最大暗网市场 Dream Market 下月底将关闭 疑因遭 DDoS 攻击

目前最大的暗网市场 Dream Market 3月26日发布声明,宣布网站将于2019年4月30日关闭。 Dream Market 网站声明 该站自2013年4月起已存在了6年,这也是曾经在2010年中期臭名昭著的四大暗网交易市场中的最后一个,在2017年,美国和欧洲当局就分别关闭了 AlphaBay 和 Hansa 市场,同年9月俄罗斯警方关闭了 RAMP 市场。 在 Dream Market 发布声明的同一天,欧洲刑警组织、美国联邦调查局和缉毒署官员宣布大规模打击暗网贩毒活动,已有数十人被捕。这个“巧合”的时间点让 Dream Market 的用户和暗网威胁分析师们认为执法部门可能已经控制了该站点,并将其作为蜜罐在运营,他们的怀疑实际上基于2017年6月一次类似的事件,当时荷兰警方接管了 Hansa 市场并运行了一个月以收集该网站用户的数据,随后利用收集的密码访问用户在暗网其它市场的账号。Dream Market 的公告显示该网站被转移到了新的 URL ,然而鉴于欧洲刑警组织和联邦调查局的公告,许多用户现在担心新网站可能是另一个蜜罐。 自从近期有黑客在该网站上售卖数亿用户信息(Hackernews.cc 3月18日曾报道)以来,Dream Market 频繁在新闻中出现,而该网站的突然关闭也令许多用户感到震惊。据知道创宇暗网空间搜索引擎“暗网雷达”监测到的数据推测,Dream Market 关站的原因可能与服务器 IP 地址泄露导致的安全风险有关。 知道创宇暗网空间搜索引擎“暗网雷达”监测到所泄露的4个IP地址之一   根据所泄露的 IP 地址,在 Shodan 上未检索到相关信息,在知道创宇 ZoomEye 上检索到 36 条数据,位于瑞典。   然而据 Dream Market 团队在发布公告第二天后作出的更详细解释,他们正将网站用户迁移到新网站,原因是 Tor 浏览器端所遭受的 DDoS 攻击持续时间过长,并且该网站无法承受 40 万美元的赎金需求。 图源Twitter Caleb@5auth   随着 Dream Market 的关站,T·chka 和 Wall Street Market 现在成为了不法分子在暗网中交易毒品、武器、恶意软件、黑客数据等产品的首选地。     整理自:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

Magecart 黑客攻击电商网站 My Pillow 和 Amerisleep

据外媒The Hacker News报道,网络安全研究人员今天披露了两个新发现的 Magecart 攻击细节,针对床上用品零售商 MyPillow 和 Amerisleep 的在线用户。 Magecart 是安全研究人员对至少 11 个不同黑客组织的总称,这些组织专门在电商网站上植入恶意软件代码,悄悄窃取客户的支付信息。去年 Magecart 就曾制造过针对英国航空公司、Ticketmaster和 Newegg 等知名国际公司网络攻击的大新闻。黑客在所攻击的网站结账页面中植入几行恶意 Javascript 代码,实时捕获客户的支付信息,然后将信息发送到远程攻击者所控制的服务器上。今年  Magecart 黑客还通过将其代码插入到 Adverline 流行的第三方 JavaScript 库,在供应链攻击中影响了近 277 个电子商务网站。这类网络攻击涉及范围广泛,最终瞄准的是在数百个欧洲电商网站上消费的所有客户。 在 RiskIQ 的报告中,研究人员揭示了两个新的与 Magecart 相关的攻击,影响了在线床上用品零售商 MyPillow 和 Amerisleep,与之前的攻击一样,在目标网站上找到注入点后,黑客植入了恶意代码并设法在客户交易时窃取支付信息。MyPillow 于去年 10 月被 Magecart 攻击,黑客在一个看似有着 LetsEncrypt SSL 证书的网站上插入恶意脚本。而另一家床垫公司 Amerisleep 在 2017 年被攻击者窃取过线上交易的信息,之后又在2018年12月再次遭遇攻击,Magecart 黑客将恶意代码托管在了 Github 上。最近一次针对该公司的攻击发生在今年1月,当时黑客决定改动一些条件,将恶意代码仅注入到支付页面而非所有页面。 尽管已遭遇攻击好几个月,MyPillow 和 Amerisleep 都没有发出任何警告或官方声明,提醒客户付款信息可能已遭泄露。 由于攻击者通常会利用在线电商软件中的已知漏洞,因此强烈建议网站管理员及时更新系统和补丁,限制关键系统的权限以及加强 Web 服务器管理等等。在线购物客户也应当定期检查信用卡对账单,及时报告未授权的交易。     消息来源:The Hacker News,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型 Mirai 木马变种利用 27 个漏洞 瞄准企业设备

据外媒ZDNet报道,安全研究人员发现了一种新型的Mirai IoT恶意软件变种,针对2种设备——智能信号电视和无线演示系统。 Palo Alto Networks 的安全研究人员在今年早些时候发现了一种新的 IoT 僵尸网络,正使用这种新型 Mirai 木马变种。该僵尸网络的制造者似乎已投入大量时间来利用新漏洞升级旧版本的 Mirai,新型变种共使用了 27 个漏洞,其中 11 个是 Mirai 的新型攻击,指向智能 IoT 设备和网络设备。 此外,该僵尸网络背后的黑客还扩展了 Mirai 内置的默认证书列表,以利用该列表来破解使用默认密码的设备,Mirai 默认证书的列表中已增加了 4 种新的用户名和密码的组合。新型变种的目标和作案手法与之前的僵尸网络相同,受感染的设备会在互联网上扫描具有公开 Telnet 端口的其他 IoT 设备,并使用来自其内部列表的默认证书来中断并接管这些新设备。受感染的设备还会扫描互联网上特定的设备类型,然后尝试使用27个漏洞中的一个来接管未打补丁的系统。 通常 Mirai 僵尸网络针对的是路由器、调制解调器、安全摄像头和DVR / NVR,极少数情况下会针对智能电视、手机和一些企业Linux和Apache Struts服务器。然而根据 Palo Alto Networks 研究人员的报告,他们今年发现的新 Mirai 僵尸网络是故意针对两种使用特制技术的新设备类型,即LG Supersign 电视和WePresent WiPG-1000无线演示系统。他们所使用的漏洞在网络上已经暴露过数月,但这是首次被利用于攻击。 新增的漏洞利用: 漏洞 受影响的设备 CVE-2018-17173 LG Supersign电视 WePresent WiPG-1000命令注入 WePresent WiPG-1000无线演示系统 DLink DCS-930L远程命令执行 DLink DCS-930L网络视频摄像机 DLink diagnostic.php命令执行 DLink DIR-645,DIR-815路由器 Zyxel P660HN远程命令执行 Zyxel P660HN-T路由器 CVE-2016至1555年 Netgear WG102,WG103,WN604,WNDAP350,WNDAP360,WNAP320,WNAP210,WNDAP660,WNDAP620器件 CVE-2017-6077,CVE-2017-6334 Netgear DGN2200 N300无线ADSL2 +调制解调器路由器 Netgear Prosafe远程命令执行 Netgear Prosafe WC9500,WC7600,WC7520无线控制器     消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客在暗网上出售第四批数据 涉及 6 个网站 2600 万新账户

据外媒The Hacker News报道,曾三次兜售从32个热门网站上窃取的近8.9亿线上账户数据的黑客,目前正在暗网上出售第四批数据——来自其它6个网站的数千万条记录。 The Hacker News今日收到了一份来自巴基斯坦黑客“Gnosticplayers”的电邮,他声称自己已经攻击了数十个热门网站,而这些网站可能根本不知道已经遭到入侵。这名黑客上个月在暗网市场“Dream Market”上发布了三批数据,第一批是从16个网站上窃取的6.2亿账户详情,第二批是从8个网站上窃取的1.27亿条记录,第三批是从8个网站上窃取的9200万条记录。尽管在放出第三批数据时,黑客“Gnosticplayers”声称是最后一批盗取的数据库,但他还是放出了第四批从另外6个网站窃取的将近2700万新用户的数据。 第四批遭受入侵的网站如下: Youthmanual – 印度尼西亚大学和职业平台 – 112万个账户 GameSalad – 在线学习平台-150万个账户 Bukalapak – 在线购物网站 – 1300万个帐户 Lifebear – 日本在线笔记本 – 386万个帐户 EstanteVirtual – 在线书店 – 545万账户 Coubic – 预约安排软件 – 150万个账户 (图:知道创宇暗网空间搜索引擎“暗网雷达”搜索到的信息) 根据知道创宇暗网雷达搜索到该黑客售卖数据的页面显示,入侵的账户数据包括账户名、邮箱地址、IP地址、加密密码等信息。 黑客单独销售每个被攻击的数据库,总价值为1.2431比特币,大约是5000美元。目前还不清楚上述网站是否意识到数据泄露,The Hacker News已经联系这些受影响的公司并了解他们是否已经警告过用户关于这类安全事件。如果你是上述网站或服务的用户,请考虑更改这些网站上的密码以及其它网站中所使用的相同密码。       消息来源:The Hacker News,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

TrickBot 银行木马开始窃取 Windows 问题历史记录

据外媒 bleepingcomputer 报道,最近监测到一个版本的 TrickBot 显示出了它对一些特有数据的兴趣:Windows 系统可靠性和性能信息。 微软在 Windows 操作系统上运行可靠性分析组件(RAC),为可靠性监测提供有关软件安装、升级、操作系统和应用程序错误以及硬件相关问题的详细信息。为此,它每小时使用 RACAgent 计划任务,并将所有数据转储到本地文件夹。用户可以从任务计划进程中禁用这些详细信息的收集,但这样就不能再获得可靠性监测的系统稳定性索引。 网络钓鱼活动揭示了 TrickBot 的新兴趣 My Online Security 对网络钓鱼活动的分析显示,本周发现的 TrickBot 变体主要集中在读取和获取操作系统可靠性数据库以及C:\ ProgramData \ Microsoft \ RAC \下的可用信息。 安全研究员  詹姆斯  在 Twitter 上发布了该恶意软件搜索到的文件列表: Exfiltrated Data 目前还不清楚这类数据会对黑客有什么好处,但它可以用于恶意目的,例如更好地定位钓鱼邮件。 TrickBot 通过虚假 Lloyds 银行电子邮件传播 该网络钓鱼活动使用虚假的 Lloyds 银行邮件地址’donotreply@lloydsbankdocs.com’传播 TrickBot,这很容易被误以为真。钓鱼者伪造邮件信息,诱使潜在受害者打开包含恶意宏的附加文档。一旦受害者打开文档,宏代码将下载并执行 TrickBot。 网络钓鱼电子邮件 附在钓鱼邮件上的 Office Word 文档包含 Lloyds 银行的文档页头,使其看起来更加真实。此外,黑客还添加了赛门铁克徽标,让恶意文件看起来通过了安全解决方案的验证。 尽管黑客努力隐藏其恶意性质,但该文件目前至少被 VirusTotal 上的 30 个防病毒引擎检测到。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全研究人员发现 Industroyer 与 NotPetya 同属于俄罗斯黑客组织

据外媒 ZDNet 报道,网络安全公司 ESET 的恶意软件分析人员最近发现了实质性证据,证明针对乌克兰电网的网络攻击和 2017 年 6 月爆发的 NotPetya 勒索软件背后是同一组织。 这两者之间并不是直接联系,而是研究人员在今年 4 月一次黑客攻击中通过名叫 Exaramel 的恶意软件发现的。Exaramel 后门是从 Telebots 的服务器基础设施部署的,这也是 NotPetya 勒索软件所依赖的基础设施。 在分析报告中 ESET  称 Exaramel 后门“是后门组件的改进版本”,是针对工业控制系统(ICS)的恶意软件 Industroyer 的一部分,Industroyer 曾在2016年12月引发乌克兰停电。虽然之前已有推测到这种联系,但没有实质性证据,Exaramel 的发现证实了研究人员的想法。 下图是 ESET 研究人员推测 BlackEnergy 集团的演变,该集团在 Industroyer 之前一年,在2015年12月同样袭击了乌克兰的电网。   考虑到从 2017 年 7 月以来多方将 NotPetya 与 BlackEnergy 攻击联系起来的报告,可以说上图所有攻击的幕后推手都属于同一组织。ESET 的发现适时为西方政府最近提出的指控提供了事实和技术证据。 今年2月,Five Eyes 联盟国家的政府都指责俄罗斯策划了 NotPetya 勒索软件的爆发。本月早些时候,英国和澳大利亚发表声明,指责俄罗斯主要情报局(GRU)俄罗斯武装部队的军事情报机构发生多起网络攻击事件。声明称俄罗斯的 GRU 背后是一系列网络间谍组织和黑客行动,所列出的名称包括 Sandworm 和 BlackEnergy,在网络安全行业的众多报告中这两个名称被用作 TeleBot 的替代词。 ESET 的研究对政府报告提供了有力支撑,俄罗斯在2015年和2016年制造恶意软件以瞄准乌克兰的电网,后来部署了针对乌克兰公司的 NotPetya 勒索软件,这是俄罗斯吞并克里米亚和支持乌克兰西部地区的亲俄反叛分子行动的一部分。   消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据称与伊朗相关的 APT 组织 RASPITE 瞄准美国电力公司

据外媒 Securityaffairs 报道,工业网络安全公司 Dragos 研究人员报告称,在伊朗境外运营的一个被称为 RASPITE 的网络间谍组织(又名Leafminer),一直以来瞄准美国、欧洲、中东和东亚的设施。该组织至少从 2017 年开始活跃,研究人员发现了其针对中东政府和其他类型组织的攻击活动。 上周,赛门铁克的研究人员根据对 Leafminer  组织的追踪,发布了一份关于网络间谍团队活动的详细报告,研究人员称该组织攻击活动的范围可能更广,他们发现了一份用伊朗波斯语编写的包含809个攻击目标的列表,列表按照其对地区和工业的兴趣对每个条目进行了分组,目标包括阿联酋、卡塔尔、巴林、埃及和阿富汗。这些目标的系统已被攻击者扫描。 现在 Dragos 研究人员证实了正是 RASPITE 一直瞄准攻击工业控制系统,黑客还访问了美国电力部门的业务。 黑客利用受到破坏的网站进行水坑攻击,为潜在的受害者提供感兴趣的内容。RASPITE 的攻击看起来类似于像 DYMALLOY 和 ALLANITE 的攻击,黑客通过注入网站链接以提示SMB连接,收集 Windows 凭据。然后,攻击者部署脚本来安装连接到 C&C 广告的恶意软件,然后让攻击者控制受感染的计算机。 根据Dragos的说法,即使 RASPITE 主要针对 ICS 系统,但也没有关于此类设备遭受破坏性攻击的消息。 迄今为止,RASPITE 的活动主要集中在电力部门的初始访问,虽然目标是电力设施,但目前没有迹象表明该组织具有破坏性的 ICS 攻击能力,包括像乌克兰那样的大规模停电。   消息来源:Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

APT 组织窃取 D-Link 公司数字证书签署其恶意软件

据外媒报道,ESET 的安全研究人员发现一项新的恶意软件活动,与 APT 组织 BlackTech 有关,该组织正在滥用从 D-Link 网络设备制造商和台湾安全公司 Changing Information Technology 窃取的有效数字证书签署其恶意软件,伪装成合法应用程序。 由受信任的证书颁发机构(CA)颁发的数字证书是用来对计算机应用程序和软件进行加密签名,计算机将信任这些有数字证书程序的执行,不会发出任何警告消息。近年来一些寻找绕过安全方案技术的恶意软件作者和黑客一直在滥用可信任数字证书,他们使用与受信任软件供应商相关联的受损代码签名证书来签署其恶意代码,以避免被目标企业网络和用户设备上检测到。 据安全研究人员介绍,此网络间谍组织技术娴熟,他们大部分瞄准东亚地区,尤其是台湾。ESET 确定了两个恶意软件系列,第一个被称为 Plead 的恶意软件是一个远程控制的后门,旨在窃取机密文件和监视用户,Plead 至少从 2012 年就开始利用有效证书签署其代码;第二个恶意软件是密码窃取程序,旨在从Google Chrome,Microsoft Internet Explorer,Microsoft Outlook 和 Mozilla Firefox 收集保存的密码。 研究人员向 D-link 和 Changing Information Technology 通报了该问题,受损的数字证书分别在2018年7月3日和7月4日予以撤销。 这不是黑客第一次使用有效证书来签署他们的恶意软件。2003 年针对伊朗核加工设施的 Stuxnet 蠕虫也使用了有效的数字证书。   消息来源:TheHackerNews、Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

针对巴勒斯坦政府的网络间谍组织又发起了新的钓鱼攻击

据外媒 bleepingcomputer 报道,去年针对巴勒斯坦执法部门的网络间谍组织现已针对巴勒斯坦政府官员重新发起攻击。根据以色列网络安全公司 Check Point 的调查显示,新的攻击开始于 2018 年 3 月,似乎和去年 Cisco Talos 和 Palo Alto Networks 两份报告中详述的一组操作方法相符。报告详述了针对巴勒斯坦执法部门的鱼叉式钓鱼攻击活动,恶意邮件试图通过 Micropsia infostealer 感染受害者,这是一种基于 Delphi 的恶意软件,其中包含许多引用自《生活大爆炸》和《权力的游戏》剧集角色的字符串。 现在同一网络间谍组织疑似再次出现,他们唯一所改变的是恶意软件,现在使用C ++编码。和 Micropsia 一样,新的恶意软件也是一个强大的后门,可以随时使用第二阶段模块进行扩展。根据 Check Point 的说法,该组织使用改进后的后门感染受害者以收集受害者工作站的指纹,然后收集.doc,.odt,.xls,.ppt和.pdf文件的名称并将此列表发送给攻击者的服务器。 今年该组织似乎是针对巴勒斯坦民族权力机构的成员,鱼叉式钓鱼邮件的主题是来自巴勒斯坦政治和国家指导委员会的月度新闻报道,发送给与此机构相关人员。与 2017 年不同的是,这次恶意附件实际上是一个压缩文件,包含诱饵文件和恶意软件本身。 Check Point 认为这些攻击背后是一个名为 Gaza Cybergang 的 APT 组织,该组织同时也名为 Gaza Hackers / Molerats,在 2016 年网络安全公司 ClearSky 曾将此组织与恐怖组织哈马斯(Hamas)联系起来。上周,以色列政府就曾指责哈马斯试图引诱士兵在他们的手机上安装恶意软件。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

哥伦比亚大学研究人员创建隐藏嵌入文本信息新方法

哥伦比亚工程计算机科学家发明了一种新的方法 FontCode,可以在不干扰文字的情况下将隐藏信息嵌入文本中。FontCode 创建使用字体扰动来编码信息,之后可以进行解码以恢复信息。与其它隐藏嵌入信息的文本和文档的方法不同,这个方法适用于大多数字体和文档类型,即使打印文档或转换为其他文件类型时也可以保留隐藏信息。这项研究报告将于8月12日-16日在温哥华的 SIGGRAPH 上展示。 此项研究的主要作者、计算机科学郑教授说: 尽管很明显可能会被用于间谍活动,但我们认为对于希望防止文档篡改或保护版权的公司,以及想要嵌入二维码和其它元数据而不改变文档外观和布局的商家和艺术家来说,FontCode 更为实用。 郑教授带领他的学生创建了这个文本隐写方法,无论是数字存储还是纸质打印,都可以将文本、元数据、URL或数字签名嵌入到文本文档或图像中。它适用于 Times Roman、Helvetica和Calibri 等常用字体系列,并且与大多数文字处理程序(包括 Word 和 FrameMaker )以及图像编辑和绘图程序(如 Photoshop 和 Illustrator )兼容。由于每个字母都可能受到干扰,所以秘密传达的信息量仅受正规文本长度的限制。信息使用微小的字体扰动编码——改变笔画宽度,调整上行和下行高度,或者调整例如字母 o、p 和 b 的曲线。 【研究演示视频】FontCode: Embedding Information in Text Documents using Glyph Perturbation 使用 FontCode 隐藏的数据可能非常难以检测到。即使攻击者检测到两个文本之间的字体变化,扫描公司内部每一个文件也是不切实际的。 “如果攻击者能够检测到使用字体变化来传达秘密信息,加密只是提供了一种备份级别的保护,”郑教授说,“因为很难看到这些变化,这使得 FontCode 成为一种非常强大的技术,可以通过现有的防御措施获取数据。” 研究作者已经向哥伦比亚科技风险投资公司提交了专利,计划将 FontCode 扩展到其他语言和字符集,包括中文。 “我们对FontCode的广泛应用感到非常兴奋,”郑教授说,“从文档管理软件到隐形QR码,保护法律文件,FontCode可能是一个改变游戏规则的游戏。” 该研究的题目是“FontCode: Embedding Information in Text Documents using Glyph Perturbation.”   消息来源:TechXplore,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。