Process Doppelgänging 新型攻击技术 Bypass 多款主流杀软

12 月 8 日在 BlackHat 2017 欧洲(伦敦)会场上,来自 Ensilo 的安全研究人员介绍了一种名为 Process Doppelgänging 的新型代码注入技术,能够成功绕过多数杀毒软件和安全软件,从 Windows Vista 到最新版本的 Windows 10,几乎所有 Windows 版本中都可以运行 Process Doppelgänging 技术。 Bypass 多数杀毒软件 研究人员进行的测试结果显示,Process Doppelgänging 技术能够成功 Bypass 多家杀毒软件,如 Windows defender、AVG、卡巴斯基、Avast、360、McAfee 等。同时,研究人员表示使用 Process Doppelgaynging 技术运行著名的密码窃取实用程序 Mimikatz 也都没有被检测出,也说明该技术能够规避大多数防病毒软件的检测。 新型无文件攻击手法 据演讲者介绍,该技术是一种无文件的代码注入方法,利用了一个内置的 Windows 函数和一个未经注册的 Windows 进程加载程序实现攻击。研究显示,Process Doppelgienging 与另一种称为 Process Hollowing 的技术相似,但后者依赖于 Windows NTFS 事务处理机制,攻击者可以借助 Process Hollowing 技术,在内存中使用恶意代码代替合法进程,从而规避安全软件。目前所有的现代安全软件都能够检测到 Process Hollowing 技术的攻击,然而 Process Doppelgienging 利用的是 Windows NTFS 事务处理机制以及一种为 Windows XP 设计的老式 Windows 进程加载器进行攻击,能够成功避开多数防病毒软件检测。 来自 Ensilo 的安全研究人员 Tal Liberman 和 Eugene Kogan在会场上演示了这一过程。他们将 Process Doppelgänging 无文件攻击分为四个步骤: 1、处理 -将一个合法的可执行文件转换为 NTFS 事务,然后用恶意文件覆盖它。 2、加载 -从修改的(恶意)文件中创建一个内存段。 3、回滚-回滚事务(故意使事务失败),从而导致合法可执行程序的所有更改以一种从未存在的方式被删除。 4、推动 – 使用旧的 Windows 进程加载器来创建一个具有先前的内存段的进程(在第 2 步中),这实际上是恶意的,从来没有保存到磁盘,这将使它在大多数记录工具如现代的 EDRs 中不可见。 安全专家表示,该技术旨在允许恶意软件在目标机器上的合法进程中运行任意代码(包括已知的恶意代码),虽然非常类似于 Process Hollowing,但带有新颖的转变。Process Doppelgänging 的挑战是不使用类似 SuspendProcess、NtUnmapViewOfSection 这样的可疑进程和内存操作。 为完成挑战,安全研究人员利用了 NTFS  Transaction,并在事务的上下文中覆盖了一个合法的文件。随之,从修改后的文件( 事务的上下文 )中定义了一个部分并从中创建了一个进程。此外,研究人员发现,在事务中扫描文件是他们迄今为止检查的供应商不可能做到的,而且由于回滚事务,活动并没有留下任何痕迹。 NTFS Transaction 是 Windows 的一个特性,用于将事务整合到 NTFS 文件系统中,使应用程序开发人员更容易处理错误并保持数据完整性,还可以管理文件和目录。并且 NTFS Transaction 也是一个独立的空间,允许 Windows 应用程序开发人员编写文件输出例程,而这些例程的结果可以重构为失败或成功的状态。 几乎 “秒杀”  所有 Windows 版本 研究人员Liberman 表示,Process Doppelgienging 技术即使在最新版本的 Windows 10 上也能够运行,除了今年早些时候发布的 Windows 10 Redstone 和 Fall Creators Update 之外,因为在这些后来的版本中,Process Doppelgienging 攻击触发了蓝屏死机( BSOD )。幸运的是,由于需要知道关于进程创建时大量无事实证明的细节,所以在处理 Process Doppelgänging 攻击方面具有技术挑战性。然而坏消息是,因为利用了 Windows 系统的基本特性和过程加载机制的核心设计,所以攻击并不能修补。 更多阅读:BlackHat Europe 2017 ( 12 月 6 日– 7 日简报) 消息来源:Security Affairs,编译:榆榆,译审:青楚、FOX,终审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

入侵 HBO 黑客或与伊朗网络间谍组织 Charming Kitten APT 有关

ClearSky 发布的一份最新报告称,美国当局指控一名侵入 HBO(有线电视网络媒体公司)系统的男子与伊朗网络间谍组织 Charming Kitten 有关。 上个月,美国指控伊朗电脑专家 Behzad Mesri 侵入 HBO 系统并窃取《权力游戏》的剧本和剧情摘要。该名男子威胁称如果 HBO 不支付 600 万美元的比特币赎金,他将会泄露所有数据。据美国司法部透露,黑客 Mesri 是伊朗黑客组织 Turk Black Hat 成员,该组织主要针对美国和世界各地的数百个网站的网络攻击,Mesri 也曾代表伊朗军方进行网络攻击,其攻击目标是军事系统、核软件系统和以色列的基础设施。 专家们通过“跟踪” Turk Black Hat 黑客组织中的另一名成员 ArYaIeIrAN 后将黑客 Mesri 和 Charming Kitten 组织关联起来,因为与 Mesri 相关的电子邮件地址被 Charming Kitten 用来注册域名。并且,同样的电子邮件地址也在名为 MahanServer 的伊朗托管公司注册了一个域名,同时托管了 Charming Kitten 的基础设施。 此次事件中还有一个关键人物 Mohammad Rasoul Akbari, 他是伊朗托管公司 MahanServer 唯一的员工,也是 Mesri 的 Facebook 朋友。由此可见, Mesri 和 ArYaIeIrAn 是通过 Mahanserver、 Akbari 为 Charming Kitten 提供基础设施。 相关阅读: clearskysec 发布的关于黑客组织 Charming Kitten 的调查报告 消息来源:Security Affairs,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

间谍软件日志暴露了埃塞俄比亚一场国家级监控阴谋?

据外媒 11 月 6 日报道,埃塞俄比亚政府近日被发现购买了以色列 Cyberbit 公司的间谍软件用于监视居住在国内外持不同政见的人群。但因政府执行人员在配置 C&C 服务器时出现严重问题导致一份间谍软件的日志文件泄露,从而暴露了埃塞俄比亚政府的监视活动及所有监控目标。 调查显示,这个秘密监视行动似乎从去年开始,由包含各种网站链接的鱼叉式网络钓鱼邮件组成。在 2016 年和 2017 年,加拿大、美国、德国、挪威、英国和其他许多国家的人们陆续收到可疑邮件,而这并非普通的垃圾邮件,这些邮件主要通过恶意链接引诱用户下载一个虚假的 Adobe Flash Player 更新或者一个名为 Adobe PdfWriter 的应用程序查看视频或 PDF 文件。如果点击,那么他们的互联网连接就会被劫持并偷偷地重定向至目标服务器,这些服务器装有 Cyberbit 公司设计的监控软件,而购买了 Cyberbit 公司监控软件的机构能够监视目标在设备上的一举一动,还可以远程激活摄像头和麦克风。 这些攻击中使用的恶意软件是一个名为 PC Surveillance System ( PSS ) 的 Windows 程序,由 Cyberbit 出售,并且 Cyberbit 有意将 PSS 作为合法的监控软件销售给全球的情报与执法机构。据悉,Cyberbit 是 Elbit Systems 的子公司,目前还有其他三家“安全”公司加入了 Elbit Systems,分别是 HackingTeam(产品:RCS – 远程控制系统),Gamma 集团(产品:FinSpy)和 NSO 集团(多个产品),这些公司的产品都是作为专制政权的首选网络工具。 然而当地政府在发起鱼叉式钓鱼活动中犯了严重错误,一些收件人把可疑邮件转发给了加拿大公民实验室( Citizen Lab) 。而在此次事件中,埃塞俄比亚政府特工犯的最大错误在于对参与调查的 Citizen Lab 研究人员产生矛盾和进行攻击,这使得 Citizen Lab 团队对这些攻击更感兴趣,由此深入调查最终发现,假冒 Flash Player 和 PdfWriter 应用程序的恶意软件正在与一个在线暴露了 web 文件夹的 C&C 服务器进行通信。 在这些网络文件夹中,Citizen Lab 团队发现了他们需要了解的一切,包括含有攻击者 IP 地址的日志,以及埃塞俄比亚政府试图感染和监视的详细目标。值得注意的是,通过分析网络间谍活动的指挥和控制服务器,Citizen Lab 团队还监控到 Cyberbit 员工在感染笔记本电脑的情况下访问这些服务器,显然是向潜在客户展示 Cyberbit 的产品。据统计,Cyberbit 的这些客户包括泰国皇家军队、乌兹别克斯坦国家安全局、赞比亚金融情报中心和菲律宾总统马拉坎南宫。 Citizen Lab 团队发现,埃塞俄比亚政府使用的监控软件不仅影响了当地用户,还感染了许多生活在埃塞俄比亚的侨民 。对此 Citizen Lab 团队发布紧急通知提醒包括记者、活动人士和参与最近在埃塞俄比亚奥罗米亚地区发生的抗议活动的持有不同政见的人群,以及来自邻国厄立特里亚的政府官员提高警惕。 当然,这些公司坚持他们出售给政府的间谍软件是专门用来打击和调查犯罪人群的。 但问题是,通常情况下记者、学者或非政府组织试图揭露某些政府行为时,很容易会被贴上罪犯或恐怖分子的标签。且据研究表明,即使这些人群居住在国外,也很容易受到国家监视。据 Citizen Lab 研究人员称,这并非埃塞俄比亚政府第一次购买监控软件,埃塞俄比亚国家官员是 HackingTeam 和 Gamma 集团的忠实客户,在过去几年都部署了他们的产品。此外,在 Citizen Lab 调查人员的接触下,Cyberbit 管理层试图推脱了所有责任,并对外声称他们只是一个供应商,只向政府机关和执法机构提供 PSS,负责确保他们合法授权使用产品,并不实际操作任何产品。 研究人员表示,商业间谍软件行业已成为当今最危险的网络安全问题之一,也正是因为有像 Cyberbit 这样对客户实际行为视而不见、纵容间谍软件滥用导致严重后果的“安全公司”。想要解决这个问题的话需要司法机构、以及政府、民间社会和私营部门的共同努力。如果国际社会不迅速采取行动,那么将会有越来越多的记者、维权人士、律师甚至连一些国家本身的权利都不能受到保障。 相关阅读: 完整的公民实验室(Citizen Lab )分析报告可在这里找到。 消息来源:Bleeping Computer,编译:榆榆,校对:青楚、FOX,终审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

July Systems 公司 “Proximity MX” 平台因 AWS S3 存储器配置不当致敏感数据泄露

据外媒报道,总部位于旧金山的 July Systems 公司在网上暴露了大量敏感数据,该公司基于云智能定位和参与平台 “ Proximity MX ” 通过不安全的 Amazon S3 数据库公开了公司及其客户的专有信息。相关安全人员表示,极有可能是因为人为因素而造成了此次暴露事件。 相关人士透露,July Systems 的 Proximity MX 平台连接个人的数字足迹 – 特别是跟踪消费者的消费行为。该平台允许公司的客户与消费者进行相关的优惠和促销,并将数据记录到系统中”。据悉,该平台使用者还包括 CNN,ESPN,Intel,Toys “ R ” Us,CBS,Fox 和 NBC Universal 等全球知名媒体公司。 经过调查,在过去的一年中,配置不当的 S3 存储器造成的多次大规模泄漏事件已经暴露了来自各个组织的大量数据。最近, 美国陆军和国家安全局的数据也被暴露。而此次 July Systems 泄露的数据包括 iPhone 和 Android 应用程序的安全凭证,存储库凭据(可能允许任何人访问敏感的客户端数据或跟踪数据),内部构建和各种客户端的开发工具(比如 NFL, CBS,Amex,NBA,FOX,PGA 等)。此外,还暴露了诸如 “ Katy Perry,NFL , NBA ” 等品牌的档案信息和印度 Unilever 管理者的 1000 个用户名和密码。 11月 20 日,Kromtech 安全研究员 Bob Diachenko 发现了 3 个泄露的 S3 存储器 (两个与 July Systems 相关的存储器,另一个则与 Cisco 相关 ),并且发现数据库一直在实时更新。Diachenko 解释说,这三个存储器都是一个名为 EMSP 的生态系统的一部分,它可以利用 WiFi 网络获得有价值的客户信息、提供个性化的移动体验,而 JulySystems 与 CISCO 主要在合作推动 EMSP。 Diachenko 表示,此次暴露事件很可能是人为造成的 。因为 July Systems 有几台 S3 服务器没有密码并且可以公开访问。但目前不清楚是否有其他第三方访问了这些数据库,也不清楚该公司的 S3 存储器在被发现之前还要暴露多久。July Systems 在被告知数据暴露的两天内就已锁定涉事 S3 存储器,但与 Cisco 相关的服务器在获得安全保护之前仍然暴露了一个星期,然而现在真正的考验是,网络犯罪分子可能利用暴露的密码来访问数据基础设施的安全区域。 据悉,英国 IBTimes 已与 July Systems 取得联系以进一步明确此事,并正在等待回应。 消息来源:IBTimes,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧洲刑警组织联合微软、ESET 等公司取缔 “Andromeda” (仙女座)大型僵尸网络

据外媒报道,联邦调查局、欧洲执法机构和私营部门(例如:微软、ESET 等)于 11 月 29 日联合开展的一项国际行动,成功移除 Andromeda(又名 Gamarue 或 Wauchos)僵尸网络。 据悉,网络犯罪分子使用僵尸网络发送垃圾邮件、感染目标用户 、同时还向已感染用户二次传播恶意软件,甚至通过将僵尸网络租借给其他不法人群牟取暴利。  调查显示,相关执法机构移除了多款由黑客组织长期运营的僵尸网络,其多数由安全公司 ESET 检测为 Win32 / TrojanDownloader.Wauchos 。此外安全专家还跟踪了恶意基础设施,确定了他们的 C&C 服务器地址以及僵尸网络可能造成的潜在威胁。统计显示,其中包括 : 464 个不同的僵尸网络、80 个相关联的恶意软件系列、1214 个域名和 IP 地址的僵尸网络 C&C 服务器。 Andromeda (仙女座)是市场上最大的僵尸网络之一,自 2011 年以来一直存在。犯罪分子使用它来发布多个恶意软件系列,其中包括 Dridex 银行木马病毒和 GamaPoS 恶意软件等。据微软收集的遥测数据显示,在过去的六个月中,Andromeda 僵尸网络向受害用户提供了80 种不同的恶意软件,并且每月平均有 110 万台电脑收到僵尸网络 Andromeda 影响。 知情人士透露,Andromeda 被移除并非偶然,这要归功于去年移除了一个名为“ 雪崩 ”(Avalanche)的大型犯罪网络,该网络是一个用于驱动大规模全球恶意软件攻击和资金招募的基础设施,托管了 21 个恶意软件家族的分发基础设施(其中包括 Andromeda )。为了方便监视 Andromeda 和搜集数据,在去年新闻发布中当局并没有透露跟有关 Andromeda 僵尸网络在 Avalanche 事件上的任何细节。 欧洲刑警组织发表的报告显示,德国检察署 Verden 和 Luneburg 警方、美国宾夕法尼亚州西区检察官办公室、司法部、联邦调查局、欧洲刑警组织、欧洲司法组织和全球合作伙伴于 2016 年 11 月 30 日成功拆除了 Avalanche 的国际犯罪基础设施。这些组织被用作一个平台来管理大规模的恶意软件攻击,比如 Andromeda 和资金招募活动。 据称,欧洲刑警不仅通过已收集的数据成功逮捕了一名疑似 Andromeda 开发人员的白俄罗斯男子,还利用一年前关闭的 Avalanche 平台使用的 1500 个域名,通过 sinkholing 技术分析其流量并跟踪受感染的系统。据透露,在 48 小时的检测后,专家们观察到来自 223 个国家的约 200 万个 Andromeda 僵尸网络受害用户的 IP 地址。随后,因为最初受感染的计算机中仍有 55%  的系统继续被感染,所以调查人员将分析跟踪 Avalanche 的时间延长了一年。根据调查,英国、白俄罗斯、新加坡、中国台湾等国家/地区普遍遭到 Andromeda 和 Avalanche 僵尸网络的影响。 欧洲刑警组织欧洲网络犯罪中心负责人史蒂芬•威尔逊(Steven Wilson)表示,这是国际执法部门与行业合作伙伴处理重要的网络犯罪分子与其在全球范围内分发恶意软件感染专用基础设施的典型例子,由此可见,公私合作伙伴关系有效的打击了网络犯罪分子的恶意行为,并为用户提供更安全的网络。 更多阅读: 来自 ESET 公司的分析文章:https://www.welivesecurity.com/2017/12/04/eset-takes-part-global-operation-disrupt-gamarue 消息来源:Security Affairs、Bleeping Computer,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

印度黑客暗网低价出售的新勒索软件 Halloware 竟是一场骗局?

据外媒 12 月 3 日报道,一名自称是来自印度东北部的 17 岁大学生 Luc1F3R 正以 40 美元的低廉价格贩卖一款新勒索软件 Halloware,还专门在暗网、地下论坛、公共互联网上托管的两个站点以及 YouTube 的视频上进行销售。这些暗网为 Halloware 提供了终身许可证书,然而由于 Halloware 低廉的价格让研究人员产生了怀疑,他们推测这要么是一个骗局;要么在 Luc1F3 看来,Halloware 并没有那么复杂。对此,他们决定展开详细调查。 虽然研究人员最初认为这是一个骗局,但由于黑客在勒索软件出售网站上出现了一些操作失误,以至于他们可以追踪到 Luc1F3R  正在托管与 Halloware 有关文件的网页,包括使用勒索软件感染受害者的恶意文件列表。 调查显示,该列表中的一份文件 hmavpncreck.exe 的 SHA256 哈希值和 Luc1F3R 在 Halloware 广告中所包含 NoDistribute 的扫描结果相同,从而证实这正是安全专家所需要寻找的恶意软件二进制文件。而另一个名为 ran.py 的文件似乎是 Halloware 的源代码。虽然该文件受到了保护,但研究人员还是设法提取了它的源代码,最终由其他安全研究人员创建出解密程序,以防有人购买这个勒索软件并用它来感染目标用户。 此外,勒索软件使用了硬编码的 AES-256 密钥加密文件,并将“(Lucifer)”字符串加到加密文件中。买家可以通过改变两个图像并添加定制的支付站点 URL 来完成安装,例如,一旦加密成功,image.png 就会变成(Lucifer)image.png。“任务完成”后 Halloware 勒索软件将会弹出窗口显示一个令人毛骨悚然的小丑与一条赎金消息引诱受害者重定向至另一暗网支付网站,并更改用户的桌面墙纸或进行其他恶意操作。 虽然 Halloware 是一个简单的勒索软件,但确实奏效。专家也注意到,Halloware 勒索软件并没有在被感染的个人电脑上删除文本文件。另外,Halloware 使用了硬编码的 AES-256 密钥加密文件,并没有保存远程服务器上的任何信息,这一特性使得 Halloware 并无实际意义,而且就连作者 Luc1F3R 可能也没有机会从 Halloware 手中赚到任何钱财。 由此看来,作者 Luc1F3R 似乎只是一位低技能的新手,刚刚向网络犯罪的世界迈出第一步,因为研究人员发现他在 YouTube 上传的所有黑客教程都只是描述了基本的技术或者是宣传不太复杂的恶意软件,而在 GitHub 帐户中 Luc1F3R 还托管了另外四种恶意软件。 附:哈希表 007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09 针对加密的文件类型: .jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd 消息来源:Bleeping Computer、Security Affairs,编译:榆榆,校对:青楚、FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

预警 | 逾六千台装备 Lantronix 串口的以太网设备暴露 Telnet 密码,可连接关键工控系统

HackerNews.cc 12 月 2日消息,NewSky Security 的首席安全研究员 Ankit Anubhav 于近期发现数千台装备 Lantronix 串口的以太网设备泄漏了 Telnet 密码。知情人士透露,攻击者可以借此针对连接设备发动网络攻击。 据悉,该设备服务器由美国供应商 Lantronix 制造,并被广泛应用于连接工控系统,其中大部分是老旧设备(只具备串行端口)。调查显示,此次暴露的以太网服务器串口是转用于连接远程设备的接口,例如:产品 UDS 和 xDirect 可以轻松通过 LAN 或 WAN 连接管理设备,从而实现与具备串行接口的任何设备进行以太网连接。 Anubhav 表示,当前逾有 6,464 台可连接到关键工控系统的 Lantronix 设备服务器在线泄露了 Telnet 密码,这些设备在 Shodan 上的曝光占了 48% 。据称,此次泄露事件不仅允许攻击者接管设备后使用特权访问将串行命令发送至连接设备,还能够允许攻击者可以通过在端口 30718 上发送一个格式错误的请求检索 Lantronix 设备配置。 另外,研究人员发现在 Metaploit 黑客平台包括一个 Lantronix  “ Telnet 密码恢复 ” 模块,该模块可用于通过配置端口(旧版本的 Lantronix 设备默认启用 30718 / udp)从 Lantronix 串口到以太网设备检索安装设置记录,并以明文方式提取 Telnet 密码。目前,补丁管理再次成为问题根源,而且易受攻击的设备并未(难以)通过更新来解决此类问题。 消息来源:Security Affairs,编译:榆榆,校对:青楚、FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球航运公司 Clarksons 拒付黑客赎金,内部机密数据或被泄露

HackerNews.cc 30 日消息,全球航运公司 Clarksons 发表声明称,公司此前发生“安全事件”被盗的内部机密数据可能会因拒付赎金而被黑客公开。Clarksons 公司表示不接受黑客威胁、将会采取有效措施应对被盗事件,并且对受影响的客户和个人深表歉意。 直至本文截稿前,被盗数据的数量和确切细节尚未被公布,Clarksons 公司只对外宣称被盗的是高度机密数据。Clarksons 表示,黑客组织访问公司内部系统可能没有利用软件漏洞这种途径,而是盗用了一个合法账户持有者的登录证书进行渗入。公司目前已将被盗帐户禁用,并采取了相应安全措施以防止今后发生类似的问题。 据 Clarksons 透露近期黑客可能会对外发布一些数据,但是作为一个负责任的全球性企业,公司选择与警方和安全专家合作处理这个事件,并与有关监管机构进行了联系。由于所涉及的是内部保密数据,所以要求律师必须采取一切必要的措施来保护信息的机密性。 Clarksons 发言人表示,目前事件正在调查,其余细节则不予透露。 消息来源:ZDNet、ESET,译者:榆榆,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

牛津剑桥俱乐部备份硬盘被盗,涉英国皇室等 5000 名会员数据泄露

据外媒近日报道,11 月 16 日位于伦敦市中心最独特的俱乐部之一的牛津剑桥俱乐部总部发生计算机设备失窃案,包含 5000 多名会员个人详细信息的备用硬盘被盗或导致重大数据泄露,其中包括会员姓名,家庭和电子邮件地址,电话号码,出生日期,照片和一些银行账户详细信息。此外数据库中还包括有大约 100 名工作人员个人信息。 据报道,由于信用卡和借记卡信息没有存储在硬盘上,而且磁盘上的数据受到多层安全措施保护,他人获得用户敏感信息的机会较为渺小。调查显示,菲利普亲王和查尔斯王子都是荣誉俱乐部成员之一,所幸并没有受到盗窃行为的影响。 该俱乐部已经联系了警方,并聘请私人调查人员调查盗窃和违规行为。警方也正在检查俱乐部监控记录,筛查俱乐部人员的进出情况。目前俱乐部已经写信给其 5000 多名会员,提醒他们注意监控各自银行帐户、警惕可能发生的钓鱼欺诈事件。 消息来源:IBT,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧洲刑警组织缉获 2 万个兜售假冒奢侈品与毒品的非法网站

据外媒 11 月 28 日报道,在打击网络盗版的大规模行动中,欧洲警方于近期查获了约 20500 个用于兜售假冒商品的非法网站,其中主要在线出售包括设计师手表、化妆品、服装、儿童玩具和汽车零部件等奢侈商品,甚至有时还会包括毒品。 据悉,这一调查结果由 IOS 发布。IOS 是欧洲刑警组织知识产权犯罪协调联盟(IPC³)的领头,结合了 27 家欧盟成员国的专业知识进行全球性行动。欧洲刑警组织表示,该行动在过去一段时间内共检获 7776 个网站,而今年的行动中增至 20520 个。 欧洲刑警发表声明,宣称其调查结果充分地显示了执法机关和私营部门之间合作关系,以及消费者更安全使用互联网的重要程度。但由于造假网站变得愈加复杂,犯罪分子将会从网络获取更多匿名信息进行出售。此外,移动应用程序商店也是攻击者作为假冒网站的理想工具,因为用户不会质疑由官方应用程序商店下载的应用程序。 国家知识产权中心代理主任尼克·安南表示,他们会优先处理侵权网站、以及向消费者出售造假货物和从事其他形式的知识产权盗窃行为,并且还将加强与世界各地警方的合作,以便严厉打击知识产权犯罪行为。 消息来源:ibtimes.co.uk,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。