Necurs 僵尸网络卷土重来,传播内容从勒索软件转为股票垃圾邮件

据 Cisco 威胁情报组织 Talos 发现,世界上最大的僵尸网络 Necurs 在消失数星期后重新上线,并改变了以往的传播内容。网络犯罪分子此前主要通过电子邮件方式传播银行恶意软件 Dridex 和勒索软件 Locky ,现在则将目标锁定为股票市场相关行情。通过电子邮件传播恶意软件的做法不足为奇,但此次事件涉及的电子邮件并未附有任何超链接或恶意软件。 调查表明,Necurs 僵尸网络并非第一次发送大量的电子邮件。2016 年 12 月 20 日,Necurs 僵尸网络就已经开展过一次类似活动,此番策略转变在某种程度上反映了攻击者试图从经济角度对 Necurs 僵尸网络加以利用的意图。 据悉,此封电子邮件包含了移动应用程序开发公司 InCapta 对于某股票市场的行情警示,由无人机公司 DJI 基于曼哈顿公司的提示获得,内容透露该公司股票将以每股 1.37 美元的价格出售。为吸引受害者注意,该电子邮件进一步指出,DJI 公司将创建第一批独立无人机,革命性地改变无人机行业的发展,并将无人机派发至用户感兴趣的领域,如犯罪现场、追击逃犯、山火救援等。为增加一些紧急情况,该邮件显示 DJI 公司将于 3 月 28 日买断 InCapta 公司股票。 据悉,成千上万的电子邮件已通过 Necurs 僵尸网络成功发送给用户,InCapta 公司股票交易量也随之显著增加。 原作者:Gabriela Vatu, 译者:青楚,校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

立陶宛网络钓鱼者骗过美国两家跨国科技公司并牟利 1 亿美元

据外媒报道,当地时间 3 月 21 日,美国司法部( DOJ )公开了一项针对一名立陶宛网络诈骗者的起诉。获悉,该名诈骗者成功骗过美国两家科技公司让它们向其支付 1 亿美元。涉案者是现年 48 岁的 Evaldas Rimasauskas 。 Rimasauskas 伪装成为一名来自知名亚洲硬件制造商的代表成功骗取对方信任,然后要求后者向在拉脱维亚、塞浦路斯以及其他国家的银行账号汇款 1 亿美元。据了解,DOJ 去年 12 月份就已经对 Rimasauskas 提出指控,不过直到上周才抓到他。 不过在最新公布的这份文件中,DOJ 并未透露遭诈骗的两家公司的名字,只进行了模糊描述。第一家公司是一家跨国科技公司、主营互联网相关服务和产品、总部位于美国;第二家公司是一家提供网络社交媒体和社交网络服务的跨国公司。很明显,这两家公司跟 Rimasauskas 诈骗所用的亚洲计算机硬件制造商都有合作关系。 令人颇为惊讶的是,这两家跨国公司的重要高层还是会被欺诈邮件骗到,而犯罪嫌疑人 Rimasauskas 也算是为该诈骗做足了功课:伪造公司信笺、公司发票以及其他能够使对方相信其为该企业代表的官方文件。 现在,Rimasauskas 受到一项远程欺诈、三项洗钱以及一项恶性身份盗窃的指控。据悉,每一项远程诈骗和恶性身份盗窃都将将让 Rimasauskas 面临最长为 20 年的牢狱之灾。 稿源:cnBeta ,封面源自网络

Cisco IOS / IOS XE 软件集群管理协议远程代码执行漏洞

近期, 继 CIA Vault7 存档泄露后,来自全球领先网络解决方案供应商思科( Cisco ) 的安全专家再度发现一个零日漏洞。该漏洞驻留在 Cisco IOS / IOS XE 软件集群管理协议( CMP )远程执行代码中允许攻击者通过执行任意代码,在无需身份验证的情况下提升权限,影响受感染设备重新装载系统。据悉,目前该漏洞未能被修复。 集群管理协议( CMP )利用 Telnet 作为内部集群成员之间的信令和命令协议。CyberX 的安全专家称,Telnet 于 1969 年建立,存在着大量的未知漏洞。攻击者可通过开源工具轻松扫描 Cisco 服务器,利用该漏洞创建大规模 DDoS 僵尸网络。 据调查,该漏洞主要与两个因素有关: 1.未将 CMP 特定 Telnet 选项限制于仅用于内部集群成员之间的本地通信; 2.错误处理格式不正确的 CMP 特定 Telnet 选项。 研究表明,该漏洞影响了 300 余台不同型号的交换机和路由器,主要包括 264 个台 Catalyst 交换机、51 台工业以太网交换机和 3 台其他 Cisco 设备。目前,存在该漏洞的设备仍在运行 IOS 并配置为接收 Telnet 连接。 研究人员称,目前还未能提供关于该漏洞的具体修复方案,但作为缓解措施,建议禁用 Telnet 连接,SSH 仍是远程访问设备的最佳选择。 原作者:Pierluigi Paganini, 译者:青楚,校对:LF 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究显示:使用 5 美元的扬声器即可入侵物联网设备

据报道,密歇根大学研究人员仅通过价值 5 美元的扬声器即可成功骗过加速度计,入侵智能手机、汽车、医疗设备和物联网产品的传感器,获取系统的更多访问权限。 硬件系统往往会存在严重的安全隐患,因为传感器会将关键数据直接发送给自治的自动化系统,研究人员本次针对的是 MEMS 加速计,用于测量物体在三个维度的速度变化。 研究人员利用微型机械装置在运动时产生电容变化,检测设备运动形态。通过构造不同频率的音频信号,影响 MEMS 加速计的机械装置(弹簧),给系统传递一个虚假的运动模式,让系统探测到不存在的运动从而做出攻击者期望的判断。这一攻击方式应用在汽车上,能够使控制系统接收到一个不存在的位移,自动校正机制在针对这个虚假动作进行应对时可能会造成一系列事故。 密歇根大学研究生 Timothy Trippel 在视频中介绍,他们不仅能够禁用具有加速度传感器的系统,还能控制设备系统的行为与输出。密歇根大学计算机科学与工程副教授 Kevin Fu 表示,此项目主要通过诱导系统接受“虚假现实”使许多硬件系统产生安全隐患。Trippel 表示,他带领的研究团队已与相应芯片制造商取得联系,希望厂商能在未来提供更安全的芯片。此外,该团队还开发了其他两种软件工具,专门用来防御此类攻击。 稿源:digitalmunition.me, 译者:青楚,校正:LF 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Google 称 2016 年被入侵的网站数量增长了 32%

据外媒报道,根据 Google 的 2016 年网站安全状况报告显示, 2016 年被入侵的网站数量较 2015 年增长了 32%。Google 在博客文章中表示:“与 2015 年相比,我们发现在 2016 年被入侵的网站数量增加了大约 32%。我们预计这种趋势不会放缓。随着黑客的积极性变得越来越高及越来越多的网站没有及时更新,黑客将继续通过攻击更多的网站来获利。” 一方面,谷歌表示,申请重新审核他们网站的 84% 网站管理员是成功清理被黑网站。另一方面,一个梯形数字表示 61% 的被入侵网站的管理员甚至从未收到 Google 发出的他们网站被入侵的通知,因为他们的网站没有在 Google 的 Search Console 中注册并验证。Google 也借此机会提醒每位网站管理员注册 Search Console。 Google 正在进一步尝试通过为已经受到黑客攻击的网站创建清理指南来帮助网站站长。这样,网站管理员不仅可以减少工作量,而且还可以确保其网站在较短的时间内恢复正常运行。 Google 表示:“我们注意到,网站在被黑客入侵时经常受到类似的影响。通过调查相似之处,我们能够为特定的已知类型的黑客入侵行为创建清除指南。” 稿源:cnBeta;封面源自网络

研究显示:新恶意软件 Acronym 与 “Potao” 网络间谍行动有潜在联系

近期,Arbor Networks 的安全专家发现了一个新恶意软件 Acronym。此恶意软件用于调试 C&C 服务器的 URL 恶意代码,与 “Potao” 网络间谍行动有潜在联系。意大利研究人员 Antelox 在 Twitter 上分享了一个 VirusTotal 链接,引起了安全专家的关注并展开了调查。 自 2011 年以来恶意软件 Potao 就已经存在,被称为“ 通用模块化的网络间谍工具包 ”,允许黑客利用恶意代码进行操作 。2015 年,世界知名安全公司 ESET 首次对其进行详细分析,根据 ESET 发布的一份名为 “Potao 行动” 的网络间谍活动报告显示,该攻击依赖于俄语版带有后门的 TrueCrypt 进行扩散,攻击目标主要瞄准乌克兰、俄罗斯、格鲁吉亚和白俄罗斯等国家。 据调查表明,恶意软件 Acronym 和 Dropper 组件于 2017 年 2 月就已被编译,并与 Potao 行动相互关联。 根据 Dropper 组件的分析显示,它将杀死任何名为“ wmpnetwk.exe ”的 Windows 进程,并将其替换为恶意代码。随后,该恶意软件联系 C&C 服务器,向其发送受感染计算机的信息。一旦初始阶段完成,它将指挥控制其服务器,并通过六个 IP 端口对其重复发送反馈信息。 恶意软件 Acronym 不仅可以使用注册表或任务计划程序获得持久性功能,还能通过捕获屏幕截图、下载和执行其他有效内容运行系统插件。遗憾的是,由于 C&C 服务器在 Arbor Networks 进行分析时处于离线状态,研究人员没能获取可用插件信息。 据研究人员称,Potao 木马和 Acronym 恶意软件不仅使用相同的 C&C 基础设施,而且在同一端口上联系 C&C 域,并以“ HH ”开头的临时文件命名。虽然这两种恶意软件具有相同模块化结构,但它们之间还是存在着加密和传递机制的差异。 据专家称,现在评估 Acronym 在 Potao 行动里的发展状况还为时过早,但它确实与其存在着潜在联系。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国国土安全部:放一段声音就能黑掉你的手机

功能强大的智能手机当中保存着使用者太多的秘密,而如何保护这些信息成为让人头疼的事情。往往人们认为良好的使用习惯和安装一款靠谱的防护软件就能保万无一失,但来自美国科学家的最新研究却令人心凉。想要黑掉一台智能手机,只需要播放一段声音这么简单。 隶属美国国土安全部的工业控制系统网络应急响应小组( ICS-CERT )在当地时间 3 月 15 日在官网发布警告称,五大世界知名传感器制造商生产的加速度计存在硬件设计漏洞,可导致智能手机被“黑”。 据悉,这条预警基于美国密歇根大学和南卡罗来纳大学的一项研究,该研究指出利用特定频率的声音,来干扰甚至篡改手机传感器的输出值,从而操纵“无脑”信任传感器的手机系统。研究者称其为“声波病毒”。 在实验过程当中,研究人员测试了来自 5 家知名生产商的20种加速度计品牌,其中 75% 的加速度计会被干扰,而 65% 的加速度计的输出结果可以被操控。这 5 家传感器生产商是:美国 ADI ( Analog Devices )、德国博世( Bosch )、美国应美盛( InvenSense )、日本村田制作所( Murata Manufacturing )和意法半导体( STMicroelectronics )。 研究者表示,此次发现的声波病毒不仅仅会对智能手机设备的信息安全造成威胁,而且还能干扰到无人驾驶汽车甚至是人工心脏,危害巨大。 稿源:cnBeta;封面源自网络  

新型银行卡克隆器竟被公开销售:可藏于袖口、15 厘米内随意操作

现今,犯罪组织的手段变得越来越复杂,特别是涉及到高科技设备的使用。近期, 一个名为 “CC Buddies” 的组织推出了一款新型非接触式克隆银行卡设备 Infusion X6 。该设备一经推出即引发广泛关注,犯罪组织甚至不需要将业务隐藏在网络黑市中进行销售。 Infusion X6 可用于“ 捕获银行卡 ”,每秒存储 21 张银行卡信息,能在 15 厘米范围内进行操作。与只能复制 15 张银行卡信息的 Infusion X5 相比是一个明显的升级。新的设备具有较小的模型和好看的外观,可以系缚到手腕上隐藏于袖子里不被发现。该设备还具有锁定系统的功能。因此,就算当局抓住犯罪分子,他们也能立即加密数据进行存储,使其无法访问。 Infusion X6 可根据银行卡中的无线电芯片进行数据的复制,并将数据存储在内部存储器中,通过随机附带的 USB 电缆传输到 PC 端。该设备可以收集完整的数据集,包括数量和日期以及 RFID 芯片中保存的其他数据,例如个人详细信息。当提取数据时,设备需要由 CC Buddies 提供的软件进行解密。随后,犯罪分子使用空白卡开始伪造借记卡,进行信息的复制。 据悉,普通的 Infusion X6 在市面上的价格为 1.5 比特币,大约是 1700 美元。此外,还有其他几个高达 1.6 比特币的额外卡套餐可以选择。有趣的是,这个犯罪组织很是特别,他们并未像其他犯罪分子那般将新型工具隐藏于暗网中销售。 原作者:Gabriela Vatu, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

华盛顿地区发现境外组织利用基站监控追踪政府和外交官员

近日,美国当局发现一境组织正在跟踪并监视政府官员和外交官员的电话通信。 据华盛顿 Free Beacon 报道:专家注意到华盛顿特区存在频率异常活跃的手机信号。令人担忧的是,一个未知组织正试图监视多数人的通信交流,包括美国政府和外交官员。在查看内部文件以及询问安全人员之后,专家认为此次攻击手法表明已有境外黑客组织参与其中,攻击者甚至从美国移动运营商控制的基站中窃取了大量的位置数据进行跟踪。 此次攻击事件由美国国土安全部和 ESD 防护计划的程序发现,ESD 防护计划在分析所收集的信息后发现 DC 地区数据异常,随后又在美国其他地区发现同类异常数据,一系列证据表明有未知身份的第三方组织正在大量跟踪手机信息。通过这样方式甚至能够克隆手机、引入恶意软件进行间谍活动,也能轻而易举跟踪当地官员。 DHS 公共事务人员表示,ESD 防护计划于 1 月 18 日开始 90 天的试点使用。参与 ESD 防护计划的官员也证实了 DHS 计划的存在。据悉,美国移动通信的监控一直是国会最为关心的问题。上周三,国会议员请求美国国土安全部发布防御措施,以防止外来威胁者再次进行监视通信。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

赛门铁克曝朝鲜黑客组织网络攻击全球 31 家银行

据赛门铁克研究人员称,朝鲜 APT 组织“Lazarus”曾对全球 31 家银行进行了一系列网络攻击。其中,孟加拉国央行、韩国索尼损失最为严重。 专家表明, 2014 – 2015 年 Lazarus APT 组织的攻击活动频繁增加,其成员主要使用专门定制的恶意软件对各组织进行攻击。Lazarus 自 2009 年以来一直活跃在朝鲜领域,或许早在 2007 年,该组织就已经参与了网络间谍活动。 赛门铁克专家表示,Lazarus 在使用“ loader ”进行攻击的同时,还会安装其他恶意程序。美国和韩国政府指责过来自朝鲜的攻击,但朝鲜政府并没有出面做出解释,目前暂时赛门铁克也无法提供 Lazarus 窃取受害人钱财方面的证据。 据赛门铁克的专家调查显示:Lazarus 上月发起的网络攻击曾导致了整个波兰银行系统感染恶意软件。波兰银行也证实,他们的工作人员在访问波兰金融监管局(KNF)的网站后系统受到感染。据赛门铁克专家表明,这一攻击事件背后实施者与 2016 年 10 月攻击全球 31 家银行的黑客来自同一组织。 在本次事件中,攻击者 IP 地址显示他们来自 31 个国家的 104 个特定组织。其中,受害者人数最多的是波兰,其次是美国和墨西哥。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接