分类: 今日推送

黑客正在出售数百名 C-level 高管的电子邮件账户和密码

目前,一个威胁行为者正在出售全球数百家公司的C-level高管的电子邮件账户密码。ZDNet本周获悉,这些数据正在一个名为Exploit.in的俄语黑客封闭式地下论坛上出售。 威胁行为者正在出售Office 365和微软账户的电子邮件和密码组合,他声称这些数据由占据职能的高级管理人员拥有,如: CEO–首席执行官 COO – 首席运营官 CFO – 首席财务官或首席财务总监 CMO – 首席营销官 CTO – 首席技术官 主席 副总裁 行政助理 财务经理 会计师 理事 财务总监 财务主任 付账人员 访问这些账户的价格从100美元到1500美元不等,这取决于公司规模和用户的角色。 一位同意与卖家联系以获取样本的网络安全界人士证实了数据的有效性,并获得了两个账户的有效凭证,这两个账户分别是一家美国中型软件公司的CEO和一家欧盟连锁零售店的CFO。 该消息人士要求ZDNet不要使用其名字,正在通知这两家公司,同时也在通知另外两家公司,卖家公布了这两家公司的账户密码,作为他们拥有有效数据的公开证明。 这些是英国一家企业管理咨询机构高管的登录信息,以及美国一家服装和配件制造商总裁的登录信息。 卖家拒绝分享他是如何获得登录凭证的,但表示他还有数百个登录凭证可以出售。 根据威胁情报公司KELA提供的数据,同一威胁行为者此前曾表示有兴趣购买 “Azor日志”,这个术语指的是从感染AzorUlt信息窃取者木马的计算机上收集的数据。信息窃取者日志几乎总是包含木马从安装在受感染主机上的浏览器中提取的用户名和密码。 这些数据往往是由信息窃取者运营商收集的,他们会对这些数据进行过滤和整理,然后在Genesis等专门市场、黑客论坛上出售,或者他们将这些数据卖给其他网络犯罪团伙。 “被篡改的企业电子邮件凭证对网络犯罪分子来说很有价值,因为它们可以以许多不同的方式被货币化,”KELA产品经理Raveed Laeb告诉ZDNet。 “攻击者可以将它们用于内部通信,作为‘CEO骗局’的一部分–犯罪分子操纵员工向他们汇入大笔资金;它们可以被用来访问敏感信息,作为敲诈计划的一部分;或者,这些凭证也可以被利用,以便访问需要基于电子邮件的2FA的其他内部系统,以便在组织中横向移动并进行网络入侵,”Laeb补充道。 但是,最有可能的是,这些被泄露的电子邮件将被购买和滥用,用于CEO诈骗或商业电子邮件攻击(BEC)诈骗。根据FBI今年的一份报告,到目前为止,BEC诈骗是2019年最流行的网络犯罪形式,已占去年报告的网络犯罪损失的一半。 防止黑客将任何类型的窃取凭证货币化的最简单方法是为您的在线账户使用两步验证(2SV)或双因素认证(2FA)解决方案。即使黑客设法窃取登录信息,如果没有适当的2SV/2FA附加验证器,这些信息也将毫无用处。         (消息来源:cnBeta;封面来源于网络)

COVID19 疫苗制造商阿斯利康公司疑似遭遇朝鲜黑客攻击

两名知情人士告诉路透社记者,最近几周,疑似朝鲜黑客试图入侵英国制药商阿斯利康公司的系统,因为该公司正在部署COVID-19疫苗。消息人士称,这些黑客在社交网站LinkedIn和WhatsApp上冒充招聘人员,以虚假的工作机会接近阿斯利康员工。然后,他们发送了自称是工作描述的文件,这些文件中掺杂着恶意代码,旨在获取受害者电脑的访问权限。 其中一名消息人士说,黑客针对的攻击对象广泛,包括从事COVID-19研究的工作人员,但据认为攻击没有成功。朝鲜驻日内瓦联合国代表团没有回应置评请求。平壤此前一直否认实施网络攻击。已成为COVID-19疫苗三大研发商之一的阿斯利康公司拒绝发表评论。研究浙这次攻击的安全人员认为,此次攻击中使用的工具和技术表明,黑客来自于朝鲜。 据三名曾调查过攻击事件的人士称,该活动此前主要针对国防公司和媒体机构,但最近几周转而针对COVID-19相关目标。在COVID-19大流行期间,由于国家支持的黑客组织和犯罪黑客组织争相获取有关疫情的最新研究和信息,针对卫生机构、疫苗科学家和制药商的网络攻击激增。任何被盗的信息都可能被出售以获取利润,用于敲诈受害者,或者给外国政府提供宝贵的战略优势,因为全球政府都在努力遏制一种已经导致全球140万人死亡的疾病。 微软本月表示,它已经看到两个朝鲜黑客组织针对多个国家的疫苗开发者发动攻击。韩国政府上周五表示,该国情报机构挫败了其中一些企图。路透社此前曾报道,黑客今年曾试图入侵领先的制药商甚至世界卫生组织。其中一位消息人士说,在对阿斯利康的攻击中使用的一些账户使用了俄罗斯的电子邮件地址,可能是为了误导调查人员。 朝鲜一直被美国检察官指责发动了世界上一些最大胆和最具破坏性的网络攻击,包括2014年索尼影业黑客攻击和电子邮件泄露,2016年孟加拉国中央银行8100万美元盗窃,以及2017年释放Wannacry勒索病毒。         (消息来源:cnBeta;封面来源于网络)

黑客勒索曼联:不给钱不让进系统 英国政府帮忙也没辙

据英国媒体报道,曼联俱乐部上周遭到了黑客攻击,黑客控制了俱乐部的计算机系统,导致工作人员无法接入网络。英国国家网络安全中心(NCSC)已经介入提供技术援助。在媒体曝光之后,曼联俱乐部承认自己遭到了黑客攻击,但却表示“没有发现任何球迷和消费者个人数据泄露的情况”。 曼联发言人今天再次重申,球迷数据目前尚未遭受影响。“在近期遭受网络攻击之后,俱乐部的IT部门和外部专家正在加固网络,进行司法调查。……此次攻击是破坏性的,但目前没有发现球迷数据遭受影响。老特拉福德球场的关键系统依然安全,球赛也照常进行。” 在遭受黑客攻击之后,曼联俱乐部已经通知了英国信息主管部门。他们之所以要强调球迷数据的原因是,按照英国法律,即便是黑客攻击导致消费者数据泄露,被攻击目标依然要承担责任,甚至要面临处罚。此前订票网站Ticketmaster在2018年遭受黑客攻击,用户数据泄露,他们最后收到了125万美元的罚金。 英国国家网络安全中心的数据显示,过去一年英国已经报告了700多次网络攻击事件。而在这些网络攻击事件中,勒索攻击在不断增加,即黑客锁定攻击对象的计算机系统,要求支付赎金之后才解锁。曼联俱乐部遭受的就是勒索攻击。或许黑客对曼联计算机系统的球迷数据并没有兴趣,只是想从红魔勒索一笔钱。曼联也是全球豪门俱乐部中第一个遭受勒索攻击的。 勒索攻击在美国更加猖獗,企业、大学、医院、政府机构都曾经被黑客锁定计算机系统,要求支付比特币赎金之后才肯解锁。底特律市政府、加州大学伯克利分校、洛杉矶长老会医院都曾经被黑客勒索,疯狂的黑客甚至连美国的警察局都不放过。 尽管英国国家网路安全中心已经提供了技术帮助,但直到今天(11月26日),曼联工作人员依然无法进入自己的工作邮件系统。曼联拒绝对外透露黑客的勒索金额。但据英国《每日邮报》报道,黑客要求得到数百万英镑。         (消息及封面来源:新浪科技)

cPanel 和 WHM 软件中存在双因素身份验证绕过漏洞

cPanel是管理web托管的流行管理工具的提供商,它修补了一个安全漏洞,该漏洞可能允许远程攻击者访问有效凭据,绕过帐户的两因素身份验证(2FA)保护。 该问题被称为“seco -575”,由Digital Defense研究人员发现,该公司在软件的11.92.0.2、11.90.0.17和11.86.0.32版本中对其进行了修复。 cPanel和WHM(Web主机管理器)提供了一个基于Linux的控制面板,供用户处理网站和服务器管理,包括添加子域、执行系统和控制面板维护等任务。到目前为止,使用cPanel的软件套件在服务器上启动了超过7000万个域。 该问题源于在登录期间2FA缺乏速率限制,从而使得攻击者能够使用暴力方法反复提交2FA代码并绕过身份验证检查。 Digital Defense研究人员表示,这种攻击可以在几分钟内完成。 “双因素身份验证cPanel安全策略没有阻止攻击者重复提交双因素身份验证代码,”cPanel表示,“这使得攻击者能够使用暴力技术绕过双因素身份验证检查。” 为了解决这个问题,该公司在cPHulk蛮力保护服务中加入了速率限制检查,如果2FA代码验证失败,就会被视为登录失败。 这已经不是第一次因为没有限制速率而引发严重的安全问题了。 早在今年7月,视频会议应用Zoom修复了一个安全漏洞,该漏洞可能使潜在攻击者破解用于在平台上保护私人会议的数字密码,并监听参会者。 我们建议cPanel的用户使用补丁来降低与该漏洞相关的风险。           消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

美国最大连锁生育诊所宣称遭遇黑客勒索攻击 数据被盗

美国最大连锁生育诊所之一的U.S. Fertility已经确认遭到勒索软件攻击并且数据被盗。该公司成立于5月,由Shady Grove Fertility和主要投资于医疗领域的私募股权公司Amulet Capital Partners合作成立,前者在美国东海岸拥有数十家生育诊所。作为一家合资企业,U.S. Fertility目前宣称在美国各地拥有55家诊所。 U.S. Fertility在一份声明中表示,黑客在9月14日发动勒索攻击之前,在其系统中活动了一个月时间,获得了数量有限的文件。这是一种常见的数据窃取勒索技术,它在加密受害者的网络之前窃取数据以获取赎金。如果不支付赎金要求,一些勒索组织就会在其网站上公布被盗文件。 U.S. Fertility表示黑客在攻击中盗取了一些个人信息,如姓名和地址。一些患者的社会安全号码也被黑客盗走。U.S. Fertility表示,这次攻击可能涉及受保护的健康信息。根据美国法律,这些信息可能包括一个人的健康或医疗状况信息,如测试结果和医疗记录等。U.S. Fertility没有说明为何要花两个多月的时间才公开披露这起黑客袭击事件,但表示,其披露时间并非应执法部门的要求而延迟。 这是最新一起针对医疗行业的攻击事件。9月,美国最大医院系统之一环球医疗服务公司(Universal Health Services)遭到Ryuk勒索软件袭击,迫使一些受影响急诊室关闭,并将病人拒之门外。最近几个月,其他几家生育诊所也遭到了勒索软件的攻击。       (消息来源:cnBeta;封面来自网络)

0patch 发布免费补丁:修复 Windows 7 中的本地提权漏洞

Windows 7 尽管已经停止支持,但全球依然有数百万人在使用它。本月初,一位安全研究人员在 Windows 7 和 Windows Server 2008 R2 上发现了本地提权漏洞。虽然尚不清楚微软是否会为付费扩展支持用户提供补丁修复,但肯定的是当前仍在使用 Windows 7 的普通用户依然非常容易受到攻击。 不过为了修复这个漏洞,第三方补丁服务团队 0patch 发布了适用于 Windows 7 和 Windows Server 2008 R2 的免费补丁,能够保护数百万台仍运行这些系统的设备免受该漏洞的影响。 值得注意的是,本次 0patch 发布的微型补丁并不仅仅提供给那些付费用户,任何有需求的用户都可以免费下载。发现安全漏洞的安全研究员 ClémentLabro 分享了此发现的详细信息,0patch 巧妙地总结了这一发现: Clément 为 Windows 编写了一个非常有用的权限检查工具,该工具可以发现 Windows 中的各种错误配置,这些错误配置可能允许本地攻击者提升其特权。在典型的 Windows 7 和 Server 2008 R2 计算机上,该工具发现所有本地用户都对两个注册表项具有写权限: HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper 这些似乎无法立即被利用,但是克莱门特做了很多工作,发现可以使Windows性能监视机制从这些键中读取-并最终加载本地攻击者提供的DLL。 简单来说就是,计算机上的本地非管理员用户只需在上述键之一中创建一个Performance子键,并用一些值填充它,然后触发性能监控,这将导致本地系统WmiPrvSE.exe进程加载攻击者的DLL并执行代码。         (消息来源:cnBeta;封面来自网络)

百度搜索和地图应用被 Google Play 商店下架 回应称并非因数据收集问题

在美国网络安全公司 Palo Alto Networks 报告发布后,谷歌随机对两款来自百度的 Android 应用展开了调查。报告称百度搜索框和地图应用内含收集用户信息的代码,而谷歌也在 2020 年 10 月将之从 Play 商店下架。不过上周,百度搜索框再次出现在了广大用户的面前。 具体说来是,Palo Alto Networks 称数据收集代码存在于百度推送 SDK 中,用于在两款 App 内显示实时通知。然而数据收集行为研究员 Stefan Achleitner 和 Xuchengcheng 指出: “该代码会收集包括电话型号、MAC 地址、运营商信息、国际移动订阅用户身份(IMSI)等在内的详细信息。 Achleitner 和 Xu 补充道,尽管这种行为看似无害,但诸如 IMSI 代码之类的数据,仍可被用于精准识别和追踪用户,即使该用户切换到了另一设备也无解。” 一方面,尽管向谷歌报告了此事,但尴尬的是,该公司的 Android 应用政策并未特别禁止收集个人用户的详细信息。 不过另一方面,Play 商店安全研究团队还是在两次调查中发现了百度 App 的其它未指明的违规情况,最终导致两款 App 于 2020 年 10 月 28 日被官方应用商店下架。 “百度发言人在今日的一封电子邮件中称,最初报告提到的数据收集行为引发了谷歌团队的调查,但这并不是两款 App 被 Play 商店下架的原因,因为该公司已从用户那里获得了收集此类信息的许可。 与此同时,百度团队表示正在努力解决谷歌发现的其它问题。截止发稿时,百度搜索框应用已经重返 Play 商店,而地图应用也会在修复相关问题后尽快回归。” 10 月下架之前,两款百度 App 的下载量总计超过了 600 万。此外 Palo Alto Networks 研究人员在中国广告技术巨头 MobTech 开发的 ShareSDK 中发现了类似的数据收集代码。 Achleitner 和 Xu 表示,该 SDK 已被 37500 多款应用程序使用,且允许开发者收集包括电话型号、屏幕分辨率、MAC 地址、Android ID、广告 ID、运营商 / IMSI / IMEI 等在内的个人信息。 显然,这类事件并非孤立发生,而是围绕 Android 生态的一个老大难问题。       (消息来源:cnBeta;封面来自网络)

Egregor 勒索软件使用 Cobalt Strike 和 Rclone 进行持续性攻击

Egregor勒索软件是Sekhmet恶意软件家族的一个分支,该家族自2020年9月中旬以来一直处于活跃状态。勒索软件以危害组织,窃取敏感用户数据,加密数据,并要求勒索交换加密文件的方式运作。Egregor是一种勒索软件,它与针对GEFCO、Barnes&Noble、Ubisoft和其他许多公司的网络攻击有关。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1409/           消息及封面来源:SentinelLABS,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

TMT 网络犯罪集团三名成员在尼日利亚被捕

据国际刑警组织周三报道,三名涉嫌参与一个网络犯罪集团的尼日利亚人在尼日利亚首都拉各斯被捕,该集团在全球范围内使数万人受害。安全公司Group-IB在一份披露参与调查的报告中称,这三名嫌疑人是他们自2019年以来一直追踪的TMT网络犯罪集团的成员。 Group-IB表示,该集团主要通过发送大量含有恶意软件文件的电子邮件垃圾邮件活动进行运作。 为了发送他们的电子邮件垃圾邮件,该团伙使用Gammadyne Mailer和Turbo-Mailer电子邮件自动化工具,然后依靠MailChimp追踪收件人受害者是否打开了他们的邮件。 这些文件附件中掺杂着各种恶意软件,使黑客能够进入受感染的电脑,并从那里集中窃取浏览器、电子邮件和FTP客户端的证书。 Group-IB表示,该组织 “完全依靠各种公开的”恶意软件,如AgentTesla、Loky、AzoRult、Pony、NetWire等,这些恶意软件都可以免费下载或在地下论坛上廉价出售。 一旦黑客获得了凭证,TMT集团就会从事商业电子邮件欺诈 (BEC) ,这是一种在线诈骗,他们会试图欺骗公司向错误的账户付款–由该集团成员控制。 TMT集团用多种语言发送电子邮件垃圾邮件,并成功感染了美国、英国、新加坡、日本、尼日利亚等国的公司。 虽然调查仍在进行中,但国际刑警组织和Group-IB表示,他们能够追踪到超过5万个被该组织恶意软件感染的组织。据国际刑警组织称,总共有150多个国家的50多万家政府和私营企业收到了该组织的电子邮件。 Group-IB表示,该集团是由多个小的子集团组织起来的,它们共同合作,TMT的许多成员仍然在逃。Group-IB发言人表示,这个组织并不是AdvIntel 2019年报告中提到的那个TMT组织(是REvil勒索软件的主要传播者之一)。         (消息及封面来源:cnBeta)

Stantinko 僵尸网络正在瞄准 Linux 服务器以隐藏代理

至少自2012年以来,一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标,目前已将目光投向了Linux服务器。 Intezer的分析报告指出,该木马伪装成Linux服务器上常用的HTTPd程序,它是一个新版本恶意软件,被跟踪为Stantinko。 早在2017年,ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络,它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件,安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器,以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件,但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解,特别是同一恶意软件(v1.2)的较新版本(v2.17),称为“httpd”,其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后,“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件,并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上,然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求,则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出,新版恶意软件只起到代理的作用,新变种与旧版本共享多个函数名,一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件,这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”