒索软件

Hackernews 编译,转载请注明出处: 研究人员警告称,一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司,其名称来自作者“Gwisin”(韩语中的幽灵)的名字。 勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示,韩国警方,国家情报局和KISA等韩国实体的名称也出现在勒索信上。 据当地媒体报道,Gwisin黑客在公休日和凌晨攻击了韩国公司。 Windows系统上的攻击链利用MSI安装程序,需要一个特殊值作为参数来运行MSI中包含的DLL文件。 “它类似于Magniber,因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同,Gwisin本身不执行恶意行为,它需要为执行参数提供特殊值,该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动,因此很难检测到Gwisin,勒索软件的内部DLL通过注入正常的Windows进程来运行,对于每个受攻击的公司来说,这个过程都是不同的。” GwisinLocker勒索软件能够在安全模式下运行,它首先将自身复制到ProgramData的某个路径,然后在强制系统重新启动之前注册为服务。 Reversinglabs的研究人员分析了勒索软件的Linux版本,他们指出这是一种复杂的恶意软件,具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合,为每个文件生成唯一密钥。 Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站,才能与黑客取得联系。 “对更大规模的GwisinLocker活动的分析和公开报道表明,勒索软件掌握在复杂的黑客手中,他们在部署勒索软件之前获得了对目标环境的访问和控制权,这包括识别和窃取敏感数据,用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明,他们熟悉韩语以及韩国政府和执法部门。因此人们猜测,Gwisin可能是一个与朝鲜有关的高级持续威胁(APT)组织。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

成千上万的黑客正涌向”黑暗公用事业”:C2-as-a-Service

安全研究人员发现了一种名为”黑暗公用事业”的新服务,它为网络犯罪分子提供了一种简单而廉价的方式,为其恶意行动建立一个指挥和控制(C2)中心。Dark Utilities服务为威胁者提供了一个支持Windows、Linux和基于Python的恶意程序载荷的平台。 C2服务器指的是攻击者在外部控制其恶意软件的方式,发送命令、配置和新的有效载荷,并接收从被攻击系统收集的数据。 “黑暗公用事业”的运作是一种”C2即服务”(C2-as-a-Service),它对外宣称可以提供可靠、匿名的C2基础设施和所有必要的附加功能,起价仅为9.99欧元。 思科Talos的一份报告称,该服务有大约3000名活跃用户,这将为运营商带来大约3万欧元的收入。 Dark Utilities在2022年初出现,在Tor网络和透明网络上提供全面的C2能力,并在IPFS – 一个用于存储和共享数据的分散的网络系统中托管恶意软件载荷。 所提供的恶意软件一条龙服务还支持多种架构,而且这一运营商似乎正计划扩大该列表,以提供一套更大的可能成为目标的设备选项。 思科Talos研究人员说,选择操作系统会产生一个命令字符串,”威胁者通常会将其嵌入PowerShell或Bash脚本中,以方便在受害者机器上检索和执行恶意载荷”。 所选的载荷还通过在Windows上创建一个注册表键,或在Linux上创建一个Crontab条目或一个Systemd服务,在目标系统上建立了持久存在。 根据研究人员的说法,客户的管理面板带有多种模块,用于各种类型的攻击,包括分布式拒绝服务(DDoS)和加密劫持。 由于数以万计的威胁者已经订阅,而且价格低廉,Dark Utilities可能会吸引更多不太熟练的对手。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1301527.htm 封面来源于网络,如有侵权请联系删除

研究人员锁定伊朗对阿尔巴尼亚政府实施的网络攻击行为

7月中旬,一场针对阿尔巴尼亚政府的网络攻击使国家网站和公共服务中断了数小时。随着俄罗斯在乌克兰的战争肆虐,克里姆林宫似乎是最可能的嫌疑人。但威胁情报公司Mandiant周四发表的研究报告将这次攻击归咎于伊朗。虽然德黑兰的间谍活动和数字干预已经在世界各地出现,但曼迪安特的研究人员说,来自伊朗对一个北约成员国的破坏性攻击是一个值得注意的行动升级。 阿尔巴尼亚 地拉那 7月17日针对阿尔巴尼亚的数字攻击发生在”自由伊朗世界峰会”之前,该会议定于7月23日和24日在阿尔巴尼亚西部的马涅兹镇召开。该峰会隶属于伊朗反对派组织(通常缩写为MEK、PMOI或MKO)。但会议在预定开始的前一天被推迟,因为据说有未指明的”恐怖主义”威胁。 Mandiant研究人员说,攻击者部署了Roadsweep系列的勒索软件,可能还利用了一个以前未知的后门,被称为Chimneysweep,以及Zeroclear擦除工具的一个新变种。Mandiant发现,过去使用类似的恶意软件,攻击的时间,Roadsweep勒索软件说明中的其他线索,以及在Telegram上声称对攻击负责的行为人的活动都指向伊朗。 Mandiant的情报副总裁John Hultquist说:”这是一个积极的升级步骤,我们必须承认。伊朗的间谍活动在世界各地一直在发生。这里的区别是这不是间谍活动。这些是破坏性的攻击,影响到生活在北约联盟内的阿尔巴尼亚人的日常生活。而且,这基本上是一种胁迫性的攻击,以迫使政府出手。” 伊朗在中东,特别是在以色列进行了广泛的黑客活动,其国家支持的黑客已经渗透和探测了制造、供应和关键基础设施组织。2021年11月,美国和澳大利亚政府警告说,伊朗黑客正在积极努力获取与运输、医疗保健和公共卫生实体等相关的一系列网络。国土安全部网络安全和基础设施安全局当时写道:”这些伊朗政府资助的APT行为者可以利用这种访问进行后续行动,如数据渗出或加密、勒索软件和敲诈。” 不过,德黑兰已经限制了其攻击的范围,在全球范围内主要保持数据渗透和侦察。然而,该国也参与了影响行动、虚假信息活动和干预外国选举的努力,包括针对美国。 Hultquist说:”我们已经习惯于看到伊朗在中东地区咄咄逼人,这种活动从未停止过,但在中东以外的地区,他们一直都很克制。我担心他们可能更愿意在该地区之外利用其能力。而且他们显然对针对北约国家毫无顾忌。” 由于伊朗声称它现在有能力生产核弹头,而且该国代表与美国官员在维也纳就可能恢复两国之间的2015年核协议进行了会晤,任何关于伊朗在与北约打交道时可能的意图和风险容忍度的信号都是重要的。 阅读研究报告以了解更多: https://www.mandiant.com/resources/likely-iranian-threat-actor-conducts-politically-motivated-disruptive-activity-against?1 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1301675.htm 封面来源于网络,如有侵权请联系删除

Twitter 证实,零日漏洞致 540 万账户数据泄露

Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份,Hacker 上发布的一份报告声称发现了一个漏洞,攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户,即使用户已选择在隐私选项中阻止这种情况。 “该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID(这几乎等于获取账户的用户名),即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程,特别是在检查 Twitter 账户重复的过程中,存在该错误。”zhirinovskiy 提交的报告中指出:“通过漏洞赏金平台 HackerOne,这是一个严重的威胁,因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户,而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前(创建一个带有电话/电子邮件到用户名连接的数据库)。此类基地可以出售给恶意方用于广告目的,或用于在不同的恶意活动中对名人进行攻击。” 卖家声称该数据库包含从名人到公司的用户数据(即电子邮件、电话号码)。卖家还以 csv 文件的形式分享了一份数据样本。 在帖子发布几个小时后,Breach Forums 的所有者验证了泄漏的真实性,并指出它是通过上述 HackerOne 报告中的漏洞提取的。 “我们下载了样本数据库进行验证和分析。它包括来自世界各地的人,拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。” 卖家告诉 RestorePrivacy,他要求为整个数据库至少支付 30,000 美元。 现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。 Twitter 确认了此漏洞的存在,并授予了 zhirinovskiy 5,040美元的奖金。 “我们想让你知道一个漏洞,该漏洞允许某人在登录流程中输入电话号码或电子邮件地址,以试图了解该信息是否与现有的 Twitter 账户相关联,如果是,哪个特定账户。” Twitter 的公告。“在 2022 年 1 月,我们通过我们的漏洞赏金计划收到了一份漏洞报告,该漏洞允许某人识别与账户关联的电子邮件或电话号码,或者,如果他们知道某人的电子邮件或电话号码,他们可以识别他们的 Twitter 账户,如果存在的话,”这家社交媒体公司继续说道。 “这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。” 该公司正在通知受影响的用户,它还补充说,它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码,但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证,以保护其账户免受未经授权的登录。 BleepingComputer报告说,两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/G9mHzpFpEcbLzwDb1KpuMg 封面来源于网络,如有侵权请联系删除

CISA 将 Zimbra 电子邮件漏洞添加到被利用漏洞目录中

Hackernews 编译,转载请注明出处: 8月4日,美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了最近披露的Zimbra电子邮件中的高危漏洞,有证据表明该漏洞被积极利用。 追踪为CVE-2022-27924(CVSS评分:7.5),这是平台中的命令注入漏洞,可能导致执行任意Memcached命令并窃取敏感信息。 CISA表示:“Zimbra Collaboration允许攻击者将memcached命令注入目标实例,从而导致任意缓存条目的覆盖。” 具体而言,该漏洞与用户输入验证不足有关,如果成功利用该漏洞,攻击者可以从目标Zimbra实例的用户那里窃取明文凭据。 SonarSource于6月披露了该漏洞,2022年5月10日Zimbra发布了8.8.15版本P31.1和9.0.0版本P24.1的补丁。 CISA尚未透露在野外利用该漏洞进行攻击的技术细节,也尚未将其归因于某个黑客。 鉴于该漏洞被积极利用,建议用户对软件进行更新,以减少潜在的网络攻击。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文