研究人员发现 Linux 版本的 Winnti 恶意软件

据外媒报道,Alphabet网络安全部门Chronicle的研究人员,发现了Linux版本的Winnti恶意软件。这是研究人员首次发现Winnti的Linux版本,其与中国APT组织有关。 研究人员认为,在Winnti Umbrella黑客组织的背后,有几个APT组织,包括Winnti,Gref,PlayfullDragon,APT17,ViceDog,Axiom,BARIUM,LEAD,PassCV,Wicked Panda和ShadowPad。 这些组织使用相似的策略、技术和程序(TTP),在某些情况下,甚至共享攻击手段。 研究人员在其VirusTotal平台上搜索Winnti恶意软件的样本时,发现了Linux版本的Winnti恶意软件,其可以追溯到2015年,当时被黑客用于攻击越南一家游戏公司。 根据Chronicle发布的报告,Winnti恶意软件采用模块化结构,使用插件实现不同的功能。通过进一步分析发现,Linux版本的Winnti和Winnti 2.0 Windows版本之间有许多相似之处,Linux版本也使用多种协议处理出站通信,如ICMP,HTTP以及自定义TCP和UDP协议等。Linux版本还允许黑客直接访问受感染系统。 Linux用途的扩展可能暗示了黑客们下一个目标的操作系统要求,但也可能只是尝试利用许多企业的安全盲点,与Penquin Turla和APT28的Linux XAgent变体一样。   消息来源:SecurityAffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

超 4900 万条 Instagram 名人账户数据在线曝光

据TechCrunch网站报道,Instagram的一个大型数据库由于在AWS存储桶上没有受到保护,导致任何人都可以在没有身份验证的情况下访问它。该数据库首先由安全研究人员Anurag Sen发现,并立即报告给了TechCrunch网站。 该数据库拥有超过4900万条记录 ,且按小时数增长。其包含从网红、明星、品牌方等Instagram账户中爬取的公共数据,如个人经历,资料图片,粉丝数量,地理位置,私人联系方式,电子邮件地址以及电话号码等信息。数据库中还包含了所计算的每个账户价值。 据TechCrunch网站调查,该数据库属于社交媒体营销公司Chtrbox,其总部位于印度。它给网红付费使其发布赞助广告。奇怪的是,TechCrucnh网站联系的两个人证实了数据的真实性,却否认与Chtrbox公司有任何关系。 “我们随即在数据库中挑选了几个人进行联系。其中两个人确认在数据库中找到的电子邮件地址和电话号码是用于设置Instagram帐户的。” TechCrucnh网站补充说道:“他们都与Chtrbox公司没有关系。” TechCrunch网站联系了Chtrbox公司,但目前尚不清楚该公司如何获得这些数据。 Facebook宣布正在调查这一事件: “我们正在调查这个问题,以了解包含电子邮件地址及电话号码的数据是否来自Instagram或其他来源。我们也正在询问Chtrbox公司,以查明其数据来源和公开方式。” 2017年,Instagram的一个漏洞允许黑客访问高级用户的信息,包括电话号码和600万名明星的电子邮件地址。   消息来源:SecurityAffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

超 12,000 个 MongoDB 数据库被 Unrisllar 黑客组织删除

在过去三周内,超过12,000个不安全的MongoDB数据库被删除。黑客组织只留下一条消息:“联系我们以恢复数据”。此前虽然没有达到这种规模,但至少从2017年初开始,这些针对可公开访问的MongoDB数据库的攻击已经发生。 黑客们使用BinaryEdge或Shodan搜索引擎来查找暴露的数据库服务器并删除它们。要想恢复服务,就得支付赎金。虽然攻击针对可远程访问和不受保护的MongoDB数据库,黑客在删除它们之后要求支付勒索赎金以恢复数据,但这一系列举措似乎并未要求特定的赎金数额。提供的电子邮件地址最有可能用来协商恢复数据的条款。安全研究员Sanyam Jain对此提供了一个非常合理的解释,称“黑客可能会根据数据库的敏感度收取加密货币”。 黑客留下的联系方式 研究人员使用BinaryEdge搜索引擎发现了由Unistellar黑客组织删除的12,564个未受保护的MongoDB数据库(Shodan报道的数量较少,为7,656个数据库,可能是因为查询被阻止)。根据Jain所说,目前,BinaryEdge索引了超过63,000台可公开访问的MongoDB服务器,Unistellar黑客组织似乎已经删除了约20%。研究人员于4月24日首次注意到此类攻击,当时他发现了一个被删除的MongoDB数据库。不同于过去经常发现的大量的泄露数据,其只包含以下信息:“想要恢复?联系方式:unistellar@yandex.com。” 使用BinaryEdge找到的被删除的MongoDB数据库 研究人员后来发现,在删除数据库后,黑客留下赎金票据。如果受害者想要恢复数据,向以下两个电子邮件地址之一发送电子邮件:unistellar@hotmail.com 或unistellar@yandex.com。虽然尚不清楚黑客用什么方法来查找并删除如此大量的数据库,但整个过程很可能是完全自动化的。 连接到其中一个未受保护的MongoDB数据库后发现,黑客执行此操作的脚本会不加区别地删除每个不安全的MongoDB数据库,然后添加赎金表。 正如Jain所说,Unistellar黑客组织似乎已经创建了恢复点,以便恢复他们所删除的数据库。遗憾的是,无法追踪受害者是否一直在为要恢复的数据库付费,因为Unistellar只提供电子邮件地址,并不提供加密货币地址。 (各个国家被删除的数据库数量) 保护MongoDB数据库 发生攻击的原因是MongoDB数据库可远程访问且没有得到正确的保护,因此数据库所有者可以通过相当简单的步骤来防止此类攻击。MongoDB提供了有关如何通过实施适当的身份验证、访问控制和加密来保护MongoDB数据库的详细方法,还提供了一个安全检查表供管理员遵循。防止攻击的两个最重要的措施是启用身份验证且不允许远程访问数据库。 消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客正在收集 4600 个网站上的支付细节及用户密码

据外媒报道,黑客已经窃取了分析服务Picreel和开源项目Alpaca Forms的数据,并修改了他们的JavaScript文件,以便在超过4,600个网站上嵌入恶意代码。 Picreel是一种分析服务,允许网站所有者记录用户正在做什么以及他们如何与网站进行互动以分析其行为模式并提高会话率。Picreel的客户,即网站所有者,在他们的网站上嵌入了一段JavaScript代码,以便运行Picreel服务。正是这个脚本被黑客入侵,并添加了恶意代码。 Alpaca Forms是一个用于构建Web表单的开源项目。它最初由企业CMS的供应商Cloud CMS开发,并于八年前开放了源代码。Cloud CMS仍然为Alpaca Forms提供免费的CDN(内容分发网络)服务。但黑客似乎已经攻破了由Cloud CMS管理的CDN,并修改了Alpaca Forms中的一个脚本。 恶意代码会记录表单字段中输入的所有数据 目前,尚不清楚黑客是如何破坏Picreel或Alpaca Forms中的CDN。恶意代码记录所有用户在表单字段中输入的内容,并将信息发送到位于巴拿马的服务器。这些信息包括用户在结帐或付款页面,联系表单和登录部分输入的数据。已在1,249个网站上发现嵌入Picreel脚本中的恶意代码,而在Alpaca Forms中的恶意代码已在3,435个域名中被发现。Cloud CMS已经介入并取消了服务于受影响的Alpaca Forms脚本的CDN。该公司正在调查这一事件,并阐明公司、客户及产品都没有安全漏洞或安全问题。然而,没有证据证明这一点,除非Cloud CMS的客户仍在他们的网站中使用Alpaca Forms的脚本。 供应链攻击对网站的威胁越来越大 在过去的两年里,类似的攻击相当普遍。实行供应链攻击的黑客组织已经意识到,破坏那些高级一点的网站并不像听起来那么简单,因此他们开始瞄准那些为网站提供“二级代码”的小企业。他们以聊天小部件、实时支持小部件、分析公司等供应商为目标。 今天的攻击有所不同,其通用性十分广泛。不管其目的如何,它针对的都是网站上的每个表单字段。   消息来源:ZDnet, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国政府警告:朝鲜的 ELECTRICFISH 恶意软件试图窃取数据

据外媒报道,美国联邦调查局(FBI)和美国国土安全部(DHS)发布了一份关于ELECTRICFISH恶意软件的联合分析报告。 根据美国CERT网站上发布的报告,在追踪朝鲜黑客时发现了恶意软件ELECTRICFISH,其被朝鲜黑客组织Lazarus用来窃取数据。该恶意软件实现了一种自定义协议,允许在源IP和目标IP之间传输流量。 它不断尝试联系源系统和指定系统,并使得双方都可以发起会话。 因为该恶意软件由黑客组织Lazarus“使用代理服务器或端口和代理用户名和密码”进行配置,所以能够“连接位于代理服务器内的系统”,从而规避受感染系统的身份验证。绕过身份验证后,ELECTRICFISH将与目标IP建立会话,其位于目标网络及源IP之外。一旦在源IP地址和目标IP之间建立连接,ELECTRICFISH就可以在两台机器之间汇集网络流量,允许黑客把从受感染的计算机里收集的信息汇集到他们所控制的服务器。   消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

加拿大 Freedom Mobile 移动运营商数据泄露:影响超过 1.5 万客户

据外媒报道,加拿大Freedom Mobile移动运营商泄露了其许多客户的详细信息,包括他们的银行卡数据。 Freedom Mobile是加拿大第四大移动网络运营商。其未受保护的数据库至少储存了150万个用户的500万条记录。泄露的记录包括电子邮件地址,电话号码,家庭住址,出生日期,与付款方式相关的IP地址,信用评分(来自Equifax和其他公司),带有CVV代码的未加密支付卡数据,位置和其他客户服务记录,以及账户详细资料。根据加拿大环球邮报报道,这次数据泄露是由第三方公司Apptium Technologies引起的。 根据国外博客vpnMentor报道,Freedom Mobile的数据库完全处于未加密状态。账号,订阅日期,结算周期日期和包括位置在内的客户服务记录也可以访问。而Freedom Mobile试图淡化这一事件,称未保护数据库中存储的总记录仅与1.5万位客户有关。 Freedom Mobile向加拿大隐私专员办公室(OPC)报告了这一事件。   消息来源:Securityaffaris, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客利用 Jenkins 漏洞传播 Kerberods 恶意软件

HackerNews.cc 5 月 9日消息,黑客正利用2018年揭露的Jenkins漏洞(CVE-2018-1000861 )来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器,它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装,拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动,来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称,攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞,其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐,且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后,他创建了下图所示的图表(可以按照蓝色数字来理解每一步)。 Kerberods包含自定义版本的UPX打包程序,它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后,Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件,有许多方法可以修改UPX,使得用常规UPX版本解压缩文件很难。幸运的是,在本例中,UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此,将二进制文件的不同部分还原为UPX,可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限,Kerberods会将一个库加载到操作系统中,该操作系统挂钩Glibc的不同功能,就像一个木马一样。在没有root权限的情况下,恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器,它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源:Securityaffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

MongoDB 数据库: 泄露超 2.75 亿条印度公民信息记录

据外媒报道,大型MongoDB数据库泄露了约2.75亿条包含印度公民详细个人信息(PII)的记录,该数据库两个多星期没有受到网络保护。 安全研究人员Bob Diachenko经过调查发现,泄露的数据包含了姓名、性别、出生日期、电子邮件、手机号码、教育程度、专业信息(雇主、工作经历、技能、职能领域)、现有工资等信息。但是,还没有找到任何与所有者相关的信息。此外,存储在数据库中的数据集合的名称表明,收集整个简历缓存是“大规模抓取操作的一部分”,其目的不明。 Diachenko立即通知了印度CERT(计算机安全应急响应组)团队,但是目前该数据库仍保持开放和可搜索状态。该数据库是被名为“Unistellar”的黑客组织抛弃的,且Diachenko发现了以下留言: MongoDB之前也发生过类似的数据泄露事件。究其原因,是因为其很多数据库都由所有者公开访问,并且没有得到适当的保护。这意味着可以通过保护数据库实例来阻止它们。MongoDB在Documentation网站上提供了一个安全(Security)版块,其中显示了如何正确保护MongoDB数据库,以及MongoDB管理员的安全检查表。   消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Binance 遭黑客入侵 损失价值超 4000 万美元的比特币

HackerNews.cc 5 月 8 日消息,全球最大的加密交易货币场所之一Binance,今日确认公司损失了近4100万美元的比特币。这似乎是该公司迄今为止遭受的最大黑客攻击。 Binance的CEO赵长鹏发声明说公司早在5月7号前就已发现大规模的安全漏洞。黑客因此窃取了大约7000个比特币,价值4060万美元。 据该公司称,恶意攻击者使用了各种攻击技术,包括网络钓鱼和计算机病毒,实施了这一入侵,并侵入了一个BTC热钱包(一个连接到互联网的加密货币钱包)。该钱包约占公司比特币持有总量的2%,并在一次交易中提取了被盗的比特币。更令人不安的是,该公司承认,黑客设法获取了用户的关键信息,如API密钥、双因素身份验证码,以及其他潜在的信息。这些信息是登录Binance帐户所必需的。但幸运的是,用来储存大部分资金的线下钱包即Binance的冷库仍然是安全的。此外,联网的个人用户钱包没有受到直接影响。 Binance已经将其平台上的所有存款和取款业务暂停了大约一周,同时全面审查了安全性并调查了这起事件。CEO表示,该公司去年建立了一个名为“用户安全资产基金(SAFU)”的内部保险机制,该机制将覆盖黑客攻击的全部金额,不会影响用户。   消息来源:Thehackernews, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接