全球船舶卫星通信系统存在高危漏洞:可通过后门账户获取系统访问权限

HackerNews.cc 10 月 26 日消息,网络安全公司 IOActive 研究人员近期发现 Stratos Global 公司专为船舶卫星通讯设计的 AmosConnect 8 产品存在两处安全漏洞,可允许黑客通过后门账户获取系统特权,并在登录表单的数据库中注入恶意代码。 AtmosConnect 8 产品是一个受密码保护的在线平台,具备卫星通信(SATCOM)系统,即主要通过卫星为全球船舶、石油钻机或其他海上工具提供互联网连接。 Stratos Global 公司于 2009 年被移动卫星服务公司 Inmarsat Group 收购,不过 IOActive 可能不会收到公司针对该漏洞发布的任何补丁修复程序,因为 Stratos Global 于 2017 年 6 月就已发表声明,宣称停止提供与支持 AmosConnect 8 系统服务。 据悉,研究人员在 AtmosConnect 源代码中发现一个名为 “authenticateBackdoorUser” 的函数,允许任何黑客通过后门访问 AtmosConnect 8 平台系统。然而,他们在调查代码时发现通过后门访问的账号是唯一的,且与每台 AtmosConnect 8 登录页面上显示的 ID 一样,这意味着任何人都可以通过查看 AtmosConnect 源代码逆向出真实密码。 目前,除了后门攻击外,平台也受到登录表单 SQL 注入漏洞的影响,允许攻击者访问内部数据库的凭据、控制 AmosConnect 服务器。不过,研究人员也表示这些漏洞的利用条件较为苛刻且难以被大规模利用,因为攻击者能够通过特定漏洞访问敏感网络的几率极小,但对于有国家资助的黑客团队而言这都只是时间问题。研究人员 Ballano 表示,由于我们的全球物流供应链依赖于海上网络安全,因此网络犯罪分子正寻求越来越多的攻击方式危及各卫星通信系统。对此,研究人员建议相关机构趁早加强海上网络安全防御措施,以抵御来自境内外可能的黑客攻击活动。 原文作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国网络安全公司 McAfee:不再允许境外政府审查其产品源代码

据路透社 10 月 26 日报道,美国网络安全公司 McAfee 近期发表声明,宣称不再允许境外政府审查其产品源代码,从而防止国家支持的黑客组织实施网络攻击活动。 知情人士透露,俄罗斯国防部门要求俄罗斯使用的所有软件都需要通过安全设施 “Clean Rooms” 的审查,旨在确保境外产品的软件中没有隐藏 “后门”。但安全专家和前美国官员表示,这些视察使俄罗斯有机会发现可能在进攻性网络行动中被利用的安全漏洞。 McAfee 发言人在一份声明中表示,公司于今年 4 月脱离英特尔后,就已决定不再允许境外政府审查其产品源代码,只是目前并没有提供更精确的时间表。 原文作者:Msmash,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

JS 第三方库 “jQuery” 的官方博客遭黑客篡改,代码库暂不受影响

据外媒 10 月 26 日报道,继 JS 挖矿引擎 CoinHive 被黑后, jQuery 的官方博客(blog.jquery.com)于近期遭网名为 “str0ng” 和 “n3tr1x” 的黑客篡改。目前,虽然没有证据表明存放在主机系统文件的服务器已遭黑客入侵,但可以确定黑客通过  jQuery 管理人员 Leah Silber 的账号发布了一篇诋毁官网的文章(如下图)。 调查显示,由于 jQuery 官方博客使用了 WordPress 平台的内容管理系统(CMS),因此黑客还有可能通过 WordPress 已知或零日漏洞获取未经授权访问权限。 jQuery 团队在发现博客官网被黑后立即删除了黑客所发布的帖子。 研究人员表示,由于数百万网站直接由 jQuery 服务器调用脚本,因此该攻击活动可能导致的后果更为糟糕。另外,这已经不是 jQuery 网站第一次受到攻击。据报道,jQuery 主要域名(jQuery.com)曾于 2014 年遭黑客入侵,其网站访问者被重定向至恶意页面。 原文作者:Swati Khandelwal,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

百慕大离岸律师事务所 Appleby 遭黑客攻击,全球富有客户财务细节在线泄露

据英国《每日电讯报》10 月 25 日报道,百慕大离岸律师事务所 Appleby 近期遭黑客攻击,其海外合法客户的财务细节在线泄露。知情人士获悉,全球最富有的部分客户普遍遭受威胁。目前,他们正委托律师与公关公司维护自身与企业名誉。 律师事务所 Appleby 近期证实,公司已收到国际调查记者协会(ICIJ)对于此次泄露事件的调查报告。另外,“全球左倾媒体组织联盟”也宣称于未来数天内公布相关信息。 国际调查记者协会(ICIJ)成立于 1997 年,是一支跨国调查记者联盟,旨在维护国际公共利益。此外,他们所关注的问题包括跨国犯罪、腐败以及权力问责等重大事件。据悉,该组织曾于 2015 年针对律师事务所 Mossack Fonseca 泄露的巴拿马文件进行了调查,在线曝光了全球数百名公众人物的金融隐藏交易。 Appleby 公司表示:“此次泄露事件的发生对于我们的业务造成了一定影响,导致部分客户对公司进行了多项指控。目前,我们已针对此次事件进行了彻底的调查,结果显示并没有证据表明存在任何不当行为,无论是公司还是客户。因此,我们驳斥任何指控,并很乐意配合所有合法授权的调查。” 此外,公司还发表声明称:“我们致力于保护客户的数据,因为在去年发生的数据安全事件后,我们已经严格对其系统的网络安全与数据访问进行了审查安排,并得到知名 IT 取证团队的审阅和测试,我们相信我们的数据极其安全 ”。目前,并没有任何关于黑客攻击或系统受到影响的细节暴露,不过 Appleby 正通知客户,其信息存在安全隐患。 原文作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国化妆品牌公司 Tarte 因数据库无密码保护,近 200 万客户信息在线泄露

HackerNews.cc 10 月 25 日消息,网络安全公司 Kromtech 研究人员 Bob Diachenko 近期发现美国最受欢迎的化妆品公司 Tarte 因两台 MongoDB 数据库未设置加密权限,导致近 200 万用户信息在线泄露且被黑客组织 Cru3lty 的访问,其中包括客户姓名、地址、电子邮件、购买历史以及信用卡号码的最后四位数字。 知情人士透露,Kromtech 于 10 月 18 日发现此次数据泄露后立即向 Tarte 发出安全警报,虽然公司并未做出回应,但与该公司挂钩的所有数据库均在事件曝光后设置了访问权限。Diachenko 表示,他并不是唯一一个发现该公司数据泄露的人。经调查显示,黑客组织 Cru3lty 于早期就已访问该公司数据库信息并对其进行删除与加密操作。据悉,该组织还在公司数据库中留下了一封勒索赎金信函,要求公司支付比特币后才能对其进行恢复。目前,尚不清楚 Tarte 是否已经与 Cru3lty 取得联系并缴纳赎金,也不了解该数据库在线暴露时长。不过,公司发表声明: “保障客户信息安全是我们的首要任务。现今,我们已经意识到事态发展的严峻程度,且正与执法部门取得合作。与此同时,我们还采取了安全措施,以确保公司数据得到最高保护。另外,公司也已通知受损客户与其合作伙伴增强防御体系。” 研究人员表示,不管是大公司还是小企业,一旦客户数据系统遭黑客入侵,其部分数据的泄露,或将导致犯罪分子可以交叉引用这些数据进行其他入侵,以获取客户完整卡号或更多信息。此外,如果受害者没有数据备份或安全防御措施,就可能对其造成极大损失。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

CSE ZLab 安全报告:发现新型僵尸网络 Wonder 程序踪迹

HackerNews.cc 10 月 23 日消息,CSE CybSec ZLab 实验室研究人员近期在暗网调查恶意代码时发现一份以 “NetflixAccountGenerator.exe” 命名的应用软件,其承诺为用户免费提供 Netflix 网站高级帐号。然而用户一旦下载该软件将会自动安装僵尸程序感染自身系统,从而被动参与黑客发起的网络攻击活动。目前,该恶意程序被用于僵尸网络 Wonder 传播。 调查显示,研究人员在分析这款 “exe” 应用文件时发现只有一个网站于 9 月 20 日首次上传该恶意软件后被提示存在风险。对此,研究人推测可能是恶意软件开发人员为其设置了 “隐身” 程序。此外,该款恶意软件的命令与控制服务器的接口隐藏在虚假页面链接中。(如下图) 对此,研究人员经检验证实,位于虚假页面 “wiknet.wikaba.com” 左侧链接上的 “support.com” 指向僵尸网络 C&C 服务器前端。有趣的是,它的每个链接指的都是原始页面。只要点击一个链接,研究人员就将被重定向至 “support.com” 相应页面。另外,研究人员还发现了一些隐藏的路径,其中包含僵尸程序使用的信息和命令。(如下图) 知情人士透露,该恶意软件由两部分组成: Ο 下载器:它是一个 .NET 可执行文件,其唯一目的是下载并执行真正的僵尸程序代码后上传到 “pastebin.com/raw/E8ye2hvM” 上。 Ο 真正的僵尸程序:当它被下载和执行时,将会感染主机、设置持久机制并启动恶意操作。 CSE Cybsec ZLab 发布的报告中还包括 IoCs 和 Yara 规则的进一步技术细节,感兴趣的用户可通过以下链接下载完整报告进行查看:《Malware Analysis Report: Wonder Botnet》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客组织 “匿名者” 入侵西班牙宪法法院网站,疑为支持加泰罗尼亚独立

2017 年 9 月 6 日,西班牙加泰罗尼亚议会通过了一项有关独立公投的法案,并于 10 月 1 日举行公投,决定是否脱离西班牙建国。不过,西班牙政府随后就该法案向宪法法院提出异议,要求加泰罗尼亚宣告放弃独立。10 月 17 日,西班牙宪法法院宣布加泰罗尼亚于 9 月 6 日通过的公投法案无效。 不过,此次事件似乎并未结束。西班牙国家安全局(DSN)于 10 月 20 日发表声明,宣称国家网站在过去数周内屡遭同一主题的不同网络攻击。此外,安全专家还通过与其关联的 Twitter 账户发现,国际黑客组织 “匿名者”(Anonymous)在线透露,将于 21 日对其政府网站进行大规模网络攻击。 随后,黑客组织 “匿名者” 果真于 10 月 21 日入侵西班牙宪法法院的网站系统,导致平台瘫痪不可访问且还在其官网上发布了 “解放加泰罗尼亚” 的宣传视频。调查显示,“匿名者” 主要针对目标网站的服务器展开 DDoS 网络攻击,从而迫使网站处于离线状态。虽然这并不被认为是一种复杂的攻击形式,但对于网站来说,它可能很难迅速恢复。知情人士透露,黑客在多数情况下利用这一点进行攻击的原因,通常是为了支持某一政权。 相关人士根据 “匿名者”在各政府网站发布的抗议视频推测,该组织似乎想让西班牙政府允许加泰罗尼亚的人民通过公投的方式表达自己的意愿,从而减少社会各阶层的主流观点。 目前,西班牙宪法法院的发言人表示:“虽然我们知道匿名者会针对网站进行攻击,但我们并不知道攻击的主要来源。不过,好在其他的 IT 系统并没有受到影响,现仍可正常访问。此外,我们将继续针对此次事件进行深入调查”。然而,到目前为止,加泰罗尼亚负责人并未发表任何置评。 原文作者:Jason Murdock,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

亚太网络信息中心托管的 Whois 数据库哈希密码在线泄露,或致相关域名遭黑客劫持

据外媒报道,eBay 员工 Chris Barcellos 于 10 月 12 日在亚太网络信息中心(APNIC) 托管的 Whois 数据库中发现哈希密码在线泄露,或可导致相关域名遭黑客劫持,从而允许攻击者访问与修改域名的所有权限。随后,研究人员立即上报 APNIC 进行处理。据悉,公司于本周一证实,APNIC 在该问题被曝光的第二天已妥善解决。 APNIC 副总监表示:“虽然密码的详细信息是散列分布的,但如果黑客使用正确的工具进行破解,那么他们极有可能从哈希表中排出正确密码后在域名维护程序中植入自己的详细信息,从而有效接管合法网站。 调查显示,在线暴露的密码主要用于保护 Whois 数据库管理员和 IRT 目标对象的访问记录。顾名思义,Whois 数据库管理员主要针对域名授权管理人员/组织信息的存储;IRT 目标对象主要针对公司安全事件响应团队的信息存储。APNIC 表示,此次事件的发生是因为技术人员在 APNIC Whois 数据库升级期间无意将哈希密码存储在 2017 年 6 月的可下载列表中。 不过,公司现已经将所有管理人员和 IRT 目标对象的密码进行了安全转移。好在,尚未发现任何滥用迹象。目前,研究人员正进行事后审查,以确保此类事件不再发生。 原文作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织 APT28 欲在 Flash 零日漏洞修复前发动网络攻击活动

据外媒 10 月 22 日报道,网络安全公司 Proofpoint 研究人员近期发现黑客组织 APT28 正利用 Microsoft Word 附件、通过 Adobe Flash 漏洞(CVE-2017-11292)分发恶意软件。研究人员表示,该漏洞近期刚刚被修复,不过攻击者似乎想要在用户安装补丁前展开网络攻击活动。 ATP28(又名 Sofacy、Fancy Bear 或 Tsar Team)是一支由俄罗斯政府资助的黑客组织,其主要针对境外国家的航空航天,以及私营部门展开攻击活动。据悉,该组织除针对丹麦国防部展开网络间谍活动外,还曾干预法国德国重大选举事件。 据悉,尽管研究人员所收集的信息有限,但他们目前已经大致了解攻击者的目标分布范围,其包括欧洲与美国的一些政府机构和航空航天私营部门。知情人士获悉,该漏洞补丁于 10 月 16 日在线公布时,卡巴斯基就已经发现黑客组织 BlackOasis APT 利用该漏洞开展网络攻击活动。 目前,研究人员推测 APT28 已经获取了一种利用 CVE-2017-11292 漏洞的方法,不过他们尚不清楚该组织是通过购买还是自身发现,亦或是反向分析 BlackOasis 攻击活动获得。不过,值得注意的是,黑客组织 APT28 一直利用恶意软件 DealersChoice 展开攻击活动。据称,当目标用户打开此类诱导文件时,DealersChoice 会自动联系远程服务器,下载并执行漏洞开发代码。 研究人员根据相关证据表明,黑客组织 APT28 似乎想要在 Flash 漏洞补丁被广泛部署前肆意分发恶意软件。不过,由于 Flash 仍存在于多数系统上,且此漏洞影响所有主要操作系统,因此用户立即更新Adobe 补丁至关重要。Proofpoint 研究人员证实,公司正试图取消与 DealersChoice 攻击框架相关的 C&C 服务器连接。此外,研究人员提醒用户,尽快安装补丁或更新系统至最新版本。 附:Proofpoint 安全报告原文链接《APT28 racing to exploit CVE-2017-11292 Flash vulnerability before patches are deployed》 原文作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

思科 Talos 安全报告:黑客组织 APT28 利用 “网络冲突” 诱导文件开展新一轮攻击活动

思科 Talos 团队近期发现黑客组织 APT28 正利用诱导文件开展新一轮网络攻击活动。有趣的是,该文件是一份关于美国会议 “网络冲突” 的宣传单张,其由北约网络防御中心于今年 11 月 7 日至 8 日在华盛顿举办。值得注意的是攻击活动与此前大不相同,该诱导文件虽然并未通过任何开发手段或零日漏洞展开攻击,但他们使用了恶意 Visual Basic Applications(VBA)宏病毒嵌入 Microsoft Office 文档,以便分发恶意软件 Seduploader 新变种。 俄罗斯 ATP28 黑客组织(又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team)除针对丹麦国防部展开网络间谍活动外,还曾涉嫌参与多起欧洲国家网络攻击事件,其中包括攻击欧洲防务展览会、干预法国德国重大选举、针对联邦议院发起鱼叉式网络钓鱼攻击等。 调查显示,诱导文件以 Conference_on_Cyber_Conflict.doc 命名,包含 2 页与组织者和赞助商的标识。此外,由于该文件确切的内容可以在会议网站查询,因此攻击者可能对其内容进行复制/粘贴后利用 Word 创建恶意文档。不过,根据文件的性质,研究人员推测攻击者的目标人群可能是网络安全领域的相关人士。此外,研究人员通过查看诱导文件发现 VBA 会在感染目标设备后分发恶意软件 Seduploader 新变种,这款侦察恶意软件已被 APT 28 使用多年。 知情人士透露,攻击者的思维与时俱进,其懂得利用美国 “网络冲突” 为主题吸引读者注意从而达成攻击的目的。目前,研究人员仍在进行调查,因为他们不希望黑客能够通过任何漏洞确保恶意软件的存活几率。 附:Cisco Talos 原文报告《 “网络冲突” 诱导文件用于真实的网络冲突 》 稿源:Cisco Talos,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。