黑客通过钓鱼攻击入侵数十个 Chrome 扩展植入后门
2025-01-04 23:10 by 太阳之塔
圣诞节前夕,数据丢失预防服务 Cyberhaven 的开发者收到了据称来自 Google 的邮件,称该公司的 Chrome 扩展没有遵守 Google 的条款,要求立即采取行动,否则扩展将会被下架。邮件包含的链接指向了一个 Google 同意屏幕,要求获得 OAuth 应用 Privacy Policy Extension 的访问授权。Cyberhaven 的一名开发者同意了授权,攻击者利用该授权向 Chrome Web Store 上传了包含后门的新版本。从 12 月 25 日 1:32 AM UTC 到 26 日 2:50 AM UTC 之间,运行中的 Chrome 浏览器会自动下载恶意版本 v24.10.4。Cyberhaven 注意到这一安全事件,迅速释出了新版本。这一攻击事件公开之后,安全研究人员发现至少 36 个 Chrome 扩展遭到了相似的钓鱼攻击,其中部分被植入后门的恶意扩展在 Chrome Web Store 存在了 18 个月之久。这些扩展的总安装量约 260 万。大部分受影响扩展与 AI 工具和 VPN 相关,如 GPT 4 Summary with OpenAI,Proxy SwitchyOmega(V3),Wayin AI,AI Assistant - ChatGPT and Gemini for Chrome,等等。
https://arstechnica.com/security/2025/01/dozens-of-backdoored-chrome-extensions-discovered-on-2-6-million-devices/
https://www.extensiontotal.com/cyberhaven-incident-live
#安全
2025-01-04 23:10 by 太阳之塔
圣诞节前夕,数据丢失预防服务 Cyberhaven 的开发者收到了据称来自 Google 的邮件,称该公司的 Chrome 扩展没有遵守 Google 的条款,要求立即采取行动,否则扩展将会被下架。邮件包含的链接指向了一个 Google 同意屏幕,要求获得 OAuth 应用 Privacy Policy Extension 的访问授权。Cyberhaven 的一名开发者同意了授权,攻击者利用该授权向 Chrome Web Store 上传了包含后门的新版本。从 12 月 25 日 1:32 AM UTC 到 26 日 2:50 AM UTC 之间,运行中的 Chrome 浏览器会自动下载恶意版本 v24.10.4。Cyberhaven 注意到这一安全事件,迅速释出了新版本。这一攻击事件公开之后,安全研究人员发现至少 36 个 Chrome 扩展遭到了相似的钓鱼攻击,其中部分被植入后门的恶意扩展在 Chrome Web Store 存在了 18 个月之久。这些扩展的总安装量约 260 万。大部分受影响扩展与 AI 工具和 VPN 相关,如 GPT 4 Summary with OpenAI,Proxy SwitchyOmega(V3),Wayin AI,AI Assistant - ChatGPT and Gemini for Chrome,等等。
https://arstechnica.com/security/2025/01/dozens-of-backdoored-chrome-extensions-discovered-on-2-6-million-devices/
https://www.extensiontotal.com/cyberhaven-incident-live
#安全
更多美国电信公司披露被中国黑客入侵
2025-01-06 22:10 by 伦敦场地
在 AT&T、Verizon、 Lumen Technologies 和 T-Mobile 之后,又有三家美国电信公司—— Charter Communications、Consolidated Communications 和 Windstream——据报道被中国黑客组织 Salt Typhoon 入侵。黑客还利用未及时打上补丁的 Fortinet 设备漏洞,入侵了思科的大型网络路由器。中国否认了入侵,指责美国散布虚假信息。对于最新的报道,思科和 Fortinet 拒绝置评。
https://www.reuters.com/business/media-telecom/chinese-hack-us-telecoms-compromised-more-firms-than-previously-known-wsj-says-2025-01-05/
#安全
2025-01-06 22:10 by 伦敦场地
在 AT&T、Verizon、 Lumen Technologies 和 T-Mobile 之后,又有三家美国电信公司—— Charter Communications、Consolidated Communications 和 Windstream——据报道被中国黑客组织 Salt Typhoon 入侵。黑客还利用未及时打上补丁的 Fortinet 设备漏洞,入侵了思科的大型网络路由器。中国否认了入侵,指责美国散布虚假信息。对于最新的报道,思科和 Fortinet 拒绝置评。
https://www.reuters.com/business/media-telecom/chinese-hack-us-telecoms-compromised-more-firms-than-previously-known-wsj-says-2025-01-05/
#安全
俄罗斯 ISP Nodex 遭乌克兰网络攻击导致全面断网
2025-01-08 13:52 by 飞向阿尔孔
Netblocks 的监测显示,俄罗斯圣彼得堡 ISP Nodex 的固网和移动网络全面瘫痪,这一事件目前还在持续之中。该公司报告它遭受了乌克兰的网络攻击,导致其网络被破坏。而乌克兰黑客组织 Ukraine Cyber Alliance 称他们删除了包括备份在内的 Nodex 数据。
https://mastodon.social/@netblocks/113789745955998119
#安全
2025-01-08 13:52 by 飞向阿尔孔
Netblocks 的监测显示,俄罗斯圣彼得堡 ISP Nodex 的固网和移动网络全面瘫痪,这一事件目前还在持续之中。该公司报告它遭受了乌克兰的网络攻击,导致其网络被破坏。而乌克兰黑客组织 Ukraine Cyber Alliance 称他们删除了包括备份在内的 Nodex 数据。
https://mastodon.social/@netblocks/113789745955998119
#安全
美国政府称删除了中国黑客通过 USB 设备植入的恶意程序
2025-01-15 14:49 by 穹顶之下
美国司法部周二宣布清除了中国黑客在数千台电脑中植入的恶意程序。被称为 PlugX 的恶意程序感染了全世界数千台电脑,主要用于窃取信息。黑客组织被称为 Mustang Panda 和 Twill Typhoon,恶意程序主要通过感染的 USB 设备传播。安全公司 Sekoia 在 2023 年 9 月识别了 PlugX 的 CC 设施,它随后与法国执法部门合作于 2024 年 7 月控制了该设施。FBI 与法国当局合作,识别了 PlugX 感染的美国设备,向每台设备发送自我删除指令。
https://www.reuters.com/technology/cybersecurity/us-removes-malware-allegedly-planted-computers-by-chinese-backed-hackers-2025-01-14/
#安全
2025-01-15 14:49 by 穹顶之下
美国司法部周二宣布清除了中国黑客在数千台电脑中植入的恶意程序。被称为 PlugX 的恶意程序感染了全世界数千台电脑,主要用于窃取信息。黑客组织被称为 Mustang Panda 和 Twill Typhoon,恶意程序主要通过感染的 USB 设备传播。安全公司 Sekoia 在 2023 年 9 月识别了 PlugX 的 CC 设施,它随后与法国执法部门合作于 2024 年 7 月控制了该设施。FBI 与法国当局合作,识别了 PlugX 感染的美国设备,向每台设备发送自我删除指令。
https://www.reuters.com/technology/cybersecurity/us-removes-malware-allegedly-planted-computers-by-chinese-backed-hackers-2025-01-14/
#安全
微软 1 月例行更新修复 161 个漏洞
2025-01-15 16:02 by 环游黑海历险记
微软周二释出了 2025 年 1 月的例行安全更新,修复了多达 161 个安全漏洞,其中包括 3 个正被利用的 0day。三个 0day 的编号分别为 CVE-2025-21333、CVE-2025-21334 以及 CVE-2025-21335,是连续的三个漏洞,都位于 Windows Hyper-V 中,都属于提权漏洞。修复的漏洞中还有危险等级高达 9.8/10 的,其中之一是 CVE-2025-21298,攻击者通过诱惑目标打开恶意 .rtf 文件去执行任意代码,微软警告该漏洞很可能被利用。
https://krebsonsecurity.com/2025/01/microsoft-happy-2025-heres-161-security-updates/
#安全
2025-01-15 16:02 by 环游黑海历险记
微软周二释出了 2025 年 1 月的例行安全更新,修复了多达 161 个安全漏洞,其中包括 3 个正被利用的 0day。三个 0day 的编号分别为 CVE-2025-21333、CVE-2025-21334 以及 CVE-2025-21335,是连续的三个漏洞,都位于 Windows Hyper-V 中,都属于提权漏洞。修复的漏洞中还有危险等级高达 9.8/10 的,其中之一是 CVE-2025-21298,攻击者通过诱惑目标打开恶意 .rtf 文件去执行任意代码,微软警告该漏洞很可能被利用。
https://krebsonsecurity.com/2025/01/microsoft-happy-2025-heres-161-security-updates/
#安全
万事达卡 DNS 错误存在了五年之久
2025-01-23 18:17 by 发条女孩
安全研究人员发现信用卡巨头万事达卡的 DNS 服务器存在域名配置错误,可能会导致其流量被恶意攻击者拦截。该问题存在了五年之久。安全公司 Seralys 的创始人 Philippe Caturegli 发现,从 2020 年 6 月到 2025 年 1 月,万事达卡五个 DNS 服务器之一的域名存在拼写错误,错误地指向了 akam.ne 而不是 akam.net。他花了 300 美元通过尼日尔域名管理机构注册了该域名,以防止域名被利用。万事达卡表示拼写错误已修正,坚称其系统没有风险。
https://krebsonsecurity.com/2025/01/mastercard-dns-error-went-unnoticed-for-years/
#安全
2025-01-23 18:17 by 发条女孩
安全研究人员发现信用卡巨头万事达卡的 DNS 服务器存在域名配置错误,可能会导致其流量被恶意攻击者拦截。该问题存在了五年之久。安全公司 Seralys 的创始人 Philippe Caturegli 发现,从 2020 年 6 月到 2025 年 1 月,万事达卡五个 DNS 服务器之一的域名存在拼写错误,错误地指向了 akam.ne 而不是 akam.net。他花了 300 美元通过尼日尔域名管理机构注册了该域名,以防止域名被利用。万事达卡表示拼写错误已修正,坚称其系统没有风险。
https://krebsonsecurity.com/2025/01/mastercard-dns-error-went-unnoticed-for-years/
#安全
秘密后门使用“魔法封包”感染企业 VPN
2025-01-25 00:49 by 海底两万里
当攻击者利用后门在目标网络获得访问权限之后,他们希望其努力成果不会被竞争对手利用或被安全软件监测出。他们可使用的一种应对之策是为后门配备一个被动代理,该代理将保持休眠状态,直到接收到“魔法封包”。安全公司 Lumin Technology 的研究人员报告了 J-Magic 后门使用“魔法封包”悄悄控制了数十个运行 Juniper Network Junos OS 的企业 VPN。J-Magic 是轻量级后门程序,只运行在内存之中,这增加了其被安全软件检测出的难度。研究人员是在 VirusTotal 上发现了 J-Magic,发现它在 36 个组织的网络内运行,他们不清楚后门是如何安装的。J-Magic 从 2023 年中期至少活跃到 2024 年中期,其目标覆盖半导体、能源、制造业和 IT 垂直企业。
https://blog.lumen.com/the-j-magic-show-magic-packets-and-where-to-find-them/
https://arstechnica.com/security/2025/01/backdoor-infecting-vpns-used-magic-packets-for-stealth-and-security/
#安全
2025-01-25 00:49 by 海底两万里
当攻击者利用后门在目标网络获得访问权限之后,他们希望其努力成果不会被竞争对手利用或被安全软件监测出。他们可使用的一种应对之策是为后门配备一个被动代理,该代理将保持休眠状态,直到接收到“魔法封包”。安全公司 Lumin Technology 的研究人员报告了 J-Magic 后门使用“魔法封包”悄悄控制了数十个运行 Juniper Network Junos OS 的企业 VPN。J-Magic 是轻量级后门程序,只运行在内存之中,这增加了其被安全软件检测出的难度。研究人员是在 VirusTotal 上发现了 J-Magic,发现它在 36 个组织的网络内运行,他们不清楚后门是如何安装的。J-Magic 从 2023 年中期至少活跃到 2024 年中期,其目标覆盖半导体、能源、制造业和 IT 垂直企业。
https://blog.lumen.com/the-j-magic-show-magic-packets-and-where-to-find-them/
https://arstechnica.com/security/2025/01/backdoor-infecting-vpns-used-magic-packets-for-stealth-and-security/
#安全
大英博物馆遭前 IT 雇员攻击而部分关闭
2025-01-26 00:01 by 穿越时空的少女
大英博物馆(British Museum)网络基础设施遭被解雇的 IT 雇员破坏而于周五部分关闭。博物馆本周末继续开放,但付费展如丝绸之路展只有少数持票者能参观,因为管理预订的 IT 系统无法使用。博物馆发言人称,上周被解雇的 IT 合同工周四晚上闯入博物馆关闭了多个系统,警察到场逮捕了他。
https://www.theguardian.com/culture/2025/jan/24/british-museum-forced-to-partly-close-after-alleged-it-attack-by-former-employee
#安全
2025-01-26 00:01 by 穿越时空的少女
大英博物馆(British Museum)网络基础设施遭被解雇的 IT 雇员破坏而于周五部分关闭。博物馆本周末继续开放,但付费展如丝绸之路展只有少数持票者能参观,因为管理预订的 IT 系统无法使用。博物馆发言人称,上周被解雇的 IT 合同工周四晚上闯入博物馆关闭了多个系统,警察到场逮捕了他。
https://www.theguardian.com/culture/2025/jan/24/british-museum-forced-to-partly-close-after-alleged-it-attack-by-former-employee
#安全
研究人员发现中欧电网用非加密无线信号控制
2025-01-26 23:36 by 星髓
在上月底举行的 38C3 混沌计算机俱乐部会议上,研究人员披露中欧地区的可更新能源设施使用未加密无线电信号接收命令向电网输送或切断电力。研究人员是在分析柏林路灯使用的无线电接收器时意外获得这一发现的,他们试图通过逆向工程无线电接收器去控制柏林全市的路灯去展示能从空中看到的特定模式,结果意外发现控制可更新能源设施的系统与控制路灯的系统相同。安装在路灯上的接收器也用于小型太阳能发电厂这一事实并不令他们感到惊讶,他们感到震惊的是其规模。研究人员估计,在特定条件下向发电设施发送一系列恶意信息足以摧毁整个欧洲电网。电网安全专家对此说法持怀疑态度。
https://arstechnica.com/security/2025/01/could-hackers-use-new-attack-to-take-down-european-power-grid/
#安全
2025-01-26 23:36 by 星髓
在上月底举行的 38C3 混沌计算机俱乐部会议上,研究人员披露中欧地区的可更新能源设施使用未加密无线电信号接收命令向电网输送或切断电力。研究人员是在分析柏林路灯使用的无线电接收器时意外获得这一发现的,他们试图通过逆向工程无线电接收器去控制柏林全市的路灯去展示能从空中看到的特定模式,结果意外发现控制可更新能源设施的系统与控制路灯的系统相同。安装在路灯上的接收器也用于小型太阳能发电厂这一事实并不令他们感到惊讶,他们感到震惊的是其规模。研究人员估计,在特定条件下向发电设施发送一系列恶意信息足以摧毁整个欧洲电网。电网安全专家对此说法持怀疑态度。
https://arstechnica.com/security/2025/01/could-hackers-use-new-attack-to-take-down-european-power-grid/
#安全
WhatsApp 称记者等成为以色列间谍软件的目标
2025-02-01 20:33 by 时间秘史
WhatsApp 警告近百名记者和公民社团成员成为以色列公司 Paragon Solutions 的间谍软件的攻击目标。目前不清楚幕后攻击者的身份,类似其它间谍软件开发商,Paragon 的产品主要供政府客户使用,WhatsApp 表示无法确定下令攻击的客户身份。Paragon 间谍软件使用了零点击漏洞,也就是目标不需要点击任何恶意链接就会被感染。WhatsApp 拒绝披露受害者的位置,它已经向 Paragon 发去了“中止令(cease and desist)”信函,考虑采取法律行动。Paragon 的间谍软件被称为 Graphite,其功能与 NSO Group 的 Pegasus 间谍软件相当,手机一旦感染就能被完全控制,能够访问 WhatsApp 和 Signal 等加密应用的信息。
Guardian:WhatsApp says journalists and civil society members were targets of Israeli spyware
#安全
2025-02-01 20:33 by 时间秘史
WhatsApp 警告近百名记者和公民社团成员成为以色列公司 Paragon Solutions 的间谍软件的攻击目标。目前不清楚幕后攻击者的身份,类似其它间谍软件开发商,Paragon 的产品主要供政府客户使用,WhatsApp 表示无法确定下令攻击的客户身份。Paragon 间谍软件使用了零点击漏洞,也就是目标不需要点击任何恶意链接就会被感染。WhatsApp 拒绝披露受害者的位置,它已经向 Paragon 发去了“中止令(cease and desist)”信函,考虑采取法律行动。Paragon 的间谍软件被称为 Graphite,其功能与 NSO Group 的 Pegasus 间谍软件相当,手机一旦感染就能被完全控制,能够访问 WhatsApp 和 Signal 等加密应用的信息。
Guardian:WhatsApp says journalists and civil society members were targets of Israeli spyware
#安全
Paragon 证实美国及其盟国是其客户
2025-02-05 17:55 by 夏日永别
以色列间谍软件开发商 Paragon Solutions 证实它的客户包括了美国政府及其盟国。此前 WhatsApp 指控 Paragon 的间谍软件被用于攻击近 90 名记者和公民社团成员。至少有两人公开称自己是目标,其中包括意大利记者 Francesco Cancellato 和生活在瑞典的利比亚活动人士 Husam El Gomati。Paragon CEO John Fleming 在声明中表示,该公司要求客户同意禁止非法攻击记者和其他公民社团活动人士的条款,该公司对此类行为零容忍,将终止任何违反服务条款的客户。Fleming 没有证实该公司是否因客户违反条款而终止服务,他拒绝对 WhatsApp 的终止函发表评论。Cancellato 是新闻网站 Fanpage.it 的负责人,该网站去年发表了一份调查报告,针对的是意大利总理 Giorgia Meloni 的 Fratelli d’Italia 党下属青年组织 Gioventù Meloniana,调查披露该组织成员发表过亲纳粹和墨索里尼的口号。El Gomati 也批评过意大利和利比亚合作阻止移民跨越地中海抵达欧洲。
TechCrunch:Spyware maker Paragon confirms US government is a customer
#安全
2025-02-05 17:55 by 夏日永别
以色列间谍软件开发商 Paragon Solutions 证实它的客户包括了美国政府及其盟国。此前 WhatsApp 指控 Paragon 的间谍软件被用于攻击近 90 名记者和公民社团成员。至少有两人公开称自己是目标,其中包括意大利记者 Francesco Cancellato 和生活在瑞典的利比亚活动人士 Husam El Gomati。Paragon CEO John Fleming 在声明中表示,该公司要求客户同意禁止非法攻击记者和其他公民社团活动人士的条款,该公司对此类行为零容忍,将终止任何违反服务条款的客户。Fleming 没有证实该公司是否因客户违反条款而终止服务,他拒绝对 WhatsApp 的终止函发表评论。Cancellato 是新闻网站 Fanpage.it 的负责人,该网站去年发表了一份调查报告,针对的是意大利总理 Giorgia Meloni 的 Fratelli d’Italia 党下属青年组织 Gioventù Meloniana,调查披露该组织成员发表过亲纳粹和墨索里尼的口号。El Gomati 也批评过意大利和利比亚合作阻止移民跨越地中海抵达欧洲。
TechCrunch:Spyware maker Paragon confirms US government is a customer
#安全
Goolge 修复正被利用的 Android 内核 0day 漏洞
2025-02-07 21:26 by 惨败
Goolge 本月初释出了两组安全补丁 2025-02-01 和 2025-02-05,修复了 48 个漏洞,其中包括一个 Android 内核 0day 高危漏洞。该漏洞编号 CVE-2024-53104,影响 Linux 内核的 USB Video Class(UVC)驱动,属于越界写入 bug,存在于 uvc_driver.c 的 uvc_parse_format()函数中。该漏洞会导致内存损坏、程序崩溃甚至任意代码执行。攻击者可利用该 bug 提权,可用于安装恶意程序、更改或删除数据,或创建拥有完整管理权限的新帐户。该漏洞已被用于针对性的有限攻击。Android 用户最好立即更新到最新的安全补丁。
The DefendOps Diaries:Google Fixes Android Kernel Zero-Day Exploited in Attacks
#安全
2025-02-07 21:26 by 惨败
Goolge 本月初释出了两组安全补丁 2025-02-01 和 2025-02-05,修复了 48 个漏洞,其中包括一个 Android 内核 0day 高危漏洞。该漏洞编号 CVE-2024-53104,影响 Linux 内核的 USB Video Class(UVC)驱动,属于越界写入 bug,存在于 uvc_driver.c 的 uvc_parse_format()函数中。该漏洞会导致内存损坏、程序崩溃甚至任意代码执行。攻击者可利用该 bug 提权,可用于安装恶意程序、更改或删除数据,或创建拥有完整管理权限的新帐户。该漏洞已被用于针对性的有限攻击。Android 用户最好立即更新到最新的安全补丁。
The DefendOps Diaries:Google Fixes Android Kernel Zero-Day Exploited in Attacks
#安全
英国政府命令苹果创建 iCloud 加密后门
2025-02-07 21:42 by 巨石苍穹
英国政府秘密向苹果下达命令,要求创建一个 iCloud 后门,允许其安全官员不受阻碍的访问全世界用户的加密数据。这一要求史无前例,从未有任何其他民主国家提出类似要求。英国内政大臣是以“technical capability notice(技术能力通知)”的形式发布这一命令的,要求苹果根据英国 2016 年的 UK Investigatory Powers Act(IPA)法案提供后门访问。苹果拒绝对此置评。英国内政部也拒绝置评,拒绝确认或否认有此类通知的存在。为了避免违反对用户的安全承诺,苹果可能选择停止在英国提供加密储存。
MacRumors: Apple Ordered by UK to Create Global iCloud Encryption Backdoor
#安全
2025-02-07 21:42 by 巨石苍穹
英国政府秘密向苹果下达命令,要求创建一个 iCloud 后门,允许其安全官员不受阻碍的访问全世界用户的加密数据。这一要求史无前例,从未有任何其他民主国家提出类似要求。英国内政大臣是以“technical capability notice(技术能力通知)”的形式发布这一命令的,要求苹果根据英国 2016 年的 UK Investigatory Powers Act(IPA)法案提供后门访问。苹果拒绝对此置评。英国内政部也拒绝置评,拒绝确认或否认有此类通知的存在。为了避免违反对用户的安全承诺,苹果可能选择停止在英国提供加密储存。
MacRumors: Apple Ordered by UK to Create Global iCloud Encryption Backdoor
#安全
印度将推出银行专用域名 .bank.in
2025-02-08 14:37 by 环游黑海历险记
为了打击数字支付领域日益增多的欺诈行为,印度央行 RBI 宣布为该国银行推出专属域名.bank.in。RBI 行长 Sanjay Malhotra 在声明中表示,此举旨在增强居民对网银服务的信任,减少网络安全威胁和网络钓鱼等恶意活动。.bank.in 域名的唯一注册商将是 The Institute for Development and Research in Banking’ Technology (IDRBT) ,将从 2025 年 4 月起开放注册。RBI 还计划为金融领域的非银行实体设立一个专属域名 fin.in。
RBI announces ‘bank.in’, ‘fin.in’ domains for banks, NBFCs to combat cyber fraud
#安全
2025-02-08 14:37 by 环游黑海历险记
为了打击数字支付领域日益增多的欺诈行为,印度央行 RBI 宣布为该国银行推出专属域名.bank.in。RBI 行长 Sanjay Malhotra 在声明中表示,此举旨在增强居民对网银服务的信任,减少网络安全威胁和网络钓鱼等恶意活动。.bank.in 域名的唯一注册商将是 The Institute for Development and Research in Banking’ Technology (IDRBT) ,将从 2025 年 4 月起开放注册。RBI 还计划为金融领域的非银行实体设立一个专属域名 fin.in。
RBI announces ‘bank.in’, ‘fin.in’ domains for banks, NBFCs to combat cyber fraud
#安全
僵尸设备成为日益严重的网络安全风险
2025-02-08 18:21 by 心灵之眼
终止支持的联网设备被称为僵尸设备,由于消费者的忽视它们正成为日益严重的网络安全风险。《消费者报告(Consumer Reports)》调查了 2,130 名美国人,询问他们拥有的联网设备类型、预计的产品使用寿命以及软件与设备功能的关系。在拥有联网设备的被调查者中,43% 表示上次购买时不知道设备会在某个时候失去软件支持,35% 表示已经意识到产品会在某个时候失去软件支持,22% 表示不记得。大部分消费者希望在失去软件支持之后设备仍然能维持其可用性,烤箱等大型电器失去软件更新不会有什么问题,但路由器等设备在终止支持之后容易因漏洞得不得修复而成为安全隐患。
Consumer Reports:Hey Siri, Are You a Zombie?
#安全
2025-02-08 18:21 by 心灵之眼
终止支持的联网设备被称为僵尸设备,由于消费者的忽视它们正成为日益严重的网络安全风险。《消费者报告(Consumer Reports)》调查了 2,130 名美国人,询问他们拥有的联网设备类型、预计的产品使用寿命以及软件与设备功能的关系。在拥有联网设备的被调查者中,43% 表示上次购买时不知道设备会在某个时候失去软件支持,35% 表示已经意识到产品会在某个时候失去软件支持,22% 表示不记得。大部分消费者希望在失去软件支持之后设备仍然能维持其可用性,烤箱等大型电器失去软件更新不会有什么问题,但路由器等设备在终止支持之后容易因漏洞得不得修复而成为安全隐患。
Consumer Reports:Hey Siri, Are You a Zombie?
#安全
窃取机密的黑客兼职勒索软件攻击者
2025-02-16 22:15 by 忽然七日
赛门铁克的研究人员报告,去年 11 月有黑客利用 Palo Alto Networks 的一个身份验证绕过高危漏洞 (CVE-2024-0012)入侵了南亚的一家中型软件和服务公司,从其内网窃取了管理员凭证,访问了 Veeam 服务器,找到了 AWS S3 凭证。在从 S3 中窃取敏感信息之后攻击者用 RA World 加密公司的 Windows 电脑,索要 200 万美元赎金,表示如果能在三天内付款,赎金将降至 100 万美元。安全研究人员发现攻击者使用了 PlugX 后门的一个定制版本,该后门被 Fireant aka Mustang Panda 或 Earth Preta 使用。认为黑客可能是兼职任勒索软件攻击者。
Symantec:Espionage actor may be moonlighting as RA World attacker
#安全
2025-02-16 22:15 by 忽然七日
赛门铁克的研究人员报告,去年 11 月有黑客利用 Palo Alto Networks 的一个身份验证绕过高危漏洞 (CVE-2024-0012)入侵了南亚的一家中型软件和服务公司,从其内网窃取了管理员凭证,访问了 Veeam 服务器,找到了 AWS S3 凭证。在从 S3 中窃取敏感信息之后攻击者用 RA World 加密公司的 Windows 电脑,索要 200 万美元赎金,表示如果能在三天内付款,赎金将降至 100 万美元。安全研究人员发现攻击者使用了 PlugX 后门的一个定制版本,该后门被 Fireant aka Mustang Panda 或 Earth Preta 使用。认为黑客可能是兼职任勒索软件攻击者。
Symantec:Espionage actor may be moonlighting as RA World attacker
#安全
美国报业巨头用修辞避免提及勒索软件
2025-02-19 15:08 by 遥远地球之歌
美国报业巨头李氏企业公司(Lee Enterprises)成为最新一家遭到勒索软件攻击之后在公开声明中避免提及勒索软件的上市公司。李氏在递交到 SEC 的 Form 8-K 文件中称,“威胁行为者非法访问了公司网络,加密了关键应用,窃取了特定文件。”这显然是典型的双重勒索攻击。该公司称,截至 2 月 12 日尚无确凿证据表明敏感信息或个人身份信息在攻击期间泄露,尚未恢复正常服务的产品营收占总营收的 5%。李氏企业出版了 70 多家日报和近 350 家周刊和特定主题出版物。
Theregister:US newspaper publisher uses linguistic gymnastics to avoid saying its outage was due to ransomware
#安全
2025-02-19 15:08 by 遥远地球之歌
美国报业巨头李氏企业公司(Lee Enterprises)成为最新一家遭到勒索软件攻击之后在公开声明中避免提及勒索软件的上市公司。李氏在递交到 SEC 的 Form 8-K 文件中称,“威胁行为者非法访问了公司网络,加密了关键应用,窃取了特定文件。”这显然是典型的双重勒索攻击。该公司称,截至 2 月 12 日尚无确凿证据表明敏感信息或个人身份信息在攻击期间泄露,尚未恢复正常服务的产品营收占总营收的 5%。李氏企业出版了 70 多家日报和近 350 家周刊和特定主题出版物。
Theregister:US newspaper publisher uses linguistic gymnastics to avoid saying its outage was due to ransomware
#安全
黑客在 Steam 游戏中植入恶意程序窃取玩家敏感数据
2025-02-19 22:10 by 永生粮
Valve 上周从 Steam 平台移除了一款植入恶意程序的游戏 PirateFi。该游戏被发现会安装窃取敏感数据的恶意程序 Vidar,能窃取玩家的密码、cookie 和加密货币钱包。分析该恶意程序的安全研究人员 Marius Genheime 认为 PirateFi 就是为传播 Vidar 而开发的,它修改自游戏模板 Easy Survival RPG,其授权费用在 399-1,099 美元之间,这能解释黑客如何快速开发出一款能运行的游戏。Vidar 能窃取浏览器自动填写的网站密码、用于自动登录的会话 cookie、浏览历史记录、加密货币钱包、屏幕截图、特定令牌生成器的双因素代码,以及计算机上的其它文件。
TechCrunch:Hackers planted a Steam game with malware to steal gamers’ passwords
#安全
2025-02-19 22:10 by 永生粮
Valve 上周从 Steam 平台移除了一款植入恶意程序的游戏 PirateFi。该游戏被发现会安装窃取敏感数据的恶意程序 Vidar,能窃取玩家的密码、cookie 和加密货币钱包。分析该恶意程序的安全研究人员 Marius Genheime 认为 PirateFi 就是为传播 Vidar 而开发的,它修改自游戏模板 Easy Survival RPG,其授权费用在 399-1,099 美元之间,这能解释黑客如何快速开发出一款能运行的游戏。Vidar 能窃取浏览器自动填写的网站密码、用于自动登录的会话 cookie、浏览历史记录、加密货币钱包、屏幕截图、特定令牌生成器的双因素代码,以及计算机上的其它文件。
TechCrunch:Hackers planted a Steam game with malware to steal gamers’ passwords
#安全
Bybit 被盗走价值 15 亿美元的加密货币
2025-02-22 20:31 by 月光狂想曲
加密货币交易所 Bybit 被盗走价值 14.6 亿美元的加密货币。Bybit CEO Ben Zhou 证实了此事,称黑客控制了一个 ETH 冷钱包,将冷钱包中的所有 ETH 转移到了一个新地址。黑客随后利用去中心化交易所售出加密货币。Ben Zhou 声称该交易所的其它冷钱包都是安全的,客户提款也正常。14.6 亿美元意味着这是有记录以来金额最大的加密货币盗窃案。
CoinDesk:Bybit Loses $1.5B in Hack but Can Cover Loss, CEO Confirms
#安全
2025-02-22 20:31 by 月光狂想曲
加密货币交易所 Bybit 被盗走价值 14.6 亿美元的加密货币。Bybit CEO Ben Zhou 证实了此事,称黑客控制了一个 ETH 冷钱包,将冷钱包中的所有 ETH 转移到了一个新地址。黑客随后利用去中心化交易所售出加密货币。Ben Zhou 声称该交易所的其它冷钱包都是安全的,客户提款也正常。14.6 亿美元意味着这是有记录以来金额最大的加密货币盗窃案。
CoinDesk:Bybit Loses $1.5B in Hack but Can Cover Loss, CEO Confirms
#安全
tzram-audit: ARM TrustZone内存隔离审计
2025-03-02 23:38 by 水刀子
Shawn C 写道:
ARM TrustZone 的设计初衷是将内存划分为两个世界:非安全世界(运行丰富执行环境,如 Linux/Android)和安全世界(运行受信任的执行环境,即 TEE OS)。它已在汽车、移动设备和硬件钱包等行业广泛部署。关键点如下:
* Linux 内核运行在非安全 EL1(NS.EL1)。
Github.com/hardenedlinux/tzram-audit
#安全
2025-03-02 23:38 by 水刀子
Shawn C 写道:
ARM TrustZone 的设计初衷是将内存划分为两个世界:非安全世界(运行丰富执行环境,如 Linux/Android)和安全世界(运行受信任的执行环境,即 TEE OS)。它已在汽车、移动设备和硬件钱包等行业广泛部署。关键点如下:
* Linux 内核运行在非安全 EL1(NS.EL1)。
Github.com/hardenedlinux/tzram-audit
#安全