OpBlueRaven:揭露 APT 组织 Fin7 / Carbanak 之 Tirion 恶意软件

本文旨在为读者提供有关PRODAFT&INVICTUS威胁情报(PTI)团队针对不同威胁者的最新详细信息,以及发现与臭名昭著的Fin7 APT组织合作的人是谁。 所有这些都源自威胁者方面的一次OPSEC故障,我们将尝试逐步扩展主题,类似于我们在不断发现的基础上扩大范围。 关于Fin7和Carbanak的前所未有的事实:第1部分 在5月至2020年7月之间;PRODAFT威胁情报团队的四名成员进行了BlueRaven行动。案例研究源于发现一组看似不重要的轻微OpSec故障。当然,后来发现这些威胁因素与臭名昭著的Fin7 / Carbanak威胁因素有联系。 PTI的OP源于攻击者一方的OPSEC故障。与以前发现和发布的数据不同,使此OP如此与众不同的是,我们设法发现了大量有关攻击者工具集的未发布信息,这些信息揭示了攻击者的TTP。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1335/ 消息与封面来源:threatinte  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近 2000 家 Magento 1 店遭到黑客攻击

2020年9月12日至13日,全球近2000家Magento 1店遭到黑客攻击,这是迄今为止规模最大的一次有记录的活动。这是一个典型的Magecart攻击:注入的恶意代码将截获不受怀疑的商店客户的付款信息。被检查的商店发现运行Magento版本1,该版本于去年6月宣布停止使用。 Sansec早期漏洞检测系统监控全球电子商务领域的安全威胁,检测到1904个不同的Magento商店,在结账页面上有一个独特的键盘记录(skimmer)。9月11日,有10家商店被感染,12日是1058家,13日是603家,14日是233家。 另请阅读:Adobe与Sansec合作,以提高Magento平台的安全性。 这项自动化活动是Sansec自2015年开始监测以来发现的最大规模的活动。此前的纪录是去年7月一天内有962家店铺被黑客入侵。本周末事件的规模之大说明了网络浏览的复杂性和盈利能力的提高。犯罪分子已经越来越自动化他们的黑客操作,以运行网络掠取计划在尽可能多的商店。 据Sansec估计,上周末,数万名顾客的私人信息通过其中一家受损商店被盗。 Magento exploit $ 5000 在此之前,许多受害商店没有发生过类似的安全事故。这表明攻击者使用了一种新的攻击方法来获得这些存储的服务器(写)访问权限。虽然我们仍在调查确切的原因,但这次活动可能与最近几周前上市的Magento 10天(漏洞利用)有关。 用户z3r0day在一个黑客论坛上宣布以5000美元的价格出售Magento 1“远程代码执行”攻击方法,包括指令视频。据称,不需要事先的Magento管理员帐户。z3r0day强调,由于Magento 1已经过时,Adobe不会提供官方补丁来修复这个漏洞,这使得这个漏洞对使用传统平台的店主造成了额外的伤害。 为了使交易更加顺利,z3r0day承诺只出售10份危险漏洞利用程序。 根据Sansec的实时数据,截至今天,仍有大约9.5 万家Magento 1商店仍在营业。 官方PCI要求在服务器上使用恶意软件和漏洞扫描程序,如Sansec的eComscan。Sansec还建议订阅替代的Magento 1补丁程序支持,例如Mage One提供的支持。 更新:攻击方法 截至周一,Sansec正在对两台受感染的服务器进行调查。攻击者使用IP 92.242.62.210(美国)和91.121.94.121(OVH,FR)与Magento管理面板进行交互,并使用“Magento Connect”功能下载和安装各种文件,包括名为的恶意软件mysql.php。将恶意代码添加到后,该文件已自动删除prototype.js。 2020-09-14T09:57:06  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  POST /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  GET /index.php/admin/?SID=XXXX HTTP/1.1 2020-09-14T09:57:10  92.242.62.210  GET /index.php/admin/dashboard/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:13  92.242.62.210  GET /index.php/admin/system_config/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:15  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:19  92.242.62.210  POST /index.php/admin/system_config/save/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:20  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:22  92.242.62.210  GET /index.php/admin/import/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  POST /index.php/admin/import/validate/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:28  92.242.62.210  POST /downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name= HTTP/1.1 2020-09-14T09:57:29  92.242.62.210  GET /downloader/index.php?A=cleanCache HTTP/1.1 2020-09-14T09:57:31  92.242.62.210  GET /mysql.php HTTP/1.1 WEB服务器的日志显示,周末有很多人试图安装文件,可能是为了安装改进版的skimmer。 撇渣器分析:mcdnn.net 对于受影响的Magento 1商店,已将加载的撇渣器添加到文件prototype.js中,这是标准Magento安装的一部分。 该//mcdnn.net/122002/assets/js/widget.js服务根据其包含在哪个页面上来提供动态内容。仅当从结帐页面中引用时,它才会提供恶意的按键记录日志代码: 实际付款将被泄露到莫斯科托管的站点https://imags.pw/502.jsp,该站点与mcdnn.net域在同一网络上。     稿件与封面来源:Sansec,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新的 Linux 恶意软件从 VoIP 软交换系统窃取通话详细信息

网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件,该恶意软件针对IP语音(VoIP)软交换,旨在窃取电话元数据。ESET研究人员在周四的分析中说:“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据,包括呼叫详细记录(CDR)。” “要窃取此元数据,恶意软件会查询软交换使用的内部MySQL数据库。因此,攻击者充分了解了目标平台的内部体系结构。” 软交换(软件交换机的缩写)通常是VoIP服务器,允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。 ESET的研究发现cdrreiver针对的是一个特定的Linux VoIP平台,即来自中国Linknat公司的VOS2009和3000软交换,并对其恶意功能进行加密,以逃避静态分析。 恶意软件首先试图从预先确定的目录列表中找到软交换配置文件,目的是访问MySQL数据库凭据,然后对其进行解密以查询数据库。 ESET的研究人员说,攻击者必须对平台二进制文件进行反向工程,以分析加密过程,并检索用于解密数据库密码的AES密钥,这表明作者对VoIP体系结构有“深入的了解”。 除了收集有关被破坏的Linknat系统的基本信息外,CDRthicker还过滤数据库的详细信息(用户名、加密密码、IP地址),并直接对MySQL数据库执行SQL查询,以便捕获与系统事件、VoIP网关和呼叫元数据相关的信息。 ESET说:“从e_syslog,e_gatewaymapping和e_cdr表中渗出的数据经过压缩,然后在渗出之前使用硬编码的RSA-1024公钥加密。因此,只有攻击者或操作员才能解密渗入的数据。” 从当前版本的ESET中可以很容易地将恶意软件的更新形式引入到其更新版本中,但这种恶意软件可能只会导致当前版本的数据更新。 也就是说,攻击者的最终目标或有关行动背后的攻击者的信息仍然不清楚。 “在撰写本文时,我们还不知道这些恶意软件是如何部署到被破坏的设备上的,”ESET的安东·切雷帕诺夫说我们推测攻击者可能会使用暴力攻击或利用漏洞来访问设备。” “这似乎是合理的假设,恶意软件是用于网络间谍活动。使用此恶意软件的攻击者的另一个可能目标是VoIP欺诈。由于攻击者获取有关VoIP软交换及其网关的活动信息,这些信息可用于执行国际收入分成欺诈(IRSF)。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击者滥用合法的云监控工具进行网络攻击

介绍 TeamTNT是一个网络犯罪组织,其目标是包括Docker和Kubernetes实例在内的云环境。该组织先前已使用多种工具进行了记录,包括加密矿工和Amazon Web Services(AWS)凭证窃取蠕虫。 TeamTNT还被发现使用了恶意Docker镜像,该镜像可在Docker Hub上找到,以感染受害者的服务器。现在该小组正在发展。在Intezer观察到的近期攻击中,TeamTNT通过滥用Weave Scope来使用一种新技术,该工具可为用户提供对其云环境的完全访问权限,并与Docker,Kubernetes,分布式云操作系统(DC / OS)集成在一起,和AWS Elastic Compute Cloud(ECS)。攻击者安装此工具是为了映射受害者的云环境并执行系统命令,而无需在服务器上部署恶意代码。     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1333/ 消息与封面来源:INTEZER   ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新的 PIN 验证绕过漏洞影响 Visa 非接触式支付

就在Visa对一款名为Baka的新型JavaScript网络掠取器发出警告之际,网络安全研究人员发现了该公司支持EMV的信用卡中的一个新缺陷,该漏洞使攻击者能够非法获取资金并诈骗持卡人和商户。 这项研究是由苏黎世联邦理工学院的一群学者发表的,它是一种PIN绕行攻击,攻击者可以利用受害者的被盗或丢失的信用卡在不知道该卡PIN的情况下进行高价值购买,甚至骗人一点销售(PoS)终端接受非真实的离线卡交易。 所有使用Visa协议的现代非接触式卡,包括Visa Credit,Visa Debit,Visa Electron和V Pay卡,都受到安全漏洞的影响,但研究人员认为它可以应用于Discover和UnionPay实施的EMV协议。然而,这个漏洞并不影响万事达、美国运通和JCB。 研究结果将在明年5月于旧金山举行的第42届IEEE 安全和隐私研讨会上进行展示。 通过MitM攻击修改卡交易资格 EMV(Europay、Mastercard和Visa的缩写)是广泛使用的智能卡支付的国际协议标准,它要求较大的金额只能从带有PIN码的信用卡中借记。 但ETH研究人员设计的设置利用了协议中的一个关键缺陷,通过Android应用程序发起中间人(MitM)攻击,“指示终端不需要PIN验证,因为持卡人验证是在消费者的设备上进行的。” 这个问题源于这样一个事实:持卡人验证方法(CVM)没有加密保护以防止修改,该方法用于验证尝试使用信用卡或借记卡进行交易的个人是否是合法持卡人。 所以,可以修改用于确定交易所需的CVM检查(如果有的话)的卡交易资格证明(CTQ),以通知PoS终端覆盖PIN验证,并且验证是使用持卡人的设备进行的例如智能手表或智能手机(称为消费设备持卡人验证方法或CDCVM)。 利用离线交易而无需付费 此外,研究人员还发现了第二个漏洞,该漏洞涉及Visa卡或旧万事达卡进行的离线非接触式交易,使得攻击者能够在数据被传送到终端之前修改一个名为“应用密码”(AC)的特定数据。 离线卡通常用于直接从持卡人的银行帐户中支付商品和服务,而无需PIN码。但是,由于这些交易未连接到在线系统,因此在银行使用密码确认交易的合法性之前会有24到72个小时的延迟,然后从帐户中扣除购买金额。 攻击者可以利用这种延迟的处理机制来使用他们的卡来完成低价值的离线交易而无需支付费用,此外,在发卡银行由于密码错误而拒绝交易之前,还可以取消购买。 研究人员说:“这构成了“免费午餐”攻击,因为罪犯可以购买低价值的商品或服务而根本不收取任何费用,”他补充说,这些交易的低价值性质不太可能是“有吸引力的业务”。罪犯的榜样。” 缓解PIN绕过和离线攻击 除了向Visa国际组织通报缺陷外,研究人员还提出了三种软件修复方案,以防止PIN绕过和离线攻击,包括使用动态数据认证(DDA)保护高价值的在线交易,以及要求所有PoS终端使用在线密码,这会导致脱机事务被联机处理。 研究人员得出结论:“我们的攻击表明,PIN对Visa非接触式交易毫无用处,而且揭示了Mastercard和Visa的非接触式支付协议的安全性存在惊人的差异,表明万事达卡比Visa更安全。”这些缺陷违反了基本的安全属性,比如身份验证和有关已接受交易的其他保证。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Evilnum 黑客使用新的基于Python的木马攻击金融公司

至少自2018年以来,一家以金融科技行业为目标的攻击者改变了策略,加入了一种新的基于Python的远程访问特洛伊木马(RAT),该木马可以窃取密码、文档、浏览器cookie、电子邮件凭据和其他敏感信息。 在Cyber eason研究人员昨天发表的一项分析中,Evilnum不仅调整了其感染链,而且还部署了一个名为“ PyVil RAT”的Python RAT,它具有收集信息,截屏,捕获击键数据,打开SSH shell的功能,并且部署了新工具。 网络安全公司表示:“从2018年的第一份报告到今天,该集团的TTP已经随着不同的工具而发展,而集团继续专注于金融科技目标。”。 “这些变化包括感染链和持久性的改变,随着时间的推移正在扩展的新基础设施,以及使用新的Python脚本远程访问木马(RAT)”来监视其受感染的目标。 在过去的两年中,Evilnum与针对英国和欧盟范围内的公司的几次恶意软件攻击活动有关,这些恶意软件攻击活动涉及使用JavaScript和C#编写的后门程序,以及通过从恶意软件服务提供商Golden Chickens购买的工具。 早在7月,APT小组就被定位为使用鱼叉式网络钓鱼电子邮件的公司,这些电子邮件包含指向托管在Google云端硬盘上的ZIP文件的链接,以窃取软件许可证,客户信用卡信息以及投资和交易文件。 虽然他们在受感染系统中获得最初立足点的作案手法保持不变,但感染程序已发生重大变化。 除了使用带有假冒的鱼叉式网络钓鱼电子邮件(KYC)来诱骗金融业员工触发恶意软件外,攻击还从使用具有后门功能的基于JavaScript的特洛伊木马转移到了能够提供隐藏在合法可执行文件的修改版本中的恶意有效载荷,旨在逃避检测。 研究人员说:“JavaScript是这个新感染链的第一步,最终以有效载荷的传递为最终结果,该载荷是用py2exe编译的Python编写的RAT,Nocturnus研究人员称其为PyVil RAT。” 多进程传递过程(“ ddpp.exe”)在执行时,解压缩shellcode以便与攻击者控制的服务器建立通信,并接收第二个加密的可执行文件(“ fplayer.exe”),该文件用作下一阶段的下载程序以进行提取Python RAT。 研究人员指出:“在该小组的先前活动中,Evilnum的工具避免使用域与C2进行通信,而仅使用IP地址。” “虽然C2 IP地址每隔几周更改一次,但与此IP地址关联的域列表却在不断增长。” 随着APT技术的不断发展,企业必须保持警惕,员工要警惕他们的电子邮件是否存在网络钓鱼企图,并在打开来自未知发件人的电子邮件和附件时保持谨慎。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Epic Manchego——非典型的 maldoc 交付带来了大量的信息窃取者

前言 2020年7月,NVISO检测到一组恶意Excel文档,也称为“ maldocs”,它们通过VBA激活的电子表格传递恶意软件。尽管我们曾见过恶意的VBA代码和掉落的有效载荷,但创建Excel文档本身的特定方式引起了我们的注意。 恶意Excel文档的创建者使用了一种技术,使他们无需实际使用Microsoft Office即可创建装载宏的Excel工作簿。但是在这种特定工作方式下,这些文档的检测率通常低于标准maldocs。 这篇文章概述了这些恶意文档的产生方式。此外,它简要描述了观察到的有效负载,最后以建议和危害指标结尾,以帮助保护组织免受此类攻击。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1328/ 消息来源:NVISO   ,封面来源:网络,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

KryptoCibule:多任务多货币密码窃取

前言 ESET研究人员发现了迄今未记录的恶意软件家族,我们将其命名为KryptoCibule。对加密货币而言,这种恶意软件具有三重威胁。它利用受害者的资源来挖掘硬币,试图通过替换剪贴板中的钱包地址来劫持交易,并泄漏与加密货币相关的文件,同时部署多种技术来避免检测。KryptoCibule在其通信基础架构中广泛使用了Tor网络和BitTorrent协议。 该恶意软件用C编写,还使用了一些合法软件。有些东西,例如Tor和Transmission torrent客户端,与安装程序捆绑在一起。其他的则在运行时下载,包括Apache httpd和Buru SFTP服务器。图1显示了各种组件及其相互作用的概述。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1326/ 消息与封面来源:welivesecurity   ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国工资协会披露信用卡被盗事件

美国工资协会(APA)披露了一个影响会员和客户的数据漏洞,此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。 APA是一个非营利性专业协会,拥有20,000多个会员和121个APA关联的本地分会,组织培训研讨会和会议,每年有超过36,000名专业人士参加。 该组织还颁发行业认可的证书,并为专业人员提供资源文本库。 登录和财务信息被盗 大约在2020年7月23日,APA发现其网站和在线商店被攻击者攻破,攻击者收集敏感信息并将其过滤到攻击者控制的服务器上。 攻击者根据APA政府高级总监Robert Wagner 发送给受影响个人的数据泄露通知,利用组织内容管理系统(CMS)中的安全漏洞入侵APA的网站和在线商店。 一旦获得对组织站点和商店的访问权,他们就将撇取器部署在网站的登录页面和APA电子商务商店的结帐部分。 据APA的安全团队表示,该恶意活动可以追溯到2020年5月13日,大约是美国东部时间下午7:30。 APA说:“未经授权的个人可以访问登录信息(即用户名和密码)和个人支付卡信息(即信用卡信息及相关数据)。” 此外,在某些情况下,攻击者还能够访问社交媒体用户名和受影响的APA成员和客户的个人资料照片。 数据泄露背后的Magecart攻击 这种类型的攻击称为网络掠夺攻击(也称为Magecart或电子掠夺),通常是攻击者使用CMS漏洞或受感染的管理员帐户在电子商务网站上部署卡片脚本造成的。 在发现攻击后,APA立即为他们的网站和商店的CMS安装了最新的安全更新,以阻止未来的攻击。 在审查了自2020年初以来对这两个站点所做的所有代码更改之后,APA的安全团队还增加了安全补丁程序的频率,并在受影响的服务器上部署了反恶意软件解决方案。 PA还为所有受影响的用户重置了密码,并提供100万美元的身份盗窃保险和通过Equifax进行的一年免费信用监控。     稿件与封面来源:BLEEPINGCOMPUTER,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄公民因意图向美国公司植入恶意软件而被捕

即使没有可利用的软件漏洞,黑客也总是会找到入侵的方法。 FBI逮捕了一名俄罗斯公民,他最近前往美国,并向目标公司的一名员工行贿100万美元,以帮助他将恶意软件手动安装到该公司的计算机网络中。 8月1日至8月21日,27岁的Egor Igorevich Kriuchkov作为一名游客进入美国,他曾多次与内华达一家未透露姓名的公司的雇员会面,讨论这起阴谋,之后在洛杉矶被捕。 法庭文件提到: “大约在7月16日左右,Egor Igorevich Kriuchkov用他的WhatsApp帐户联系了受害公司的雇员,并安排亲自去内华达州探望。” “大约在7月28日左右,Egor Igorevich Kriuchkov使用了他的俄罗斯护照和B1 / B2旅游签证进入了美国。” Kriuchkov还要求员工通过分享有关公司基础架构的信息来参与定制恶意软件的开发。 根据美国司法部公布的法庭文件,Kriuchkov要求安装的恶意软件旨在从该公司的网络中提取数据,使攻击者能在以后威胁该公司,要求该公司支付赎金。 Kriuchkov和他在俄罗斯的同谋向该雇员承诺,在成功植入上述恶意软件后,将支付100万美元比特币,并提出对该公司网络发起DDoS攻击,以转移人们对该恶意软件的注意力。 “如果CHS1 [员工]同意这一安排,他们将提供用于插入电脑的u盘或带有恶意软件附件的电子邮件。” “身份不明的同谋讨论了支付雇员的各种方式,包括使用加密货币,担保人保证金或现金支付。” “在与联邦调查局联系后,Kriuchkov一夜之间从内华达州里诺开车到洛杉矶。克里奥科夫要求一位熟人为他购买飞机票,以试图飞出该国。” 在被联邦调查局逮捕后,联邦调查局对Kriuchkov及其会议进行了实时监视,Kriuchkov列出了该团伙之前针对的公司,并透露每一个目标公司中都有人在代表该团伙安装恶意软件。 我们需要注意的是,一些高调的勒索软件和数据泄露攻击很有可能是由内部人士以同样的方式实施的。 最终,Kriuchkov被控一项共谋罪,意图故意对受保护的计算机造成损害。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。