DOTA2-FOX

(∩•̀ω•́)⊃-*⋆biubiubiu~ 这是一个帅气的狐狸~

DarkHotel APT 再次回归,利用新技术针对朝鲜政府雇员开展间谍活动

据安全公司 Bitdefender 最新消息,DarkHotel APT 组织再次回归并以新型技术针对朝鲜政府雇员开展间谍活动。研究人员认为 DarkHotel APT 成员主要是韩国人,目前在朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、台湾、中国、美国、印度等多个国家均有其受害者。 2014 年 11 月,卡巴斯基实验室首次发现了 Darkhotel APT 间谍活动,该组织主要针对出国旅游的公司高管。研究人员注意到这一组织只会针对目标入侵一次,绝不重复行动,此前目标包括来自美国和亚洲的首席执行官、高级副总裁、顶尖研发工程师、销售和营销主管等。 调查显示,DarkHotel APT 黑客利用多种方式攻击目标系统,并将其用作攻击点对点(P2P)文件共享网站和酒店 Wi-Fi。而近期,Darkhotel APT 被发现利用此前意大利黑客公司 Hacking Team 泄露的漏洞尝试新型攻击方法。 DarkHotel APT 最近一次行动中通过被称为“ Inexsmar ” 的攻击手段,对政治人物进行了针对性入侵。“这种攻击使用新的 payload 传递机制而非完整的 0-day 开发技术,并以社会工程学与相对复杂的木马混合感染其选定的受害者群体”。通过网络钓鱼邮件传播木马下载程序,恶意代码则用于收集受感染设备上的信息,并将其发送回攻击者服务器。若受感染的系统满足特定要求,则会被伪装成 OpenSSL 组件的第一级下载器取回。在这个阶段,恶意代码打开了一个题为“平壤电子邮件列表 – 2016 年 9 月”的文件,其中包含平壤各组织的电子邮件联系人。如果要求不满足则攻击停止,否则传送另一个 payload。 不幸的是,在调查时由于 C&C 服务器处于脱机状态,研究人员无法收集有关攻击的进一步细节。与利用漏洞相比,多级下载器的使用意味着技术上的重要改进,因为它能够允许攻击者进一步优化恶意软件的分发和更新。 原作者:Pierluigi Paganini,编译:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击预警:韩国出入境网站 hikorea 疑遭数据库注入攻击,泄露在韩外国人身份信息

据创宇盾( www.365cyd.com )安全舆情监控平台最新监测显示,匿名者组织活跃账号 @Scode404 今晨发布消息已对包括韩国出入境网站(hikorea.go.kr) 、韩国教育部所属全国教育课程中心(ncic.go.kr)在内的多个政府网站进行数据库注入攻击,并通过 pastebin 公布了详细注入点,存在巨大的被拖库风险。 Hi Korea( www.hikorea.go.kr ) 是由法务部、知识经济部、劳动部共同组建的为查询大韩民国信息的外国人提供其所需的投资、雇佣、居住、生活便利等信息的一个窗口,是大韩民国为外国人服务的电子政府( Government for Foreigner )的代表性网站。 HackerNews.cc 在此提醒所有读者,尤其是曾在韩国申请居住证的我国同胞注意近期可能遇到的信息泄露、钓鱼欺诈风险。我们将为您持续关注并提供最新情报。

发展中国家成为 AI 网络攻击的实验场

这种网络攻击带有多年来研究人员极为担心的特征:使用人工智能的恶意软件可能导致新的数字军备竞赛,以人工智能为主的防御措施与以人工智能为主的进攻手段在网上决一胜负,人类只能站在一边观看。但是,没有被广泛预测的事情是,这类恶意软件的最早实例之一是在印度发现的,而不是在英国或美国。 安全研究人员正越来越多地在西方以外的国家发现这类网络攻击软件的最新、最有创意和最具潜在危险的使用。印度发生的这次网络攻击使用的恶意软件在其传播过程中就能自我学习,并且不断改变方法,以尽可能长时间地待在计算机系统中。Recorded Future 公司的高级威胁情报分析师 Allan Liska 说,“几年来,台湾和韩国已被证明是中国一些更先进的小组的测试场,这些国家拥有高速互联网,大范围的互联网普及率,但没有投入很多的网络安全基础设施。”他补充说:“我们看到攻击者中的一种模式。他们先测试一些东西,对其进行改进,六周后再次测试软件,然后将其用于真正的目标。” 稿源:solidot,封面源自网络

维基解密公布 CIA 用于攻击 Linux 系统的恶意软件 OutlawCountry

据外媒 1 日消息,维基解密最新发布了一批秘密文档,详细介绍了 CIA 黑客工具 “OutlawCountry”,可被用于远程监控运行 Linux 操作系统的计算机,能够将目标计算机上的所有出站网络流量重定向到 CIA 控制系统以进行渗透。 消息显示, OutlawCountry 黑客工具由 Linux 2.6 内核模块组成,CIA 黑客可通过 shell 访问目标系统进行加载。这一工具的主要限制在于内核模块只与兼容的 Linux 内核一起工作: (S // NF)目标必须运行兼容的 64 位版本的 CentOS / RHEL 6.x (内核版本2.6.32)。 (S // NF)操作员必须具有对目标的 shell 访问权限。 (S // NF)目标必须有一个 “nat” Netfilter表 该模块允许在目标 Linux 用户上创建一个隐藏名称的隐藏 Netfilter 表。 如下图,CIA 操作员在目标设备(TARG_1)上加载 OutlawCountry,然后他可以添加隐藏的 iptables 规则来修改 WEST 和 EAST 之间的网络流量。例如,本该从 WEST_2 路由到 EAST_3 的数据包可能被重定向到 EAST_4 。 本次泄露内容不包括攻击者在目标 Linux 操作系统中注入内核模块方式的相关信息。网络间谍组织为达到目的很有可能会利用多种黑客工具、漏洞,或其他网络武器库达到破坏目标 Linux 操作系统的目的。 更多详细信息可访问 维基解密 官网。  原作者:Pierluigi Paganini,译者:FOX。封面源自网络。

Petya 勒索软件原作者出现,希望帮助 NotPetya 受害者恢复文件

据 外媒 28 日消息,疑似 Petya 勒索软件原作者现身 Twitter,表示愿意帮助 NotPetya 勒索软件受害者恢复文件。 从 Janus 在 Twitter 信息上看,他可能已经掌握一个主解密秘钥,或适用于新版的 NotPetya 感染文件,能够帮助受害者解密被锁住的文档。 Janus 曾在去年 3月以 勒索软件即服务(RaaS)的方式将 Petya 出售给其他黑客,这意味着任何人都能通过点击按钮启动 Petya 勒索软件攻击,加密任何人的系统并索要赎金。消息显示, Petya 的源代码从未被泄露过,目前一些安全研究员仍在努力通过逆向寻找可能的解决方案。 虽然目前 Janus 表示正在检查新勒索软件 NotPetya 的代码,但也有专家表示即使他的主密钥成功地解密了受害者硬盘驱动器的主文件表(MFT),在研究人员找到修复 MBR 的方法之前,它也不会有太大的帮助,因为系统中被替换的 MBR 文件早已损坏。 稿源:据 thehackernews 报道翻译整理,译者:FOX  

英国政府网站 UK.gov 数据意外泄露,公民详细信息被公开于第三方网站

据 securityaffairs 消息,英国政府网站 UK.gov 意外将其数据信息中心用户的详细信息暴露给第三方网站,其中包括用户姓名、地址以及加密过的密码信息。官方已通知用户重置密码。 来自政府数字服务部们的电子邮件显示,泄露数据涉及 2015 年 6 月 20 日以及之前注册的用户。目前当地政府已采取措施从公共领域移除数据,并表示暂未收到任何公民信息被滥用的报告。此外这一事件还被通报给数据保护监督信息专员办公室。 考虑到 2017 年英国政府网站 Data.gov.uk 每月访问量在 20 万次以上,此次事件或对英国公民造成严重影响。 稿源:据 securityaffairs.co 报道翻译整理,译者:FOX

威胁预警 | 新型勒索软件 Petwrap 肆虐全球,乌克兰电力、机场及俄石油公司受大规模影响

HackerNews.cc 北京时间 28 日跟进,感染乌克兰境内多家银行、政府、电力公司、邮政、机场设施以及俄罗斯石油公司 (Rosneft)的“未知病毒”被证实为 Petwrap 勒索软件,又称ExPetr 或 NotPetya,尽管其与之前的勒索软件 petya 极其相似,但它仍被认为是一种新型勒索软件。目前就连乌克兰境内切尔诺贝利核电站辐射监测系统也受到勒索软件影响,工场区域的辐射监测已改为手动进行。 勒索软件全球感染范围 目前 Petwrap 主要针对乌克兰,俄罗斯和西欧企业,截止 28日0 时仅卡巴斯基实验室就已检测到 2000 多次攻击: 仅卡巴斯基监测到的各国受 Petwrap 感染统计图(截止 28日0 时) ** 勒索软件 Petwrap 没有所谓的“开关域名”,目前尚无详细统计数据 勒索软件 Petwrap 如何传播 勒索软件 Petwrap 也像 WannaCry 那样通过 SMBv1 EternalBlue (永恒之蓝)漏洞感染未打补丁的 Windows 设备,但并不会对目标系统中的所有文件逐个加密。最重要的是拥有凭据管理器的单一受感染系统能够通过 WMI 或 PSEXEC 感染网络上的其他计算机,对局域网的威胁或比 WannaCry 更大。 国外安全研究员指出,若 Windows 系统中存在文件 “c:\windows\perfc.dat” 可触发本地 kill 开关。(仅在被感染之前起作用,但亦有研究员表示并未起效果) (勒索软件特征、样本分析可阅读卡巴斯基最新报告) 文件解密的可能性 很不幸,对于已感染勒索软件 Petwrap 的受害者而言,目前尚无解密方案。 勒索软件 Petwrap 向受害者索取 300 美元赎金并要求将钱包号码通过邮件发送至 “wowsmith123456@posteo.net” 进行确认,这一方法确实有效然而遗憾的是,目前此邮件账号已被关闭。 我们能做什么?  1、安装强大的反病毒软件对预防勒索软件有一定效果(但不绝对) 2、确保更新 Windows 系统以及第三方软件至最新版本 3、不要打开任何非可信来源的附件、安装包 4、将重要数据定期备份至外部设备并保持脱机状态 HackerNews.cc 提醒广大 Windows 用户及时修复系统漏洞,尤其是安装微软发布的“永恒之蓝”(MS17-010)补丁以防感染恶意软件。此前国内各大安全厂商针对 WannaCry 提出的恶意软件预防方案依旧有效(但不绝对)。   HackerNews.cc  我们将为您持续关注“Petwrap 勒索软件”最新动态。 —— 2017-06-27 23:00 第二次更新 —— 2017-06-28 06:00 第三次更新 —— 2017-06-28 11:30 第四次更新

快讯 | 乌克兰国家银行、电力公司遭受大规模网络攻击

HackerNews.cc 北京时间 27 日 21:00消息,乌克兰境内包括国家储蓄银行(Oschadbank)、Privatbank 银行在内的几家银行机构、 电力公司 KyivEnergo 、国家邮政(UkrPoshta)遭受“未知病毒”大规模网络攻击。 22:00 消息,“未知病毒”已被确认为勒索软件  Petwrap ,系 petya 勒索软件的新变种之一。 可通过 SMBv1 EternalBlue (永恒之蓝)漏洞感染未打补丁的 Windows 设备。 图片来源于 Twitter 乌克兰中央银行证实此次网络攻击由“未知病毒”引起,部分银行业务受到影响。但尚未给出进一步细节。 乌克兰最大的国有贷款机构之一 ——国家储蓄银行 (Oschadbank)表示,一些银行服务受到“黑客攻击”的影响,但客户数据尚且安全。 乌克兰电力公司 (Ukrenergo) 表示,其 IT 系统遭到网络攻击,但对电力供应及其更广泛的业务没有太大影响。   HackerNews.cc 将为您持续关注“乌克兰网络攻击事件”最新动态。

攻击预警:韩国银行数据库已被注入攻击,金融机构请警惕匿名者 #OpIcarus 行动

创宇盾安全舆情监控平台 最新检测显示,匿名者组织活跃账号 @Scode404  今晨发布消息称已对韩国银行(bok.or.kr)数据库进行注入攻击,不日将公布相关金融数据。韩国银行目前尚未对此进行回应。 据悉,此次“匿名者”发起代号为 #OpIcarus2017 的攻击行动,包括中国人民银行(pbc.gov.cn)、香港金融管理局(hkma.gov.hk)在内的全球近 140 家金融机构均在其公布的攻击列表中。最近一次受害机构为 亚洲开发银行、global-money.com,并且匿名者已于 24 日在共享平台 pastebin (翻墙)公布 global-money.com 数据库信息,其中涉及银行发票信息、SWIFT 代码,用户 & 管理员账号以及其他机构商务合作联系方式等。 HackerNews.cc 在此提醒国内金融机构注意防范境内外黑客攻击,我们将为您持续关注并提供最新情报。

全国多所高校遭勒索软件攻击,校园网络大面积受感染

HackerNews.cc 获悉,国内多所高校昨日晚间遭遇勒索软件 (Wana Decrypt0r 2.0) 攻击,实验室设备与学生个人电脑均被加密锁定,需支付 300 美元或 0.2 枚比特币方可解锁。 消息显示,勒索软件或是借助此前 NSA 泄露的 Windows SMB 等漏洞迅速感染校园网络,由于学校与学生个人电脑补丁不够及时,此次攻击事件影响较为广泛。 另据 cnBeta 报道,英国的国家卫生服务部门(NHS)近日亦遭受大规模黑客攻击,英国全国各地医院及卫生部门电脑被加密勒索。 目前恶意软件还在持续扩散,HackerNews.cc 提醒各大高校与学生保持警惕,及时备份重要文件、更新系统修复漏洞。我们将为您持续报道事件最新进展。