一、科学家发现新漏洞：利用手机陀螺仪窃取气隙系统的数据

一位擅长以各种创新方式从断网设备中提取数据的安全研究专家近日发现了一个新漏洞，可以使用手机窃取气隙系统的数据。气隙系统（air gapped）指的是，将电脑与互联网以及任何连接到互联网上的电脑进行隔离。该系统在物理上是隔离的，无法与其他计算机或网络设备进行无线或物理连接。

气隙系统主要用于关键基础设施以及其他对网络安全有极高要求的场所。虽然气隙系统在日常环境中并不常见，但是近年来也出现了针对这种系统的攻击方式，例如使用附近智能手机的麦克风接收数据的 Mosquito 攻击。

因此，Apple 和 Google 在 iOS 和 Android 中引入了权限设置，阻止应用程序访问设备的麦克风，并且当麦克风处于活动状态时，这两种操作系统都会使用视觉指示器。

和麦克风不同，在大部分现代化智能手机中陀螺仪已经是标准配置。陀螺仪用于检测智能手机的旋转速度，并被广泛认为是一种更安全的传感器，因为 iOS 或 Android 都没有指示它们何时被使用，也没有提供完全阻止访问的选项。

现在，Mosquito 攻击的创造者有了一项新技术，它使用智能手机的陀螺仪来接收附近听不见的声波，整个过程不依赖于麦克风。

本古里安大学网络安全研究中心的研发负责人 Mordechai Guri 在他最新的研究论文中表示，这种被他称为“Gairoscope”的新攻击可以在“几米远”的范围内从气隙计算机中窃取敏感信息。

与针对气隙系统的其他攻击一样，Guri 的“Gairoscope”概念验证需要非常接近气隙系统。但是从那里，攻击者可以通过侦听从气隙系统的扬声器产生的声波并从附近智能手机的陀螺仪中拾取来收集密码或登录凭据。

Guri 说，这些听不见的频率会产生“智能手机陀螺仪内的微小机械振荡”，可以将其转换为可读数据。他补充说，攻击者可以使用移动浏览器执行漏洞利用，因为可以使用 JavaScript 访问手机陀螺仪。

虽然该方法仍处于试验阶段，但 Guri 和他的团队建议了一些旨在限制新恶意软件影响的对策，例如消除扬声器以创建无音频网络环境，并使用音频硬件过滤掉音频硬件产生的共振频率。

引用自：

https://www.cnbeta.com/articles/tech/1308531.htm

二、恶意程序正潜入盗版3DMark等软件进行传播

据Bleeping Computer网站8月23日消息，网络安全研究人员发现了多个恶意软件传播活动，目标针对下载盗版软件的互联网用户。

该活动使用 SEO 投毒和恶意广告推高这些“带毒”的共享软件网站在 Google 搜索结果中的排名，据发现此事件的Zscaler 称，这些盗版软件包括了3DMark、Adobe Acrobat Pro等时下热门应用。多数情况下，这些软件安装程序的恶意可执行文件位于文件托管服务上，因此登陆页面将受害者重定向到其他服务以下载这些文件。

这些传播恶意文件的重定向站点名称不那么花哨，并且位于“xyz”和“cfd”顶级域上。下载的文件包含一个 1.3MB、有密码保护的 ZIP 文件，以此来逃避 AV 扫描，此外还附带一个包含解密密码的文本文件。由于采用字节填充技术，ZIP解压后的文件大小有600M，这是许多恶意软件遵循的常见反分析做法，其中包含的可执行文件是一个恶意软件加载程序，它会生成一个编码的 PowerShell 命令，该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe)，以逃避沙盒分析。

cmd.exe 进程会下载一个 JPG 文件，该文件实际上是一个 DLL 文件，其内容反向排列。加载程序以正确的顺序重新排列内容，派生出最终的 DLL，即 RedLine Stealer 有效负载，并将其加载到当前线程中。

RedLine Stealer是一种强大的信息窃取恶意软件，它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭证、计算机详细信息等。

今年6月，FreeBuf也曾报道过类似事件，信息窃取恶意软件隐藏在知名清理程序CCleaner中进行传播。

为了避免上述情况发生，用户应避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可使用付费软件的内容。即使包含这些虚假或恶意内容的网站在搜索结果中的排名很高。

引用自：

https://www.freebuf.com/news/342855.html

勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭，这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬，数字安全机构 Entrust 确认在今年 6 月遭到网络攻击，攻击者从网络中窃取了部分数据。

当时消息人士告诉 BleepingComputer，这是一次勒索软件攻击，但我们无法独立确认背后的原因。上周末，LockBit 宣布对本次攻击负责，并于上周五开始公开泄漏的数据。

在描述中提供了 30 张样本截图，显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久，研究人员开始报告说，勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。

昨天，安全研究小组 VX-Underground 从 LockBitSupp（LockBit 勒索软件运营的公众账号）处获悉，其 Tor 站点遭到了攻击，而且他们认为和 Entrust 有关联。

LockBitSupp 表示：“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了，很显然这是 Entrust 的手笔，不然还有谁需要呢？此外，在攻击日志中就提到了要求移除这些数据”。

从这些 HTTPS 请求中可以看出，攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息，告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示，对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。

作为对攻击的报复，LockBit 的数据泄露站点现在显示一条消息，警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传，这将使其几乎不可能被删除。

此外，威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明，最初的赎金要求为 800 万美元，后来降至 680 万美元。

引用自：