分类: 网络攻击

SolarWinds 入侵事件余波:英特尔、英伟达、思科等科技巨头亦躺枪

上周曝出的 IT 管理公司 SolarWinds 遭受黑客入侵事件,又陆续揭示了更多的受害者。据说有俄方背景的黑客组织,对包括美国财政部、商务部、能源部、国土安全部等在内的目标发起了攻击,且据信其中两个可能有邮件失窃。由于 SolarWinds 的客户数量众多,外媒猜测有更多大型科技企业遭到了类似的攻击。 (图 via SeekingAlpha) 《华尔街日报》的最新报道称,包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络,也都被发现感染了同样的恶意软件。 此前 SolarWinds 曾表示,有“少于 18000 家”企业受到了影响。尽管已证实的案例相对较少,但今日的新闻还是让许多知名企业从“可能受影响”变成了“确定受影响”。 尽管目前许多大型科技巨头都表示正在对相关事件展开调查,且认为自身尚未受到影响。但正如 2016 年民主党全国委员会的邮件泄密事件那样,后续的打脸可能会来得特别快。 毕竟想要揭开黑客攻击事件的全面影响,可能要花费相当长的时间。此外美联社的早前报道指出,企业或很难判断是否已彻底将恶意软件从其网络中清除。 更糟糕的是,调查发现另一个技术似乎不那么纯熟的黑客团体也在利用类似的漏洞入侵 SolarWinds 。且被称作“超新星”(Supernova)的早期攻击,只是被称作 Sunburst 的主攻击的一部分。 最后,虽然私企对 SolarWinds 系统攻击事件的反应并不强烈,但美国联邦政府已宣布旗下所有机构都立即放弃 SolarWinds 的 IT 管理系统。         (消息来源:cnBeta;封面来源于网络)

黑客免费公布 27 万加密货币钱包 Ledger 用户信息

近日,一名网络攻击者在黑客论坛发帖,免费公布了从 Ledger 窃取的电子邮件和邮寄地址。Ledger 是一家硬件加密货币钱包,用于存储、管理和销售加密货币。这些钱包中的资金使用 24 个字的恢复短语以及一个可选的秘密口令来保护所有者。 在今年 6 月 Ledger 网站被爆出现数据泄漏事件,利用安全漏洞允许攻击者访问用户的联系人信息。今天,一位威胁攻击者分享了一个存档,其中包括“All Emails (Subscription).txt” 和 “Ledger Orders (Buyers) only.txt”两个文本,包含数据泄漏期间被盗取的数据。 All Emails (Subscription).txt 包含了 1,075,382 名订阅 Ledger 通讯的人的电子邮件地址;而 Ledger Orders (Buyers) only.txt 包含了 272,853 名购买 Ledger 设备的人的姓名、邮寄地址和电话号码。 网络安全情报公司 Cyble 已经与 BleepingComputer 分享了这份泄露的文件,外媒随后已经与 Ledger 的所有者确认,数据是准确的。Ledger 在推特中进一步确认,这次数据转储很可能来自2020年6月的数据泄露事件。         (消息及封面来源:cnBeta)

报道称第二个黑客组织已经瞄准了 SolarWinds

据外媒ZDNet报道,随着SolarWinds供应链攻击事件后的取证证据慢慢被发掘出来,安全研究人员发现了第二个威胁行为体,它利用SolarWinds软件在企业和政府网络上植入恶意软件。关于这第二个威胁行为体的细节仍然很少,但安全研究人员认为这第二个实体与疑似俄罗斯政府支持的入侵SolarWinds的黑客组织没有关系,后者在Orion应用内植入恶意软件。 原始攻击中使用的恶意软件代号为Sunburst(或Solorigate),作为Orion应用的“booby-trapped”(诡雷代码)更新交付给SolarWinds客户。在受感染的网络上,恶意软件会ping其创建者,然后下载名为Teardrop的第二个阶段性后门木马,允许攻击者开始动手操作键盘会话,也就是所谓的人为操作攻击。 但在SolarWinds黑客事件公开披露后的头几天,最初的报告提到了两个第二阶段的有效载荷。来自Guidepoint、赛门铁克和Palo Alto Networks的报告详细介绍了攻击者如何同时植入一个名为Supernova的.NET web shell。 安全研究人员认为攻击者是利用Supernova webshell来下载、编译和执行一个恶意Powershell脚本(有人将其命名为CosmicGale)。 然而,在微软安全团队的后续分析中,现在已经澄清Supernova网页壳并不是原始攻击链的一部分。他们发现Supernova安装在SolarWinds上的公司需要将此次事件作为一个单独的攻击事件来处理。 根据微软安全分析师Nick Carr在GitHub上的一篇文章,Supernova webshell似乎被种植在SolarWinds Orion安装上,这些安装已经暴露在网上,并被利用类似于追踪为CVE-2019-8917的漏洞。 Supernova与Sunburst+Teardrop攻击链有关的困惑来自于,和Sunburst一样,Supernova也被伪装成了猎户座应用的DLL–Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件内,Supernova则隐藏在App_Web_logoimagehandler.ashx.b6031896.dll内。 但在12月18日周五晚些时候发布的分析报告中,微软表示,与Sunburst DLL不同,Supernova DLL并没有使用合法的SolarWinds数字证书进行签名。 Supernova没有被签名这一事实被认为是攻击者极不正常的行为,在此之前,攻击者在操作上表现出了非常高的复杂性和对细节的关注。 这包括花几个月时间在SolarWinds的内部网络中不被发现,提前在Orion应用中添加虚拟缓冲区代码以掩饰日后添加恶意代码,并将他们的恶意代码伪装成SolarWinds开发人员自己编写的样子。 这些似乎都是太明显的错误,最初的攻击者不会这么做,因此,微软认为这个恶意软件与最初的SolarWinds供应链攻击无关。       (消息来源:cnBeta;封面来自网络)

黑客组织 Pawn Storm 的非复杂性攻击策略

远程访问木马(RAT)的防御者不会立即辨别这是来自APT黑客的恶意软件。同样,网络服务(例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL)的恶意攻击也是如此。在2020年,APT黑客组织Pawn Storm使用非复杂的攻击方法。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1434/         消息来源:trendmicro,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

调查发现 SolarWinds 攻击事件最早追溯到去年 10 月

利用 SolarWinds 的 Orion 网络管理平台,本月初黑客成功入侵了包括美国财政部在内的诸多政府机构网站。而援引雅虎新闻报道,这群黑客在去年 10 月就曾尝试分发恶意软件,比之前该公司发布的公告早了 5 个月。 消息称黑客在 2019 年 10 月就尝试分发有问题的 Orion 版本,只不过当时并没有像今年春季那样植入后门。一位参与调查的消息人士透露:“我们认为,当时他们只是想要测试是否会成功、是否会被检测到。所以这多少是一次预演。在验证成功之后他们并没有马上采取攻击,而是徐徐跟进扩大战果。这表明他们更加严谨和慎重”。 10月份的文件是在几个受害者的系统中发现的,但调查人员至今没有发现黑客五个月后,黑客在SolarWinds软件更新服务器上添加了新的恶意文件,这些文件被分发并安装在联邦政府机构和其他客户的网络上。这些新文件在受害者网络上安装了一个后门,允许黑客直接访问它们。 10月份的文件是在几个受害者的系统中发现的,但调查人员至今没有发现黑客在文件登陆这些系统后,在这些系统上进行任何额外的恶意活动的迹象。 据报道,目前受感染的受害者的具体数量仍不得而知,但2020年春季文件被入侵的部分受害者包括:美国财政部和商务部内的部门、国土安全部、为能源部工作的国家实验室,以及监管国家核武器储备的国家核安全管理局。在商业领域,安全公司FireEye也被黑客通过SolarWinds软件入侵,周二晚些时候,微软承认在其网络上也发现了恶意的SolarWinds文件。         (消息及封面来源:cnBeta)

美核武器相关机构遭网络攻击:至少波及六家联邦部门

据外媒报道,据美知情官员透露,美能源部(DOE)和国家核安全管理局(NNSA)拥有黑客入侵了他们网络的证据,作为一项大规模间谍活动的一部分,该网络攻击至少影响了六家联邦机构。当地时间周四,在听取了DOE首席信息官Rocky Campione的汇报后,该机构和NNSA的官员开始协调向各自的国会监督机构通报此次事件。 他们发现联邦能源监管委员会(FERC)、新墨西哥州和华盛顿的桑迪亚和洛斯阿拉莫斯国家实验室、国家安全局安全运输办公室和DOE里奇兰驻外办公室的网络存在可疑活动。据披露,黑客对FERC造成的破坏比其他机构都要大,官员已经掌握高度恶意活动的证据,但他们并没有就此给出详细的说明。 这些官员称,一直在协助联邦政府应对大规模黑客攻击的网络安全和基础设施安全局(CISA)本周向联邦监管委员会表示,其机构已不堪负荷,可能无法分配必要的资源进行应对。因此,DOE将为FERC分配额外的资源以帮助调查黑客事件–尽管FERC是一个半自治机构。 美DOE发言人Shaylyn Hynes表示,对此次黑客攻击正在进行的调查发现,作案者并没有进入关键的防御系统。 对DOE的攻击是迄今为止表明黑客能进入美国国家安全机构核心部分的网络的最明确迹象。据信,这些黑客通过破坏软件公司SolarWinds侵入了联邦机构的网络,据悉,该公司向数百个政府和私营部门客户销售IT管理产品。 DOE官员表示,他们计划周四向参众两院的能源委员会、参众两院的能源和水开发小组委员会、参众两院的军事委员会以及新墨西哥州和华盛顿州的代表团通报这一漏洞。 NNSA负责管理美国的核武器,虽然它得到的关注最少,但却占据了能源部预算的绝大部分。同样,桑迪亚国家实验室和洛斯阿拉莫斯国家实验室在进行跟民用核能和核武器有关的原子研究。美国安全运输办公室(Office of Secure Transportation)的任务是运送对维持核储备至关重要的浓缩铀和其他材料。 黑客们将目标对准美国能源部里奇兰驻外办公室可能是将网撒得过大。该办公室的主要职责是监督华盛顿州汉福德核废料场的清理工作。在第二次世界大战和冷战期间,美国2/3的钚都是在那里生产的,但该基地自1971年以来就不再活动了。 对FERC的攻击则可能是为了破坏美国的大型电网。FERC不直接管理任何电力,但它会在电网上存储敏感数据,这些数据可用于识别未来攻击中最具破坏性的位置。         (消息及封面来源:cnBeta)

拜登政府将对具有深厚背景的大规模网络攻击采取强硬态度

CNBC 报道称,对于具有官方背景的大规模黑客攻击事件,即将接任美国总统职务的乔·拜登已宣称将对此采取强硬的态度。此前一些针对美国政府机构或企业的黑客攻击报道,曾多次将矛头对向俄方。而拜登政府的最新表态,预示着美国将与盟友一道,让躲在暗处的敌人付出更大的代价。 拜登过渡小组在周四发表的一份声明中称,美方落实的防护措施还远远不够,且必须率先打乱和阻止对手发现的大型网络攻击。 作为应对,美方将在必要的措施之外,让恶意攻击发起者付出显著的代价,其中还包括与盟友开展协调合作。 我们的对手应该知道,美国总统不会对此类具有国家级背景的网络攻击事件袖手旁观。 周三晚间,美国联邦调查局、网络安全和基础设施安全局(CISA)、以及国家情报局局长办公室(ODNI)组成了三个负责调查网络攻击、保护美国免受网络威胁的领导机构。 除了就‘针对美国的重大且持续的网络安全形势’作出响应,联合司令部还在一份声明中指出 —— 形势仍处于发展阶段,但它已经对联邦政府的内部网络产生了影响。与此同时,我们需要继续努力了解事件的全貌。         (消息及封面来源:cnBeta)

黑客使用凭证窃取程序瞄准美国、加拿大的银行客户

攻击者总是在寻找一种方法来执行受害者机器上的文件,并且希望不被发现。一种方法是使用一种脚本语言。如果受害者的操作系统中没有内置的编译器或解释器,那么这种脚本语言就无法执行。Python、AutoIT和AutoHotkey(AHK)就属于这种脚本语言。特别是,AHK是一种面向Windows的开源脚本语言,旨在提供简单的键盘快捷方式或热键、快速的微创建以及软件自动化。AHK还允许用户使用代码创建一个compiled.EXE文件。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1432/         消息及封面来源:trendmicro,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客使用 SystemBC 恶意软件进行网络攻击

最新研究显示,越来越多的网络犯罪分子利用商品恶意软件和攻击工具,将部署勒索软件的任务外包给其附属机构。 Sophos发布的一项新分析表示,Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。 分支机构通常是负责在目标网络中获得初始立足点的攻击者。 Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说:“SystemBC是最近勒索软件攻击者工具中的常规部分。” “后门可以与其他脚本和恶意软件结合使用,以自动方式跨多个目标执行发现、过滤和横向移动。这些SystemBC功能最初是为大规模利用而设计的,但现在已被整合到针对性攻击的工具包——包括勒索软件。” 2019年8月,Proofpoint首次记录了SystemBC。它是一种代理恶意软件,它利用SOCKS5互联网协议屏蔽命令和控制(C2)服务器的流量并下载DanaBot银行木马。 此后,SystemBC RAT利用新特性扩展了工具集的范围,允许它使用Tor连接来加密和隐藏C2通信的目的地,从而为攻击者提供一个持久的后门来发起其他攻击。 研究人员指出,SystemBC已被用于许多勒索软件攻击中,通常与其他后攻击工具(如cobaltstake)一起使用,以利用其Tor代理和远程访问功能来解析和执行恶意shell命令、VBS脚本,以及服务器通过匿名连接发送的其他DLL blob。 另外,SystemBC似乎只是众多商品工具中的一个,这些工具最初是由于网络钓鱼邮件而被部署的。这些邮件会传递诸如Buer Loader、Zloader和Qbot之类的恶意软件加载程序,这使得研究人员怀疑这些攻击可能是由勒索软件攻击者的分支机构发起的,或者勒索软件攻击者本身通过多个恶意软件即服务发起的。 研究人员表示:“这些功能使攻击者能够使用打包的脚本和可执行文件进行发现、过滤和横向移动,而无需动用键盘。” 商品恶意软件的兴起也表明了一种新的趋势,即勒索软件作为服务提供给附属公司,就像MountLocker那样,攻击者向附属公司提供双重勒索能力,以便以最小的代价分发勒索软件。 Gallagher表示:“在勒索软件即服务攻击中使用多种工具会产生越来越多样化的攻击模式,IT安全团队更难预测和应对。深入防御、员工培训和以人为基础的威胁搜索对于检测和阻止此类攻击至关重要。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Gitpaste-12 僵尸网络重新瞄准 Linux 服务器和物联网设备

一种新的蠕虫僵尸网络通过GitHub和Pastebin传播,在目标系统上安装加密货币矿工和后门,并扩展了攻击web应用程序、IP摄像机和路由器的能力。 上个月初,Juniper威胁实验室的研究人员记录了一个名为“Gitpaste-12”的加密挖掘活动,该活动使用GitHub来托管包含多达12个已知攻击模块的恶意代码,这些代码通过从Pastebin URL下载的命令执行。 这些攻击发生在2020年10月15日开始的12天中,而Pastebin URL和存储库于2020年10月30日被关闭。 现在,根据Juniper的说法,第二波攻击始于11月10日,使用的是来自不同GitHub存储库的有效负载,其中包括一个Linux加密矿工(ls)、一个包含暴力尝试密码列表的文件(pass),以及一个针对x86_64 Linux系统的本地权限提升漏洞。 最初的感染是通过X10-unix(一种用Go编程语言编写的二进制文件),然后从GitHub下载下一阶段的有效负载。 Juniper的研究员Asher Langton指出,“该蠕虫针对web应用程序、IP摄像头、路由器等进行了一系列广泛的攻击,涉及至少31个已知漏洞(其中7个漏洞在之前的Gitspaste-12示例中也出现过),试图破坏开放的Android Debug Bridge连接和现有恶意软件后门。” 31个漏洞中包括F5 BIG-IP流量管理用户界面(CVE-2020-5902)、Pi-hole Web(CVE-2020-8816)、Tenda AC15 AC1900(CVE-2020-10987)、vBulletin(CVE-2020-17496),以及FUEL CMS(CVE-2020-17463),这些漏洞都是今年曝光的。 值得注意的是,今年10月,人们观察到Mirai僵尸网络的新变种Ttint利用包括CVE-2020-10987在内的两个Tenda路由器零日漏洞,传播能够执行拒绝服务攻击、执行恶意命令、实现远程访问的反向shell的远程访问木马(RAT)。 除了在机器上安装X10-unix和Monero加密挖掘软件外,该恶意软件还打开了监听端口30004和30006的后门,将受害者的外部IP地址上传到私有的Pastebin,并试图连接到5555端口上的Android Debug Bridge连接。 连接成功后,它继续下载Android APK文件(“weixin.apk”),最终安装了一个ARM CPU版本的X10-unix。 据Juniper估计,总共至少有100个不同的宿主被发现传播这种感染。 完整的恶意二进制文件和其他与活动相关的危害指标(IOC)可以在这里访问。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”