分类: 国际动态

加拿大 MSP 披露数据泄露,勒索软件攻击失败

TrickBot的Anchor恶意软件平台已被移植为Linux感染设备,并使用秘密渠道破坏了更多具有高影响力和高价值的目标。 TrickBot是一个多功能的Windows恶意软件平台,该平台使用不同的模块执行各种恶意活动,包括信息窃取、密码窃取、Windows域渗透和恶意软件传递。 TrickBot由威胁参与者租用,他们利用威胁渗透网络并收获任何有价值的东西。然后将其用于部署Ryuk和Conti等勒索软件,以加密网络设备,作为最终攻击。 在2019年底,SentinelOne和NTT都报告了一个名为Anchor的新TrickBot框架,该框架利用DNS与命令和控制服务器进行通信。 TrickBot的Anchor框架 来源:SentinelOne   该恶意软件名为Anchor_DNS,可用于具有有价值财务信息的高价值,高影响力目标。 除了通过Anchor感染进行勒索软件部署外,TrickBot Anchor参与者还将其用作针对APT的,针对销售点和财务系统的活动的后门程序。   TrickBot的Anchor后门恶意软件已移植到Linux 从历史上看,Anchor一直是Windows的恶意软件。最近,第二阶段安全研究人员  Waylon Grange发现了一个新样本,该样本  表明Anchor_DNS已被  移植到  名为’Anchor_Linux’ 的新Linux后门版本中。 在x64 Linux可执行文件中找到Anchor_Linux字符串 来源:Waylon Grange   先进的英特尔公司的Vitali Kremez  分析了Intezer Labs发现的新型Anchor_Linux恶意软件的样本。 Kremez告诉BleepingComputer,安装后,Anchor_Linux将使用以下crontab条目将自身配置为每分钟运行: */1 * * * * root [filename] 通过CRON设置持久性 来源:Vitali Kremez   除了充当可以将恶意软件拖放到Linux设备上并执行它的后门程序之外,该恶意软件还包含嵌入式Windows TrickBot可执行文件。 嵌入式Windows可执行文件 来源:Vitali Kremez 根据Intezer的说法,此嵌入式二进制文件是一种新的轻量级TrickBot恶意软件,“具有与旧版TrickBot工具的代码连接”,用于感染同一网络上的Windows计算机。 为了感染Windows设备,Anchor_Linux将使用SMB和$ IPC将嵌入式TrickBot恶意软件复制到同一网络上的Windows主机。 成功复制到Windows设备后,Anchor_Linux将使用服务控制管理器远程协议  和名为pipe的  SMB SVCCTL将其配置为Windows服务  。 通过SMB复制文件 来源:Waylon Grange   配置服务后,恶意软件将在Windows主机上启动,并重新连接到命令和控制服务器以执行命令。 此Linux版本允许威胁参与者使用后门将非Windows环境作为目标,从而使攻击者秘密地转向同一网络上的Windows设备。 “该恶意软件在UNIX环境中充当隐蔽的后门持久性工具,被用作Windows利用的枢纽,并在电子邮件网络钓鱼之外用作非正统的初始攻击媒介。它使该组织可以定位和感染UNIX环境中的服务器(例如路由器) )并将其用于企业网络。”在与该恶意软件的对话中,Kremez告诉BleepingComputer。 更糟糕的是,许多物联网设备(例如路由器,VPN设备和NAS设备)运行在Linux操作系统上,这可能成为Anchor_Linux的目标。 随着TrickBot恶意软件的这种发展,Linux系统和IoT设备具有足够的保护和监视以检测诸如Anchor_Linux之类的威胁变得越来越重要。 对于相关的Linux用户,他们可能已被感染,Anchor_Linux将在创建日志文件/tmp/anchor.log。如果存在此文件,则应针对Anchor_Linux恶意软件的存在对系统执行完整的审核。 Kremez告诉BleepingComputer,他相信Anchor_Linux仍在开发中,这是因为要测试Linux可执行文件中的功能。 预计TrickBot将继续发展,使其成为Anchor框架的全功能成员。   消息来源:Bleepingcomputer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧盟首次以网络攻击为由,制裁中国、朝鲜、俄罗斯

周四,欧盟宣布,对来自俄罗斯和中国的开展或参与各种所谓“网络攻击”的6名个人和3个实体实施制裁,此外,欧盟还表示已锁定俄罗斯军事情报的特殊技术部门,也就是俄罗斯联邦武装力量总参谋部情报总局GRU。 此次受制裁的3个组织分别是俄罗斯的GRU、朝鲜的Chosun Expo公司以及中国的海泰科技发展有限公司。 这是欧盟首次进行与网络攻击相关的制裁活动。制裁措施包括实施旅行禁令、冻结资产,同时禁止欧盟人员和实体向被制裁对象提供资金。 事实上,此前欧盟就因“中国对待香港的方式”而对中国实施制裁,以此向特朗普政府相对强硬的对华立场进一步靠拢。 而欧盟外交与安全政策高级代表博雷利曾发声,认为美国越来越多地针对欧洲企业使用制裁手段或以制裁相威胁的做法会损害欧洲利益。“欧盟反对第三国对欧洲公司合法经营实施制裁,这种’域外制裁’违反国际法。”但显然,时隔仅半个月,欧盟也选择了网络制裁工具。 此外,对于此次部分中国的个人和实体被制裁,驻欧盟使团发言人坚定发声:中国是网络安全的坚定维护者,也是黑客攻击的最大受害国之一,始终依法打击一切形式的网络黑客攻击行为。我们也一贯主张,国际社会应当在相互尊重、平等互利的基础上,通过对话合作共同维护网络空间的安全,反对动辄诉诸单边制裁措施。(来自新京报)     (稿源:Freebuf,封面源自网络。)

逾千名 Twitter 员工拥有内部权限:可协助黑客入侵帐号

新浪科技讯 北京时间7月23日早间消息,据外媒报道,两位Twitter前员工透露,截至今年早些时候,共有1000多名Twitter员工和承包商可以使用内部工具更改用户帐号设置,并将控制权提供给他人。这使得防范上周的大规模黑客攻击变得更加困难。 Twitter和美国联邦调查局正在调查这起黑客入侵案件。在此次入侵中,黑客可以反复通过认证帐号发送推文,其中包括美国民主党总统候选人乔·拜登(Joe Biden)和亿万富豪比尔·盖茨(Bill Gates)等。 Twitter上周六表示,黑客“操纵了少量员工帐户,使用他们的证书”登录了工具,并获取了45个帐号的权限。他们还在周三表示,黑客可以读取36个帐号的私信,但并未披露具体受影响的帐号。 熟悉Twitter安全政策的前员工表示,有很多人具备这种权限,截至2020年早些时候甚至超过1000人,其中也包括高知特等承包商。 Twitter拒绝对这一数字发表评论,也不肯透露具体数字是否在此次被黑事件发生前有所下降。但该公司表示,他们正在物色新的安全主管,希望加强系统安全,并培训员工防范外部攻击。 高知特也未对此置评。(樵夫)     (稿源:新浪科技,封面源自网络。)

Twitter:黑客在上周的入侵中访问了 36 个账户的直接信息

Twitter正在继续调查上周苹果和其他知名人士和公司的Twitter账户被比特币骗子黑客入侵的安全漏洞。当地时间周三这家社交媒体公司证实,黑客访问了36个Twitter账户的直接信息(Direct Messages )。 Twitter此前表示,在此次黑客攻击中没有密码被盗,这是一次针对Twitter员工的 “协调性社会工程攻击”。黑客能够获得员工凭证,利用这些信息访问Twitter的内部系统,包括绕过双因素认证保护。 内部工具被用来攻击130个账户,对于其中的45个账户,黑客启动了密码重置,并完全可以进入该账户发送推文。对于其中的8个Twitter账户,攻击者通过“你的Twitter数据”工具下载了账户信息,该工具提供了Twitter账户的详细信息和活动情况,但以这种方式为目标的8个账户都不是经过验证的账户。 在被入侵的130个账户中,包括特斯拉CEO埃隆·马斯克、美国前总统奥巴马、微软联合创始人比尔·盖茨、亚马逊CEO杰夫·贝佐斯、总统候选人乔·拜登等人的账户,黑客能够看到电子邮件地址和电话号码等个人信息,对于一些被接管的账户,还能获得更多信息。 Twitter没有提供具体细节,说明36个账户中哪些账户的直接信息被入侵,但黑客确实访问了荷兰一名民选官员的直接信息。没有其他前任或现任民选官员的DM被访问。 Twitter正在与受影响的账户持有人直接沟通,并进一步保护其系统安全,以防止未来的攻击。作为阻止类似事情再次发生的努力的一部分,Twitter正在全公司范围内推出额外的培训,以防范社交工程策略。     (稿源:cnBeta,封面源自网络。)

Twitter 怕再遭调查 主动向欧盟报备黑客攻击事件

新浪科技讯 北京时间7月22晚间消息,据国外媒体报道,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向欧盟数据保护机构报备该事件。 欧盟数据保护机构“爱尔兰数据保护委员会”(DPC)发言人格雷厄姆·多伊尔(Graham Doyle)今日称,该监管机构已收到关于这一事件的通报。DPC是Twitter和其他美国科技公司在欧盟的主要监管机构,因为这些公司的欧洲总部都设在爱尔兰。 当前,Twitter正在努力应对这一最严重的安全事故。Twitter上周三晚间宣布,黑客通过获得Twitter员工凭证的控制权,劫持了包括民主党总统候选人乔·拜登(Joe Biden)、前总统巴拉克·奥巴马(Barack Obama)、真人秀明星金·卡戴珊(Kim Kardashian)和科技亿万富豪兼特斯拉创始人埃隆·马斯克(Elon Musk)在内的账户。 Twitter随后又表示,黑客此次共锁定130个帐号,通过重置密码控制了其中的45个账号,并通过它们发布了“推文”(Twitter消息)。另外,Twitter还证实,攻击者成功地操纵了一小部分内部员工,并利用他们的凭证访问Twitter的内部系统。 2018年5月,欧盟新的数据隐私法规《通用数据保护条例》(GDPR)正式生效。同年10月,Twitter就在欧洲遭到了有关用户数据跟踪的调查。这也是GDPR生效之后,Twitter首次遭遇调查。(李明)     (稿源:新浪科技,封面源自网络。)

Coinbase 称阻止了 1100 余名顾客跟 Twitter 黑客的交易

据外媒报道,加密货币交易公司Coinbase表示,其近日阻止了1100多名客户向Twitter黑客发送比特币。上周,这些黑客劫持了一些知名账户以此来宣传一场比特币骗局。Coinbase首席信息安全官Philip Martin告诉《福布斯》,如果Coinbase不采取这一措施,那么这些客户将总共会向黑客发送30.4比特币(目前价值约合27.8万美元)。 值得注意的是,这个金额是黑客通过受害者收集到的实际金额(12.1万美元)的两倍多。 Martin表示,尽管Coinbase采取了行动,但它的14名客户仍成为了骗局的受害者,在将其地址列入黑名单之前他们向黑客发送了价值约3000美元的比特币。 报告显示,Gemini、Kraken和Binance的用户也尝试过向这些地址发送比特币,但数量没Coinbase的多。所有这些交易所都在骗局曝光后立即采取行动封锁了这些地址。 据悉,这场影响广泛的攻击于美国当地时间周三发生在Twitter上,受到影响的名人包括前美国总统巴拉克·奥巴马、微软联合创始人比尔·盖茨和特斯拉CEO埃隆·马斯克等等。 区块链分析公司称,一些被盗的比特币已经被转移到了一些交易所和像芥末钱包(Wasabi Wallet)等这样的混合比特币商家。 Elliptic联合创始人兼首席科学家Tom Robinson告诉The Block:“我们可以看到非常少量的数据流向已知的、受监管的加密交换系统。”不过出于保密原因,他拒绝透露交易所的名字。但Robinson进一步表示,2.89比特币(占总金额的22%)被送到了芥末钱包中。 另一家区块链分析公司Whitestream告诉The Block,其中一个黑客的地址已经跟至少三个加密货币平台进行过交易。Whitestream联合创始人兼首席执行官Itsik Levy告诉The Block:“我们可以看到,一个地址跟数个数字货币支付处理器(CoinPayments,Coinbase,BitPay)相关的地址进行了联系。” 事实上,BitPay的一位发言人向The Block证实,在2020年5月,它的一个商户从一个Twitter黑客的地址汇出了25美元,而作为BitPay标准流程和程序的一部分,他们正在将可获得的细节信息风险给包括执法部门在内的相关方。 CoinPayments拒绝就此事置评,Coinbase也没有回复置评请求。 另一方面,Blockchain Intelligence Group表示,一些被盗的比特币被送到了Binance。 事实上,Binance的一位发言人向The Block证实–“一小部分比特币(相当于大约10美元)被发送到了Binance核心钱包的地址。看来他们(黑客)的举动是为了迷惑区块链的研究人员。” 此外,根据The Block Research获取的信息,被Kraken和Binance收购的印度加密货币交易所WazirX也收到了部分被盗的比特币。     (稿源:cnBeta,封面源自网络。)

英美加称俄罗斯情报机构正试图窃取新冠疫苗研究成果

英国、美国和加拿大政府指控俄罗斯国家情报机关以黑客方式入侵国际制药和学术研究机构,以期赢得研制Covid-19疫苗的竞赛。 目前尚不清楚研究机构是否受损,或疫苗项目是否因黑客行动受阻,但上述国家官员警告说网络攻击仍在进行中。 英国国家网络安全中心(NCSC)周四在一份出人意料的声明中表示,多个国家的疫苗和治疗部门成为攻击目标。但该机构没有列出受此影响的机构名称及数量。 英国指,实施黑客入侵的组织名为APT29,称其“几乎可以肯定”是俄罗斯国家情报部门的组成部分。该小组还被称为Cozy Bear或The Dukes,针对英国、美国和加拿大的疫苗研发组织。 NCSC称,恶意活动一直在进行,主要针对政府、外交、智囊机构、卫生和能源目标,旨在窃取有价值的知识产权。 俄罗斯否认涉及任何针对新冠病毒疫苗的黑客活动。克里姆林宫发言人Dmitry Peskov对彭博说:“我们不知道什么人可能黑入了制药公司和研究中心。我们只能说,俄罗斯与这些企图毫无关联。”     (稿源:新浪财经,封面源自网络。)

Twitter 公布最新调查进展:大约有 130 个账号遭到攻击

针对本周较早时候发生的大规模黑客入侵事件,推特在最新推文中持续更新了调查情况。在推文中表示大约有 130 个账号遭到攻击,而且这些被攻击的账号中有少部分账号被攻击者完全控制,然后通过这些账号发送推文。 推特表示目前正和受影响的账户进行交流的同时,在接下来几天中还将会继续展开本次事件的调查工作。推特将继续评估与这些帐户相关的非公开数据是否遭到破坏,如果确定发生了非公开数据,则会提供更新。 在调查期间,所有账号的下载推特数据选项依然是禁用的。此外推特还采取了多项积极措施来保护推特用户的账号安全。目前推特正在评估可能采取的长期措施,并会尽快分享更多细节。 美国中部时间 2020 年 7 月 15 日 14:00 左右,多个大 V 的推特账户出人意料地发布了有关比特币的消息,此事很快引发了许多网友和 Twitter 官方安全团队的警惕。 这些疑似被劫持的账号不约而同地宣称将以品牌或个人的名义向网友赠送比特币以“回馈社区”,但前提是先让网友将特定数量的比特币发送到给定的钱包地址,然后他们才会“双倍奉还”。 在一段相当混乱的时间内(半小时或更长时间),多个大 V 账号都被卷入了这场突如其来的比特币骗局。美国中部时间 16:45 左右,Twitter 官方支持账号终于对此事给予了回应。     (稿源:cnBeta,封面源自网络。)

Twitter 在黑客攻击前加紧寻找填补最高安全职位的人选

据路透社消息,Twitter公司最近几周加大了寻找首席信息安全官的力度,两位知情人士告诉路透社记者,周三发生的名人账户被入侵事件引起了人们对该平台安全性的警惕。美国联邦调查局旧金山分部正在领导对Twitter黑客事件的调查,它在一份声明中说,更多的华盛顿立法者要求对事件的发生进行说明。 执法机构表示,黑客在夺取了包括乔·拜登、金·卡戴珊、贝拉克·奥巴马和埃隆·马斯克在内的名人和政治人物的Twitter账户控制权后,实施了加密货币欺诈。漏洞发生一天后,虽然Twitter表示没有证据表明攻击者能够获取密码,但尚不清楚黑客是否能够看到账户持有人发送的私人信息。 该公司在一份声明中表示,正在继续锁定过去一个月内更改过密码的账户,但表示 “我们相信这些被锁定的账户中只有一小部分被泄露。” Twitter拒绝对寻找首席信息安全官人选一事发表评论。 为了表明这次攻击事件让美国立法者多么不安,民主党和共和党都表现出罕见的两党共识,即Twitter必须更好地解释安全漏洞是如何发生的,以及它正在采取什么措施来防止未来的攻击。“这次黑客攻击对11月的投票来说是个不祥之兆,”美国民主党参议员Richard Blumenthal在一份声明中说,他斥责Twitter “屡次出现安全漏洞,未能保障账户安全”。 众议院司法委员会的共和党议员Jim Jordan也有类似的看法,他问道,如果Twitter允许类似事件在11月2日,即美国总统大选前一天发生,会发生什么情况。 Jordan说,截至周四下午,他的推特账号仍被锁定。 白宫发言人Kayleigh McEnany表示,美国总统特朗普是一位经常发布推文的Twitter用户,他计划继续发推文,他的账户在攻击期间没有受到危害。她表示,白宫“在过去18小时内一直与Twitter保持联系”,以保证特朗普Twitter账号的安全。 Twitter表示,黑客的目标是能够进入其内部系统的员工,并 “利用这一权限控制了许多备受瞩目的(包括经过验证的)账户”。 其他被黑客攻击的名人账户包括说唱歌手“侃爷”坎耶·韦斯特、亚马逊公司创始人杰夫·贝佐斯、投资人沃伦·巴菲特、微软公司联合创始人比尔·盖茨(Bill Gates),以及Uber和苹果公司的企业账户。 这家自12月以来一直没有安全主管的公司表示,黑客对其员工进行了 “协调的社会工程攻击”。一些从外部研究此次黑客攻击的安全专家认为,可能有多个参与者参与其中。他们的理论是,对员工工具的访问,本应受到更严密的监控,但却在为了炫耀权利或金钱而对声望账户感兴趣的人中传播。它可能会进一步传播。 在调查此次事件的过程中,Twitter采取了一项非常措施,暂时阻止了许多经过验证的账号发布消息。这些被劫持的账户在Twitter上发布消息,告诉用户发送比特币。公开的区块链记录显示,明显的诈骗者收到了价值超过10万美元的加密货币。 截至周四,Twitter仍在继续屏蔽包含骗子所使用的比特币地址的推文。Facebook公司周三似乎在其Messenger服务上临时启用了类似的安全功能,但没有回应关于其是否也成为攻击目标的询问。 Twitter首席执行官杰克·多西周三表示,这对Twitter的每个人来说都是“艰难的一天”,并承诺 “当我们对具体发生的事情有了更全面的了解后,我们将分享一切”。多西的保证并没有缓解华盛顿对社交媒体公司的担忧,这些公司的政策受到了左派和右派批评者的审查。 担任众议院能源和商务委员会主席的民主党人Frank Pallone表示,该公司需要解释黑客事件是如何发生的。而美国众议院情报委员会就黑客事件与Twitter进行了接触。   (稿源:cnBeta,封面源自网络。)

Twitter 否认用户密码在攻击中泄露 但仍在恢复相关帐号

新浪科技讯 北京时间7月17日早间消息,据外媒报道,Twitter表示,在周三针对该公司内部工具的大规模攻击中,“没有证据”表明用户的密码被盗,不过Twitter仍在努力恢复对被锁定帐号的访问。Twitter在周四下午发布的一系列消息中分享了相关进展。 在此次攻击中,攻击者劫持了Twitter上的多个大号,包括美国前总统奥巴马、前副总统拜登、埃隆·马斯克、比尔·盖茨和坎耶·韦斯特,并发布比特币骗局。Twitter周三决定锁定多个账号,以防止进一步损失。在周四发布的Twitter消息中,关于为什么要锁定这些帐号,Twitter公布了更多细节。 Twitter表示:“出于高度谨慎,同时作为我们昨天保护用户安全的响应措施的一部分,我们锁定了所有在过去30天内尝试改密码的帐号。”不过,即使帐号被锁定,也“并不一定意味着”帐号的密码泄露。Twitter认为,实际上只有“一小部分”被锁定的帐号受到影响。 Twitter表示,正“尽快”恢复相关帐号的访问权限,但可能还需要更多时间。 尽管Twitter认为密码没有泄露,但目前尚不清楚,攻击者是否能获取相关帐号的私信消息。除锁定一些帐号以外,Twitter还在黑客攻击的几小时内,彻底禁用了所有加v帐号发布消息的功能。不过,在设置限制的情况下,加v帐号仍可以转发现有消息。 Twitter周三发布消息称,该公司的内部工具在此次攻击中被攻破。在周三晚的一条消息中,Twitter表示:“我们相信,我们探测到协同社交工程攻击。攻击成功将我们的一些员工作为目标,这些员工拥有内部系统和工具的权限。”匿名的消息人士表示,Twitter员工帮助他们获得了帐号,其中一人称,他们向Twitter员工付钱以获得帮助。(维金)     (稿源:新浪科技,封面源自网络。)