安全快讯Top News

戴尔、惠普和联想的设备使用过时的 OpenSSL 版本

Binarly 研究人员发现,戴尔、惠普和联想的设备仍在使用过时版本的 OpenSSL 加密库。 OpenSSL软件库允许通过计算机网络进行安全通信,能够有效防止窃听。OpenSSL包含开源的安全套接字协议(SSL)和传输层安全(TLS)协议,研究人员通过分析上述制造商使用的设备的固件图像时发现了问题所在。 专家们分析了作为任何UEFI固件所必要的核心框架之一EDKII,该框架在CryptoPkg组件中的OpenSSL库(OpensslLib)上有自己的子模块和包装器。EDK II 是一个现代化、功能丰富的跨平台固件开发环境,适用于 UEFI 和 UEFI 平台初始化 (PI) 规范。EDKII的主要存储库托管在Github上,并经常更新。但专家们在分析这些厂商的设备时,发现在其固件镜像中使用过时版本的OpenSSL:0.9.8zb、1.0.0a 和 1.0.2j,其中最新的 OpenSSL 版本早在2018 年就已发布。专家们甚至还在部分设备中发现了 更早的、来自2009 年发布的 0.9.8l 版本。 戴尔、惠普和联想部分设备中的 OpenSSL版本 Binarly Platform 在野外检测到的戴尔、惠普和联想设备中 不同OpenSSL 版本占比 Binarly 发布的报告表示,许多与安全相关的固件模块包含明显过时的 OpenSSL 版本。其中一些像 InfineonTpmUpdateDxe 包含的代码早在8年前就已成为易受攻击的“不安全代码”。 专家指出,同一个设备固件代码往往依赖不同版本的OpenSSL。 选择这种设计的原因是第三方代码的供应链依赖于其自己的代码库,而设备固件开发人员通常无法使用这些代码库,这通常会增加供应链的复杂性,带来潜在的安全风险。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350909.html 封面来源于网络,如有侵权请联系删除

Koxic 勒索软件在韩国传播

据悉,Koxic勒索软件正在韩国境内传播。它在今年早些时候首次被发现,最近该团队发现,一个外观和内部勒索笔记都经过修改的文件被检测到,并被ASD基础设施屏蔽。 当感染时,“.KOXIC_[Random string]”扩展名将添加到加密文件的名称中,并在每个目录中生成TXT文件勒索通知。 最近收集的勒索信与BlueCrab(Sodinokibi,REvil)勒索软件的勒索笔记相似,该勒索软件曾在韩国发行。 BlueCrab有自己的网站,并指定用户应该通过TOR浏览器访问它。与BlueCrab相反,Koxic勒索软件通过电子邮件指导联系。 在过去收集的Koxic勒索软件样本中,有些样本的勒索笔记完全不同,有些则与BlueCrab格式几乎相同。但这两个勒索软件之间似乎没有直接联系,因为它们的代码没有相似之处。 另外需要注意的是,部分名称被故意更改以隐藏UPX包装。这种技术被称为UPX技巧,是一种常用的方法,用UPX打包的文件被修改以阻碍分析或绕过AV软件的自动解包。   更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/2027/ 消息来源:ASEC,封面来自网络,译者:Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯 RansomBoggs 勒索软件瞄准乌克兰组织

Hackernews 编译,转载请注明出处: 乌克兰遭受了新一轮勒索软件攻击,类似于此前俄罗斯Sandworm民族国家组织的入侵。 斯洛伐克网络安全公司ESET将这种新型勒索软件称为RansomBoggs,该公司表示,针对多个乌克兰实体的攻击最早是在2022年11月21日被发现的。 该公司在周五的推文中表示:“虽然用.NET编写的恶意软件是新的,但其部署与之前的Sandworm攻击类似。” 与此同时,被微软追踪为Iridium的Sandworm黑客涉嫌于2022年10月使用另一种名为Prestige的勒索软件,对乌克兰和波兰的运输和物流部门发动了一系列攻击。 据称,RansomBoggs活动使用PowerShell脚本分发勒索软件,后者与今年4月份曝光的Industrier2恶意软件攻击中使用的脚本“几乎相同”。 据乌克兰计算机应急响应小组(CERT-UA)称,名为POWERGAP的PowerShell脚本利用一个名为ArguePatch(又名AprilAxe)的加载程序部署了名为CaddyWiper的数据擦除恶意软件。 ESET对这种新型勒索软件的分析表明,它会生成一个随机生成的密钥,在CBC模式下使用AES-256加密文件,并附加“.chsch”文件扩展名。 沙虫(Sandworm)是俄罗斯军事情报机构内部的一个精英对抗黑客组织,多年来在打击关键基础设施方面有着臭名昭著的记录。 该黑客与2017年针对医院和医疗设施的NotPetya网络攻击,以及2015年和2016年针对乌克兰电网的破坏性攻击有关。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

德国:拼写检查功能可能将数据非法跨境传输给第三方

2022年11月3日,德国黑森州数据保护和信息自由专员(HBDI)发布信息,告知黑森州的数据控制者应当紧急检查其使用的浏览器设置,因为在开启基于云的拼写支持功能时,密码等个人数据可能在没有法律依据的情况下被传输给浏览器提供商,这可能违反对个人数据的保护要求。 本文译自《增强的拼写检查:浏览器功能可能会将个人身份信息传输给第三方》(Erweiterte Rechtschreibprüfung: Browser-Funktionalität kann personenbezogene Daten an Dritte übermitteln),原文来自德国黑森州数据保护和信息自由专员官网。 现代网络浏览器在许多方面支持用户尽可能舒适地使用互联网。检查在网页上输入的文字是否正确并提出改进建议的拼写检查功能早已屡见不鲜。 同时,网络浏览器提供商有时也会提供“扩展”、“改进”或“智能”的拼写支持。此时也使用了基于云的功能,例如通过人工智能(AI)实现更好的结果。如果这种基于云的拼写支持是开启的,所有的用户输入数据基本上都被传输到了提供商的服务器中。正如美国一家IT安全公司的调查显示,如果相关网站的运营者没有通过特别的预防措施来防止这种情况,甚至连密码都可以被传送。 HBDI了解到,在一些情况下基于云的拼写支持会在更新时不知不觉地被激活。这导致个人数据无意中被传输到浏览器提供商那里。在此背景下,HBDI紧急建议位于黑森州的数据控制者检查他们使用的浏览器设置,并在必要时进行调整。 如果个人数据已经在没有法律依据的情况下被传输给浏览器提供商,则需要采取进一步行动。根据GDPR第四条第12项,此类个人数据的传输通常属于个人数据泄露。如果数据泄露可能会给自然人的权利和自由带来风险,控制者必须立即并尽可能在72小时内向主管监督机构报告(GDPR第三十三条第1款)。此外,如果数据主体的权利和自由有可能面临高风险,则必须将数据泄露事件通知这些数据主体,不得有不当延迟(GDPR第三十四条第1款)。无论风险如何,数据控制者在任何情况下都必须根据GDPR第三十三条第5款记录数据泄露事件,以便监管机构审查。关于规定的风险评估所需的进一步信息可以在GDPR的第七十五和七十六条以及联邦和各州独立数据保护机构会议的第18号简报中找到。 如果数据控制者担心由于浏览器智能拼写支持功能激活而导致的信息安全风险,可以联系当地的信息安全联系人和/或当地的信息专家。 转自 安全内参,原文链接:https://www.secrss.com/articles/49393 封面来源于网络,如有侵权请联系删除

真实案例!恶意黑客利用物联网设备成功入侵电网

安全内参11月25日消息,微软近期发布一份报告,揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看,已经有黑客利用软件中的漏洞攻击能源组织。 本周二,微软研究人员在一份分析报告中透露,他们在Boa Web Server软件中发现了一个易受攻击的开源组件,被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包(SDK)。 尽管Boa Web Server在2005年就已停止更新,但它仍被广泛应用,并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式,防御方其实很难缓解这一安全缺陷。 微软报告称,恶意黑客试图利用Boa Web Server的多个漏洞,包括一个高危级别的信息泄露漏洞(CVE-2021-33558)和一个任意文件访问漏洞(CVE-2017-9833)。未经身份验证的攻击者可以利用这些漏洞获取用户凭证,并远程执行代码。 “影响该组件的两个漏洞,可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中,恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起,黑客方就能引发更大影响,甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。 微软最初发现这个易受攻击的组件,是在调查一起针对印度电网的入侵事件中。此前,美国威胁情报公司Recorded Future曾在2021年发布报告,详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。 2022年4月,Recorded Future又发布一份报告,介绍了另一个国家支持的恶意黑客团伙。报告称,该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术(OT)网络上开辟登陆点。 在此之后,微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见,这个易受攻击的组件很可能给整个世界带来巨大威胁。 另一个重要问题在于,由于经常被整合在流行的SDK当中,所以很多用户根本不确定自己的产品中是否存在Boa Web Server。比如Realtek SDK,这款软件开发工具包在路由器、接入点及其他网关设备制造商中得到广泛使用,而它正好包含Boa Web服务器。 由于持续观察到针对Boa漏洞的攻击,微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。 转自 安全内参,原文链接:https://www.secrss.com/articles/49412 封面来源于网络,如有侵权请联系删除

Twitter 遭黑客攻击泄露 540 万户数据,影响比想象中严重

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码,预计影响到多达540多万用户。据悉,这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。 威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月,一份发表在Hacker上的报告声称发现了一个漏洞,攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户,即使用户在隐私选项中选择了防止这种情况。 该漏洞允许任何一方在没有任何认证的情况下,通过提交电话号码/电子邮件获得任何用户的twitter ID(这几乎等同于获得一个账户的用户名),即使用户在隐私设置中已经禁止了这一行为。该漏洞的存在是由于Twitter的安卓客户端所使用的授权程序,特别是在检查Twitter账户的重复性的程序。 zhirinovskiy通过漏洞赏金平台HackerOne提交的报告中读到了这样的描述。这是一个严重的威胁,因为人们不仅可以通过电子邮件/电话号码找到那些被限制了能力的用户,而且任何具有基本脚本/编码知识的攻击者都可以枚举一大块之前无法枚举的Twitter用户群(创建一个具有电话/电子邮件到用户名连接的数据库)。这样的数据库可以卖给恶意的一方,用于广告目的,或者用于在不同的恶意活动中给名人打标签。 卖家声称,该数据库包含从名人到公司的用户数据(即电子邮件、电话号码),卖家还以csv文件的形式分享了一份数据样本。 8月,Twitter证实,数据泄露是由研究人员zhirinovskiy通过漏洞赏金平台HackerOne提交的现已修补的零日漏洞造成的,他获得了5040美元的赏金。 据悉,这个错误是由2021年6月对我们的代码进行更新导致的。当我们得知此事时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。 本周,网站9to5mac.com声称,数据泄露的内容比该公司最初报告的要多。该网站报告说,多个威胁者利用了同一个漏洞,网络犯罪地下的数据有不同的来源。去年Twitter的一次大规模数据泄露,暴露了500多万个电话号码和电子邮件地址,比最初报告的情况更糟糕。我们已经看到证据表明,同一个安全漏洞被多人利用,而被黑的数据已经被几个来源提供给暗网出售。 9to5Mac的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性。消息人士告诉该网站,该数据库 “只是他们看到的一些文件中的一个”。似乎受影响的账户只是那些在2021年底启用了 “可发现性|电话选项(在Twitter的设置中很难找到)”的账户。 9to5Mac看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据。专家们推测,多个威胁者可以进入Twitter数据库,并将其与其他安全漏洞的数据相结合。 账号@chadloder(Twitter在消息披露后)背后的安全研究员告诉9to5Mac.电子邮件-Twitter配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的”。该研究人员告诉该网站,他们将与Twitter联系以征求意见,但整个媒体关系团队都离开了该公司。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/_WiUXUxnzepgCuaiq9gCkA 封面来源于网络,如有侵权请联系删除

他们假装应聘偷偷潜入电商公司,目的竟是窃取物流信息

11月、12月是电商狂欢季,随之而来的是大批快递到货。你可知道,客户的物流信息可是香饽饽,总有坏人盯着!否则怎么客户刚下单不久,就接到了诈骗电话。 今年“双十一”以来,浙江慈溪网警大队接到多家电商公司报警,客户刚在网店下单,随后就接到诈骗电话,引发许多客户不满。 电商公司百思不得其解——明明按正常流程发的货,怎么骗子就知道了我们平台的发货信息呢? 慈溪网警对受害网店的电脑进行勘查,发现部分连接打印机的电脑中被植入了不明木马软件。顺线循迹深挖,民警最终确定了犯罪嫌疑人。 慈溪警方果断出击,抓获了一个专门入室安装木马软件盗取打印信息的团伙,而背后的利益链条令人咋舌。 经查,犯罪嫌疑人蒙某和吴某拥有一定技术水平,此前通过境外聊天软件进行交流,购买木马软件。随后,他们在慈溪电商聚集地撒网,通过应聘等方式,寻找可以下手的电商公司。 深夜,他们秘密潜入电商公司,他们从不偷盗,只是在电商公司的办公电脑上安装木马软件,在他们眼中,海量的客户信息远比实物本身更有价值。 这些木马软件已被设置成自动将秘密窃取的客户信息上传到境外服务器,上家一旦通过木马软件获取打印的客户信息,便会支付高额的佣金。 为了赚取佣金,早在“双十一”购物节前夕,犯罪嫌疑人蒙某和吴某就连续多次作案,在慈溪6家电商公司里的电脑上安装了木马软件。 截至案发,他们非法获取物流信息3000余条,目前两名犯罪嫌疑人均已被依法采取刑事强制措施。 网警提醒 电商运营者需严格审核打单人员的资质,加强公司内部的网络安全知识培训,办公电脑务必密码锁屏,谨防客户信息在不知不觉中被窃取。 转自 安全内参,原文链接:https://www.secrss.com/articles/49375 封面来源于网络,如有侵权请联系删除

WhatsApp 数据大泄露,近 5 亿条用户号码在暗网出售

据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。 11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。 公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。 Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。 WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。 除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。 “在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。” 转自 Freebuf,原文链接:https://www.freebuf.com/articles/database/350756.html 封面来源于网络,如有侵权请联系删除

英国与韩国完成脱欧后首个独立数据传输协议

英国已经完成脱欧后的第一个独立数据保护决议,这将允许英国在今年年底之前不受限制地将个人数据安全地转移到韩国。英国政府表示,在7月首次达成原则性协议的新立法,将使两国的企业更容易分享数据,增强合作和增长的机会。这一决定是在对韩国的个人数据立法进行全面评估之后做出的,就评估结果而言,韩国拥有强大的隐私法,将保护数据传输,同时维护英国公民的权利。 消除数据传输障碍将促进研究和创新 英国政府在数字、文化、媒体和体育部的一份新闻稿中表示,一旦生效,新的数据传输协议将消除数据传输的障碍,通过简化协作来促进研究和创新。韩国作为英国增长最快的市场之一,超过三分之二的英国服务出口到韩国。在此之前,各企业需要制定昂贵且耗时的合同保障措施,如标准数据保护条款和有约束力的公司规则。消除这些障碍将为许多中小型企业提供机会,企业可以不为这些负担而担忧。 数据部长Julia Lopez在评论该立法时说:在今年年底之前,企业将能够自由地与韩国共享数据–因为我们知道这些数据将按照英国期望的高隐私标准进行保护。 比欧盟与韩国的协议更广泛 英国政府表示,这不仅是英国自脱欧以来第一个独立数据传输的新协议,它也比欧盟与韩国的数据传输协议更广泛。两项协议之间最重要的区别是,英国机构将能够与韩国分享与信用信息有关的个人数据,以帮助识别客户和验证付款,这将有助于促进在韩国的英国企业信贷、借贷、投资和保险业务。 英国信息专员John Edwards说:我们支持政府进行充分性评估,以使个人数据能够自由地流向世界各地值得信赖的合作伙伴。他补充说,英国信息专员办公室(ICO)在这次对韩国的评估中向政府提供了建议,它对政府承认韩国法律中类似的数据保护权利和法案感到满意。这将为英国企业带来帮助,减少合规的负担,同时确保人们的数据得到负责任的处理。 惠特克公司的全球数据合规总监Tash Whitaker说道:这一决定是在欧盟与韩国合作近一年后作出的,所以很高兴看到英国赶上了欧盟,在允许个人数据跨境自由流动到一个保护措施不损害英国或欧盟GDPR的国家。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350741.html 封面来源于网络,如有侵权请联系删除  

Bahamut 黑客利用虚假 VPN 应用程序攻击 Android 用户

Hackernews 编译,转载请注明出处: 被称为Bahamut的网络间谍组织被认为是一场针对性很强的活动的幕后黑手,该活动利用旨在提取敏感信息的恶意应用程序感染Android设备用户。 斯洛伐克网络安全公司ESET在与《黑客新闻》分享的一份新报告中表示,该活动自2022年1月以来一直处于活跃状态,需要通过一个为此目的而设立的虚假SecureVPN网站分发恶意VPN应用程序。 迄今为止,已经发现了至少8种不同版本的间谍软件应用程序,它们都是合法VPN应用程序的木马版本,如SoftVPN和OpenVPN。 被篡改的应用程序及其更新是通过欺诈网站推送给用户的。人们还怀疑目标是精心挑选的,因为启动应用程序需要受害者输入激活密钥来启用功能。 这意味着使用了一种不确定的传播向量,尽管过去的证据表明,它可以采取鱼叉式网络钓鱼电子邮件、短信或社交媒体应用程序上的直接消息的形式。 激活密钥机制还被设计成与参与者控制的服务器通信,有效地防止恶意软件在非目标用户设备上启动后被意外触发。 Bahamut在2017年被Bellingcat揭露,它是一个黑客雇佣行动,目标是政府官员、人权组织和南亚和中东的其他知名实体,他们使用恶意的Android和iOS应用程序监视受害者。 黑莓在2020年10月指出:“黑莓发现的Bahamut商业技巧中,最显著的一点可能是该集团使用了精心制作的原创网站、应用程序和人物角色。” 今年早些时候,Cyble详细介绍了该组织策划的两组网络钓鱼攻击,目的是推广伪装成聊天应用的假冒Android应用。 最新一波浪潮遵循着类似的轨迹,诱使用户安装看似无害的VPN应用程序,这些应用程序可以窃取大量信息,包括文件、联系人列表、短信、电话录音、位置,以及来自WhatsApp、Facebook Messenger、Signal、Viber、Telegram和微信的消息。 ESET研究人员Lukášštefanko表示:“数据泄露是通过恶意软件的键盘记录功能完成的,它滥用了可访问性服务。” 有迹象表明,该行动得到了很好的维护,在转移到OpenVPN之前,黑客最初将恶意代码打包在SoftVPN应用程序中,这一转变的原因是实际的SoftVPN应用程序停止了工作,无法再建立VPN连接。 Štefanko补充道:“Bahamut APT集团运营的移动营销活动仍然活跃;它使用的方法与过去一样,通过冒充或伪装成合法服务的网站分发其Android间谍软件应用程序。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文