黑客组织发布数千 DDoS 勒索邮件,将于 30 日针对亚洲、欧美企业发起网络攻击

HackerNews.cc  9 月 23 日消息,安全研究人员 Derrick Farmer 近期发现黑客组织 Phantom Squad 已向全球数千家企业发送勒索信函,要求支付 0.2 比特币赎金否则将于 9 月 30 日开展大规模 DDoS 攻击。调查显示,亚洲、欧洲与美国公司的教育、制造业与技术部门普遍遭受威胁。 研究人员表示,此次攻击活动似乎于 9 月 19 日开始。不过,由于受害者人数较少、赎金要求较低,Phantom Squad 还不太可能会对目标展开攻击活动,截止到目前为止调查人员尚未发现攻击样本。倘若黑客组织想要发起一系列 DDoS 攻击,还需大量资源,因此短期内他们只是发送勒索信函,并不会真正开展网络攻击活动。 日本计算机紧急响应组织随后也发表警示,表明 Phantom Squad 发送的勒索邮件与 2016 年黑客组织 Armada Collective 发送的邮件类似。研究人员推测,对于网络犯罪分子来说,一个几乎没有任何投资的情况下就可赚取大量资金的活动可能会给他们经济上带来巨额利润。因此,多数黑客组织都在模仿这种做法,并使用知名组织 “无敌舰队”、“匿名者” 或 “蜥蜴队” 等代号发送赎金邮件,从而赢得 “ 信誉 ”,以便勒索活动的开展更加顺利。 目前,尚不清楚有多少家企业已收到 Phantom Squad 威胁信函,以及是否有任何公司支付赎金。但安全专家建议各企业在面临这样的威胁时,不要支付赎金,而是在专业人员的协助下,加强网络安全防御体系、预防黑客组织攻击活动。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

间谍软件 FinSpy 新变种借助多国互联网服务提供商(ISP)进行 MitM 攻击传播

HackerNews.cc  9 月 21 日消息,网络安全公司 ESET 研究人员近期发现至少两个国家的互联网服务提供商(ISP)涉嫌分发间谍软件 FinSpy 新变种。研究人员推测,攻击者极有可能通过控制 ISP 进行 MitM (中间人)攻击,以传播恶意软件 FinSpy 新变种,并试图将 WhatsApp、Skype、Avast、WinRAR、VLC Player 等应用软件的下载重定向至其他恶意链接。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。 近期,研究人员通过监测间谍软件 FinSpy 在两个受影响国家中的地理分布分析,怀疑 FinSpy 可能不是通过本地网络,而是利用 ISP 进行 MitM 攻击传播。消息指出,此前维基解密泄露的文件曾透露,销售 FinFisher 间谍软件的公司提供过一个可在 ISP 级别安装的软件包,已知的两国受害者恰好都使用着同一个互联网服务提供商(ISP),但目前尚不清楚 ISP 是否主动参与其中。 以下图表详细显示了 FinSpy 新变种的感染机制: 研究人员表示,FinSpy 新变种在很大程度上得到了优化,即利用自定义代码虚拟化保护部分组件,从而使入侵目标设备时处于隐身状态以规避安全措施检测。此外,整个代码均具备反拆卸功能,致使研究人员的分析更加困难。经调查显示,这可能是 FinFisher 首次利用 ISP 分发恶意软件。然而,黑客除通过 ISP 开展 MitM 攻击外,还利用恶意软件此前的机制于其他五个国家进行分发。目前,ESET 在告知开发公司 Gamma 后立即也通知了受害国家,以避免将用户置于危险之中。 原作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Joomla! LDAP 协议注入漏洞可使管理员登录凭证在线暴露(已修复)

据外媒 9 月 21 日报道,网络安全公司 RIPS Technologies 研究人员发现全球知名内容管理系统 Joomla! 的登录页面存在一处高危漏洞(CVE-2017-14596),致使管理员登录凭证在线暴露。目前,受影响版本包括 Joomla! 1.5 — 3.7.5。 调查显示,当用户使用轻量级目录访问协议(LDAP)身份验证时,该漏洞将会影响 Joomla! 安装。此外,Joomla! 主要通过 TCP/IP 从插件管理器启用本机验证插件实现 LDAP 访问。然而,研究人员却发现,当启用 LDAP 认证插件时,攻击者可以尝试从登录页面逐个猜测管理员凭证,从而劫持账号信息。一旦成功登录,攻击者将接管 Joomla! 后台页面,并上传自定义插件,以获取 Web 服务器远程执行代码的扩展。 解决方法: ο 研究人员已在线发布漏洞概念验证( PoC ) ο Joomla! 于本周发布补丁修复程序,建议用户升级至最新版本 Joomla! 3.8。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伊朗黑客组织 APT33 瞄准多国航空国防能源机构展开新一轮网络攻击活动

HackerNews.cc  9 月 20 日消息,美国网络安全公司 FireEye 研究人员近期发现伊朗黑客组织 APT33 似乎开始瞄准多国航空、国防与能源设施展开新一轮网络攻击活动。目前,受影响机构包括美国航空航天公司、沙特阿拉伯商业集团,以及韩国石油石化公司。 黑客组织 APT33 至少于 2013 年就已针对多国关键基础设施、能源与军事部门发起攻击,旨在收集情报、窃取商业机密信息。 调查显示,黑客组织 APT33 通过发送附带恶意链接的网络钓鱼邮件感染目标设备,其主要使用的恶意软件包括 DROPSHOT(病毒传播器)、SHAPESHIFT(恶意软件删除器)与 TURNEDUP(自定义后门)。有趣的是,虽然该组织仅仅利用 DROPSHOT 传播 TURNEDUP 后门,但他们却在攻击活动中发现多款 DROPSHOT 释放样本。此外,恶意软件 SHAPESHIFT 则主要用于擦除磁盘信息并删除文件记录的操作。 目前,FireEye 推测,APT 33 针对沙特阿拉伯与韩国等开展网络攻击活动似乎与伊朗政府机构 NASR 有所联系,因为近期他们部分商业机构处于竞争关系。不过伊朗并未作出任何置评。 原作者:Swati Khandelwal,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露

据外媒 9 月 20 日报道,网络安全公司 UpGuard 研究人员 Chris Vickery 近期发现美国媒体巨头 Viacom 因亚马逊 AWS S3 存储器配置不当,导致大量敏感数据在线泄露,其中包括公司旗下各品牌内部数据、公司服务器详细列表与登录密码,以及 AWS 帐户的访问密钥等 72 份压缩文件。尽管部分数据使用 GPG 加密,但令人不安的是,该存储器中还包含相关解密密钥。 知情人士透露,虽然 Viacom 尚未向 UpGuard 声明这台存储器存在的主要目的,但根据泄露内容似乎可以看出与公司 IT 系统的基础设施配置文件有关。另外,该云存储器中泄露的文件主要由公司运营 IT 系统的跨平台计算服务组织 MCS 负责,这似乎又进一步证实了 Viacom 将公司基础设施的主要信息迁移至亚马逊 AWS 云存储器。 跨平台计算服务组织 MCS( Multiplatform Compute Services ):主要负责 Viacom 旗下各品牌 IT 基础设施管理,其中包括 MTV、美国喜剧电台中心 Comedy Central 与 Nickelodeon 等。 目前,尽管 Viacom 在收到通知后立即删除云服务存储器信息,但尚不清楚黑客是否已掌握这些数据。对此,研究人员极其担忧,因为黑客一旦利用这些数据,极有可能操控公司服务器、窃取重要信息并大规模开展网络钓鱼攻击活动。 关联阅读: 时代华纳逾 400 万客户信息在线泄露,又是亚马逊 AWS S3 配置错误惹的祸? 美国 TigerSwan 因第三方 AWS 漏洞泄露数千份敏感简历,或含美驻印尼大使、中情局前员工信息 美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露 安全报告:亚马逊 S3 存储服务器错误配置引发数据泄露 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英国电信联合澳大利亚新南威尔士政府成立悉尼网络安全中心

据外媒报道,近日英国电信运营商( BT )联合澳大利亚新南威尔士州政府近期宣布将于悉尼成立一所全球网络安全研究与开发(R&D)中心,旨在加强国家网络安全防御体系。 BT 在全球拥有 14 家网络安全运营中心(SOC),其主要为 180 多个国家的网络安全提供开发与管理服务。据悉,BT 曾于今年 5 月就已经和澳大利亚开展合作项目,即通过该国研发部门的新网络安全平台 Assure 进行大量开发工作,从而学习算法并对其进行数据分类,以便加快人机运转效率。 新南威尔士州政府的监管部长 Matt Kean表示:“ 我们将投资 167 万澳元用于支持网络安全中心的发展与创新。因为我们相信,该机构的成立不仅是国家经济的主要动力,还将成为保护大型企业、行业、政府,甚至国家网络攻击的实时神经中枢 ”。 英国电信公司发表声明,宣称网络安全中心除扩大了悉尼现有的安全运营中心外,还将在未来五年内提供 172 个新工作岗位,其中包括 38 个研究生职位。此外,新成立的中心还将包括网络安全、机器学习、数据科学分析、可视化研究、大数据工程、云计算与数据网络等专业领域。知情人士透露,该中心将是英国电信在英国以外成立的第一家网络安全研发机构,而英国电信也将在此次投资中提供数百万澳元用于聘请高技术网络安全专家,旨在培养新一代人才,以确保国家在快速发展的互联网行业中保持领先地位。 目前,这项行动的开展不仅吸引了澳大利亚新南威尔士州最优秀的网络安全人才,还为海外工作的澳大利亚公民提供了返回家园并带来宝贵技能的动力。另外,为配合此项行动的新网络产品研发,英国电信将重点改进网络安全服务,旨在加速企业在数字化服务领域的上市时间。 原作者:Corinne Reichert,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

以色列安全团队研发新技术:通过具备红外功能的安全摄像头窃取数据信息

HackerNews.cc  9 月 19 日消息,以色列内盖夫本-古里安大学的研究团队近期开发出一项新型技术,将恶意软件 IR-Jumper 安装在与安全监控摄像机/软件进行交互的计算机上,即可通过具备红外功能的安全摄像头窃取目标用户数据信息。 研究人员表示,该款恶意软件主要在感染目标计算机后收集数据并将其分解为二进制数值,然后通过操控设备的 API 使摄像头的红外 LED 灯闪烁,从而利用这个机制传输信息。只要攻击者在红外二极管闪烁的范围内,就可通过闪烁记录重组信息。 值得注意的是,攻击者可在数十米至百米的距离内与摄像头通信,且数据可以以 20 bit/s 的速率从目标设备传出、以超过 100 bit/s 的速率传输至攻击者设备。另外,攻击者还可使用自身设备的红外二极管发送闪烁指令,远程操控受感染目标设备。 调查显示,由于红外线的发射对于人眼来说不可察觉,因此用户不会看到任何配备红外二极管的安全摄像头出现网络受损现象。与此同时,该款恶意软件还可 “ 部署 ” 在连接互联网的设备上,实现规避安全软件检测、窃取目标设备重要信息的功能。 更多详细内容可阅读 bleepingcomputer.com. 原作者:Catalin Cimpanu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

终端应用程序 iTerm2 可通过 DNS 请求泄露用户敏感信息

iTerm2 是一款颇受 Mac 开发人员欢迎的终端应用程序,甚至取代了苹果官方终端应用的地位。然而,研究人员首次于去年在 iTerm2  3.0.0 版本中发现一处鼠标悬停漏洞,即当用户将鼠标悬停在 iTerm2 终端的任何内容时,该程序将尝试确定字段是否存在有效 URL,并将其作为可点击链接突出显示。此外,为避免使用不准确的字符串模式匹配算法、创建不可用链接,该功能还使用了 DNS 请求确定域名是否真实存在。随后,iTerm2 开发人员立即升级应用至 3.0.13 版本,允许用户自行关闭 “ DNS 查询 ” 功能。不过,系统在默认情况下仍开启该功能权限。 9 月 19 日,HackerNews.cc 得到消息,荷兰开发人员 Peter van Dijk 指出,iTerm2 鼠标悬停漏洞除此前出现的问题外,还包括通过 DNS 请求泄露用户账号、密码、API 密钥等敏感信息。DNS 请求是明文通信,意味着任何能够拦截这些请求的用户都可访问 iTerm 终端中经过鼠标悬停的所有数据。 这一次,iTerm2 开发人员在了解问题的严重程度后深表歉意,并立即发布 iTerm2 3.1.1 版本解决问题。目前,研究人员提醒使用 iTerm2 旧版本的用户更新至最新版本,以确保自身隐私安全。如果用户更新至3.0.13 版本时,可通过相关步骤修改选项、确保系统安全。即打开 “ Preferences ⋙ Advanced ⋙ Semantic History ” 后将 “ Perform DNS lookups to check if URLs are valid? ” 选项改为 “ NO ” 。 原作者:Catalin Cimpanu,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密在线曝光新间谍文件:通信供应商与俄政府合作秘密监控用户通讯信息

维基解密于 9 月 19 日在线曝光一份新间谍文件,旨在揭露俄罗斯移动通信供应商 Петер-Сервис( PETER-SERVICE )与国家情报机构建立合作关系、共享移动运营商用户数据,包括电话、消息记录、设备标识符( IMEI、MAC 地址)、网络标识符( IP 地址 )等重要信息。 内容显示,该文件中涉及 2007-2015 年共计 209 份文档( 即 34 份不同版本的基础文档 )。事实上,PETER-SERVICE 作为俄罗斯当局监控合作伙伴是独一无二的选择,因为它们的产品可以收集并记录俄罗斯用户有价值的元数据。 附:维基解密最新泄露内容《 Spy Files Russia 》 稿源:Wikileaks,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新型 Android 恶意软件 Red Alert 2.0 已感染逾 60 款银行与社交媒体应用

据外媒 9 月 19 日报道,网络安全公司 SyfLabs 研究人员近期发现一款新型 Android 银行恶意软件 Red Alert 2.0,允许黑客窃取用户敏感信息、劫持短信邮件,并阻止与银行、金融机构相关的所有来电呼叫。目前,Red Alert 2.0 已感染 Google Play 商店上超过 60 款银行与社交媒体应用。不过,与其他 Android 木马不同的是,该恶意软件是由开发人员从零开始编写。 如果目标设备的 C&C 服务器被关闭时,该恶意软件可以通过 Twitter 保存所有数据信息。然而,当设备无法连接到硬编码的 C2 时,它可以从 Twitter 帐户中重新检索一台新 C2 服务器进行连接。研究人员表示,这也是他们第一次从移动设备的恶意软件中发现此类银行木马。 SfyLabs 首席执行官兼创始人 Cengiz Han Sahin 表示,虽然 Red Alert 2.0 的开发人员现在只以 500 美元的价格出售该恶意软件,但他们日前仍在为其新添更多功能,包括远程操控受感染设备。目前,该恶意软件主要影响 Android Marshmallow 以及之前版本。由于传播 Red Alert 2.0 的所有应用都托管在第三方 Android 应用商店,因此为保障用户系统安全,研究人员强烈建议用户仅从 Google Play 商店下载合法应用程序。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接