分类: 恶意软件

逾 4000 台 ElasticSearch 服务器遭 POS 恶意软件感染

据外媒报道,网络安全公司 Kromtech 研究人员发现逾 4,000 台 ElasticSearch 服务器遭两款流行恶意软件 AlinaPOS 与 JackPOS 肆意感染,其中美国地区受影响情况最为严重。然而,相关调查显示,虽然受感染日期最早可追溯至 2016 年,但最近一次恶意传播发生在今年 8 月。另外,值得注意的是,近 99% 的受感染服务器托管于亚马逊网络服务( AWS )中。 恶意软件 AlinaPOS 与 JackPOS 自 2012 年以来一直存在且颇受网络犯罪分子欢迎。此外,研究人员发现这两款恶意软件早前就已在暗网出售并被广泛传播。 图一:2012 – 2014 年 PoS 恶意软件传播数量图 近期,Kromtech 安全研究人员通过搜索引擎发现超过 15,000 台 ElasticSearch 服务器无需安全验证即可登录访问,其中逾 4000 台(约 27%)ElasticSearch 命令和控制(C&C)服务器存在 PoS 恶意软件。研究人员表示,攻击者使用 ES 服务器的主要原因是因为它们的配置不仅允许读取文件,还可以在无需额外确认下输入/安装外部文件。此外,部分 ElasticSearch 服务器访问无需身份验证,因此允许攻击者对暴露的实例进行完全管理控制,这也为攻击者开辟了一系列可能性,即从隐藏资源与远程代码执行开始,完全破坏此前保存的所有数据。 图二:研究人员检测结果 Kromtech 研究员 Bob Diachenko 在博客中写道:“为什么是亚马逊 AWS ?因为亚马逊网络服务提供免费的 T2 micro(EC2)实例,且存储磁盘空间最高可达 10 GB。与此同时,T2 micro 只允许安装在 ES 1.5.2 与 2.3.2 版本中使用 ”。目前,每台受感染的 ES 服务器不仅具备 POS 恶意软件客户端的命令与控制(C&C)功能,还可作为 POS 僵尸网络的其中一处节点,允许攻击者从 POS 终端、RAM 存储器或受感染的 Windows 设备中收集、加密与转移用户私人信息。 图三:恶意软件 AlinaPOS 与 JackPOS 漏洞攻击分布 Kromtech 已通知受影响公司并试图与亚马逊取得联系,不过亚马逊尚未作出任何置评。然而,对于使用 ElasticSearch 服务器的用户来说,研究人员建议他们正确配置服务器、关闭所有未使用的端口、检查日志文件、网络连接,以及流量使用情况。 原作者:India Ashok, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客通过操控 Facebook CDN 服务器瞄准巴西传播恶意软件、规避安全检测

HackerNews.cc  9 月 10 日消息,网络安全团队 MalwareHunter 在过去两周内发现黑客组织正通过操控 Facebook CDN 服务器瞄准巴西等地区肆意传播银行木马 Banload 、规避安全检测。 调查显示,黑客通过伪造地方当局的官方通讯域名发送诱导性电子邮件,其内容主要包含一个指向 Facebook CDN 的链接,以便受害用户在不知情下点击感染恶意软件。以下是该黑客组织使用的一个 Facebook CDN 链接与相关垃圾邮件内容。 https://cdn.fbsbx.com/v/t59.2708-21/20952350_119595195431306_4546532236425428992_n.rar/NF-DANFE_FICAL-N-5639000.rar?oh=9bb40a7aaf566c6d72fff781d027e11c&oe=59AABE4D&dl=1 一旦受害者点击链接,系统将会自动下载包含恶意软件的 RAR 或 ZIP 文档。该操作能够调用多数 Windows PC 端上运行的合法程序(即 Command Prompt 或 PowerShell )来运行编码的 PowerShell 脚本。如果目标系统感染恶意软件,其 PC 端上的 PowerShell 脚本将会下载并运行另一脚本,依次循环,从而感染更多用户设备。此外,研究人员还观察到黑客组织 APT32 也正使用该操作瞄准越南地区展开网络攻击活动。 有趣的是,当受害者来自其他国家或地区时,该攻击链接将会在最后阶段下载一个空的 DLL 文件,从而中断攻击。此外,该款恶意软件结构极其复杂且资源丰富,因此研究人员提醒用户切勿轻易点击任何非可信来源的邮件链接,并始终保持系统杀毒软件更新至最新版本。 原作者:Pierluigi Paganini,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

间谍软件 Babar 出现新变种,疑似由法国情报机构开发使用

HackerNews.cc 9 月 7 日消息,网络安全公司 Palo Alto Networks 研究人员近期发现黑客组织正利用一款恶意软件 Babar 新变种操控刚果民主共和国常设理事会(cpcc-rdc.org)官方网站,旨在破坏命令与控制(C&C)服务器、窃取国家重要信息。 Babar 是一款强大的间谍软件,不仅能够监控当前流行媒体平台(包括 Skype、MSN、Yahoo 等)的通讯记录,还可记录受害用户击键次数,窃取登录凭证等敏感信息。据斯诺登泄露的文件显示,Babar 此前曾被法国情报机构外部安全总指挥部(DGSE )用于监控伊朗核武器研究机构、欧洲知名企业的金融活动。 调查显示,法国黑客组织 Animal Farm 曾利用该恶意软件瞄准政府机构、军事承包商、媒体企业、私营公司展开攻击活动。然而 PaloAlto Networks 研究人员近期发表声明,宣称 Babar(也被称为 Snowball)最早可追溯至 2007 年。不过,卡巴斯基早于 2015 年就已得出该结论,但当初因缺乏证据并未分享任何相关细节。 研究人员在此次攻击活动中通过分析该恶意软件样本的加载程序发现其代码编译时间戳为 11/09/2007 11:37:36 PM。 研究人员注意到,该恶意软件新变种无法在默认的 Chrome 浏览器上收集信息。不过,Babar 变种新添另一功能,可以导致配置数据加密后以便攻击者以明文形式访问。研究人员通过分析其恶意软件代码与结构后认为,该变种可能由同一黑客组织开发。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

联想被指控预装恶意软件,愿支付 350 万美元与 FTC 和解

据 VentureBeat 报道,笔记本电脑制造商联想公司日前与美国联邦贸易委员会(FTC)达成和解,同意支付 350 万美元,并对其销售笔记本电脑的方式作出调整,以换取 FTC 撤销对其销售预装软件的指控,此举被指危及用户安全。美国当地时间 5 日,联想与康涅狄格州、联邦贸易委员会以及其他 31 个州达成上述协议。 联想预装的软件名为 VisualDiscovery,从 2014 年 8 月开始安装在数十万台联想笔记本电脑上,目的是提供弹出式广告。然而当用户试图访问恶意网站而弹出警告时,也被该软件阻止。 FTC 声称,VisualDiscovery 能够访问消费者的敏感信息,比如社会保障号码。当然,这些信息并没有发送给出售 VisualDiscovery 的厂商 Superfish。FTC 主席莫林·奥豪森(Maureen Ohlhausen)在一份声明中表示:“ 联想在预装软件时侵犯了消费者的隐私,在没有给出通知或获得用户同意的情况下就可访问消费者的敏感信息。这种行为导致的后果非常严重,因为该软件破坏了消费者依赖的网络安全保护。” 联想在声明中表示,公司在 2015 年初就已经停止销售预装软件。尽管我们不同意这些申诉中的指控,但我们很高兴在两年半后结束这件事 。到目前为止,我们还没有接到任何第三方利用这些漏洞来获取用户通讯信息的实例报告 ”。FTC 表示,作为和解协议的一部分,在安装这类软件之前,联想同意首先获得消费者的同意并对任何数据收集或捆绑广告软件给予用户确切通知,且同意在未来二十年内接受安全检查。 稿源:cnBeta、网易科技,封面源自网络;

美国政府网站托管 JavaScript 下载器分发 Cerber 勒索软件

据外媒 9 月 3 日报道,网络安全公司 NewSky Security 研究人员 Ankit Anubhav 于近期发现,一个用于传播勒索软件 Cerber 的恶意 JavaScript 下载器被托管在了美国政府网站上。目前尚不清楚有多少访问者系统因此受到感染。 研究人员 Anubhav 经调查表示,受害者可能会在此次攻击活动中接收到一个指向 .zip 文件的页面链接。一旦受害者点击链接将会触发JavaScript 提取内容并启动 PowerShell 从攻击者领域下载恶意软件。实际上,受害者此时将会下载一份与勒索软件 Cerber 可执行文件有关的 gif 文档,其主要包含一款 NSIS 安装程序用于提取 Cerber JSON 文件配置。 知情人士透露,该恶意程序代码于 8 月 30 日被研究人员发现,随后数小时内被黑客删除。目前虽然尚不清楚攻击者如何将该代码安装至政府网站,也不了解有多少受害者已被感染,研究人员表示还将继续展开调查。不过,Anubhav 认为,该网站遭到入侵的另一种情况可能是政府官员接收的电子邮件中附带恶意软件,以感染整个网站内部系统。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密在线曝光 CIA 黑客工具 AngelFire:用于感染 Windows 计算机操作系统

据外媒 8 月 31 日报道,维基解密( Wikileaks )近期最新曝光一批 Vault7 文档,旨在揭露美国中央情报局( CIA )使用黑客工具 AngelFire 感染 Windows 计算机操作系统。 AngelFire 是一款恶意软件,主要通过修改 Windows 计算机上的分区引导扇区后植入持久性后门程序。不过,根据维基解密泄露的 CIA 用户手册得知,AngelFire 仅在获取目标系统的管理权限后才能下载安装。调查显示,黑客工具 AngelFire 主要包括以下五大组件: 1、Solartime:该组件主要在目标系统启动时,修改分区引导扇区以加载运行 Wolfcreek(内核代码)。 2、 Wolfcreek:它是一款自加载驱动程序( Solartime 执行的内核代码 ),主要用于加载其他驱动与用户模式应用。 3、Keystone:该组件利用了 DLL 注入技术将恶意应用直接植入系统内存,而并非文件系统。它是 Wolfcreek 植入内容的一部分,其主要负责启动恶意应用程序。 4、BadMFS:它是一款被用作 Wolfcreek 开启驱动与植入程序的储存库 ,其主要在活动分区(或更高版本的磁盘文件)末尾创建隐藏文件系统。另外,所有文件都将被加密与混淆,以避免字符串扫描。 5、Windows Transitory File system:允许 CIA 黑客为特定操作创建临时文件,而并非将其存储在隐藏磁盘中。 研究人员表示,目前 32 位的 AngelFire 工具影响主要影响 Windows XP 与 Windows 7,而 64 位的工具则会影响 Server 2008 R2 与 Windows 7 系统。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国税局发出紧急通告:警惕使用 IRS 与 FBI 名字的诈骗邮件

据外媒报道,美国税局(IRS)近期向该国公民发布警告,警惕使用其机构以及 FBI 名字的诈骗邮件。据披露,这些邮件的发布者利用国税法的调整向网络用户发出一份问卷调查,而为了制造紧迫感,他们被要求在 10 天内填好并发回这份调查。然而当用户点击链接之后,他们的设备将开始下载加密其文件的勒索软件。 IRS 局长 John Koskinen 表示,人们应当警惕这些试图利用 IRS 和其他政府机构诱骗点击链接或打开某个附件的诈骗邮件,如果人们有税务问题,IRS 是不会直接用一封邮件或一个电话警告他们。目前,IRS 建议受害者不要向网络犯罪分子支付赎金,另外它还强调,该机构是绝对不会使用电子邮件、短信或社交媒体这些途径来跟人们讨论税务问题。 这种利用政府机构身份传播勒索软件的现象存在的时间实际上已经有很长一段时间。这些所谓的 “ 警察勒索软件 ” 指控无辜的用户做了一些他们未曾做过的事情并利用勒索软件要求他们支付赎金以此换回对其设备的控制。 稿源:cnBeta,封面源自网络;

全球各领事馆与大使馆或遭新型恶意软件 Gazer 监控,疑似俄 APT 组织 Turla 所为

据外媒 8 月 30 日报道,网络安全公司 ESET 研究人员近期发现了一项针对全球各领事馆部委与大使馆的新型后门恶意软件 Gazer 监控,疑似与俄罗斯 APT 组织 Turla 有关。 Turla 是俄罗斯网络间谍组织之一,又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态,其主要针对欧洲外交部等政府机构与军工企业展开攻击活动。历史上的典型受害目标有瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 此次调查显示,恶意软件 Gazer 由开发人员采用 C ++ 程序编写,经鱼叉式钓鱼攻击进行传播,可由攻击者通过 C&C 服务器远程接收加密指令,并可使用受损合法网站( 多数使用 WordPress )作为代理规避安全软件检测。研究人员表示,该后门的使用最早可追溯至 2016 年,且整体组件与 Turla 开发的 Carbon 与 Kazuar 后门存在相似之处。此外,Gazer 后门还使用代码注入技术控制受损设备并长期隐藏自身,以便窃取用户更多敏感信息。 恶意软件使用的 “ Solid Loop Ltd ” 有效证书 目前,研究人员已证实 Gazer 后门恶意软件存在四种不同变种,欧洲地区政府机构受影响情况最为严重。有趣的是,不仅早期版本的 Gazer 签发了 Comodo 颁发的 “ Solid Loop Ltd ” 有效证书,而最新版本也签发了 “ Ultimate Computer Support Ltd. ” 颁发的 SSL 证书。对此,研究人员建议系统管理员启用全方位检测与预防系统,禁用过时的协议与端口、主动监控网络流量与部署安全机制。 相关链接: ○ ESET 研究报告《Gazing at Gazer : Turla’s new second stage backdoor》 ○ 卡巴斯基有关 Gazer 后门的细节报告 历史资讯: ○ 俄间谍组织 Turla 持续开发 Carbon 后门新变种 ○ 俄网络间谍组织 Turla 使用新 JavaScript 恶意软件针对欧洲外交部 原作者:Danny Palmer,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

匿名攻击者向 7.11 亿电子邮件账户群发银行木马病毒 Ursnif

据外媒 8 月 29 日报道,法国安全研究人员近期在荷兰的一台 “ 开放且可访问 ” 的垃圾邮件服务器上发现一个庞大的数据库,其中包含逾 7.11 亿电子邮件地址,以及来自全球数百万个 SMTP 登录凭证。调查显示,匿名攻击者主要利用该批电子邮件账户群发银行木马病毒 Ursnif。 研究人员经调查发现,通常情况下垃圾邮件主要是为发布广告以获取流量收益, 但这次的垃圾邮件群发主要是为了盗取银行账号信息,即邮件冒充各种通知信件或订单确认信息等,诱骗受害者点击链接进入攻击者事先设置的钓鱼网站。与此同时,攻击者还利用该邮件传播木马病毒 Ursnif。目前,研究人员称全球超过 10 万台电脑已感染该病毒。 据悉,群发垃圾邮件进行广告营销或者钓鱼攻击本身不是新鲜事件,因绝大多数邮箱也会自动拦截这钓鱼邮件。但这次事件中的攻击者改变了策略:利用其它资料泄露事件暴露的正常邮箱分批群发垃圾邮件躲避拦截。网上现今仍可找到诸如 LinkedIn 等泄露的数据,其中很多用户的电子邮件账户密码至今还未进行更改。因此攻击者利用这些正常邮件账户群发垃圾邮件可有效躲避拦截,最终达到广告传播并进行钓鱼攻击的目的。 目前,基于安全考虑该事件的研究人员并未发布具体文件信息,而是联系了当地的执法部门迅速获取这些数据,之后将由执法部门继续追查服务器所有者以及背后操纵者真实身份。此外,研究人员强烈建议受影响用户当即更改密码并启用双重身份认证。 本文根据 thehackernews 与 蓝点网 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

僵尸网络 WireX:黑客利用数十万 Android 设备发动 DDoS 攻击

据外媒报道,黑客继去年利用大量不安全物联网设备发动 DDoS 攻击后开始转向另一种极其流行且安全的设备展开新一轮攻击,即运行 Google Android 系统的智能手机与平板设备。 调查显示,攻击者利用官方应用商店传播的恶意程序创建 Android 僵尸网络发动 DDoS 攻击。据悉,被称为 WireX 的僵尸网络在其高峰时最高控制 100 多个国家逾 12 万 IP 地址。然而,当前各企业很难抵御这种 IP 地址遍布全球的 DDoS 攻击。 研究人员表示,他们已在 Google 官方应用商店中发现 300 余款应用软件与僵尸网络 WireX 有关,其中多数应用主要提供铃声、视频或存储管理器等服务。目前,Google 经证实后紧急下架部分应用以减少目标设备沦为 DDoS 攻击的动力来源。据悉,这些应用程序多数由俄罗斯、中国与其他亚洲国家的用户下载,尽管 WireX 僵尸网络当前仅在小规模攻击活动中处于活跃状态。 幸运的是,在该 Android 僵尸网络膨胀到难以控制前,包括 Cloudflare、Akamai、Flashpoint、Google、Dyn 等在内的科技公司已积极采取行动并对其进行联合打击。此外,如果用户设备运行的是 Android 操作系统的最新版本,那么该系统中包含的 Google Play Protect 功能将会自动移除已下载的恶意 WireX 应用。目前,研究人员建议用户从 Google 官方商店下载应用程序并始终在移动设备上保持全方位杀毒软件,以便在感染设备前阻止恶意程序下载。 本文根据 thehackernews 与 solidot奇客 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。