安全快讯Top News

黑客组织 Leviathan 针对全球国防、政府及海军等机构展开新一轮网络钓鱼攻击

HackerNews.cc 10 月 19 日消息,黑客组织 Leviathan 近期正瞄准全球国防、政府及海军等机构展开新一轮网络钓鱼攻击,旨在窃取国家机密信息。 黑客组织 Leviathan 自 2014 年以来一直处于活跃状态,其美国、西欧与中国南海等地区普遍遭受影响。据悉,网络安全公司 McAfee 和 F-Secure 研究人员发现 Leviathan 曾于 2015 年 2 月至 10 月入侵中国南海地区工控系统。另外,菲律宾司法部门、亚太经合组织组织及国际律师事务所也在此期间纷纷遭受攻击。 调查显示,黑客组织 Leviathan 于今年 9 月针对一家美国造船公司和一所与军队相关的美国大学研究中心展开了新一轮网络钓鱼攻击,其钓鱼邮件常以 “ 工作简历 ” 和 “鱼雷恢复实验” 等为主题、诱导用户下载并安装恶意软件。目前,尚不清楚黑客是否成功窃取他们最新活动的任何机密数据。 Proofpoint 研究人员在博客中表示:“工具、技术和目标始终将他们的工作联系起来,特别是考虑到他们对海军与国防利益的密切关注。此外,虽然与军事相关的国防承包商和学术研究中心应该始终认识到国家网络攻击的潜在威胁,但还需特别警惕那些看似合法却未经验证的电子邮件。” 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

七国集团(G7)在反恐讨论会上向国际互联网巨头施压

据外媒报道,七国集团(G7)的内政部长及互联网科技巨头的公司代表于 10 月 19 日在意大利伊基亚举行了一场为期两天的国际反恐讨论会,要求包括谷歌、Facebook 和 Twitter 在内的互联网企业帮助他们打击愈演愈烈的网络极端主义。 尽管在七国集团打击 IS 方面取得了进展,但英国情报机构负责人表示:“ 英国正面临更加严峻的恐怖主义威胁,特别是极端主义材料的网络传播 ”。英国军情五处负责人安德鲁•帕克透露,从策划到实施恐怖袭击的效率可能越来越高。倘若以这样的速度,加上恐怖分子利用互联网空间的手段,将会使恐怖威胁更难以察觉。 意大利内政部部长马尔科•明尼蒂称:“互联网在极端主义的传播中扮演了决定性的角色。80% 的极端主义对话就在网络上进行着 ”。 稿源:根据环球网内容整理,封面源自网络;

俄罗斯水军公司传播虚假新闻,竟以政治美剧《纸牌屋》为参考教材

俄罗斯媒体 RBC 发布调查报道称,一家叫 “网络研究中心”(IRA)的俄罗斯公司注册了上百个社交账号发布假新闻,刻意制造美国社会的分裂情绪。该公司员工还在《纽约时报》、《华盛顿邮报》等主流媒体网站上留言攻击希拉里、奥巴马等人。 据悉,IRA 共赞助了约 100 位美国活动人士前往各地展开集会、抗议等活动。此外,该公司过去两年花了 230 万美元在美国活动上。俄罗斯另外一家独立电视台 RAIN 也播放了对 IRA 前员工的采访视频。一位化名为 Maksim 的前任员工对着镜头说,自己于 2015 年加入公司。那时公司的主要策动目标就是诋毁希拉里。在 Maksim 看来,公司想要在美国社会释放的信息是:“美国同胞们,你们还没有厌倦克林顿夫妇吗?” 经 RBC 确认,在 Facebook、Twitter、Instagram 等社交网站上共有 118 个账号或社交小组与这家俄罗斯公司有关,共吸引到 600 万人订阅。IRA 工作人员会利用 VPN 隐藏自己的真实 IP 地址,也从来不涉及俄罗斯及总统普京等话题。为提高英语水平,IRA 要求自己的员工观看美剧《纸牌屋》,并称这能够帮助公司雇员更好地了解美国政治体系的运作。 稿源:solidot奇客,封面源自网络;

中国惊现挖矿脚本,浏览器采矿日益流行及恶化

安全专家表示,一开始出现利用访问者浏览器挖门罗币的 JS 脚本时,人们称赞它是一种替代侵入式广告的方式,能为网站带来新的收入。随着嵌入 JS 脚本的网站增加,提供类似服务的 JS 挖矿程序也越来越多。据称,中国也出现了一个叫 ProjectPoi 的挖矿脚本。 目前,有多少嵌入挖矿脚本的网站放弃了广告?多少网站通知了用户或者提供了方法让用户选择关闭挖矿程序?换句话说,很多情况下,这些挖矿脚本的行为就像恶意程序,未经许可侵入用户的计算机和利用计算机资源。对此,广告屏蔽工具现在成了防止劫持 CPU 的安全工具,其浏览器采矿日益流行及恶化。 稿源:solidot奇客,封面源自网络;

Google Play 官方市场再次发现恶意程序 Android.Sockbot

赛门铁克的安全研究人员近期发现了一种通过官方应用市场 Google Play 传播的恶意程序 Android.Sockbot。据悉,该恶意程序冒充正规应用感染设备后添加到僵尸网络之中。研究人员发现了至少 8 个应用,其下载量在 60 万至 260 万。 调查显示,恶意软件主要针对美国用户,但俄罗斯、乌克兰、巴西和德国也有它的踪影出现。目前,Google 已经将这些应用移除。对恶意应用的分析发现,应用程序通过 9001 端口与 CC 服务器相连,以接收相关命令。CC 服务器使用 SOCKS 请求该应用程序打开套接口,之后在指定端口等待一个来自指定 IP 地址的连接。在通过指定端口的 IP 地址给出连接后,CC 服务器将发出连接目标服务器的命令。 研究人表示,恶意应用程序将连接到所需目标服务器,并开始接收广告列表和相关元数据(广告类型、屏幕尺寸和名称)。该应用程序使用相同的 SOCKS 代理机制,在接收命令后与广告服务器相连并发出广告请求。但它并没有显示广告的功能。 稿源:solidot奇客,封面源自网络;

Apache HTTP Server 即将开始支持 ACME 协议

Let’s Encrypt 项目宣布,Automatic Certificate Management Environment (ACME)协议支持正在整合到 Apache HTTP Server (httpd)项目。ACME 是 Let’s Encrypt 使用的协议,整合到世界上最流行的 Web servers 意味着将能显著加快新网站和现有网站普及 HTTPS,部署 HTTPS 也将更容易。 Let’s Encrypt 希望未来其它 CA 也能支持 ACME。Apache httpd 的 ACME 模块被称为 mod_md,它的开发得到了 Mozilla 的资助.目前,位于 httpd 的开发分支计划向后移植到  httpd 2.4.x 稳定分支。 稿源:solidot奇客,封面源自网络;

安全报告:2017 上半年微软收到 25367 条执法部门的法律要求

据外媒报道,微软于 10 月 19 日下午发布了公司最新的数字信任报告,结果显示跟先前的报告“基本一致”,其中最令人印象深刻的要应该就是微软于 2017 上半年从执法机构那里得到的客户信息法律请求数量,达 25,367 条。目前,完整报告与最新的报告现都已经公布在微软新闻中心。 微软企业责任负责人 Steve Lippman 指出,这一数字较之前六个月略有下降。获悉,大多数请求来自美国、英国、法国和德国。 另外,根据最新的《外国情报监视法(FISA)》数据报告(2016年6月-12月)显示,微软总共收到了 0-499 条 FISA 要求提供内容的命令,影响用户数量在 13000-13499 之间,该数值比先前半年要多–此前则在 12000-12499 之间。至于收到的国家安全信件数量则继续保持在 0-499 之间。 欲了解更多信息,请戳这里。 稿源:cnBeta,封面源自网络;

谷歌推出 Android 应用漏洞赏金计划,至少可获 1000 美元

为了清除 Google Play 商店的漏洞,谷歌将向能够发现 Android 应用漏洞的安全专家提供奖金。 根据本周四发布的这个项目,每发现一个漏洞至少可以获得 1000 美元奖励,他们希望借此对自动检查系统形成补充,以便封堵恶意应用和其他问题。安全专家认为,这个上线 8 年的应用商店受到恶意应用感染的程度远高于苹果 App Store。 谷歌 2015 年 6 月曾经针对 Android 操作系统启动了漏洞奖励计划,头两年总共针对数百个漏洞报告发放了 150 万美元奖金。 谷歌将与漏洞奖励项目管理网站 HackerOne 展开合作,希望瞄准一系列应用和漏洞,包括那些允许黑客将用户跳转到钓鱼网站的漏洞,或者感染设备的病毒。Google Play 应用和游戏产品管理总监温尼特·布赫(Vineet Buch)表示,软件扫描已经无法帮助个人用户发现 “真正新颖的攻击”。 Google Play 安全奖励项目相当于资助安全专家对其他公司开发的应用展开研究。微软、苹果和 Alphabet 此前的漏洞奖励项目仅针对自家应用的漏洞。布赫表示:“我们不止关心自己的应用,还关心整个生态系统的健康状况。这就像你并不认识某个失踪人士,但却悬赏寻找此人”。谷歌并未披露该项目的资金,但该公司表示,最初的规模并不大。 稿源:cnBeta、新浪科技,封面源自网络;

朝鲜黑客组织 Lazarus 或与远东国际商业银行盗窃案有关

据外媒报道,全球知名军品公司 BAE Systems Plc 表示,与朝鲜有关联的黑客组织 Lazarus 可能需要为台湾远东国际商业银行 6000 万美元的失窃案负责。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件、 2016 年孟加拉国银行数据泄露事件及 WannaCry 勒索病毒攻击事件有关。 安全研究人员表示,他们在调查攻击远东国际商业银行的恶意工具包时,发现黑客组织在此次活动中使用了多款恶意软件,且与 Lazarus 之前使用的武器库相关。据悉,黑客组织在目标银行网络上利用勒索软件 Hermes 侵入设备后加密系统文件、干预检测并擦除证据。此外,研究人员在检测银行系统时,还发现另一款恶意软件 Bitsran,可用于目标系统运行与传播有效负载的加载程序。 目前,斯里兰卡警方已经逮捕了与这起失窃案相关的两名网络犯罪分子,且追回 5990 万美元。研究人员表示,除了孟加拉国央行的失窃案,该团伙还一直瞄准比特币,同时他们还是墨西哥和波兰银行网络攻击的幕后力量。 稿源:本文结合 securityaffairs.co 与 solidot奇客 内容编译整理 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Magnitude 漏洞开发工具包卷土重现,新添勒索软件功能针对韩国用户展开攻击

HackerNews.cc 10 月 8 日消息,Magnitude 漏洞开发工具包(EK)在过去的发展规模中一直引人注目并被网络犯罪分子用于亚洲多个国家肆意传播。奇怪的是,该漏洞开发工具包于今年 9 月下旬突然消失,起初研究人员以为这仅仅是 EK 研发失败的情景,但就在近期,该工具包重新出现并新添有效负载–勒索软件 Magniber。 Magnitude 漏洞开发工具包最早可追溯至 2013 年,其主要包含诸如加密类的勒索软件。调查显示,攻击者利用该漏洞开发工具包过滤客户 IP 地址与系统语言的地理位置后传递有效负载。这是一种网络犯罪分子常用的主要技术工具,旨在规避研究人员检测。目前,该工具包只通过漏洞(2016-2016-0189)检索执行有效负载。 据悉,Magniber 是一款针对性较强的勒索软件,可通过多个级别(外部 IP、安装语言等)检测目标系统,以确保受攻击设备仅为韩国用户。此外,勒索软件 Magniber 由 Magnitude 漏洞开发工具包进行分配。 调查显示,勒索软件 Magniber 仅在检测到韩语的系统上才会开始恶意操作,如果恶意软件于非韩系统执行,其研究人员唯一能看到的操作就是通过其运行 ping 命令删除自身程序。 一旦入侵韩国系统,其恶意软件将以 %TEMP% 方式复制设备机密数据,并在任务调度程序的帮助下部署自身。 据悉,研究人员在系统的多个文件夹中除了发现同一勒索赎金信函外,还检测到另一文档,它的名称与为特定用户生成的域名相同、扩展名与加密文件的扩展名相同。此外,每份加密文件都添加了同一个由拉丁文字符组成的扩展名,并且对于特定的 Magniber 样本来说固定不变,这意味着每份文件都使用完全相同的密钥进行加密。 研究人员表示,受害者的页面只显示英文。虽然它的模板与此前勒索软件 Cerber 使用的模板极其相似,但内部完全不同。此外,Magniber 是在 CBC 模式下使用 AES 128 位加密文件并在 Windows Crypto API 的帮助下执行与传播。 目前,虽然攻击者正积极瞄准韩国用户分发勒索软件 Magniber,但研究人员尚不清楚幕后黑手真正意图。对此,他们将持续跟进此次事件并提醒各用户加强防御体系,以抵御大规模攻击事件的发生。 附:Malwarebytes Labs 原文报告《 勒索软件 Magniber:仅感染传播韩国用户 》 稿源:Malwarebytes Labs ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。