分类: 黑客事件

黑客组织窃取 ESET 杀毒软件日志 观察他们的恶意程序有没有检测出

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月,三个目标分别是国家议会和外交部,黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。 ComRAT 的最新版本是 v4,研究人员观察到了 ComRAT v4 的新变种包含了两项新功能:收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。 安全研究人员认为,黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来,他们可以进行调整以躲避检测。     (稿源:solidot,封面源自网络。)

黑客叫卖 Wishbone 4000 万注册用户的数据

外媒报道称,一名黑客正在叫卖 Wishbone 4000 万注册用户的详细信息,且宣称这批数据是在今年早些时候的黑客攻击活动中窃取的。作为一款流行的移动 App,其允许用户通过简单的投票调查,在两个物品之间展开比较。然而 ZDNet 指出,Wishbone 的大量注册用户信息正在多个黑客论坛上挂牌叫卖,价格仅为 0.85 个比特币(约 8000 美元)。 卖方挂出的示例表明,数据库中包含了 Wishbone 的用户名、电子邮件、电话号码、所在城市、以及密码的哈希值等信息。 黑客声称密码为 SHA1 格式,但 ZDNet 审查发现样本中包含 MD5 格式的密码。 作为一种弱密码散列格式,MD5 很容易被暴力破解算出原始的纯文本字符串,甚至线上就有许多可免费使用的破解工具。 此外数据库汇总包含了指向 Wishbone 个人资料图片的链接,样本中明显涵盖了大量的未成年人用户群体。 黑客声称 Wishbone 应用数据是在今年早些时候发生的一次攻击中窃取的,样本中包含的用户注册和最后登录日期可证明这一点(追溯到 2020 年 1 月),但目前尚不清楚是谁将它挂到黑客论坛上叫卖的。 ZDNet 分析发现,该黑客目前还在兜售数十家其它企业的数据库(总计超过 15 亿条记录),且大多数都来自前些年有被报道过的企业,比如 2017 年波及 Wishbone 的 220 万用户数据泄露事件。 尽管 Wishbone 未披露近年来的用户规模数据,但该 App 多年来一直是 iOS App Store 排名前 50 的社交类应用(甚至在在 2018 年窜升至前 10),谷歌 Play 商店的下载量也在 500 ~ 1000 万之间。   (稿源:cnBeta,封面源自网络。)

黑客 Sanix 在乌克兰被捕 曾贩卖数十亿用户的登陆凭证

乌克兰特勤局今日宣布逮捕了一位名叫 Sanix 的黑客,其曾通过黑客论坛和 Telegram 渠道贩卖数十亿受害用户的登陆凭证。本次逮捕发生在乌克兰西部城市 Ivano-Frankivsk,但官方为披露黑客的真名。作为地下黑客论坛的老成员,有关部门最早在 2018 年追溯到了他的线索。 在安全专家看来,Sanix 的身份更像是一位二道贩子(数据中间商 / Data Broker)。其收集了被黑客入侵的企业泄露的大量数据,将之整理汇总出大量的用户登陆凭证(ID 和密码)。 Sanix 随后将数据贩卖给其它在灰色地带从事网络犯罪的恶意行为者,比如垃圾邮件发送者、密码破解者、账户劫持者、以及暴力僵尸网络的幕后黑手。 在 Telegram 上,Sanix 也曾化名 Sanixer 。其最初负责‘组装’一系列用户名和密码组合,并打包成 #1、#2、#3、#4、#5、Antipublic 等数据集合。 这些资料涵盖了数十亿个唯一的用户名和密码组合,合计容量达到了数 TB,并且已经在私底下被贩卖多年。 然而威胁情报公司 IntSights 指出,部分资料在与另一位二道贩子 Azatej 发生纠纷后在网络上被泄露(Azatej 被认为是贩卖被盗数据的 Infinity Black 门户网站的幕后黑手)。 尽管 Azatej / Sanix 只是泄露了打包后的旧数据,却还是在 2019 年 1 月引发了媒体的强烈关注。时至今日,Collection #1 甚至在维基百科上都拥有了专属的介绍页面。 据悉,Azatej 陆续泄露了多个数据包。但在欧洲刑警组织针对 Infinity Black 采取的一系列行动中,Azatej 已于本月早些时候被逮捕。 乌克兰特勤局(SSU)在今日的新闻发布会上表示,其在 Sanix 的计算机上找到了 Collection#1 的副本,以及至少七个类似的被盗密码数据库。 除了收集用户名和密码,Sanix 的计算机上还存储了与银行卡 PIN 码、加密货币钱包、PayPal 账号、以及 DDoS 僵尸网络有关的信息。 随后的统计发现,SSU 一共从 Sanix 的住所中查获了 2TB 的数据、以及 3000 美元和 19 万格里夫纳(约 7000 美元)的赃款。   (稿源:cnBeta,封面源自网络。)

英国易捷航空遭黑客入侵 约 900 万客户个人信息被窃取

英国廉价航空公司易捷航空EasyJet的一份声明称,在一次重大数据泄露事件中,约900万客户个人信息被窃取,其中包括2200名客户的信用卡详细信息也被获取,但护照记录暂未发现泄露。易捷航空没有透露安全事件是何时发生的,也没有说明黑客是如何进入其系统的。 公司表示,已经将泄密事件提交给了英国的数据保护机构信息专员办公室(Information Commission’s Office)。根据欧洲数据保护规则,公司有72小时的时间向监管机构通报安全事件。 和航空业的其他公司一样,这家航空公司也受到了冠状病毒大流行的沉重打击,疫情迫使全球大量人口呆在家里,商务旅行和度假被大量搁置。 在COVID-19大流行之前,EasyJet在2019年运送了超过2800万名乘客,EasyJet也是首批向英国政府请求救助以防止财务崩溃的公司之一。 英国监管机构ICO去年表示,在一次数据泄露暴露了50万客户的预订细节后,打算对英国航空公司(British Airways)处以创纪录的1.83亿英镑(约合2.3亿美元)的罚款,原因是黑客在其网站上安装了Skiming恶意软件后,盗走了数千个客户信用卡号码。     (稿源:cnBeta,封面源自网络。)

Zerodium 宣布暂停购买 iOS 漏洞:因参与黑客数量过多

据外媒报道,愿意为苹果iOS操作系统漏洞支付200万美元的Zerodium表示,由于最近针对该平台的黑客数量的大幅增加,该公司宣布暂停购买该平台漏洞。换言之,这家公司不再愿意在iOS黑客身上花那么多的钱–只因参与其中的黑客太多了。 Zerodium表示,针对iOS的攻击数量激增的一个可能原因是,越来越多的研究人员在寻找苹果操作系统中的安全漏洞以及可以通过逆向工程仔细检查代码的越狱。而由此带来的后果是,该公司在几个月内不再对iOS漏洞的具体类型感兴趣。 这家在Twitter宣布称:“在接下来的2到3个月里,我们不会收购任何新的苹果iOS LPE、Safari RCE或sandbox escapes,因为这些矢量相关的提交数量很高。”在不久的将来,没有持久性的iOS一键式内容的价格可能会下降。” Zerodium CEO兼创始人Chaouki Bekrar表示:“只有PAC和非持久性才能阻止它走向零……但我们看到许多绕过PAC的漏洞,还有一些持续漏洞(0日)在所有iPhone / iPad上都存在。让我们期待iOS 14会更好。” 苹果预计将在今秋发布iOS 14,极有可能跟新一代iPhone一起发布。然而,该操作系统更新的预览版预计将在WWDC会议上发布,并在会议结束后不久向测试人员发布早期测试版。   (稿源:cnBeta,封面源自网络。)

美特勤局证实有海外黑客团队骗取失业救助金 已损失数亿美元

新冠疫情期间,美国各州发放了失业救助金。不过根据美国特勤局(U.S. Secret Service)最新发布的警告,有海外诈骗团伙利用此前窃取的身份资料申请救助金,导致数百万美元的资金外流。 援引《纽约时报》本周六报道,美国特勤局认为有一伙来自尼日利亚的犯罪分子利用此前从网络攻击中窃取的个人信息,可能窃取了最高数亿美元的救济资金。 根据纽约时报披露的一份特勤局备忘录,该诈骗团伙的主要目标是华盛顿州的失业办公室,但也攻击了佛罗里达州、马萨诸塞州、北卡罗来纳州、俄克拉荷马州、罗得岛和怀俄明州。 美国特勤局本周六证实,确认存在针对多州失业保险计划资金的犯罪行为,但没有就细节发表评论。该机构表示,这些盗窃案通常涉及骗子利用身份盗窃来提交虚假的失业保险金,然后利用社会工程来清洗由此产生的钱,这样犯罪分子就无法被追踪到。 美国特勤局在一份声明中写道:“特勤局的主要调查重点是减轻犯罪分子针对公民身份盗窃和网络犯罪的所有企图,而这次与COVID-19有关。”   (稿源:cnBeta,封面源自网络。)

黑客通过多个交易所尝试洗白窃取的以太坊

去年 11 月 27 日,Upbit 交易所遭入侵,34.2 万以太坊被盗走。黑客之后在 12 月和 1 月通过多个数字货币交易所洗掉了超过 23.6 万以太坊。剩余的以太坊一直留在黑客的钱包里。跟踪数字货币交易的 Clain 报告,黑客最近开始尝试通过多个交易所洗掉剩余的以太坊。 黑客利用了多个知名的交易所,其中包括币安(Binance)、火币和 OKex。对窃取 Upbit 以太坊交易的跟踪显示,币安是利用率最高的交易所。 币安官方表示它已经阻止了黑客的交易,数据显示黑客使用的钱包地址活跃了很长时间,直到最近才被屏蔽。     (稿源:solidot,封面源自网络。)

欧洲多台超级计算机中毒 沦为挖矿肉鸡

本周,欧洲突然曝出多达十数台超级计算机感染恶意挖矿软件,沦为挖矿肉鸡。据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告,表示关闭ARCHER的系统进行调查,并且为了防止再次被攻击,重置了SSH(安全外壳协议)密码。 同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题,旗下5台超级计算机/高性能计算集群bwUniCluster 2.0、ForHLR II、bwForCluster JUSTUS、bwForCluster BinAC、Hawk现起关闭。 周三安全研究员Felix von Leitner在博客中称,位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响,因此被关闭。 周四更多被感染的超级计算机浮出水面,巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞,其管理的计算集群断开互联网连接。 当天晚些时候,德国朱利希研究中心紧接着表示由于发生“IT安全事件”,必须关闭旗下JURECA,JUDAC和JUWELS超级计算机。 就在昨天瑞士苏黎世的瑞士科学计算中心也表示在直到外部环境安全之前,将持续关闭其超级计算机的外部访问。 目前尚不清楚究竟是什么人或组织实施了这些攻击,但据安全公司分析,黑客是通过窃取SSH凭证获得了超级计算机的访问权限,而大学内部人士因为有权访问这些超级计算机而最有嫌疑。 实际上被劫持的SSH登录名分别属于加拿大、中国和波兰的大学。 而且虽然没有证据证明所有的攻击都是由同一组织实施的,但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。     (稿源:快科技,封面源自网络。)

微软向公众开放与新冠病毒相关的黑客攻击活动的威胁数据

据外媒报道,微软周四宣布,该公司正在将其收集的与新冠病毒相关的黑客攻击活动的威胁情报公开。“作为一个安全情报社区,当我们分享的信息能够提供更完整地了解攻击者的转移技术时,我们就会更强大,”微软威胁情报团队在一篇博文中说。“这种更完整的视图使我们都能更主动地保护、检测和防御攻击。” 微软决定开放其feed,以提高人们对攻击者在新冠大流行期间不断变化的技术的认识–尤其是对于那些可能不具备该公司所拥有的广泛可见性的人来说。该安全团队写道:“微软每天处理跨越身份、端点、云端、应用和电子邮件的数万亿个信号,这为我们提供了广泛的COVID-19主题攻击的可视性,使我们能够在整个安全栈中检测、保护和应对这些攻击。” 由26个成员组成的网络安全威胁共享非营利组织 “网络威胁联盟”(Cyber Threat Alliance)总裁兼首席执行官迈克尔-丹尼尔(Michael Daniel)表示,大流行期间犯罪活动的转变首次将目标锁定在使用新平台的人身上。 “总的来说,安全行业的恶意活动数量并没有增加;但是,我们看到这种犯罪活动的重点发生了迅速而急剧的转移,”前白宫网络安全协调员Daniel告诉CyberScoop。“坏人已经试图利用人们的恐惧、整体信息的匮乏以及许多在线平台的首次用户的增加等因素,将重点转移到了COVID-19的相关主题上。” 在网络犯罪分子和国家行为者开始用新冠病毒和医疗保健主题的鱼叉钓鱼邮件或虚假的移动应用程序在全球范围内瞄准受害者几个月后,微软进行了这一举动。微软正在提供的信息包括在大流行病相关的鱼叉钓鱼电子邮件活动中的恶意附件中使用的文件散列指标。其中包括的许多电子邮件诱饵都模仿了世界卫生组织和红十字会的品牌,而其他诱饵似乎是在与目标共享有关COVID-19的信息。 微软分享的283个威胁指标可以通过微软的Graph Security API或Azure Sentinel的GitHub页面获得。 Mandiant Threat Intelligence的高级首席分析师Sarah Jones告诉CyberScoop,这种公开的共享很可能会对致力于打击新冠病毒相关威胁的中小型企业有所帮助。“我们还没有机会观察到微软的这一功能,不过,拥有多种方式整合和查询外部的intel feeds,对于网络防御者来说总是有帮助的。”ones说。“此外,向客户发布高质量的和经过审核的‘Compromise指标’馈送,对于中小型企业来说,可以成为一种力量的倍增器。” Cofense首席技术官Aaron Higbee对这一举措表示欢迎,但他补充说,滥用微软Office 365的网络钓鱼邮件非常猖獗。 “我们赞扬所有的努力,以保护人们免受网络钓鱼攻击的攻击,这些攻击利用了人们对大流行病的恐惧和担忧。”Higbee告诉CyberScoop。“Cofense的客户对微软无法过滤掉网络钓鱼邮件表示出越来越多的不满。当他们得知钓鱼邮件来自于Office 365账户,并且钓鱼套件托管在Office 365上时,他们就会变得特别恼火。我很好奇,在微软选择分享的283个网络钓鱼指标中,有多少个是托管在Office 365内的。” 几个星期前,多个网络安全志愿者团体联合起来,帮助医疗机构在大流行期间应对突发的网络安全威胁。其他公司此前已经宣布,他们正在更广泛地提供服务。   (稿源:cnBeta,封面源自网络。)

威胁长期存在 黑客 5 分钟即可破解 Thunderbolt

你的电脑很可能又被黑客盯上了。近日,据外媒报道,一名荷兰研究人员 Ruytenberg 展示了黑客如何通过 Thunderbolt 实施物理访问进而攻击电脑,并指出了 7 类漏洞 : 固件验证方案不足 弱设备认证方案 未经验证的设备元数据的使用 使用向后兼容性降低攻击级别 未经验证的控制器配置的使用 SPI 闪存接口缺陷 在 Boot 营地没有雷电安全 研究者指出,这些漏洞适用于自 2011年以来所有装有 Thunderbolt 的计算机,并且允许拥有物理访问权限的攻击者从加密的驱动器和内存中快速窃取数据。 更可怕的是,即便你的设备即使处于睡眠模式或锁定的状态、设置安全引导、使用强 BIOS 和操作系统帐户密码以及启用完全磁盘加密,攻击仍然有效,并且这种攻击不会留下任何痕迹,也不需要任何形式的网络钓鱼,还可以从加密驱动器中窃取数据,而完成这一过程只需要 5 分钟。 研究人员将这一漏洞命名为 Thunderspy。值得注意的是,这是个硬件级漏洞,只要几百美元的设备就能攻破该漏洞。 在 Mac 电脑和部分 Windows 电脑上,Thunderbolt 端口能够被用来连接外围设备,比如显示器、高速网络适配器、普通硬盘和容量更大的存储阵列。在笔记本电脑上,一个 Thunderbolt 插接站就可以让你的电脑接入闪存读卡器、电源电缆、HDMI 显示器、以太网以及 USB 鼠标和键盘。 但一直以来,Thunderbolt 有一个让安全研究人员都很担心的问题:因其更快的数据传输速度,并且允许比其他端口更直接地访问计算机内存,所以导致漏洞的风险也更大。 3 个月前,Ruytenberg 向英特尔报告了这一漏洞,经核查,英特尔承认了这一漏洞。 英特尔表示:“虽然潜在的漏洞并不是新出现的,而且在去年的操作系统发布版中就已经解决了,但是研究人员在没有启用这些缓解措施的系统上使用定制的外围设备,演示了新的潜在物理攻击载体。 但他们并没有证明 DMA 攻击能够成功地攻击启用了这些缓解措施的系统。对于所有系统,我们建议遵循标准的安全实践,包括只使用受信任的外围设备和防止未经授权的物理访问计算机。英特尔将继续改进 Thunderbolt 技术的安全性,感谢来自埃因霍芬理工大学的研究人员向我们报告了这一情况。” 不过,Ruytenberg 有不同的看法,因为在实验中,他们没有发现任何一台戴尔电脑安装了上述保护措施,只有部分惠普和联想笔记本安装了。 此外,这些漏洞也无法通过软件更新修复,因为它们本质上与硬件设计有关,即使用户在操作系统中调整了安全设置,也不能完全避免此类攻击,所以只能靠今后重新设计硬件才能完全解决。 也就是说,目前还无法解决这个威胁。黑客如何在无密码解锁的情况下攻入你的电脑的? 为了进一步证明这个漏洞的影响,Ruytenberg 在 youtub 上传了一段分析视频 详情请见:https://www.youtube.com/watch?v=3byNNUReyvE 在演示视频中,他卸下了电脑的后盖,将 SPI 编程器和主板上的雷电控制器连接起来。 然后在另一台电脑上的雷电接口上插入一个自制破解设备,运行 PCI Leech 软件(一种内核插入和攻击工具),通过改变控制 Thunderbolt 端口的固件,允许任何设备访问,而整个过程只用了 5 分钟。 这样一来,攻击者可以永久禁用 Thunderbolt 安全并阻止所有未来的固件更新。该攻击只需要价值约 400 美元的装备,包括一个 SPI 编码器和价值 200 美元的 Thunderbolt 外设。当然,除了上面要拆开笔记本的方法外,Thunderspy 攻击还有一种无需物理侵入的方法。即通过创建任意的雷电设备身份,克隆用户授权的雷电设备,最后获得 PCIe 连接以执行 DMA 攻击。 这样,无需打开电脑外壳,即可绕过目标设备的锁定屏幕。但是,只有将雷电接口的安全性设置为允许受信任设备的默认设置时,这种无需物理侵入的 Thunderspy 攻击才有效。 目前,英特尔尚未发布任何 Thunderspy 漏洞的 CVE 信息,并且不计划发布针对市场上已有系统的修复程序。苹果则决定不为 Thunderspy 提供修复程序。 所以,对于用户来说,怎样保护电脑不被黑客攻击呢?安全研究人员也给出了一些建议。 通过免费的开源工具 Spycheck,验证是否受到 Thunderspy 的攻击: 验证地址:https://thunderspy.io/ 只连接自己的 Thunderbolt 外设;不要把它们借给任何人; 避免开机时无人值守系统,即使屏幕被锁定; 避免让 Thunderbolt 外设无人看管; 存储系统和任何 Thunderbolt 设备(包括 Thunderbolt 供电的显示器)时,确保适当的物理安全; 避免使用睡眠模式(内存挂起)。   (稿源:雷锋网,封面源自网络。)