分类: 恶意软件

布里斯托尔机场大屏被勒索软件攻占 耗时2天终于恢复

因机场网络内多台电脑受到恶意勒索软件攻击,布里斯托尔机场(Bristol Airport)在经历了长达两天的宕机之后所有航班信息屏终于恢复正常。本次网络袭击事件发生于上周五早晨,显示航班信息的大屏幕上显示需要支付赎金才能解锁。布里斯托尔机场方面并未就此向黑客妥协,拒绝支付赎金,所有受影响的系统全部都被拆除,而且必须由机场的IT管理人员进行手动恢复。 在勒索软件攻击期间,机场的工作人员不得不使用白板以及海报等方式显示到达的航班以及登机信息。布里斯托尔机场官方推文称:“数字屏上的实时航班信息目前已经完成了核心区域的修复,不过目前在我们上仍未完成。航班不受该技术问题影响,对于给您带来的任何不便,我们深表歉意。”   稿源:cnBeta,封面源自网络;

研究人员发现了具有僵尸网络功能勒索功能和挖掘加密货币功能的新蠕虫

Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。正如Unit 42所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。 据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB,并要求比特币赎金恢复数据。 另一方面,Xbash的加密货币挖掘和自传播模块旨在使用未修补的Hadoop,Redis和ActiveMQ数据库中的已知漏洞来破坏Windows系统。此外,Xbash具有自我传播的能力,类似于Petya / NoPetya和WannaCry的能力,以及尚未启用的传播功能集合,但可以使其在企业或家庭网络中快速传播。 Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能,所有这些功能都会模糊其恶意行为,以防止反恶意软件工具检测到它。Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金。   稿源:cnBeta,封面源自网络;

微软将防病毒软件添加到 Office 应用程序以解决宏恶意软件问题

微软已将所有Office应用程序与防病毒软件集成,以防止出现宏恶意软件攻击。该公司正在使用反恶意软件扫描接口(AMSI)来处理嵌入在文档中的VBA宏。最近,我们报道了黑客如何使用微软Excel文档来执行CHAINSHOT恶意软件攻击。这些类型的攻击越来越普遍,黑客可以轻松访问受害者的计算机。 各种防病毒公司已经添加了新的AMSI接口,以防止通过恶意JavaScript,VBScript和PowerShell进行攻击。当调用潜在的高风险函数或方法时,Office会暂停宏的执行,并通过AMSI接口请求扫描到那时记录的宏行为。 微软未来指出,解决方案可能并不完美,但好过什么话也没有。也就是说,由于微软正在使用ATP和WindowsDefender,因此可以共享结果并阻止新的威胁。默认情况下,在支持VBA宏的所有Office 365应用程序中启用Office AMSI集成,包括Word,Excel,PowerPoint和Outlook。微软将扫描所有宏,除非它们由受信任方签名或者在受信任位置打开。   稿源:cnBeta,封面源自网络;

CoinHive 挖矿劫持仍在肆虐 至少 28 万路由器被检出感染

最近几年,区块链领域闹出了许多幺蛾子。比如为了攫取不当的加密货币挖矿收益,某些人制作了能够窃取设备算力的恶意软件,有几个挖矿网络的受害者规模甚至相当庞大。就在过去几天,研究人员发现了另外 3700 台秘密运行恶意的加密货币挖矿软件的路由器。 截止目前,此类受感染设备的总数已经超过了 28 万台 —— 仅在 30 天的时间里,就增加了 8 万。 8 月初的时候,这波攻击就已经登上了媒体的头条。当时黑客利用此前未被发现的漏洞,入侵了巴西的 20 多万台路由器。 攻击者成功地对 MicroTik 路由器实施了“零日攻击”,为其注入了 CoinHive 的修改版本。CoinHive 的一小段代码,支持利用简易的浏览器来挖掘门罗币。 最近的研究表明,该加密货币僵尸网络,每月有超过 25 万美元的产出。不过安全人员指出,挖矿劫持不是 MicroTik 路由器面临的唯一威胁。 一款危险的、名叫 Android Banker 的特洛伊木马病毒,当前正在互联网上传播。继 1 月首次曝光后,已有近 200 个针对性的网银应用受害。 Android Banker 可以绕过双因素认证,来窃取用户名和密码。若不幸受到影响,还请将所有账号的用户名和密码都重置,比如流行的 Bitfinex 和 Blockfolio 。 安全研究人员 Lukas Stefanko 指出,最近持续的威胁很是严重。因其能够动态改变、针对特定的受害者进行定制,所以是一个相当危险的威胁。 由于 Android Banker 主要通过虚假版本的 Adobe Flash Player 分发,因此普通人可以相对简单地避开大部分雷区 —— 确保未知来源的应用程序被阻止且无法运行。 如果你对本文所述的木马和恶意软件的细节感兴趣,并希望知晓如何制定让公司免受网络钓鱼攻击的安全策略,可移步至这里查看(传送门)。     稿源:cnBeta,编译自:TNW,封面源自网络;

黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。 恶意 Shockwave Flash ActiveX 对象属性 研究人员发现,该 Flash 应用程序其实是一个混淆的下载器: 进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到攻击者的服务器,以加密 AES 密钥(用于加密有效负载)。 之后将加密的有效负载和现有的私钥发送到下载程序,以解密128位AES密钥和有效负载。Palo Alto Networks Unit 42 的研究人员破解了加密,并分享了他们的破解方法。 尽管私钥仅保留在内存中,但公钥的模数 n 被发送到了攻击者的服务器。 在服务器端,模数与硬编码指数 e 0x10001 一起使用,以加密此前用于加密漏洞和 shellcode 有效载荷的128-bit AES 密钥。 揭秘 shellcode 有效载荷的 HTTP POST 请求(其模数 n 为十六进制) 一旦研究人员解密了 128-bit AES 密钥,就能够解密有效负载。 获得 RWE 权限之后,执行就会传递给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。 最后,研究人员分享了感染指征(Indicators of Compromise): Adobe Flash Downloader 189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c Adobe Flash Exploit(CVE-2018-5002) 3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497     稿源:cnBeta,封面源自网络;  

Twitter 清理逾 14.3 万款应用 防止剑桥分析式丑闻

凤凰网科技讯 据《财富》北京时间7月25日报道,Twitter当地时间星期二表示,它在2018年4-6月期间对恶意应用进行了清理,共下架逾14.3万款应用。Twitter曾在一篇博文中称,它“不容忍利用我们的API(应用编程接口)制造垃圾信息、操控会话、借助Twitter侵犯人们的隐私”。 Twitter清理恶意应用正值Facebook的剑桥分析数据泄露丑闻发酵之际。Facebook面临国会议员的激烈批评:没有能阻止一名学术研究人员通过在其平台上开发的一款应用窃取大量用户信息。 与Facebook和谷歌旗下YouTube一样,Twitter也因没有能阻止俄罗斯相关部门在其服务上创建账户,在美国大选期间传播虚假信息受到密切关注。 Twitter没有披露从4月起开始清理其平台上恶意应用的原因,但可能与Facebook的剑桥分析数据泄露丑闻有关。这一丑闻彰显了各大互联网公司平台上第三方应用的普遍性,以及它们对第三方应用开发者如何使用其用户数据漠不关心。 Twitter没有披露被清理的具体应用,但称发送垃圾信息、自动执行恶意操作、监视和侵犯隐私的应用都在被清理之列。 Twitter现在还要求,希望使用“Twitter标准和高级API”的所有开发者都需要完成一个申请过程。 Twitter高管在博文中称,“我们知道,新的过程增加了开发应用所需要的准备步骤和时间。我们的目标是,打造开发者遵守我们相关规则的平台,有利于第三方开发者顺利地开展业务。”   稿源:凤凰网科技,封面源自网络;

APT 组织窃取 D-Link 公司数字证书签署其恶意软件

据外媒报道,ESET 的安全研究人员发现一项新的恶意软件活动,与 APT 组织 BlackTech 有关,该组织正在滥用从 D-Link 网络设备制造商和台湾安全公司 Changing Information Technology 窃取的有效数字证书签署其恶意软件,伪装成合法应用程序。 由受信任的证书颁发机构(CA)颁发的数字证书是用来对计算机应用程序和软件进行加密签名,计算机将信任这些有数字证书程序的执行,不会发出任何警告消息。近年来一些寻找绕过安全方案技术的恶意软件作者和黑客一直在滥用可信任数字证书,他们使用与受信任软件供应商相关联的受损代码签名证书来签署其恶意代码,以避免被目标企业网络和用户设备上检测到。 据安全研究人员介绍,此网络间谍组织技术娴熟,他们大部分瞄准东亚地区,尤其是台湾。ESET 确定了两个恶意软件系列,第一个被称为 Plead 的恶意软件是一个远程控制的后门,旨在窃取机密文件和监视用户,Plead 至少从 2012 年就开始利用有效证书签署其代码;第二个恶意软件是密码窃取程序,旨在从Google Chrome,Microsoft Internet Explorer,Microsoft Outlook 和 Mozilla Firefox 收集保存的密码。 研究人员向 D-link 和 Changing Information Technology 通报了该问题,受损的数字证书分别在2018年7月3日和7月4日予以撤销。 这不是黑客第一次使用有效证书来签署他们的恶意软件。2003 年针对伊朗核加工设施的 Stuxnet 蠕虫也使用了有效的数字证书。   消息来源:TheHackerNews、Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

针对巴勒斯坦政府的网络间谍组织又发起了新的钓鱼攻击

据外媒 bleepingcomputer 报道,去年针对巴勒斯坦执法部门的网络间谍组织现已针对巴勒斯坦政府官员重新发起攻击。根据以色列网络安全公司 Check Point 的调查显示,新的攻击开始于 2018 年 3 月,似乎和去年 Cisco Talos 和 Palo Alto Networks 两份报告中详述的一组操作方法相符。报告详述了针对巴勒斯坦执法部门的鱼叉式钓鱼攻击活动,恶意邮件试图通过 Micropsia infostealer 感染受害者,这是一种基于 Delphi 的恶意软件,其中包含许多引用自《生活大爆炸》和《权力的游戏》剧集角色的字符串。 现在同一网络间谍组织疑似再次出现,他们唯一所改变的是恶意软件,现在使用C ++编码。和 Micropsia 一样,新的恶意软件也是一个强大的后门,可以随时使用第二阶段模块进行扩展。根据 Check Point 的说法,该组织使用改进后的后门感染受害者以收集受害者工作站的指纹,然后收集.doc,.odt,.xls,.ppt和.pdf文件的名称并将此列表发送给攻击者的服务器。 今年该组织似乎是针对巴勒斯坦民族权力机构的成员,鱼叉式钓鱼邮件的主题是来自巴勒斯坦政治和国家指导委员会的月度新闻报道,发送给与此机构相关人员。与 2017 年不同的是,这次恶意附件实际上是一个压缩文件,包含诱饵文件和恶意软件本身。 Check Point 认为这些攻击背后是一个名为 Gaza Cybergang 的 APT 组织,该组织同时也名为 Gaza Hackers / Molerats,在 2016 年网络安全公司 ClearSky 曾将此组织与恐怖组织哈马斯(Hamas)联系起来。上周,以色列政府就曾指责哈马斯试图引诱士兵在他们的手机上安装恶意软件。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

流氓黑客试图以 5000 万美元出售 iPhone 恶意软件

据外媒BGR报道,大约两年前,安全研究人员发现当时被称为世界上最先进的手机黑客软件。这个工具被称为Pegasus ,是一家名为NSO Group的以色列安全公司的研发成果。通常情况下,NSO Group的商业模式依赖于创建复杂的基于软件的攻击并将其出售给情报机构和外国政府。 不过是什么让Pegasus独一无二呢?那就是它建立在三个iOS零日漏洞之上,让第三方能够窃听目标用户的电话,同时还能密切关注目标用户的位置、截图、照片库、电子邮件及短信等。此外,Pegasus非常容易安装,唯一的要求是通过短信发送一个看似无害的链接。 根据Motherboard早些时候的报道,NSO Group一名流氓员工试图以价值相当于5000万美元的加密货币向未经授权的一方出售高级漏洞。这名雇员后来被指控并被起诉。 根据起诉书,这名未被透露姓名的员工去年开始在NSO Group担任高级程序员。该文件补充说,作为其工作的一部分,该员工可以访问NSO的产品及其源代码。 NSO的计算机有适当的系统来阻止员工将外部存储设备连接到公司的计算机。但是该文件显示,该员工在互联网上搜索了禁用这些保护措施的方法,将其关闭,然后窃取了数据缓存。 当NSO Group被警告其软件可在线购买时,该员工随后被抓获。   稿源:cnBeta,封面源自网络;

安全专家曝新银行木马 专门窃取证书、密码及其他敏感信息

凤凰网科技讯 据科技博客ZDNet北京时间7月5日报道,思科网络安全团队Talos的研究人员最近发现了一种新的银行木马,这种新型木马病毒通过散布一些看似软件公司开出的账单请求、实则为恶意软件的网络钓鱼邮件,从而窃取受害者PC上的银行证书、密码和其他敏感信息。 安全人员表示,这一强大的恶意软件可以用来传播包括木马病毒、赎金软件和恶意加密货币挖掘软件等在内的安全威胁。 该恶意软件被认为是Smoke Loader木马的最新变种之一。从2011年开始,在垃圾邮件网络钓鱼活动中,Smoke Loader类木马病毒一直十分活跃,同时在不断发展变化。这类恶意软件在2018年以来都特别繁忙,包括今年早些时候出现的Meltdown和Spectre等安全漏洞,都是这些恶意木马在作祟。 与许多恶意软件一样,该木马最初发动攻击是通过恶意Word附件进行的,该附件欺骗用户允许宏命令,允许在受攻击的系统上安装SmokeLoader,并允许木马发送其他恶意软件。 令研究人员感兴趣的是,该Smoke Loader木马在传播过程中使用了最新的“注射技术”——PROPagate。这一技术之前不曾被使用,只是几天前刚刚被发现。至于PROPagate概念,在去年年末才被提出,业界最初将PROPagate描述为一种安全攻击的潜在手段。 虽然仍有大量的Smoke Loader试图将附加的恶意软件发送到受攻击的系统中,但在某些情况下,这些恶意程序正在安装自己的插件,以便直接执行自己的恶意任务。 它们所安装的每一个插件,都被设计用来窃取敏感信息,特别是那些存储在PC上的证书或通过浏览器传输的敏感信息——比如Firefox、IE、Chrome、Opera、QQ等浏览器,以及Outlook和Thunderbird程序,都可被用来窃取数据。 思科Talos安全团队的研究人员表示,“我们已经看到,木马和僵尸网络市场正在不断地发生变化。黑客们正在不断地提升他们的技术,通过不断修改这些技术,以增强绕过安全工具的能力。这清楚地表明,确保我们所有的系统时时刻刻保持最新是多么的重要。” “我们强烈鼓励用户和组织遵循推荐的安全实践,例如及时安装安全补丁,在收到未知第三方消息时保持谨慎,并确保可靠的脱机备份解决方案到位。这些做法将有助于减少攻击威胁,并有助于在遭到任何此类攻击后进行系统恢复,”他们补充说。   稿源:凤凰网科技,封面源自网络;