文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
VoiP 软件提供商 3CX 遭遇了一次供应链攻击,该公司 CEO Nick Galea 称收到警告之后他的团队测试了产品,没发现问题,认为是一次误报。几天后又检查了一下,结果相同。他表示公司并没有无视警告。直到安全公司 Crowdstrike 提供了完整细节之后 3CX 才认识到这次入侵的规模。他表示响应供应链攻击是非常困难的。3CX 的日活用户高达 1200 万,包括知名公司如奔驰、麦当劳、宝马、假日酒店、NHS、美国运通、可口可乐和法国航空。对于这次供应链攻击,3CX 免费延长了客户三个月服务。
黑客正在利用一个广泛使用的 WordPress 插件的高危漏洞。Elementor Pro 是 WordPress 页面生成器插件,允许用户在不需要了解代码的情况下构建一个专业级的网站,它的安装量高达 1100 万。NinTechNet 研究员 Jerome Bruandet 在 2023 年 3 月 18 日发现了该漏洞,他在上周公开了漏洞细节。当该插件与电子商务生成器 WooCommerce 一起安装时,网站成员或电商客户可以利用该漏洞改变网站设置,甚至完全接管网站。漏洞影响 v3.11.6 及之前版本。
朝鲜黑客通过广泛使用的 VoIP 客户端 3CX 对其用户发动了供应链攻击。黑客采用的方法目前还不清楚,但他们设法传播了含有恶意功能的 3CX Windows 和 macOS 客户端,使用了官方的有效密钥进行签名,还通过了苹果的安全检查。受影响的版本包括:Windows 下有 18.12.407 和 18.12.416;macOS 下有 18.11.1213、18.12.402、18.12.407 和 18.12.416。任何使用 3CX 的企业或组织都应该立即检查其网络寻找是否有入侵迹象。3CX 有逾 60 万客户,其中包括美国运通、奔驰和普华永道等知名公司。黑客的入侵准备活动至少是从 2022 年 2 月就开始了,当时他们注册了一系列相关域名。本周安全软件开始检测到来自 3CX 客户端的恶意活动,这次供应链攻击才曝光。对恶意版本的分析显示,它包含了干净版本的 3CX 应用,通过 DLL Sideloading 的方法加入恶意功能。
Twitter 上周披露它的部分源代码被人在今年初上传到 GitHub。上周五 Twitter 向北加州地区法院递交申请,要求法庭签发传票强迫 GitHub 披露源代码上传者 FreeSpeechEnthusiast 的身份。本周二法庭书记员签署了传票,GitHub 需要在 4 月 3 日前提供上传者所有的身份信息,包括 FreeSpeechEnthusiast 相关的姓名、地址、电话号码、电邮地址、社媒档案数据和 IP 地址。GitHub 还被要求提供 FreeSpeechEnthusiast 所上传代码仓库中发布、上传、下载或修改数据的用户的相同类型的信息。
Google Threat Analysis Group (TAG) 安全团队多年来一直跟踪间谍软件供应商的活动。它跟踪了逾三十家公司,认为这些间谍软件的开发商推动了黑客工具的扩散,让内部缺乏技术能力的政府能利用先进的黑客工具去监视持不同政见者、记者、人权活动人士和反对党政客。间谍软件供应商组合利用 0day 和 Nday 漏洞去攻击流行平台,它们囤积了已知和未知的漏洞,利用了已知漏洞及其修复补丁推送到终端用户的时间差。Google 安全研究人员根据其活动认为,间谍软件开发商之间在分享漏洞和技术,加速了危险黑客工具的扩散。
俄罗斯安全公司卡巴斯基报告了针对俄罗斯和东欧等俄语用户的木马版 Tor 浏览器,浏览器植入了剪切板恶意程序,设计窃取用户的加密钱包。俄罗斯在 2021 年底屏蔽了 Tor 网站,因此给嵌入了恶意程序的修改版 Tor 浏览器留出了空间。俄罗斯用户占到了 Tor 浏览器全球用户的 15%。 Tor 浏览器被用于访问暗网,也被加密货币用户广泛使用。卡巴斯基表示此类的攻击并不具有新意,但受影响用户仍然很多。
被认为来自南亚的黑客组织 Bitter APT 最近正以中国核能机构为攻击目标。安全公司 Intezer 报告,在最近的行动中,Bitter APT 伪装成吉尔吉斯斯坦驻北京大使馆向中国核能公司和该领域的学者发送钓鱼邮件,邀请他们参加吉尔吉斯斯坦大使馆等主办的一个核能会议。邮件签名者是真实存在的,是吉尔吉斯斯坦外交部的一名官员。但邮件附件是恶意的,会执行一系列行动释放恶意负荷。
俄罗斯在 2022 年逮捕了多名知名的 Telegram 用户,调查显示国有的俄罗斯国家工业和科技集团公司(Rostec)旗下的一家公司开发了名为 "Okhotnik" (Охотник) 的系统,利用了逾 800 个数据点建立关联去匿名化 Telegram 用户的身份。这些数据点来自社交网络、博客、论坛、即时通讯工具、BBS、加密货币区块链、暗网以及政府服务,包括姓名、昵称、电邮地址、网站、域名、加密钱包、加密密钥、电话号码、地理位置信息、IP地址等。Okhotnik 可以找到目标用户过去任何时候犯下的任何错误去实现去匿名化。
根据 FTC 的数据,2022 年美国因恋爱骗局造成的损失高达 13 亿美元。FBI 波特兰办公室的负责人认为,科技让人产生了虚假的信任感。The Verge 的一篇报道讲述了一位 32 岁、曾从事过 SEO 工作的百万富翁的故事。他最近与妻子离异,因此注册了约会应用 Tinder 寻找约会对象。他在上面与一位神秘女子配对,两人开始约会。这位女子发出了一系列令人警惕的信息,询问他如何支付约会费用,他说用信用卡。对方问能不能用现金。他说可以。她还问他驾驶什么型号的汽车。一辆路虎。结果可想而知。他经历了一次持枪抢劫汽车的遭遇。路虎被人抢走了。
最大的源代码托管平台 GitHub 宣布更换其 SSH 密钥。原因是本周早些时候,它发现 GitHub.com 的 RSA SSH 私钥在一个公开的库内短暂暴露。它立即采取了行动并展开了调查。问题并不是任何 GitHub 系统被入侵或客户信息泄露的结果,它认为问题是疏忽大意,认为没有证据表明曝光的密钥遭到了滥用,出于谨慎考虑它更换了密钥。
五名厄瓜多尔记者收到了激活时会爆炸的 U 盘。瓜亚基尔 Ecuavisa 电视台记者 Lenin Artieda 在收到 U 盘后将其插入电脑,这时 U 盘发生了爆炸。记者的手和脸部受到了轻伤,没有其他人受到伤害。U 盘内被认为装有名为环三亚甲基三硝胺(RDX)的高能炸药,该炸药也被美国军方使用,可以单独用也可以与 TNT 等炸药混合。Artieda 插入的 U 盘只有半数炸药激活,因此可能产生的伤害较小。厄瓜多尔非盈利组织 Fundamedios 称另外还有两名瓜亚基尔和两名首都的记者收到了炸弹 U 盘。EXA FM 电台记者 Alvaro Rosero 在 3 月 15 日收到了装有 U 盘的信件,他将其交给了一位制片人,后者使用带适配器的线缆将其连接到电脑上,U 盘没有爆炸,警方认为是适配器没有足够的电量激活炸弹。警方对其它 U 盘实施了“控制性引爆”。目前还不清楚邮寄炸弹 U 盘的动机,厄瓜多尔内政部长 Juana Zapata 表示邮寄者旨在传达让记者闭嘴的信息。政府表示,任何企图恐吓新闻和言论自由的行为都应该收到严厉的司法惩罚。
黑客利用一个 0day 从比特币 ATM 机器上盗走了价值 150 万美元的加密货币。黑客针对的目标是 General Bytes 出售的比特币 ATM(BATM),它允许人们兑换比特币。BATM 连接了一个加密货币应用服务器(CAS)。出于未知的原因,BATM 提供了一个选项允许客户通过主服务器接口从终端向 CAS 上传视频。攻击者利用了这个接口上传和执行一个恶意 Java 应用,从各个热钱包中转走了全部加密货币,总共为 56 BTC,价值约 150 万美元。General Bytes 已经释出了补丁修复了漏洞,但加密货币已经无法找回。
Google 周一将拼多多的多个应用标记为恶意程序,Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用,对于已经安装的应用,Google 将建议用户卸载。Google 同时出于安全理由从官方应用商店 Play Store 下架了拼多多应用。在这之前,中国安全研究人员披露拼多多应用包含有恶意功能,能利用漏洞提权阻止卸载并能监视用户。拼多多尚未对此次事件发表评论。
美国 FBI 周三逮捕了一名纽约男子,他被控运营了暗网网络犯罪论坛 BreachForums,该论坛是世界最大的出售被盗数据的网站之一。FBI 于周三下午 4:30 左右逮捕了名叫 Conor Brian Fitzpatrick 的男子,他被认为就是 BreachForums 的管理员 Pompompurin。记录显示,他最后一次访问 BreachForums 是在周三下午 3:53,也就是被捕前不久。BreachForums 托管了近千家企业的被盗数据库。数据库通常包括有个人信息,如姓名、电子邮件和密码。Fitzpatrick 以 30 万美元保释金获释,他将于 3 月 24 日出庭。
Google Project Zero 研究人员在广泛使用的三星 Exynos 调制解调器芯片中发现了 18 个漏洞,其中四个漏洞允许攻击者在只知道受害者电话号码的情况下,在基带水平远程入侵手机,不需要发生任何用户交互。受影响的芯片组包括: Exynos Modem 5123、Exynos Modem 5300、Exynos 980、Exynos 1080 和 Exynos Auto T5123,受影响的产品包括:三星 S22, M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列,Vivo S16、S15、S6、X70、X60 和 X30 系列,Google Pixel 6、6 Pro、Pixel 6a、Pixel 7 和 7 Pro,任何使用 Exynos W920 芯片组的智能手表,任何使用 Exynos Auto T5123 的汽车,等等。研究人员表示,在补丁释出前,受影响设备可通过在设置里关闭 Wi-Fi 呼叫和 Voice-over-LTE (VoLTE)保护自己。
微软周二释出了三月例行安全更新,修复了 74 个漏洞,其中两个是正被利用的 0day——CVE-2023-23397 的危险得分 9.8/10,是 Microsoft Outlook 中的一个提权漏洞,微软没有公开漏洞细节,但披露它正被俄罗斯黑客用于攻击欧洲的政府、能源和军事部门;CVE-2023-24880 是一个 Windows SmartScreen 绕过漏洞,它的危险得分比较低只有 5.4/10,它正被勒索软件组织利用。
今年 2 月,俄罗斯勒索软件组织 BlackCat 入侵了 Lehigh Valley Health Network(LVHN)医院集团旗下的一个诊所,访问了接受放射肿瘤治疗的病人照片系统。LVHN 拒绝了该组织提出的赎金要求。数周后,BlackCat 在其暗网勒索网站上发表声明,威胁公开窃取的病人数据。它随后公布了三张癌症患者接受放射性治疗的屏幕截图和七份包含患者信息的文件。这些照片相当私密,从不同角度拍摄了患者裸露的乳房。安全研究人员表示,随着愈来愈多的组织拒绝支付赎金,勒索软件组织在勒索赎金上开始采取极端的做法。另一个勒索软件组织 Medusa 本周二公布了上个月攻击 Minneapolis Public Schools(MPS)中窃取的样本数据,其中包括性侵指控相关的文件和涉及的男女学生名字。Medus 要求支付 100 万美元赎金,MPS 表示它未支付赎金。
在一黑客在网络犯罪论坛宣布出售 160 Gb 大小的数据之后,宏碁证实它遭到了入侵,但否认有消费者数据被盗。宏碁称它最近发现了一起安全事故,维修技工使用的一台文档服务器遭到未经授权访问。调查还在进行之中,目前无迹象表明该服务器储存有消费者数据。黑客以门罗币出售这批被盗的数据,称包含有机密幻灯片、员工手册、机密产品文档、二进制文件、后台基础设施信息、磁盘镜像、替换的数字产品密钥和 BIOS 相关信息。黑客称这些数据是在 2 月中旬窃取到的。这不是第一次宏碁发生数据泄露安全事故,它在 2021 年发生过类似事故,有逾 60 GB 数据被盗。
LastPass 的严重安全事故本可以避免。攻击者利用了该公司一高级工程师家用电脑上安装的 Plex 软件的一个已知漏洞,而该漏洞早在 2020 年 5 月 7 日就修复了,但不知道出于什么原因,这位工程师从未更新软件打上补丁。该漏洞允许能访问服务器管理员 Plex 账号的人通过 Camera Upload 功能上传恶意文件,利用服务器数据目录位置与 Camera Upload 允许上传的库重叠,让 Plex 媒体服务器执行该恶意文件。Plex Media Server v1.19.3 修复了该漏洞,而到攻击者利用漏洞入侵工程师的电脑时 Plex 都发布了 75 个版本。
安全公司 ESET 报告,黑客组织 Mustang Panda aka TA416 和 Bronze President 部署了一种新的后门程序 MQsTTang。恶意程序主要通过钓鱼邮件传播,通过一个 GitHub 软件库下载负荷,它会在注册表增加一个启动时运行的注册表项去实现持久存在。为了躲避监测它利用了 MQTT 协议去进行指令通信。MQsTTang 还会检查主机上是否存在调试器或监控工具,如果有发现,它会相应的改变行为。