Aggregator

Siemensから各製品向けのアップデートが公開されました。

error code: 521

HackerNews 编译，转载请注明出处： Forescout的分析发现，针对工业控制系统（ICS）的新型恶意软件攻击能够导致工程流程崩溃。 研究人员识别出从2024年8月至11月，攻击三菱和西门子工程工作站的两种恶意软件攻击，并在VirusTotal数据库中列出。 这些恶意软件分别是针对三菱工作站的Ramnit蠕虫和针对西门子工作站的新型实验性恶意软件Chaya_003。 Chaya_003展现出了终止工程流程的能力。 研究人员发现，攻击者使用了合法服务作为指挥与控制（C2）手段，使得威胁检测变得更加困难。 工程工作站是运行传统操作系统（如Windows）并同时运行由设备制造商提供的专用工程软件的标准计算机。这些软件对于在操作技术（OT）和ICS环境中对现场设备（如可编程逻辑控制器PLC）进行调试和编程至关重要。 Forescout引用了SANS研究所的最新研究，发现工程工作站的被攻击事件占OT/ICS系统事件的20%以上，促使他们进行了这项新分析。 研究人员将他们的调查重点放在了VirusTotal上传的两类数据上：标记为恶意的软件工程可执行文件和可能与工程软件互动的恶意文件。 Forescout发现了两个Ramnit集群攻击三菱工作站的情况。 Ramnit最早出现在2010年，作为一种银行木马，旨在窃取凭证，后来发展为一个模块化平台，能够从C2服务器下载插件。 该恶意软件可以通过受感染的物理设备（如USB驱动器）或通过被攻破的IT系统网络传播。 研究人员未能确认这两个Ramnit集群是如何感染三菱工程工作站的，但他们认为恶意软件可能将恶意代码添加到合法的Windows可执行文件中，这与自2021年以来在OT软件中观察到的其他Ramnit感染相符。 调查揭示了三个二进制文件，代表了一个名为Chaya_003的恶意软件集群的三个迭代版本。 其中两个二进制文件名为“Isass.exe”和“elsass.exe”，这表明它们故意伪装成合法的系统进程，可能是为了欺骗用户或绕过杀毒软件。 Chaya_003的C2基础设施利用Discord webhooks，并具有系统侦察和进程干扰功能。 所有样本都实现了列举系统进程的功能，检索每个进程的信息并将可执行文件名与预定义列表进行比较。如果进程与列表中的条目匹配，则会被终止。 研究人员观察到“明确的进化模式”，这表明该恶意软件正在不断改进并为更广泛的部署做好准备。 Forescout呼吁工业组织采取措施，提升防御针对工程工作站的攻击。这些措施包括： 识别连接到OT网络的所有工作站，并评估其软件版本、开放端口、凭证和端点保护软件。 确保所有软件更新到最新版本，并确保端点保护解决方案已启用且保持最新。 避免直接将工程工作站暴露于互联网。 适当分隔网络，将IT、物联网（IoT）和OT设备隔离开来。 限制网络连接，只允许授权的管理和工程工作站连接。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in 4homepages 4images 1.7.10 and classified as critical. This issue affects some unknown processing. The manipulation of the argument cat_parent_id leads to sql injection. The identification of this vulnerability is CVE-2012-1022. The attack may be initiated remotely. Furthermore, there is an exploit available.

A vulnerability, which was classified as critical, was found in Google Chrome up to 47. This affects the function WebCursor::Deserialize of the file content/common/cursors/webcursor.cc of the component RGBA Pixel Array Handler. The manipulation leads to numeric error. This vulnerability is uniquely identified as CVE-2015-8664. It is possible to initiate the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

Mask APT再次出现，针对拉丁美洲组织攻击；Bitter 利用 WmRAT 和 MiyaRAT 恶意软件攻击土耳其国防部门；APT-C-36持续针对哥伦比亚开展攻击活动；Gamaredon 在前苏联国家部署 Android 间谍软件

2024.12.13~12.19 攻击团伙情报Mask APT 再次出现，针对拉丁美洲组织攻击Bitter APT 利用 WmRAT 和 MiyaRAT 恶意软件攻击土耳其国防部门APT-C-36（盲

error code: 521

HackerNews 编译，转载请注明出处： 根据区块链研究公司Chainalysis的报告，2024年，超过22亿美元的加密货币被盗自加密平台。 该公司发现，近五年来这些平台的盗窃金额超过了10亿美元，2024年增长了21%以上，达到了22亿美元，事件数目从2023年的282起增至2024年的303起。 研究人员指出，仅在2024年1月至7月之间，加密平台的损失就达到了15亿美元——这一速度使得行业预计2024年的盗窃金额将达到30亿美元。然而，随着2024年5月日本平台DMM Bitcoin遭遇3.05亿美元的重大损失，以及2024年7月印度WazirX平台近2.35亿美元的被盗事件，年中以后，攻击的数量和规模大幅下降。 这两起攻击对现实世界产生了深远的影响。DMM Bitcoin两周前宣布，黑客攻击迫使其关闭网站并将所有加密资产出售给日本金融巨头SBI Group。Chainalysis追踪了被盗的DMM资金，发现其通过多个不同平台进行洗钱，最终在臭名昭著的柬埔寨金融平台Huione Guarantee上兑现——该平台是中国有组织犯罪和网络诈骗的中心。 11月，印度当局逮捕了一名来自西孟加拉邦的男子，指控他参与盗取WazirX平台的2.35亿美元。 Chainalysis表示，与朝鲜政府相关的黑客组织主导了大部分来自加密平台的盗窃行为，2024年，这些黑客通过47起事件窃取了13.4亿美元。这一数字较2023年的6605万美元（20起攻击事件）大幅增加。 根据Chainalysis，朝鲜黑客已因其加密货币盗窃行为而臭名昭著——朝鲜利用这些资金规避国际制裁，并资助其弹道导弹项目。 “遗憾的是，朝鲜的加密攻击似乎变得更加频繁，”研究人员表示，“尤其是5000万到1亿美元之间的攻击，以及超过1亿美元的攻击在2024年出现得比2023年更为频繁，表明朝鲜在进行大规模攻击时变得更加熟练和迅速。这与过去两年形成鲜明对比，过去两年中，朝鲜的攻击每次带来的利润通常低于5000万美元。” 虽然根据被盗金额，多个史上最大规模的黑客攻击已被归因于朝鲜黑客，但该国也在逐渐转向盗取来自小型平台的小额资金。Chainalysis表示，朝鲜攻击事件的密度在“尤其是约1万美元”的范围内有了增长。   朝鲜加密黑客的技能继续令安全专家困惑。上周，加密平台Radiant Capital发布了关于9月一起事件的事后分析，其中超过5000万美元被盗。 这些黑客涉嫌与朝鲜的侦察总局（RGB）有关，采用创新的手段破坏了Radiant Capital工程师使用的设备。 根据联合国调查人员的报告，朝鲜政府在2017年至2023年间，通过攻击加密货币平台获得了30亿美元的资金。   消息来源：The Record, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

E安全消息，如果正在进行的调查发现TP-Link路由器用于网络攻击并构成国家安全风险，美国政府考虑从明年开始禁止TP-Link路由器。据《华尔街日报》报道，美国司法部、商务部和国防部正在调查这个问题，商务部的一个办公室已经发出了传票。近年来，TP-Link在美国SOHO路由器（针对家庭和小型办公场所）市场份额已增长到大约65%。外媒报道这种增长是通过以低于制造成本的价格销售设备来实现的，这也是司法部正在调查的问题。目前超过300家美国互联网服务提供商将TP-Link设备作为家庭用户的默认互联网路由器。《华尔街日报》表示，TP-Link路由器也出现在包括国防部、美国国家航空航天局（NASA）和美国缉毒局（DEA）在内的多个政府机构的网络中。 TP-Link美国子公司的一位发言人告诉《华尔街日报》：“我们欢迎任何与美国政府合作的机会，以证明我们的安全实践完全符合行业安全标准，并展示我们对美国市场、美国消费者以及应对美国国家安全风险的承诺。” TP-Link路由器僵尸网络被用于密码喷射攻击微软10月份的一份报告，称被黑客入侵的SOHO路由器僵尸网络（被跟踪为Quad7、CovertNetwork-1658或xlogin，由中国威胁行为者操作）主要由TP-Link设备组成。随后美国展开了调查。“微软将受感染的小型办公室和家庭办公室（SOHO）路由器网络跟踪为 CovertNetwork-1658。TP-Link制造的SOHO路由器构成了该网络的大部分。“该公司表示。“微软评估，多个中国威胁行为者使用从CovertNetwork-1658密码喷射操作中获得的凭据来执行计算机网络利用（CNE）活动。” 12月16日，《纽约时报》报道称，拜登政府计划禁止中国电信在美国的最后活跃业务。 2022年1月，美国联邦通信委员会（FCC）以“重大国家安全关切”为由撤销了中国电信美洲的许可证。 2022年11月，FCC禁止销售五家中国公司（即华为技术、中兴通讯、海能达通信、杭州海康威视数字技术、大华科技）制造的通信设备，原因是“对国家安全构成不可接受的风险”。 2020年6月，FCC正式将华为和中兴通讯列为对美国通信网络完整性构成国家安全威胁的实体。   转自E安全，原文链接：https://mp.weixin.qq.com/s/smrntN8VGSmp_t03JXaibA 封面来源于网络，如有侵权请联系删除

A vulnerability was found in Oracle Retail Allocation up to 13.2 and classified as critical. Affected by this issue is some unknown functionality in the library lib/commons-beanutils-1.8.0.jar of the component Apache. The manipulation of the argument this leads to improper input validation. This vulnerability is handled as CVE-2014-0114. The attack may be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Oracle Retail Clearance Optimization Engine 13.3/13.4/14.0. It has been classified as critical. This affects an unknown part in the library lib/commons-beanutils-1.8.0.jar of the component Apache. The manipulation of the argument this leads to improper input validation. This vulnerability is uniquely identified as CVE-2014-0114. It is possible to initiate the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

随着信息化、数字化的加速发展，网络安全问题已成为国家经济发展和社会稳定的重要课题，网络安全人才培养亦显得至关重 […]

全国知名网络安全赛事西湖论剑·杭州网络安全技能大赛启动报名 日期：2024年12月20日 阅：92

HackerNews 编译，转载请注明出处： 来自 BitSight 的新报告证实，尽管德国警方进行了干扰，BadBox 恶意软件操作依然持续增长，研究人员发现该恶意软件已安装在了全球 192000 台电视和智能手机上。 BitSight 的研究人员警告称，该恶意软件似乎已扩大其攻击范围，不再仅仅针对一些不知名的中国 Android 设备，现在已开始感染更为知名且受信任的品牌，例如 Yandex 电视和 Hisense 智能手机。 BadBox 是一种 Android 恶意软件，据信基于 ‘Triada’ 恶意软件家族，它通过供应链攻击、可疑员工或在产品分销阶段进行注入等方式感染由不知名厂商制造的设备。 该恶意软件首次在 2023 年初由加拿大安全顾问 Daniel Milisic 在 Amazon 上购买的 T95 Android 电视盒中发现。随后，恶意软件操作逐步扩展到其他在线销售的不知名产品。 BadBox 攻击活动的目标是通过将设备转变为住宅代理或利用其进行广告欺诈来获取财务利益。这些住宅代理随后可以出租给其他用户，在许多情况下是网络犯罪分子，他们使用受感染设备作为代理发起攻击或进行其他欺诈活动。 此外，BadBox 恶意软件还可以用来安装其他恶意载荷到 Android 设备上，执行更危险的操作。 恶意软件活动流程 上周，德国联邦信息安全办公室（BSI）宣布，他们通过拦截操作中断了该国的 BadBox 恶意软件活动，成功切断了一个恶意软件的指挥与控制服务器的通信，影响了约 30000 台 Android 设备。 这些受影响的设备主要是 Android 数字相框和媒体流媒体盒，但 BSI 警告称，BadBox 恶意软件可能出现在更多产品类别中。 根据 BitSight 研究员 Pedro Falé 的说法，该公司能够拦截其中一个 BadBox 恶意软件操作所使用的指挥与控制服务器。由于研究人员现在控制了该域名，他们能够监控设备何时尝试连接，进而得知有多少唯一 IP 地址受到影响。 “但现实情况是，BadBox 似乎仍然活跃并扩展，”Falé 写道，“当 BitSight 成功拦截一个 BadBox 域名时，我们在 24 小时内注册了超过 160000 个唯一 IP 地址，这一数字一直在稳步增长。” 这表明，BadBox 僵尸网络的影响比之前预计的要大得多。之前认为这个僵尸网络的设备数量大约为74,000台，但实际情况远远超过了这个数字。 这些被感染的设备包括流行于俄罗斯的 Yandex 4K QLED 智能电视和 Hisense T963 智能手机。 “这些受影响的型号（从 YNDX-00091 到 YNDX-000102）是来自知名品牌的 4K 智能电视，而不是廉价的 Android 电视盒，”BitSight 解释道。 “这是第一次发现大品牌智能电视直接与 BadBox 指挥与控制（C2）域进行如此大量的通信，将受影响的设备范围从 Android 电视盒、平板和智能手机扩展到更多设备。” BitSight 检测到的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。 设备与 BadBox 服务器通信的位置 BitSight 还报告称，BSI 最近的行动并未影响其遥测数据，因为此次干扰仅限于特定区域，因此 BadBox Android 恶意软件活动得以持续。 随着 BadBox 扩展到更多大品牌，消费者应确保及时安装最新的固件安全更新，将智能设备与更关键的系统隔离，并在不使用时将其断开网络连接。如果您的设备没有安全更新或固件更新，强烈建议您将其断网或完全关闭。 BadBox 僵尸网络感染的迹象包括设备过热、由于高 CPU 使用率导致的性能下降、异常的网络流量以及设备设置的变化。   消息来源：Bleeping Computer, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

A vulnerability, which was classified as critical, was found in Oracle Communications MetaSolv Solution 6.2.1.0.0. Affected is an unknown function in the library lib/commons-beanutils-1.8.0.jar of the component Infrastructure/LSR/ASR. The manipulation of the argument this leads to improper input validation. This vulnerability is traded as CVE-2014-0114. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

Despite the fact that Linux server e