多国刑警联合行动:网络犯罪团伙 Carbanak 头目被捕,曾以恶意软件攻击全球金融机构获利 10 亿欧元

据外媒报道,利用 Carbanak 和 Cobalt 木马攻击全球 100 多家金融机构的 Carbanak 犯罪团伙头目近期在西班牙阿利坎特市被警方逮捕,该行动由欧洲刑警组织、FBI、西班牙警方、以及罗马尼亚、白俄罗斯、中国台湾的网络安全公司、金融机构和执法机构联合开展。 自 2013 年来,Carbanak 犯罪团伙就开始利用他们设计的恶意软件(Carbanak 、 Cobalt )开展攻击活动,至今已有 40 多个国家和地区的银行、电子支付系统和金融机构受到影响,导致金融行业累计损失超过 10 亿欧元。(犯罪团伙仅使用 Cobalt 每次就能窃取 1000 万欧元。) 在所有这些攻击活动中,Carbanak 犯罪团伙都使用了类似的操作手法:他们冒充合法公司向银行职员发送带有恶意附件的钓鱼邮件,进而远程控制职员受感染的设备、访问内部银行网络并感染控制 ATM 服务器。 以下为 Carbanak 犯罪团伙套钱的方式: – 自动取款机被远程指示在预先确定的时间发放现金,其中一名团伙成员在机器旁等待自动提款机吐钱; -电子支付网络用于将资金转移到犯罪账户中; -修改账户信息的数据库,使银行账户的余额增多; 然后 Carbanak 犯罪团伙借助加密货币洗钱,通过利用与加密货币钱包挂钩的预付卡购买豪车和房屋等。 欧洲刑警组织负责人史蒂文威尔逊表示, 这次联合行动不仅对国际刑警组织来说是巨大的胜利,也对以后打击网络犯罪的国际联合行动产生了重大影响。 欧洲刑警组织发布的安全公告: 《 MASTERMIND BEHIND EUR 1 BILLION CYBER BANK ROBBERY ARRESTED IN SPAIN》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Drupal 发布其 7 核、8 核安全版本以解决高危关键漏洞

据外媒报道,Drupal 安全团队确认由于受到一个高度关键漏洞的影响,他们将于 3 月 28 日(UTC 时间 18:00 – 19:30 之间)发布 Drupal 7.x、8.3.x、8.4.x 和 8.5.x 的安全版本。Drupal 建议用户预留时间进行核心更新,以防止遭到恶意攻击。  安全团队强烈建议如下: 1、8.3.x 上的站点应立即更新到该建议中提供的 8.3.x 版本,然后计划在下个月更新到最新的 8.5.x 安全版本。 2、8.4.x 上的站点应立即更新到该建议中提供的 8.4.x 版本,然后计划在下个月更新到最新的 8.5.x 安全版本。 3、使用正常程序发布咨询时,7.x 或 8.5.x 上的网站可以立即更新。 官方公告内容: Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

全球知名征信机构 Experian 因大规模数据泄露事件面临政府起诉

外媒 3 月25 日报道,圣地亚哥市律师 Mara Elliott 已向益百利信用机构( Experian )提起诉讼,称该公司未根据加利福尼亚州法律要求将 2013 年发生的大规模数据泄露事件告知其受影响的消费者。 据估计,约有 3000 名消费者可能遭受影响,其中包括圣地亚哥估计的 25 万人。 根据 Elliott 的说法,一位越南男子 Hieu Minh Ngo 通过冒充为新加坡私家侦探,获得了一家名为 “ 法院创投公司 ” (Court Ventures Inc.简称 CVI 公司,2012 年被益百利收购)的消费者信息数据库。 该男子每月向 Experian 支付数千美元现金以获得 2 亿个消费者的信息,然后通过暗网将其转卖给其他犯罪分子。据估计,全球约有 1300 名恶意人士购买了这些数据,这些恶意人士利用被窃取的信息提交了 13000 多份虚假申报表,骗取了 6500 万美元的欺诈性退税。 截至 2013 年 2 月的 18 个月期间 Ngo 通过倒卖数据库信息已赚取了190万美元。 加利福尼亚州法律对违规行会处以高达2,500美元的罚金,这意味着该公司可能面临数百万美元的罚款。 参考链接: 《圣地亚哥联合论坛报》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Etcd REST API 未授权访问漏洞暴露 750MB 密码和密钥

近日据外媒报道,安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了 etcd 组件的服务器暴露在互联网上,利用一些简单脚本即可从中获取登录凭证,如 cms_admin、mysql_root、 postgres 之类。目前 Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据,其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。 etcd 是一个分布式密钥值存储和为存储跨机器群集的数据提供可靠方法的数据库,通常用于在各种服务器和应用程序之间存储和分发密码和配置设置。etcd 实现了一个可以查询的编程接口,并且默认情况下不需要身份验证就可返回管理登录凭证。 虽然 Collazo 并没有测试这些凭证,但其中一些被推测是有效的,有可能会被攻击者用来侵入系统。此外,根据 Collazo 的说法,任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。 为了保证 etcd 安装安全,Collazo 建议启用身份验证并在不需要时使其脱机,或者设置防火墙,以避免未经授权的人员查询 etcd 服务器。 SeeBug 漏洞库: Etcd REST API 未授权访问漏洞 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

TeleRAT :一种利用 Telegram 秘密窃取数据的新型 Android 木马

近日,Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马,该木马使用 Telegram 的 Bot API 来与命令和控制(C&C)服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。 其实另一个被称为 IRRAT 的 Android 恶意软件与 TeleRAT 有相似之处,因为它也利用了 Telegram 的 bot API 进行 C&C 通信。IRRAT 能够窃取联系人信息、在设备上注册的 Google 帐户列表、短信历史记录,并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机 SD 卡上的一些文件中,由 IRRAT 将它们发送到上传服务器。IRRAT 将这些行为报告给 Telegram bot 后,将其图标从手机的应用菜单中隐藏起来,在后台运行着等待命令。 而 TeleRAT Android 恶意软件则以不同的方式运行着:它在设备上创建两个文件,其中包含设备信息(即系统引导加载程序版本号,可用内存和大量处理器内核)的 telerat2.txt,以及包含电报通道和一系列命令的 thisapk_slm.txt 。 TeleRAT 一旦被成功安装,恶意代码就会通过电报 Bot API 发送消息来通知攻击者,并且该恶意软件还启动了后台服务,用于监听对剪贴板所做的更改。除此之外,TeleRAT 每 4.6 秒钟从 bot API 中获取更新,以监听用波斯语编写的几条命令。以下为两种获取更新的方式: 1、 getUpdates 方法(公开发送给 bot 的所有命令的历史记录,其中包括命令发起的用户名) 2、Webhook 方法(bot 更新可以被重定向到一个通过 Webhook 指定的HTTPS URL)。  TeleRAT 功能用途极为广泛,如以下: 接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容; 接收收费信息、 获取文件列表或根文件列表; 下载文件、创建联系人、设置壁纸、接收或发送短信; 拍照、接听或拨打电话、将手机静音或大声; 关闭手机屏幕、 删除应用程序、导致手机振动、从画廊获取照片; TeleRAT 还能够使用电报的 sendDocument API 方法上传已窃取的数据,这样就避开了基于网络的检测。 TeleRAT 传播 TeleRAT 恶意软件除了通过看似合法的应用程序分发到第三方 Android 应用程序商店外,也通过合法和恶意的伊朗电报渠道进行分发。根据 Palo Alto Networks 统计,目前共有 2293 名用户明显受到感染,其中大多数(82%)拥有伊朗电话号码。 TeleRAT 被认为是 IRRAT 的升级版本,因为它消除了基于已知上传服务器流量网络检测的可能性,这是由于所有通信(包括上传)都是通过电报 bot API 完成的。 除了一些额外的命令外,TeleRAT 与 IRRAT 的主要区别还在于TeleRAT 使用了电报 sendDocument API 方法上传已窃取的数据 。 Palo Alto Networks 完整分析报告见: 《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Ledger 加密货币硬件钱包曝严重缺陷,多种场景窃取设备私钥

近日,一名 15 岁的英国男孩 Saleem Rashid 发现 Ledger 公司制造的加密货币硬件钱包存在一个严重的安全漏洞,被攻击者用来窃取 Ledger 设备私钥。根据这名男孩的说法,由于 Ledger 使用自定义体系结构来解决其安全元件的许多限制,因此造成了该漏洞的出现。 攻击者可以利用该漏洞在用户接收设备之前破坏设备,或者在某些情况下以物理方式远程从设备中窃取私钥。例如以下场景: 1、在设置 seed 之前进行物理访问:也被称为“ 供应链攻击 ” 它不需要目标计算机上的恶意软件,也不需要用户确认任何事务。由于所有的私钥都是从 recovery seed 中派生出来的,因此攻击者可以窃取任何加载到设备上的资金。 2、安装后的物理访问:通常被称为“ Evil Maid 攻击 ” 这种攻击可以提取 PIN 码,recovery seed 以及任何使用的 BIP-39 口令,只要目标设备在攻击后至少使用一次。和供应链攻击一样,Evil Maid 攻击也不需要计算机上的恶意软件,也不需要用户确认任何交易。它只是要求攻击者安装一个自定义的 MCU 固件,以便于在使用时对私钥进行过滤。 3、恶意软件(带有一些社会工程) 这种攻击要求用户在受感染的计算机上更新 MCU 固件,可以通过显示一条错误消息,要求用户按住左键重新连接设备(以进入 MCU 引导加载程序)来实现。然后恶意软件使用恶意代码更新 MCU,达到控制设备上的可信显示和确认按钮的目的。 奇怪的是,当 Saleem Rashid 在首次向 Ledger 报告其发现时遭到了驳回。不过 Ledger 近期已发布了固件更新 1.4.1,并承诺 “深入探讨安全问题”。 Saleem Rashid 漏洞分析细节: 《Breaking the Ledger Security Model》 消息来源:Security Affairs、Bitcoin.com,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

波多黎各电力局(PREPA)遭遇黑客入侵

外媒 3 月 21 日消息,波多黎各电力局(PREPA)本周一证实其计算机基础设施曾在周末遭受了黑客入侵。目前 PREPA 确认此次事件没有对用户带来风险,因为黑客并没有访问其客户服务系统,数据信息也没有受到破坏。 值得注意的是,美国政府几天前曾发出警告称俄罗斯资助黑客组织发起针对美国关键基础设施 的网络攻击。 不过目前并没有证据表明俄罗斯黑客参与了 PREPA 的攻击事件,因为黑客人士采用了复杂的技术来隐藏自己,使得调查该网络攻击变得非常困难。 根据 PREPA 发言人的说法,目前有关部门正在对该事件进行调查,但拒绝透露有哪些政府部门参与 。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Expedia 旗下在线旅行社 “Orbitz” 88 万用户信用卡数据泄露

外媒 3 月 20 日消息,美国在线旅游巨头 Expedia 旗下的旅游网站 Orbitz 于本周二披露了一项安全漏洞,致使约 88 万 Orbitz 用户受到数据泄露影响,其中包括姓名、出生日期、性别、电话号码、电子邮件地址、账单地址以及支付卡数据等详细信息。 据悉,拥有数百万用户的 Orbitz 曾是 Expedia (艺龙大股东)的竞争对手,不过 Expedia 于 2015 年 2 月 13 日以 13.4 亿美元的价格将其收购。 据调查人员称,受到数据泄露影响的可能是 2016 年 1 月 1 日至 2017 年 12 月 22 日期间在 Orbitz 平台上进行过交易的用户。 不过目前没有证据表明 Orbitz 网站受到此次事件的影响,并且用户的护照和旅行行程信息也被认为未曾遭到泄露。 Orbitz 方面表示已通知受影响的客户和合作伙伴,并免费为其客户以及合作伙伴提供一年的信用监控和身份保护服务。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

伊朗黑客组织 TEMP.Zagros 转变攻击战术,针对亚洲和中东地区开展大规模网络钓鱼攻势

近日,FireEye 发布安全分析报告称,一个名为 TEMP.Zagros(又被称为 MuddyWater)的伊朗黑客自 2018 年 1 月至 3 月期间针对亚洲和中东地区发起了大规模的网络钓鱼攻势。在近期的活动中,该黑客利用了最新的代码执行和持久性技术向这些地区分发一个基于宏的恶意文档,与以往不同的是,该文档删除了一个 VBS 文件和一个包含 Base64 编码的 PowerShell 命令的 INI 文件。一旦被成功执行,恶意文档将会安装一个 POWERSTATS 后门。 在该恶意活动中,TEMP.Zagros 的战术、技术、程序、以及目标在一个月之内发生了较大的改变。上图为该钓鱼活动的简要时间轴。 TEMP.Zagros 通常会使用具有地缘政治主题的网络钓鱼攻击电子邮件和恶意宏文件,例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。在分析这些文件时,FireEye 观察到TEMP.Zagros 重用了 AppLocker 旁路和用于间接代码执行的横向移动技术。此外,研究人员还在 TEMP.Zagros 使用的恶意代码中发现了中文字符串,这些字符串被留作虚假标志使得查询归属变得更加困难。 FireEye 分析报告: 《 Iranian Threat Group Updates Tactics, Techniques and Procedures in Spear Phishing Campaign 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

攻击者入侵英国 Camelot 彩票玩家账户,1050 万玩家被要求紧急修改密码

据外媒报道,英国国家六合彩管理公司“卡美洛”(Camelot) 建议数百万国家彩票玩家修改其账户密码,因为他们发现了一项涉及彩票账户的可疑活动。目前 Camelot 已约有 150 个玩家帐户(总共 1050 万个注册帐户)遭到未经授权的登录,导致玩家信息被外部查看,其中包括姓名以及国家彩票帐户中的金额。虽然 Camelot 坚持认为其核心系统或数据库没有遭受未经授权的访问,不会影响到彩票抽奖以及奖品,但还是建议其彩票玩家尽早修改密码。 Camelot 发言人称,此次事件可能是由于“ 凭据填充 ”造成的,也就是说彩票玩家之前在其他地方被窃取了详细信息,以至于该信息在网络犯罪分子之间共享。 Camelot 承诺不会在玩家的帐户上显示完整的借记卡或银行帐户的详细信息,并且表示目前受到影响的账户已经被暂停。 消息来源:ZDNet,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。