分类: 网络攻击

报道称第二个黑客组织已经瞄准了 SolarWinds

据外媒ZDNet报道,随着SolarWinds供应链攻击事件后的取证证据慢慢被发掘出来,安全研究人员发现了第二个威胁行为体,它利用SolarWinds软件在企业和政府网络上植入恶意软件。关于这第二个威胁行为体的细节仍然很少,但安全研究人员认为这第二个实体与疑似俄罗斯政府支持的入侵SolarWinds的黑客组织没有关系,后者在Orion应用内植入恶意软件。 原始攻击中使用的恶意软件代号为Sunburst(或Solorigate),作为Orion应用的“booby-trapped”(诡雷代码)更新交付给SolarWinds客户。在受感染的网络上,恶意软件会ping其创建者,然后下载名为Teardrop的第二个阶段性后门木马,允许攻击者开始动手操作键盘会话,也就是所谓的人为操作攻击。 但在SolarWinds黑客事件公开披露后的头几天,最初的报告提到了两个第二阶段的有效载荷。来自Guidepoint、赛门铁克和Palo Alto Networks的报告详细介绍了攻击者如何同时植入一个名为Supernova的.NET web shell。 安全研究人员认为攻击者是利用Supernova webshell来下载、编译和执行一个恶意Powershell脚本(有人将其命名为CosmicGale)。 然而,在微软安全团队的后续分析中,现在已经澄清Supernova网页壳并不是原始攻击链的一部分。他们发现Supernova安装在SolarWinds上的公司需要将此次事件作为一个单独的攻击事件来处理。 根据微软安全分析师Nick Carr在GitHub上的一篇文章,Supernova webshell似乎被种植在SolarWinds Orion安装上,这些安装已经暴露在网上,并被利用类似于追踪为CVE-2019-8917的漏洞。 Supernova与Sunburst+Teardrop攻击链有关的困惑来自于,和Sunburst一样,Supernova也被伪装成了猎户座应用的DLL–Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件内,Supernova则隐藏在App_Web_logoimagehandler.ashx.b6031896.dll内。 但在12月18日周五晚些时候发布的分析报告中,微软表示,与Sunburst DLL不同,Supernova DLL并没有使用合法的SolarWinds数字证书进行签名。 Supernova没有被签名这一事实被认为是攻击者极不正常的行为,在此之前,攻击者在操作上表现出了非常高的复杂性和对细节的关注。 这包括花几个月时间在SolarWinds的内部网络中不被发现,提前在Orion应用中添加虚拟缓冲区代码以掩饰日后添加恶意代码,并将他们的恶意代码伪装成SolarWinds开发人员自己编写的样子。 这些似乎都是太明显的错误,最初的攻击者不会这么做,因此,微软认为这个恶意软件与最初的SolarWinds供应链攻击无关。       (消息来源:cnBeta;封面来自网络)

黑客组织 Pawn Storm 的非复杂性攻击策略

远程访问木马(RAT)的防御者不会立即辨别这是来自APT黑客的恶意软件。同样,网络服务(例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL)的恶意攻击也是如此。在2020年,APT黑客组织Pawn Storm使用非复杂的攻击方法。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1434/         消息来源:trendmicro,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

调查发现 SolarWinds 攻击事件最早追溯到去年 10 月

利用 SolarWinds 的 Orion 网络管理平台,本月初黑客成功入侵了包括美国财政部在内的诸多政府机构网站。而援引雅虎新闻报道,这群黑客在去年 10 月就曾尝试分发恶意软件,比之前该公司发布的公告早了 5 个月。 消息称黑客在 2019 年 10 月就尝试分发有问题的 Orion 版本,只不过当时并没有像今年春季那样植入后门。一位参与调查的消息人士透露:“我们认为,当时他们只是想要测试是否会成功、是否会被检测到。所以这多少是一次预演。在验证成功之后他们并没有马上采取攻击,而是徐徐跟进扩大战果。这表明他们更加严谨和慎重”。 10月份的文件是在几个受害者的系统中发现的,但调查人员至今没有发现黑客五个月后,黑客在SolarWinds软件更新服务器上添加了新的恶意文件,这些文件被分发并安装在联邦政府机构和其他客户的网络上。这些新文件在受害者网络上安装了一个后门,允许黑客直接访问它们。 10月份的文件是在几个受害者的系统中发现的,但调查人员至今没有发现黑客在文件登陆这些系统后,在这些系统上进行任何额外的恶意活动的迹象。 据报道,目前受感染的受害者的具体数量仍不得而知,但2020年春季文件被入侵的部分受害者包括:美国财政部和商务部内的部门、国土安全部、为能源部工作的国家实验室,以及监管国家核武器储备的国家核安全管理局。在商业领域,安全公司FireEye也被黑客通过SolarWinds软件入侵,周二晚些时候,微软承认在其网络上也发现了恶意的SolarWinds文件。         (消息及封面来源:cnBeta)

美核武器相关机构遭网络攻击:至少波及六家联邦部门

据外媒报道,据美知情官员透露,美能源部(DOE)和国家核安全管理局(NNSA)拥有黑客入侵了他们网络的证据,作为一项大规模间谍活动的一部分,该网络攻击至少影响了六家联邦机构。当地时间周四,在听取了DOE首席信息官Rocky Campione的汇报后,该机构和NNSA的官员开始协调向各自的国会监督机构通报此次事件。 他们发现联邦能源监管委员会(FERC)、新墨西哥州和华盛顿的桑迪亚和洛斯阿拉莫斯国家实验室、国家安全局安全运输办公室和DOE里奇兰驻外办公室的网络存在可疑活动。据披露,黑客对FERC造成的破坏比其他机构都要大,官员已经掌握高度恶意活动的证据,但他们并没有就此给出详细的说明。 这些官员称,一直在协助联邦政府应对大规模黑客攻击的网络安全和基础设施安全局(CISA)本周向联邦监管委员会表示,其机构已不堪负荷,可能无法分配必要的资源进行应对。因此,DOE将为FERC分配额外的资源以帮助调查黑客事件–尽管FERC是一个半自治机构。 美DOE发言人Shaylyn Hynes表示,对此次黑客攻击正在进行的调查发现,作案者并没有进入关键的防御系统。 对DOE的攻击是迄今为止表明黑客能进入美国国家安全机构核心部分的网络的最明确迹象。据信,这些黑客通过破坏软件公司SolarWinds侵入了联邦机构的网络,据悉,该公司向数百个政府和私营部门客户销售IT管理产品。 DOE官员表示,他们计划周四向参众两院的能源委员会、参众两院的能源和水开发小组委员会、参众两院的军事委员会以及新墨西哥州和华盛顿州的代表团通报这一漏洞。 NNSA负责管理美国的核武器,虽然它得到的关注最少,但却占据了能源部预算的绝大部分。同样,桑迪亚国家实验室和洛斯阿拉莫斯国家实验室在进行跟民用核能和核武器有关的原子研究。美国安全运输办公室(Office of Secure Transportation)的任务是运送对维持核储备至关重要的浓缩铀和其他材料。 黑客们将目标对准美国能源部里奇兰驻外办公室可能是将网撒得过大。该办公室的主要职责是监督华盛顿州汉福德核废料场的清理工作。在第二次世界大战和冷战期间,美国2/3的钚都是在那里生产的,但该基地自1971年以来就不再活动了。 对FERC的攻击则可能是为了破坏美国的大型电网。FERC不直接管理任何电力,但它会在电网上存储敏感数据,这些数据可用于识别未来攻击中最具破坏性的位置。         (消息及封面来源:cnBeta)

拜登政府将对具有深厚背景的大规模网络攻击采取强硬态度

CNBC 报道称,对于具有官方背景的大规模黑客攻击事件,即将接任美国总统职务的乔·拜登已宣称将对此采取强硬的态度。此前一些针对美国政府机构或企业的黑客攻击报道,曾多次将矛头对向俄方。而拜登政府的最新表态,预示着美国将与盟友一道,让躲在暗处的敌人付出更大的代价。 拜登过渡小组在周四发表的一份声明中称,美方落实的防护措施还远远不够,且必须率先打乱和阻止对手发现的大型网络攻击。 作为应对,美方将在必要的措施之外,让恶意攻击发起者付出显著的代价,其中还包括与盟友开展协调合作。 我们的对手应该知道,美国总统不会对此类具有国家级背景的网络攻击事件袖手旁观。 周三晚间,美国联邦调查局、网络安全和基础设施安全局(CISA)、以及国家情报局局长办公室(ODNI)组成了三个负责调查网络攻击、保护美国免受网络威胁的领导机构。 除了就‘针对美国的重大且持续的网络安全形势’作出响应,联合司令部还在一份声明中指出 —— 形势仍处于发展阶段,但它已经对联邦政府的内部网络产生了影响。与此同时,我们需要继续努力了解事件的全貌。         (消息及封面来源:cnBeta)

黑客使用凭证窃取程序瞄准美国、加拿大的银行客户

攻击者总是在寻找一种方法来执行受害者机器上的文件,并且希望不被发现。一种方法是使用一种脚本语言。如果受害者的操作系统中没有内置的编译器或解释器,那么这种脚本语言就无法执行。Python、AutoIT和AutoHotkey(AHK)就属于这种脚本语言。特别是,AHK是一种面向Windows的开源脚本语言,旨在提供简单的键盘快捷方式或热键、快速的微创建以及软件自动化。AHK还允许用户使用代码创建一个compiled.EXE文件。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1432/         消息及封面来源:trendmicro,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客使用 SystemBC 恶意软件进行网络攻击

最新研究显示,越来越多的网络犯罪分子利用商品恶意软件和攻击工具,将部署勒索软件的任务外包给其附属机构。 Sophos发布的一项新分析表示,Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。 分支机构通常是负责在目标网络中获得初始立足点的攻击者。 Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说:“SystemBC是最近勒索软件攻击者工具中的常规部分。” “后门可以与其他脚本和恶意软件结合使用,以自动方式跨多个目标执行发现、过滤和横向移动。这些SystemBC功能最初是为大规模利用而设计的,但现在已被整合到针对性攻击的工具包——包括勒索软件。” 2019年8月,Proofpoint首次记录了SystemBC。它是一种代理恶意软件,它利用SOCKS5互联网协议屏蔽命令和控制(C2)服务器的流量并下载DanaBot银行木马。 此后,SystemBC RAT利用新特性扩展了工具集的范围,允许它使用Tor连接来加密和隐藏C2通信的目的地,从而为攻击者提供一个持久的后门来发起其他攻击。 研究人员指出,SystemBC已被用于许多勒索软件攻击中,通常与其他后攻击工具(如cobaltstake)一起使用,以利用其Tor代理和远程访问功能来解析和执行恶意shell命令、VBS脚本,以及服务器通过匿名连接发送的其他DLL blob。 另外,SystemBC似乎只是众多商品工具中的一个,这些工具最初是由于网络钓鱼邮件而被部署的。这些邮件会传递诸如Buer Loader、Zloader和Qbot之类的恶意软件加载程序,这使得研究人员怀疑这些攻击可能是由勒索软件攻击者的分支机构发起的,或者勒索软件攻击者本身通过多个恶意软件即服务发起的。 研究人员表示:“这些功能使攻击者能够使用打包的脚本和可执行文件进行发现、过滤和横向移动,而无需动用键盘。” 商品恶意软件的兴起也表明了一种新的趋势,即勒索软件作为服务提供给附属公司,就像MountLocker那样,攻击者向附属公司提供双重勒索能力,以便以最小的代价分发勒索软件。 Gallagher表示:“在勒索软件即服务攻击中使用多种工具会产生越来越多样化的攻击模式,IT安全团队更难预测和应对。深入防御、员工培训和以人为基础的威胁搜索对于检测和阻止此类攻击至关重要。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Gitpaste-12 僵尸网络重新瞄准 Linux 服务器和物联网设备

一种新的蠕虫僵尸网络通过GitHub和Pastebin传播,在目标系统上安装加密货币矿工和后门,并扩展了攻击web应用程序、IP摄像机和路由器的能力。 上个月初,Juniper威胁实验室的研究人员记录了一个名为“Gitpaste-12”的加密挖掘活动,该活动使用GitHub来托管包含多达12个已知攻击模块的恶意代码,这些代码通过从Pastebin URL下载的命令执行。 这些攻击发生在2020年10月15日开始的12天中,而Pastebin URL和存储库于2020年10月30日被关闭。 现在,根据Juniper的说法,第二波攻击始于11月10日,使用的是来自不同GitHub存储库的有效负载,其中包括一个Linux加密矿工(ls)、一个包含暴力尝试密码列表的文件(pass),以及一个针对x86_64 Linux系统的本地权限提升漏洞。 最初的感染是通过X10-unix(一种用Go编程语言编写的二进制文件),然后从GitHub下载下一阶段的有效负载。 Juniper的研究员Asher Langton指出,“该蠕虫针对web应用程序、IP摄像头、路由器等进行了一系列广泛的攻击,涉及至少31个已知漏洞(其中7个漏洞在之前的Gitspaste-12示例中也出现过),试图破坏开放的Android Debug Bridge连接和现有恶意软件后门。” 31个漏洞中包括F5 BIG-IP流量管理用户界面(CVE-2020-5902)、Pi-hole Web(CVE-2020-8816)、Tenda AC15 AC1900(CVE-2020-10987)、vBulletin(CVE-2020-17496),以及FUEL CMS(CVE-2020-17463),这些漏洞都是今年曝光的。 值得注意的是,今年10月,人们观察到Mirai僵尸网络的新变种Ttint利用包括CVE-2020-10987在内的两个Tenda路由器零日漏洞,传播能够执行拒绝服务攻击、执行恶意命令、实现远程访问的反向shell的远程访问木马(RAT)。 除了在机器上安装X10-unix和Monero加密挖掘软件外,该恶意软件还打开了监听端口30004和30006的后门,将受害者的外部IP地址上传到私有的Pastebin,并试图连接到5555端口上的Android Debug Bridge连接。 连接成功后,它继续下载Android APK文件(“weixin.apk”),最终安装了一个ARM CPU版本的X10-unix。 据Juniper估计,总共至少有100个不同的宿主被发现传播这种感染。 完整的恶意二进制文件和其他与活动相关的危害指标(IOC)可以在这里访问。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客组织找到一种巧妙的方法绕过目标网络的多因素身份认证

一伙为不法分子提供攻击工具的黑客找到了一种非常巧妙的方法,能够绕过目标网络的多因素身份验证(MFA)系统。根据安全公司 Volexity 本周一发布的博文,他们在 2019 年年末和 2020 年年初发现了这些攻击者的踪迹,并不少于 3 次利用该方法潜入某些机构内部。 在一次入侵期间,Volexity 的研究人员注意到黑客使用一种新颖技术绕过了 Duo 提供的 MFA 保护。在受感染的网络上获得管理员特权后,黑客使用这些不受束缚的权限从运行 Outlook Web App 的服务器上窃取了名为 akey (企业为各种网络服务提供帐号身份验证)的 Duo 机密。 然后,黑客使用 akey 生成 cookies。因此,当拥有正确用户名和密码的用户登录之后,黑客就能通过 cookies 接管账户。Volexity 认为该方法是由黑客集团  Dark Halo 提供的。研究人员 Damien Cash,Matthew Meltzer,Sean Koessel,Steven Adair 和 Thomas Lancaster 写道: “在 Volexity 对 Dark Halo 的第二次调查进入尾声的时候,研究人员观察到黑客通过 Outlook Web App 访问了用户的电子邮件账户。出于某些原因,这是完全意外的,最重要的原因是目标邮箱是受到 MFA 保护的。 来自Exchange服务器的日志显示,攻击者提供的用户名和密码身份验证正常,但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明,未尝试登录到该帐户。 Volexity能够确认不涉及会话劫持,并且通过OWA服务器的内存转储,还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。 Volexity对这一事件的调查确定,攻击者已从OWA服务器访问了Duo集成密钥(akey)。然后,该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后,服务器评估了duo-sid cookie并确定其有效。 这使攻击者知道用户帐户和密码,然后完全绕过帐户上设置的MFA。此事件强调了确保与密钥集成关联的所有机密(例如与MFA提供者的机密)在发生泄露后应进行更改的必要性。此外,重要的是,不仅要在违规后更改密码,而且不要将密码设置为与以前的密码类似的内容(例如,Summer2020!vs Spring2020!或SillyGoo $ e3 vs SillyGoo $ e2)。”         (消息及封面来源:cnBeta)

微软希望客户对近期频繁发生的国家级网络攻击事件保持高度警惕

针对近期涌现的疑似具有国家级技术和资源背景的黑客攻击,微软其实已经在 2020 版《数字防御报告》中有所预料。虽然截止目前,微软尚未在相关调查中发现自家产品或云服务有漏洞被利用,但该公司还是在一篇博客文章中发出了提醒,希望客户能够采取切实有效重要步骤,以防其成为此类网络攻击的受害者。 微软在文中列出了恶意代理开展复杂网络攻击的一些技术细节,比如通过 SolarWinds Orion 产品中的恶意代码实施入侵。若被攻击者得逞,后续黑客可能以此为跳板,在网络中获得更高的权限。 其次,攻击者或利用本地窃取的管理员权限,获得对机构内受信任 SAML 签名证书的访问权限。然后通过伪造 SAML 令牌,假扮组织内任何现有用户的账户,甚至染指特权较高的账户。 为应对此类异常登录,建议客户在网络系统上进行适当的安全配置,以区分访问本地或云端任何资源的可信证书。由于 SAML 令牌使用了自签名证书,组织内很可能会忽视掉这部分异常。 利用上述或其它技术获得了搞特权账户的访问权限之后,攻击者还可将自己的登录凭证添加到现有的应用程序服务主体中,从而使之获得相关应用程序的权限调用 API 。 至于 COVID-19 大流行期间的完整事件分析、以及社区对网络安全的态度等问题,微软将在完整版的 2020 数字防御报告中进行阐述。       (消息及封面来源:cnBeta)