文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
在破解了犯罪分子使用的加密消息应用 Exclu 后欧洲警方逮捕 42 名嫌疑人,缴获了枪支、毒品和数百万欧元现金。Exclu 是最新一个被警方破解的加密消息应用,在欧洲多地发起联合突击搜查前,警方和检方在 Exclu 系统中潜伏了五个月,阅读了犯罪分子之间的通信。有大约 3000 人使用 Exclu 系统,其半年订阅费用高达 800 欧元。调查始于 2020 年 9 月,警方在比利时、德国和荷兰的 79 处地点展开了搜查,关闭了 Exclu 消息服务。被捕者包括了该应用的使用者和控制者,以及所有者。荷兰警方称其突击搜查行动至少发现了两个毒品实验室、一个可卡因加工厂、数公斤毒品、400 万欧元现金、奢侈品和枪支。
最大的代码托管平台 GitHub 披露,未知入侵者未经授权访问了其部分代码库,窃取了其桌面应用 Desktop 和 Atom 的代码签名证书。签名证书可被用于签名恶意应用,伪装成合法更新。GitHub 表示,目前没有证据表明证书被恶意使用,但作为预防措施它撤销了两个应用的证书。证书撤销将于周四生效,预计会影响部分版本,包括 Mac 版 GitHub Desktop 3.1.2、3.1.1、3.1.0、3.0.8、3.0.7、3.0.6、3.0.5、3.0.4、3.0.3 和 3.0.2,以及 Atom 1.63.1 和 1.63.0,Desktop for Windows 不受影响。GitHub 在 1 月 4 日发布的新版 Desktop 应用使用了不同证书签名,该证书没有遭窃取。
2022 年勒索软件的攻击频率没有发生显著变化,但随着越来越多的受害者拒绝支付赎金,勒索者的赎金收入出现了显著下降。Chainalysis 对勒索软件攻击相关的钱包地址的跟踪显示,受害者在 2022 年支付的赎金为 4.57 亿美元,而 2021 年为 7.66 亿美元。当受害者发现勒索软件 Conti 背后的黑客组织与俄罗斯有关联,因本国政府实施的制裁他们有更多的理由拒绝支付赎金。网络安全分析公司 Coveware 也观察到了类似的趋势,受害者支付赎金的比例从 2019 年一季度的 85% 降到了 2022 年四季度的 37%。
奥地利警方本周披露,一名荷兰黑客于去年 11 月被捕,这名黑客窃取并出售几乎所有奥地利人的个人数据,包括全名、性别、完整地址和出生日期。这名黑客是于 2020 年 5 月在一个黑客论坛上出售这些数据,该数据集已被调查人员确认是真实的。它包含了近 900 万组数据,而奥地利人口为 910 万,因此几乎所有奥地利人都包含在内。该黑客还出售了意大利、荷兰和哥伦比亚等国的类似数据集。
俄罗斯科技巨头 Yandex 的源代码库被以 Torrent 磁链的方式在一黑客论坛上泄露。泄露者声称源代码是在 2022 年 7 月窃取到的,文件总容量 44.7 GB。该源码库包含了 Yandex 几乎所有产品的源代码,其中包括搜索引擎和索引爬虫,地图、AI 助手、邮件、云盘、云服务和支付服务,等等。Yandex 在一份声明中表示,它没有遭到黑客入侵,源代码库是一位前雇员泄露的。
苹果向 2013 年上市的 iPhone 5S 释出安全更新,修复可能导致任意代码执行的漏洞。苹果 iPhone 系列智能手机通常提供五到六年的系统更新。iPhone 5S 最后一次系统更新是 2018 年推出的 iOS 12,本周它向 iPhone 5S 这款有大约十年历史的手机推送了安全更新 iOS 12.5.7, 修复了在处理恶意网页内容时可能导致任意代码执行的问题,苹果警告在运行 iOS 15 之前版本的设备上该漏洞可能正在被利用。iPhone 6 和 6 Plus 等旧型号设备也都收到更新。
暗网市场 Solaris 被一家小竞争对手 Kraken 劫持,时间是 2023 年 1 月 13 日。Solaris 的暗网网站被重定向到 Kraken,相关联的区块链地址没有发生移动。Solaris 是在最大的暗网市场 Hydra Market 的服务器去年四月被德国警方扣押和关闭之后出现的,旨在吸引一部分 Hydra 的用户,它迅速获得了四分之一的该市场用户,非法销售金额约 1.5 亿美元。Kraken 的规模要比 Solaris 小。Solaris 被认为与亲克里姆林宫的黑客组织 Killnet 有关联。2022 年 12 月乌克兰网络情报分析师 Alex Holden 声称入侵了 Solaris 窃取了 2.5 万美元捐给了乌克兰的人道主义慈善机构。Solaris 否认网站遭到入侵,但 Holden 随后公开了更多证据,包括窃取的源代码和数据库。1 月 13 日 Kraken 宣布控制 Solaris 的基础设施、GitLab 库和所有项目源代码,“感谢源代码中的重大 bug。”Kraken 称它用了三天时间从 Solaris 服务器上窃取到明文密码和密钥,访问了位于芬兰的基础设施,然后下载了所有内容。它随后关闭了 Solaris 的比特币服务器。Kraken 也是亲克里姆林宫,这起事件应该与政治无关,而是出于商业动机。
微星主板的 BIOS 默认设置被发现不安全,允许任何操作系统镜像运行,不管它们有没有签名或者签名是错误的。逾 290 款微星主板受到影响。波兰安全研究员 Dawid Potocki 最早发现了该问题,他尝试联系了微星但没有收到任何回应。该问题影响英特尔或 AMD 处理器使用的微星主板使用的最新固件,甚至全新型号的微星主板。
安全公司 Avast 公布了免费的变脸(BianLian)勒索软件解密器。变脸勒索软件是在 2022 年 8 月出现的,主要针对媒体、娱乐、制造和医疗保健行业的目标,它用 Go 语言开发,硬编码了 1013 种文件扩展名,感染之后它会搜索系统中的这些扩展名用 AES-256 进行加密,加密后的文件扩展名为 .bianlian,然后留下一份勒索通知。Avast 公布的解密器主要针对现有的变种,如果出现变脸勒索软件的新变种,它可能无法解密。
出于安全担忧 Linux 准备禁用微软的 RNDIS 协议驱动。RNDIS 代表 Remote Network Driver Interface Specification,是一个私有协议,主要使用 USB 协议作为其下层传输,向上层提供虚拟的以太网连接。 除了 Windows,RNDIS 在跨平台环境中没有广泛使用,由于安全担忧,Linux 内核正寻求将 RNDIS 内核驱动转移到 BROKEN Kconfig 选项,因此它在未来的内核构建中将被禁用。在被标记为 BROKEN 一段时间之后,驱动将可能从上游源码树中删除。内核稳定分支维护者 Greg Kroah-Hartman 称,RNDIS 在设计上就是不安全的,因该协议不可能做到安全,禁用其驱动将防止任何人使用它。
过去两周,黑客利用 SugarCRM 系统的一个高危漏洞传播恶意程序控制服务器。漏洞是在 2022 年 12 月爆出的,当时没有补丁属于 0day,公开漏洞的人还发布了漏洞利用代码,称它是一个身份验证绕过加远程代码执行漏洞,这意味着攻击者不需要身份凭证就可以在存在漏洞的服务器上远程运行恶意代码。SugarCRM 官方在 1 月 5 日发布公告证实了该漏洞。提供网络监测服务的 Censys 安全研究人员周三报告,在其监测到的 3059 台 SugarCRM 服务器中有 354 台 SugarCRM 感染了恶意程序植入了后门。
微软本周二释出了一月份例行安全更新,共修复了 98 个漏洞,其中之一是正被利用的 0day。CVE-2023-21674- Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability 是安全公司 Avast 研究人员报告的,是一个沙盒逃逸漏洞,能导致提权。成功利用该漏洞的攻击者能获得系统级权限,暂时不清楚攻击者如何利用该漏洞。98 个漏洞中有 39 个属于提权漏洞,33 个远程代码执行漏洞,10 个信息泄露和 10 个拒绝服务漏洞。
美国内政部在安全审计中发现,逾五分之一的密码可以用标准方法破解。审计人员获得了 85,944 名联邦雇员账户密码的哈希值,然后用包含 15 亿单词的字典进行暴力破解。结果成功破解了其中 18,174 个哈希值,占到了总数的 21%。其中 288 个账户具有高权限,362 个账户属于政府高级雇员。审计人员仅仅在 90 分钟内就破解了 16% 的哈希值。最常见的密码是 Password-1234,有 478 人使用;Br0nc0$2012,有 389 人使用;Password123$ | 318;Password1234 | 274;Summ3rSun2020! | 191;0rlando_0000 | 160;Password1234! | 150...
为丹麦央行以及该国金融业提供 IT 解决方案的 Bankdata 公司遭到了 DDoS 攻击,央行以及七家私人银行网站的访问受到干扰。DDoS 攻击通过将流量引导到目标网站以迫使其下线。丹麦央行的发言人表示,其网站周二下午访问正常,攻击没有影响到银行的其它系统或日常运作。Bankdata 的一位发言人表示,在受到 DDoS 攻击后,七家私人银行的网站访问周二短暂受限。受影响的银行包括丹麦最大的两家银行—— Jyske Bank 和 Sydbank。
程序员使用 ChatGPT 帮助他们完善代码,网络罪犯则求助于 ChatGPT 帮助他们完善恶意代码。OpenAI 的通用聊天机器人原型 ChatGPT 让技术不那么精通的网络罪犯快速写出恶意代码成为可能。安全研究人员在地下黑客论坛观察到了使用 ChatGPT 写恶意代码的现象。研究人员称,目前用 ChatGPT 开发的恶意程序都相当简单,但更复杂程序的出现只是时间问题。在一个黑客论坛,有人以《ChatGPT – Benefits of Malware》为题描述了使用 ChatGPT 重新创造常见的恶意程序。
微软将在本周二的例行更新中释出 Windows 8.1 的最后一次安全更新。Windows 8.1 没有获得与 Windows 7 相同的 Extended Security Updates 扩展安全更新待遇,因此在最后一个安全更新释出之后,微软将停止支持 Windows 8.1,用户可以继续使用,但微软或其它任何人不会再修复安全问题。微软也将在周二释出 Windows 7 的最后一次安全更新,但此后还是会有商业公司继续提供付费更新,ACROS Security 的第三方安全平台 0patch 将会至少支持 Windows 7 两年,每年付费 25 美元。
在 LastPass 披露用户加密库被盗两周之后,消息应用 Slack 和软件测试和交付公司 CircleCI 先后披露了安全事故。Slack 称员工令牌凭证被盗,而 CircleCI 的事故可能更严重,其储存的客户秘密可能暴露,它建议客户轮换储存在其服务上的所有秘密。CircleCI 同时通知客户其 Project API 令牌失效需要更换。CircleCI 的服务被逾百万开发者使用,登录凭证、访问令牌等秘密暴露可能会对整个互联网的安全造成严重影响。CircleCI 建议客户检查下 12 月 21 日到 1 月 4 日期间的内部日志,看看是否有未经授权的访问。这可能意味着黑客在 CircleCI 的系统中可能潜伏了两周时间,如此长的时间足够收集行业最敏感的数据。
在 12 月 25 日-30 日之间下载 PyTorch 框架的隔夜构建版本的用户会安装恶意版本的 torchtriton 依赖,窃取系统数据。PyTorch 项目建议用户卸载旧版本安装最新的隔夜构建版本。使用 PyTorch 稳定版本的用户不受影响。一位自称对此事负责的人士表示,恶意版本的 torchtriton 是一个研究项目的一部分,但不小心出差错了。他们对此表示道歉,称窃取的数据已经全部删除。这是最新一起的依赖混淆攻击。
恶意程序的运营者日益滥用 Google Ads 将恶意程序传播给搜索合法软件的用户。受害者包括了 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。黑客会创建上述项目官方网站的克隆,但将用户点击下载的软件替换为恶意程序。通过这种方法传播的恶意程序包括 Raccoon Stealer 的变种, Vidar Stealer 的定制版本, IcedID 恶意程序加载器。当广告商利用 Google Ads 发布广告时,如果 Google 检测到目标网站是恶意的,广告会删除。恶意程序的运营者利用了一种简单的方法绕过了这种检测——方法是首先将点击广告的用户带到没有恶意程序的网站,然后再重定向到克隆网站。
一名用户名 Ryushi 的用户在黑客论坛 Breached 兜售 4 亿 Twitter 用户的数据库,声称是利用 Twitter API 的漏洞抓取的,包括了电子邮件、用户名、姓名、粉丝数、创建日期和电话号码。这位用户公开了几位名人的样本,排在最前面的是美国民主党议员 AOC(Alexandria Ocasio-Cortez)。黑客还建议 Twitter 或马斯克(Elon Musk)花钱购买该数据库,威胁他们将会面临因数亿用户数据被抓取而面临欧盟的 GDPR 巨额罚款,表示如果 Twitter 购买的话将会停止出售。黑客利用的是今年早些时候已经修补的漏洞,上个月一个包含 540 万 Twitter 账号的数据库在黑客论坛免费共享,最新披露的数据规模则包含了绝大部分 Twitter 用户。