东风日产加拿大公司遭黑客入侵,或泄露 113 万车主敏感信息

据外媒报道,东风日产(加拿大)公司系统 12 月 11 日遭受黑客攻击,导致曾通过东风日产加拿大金融公司(简称 NCF) 和英菲尼迪(加拿大)金融服务公司贷款的约 113 万名车主信息泄露,其中包括客户姓名、地址、车辆制造和型号、车辆识别码、信用评分、贷款金额和月供。 该公司表示目前尚未查明发生入侵事件的确切原因和数据泄露量,所幸泄露的数据不包含支付数据和联系方式。不过 NCF 已采取措施并通过电子邮件提醒所有的客户注意信息安全。为了向公众表示歉意,NCF 承诺他将通过美国三大信用报告机构之一 ——TransUnion为客户提供免费的信用监控服务一年。 消息来源: threatpost,东风日产(加拿大)财务公司公告;编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型挖矿工具 Digmine 利用 Facebook Messenger 进行传播

据外媒 12 月 21 日报道,趋势科技于韩国发现了一个新型的加密货币挖掘工具 Digmine,其主要工作方式是利用假冒视频文件感染用户,并且通过 Facebook Messenger 传播,设法尽可能长时间停留在用户系统中,以便于感染更多的用户设备,从而增加潜在的网络犯罪收入。调查显示,Digmine 目前主要在越南,阿塞拜疆,乌克兰,越南,菲律宾,泰国和委内瑞拉等地区蔓延。 Digmine 在 AutoIt 中编码, 给用户发送假冒视频文件。但实际上该文件是一个 AutoIt 可执行脚本,若用户的 Facebook 帐号设置为自动登录,那么 Digmine 将可以操纵 Facebook Messenger,以便将文件的链接发送给该帐号的好友,达到感染更多用户设备的目的。需要注意的的是,虽然 Facebook Messenger 可以在不同的平台上运行,但是 Digmine 仅适用于 Facebook Messenger 的桌面/网页浏览器(Chrome)版本。如果恶意文件在其他平台(如移动平台)上打开,则恶意软件将无法正常工作。   Digmine 挖矿工具被披露后,Facebook 迅速从其平台上删除了许多与 Digmine 相关的链接。 Facebook 在官方声明中表示, 目前 Facebook 维护了许多自动化系统,以帮助阻止有害链接和文件。 研究人员建议,为了避免这些类型的威胁,用户需更加警惕社交媒体帐户的使用:注意可疑和未经请求的消息、 启用帐户的隐私设置、点击链接或者分享信息时先进行确认。 消息来源: trendmicro,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型恶意软件 Catelites Bot:伪装 2200 多家银行 APP 登录界面进行“屏幕覆盖攻击”

据外媒 12 月 20 日报道,捷克软件公司 Avast 近日发现,一款新型 Android 恶意软件 Catelites Bot 伪装成 2200 多家银行(包括桑坦德银行和巴克莱银行等)应用软件,利用“屏幕覆盖攻击”窃取用户银行账户与密码信息。 Avast  在其博文中指出,Catelites Bot 与一款由俄罗斯网络黑帮发布的 CronBot 有一些相似之处, 因此研究人员认为 Catelites Bot 也可能与该黑帮有关联。 据报道,该网络黑帮近期已被警方捣毁,曾利用 “ CronBot ” 木马感染了超过 100 万用户,盗取金额达 90 万美元。 虽然没有任何证据表明恶意软件 Catelites Bot 的开发者与 CronBot 有关联,但目前该恶意开发者可能已经掌握了 CronBot 的相关技术并将其用于自己的攻击活动中。 Catelites Bot 攻击方式 研究人员透露,Catelites Bot 主要通过第三方应用程序商店进行传播。近几个月来,几乎每周都有“虚假应用程序”攻击 Android 设备的案例。恶意软件 Catelites Bot 首先会尝试获取管理员权限,然后自动并交互式地从 Google Play 商店中提取其他 Android 银行应用程序的图标和名称,之后再利用“屏幕覆盖攻击”——即伪造的银行 APP 登录界面覆盖其他正规应用程序的方式来欺骗用户,以便于获取用户名、密码和信用卡信息。(“屏幕覆盖攻击”的典型代表,编者注) 虽然伪造的登录界面和真实的应用程序界面不完全相同,但黑客能够通过广撒网的方式达到目的。通常情况下,新 Android 用户可能更容易受骗上当。 “目前为止, Catelites Bot 恶意软件主要针对的是俄罗斯用户群体,它还处于一个早期测试阶段,或将扩散至全球更大范围,就统计结果显示目前至少有 9000名用户设备受到感染 ” 研究人员表示。 此外,Avast 和 SfyLabs 团队发现恶意软件 Catelites Bot 还有一些尚未激活的功能,如文本拦截(通常需要访问双重验证码)、擦除设备数据、锁定智能手机、访问电话号码、查看消息对话、强制密码解锁、甚至更改扬声器音量等。 研究人员建议,由于 Catelites Bot 是通过非官方渠道传播的,因此对用户而言将手机设置为仅接受来自官方应用商店(如 Google Play)的应用下载非常重要。同时,通过确认程序界面来检查银行应用是否被覆盖也是预防恶意软件攻击的必要措施。 消息来源: IBTimes,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

罗马尼亚联合欧洲刑警、FBI 逮捕 5 名黑客:涉嫌传播Cerber 和 CTB Locker 勒索软件

据外媒报道,欧洲刑警组织(Europol)、联邦调查局 (FBI)和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动,警方在罗马尼亚东部抓获五名黑客,即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。目前,警方并未透露这五名被捕黑客详细信息。 CTB Locker(又名 Critroni)是 2016 年传播最广泛的勒索软件之一,且还是第一个使用 Tor 匿名网络隐藏其命令和控制服务器的勒索软件。Cerber 于 2016 年 3 月出现,它以 RaaS 模式为基础获得广泛分布:RaaS 模式允许任何可能的黑客散布恶意软件,从而获取 40% 的赎金。与大多数勒索软件一样,CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体,比如钓鱼邮件和漏洞利用工具包。 欧洲刑警称,罗马尼亚当局于 2017 年初收到荷兰高科技犯罪组和其他当局提供的详细情报,其主要透露有一群罗马尼亚国民通过发送垃圾邮件感染当地计算机系统,并使用 CTB Locker 勒索软件对其数据进行加密。具体地来说,每封电子邮件都有一个附件(通常是存档发票),而该附件中包含一个恶意文件。一旦 Windows 用户打开后就会触发并感染设备,从而对其数据进行加密。 相关警方透露,在此次突袭行动中,当局缴获了大量的硬盘、外部存储设备、笔记本电脑、加密货币挖掘设备以及数百张 SIM 卡。值得注意的是,五名犯罪分子并非因为开发或维持这两款恶意软件被逮捕,而是因为涉嫌传播 CTB Locker 和 Cerber 。据悉,犯罪分子通过 CTB Locker 获得了 2700 万美元的赎金 ,而通过 Cerber 在 2017 年 7 月就赚取了 690 万美元,因此谷歌将其列为最有利可图的犯罪活动。目前,警方暂未透露更多相关细节。 消息来源:thehackernews ,编译:榆榆,校审:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英国情报机构 GCHQ: 已制定全方位削弱敌对国家的网络武器

据 IBTIMES 英文网  21 日报道,英国情报机构 GCHQ 近期透露本国已制定一款全方位削弱敌对国家的网络武器,旨在反击俄罗斯、中国、伊朗等国家构成的威胁。 GCHQ 透露,英国目前正通过网络攻击计划瞄准敌对国家制造出不同层次的“高度威慑力”。虽然 GCHQ 没有具体说明详细情况,但所开发的能力却包括能导致另一国家的战机、舰艇和导弹发生故障。不过,GCHQ 表示这种高端反击能力可能永远不会被使用。 随后,负责监督 GCHQ、MI5 和 MI6 工作的情报安全委员会( ISC) 发布的一份年度报告中详细描述了英国的网络防御计划是如何被提前的。 一方面, 英国人民担心英国的供水、电网和电信系统会受到 ISIS 袭击。另一方面, 来自俄罗斯的威胁力量也不容小觑。根据 MI6 向 ISC 提供的证据显示,俄罗斯正在进行网络信息战,如一系列正、负面的网络宣传工作。 英国首相 Theresa May 也因此于 12 月 21 日前往华沙,与其他国家讨论如何打击来自俄罗斯的虚假情报。 ISC 主席 Dominic Grieve 称,过去通过外交可能会阻止来自俄罗斯、中国和伊朗等国家的网络攻击事件,但最近俄罗斯的网络活动似乎表明,情况可能发生改变。“俄罗斯态度的改变对于确保英国系统的安全性至关重要,阻止和打击高端网络活动必须成为英国政府的首要任务”。 消息来源:IBTimes ,编译:榆榆,校审:青楚,FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

研究揭示 DragonFly 恶意软件与 BlackEnergy 和 TeamSpy 等攻击活动联系紧密

HackerNews.cc 19 日消息,McAfee Labs 通过收集的证据表明 DragonFly 恶意软件与 BlackEnergy 和 TeamSpy 等其他黑客攻击活动有莫大联系,这些攻击活动在技术、战术和程序方面都非常相似。 赛门铁克今年 9 月发布了关于 “DragonFly 2.0 行动” ——针对数十家能源公司进行黑客攻击的详细分析报告,在对制药、金融和会计行业遭遇过网络攻击案例进一步调查分析后,研究团队发现这些攻击活动在技术、战术和程序方面都存在相似之处(如使用鱼叉式网络钓鱼、特定漏洞攻击和供应链污染等),他们怀疑 “DragonFly 2.0 行动”与 2014 年观察到的 DragonFly 攻击行动背后是同一个黑客组织。 DragonFly 与 TeamSpy 之间的关联 研究人员通过对恶意软件的关联分析,发现前两款恶意软件都使用了 TeamSpy 恶意软件中相同的  TeamViewer(由匈牙利安全公司 Crysys 分析提出)。 TeamSpy 黑客组织攻击过许多高级机构,包括俄罗斯驻华大使馆、 法国和比利时的多个研究和教育机构、一家位于伊朗的电子公司和位于俄罗斯的工业制造商等。 尽管此前的分析报告倾向于将黑客攻击归因于一个或多个黑客组织、认为他们彼此分享了攻击战术和工具,但研究人员同时表示, 黑客组织 TeamSpy 背后的动机与 DragonFly 类似。 DragonFly 与 BlackEnergy 之间的关联 如上图,研究人员发现今年捕获的 DragonFly 恶意软件样本中包含与 2016 年 BlackEnergy 恶意软件相关的代码块。 虽然这种自我删除的代码块在恶意软件中非常常见,但通常是通过创建批处理文件并执行批处理而不是直接调用 delete 命令来实现。 而在通过对比 2015 年 10 月 31 日在乌克兰被捕获的 BlackEnergy 样本代码与 DragonFly 样本后,研究人员发现他们之间的代码几乎都是相同的,因此揭示了 BlackEnergy 和 Dragonfly 之间的相关性。 更多细节内容可阅读: McAfee 报告:《Operation Dragonfly Analysis Suggests Links to Earlier Attacks》 消息来源:Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

数据分析公司 Alteryx 因 AWS S3 配置不当,致 1.23 亿美国家庭敏感信息在线泄露

据外媒报道, 加利福尼亚网络安全公司 UpGuard 表示,包含数据分析公司 Alteryx 敏感信息的亚马逊网络服务(AWS)S3 云存储器因配置不当,导致逾(36 GB) 1.23 亿美国家庭的详细信息在线泄露,其中几乎蕴含每个美国家庭的种族和名族信息。虽然这些数据的电子表格使用了匿名标识符,但其他几十亿字段中的信息却非常详细,比如家庭住址、联系信息、抵押贷款状况、财务状况以及非常具体的购买行为分析。 根据 UpGuard 的说法,其网络风险团队曾于今年 10 月发现 Alteryx 托管的 S3 云存储桶存在信息泄漏迹象,该存储桶中还包含数据分析公司 Alteryx 的合作伙伴、消费者信用报告机构 Experian 和美国人口普查局的数据集。而这些完整的 Experian 的 ConsumerView 营销数据库和 2010 年美国人口普查的全部数据集都是可用的。 目前,Alteryx 已展开调查并表示,虽然此次泄露的文件包含了第三方内容供应商营销数据,但他们承诺,泄露的云数据库现已在互联网上封锁,文件中的信息不会对任何消费者造成身份盗用的风险。 消息来源: ZDnet.,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

木马界一朵“奇葩”:伪装多款杀毒、色情 APP,挖矿挖到手机“炸裂”

卡巴斯基实验室本周一( 12 月 18 日)发布博文表示,发现一种名为 Loapi 的功能强大的木马病毒,其具备多重攻击手段、能够利用被感染设备挖掘加密货币、发起 DDos 攻击等,甚至于对存在该木马病毒智能手机也会造成物理损坏——使感染病毒时间超过两天的手机电池膨胀。   伪装成杀毒软件和色情应用程序感染设备 研究人员介绍,恶意开发人员利用 Loapi  挖掘加密货币、用固定广告骚扰用户、启动拒绝服务 ( DoS ) 网络攻击、访问文本消息并连接到网络。当用户被重定向到攻击者的恶意网络资源后,会自动下载恶意文件。据悉,存在  Loapi  的恶意软件可以伪装成至少 20 种不同的杀毒软件和色情应用程序去感染用户设备。 在用户安装假冒的应用程序的过程中,应用程序会尝试获取设备管理员权限, 通过循环弹框直到用户同意授权为止。随后,Loapi 将其图标隐藏在菜单中或模拟各种防病毒活动,试图让用户相信该应用程序是合法的。而具体的行为特征则取决于它所伪装成的应用程序类型,如下图: 具备强大的自我保护机制 研究发现,木马病毒 Loapi 能够积极地对抗任何想要撤销设备管理权限的企图,每当用户试图取消这些权限时,恶意应用程序将会锁定屏幕并使用设备管理器设置关闭窗口,并执行以下代码: 同时该木马还能够从其 C&C 服务器接收一个危险的应用程序列表用于监听某些应用程序的安装和启动, 例如当木马 Loapi 检测到一个真正的反病毒应用程序,它会谎称其是恶意软件,并循环弹框迫使用户卸载该反病毒应用程序。 开采 Monero (门罗币) 导致手机电池膨胀 根据卡巴斯基实验室的说法,木马 Loapi 具备挖掘加密货币的功能,能够利用被感染设备的计算资源挖掘数字货币 Monero(门罗币),也正是这种功能甚至导致了设备电池膨胀,以至于对手机造成物理损害。 据研究人员介绍,Loapi 似乎是 2015 年发现的一个 “ Podec ” 木马的新版本,堪称恶意 Android 应用程序界中的一朵  “ 奇葩 ”。  感染木马病毒后的手机设备,两天后出现电池膨胀现象 Loapi 的开发者几乎用上了我们能够想到的所有手段对攻击设备进行攻击:该木马可以使用户订阅付费服务、任意发送短信、产生流量并通过展示广告赚钱、利用设备的计算能力来挖掘加密货币、并在互联网上进行各种活动。目前唯一缺少的行为就是 “ 间谍活动 ”,但是此类木马专业且模块化的体系结构意味着它随时都能添加这种功能。 所幸,目前 Loapi 被发现只潜伏于第三方应用商店 ,尚未出现在 Google App Store 中。但即使是在官方商店下载应用程序,用户也需时刻保持警惕,因为恶意软件随时可能会出现各种木马漏洞。 消息来源: IBTimes、securelist,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

漏洞预警:vBulletin Forum v5 中的两个高危代码执行漏洞尚未修复(含 POC)

HackerNews.cc 12 月 18 日消息 ,安全研究人员上周披露了影响 vBulletin 论坛 CMS 版本 5 的两个代码执行漏洞,直至目前漏洞尚未得到修复。研究人员表示希望供应商能够在黑客开始利用这些安全漏洞攻击 vBulletin 之前尽快发布补丁。 vBulletin 是一个基于 PHP 和 MySQL 数据库服务器的专有互联网论坛软件包, 在互联网上为超过 10 万个网站提供支持,其中包括《 财富》 500 强和 Alexa 排名前 100 万的公司网站和论坛。 据悉,这些漏洞是由意大利安全公司 TRUEL IT 的一名专家和一位独立安全研究人员发现的,他们于近期公开了漏洞细节。 第一个漏洞是 vBulletin v5 的远程代码执行漏洞,无 CVE【内含 POC】 攻击者可以将恶意的 PHP 代码包含到服务器上的文件中,例如 access.log,只需在精心构造的请求中使用 [routestring =参数]来包含该文件即可执行恶意代码。 第二个漏洞是 vBulletin v5 的反序列化漏洞( CVE -2017- 17672 )【内含 POC】) 这个漏洞是由于为用户提供的输入上对  PHP 的 unserialize() 的不安全使用,导致未经身份验证的攻击者能够删除任意文件,并且在 vBulletin 安装上执行任意代码。 研究人员解释称,vB_Library_Template 的 cacheTemplates() 函数是一个公开的 API,允许从数据库获取一组给定模板的信息以便将它们存储在缓存变量中。 $ temnplateidlist 变量可以直接从用户输入提供给 unserialize(),从而导致出现反序列化问题。 对于这两个漏洞,研究人员发布了概念验证(PoC)代码来解释其严重程度,并且于 11 月 21 日通报给了 vBulletin 开发团队。尽管 vBulletin 开发团队表示会尽快修复这些漏洞,然而直至目前官方仍未发布有效补丁。 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“Zealot”行动揭秘:黑客组织利用 NSA 漏洞入侵 Windows 、Linux 服务器挖掘门罗币

据外媒 12 月 16 日报道,美国网络安全公司 F5 Networks  发现了一项利用 NSA 漏洞大量入侵 Linux 和 Windows 服务器同时植入恶意软件 “ Zealot ”来挖掘 Monero 加密货币的攻击行动。 黑客组织同时利用 NSA 漏洞入侵目标服务器 根据 F5 Networks 安全研究人员的说法,黑客组织使用两个漏洞扫描互联网上的特定服务器: 一个是用于 Apache Struts(CVE-2017-5638 — RCE 远程代码执行漏洞),另一个则是用于DotNetNuke ASP.NET CMS ( CVE-2017-9822 — DotNetNuke 任意代码执行漏洞)。  其中 Apache Struts (CVE-2017-5638)漏洞也是今年早些时候黑客组织利用来攻击美国金融巨头 Equifax  的同一个漏洞。 此外,亦有其他犯罪集团在今年 4 月份使用同一漏洞并将勒索软件安装在了使用 Struts  2 框架的服务器上,初步统计当时他们从中获利超过 10万美元。 在研究人员表示,若目标是 Windows 服务器,攻击者将会在服务器上部署 EternalBlue (永恒之蓝)和 EternalSynergy(永恒协作),这是今年早些时候由 Shadow Broker  “ 影子经纪人 ” 泄露的两个 NSA 漏洞,可利用于在用户本地网络中横向扩散、感染更多系统。随后,黑客组织使用 PowerShell 下载并安装最后一阶段的恶意软件,该恶意软件在攻击行动中充当 Monero 矿工的角色。而在 Linux 上,黑客组织则通过从 EmpireProject 后期开发框架中获取的 Python 脚本感染系统,并且也会安装同一个 Monero 矿工。 挖掘 Monero(门罗币)至少赚了 8500 美元 从收集到的 Monero 地址来看,黑客组织至少从此次攻击中获得了8500 美元。考虑到黑客组织很可能还使用了其他 Monero 钱包,这意味着他们获利金额会更高。有趣的是通过对恶意代码的分析,研究员们发现该黑客组织成员似乎是 StarCraft (星际争霸)游戏的忠实粉丝,因为行动中使用的许多术语和文件名都来自游戏,比如狂热者(Zealot)、观察者(Observer)、霸王(Overlord)、乌鸦(Raven)等。 不过 F5 专家们警告称, Zealot 的攻击活动运用了多级感染链、定制先进恶意软件 , 通过 NSA 漏洞进行横向扩散已经造成了巨大危害。而且黑客组织随时都有可能将最后阶段的 playload 更改为任何他们想要的东西,比如安装勒索软件而不是挖矿工具。 消息来源: BleepingComputer,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。