分类: 今日推送

KashmirBlack 僵尸网络劫持了数千个运行在主流 CMS 平台上的网站

该僵尸网络利用几十个已知的漏洞来攻击广泛使用的内容管理系统(CMS)。KashmirBlack活动于2019年11月开始,其目标是WordPress,Joomla!,PrestaShop,Magneto,Drupal,Vbulletin,OsCommerence,OpenCart和Yeager等流行的CMS平台。 Imperva的研究人员表示:“其精心设计的基础架构可以轻松地扩展和添加新的攻击或有效负载,并且使用复杂的方法来伪装自身,使其不被发现并保护自身运行。” 这家网络安全公司对僵尸网络进行了为期六个月的调查,结果显示,该复杂操作由一台命令控制(C2)服务器和60多个代理服务器管理,这些服务器与僵尸网络进行通信以发送新目标,从而扩大了规模通过暴力攻击和安装后门来访问僵尸网络。 KashmirBlack的主要目的是滥用受感染系统的资源进行Monero加密货币挖掘,并将网站的合法流量重定向到垃圾邮件页面。但是,它也被用来进行defacement攻击。 无论出于何种动机,他们利用PHPUnit RCE漏洞(CVE-2017-9841)用与C2服务器通信的下一阶段恶意有效载荷感染客户。 Imperva的研究人员表示,根据它在一次此类defacement中发现的攻击特征,他们认为僵尸网络是一个名叫Exect1337的黑客的作品,该黑客是印度尼西亚黑客团队PhantomGhost的成员。 KashmirBlack的基础架构很复杂,包括两个单独的存储库,一个用于托管漏洞利用程序和有效负载,另一个用于存储恶意脚本以与C2服务器通信。 僵尸程序本身要么被指定为“传播僵尸程序”(与C2通信以接收感染新受害者的命令的受害者服务器),要么被指定为“待定僵尸程序”(其在僵尸网络中的用途尚待确定)。 尽管使用CVE-2017-9841将受害者转变为传播中的僵尸程序,但成功利用CMS系统中的15种不同缺陷导致受害者站点成为僵尸网络中新的未确定的僵尸程序。KashmirBlack攻击者使用了一个单独的WebDAV文件上传漏洞来进行攻击。 但是,随着僵尸网络规模的扩大,越来越多的僵尸网络开始从存储库中获取有效负载,他们的基础架构已进行了调整,使其通过添加负载平衡器实体来变得更具可伸缩性,该实体返回新设置的冗余存储库之一的地址。 KashmirBlack的最新版本也许是最阴险的。上个月,研究人员发现僵尸网络使用Dropbox替代了其C2基础架构,滥用了云存储服务的API来获取攻击指令并从传播中的僵尸网络上载攻击报告。 Imperva说:“转移到Dropbox可使僵尸网络将合法的Web服务隐藏在非法犯罪活动中。” “这是伪装僵尸网络流量,确保C&C操作安全的又一步,而且最重要的是,我们很难将僵尸网络追溯到操作背后的黑客。”     消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Turla 黑客组织使用 HyperStack、Carbon 和 Kazuar 攻击欧洲政府组织

Turla被Accenture Cyber Threat Intelligence认定为Belugasturgeon,该组织使用自定义恶意软件(包括更新的旧版工具)瞄准政府组织,这些恶意软件旨在通过重叠的后门访问来保持持久性,同时跳过受害者的防御。HyperStack后门程序就是这样一种工具,它已经完成了重大更新,这些更新似乎受到了Carbon后门程序和RPC后门程序的启发。 Turla开展间谍活动已有十多年了。该组织主要针对外国政府和大使馆,使用先进定制工具,进行长期隐藏。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1385/       消息来源:accenture ,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

承诺会保护隐私的社交应用 True 却意外曝光用户私人数据

据外媒TechCrunch报道,True自称是一款能够“保护你的隐私”的社交网络应用。但由于安全漏洞,该公司的一台服务器却曝光了用户私人数据。这款应用于2017年由Hello Mobile推出,Hello Mobile是一家虚拟手机运营商,依附于T-Mobile的网络。 True官方网站介绍称,公司已经筹集到1400万美元的种子基金并称在推出后不久就拥有超50万名的用户。 但该应用的一个数据库的控制面板在没有密码的情况下被暴露在网上,其允许任何人阅读、浏览和搜索该数据库–其中包括私人用户数据。 迪拜网络安全公司SpiderSilk的首席安全长Mossab Hussein发现了这个被暴露的控制面板并向TechCrunch提供了详细信息。来自搜索引擎BinaryEdge提供的数据显示,该曝光早在9月初就已经发生。 在TechCrunch联系True之后,这家公司对控制面板进行了离线处理。 True CEO Bret Cox虽然向Techcrunch证实了安全漏洞的存在,但并没有回答他们提出的具体问题,包括该公司是否计划通知用户存在安全漏洞或否计划根据州数据泄露通知法向监管机构披露该事件。 据了解,控制面板包含了从今年2月开始的每日服务器日志,像用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息内容以及用户最后已知的地理位置–这些地理位置则可以识别用户过去或曾经的位置。另外,控制面板还会暴露用户上传的电子邮件和电话联系方式,True会在应用中使用这些信息来匹配已知的朋友。并且这些数据都没有进行加密处理。 TechCrunch通过创建一个测试账号并要求Hussein提供只有他们自己知道的数据如注册账号时使用的电话号码确认了这一情况。 Hussein指出,控制面板还对外泄露了账号访问令牌,这些令牌可以用来入侵和劫持任何用户的账号。虽然这些账号访问令牌看起来像一行随机的字母和数字,但用户无需每次输入就可以登录到应用中。Hussein就使用TechCrunch的测试帐号在控制面板中找到了后者的访问令牌,并使用它访问其帐号并在上面发布消息。 此外,控制面板还显示了一次性登录代码,True会将这些代码发送到与账号关联的电子邮件地址或电话号码,而不是存储密码。 True表示,在删除账号后与其有关的所有内容都会从该公司的服务器被清除。然而TechCrunch经过测试发现事实并非如此,他们仍可以在控制面板上搜索到其私人信息、帖子和照片等。 目前,TechCrunch无法联系到Hello Mobile的发言人。     (消息及封面来源:cnbeta)

美一黑客更改佛罗里达州长地址 致其无法顺利投票

据外媒报道,当佛罗里达州州长Ron DeSantis在周一前去投票时一名投票工作人员告诉他,他的地址跟指定的投票地点不符。他的地址在他不知情的情况下被更改了,州长立即联系了警方调查发生了什么。 根据警方的记录,调查将警方引向了20岁的Anthony Steven Guevara的家。 Guevara告诉警方,他可以用公开信息改变地址如州长的姓、名和他的生日。 距离美国选举日还只有不到一周的时间,网络安全官员们都在警惕试图影响投票的黑客,无论是通过对竞选活动展开的直接攻击还是通过社交媒体上进行的虚假信息活动。 虽然黑客不太可能改变选票计数,但他们仍能攻击选举基础设施如选民登记数据库。FBI警告称,伊朗黑客正在利用选举记录对佛罗里达州的选民进行攻击和恐吓。2016年美国总统大选期间,该州也受了网络攻击,当时俄罗斯黑客访问了选民数据库。 但DeSantis的地址变更并不是由复杂的网络攻击造成,对此,佛罗里达州务卿Laurel Lee称其选举系统是安全的。 科利尔县警长办公室表示,他们是在要求对DeSantis的选民登记记录进行时间戳更改后才找到Guevara的。警方表示,他们收到了一个跟这起变更有关的Comcast IP地址并向该互联网供应商发出了传票以此提供该地址。 调查人员在查看了Guevara的电脑后发现他登录了佛罗里达州务院的网站并在维基百科上查找了DeSantis的名字。法庭记录没有显示Guevara是如何改变DeSantis的地址的完整细节,该州的选举官员也没有回答这是如何发生的或安全问题是否已经得到解决。 佛罗里达州执法部门表示,Guevara还访问了迈克尔·乔丹和勒布朗·詹姆斯等名人的选民登记,但没有改变他们记录的任何细节。 根据警方的记录,Guevara被控未经同意更改选民登记并需缴5000美元的保释金。     (消息及封面来源:cnbeta)

FBI 探查近期美国医院遭受的一系列勒索软件攻击

据路透社消息,东欧犯罪分子正在用勒索软件瞄准数十家美国医院,联邦官员周三敦促医疗机构迅速加强准备工作,以防他们成为下一个目标。据三位熟悉此事的网络安全顾问透露,美国联邦调查局(FBI)正在调查最近的攻击事件,其中包括本周刚刚公开的俄勒冈州、加利福尼亚州和纽约的事件。 专家表示,这些攻击事件背后可能的组织被称为“Wizard Spider”或UNC 1878。他们警告说,这种攻击会扰乱医院的运作,导致生命的离去。这些攻击促使FBI和国土安全局官员在周三为医院管理者和网络安全专家主持了一次电话会议。 一名与会者告诉路透社记者,政府官员警告医院要确保他们的备份系统正常,尽可能将系统与互联网断开,并避免使用个人电子邮件账户。FBI没有立即回应评论请求。 “这似乎是一次协调的攻击,旨在专门破坏全美各地的医院,”美国网络安全公司Recorded Future的威胁情报分析师Allan Liska说。 “虽然每周针对医疗服务提供者的多起勒索软件攻击已经屡见不鲜,但这是我们第一次看到同一勒索软件行为者在同一天内针对六家医院进行攻击。” 在过去,医院的勒索软件感染已经使患者记录保存数据库瘫痪,这些数据库关键性地存储了最新的医疗信息,影响了医院的医疗服务能力。熟悉攻击事件的三名顾问中的两名表示,网络犯罪分子普遍使用一种名为 “Ryuk “的勒索软件,这种软件会锁定受害者的电脑,直到收到付款。 这位电话会议参与者说,政府官员透露,攻击者使用Ryuk和另一种名为Trickbot的木马来对付医院。 “UNC1878是我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一,”美国网络事件响应公司Mandiant高级副总裁Charles Carmakal说。“多家医院已经受到Ryuk勒索软件的重大影响,他们的网络已经被关闭。” 专家表示,在本月早些时候微软努力破坏黑客网络之后,Trickbot的部署意义重大。 网络犯罪分析师Stefan Tanase表示,这一举措旨在削弱网络犯罪分子的能力,但他们似乎已经迅速恢复。“我们在这里看到的是确认Trickbot被击垮的报道被大大夸大了。” 微软没有回答置评请求。     (消息来源:cnbeta;封面来自网络)

微软称伊朗黑客正密集攻击高价值的国际会议参与者

微软表示,由伊朗政府支持的黑客针对两个国际安全和政策会议的100多名高调的潜在与会者发动攻击。这个名为Phosphorus(或APT35)的组织发送了伪装成慕尼黑安全会议(国家元首出席的主要全球安全和政策会议之一)和定于本月晚些时候在沙特阿拉伯举行的Think 20峰会组织者的伪装邮件。 微软表示,这些伪造的电子邮件是发给前政府官员、学者和政策制定者,目的是窃取密码和其他敏感数据。 当被问及这次行动的目标是什么时,微软没有发表评论,但该公司的客户安全和信任主管汤姆-伯特表示,这些攻击是为了 “情报收集目的”。攻击成功地损害了几名受害者,包括前大使和其他高级政策专家,他们帮助制定各自国家的全球议程和外交政策。微软表示,已经与会议组织者合作,并将继续警告他们的与会者,微软正在披露我们所看到的情况,以便每个人都能对这种攻击方法保持警惕。 微软表示,攻击者会给目标写一封用完美英语书写的邮件,邀请目标参加会议。在目标接受邀请后,攻击者会试图欺骗受害者在一个虚假的登录页面上输入他们的电子邮件密码。随后,攻击者再登录邮箱,窃取受害者的电子邮件和联系人。该组织之前的黑客活动也曾试图窃取高知名度受害者的密码。由于伊朗驻纽约领事馆网站瘫痪,无法联系到伊朗领事馆发表评论。 众所周知,Phosphorus(或APT35)的目标是高调的个人,比如政治家和总统候选人。但微软表示,这次最新的攻击与即将举行的美国总统选举无关。去年,微软表示已经通知了超过1万名国家支持的黑客攻击的受害者,这些黑客包括包括Phosphorus和另一个伊朗支持的组织Holmium,也就是APT 33。3月,这家科技巨头获得了一项法院命令,要求控制Phosphorus使用的域名,这些域名被用来使用虚假的谷歌和雅虎登录页面窃取凭证。     (消息来源:cnbeta;封面来自网络)

谷歌从 Play Store 中删除了 21 个恶意 Android 应用

谷歌已从Play Store中删除了几款Android应用程序,原因是这些应用被发现投放了侵入性广告。 捷克网络安全公司Avast周一报道了这一发现,称21个恶意应用(从此处列出)从Google应用市场下载了近800万次。 这些应用伪装成无害的游戏应用,并带有HiddenAds恶意软件,该恶意软件是一个臭名昭著的木马,以在应用外部投放侵入性广告而闻名。攻击者依靠社交媒体渠道吸引用户下载应用程序。 今年6月初,Avast发现了类似的HiddenAds广告活动,其中涉及47个游戏应用程序,下载量超过1500万次,用于显示设备范围内的入侵广告。 Avast的JakubVávra说:“广告软件开发商越来越多地使用社交媒体渠道,就像普通的营销人员一样。” “这次,用户报告显示,他们的目标是在YouTube上宣传游戏的广告。” “9月份,我们看到广告软件通过TikTok传播。这些社交网络的普及使它们成为有吸引力的广告平台,也使攻击者以年轻的受众为目标。” 安装后,这些应用程序不仅会隐藏其图标以防止删除,而且还隐藏在具有相关外观的广告后面,从而使其难以识别。 此外,这些应用还可以覆盖其他应用,以显示无法跳过的定时广告,在某些情况下,甚至可以打开浏览器用广告轰炸用户。 谷歌一直在积极阻止流氓Android应用渗透到谷歌Play Store。它利用谷歌Play Protect来筛选可能有害的应用程序,并于去年与网络安全公司ESET、Lookout和Zimperium结成“App Defense Alliance”,以降低基于应用程序的恶意软件的风险。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Facebook 称伊朗黑客散布虚假信息,干扰美国选举

据报道,Facebook周二表示,伊朗黑客上周涉嫌通过电子邮件向美国选民发送威胁消息,并散布有关选举制度受到破坏的虚假信息,并在去年针对中东进行了一场虚假宣传活动。 上周,美国官员指责伊朗发送了数千封威胁性电子邮件和一个网上视频,该视频显示黑客在美国总统大选前几天就闯入了选民登记系统。 德黑兰否认了指控。 Facebook表示已暂停了一个试图在其网站分享该视频的假冒帐户。该账户引出了在Facebook和Instagram上的20多个其他账户,揭示出2019年针对以色列和沙特阿拉伯等国的散布虚假信息行动。 Facebook网络安全政策负责人纳撒尼尔·格莱歇尔(Nathaniel Gleicher)表示,新发现的帐户基本上处于不活跃状态,但此前曾试图在去年以色列“欧洲歌唱大赛”(Eurovision Song Contest)上散布有关“所谓的大屠杀”的说法。 上周三位知情人士对媒体表示,美国情报机构仍在分析具体是谁在伊朗指挥了这次行动及其意图。 格莱歇尔周二说,他的团队发现了少量技术链接,这些链接与4月份暂停的虚假信息网络有关,这归因于伊朗国家广播公司以及“与伊朗政府有关联的个人之间的联系”。 Facebook还表示,已暂停由墨西哥和委内瑞拉人开设的两个页面和22个Instagram帐户,这些帐户使用假冒身份和其他所谓的“协调一致的不真实行为”的形式来发布有关美国时事和政治的信息。 Facebook说,一些账户冒充是美国人,用西班牙语和英语发布涉及种族关系、女权主义和环境等话题的贴文。联邦调查局根据线索提示发现了这些账户。 虽然尚不清楚活动的幕后主使,但一些账户上贴有以前由俄罗斯互联网研究机构(Internet Research Agency)使用过的带有说明的图片。美国检察官表示,这家研究机构在2016年莫斯科影响美国大选中发挥了关键作用。 格莱歇尔说,这两个网络以及针对缅甸互联网用户的第三次行动,在吸引大量关注者之前都已被抓获。 但是他说,“恶意行为者”越来越多地利用人们对干预选举的担忧,试图进一步播下不信任和分裂的种子。 “我们称之为感知入侵,”他说,“这不是真正侵入一个敏感的选民数据库,或者利用一个大型的社会影响力竞选活动,只是利用了每个人的恐惧。” (消息及封面来源:新浪科技)

特朗普竞选网站遭加密货币骗子黑客攻击

据外媒TechCrunch报道,美国总统特朗普的竞选网站周二下午部分遭到黑客攻击,因为未知的对手接管了 “关于”页面,并将其替换为似乎是一个收集加密货币的骗局。尽管黑客声称,没有迹象表明实现了“对特朗普和其亲属的完全访问”,或者 “大多数内部和秘密对话严格保密的信息 ”被曝光。 这次黑客攻击似乎发生在太平洋时间10月27日下午4点之后不久。黑客很可能获得了对donaldjtrump.com网站服务器后台的访问权限,并将 “关于 “页面换成了一段长长的经过混淆的javascript,产生了一个模仿FBI “这个网站已经被查封”的信息。 “世界已经受够了总统唐纳德·特朗普每天传播的假新闻,”新网站写道。“是时候让世界知道真相了。” 黑客声称自己掌握了“新冠病毒起源”的内部信息以及其他诋毁特朗普的信息,他们提供了两个Monero地址。Monero是一种容易发送但相当难以追踪的加密货币。一个地址是给那些希望“严格保密信息 ”被公布的人的,另一个地址是给那些希望保密的人的。在一个未指定的截止日期后,加密货币的总数将被比较,较高的总数将决定如何处理这些数据。该页面用PGP公钥签署,对应一个不存在的域名(planet.gov)的电子邮件地址。 在黑客攻击发生后几分钟内,网站就恢复了原来的内容。没有证据表明捐赠者信息等任何敏感数据被访问,但在网站管理员彻底调查该事件之前,这是一个可能性。让人们不可逆地将加密货币发送到一个神秘的地址是网上常见的诈骗形式,通常依靠在名人Twitter账号等高知名度平台上短暂出现,这次也不例外。 没有任何迹象表明这次攻击是以任何方式由国家支持的。竞选和其他与选举相关的网站是黑客的高价值目标,它们并不像whitehouse.gov这样的官方网站那样安全。虽然用词似乎不是以英语为母语的人,但没有其他正面证据表明黑客来自外国。 这不是特朗普最近第一次被黑客攻击。一个猜到密码(”Maga2020!”)的安全研究人员称曾短暂接管特朗普的Twitter账号。特朗普最近表示,“没有人被黑客攻击。黑客入侵需要一个智商197的人,而他需要你密码的15%。”     (消息来源:cnbeta;封面来自网络)

Boyne Resorts 遭到 WastedLocker 勒索软件攻击

Boyne Resorts是一家经营度假活动服务的企业,WastedLocker勒索软件攻击了其网络系统,导致顾客无法进行网上预订业务。 据BleepingComputer报道,勒索软件通过添加“ .easy2lock”扩展名重命名文件,侵入了公司办公室网络并横向感染了IT系统,以至于公司被迫关闭部分网络进而防止勒索软件的传播。 7月,Smartwatch和设备制造商Garmin在遭到WastedLocker勒索软件的网络攻击后不得不关闭部分服务器。6月,安全专家报告,WastedLocker勒索软件已锁定对美国至少31个组织进行网络攻击。 NCC Group研究人员报告,经Smartwatch证实,该勒索软件由俄罗斯“Evil Corp”开发 。2019年12月,美国财政部因其造成了1亿多美元的经济损失,对Evil Corp施加制裁。美国司法部(DoJ)已指控俄罗斯公民Maksim V.(32)和Igor Turashev(38)传播了臭名昭著的 Dridex银行木马,还参与了国际银行欺诈和网络黑客计划。 美国当局禁止向WastedLocker支付赎金,这意味着如果Boyne Resorts支付赎金,就可能会受到严厉的制裁。       消息来源:securityaffairs ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。