文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
俄罗斯总统普京前不久下达了部分动员令,征召有军事经验的公民入伍。部分俄罗斯公民的回应是逃避,一部分人通过边境逃离,还有人则诉诸于非法手段,尝试购买不适合服兵役的证明文件,这为欺骗敞开了大门。欺骗者通过暗网、Telegram 等渠道兜售帮助逃避入伍的证明文件。他们还承诺能更新地区征兵办公室的数据库,让征兵者永远找不到客户。客户则需要提供护照复印件和 27,000 卢布。但在钱支付之后,欺骗者会拉黑客户,不再联系,他们还可能利用护照进行欺诈或出售。
Matrix 消息协议的开发者释出了更新修复端对端加密漏洞。Matrix 是一个端对端加密、去中心化的即时通讯系统,它没有中心服务器,通过网桥与其它平台互通。它的生态系统由完全可互操作的开源和私有 IM 协作客户端和服务器组成,最著名的应用是支持移动和桌面系统的 Element。Matrix 联合创始人兼项目负责人、Element 的 CEO 兼 CTO Matthew Hodgson 称整个生态系统有大约 6900 万个账号分布在 1 万个服务器上,有约 250 万月活用户使用 Matrix.org 服务器。Mozilla、KDE,法国和德国政府等都在 Matrix 基础上构建了内部 IM 系统。Hodgson 表示没有迹象显示最新披露的漏洞曾被活跃利用。
安全公司 Lumen 的研究人员发现了一种从未见过的跨平台恶意程序,能感染 Windows 和 Linux 设备,包括小型办公室路由器、FreeBSD 盒子和大型企业服务器。研究人员将该恶意程序命名为 Chaos,因为这个单词反复出现在恶意程序的函数名、证书和文件名中。它最早可能是在 4 月 16 日出现的,之后几个月感染了数以百计的设备。Chaos 的独特之处是设计支持 ARM、Intel(i386)、MIPS 和 PowerPC 等架构,支持 Windows 和 Linux 操作系统,它只通过已知的 CVE 漏洞,利用暴力破解和窃取的 SSH 密钥进行传播。Chaos 的感染主要集中在欧洲地区。
Fast Company 遭黑客入侵,黑客向 Apple News 用户推送了包含种族主义和淫秽语言的通知。目前整个网站都关闭,显示“404 Not Found”错误信息。该公司通过 Twitter 账号发表声明,“Apple News 账号在周二晚上被黑,两条包含淫秽和种族主义内容的推送通知相隔约一分钟被发出。这些信息是卑鄙的,不符合 Fast Company 的内容和精神。我们正在调查这一情况,并已暂停推送和关闭 http://FastCompany.com 网站,直到我们确定情况已得到解决。”
Google 最近以 54 亿美元收购的安全公司 Mandiant 报告发现证据显示黑客与俄罗斯协同攻击。安全研究人员观察到,支持俄罗斯的黑客组织(表面上由爱国的公民黑客组成)与俄罗斯军事情报机构(GRU)的网络入侵活动之间存在明显的协作。Mandiant 称,在四起网络攻击事件中观察到了与 GRU 有关的黑客活动,在这些活动中,恶意 Wiper 软件被安装到了一个受害者的网络上。Mandiant 称,有三个支持俄罗斯的黑客组织参与其中,它们被称为 XakNet Team、Infoccentr 和 CyberArmyofRussia_Reborn。
2022 年 8 月 17 日,英国一家不知名的网络运营商 Quickhost.uk 突然通过 BGP 广播宣布,隶属于亚马逊 AS16509 的一个 IP 段 44.235.216.0/24 需要路由经过它的网络 AS20943。该 IP 段中的一个地址 44.235.216.69 被用于托管 cbridge-prod2.celer.network——加密货币交易所 Celer Bridge 一关键智能合约用户界面使用的子域名。攻击者通过向证书颁发机构 GoGetSSL 证明对该子域名拥有控制权而获得了一个 TLS 证书,然后在该域名托管自己的智能合约,随后从访问该域名的 32 个账号中窃取了价值 234,866.65 美元的加密货币。这一 BGP 劫持持续了 3 个多小时,亚马逊最后恢复了对该地址段的控制。这不是第一次亚马逊遭到 BGP 劫持,它在 2018 年遭到类似的攻击,攻击者的目标同样是窃取加密货币。
Uber 网络系统上周遭黑客入侵,这家网约车巨头周一在安全公告中称,一家 EXT 承包商的账户被攻击者入侵。攻击者可能是在这个承包商的个人设备感染恶意软件后,在暗网上购买了该承包商的 Uber 公司密码。在攻击者发送了大量 2FA 请求后,该承包商接受了其中一次登录请求,导致攻击者最终成功登录。Uber 认为攻击者与黑客组织 Lapsus$ 有关联。该公司仍在进行调查。 Uber 表示未发现攻击者访问了支持其应用程序的生产系统、任何用户账户或用于存储敏感用户信息的数据库。该公司还称,其审查了自己的代码库,没有发现攻击者做了任何更改。Uber 也未发现攻击者访问其云供应商存储的任何客户或用户数据。攻击者下载了一些内部 Slack 信息,并对其财务团队用于管理一些发票的内部工具进行了访问或下载了信息。目前正在分析这些下载内容。
洗劫货物的犯罪分子正利用 GPS 干扰器干扰货运卡车和货轮使用的 GPS 定位导航。GPS 导航使用的卫星信号非常弱,干扰器就是基于这一原理发送频率相同但更强的信号去压制 GPS 信号。典型的 GPS 干扰器能在五公里外干扰信号,使得 GPS 装置完全失效。在墨西哥,大约 85% 的货运卡车盗窃案使用了干扰器。俄罗斯目前正利用干扰器干扰乌克兰上空的商业飞机。商业无人机也日益成为 GPS 干扰器的目标,2018 年香港的一次无人机灯光秀中,46 架无人机因干扰器从空中坠落。企业也日益加固其设备以抵御干扰。
名叫 teapotuberhacker 黑客在 GTAForums 论坛(已删除)泄露了数十个《侠盗猎车手6(GTA6)》测试视频,总长度约 50 分钟。视频被证实是真实的,相关帖子已经删除,大部分视频也被开发商 Rockstar Games 的母公司 Take-Two Interactive 以侵权为由下架。GTA6 正在开发之中,预计还要数年时间才会发布,故事发生在虚构的迈阿密及周边地区,男女主角的塑造受到了著名雌雄大盗 Bonnie 和 Clyde 的启发。黑客声称是通过 Rockstar 内部 Slack 服务器访问到这些视频的,他们还访问到了游戏源代码,考虑公开 GTA 5 和 GTA 6 的源代码,以及 GTA 6 的一个测试版本。黑客同时表示愿意与 Rockstar 或 Take-Two 达成不公开源代码的交易。这起事件被认为是游戏史上最大的泄露事件之一。
美国网络和基础设施安全局(CISA)在其 Known Exploited Vulnerabilities 目录中加入了 6 个漏洞,要求联邦机构按照供应商的指示修补漏洞。六个漏洞只有一个是今年报告的,其它五个分别是在 2013 年 和 2010 年报告的,其中 2010 年披露的漏洞 CVE-2010-2568 (RCE) 被用于传播攻击伊朗 Natanz 铀浓缩工厂离心机的 Stuxnet 蠕虫。
在全世界逾一百个国家经营 6,028 家酒店的洲际酒店集团上周证实遭到网络攻击,称攻击严重干扰了房间预定等功能。它没有披露更多细节。现在两位自称 TeaPea 的越南黑客情侣通过 Telegram 联络 BBC,提供了截图作为证据证明攻击是他们发起的。他们利用了钓鱼攻击和一个弱密码 Qwerty1234 访问了内部数据库,一开始计划发动勒索软件攻击,但发现 IT 团队隔离了服务器,所以为了找点乐趣决定删库。黑客对于其行动无任何内疚,称越南的薪水太低,月薪只有 300 美元,否则他们宁可有一个合法的工作。黑客称他们在洲际酒店集团的系统中发现其内部密码库的登陆密码是 Qwerty1234。
Telegram 中文频道白鲨有大量的买卖信息,但买的不是商品而是人。一则发布在该频道的广告说,“西港出个刚偷渡来的中国男的 22 岁有身份证 打字很慢...”22 岁的小范(Fan)曾在姐姐的餐馆做厨师,但餐馆后来倒闭了,他改行送外卖。2021 年 3 月他获得了一个去柬埔寨一家知名外卖公司的高薪职位,月薪 1000 美元。他的哥哥已在柬埔寨工作,小范将此事告诉了哥哥,哥哥立即辞职和他一起去。等他们发现这是一场骗局时为时已晚。他们被关起来强迫工作,但不是过去人口走私常见的强迫劳动,而是搞网络诈骗。来自大陆、台湾、越南和泰国等地的数以万计的人被以这种虚假工作的骗局诱骗到柬埔寨、老挝和缅甸,他们被黑社会控制从事网络诈骗。如果他们拒绝,就会遭到殴打、被剥夺食物,甚至被电击。如果想要离开,黑帮老大要求他们支付 7000 美元。无法支付这笔钱就继续干。兄弟俩在干了六个月后再次遭遇骗局,有人接触他们表示可以帮助他们逃走,结果所谓的逃走就是被买给另一个黑帮,他们的赎身费用也上涨到了 1.17 万美元。兄弟俩最后又被卖给另一个黑帮,这个黑帮看管不严让他们有机会逃走。他准备回老家当农民不再想着出国工作赚大钱。
安全公司 Mandiant 报告,朝鲜黑客组织 NC4034 (aka Temp.Hermit 或 Labyrinth Chollima)在一次针对媒体公司的钓鱼攻击中使用了木马版 PuTTY 和 KiTTY SSH 客户端。PuTTY 以及其分支 KiTTY 都是流行的开源 SSH 客户端。攻击者首先向目标发送邮件提供亚马逊的工作机会,然后通过 WhatsApp 进行后续通信,发送了名为 amazon_assessment.iso 的文件,其中包含了 IP 地址和登陆凭证,以及木马版的 PuTTY (PuTTY.exe),攻击者诱骗受害者打开文件运行木马版本以进行技能评估。但该版本含有恶意负荷,会部署 DAVESHELL,然后安装后门程序 AIRDRY.V2。
电商软件 FishPig 的分发服务器遭黑客入侵,攻击者在付费软件模块 Magento 2 中植入后门,导致使用 Magento 2 的客户系统感染了 Rekoobe,该后门允许攻击者向被感染的服务器远程发送指令。FishPig 督促客户重新安装或更新现有扩展。FishPig 正在调查攻击者是如何入侵其系统的,暂时还不清楚是通过服务器漏洞还是应用程序漏洞。FishPig 是一家 Magento-WordPress 集成销售商,Magento 是一个开源电商平台,FishPig 的软件被多达 2 万个网站使用。这次供应链攻击只影响付费的 Magento 2 模块。黑客入侵可能发生在 8 月 19 日前后,开发商已经向过去 12 周下载软件的所有用户发送了警告邮件。
HardenedVault 写道 "在x86/amd64架构下,Linux内核通常被打包成bzImage格式,其中包含用于引导参数的部分填充数据结构,以及16位实模式,32位保护模式和64位长模式的多个阶段入口点(如果为amd64构建),最后一个阶段是自解压缩平面二进制文件,它将正确解压缩和执行gzip压缩的内核映像, 也以平面二进制的格式,存储在其数据段中。每个阶段都将初始化下一阶段的正确执行环境,将CPU切换到下一阶段可以工作的模式,然后执行下一阶段。当然,Linux内核能够从16位实模式启动,但它也允许引导加载程序为以后阶段准备执行环境(例如32位保护模式或64位长模式),并从相应的入口点执行Linux内核。例如,如果引导加载程序本身主要在 32 位保护模式下工作,那么从其 32 位保护模式入口点引导 Linux 内核将是最有效的方法,而为 amd64 构建的 Linux 内核将在使用 kexec 引导另一个为 amd64 构建的 Linux 内核时选择 64 位长模式的入口点。最近,QEMU 的一个bug导致 kexec 之后的内核崩溃,因为 kexec-ed 内核将无法解压缩压缩的 initrd。此错误仅影响在 QEMU 中使用压缩内联的新 Linux 内核。物理机器上的 kexec,以及在 QEMU 中使用压缩的 initrd 引导 Linux 内核的其他方法,均不受影响。
当然,在 QEMU 中,使用未压缩的initrd来创建新Linux内核是有效的,因此,如果您想在 QEMU中使用基于kexec的引导加载程序,则可能必须使用未压缩的initrd才能引导目标系统。HardenedVault(赛博堡垒)的Vault Labs使用此类方法成功完成了vTPM环境下的远程证明。"
当然,在 QEMU 中,使用未压缩的initrd来创建新Linux内核是有效的,因此,如果您想在 QEMU中使用基于kexec的引导加载程序,则可能必须使用未压缩的initrd才能引导目标系统。HardenedVault(赛博堡垒)的Vault Labs使用此类方法成功完成了vTPM环境下的远程证明。"
Retbleed 是最近公布的 CPU 预测执行漏洞攻击,影响 ARM、英特尔和 AMD CPU。Linux 内核最近开始加入相关的修复补丁。VMware 工程师在 Linux 5.19 上测试了补丁,结果显示它导致了巨大的性能开销。在 ESX 上运行 Linux 虚拟机,使用单个 vCPU 时,计算性能下降最高 70% ,网络性能下降 30%,存储性能下降最高 13%。关闭补丁之后性能恢复到 Linux 5.18 的水平。如此巨大的性能开销会对应用性能产生影响。VMware 工程师是在英特尔 Skylake CPU 上进行的测试,较新的 CPU 解决了大部分相关问题。
勒索软件黑帮阎罗王(音 Yanluowang)声称从思科网络窃取了数以千计的文件,总容量 55GB,其中包括机密文件、技术图表和源代码。但阎罗王没有提供证据证明其说法,只是公布了一张访问思科开发系统的屏幕截图。思科证实,阎罗王勒索软件组织在今年五月的一次攻击中从企业网络窃取了部分数据,但否认有任何敏感数据被盗。思科称阎罗王盗取了一名雇员的 VPN 账号,访问了该雇员的 Box 文件夹,但在勒索软件尝试加密系统前攻击就被阻止了。阎罗王是一个最近出现的勒索软件组织。