分类: 黑客事件

伊朗黑客组织 APT33 瞄准多国航空国防能源机构展开新一轮网络攻击活动

HackerNews.cc  9 月 20 日消息,美国网络安全公司 FireEye 研究人员近期发现伊朗黑客组织 APT33 似乎开始瞄准多国航空、国防与能源设施展开新一轮网络攻击活动。目前,受影响机构包括美国航空航天公司、沙特阿拉伯商业集团,以及韩国石油石化公司。 黑客组织 APT33 至少于 2013 年就已针对多国关键基础设施、能源与军事部门发起攻击,旨在收集情报、窃取商业机密信息。 调查显示,黑客组织 APT33 通过发送附带恶意链接的网络钓鱼邮件感染目标设备,其主要使用的恶意软件包括 DROPSHOT(病毒传播器)、SHAPESHIFT(恶意软件删除器)与 TURNEDUP(自定义后门)。有趣的是,虽然该组织仅仅利用 DROPSHOT 传播 TURNEDUP 后门,但他们却在攻击活动中发现多款 DROPSHOT 释放样本。此外,恶意软件 SHAPESHIFT 则主要用于擦除磁盘信息并删除文件记录的操作。 目前,FireEye 推测,APT 33 针对沙特阿拉伯与韩国等开展网络攻击活动似乎与伊朗政府机构 NASR 有所联系,因为近期他们部分商业机构处于竞争关系。不过伊朗并未作出任何置评。 原作者:Swati Khandelwal,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新证据暗示俄罗斯曾利用Facebook组织支持特朗普的集会活动

据外媒报道,现在越来越多的细节显示,俄罗斯曾利用 Facebook 平台干涉 2016 年的美国总统大选。日前,The Daily Beast 在 Facebook 上发现了一个叫做 Being Patriotic 的群组,它的关闭时间跟其他与俄罗斯关联账号的关闭时间刚好一致,另外它所上传的迷因水印图以及所用的页面框架也跟这些账号极为相似。 这似乎都在强烈暗示 Being Patriotic 也是俄罗斯用于干涉美总统大选的账号之一。对此,Facebook 表示无法确认该细节发现。除了分享迷因图之外,Being Patriotic 还曾试图组织 4 场支持特朗普的活动,其中一场则是打算在佛罗里达州 17 座城市同时展开的活动。The Daily Beast 指出,他们至少已经发现 2 场活动最终得到实施–劳德代尔堡和科勒尔斯普林斯,并且它们都被 Facebook 记录在案。 据了解,Being Patriotic 账号关闭时拥有 20 多万名关注者,它还曾试图组织企图在纽约、费城、匹茨堡展开支持特朗普或反对希拉里的活动。因此,The Daily Beast 推测 Being Patriotic 是一家来自俄罗斯的互联网研究机构,该机构曾被美国情报部门视为是跟普金以及俄罗斯情报部门拥有密切关系的“专业水军”组织。虽然这并非公民第一次看到指明俄罗斯利用 Facebook 干涉美总统大选的报道,但这却好像是第一次让人们感受到该种行为带来的实质影响。 稿源:cnBeta,封面源自网络;

安全报告:黑客以 CCleaner 为跳板对科技公司发起后续网络攻击

据外媒报道,思科近期公布了一份安全研究报告,指出曾于今年 8 月攻击了用户广泛使用的电脑软件 CCleaner 的黑客,或将尝试感染微软、英特尔以及其他大型科技公司的设备。 尽管有 200 多万用户安装了已经感染的 CCleaner,但这款软件的持有商 Avast 却表示,他们并未在 8 月份的网络攻击中检测到任何损害。另外,Avast 方面宣称,由于他们跟研究人员和执法部门已经展开合作并在不久之前拿回控制权,所以外界的担心没有必要。 然而研究人员却指出,根据美国执法部门截获的控制服务器显示,黑客至少在选取的一个小组中的 20 台电脑上安装了额外的恶意软件。目前尚不清楚这些电脑为哪些公司持有,但数据显示,一些大型知名科技公司是黑客的主要目标,包括三星、索尼、Akamai 以及思科自身。 思科研究人员 Craig Williams 指出,攻击者可以将 CCleaner 安装作为立足接入点,旨在盗取来自目标公司的技术秘密。更加麻烦的是,他们还能在提供给政府或企业的产品中植入恶意代码。对此,Avast 首席技术官 Ondrej Vlcek 表示,只有极小一部分的终端受到后续感染,并且他们已经联系受影响公司进行恢复。 稿源:cnBeta,封面源自网络;

【攻击预警】匿名者 #OpIcarus 行动公布 57 个全球银行目标,中国 10 大银行在列

据创宇盾( Creation Shield, www.365cyd.com )安全舆情监控平台最新监测显示,匿名者官网之一的 anonymousglobaloperations[.]blogspot[.]it  发布了“ 2017 年世界最大银行” 57 个目标列表,内容包含银行名称、市值、网站、IP 以及端口,其中涉及我国的 10 个银行列表有:工商银行、建设银行、农业银行、中国银行、招商银行、交通银行、浦发银行、民生银行、兴业银行以及中信银行。 HackerNews.cc 在此再次提醒相关部门请警惕来自匿名者 #OpIcarus 行动的攻击行为。我们将为您持续关注并提供最新报道。  

Google 呼吁警惕政府支持的黑客发起网络攻击活动

Google 信息隐私和安全主管 Heather Adkins 表示,部分政府越来越多的购买 “ 现成 ” 的黑客攻击,这可让他们利用更容易、更低价的方式发动网络攻击。 Adkins 发表声明,宣称尽管政府支持的网络攻击不再新鲜,但网络攻击的数量仍在增加。他们通过购买现成的黑客攻击,就不再需要自己打造平台。因此,较小的政府机构能以低廉的价格发动网络攻击,不必组建自己的黑客团队。 安全分析人士将最近大量网络攻击归咎于得到政府支持的俄罗斯网络间谍。此外,得到政府支持的中国以及叙利亚黑客也被指控间谍活动。 稿源:solidot奇客,封面源自网络;

黑客利用 Subsystem for Linux 攻击 Windows 操作系统

据外媒报道,Windows 10 引入的 Subsystem for Linux(WSL)功能,允许用户 在 Bash 终端运行 Linux 可执行文件。安全公司 Check Point Research 研究人员近期报告了黑客利用 WSL 的新攻击方法,他们称之为 Bashware 攻击。 研究人员表示,现有的安全产品还没有适应去监视运行在 Windows 操作系统上的 Linux 可执行程序的进程,从而为网络犯罪分子打开了新的攻击大门,即利用 WSL 提供的功能躲避检测、运行恶意代码。目前,研究人员已在现有的杀毒软件和安全产品上测试了 Bashware 攻击,发现它能够躲避所有安全产品的检测。 稿源:solidot奇客,封面源自网络;

曾入侵美国国防部军事系统的英国黑客被判 18 个月监禁

25 岁的英国黑客肖恩 · 卡弗里( Sean Caffrey ) 于 2014 年 6 月 15 日入侵美国国防部( DoD )军事系统后访问超过 800 名卫星通信系统用户账号与电子邮件地址、窃取 3 万多条卫星电话通讯记录。国家通信协会( NCA )网络犯罪部门与西中部地区警察随后展开调查,并于 2015 年 3 月将其逮捕。2017 年 6 月 15 日,Caffrey 在 Birmingham Crown 法院认罪,承认窃取美国国防部军事卫星机密资料。 Birmingham Crown 法院根据相关法案条例于 2017 年 9 月 14 日宣布 Caffrey 判处结果,即该名黑客被判 18 个月监禁,缓期 18 个月。 NCA 国家网络犯罪调查主管 Tony Adams 表示:“由于 Caffrey 攻击政府计算机系统是一种极其严重的罪行,因此法院在其指导方针下对其判处该法规最高刑期。另外,值得注意的是,像此类黑客行为一旦被执法部门发现,将会被其严肃对待并提交至法庭处理 ”。联邦调查局驻洛杉矶总部的办公室主任 Danny Kennedy 表示,这一判处结果是国际执法部门合作的完美例子。联邦调查局将继续与各相关部门加强合作,共创合法网络安全空间。 原作者:Jason Murdock,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

RouteX 恶意软件:俄罗斯黑客利用 Netgear 路由器攻击财富 500 强企业

据外媒报道,安全研究人员近期发现一名俄罗斯黑客正通过恶意软件 RouteX 感染联网 Netgear 路由器后,针对财富 500 强企业展开网络攻击活动。 调查显示,该恶意软件劫持易受攻击的路由器后,会将其转变为 SOCKS 代理,然后展开 “ Credential Stuffing(证书填充)” 攻击。由于证书填充攻击会不断验证被盗密码有效性,因此攻击方式在自动化程度与暴力破解攻击上极其类似。不过,攻击者则是利用 RouteX 恶意软件通过 SSH 配置中的一处漏洞展开。据悉,该漏洞现存在于一些较老版本的 Netgear 路由器中。一旦遭受恶意软件感染,该路由器将会变成攻击者代理并限制其他攻击者访问。 此外,研究人员通过分析 RouteX 恶意软件的源代码发现了 10 个 C&C(命令和控制)的域名,其能够与攻击者过去使用的电子邮件匹配,从而找到黑客的线索。但当务之急,安全专家建议使用 Netgear 路由器的用户尽快升级设备,运行最新的固件版本,以防止攻击者的进一步动作。 稿源:新浪科技、中关村在线,封面源自网络;

流行音乐媒体 Vevo 服务器遭黑客组织 OurMine 入侵,致使逾 3.1 TB 内部文件与视频在线泄露

HackerNews.cc 9 月 16 日消息,流行音乐媒体 Vevo 服务器遭黑客组织 OurMine 入侵,致使逾 3.1 TB 内部文件与视频在线泄露,其中包括 90 多名不同艺术家私人档案(例如:泰勒斯威夫特、贾斯汀比伯、凯蒂佩里、小甜甜布兰妮、麦当娜等)、公司社交媒体战略备忘录、英国 Vevo 办公室禁用报警系统说明、电商营销信息、每周音乐排行榜等内部文件。 OurMine 是一个自称安全黑客的团队,他们经常通过侵入一些大咖的社交网络账号给自己打广告。就在上个月他们还曾窃取过 HBO 和《权力的游戏》的社交媒体账号(注:窃取 1.5TB 数据的并非 OurMine 团队),但 OurMine 宣称他们仅仅 “ 在测试 HBO 系统的安全性能 ”。不过,他们此前主要攻击的目标是科技圈内的 CEO、企业与新闻网站,旨在通过漏洞入侵社交账号后兜售自家安全服务。 黑客组织 OurMine 在窃取 Vevo 大量数据后于 9 月 14 日通知公司,但遭到雇员怀疑与亵渎。不过,尽管 OurMine 已泄露大量数据,但他们还是在官网声称:“ 如果 Vevo 代表主动与我们取得联系,我们会立即删除数据 ”。最终,OurMine 删除了在线数据。随后,Vevo 在一份声明中证实并表示此次泄露事件主要是通过网络钓鱼攻击的结果。目前,Vevo 已妥善解决这个问题并正在加大调查力度,以确保公司信息安全。 原作者:Hyacinth Mascarenhas,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

趋势科技:韩文处理器 HWP 系统遭黑客网络钓鱼攻击

HackerNews.cc  9 月 14 日消息,趋势科技( Trend Micro )研究人员近期发现黑客正以 “ 比特币 ” 或 “ 金融安全准则 ” 为主题分发附带恶意 PostScript 代码的文件,旨在感染韩文处理器(HWP)系统、展开网络钓鱼攻击活动。 图一:诱导文件样本 韩文处理器(HWP)是一款颇受韩国公民欢迎的文字处理应用程序,它具备运行 PostScript 代码的功能,这是一种最初用于打印与印刷系统的编程语言。另外,PostScript 的其中一个分支被称为 Encapsulated PostScript(被封装的 PostScript 格式),它增加了运行代码的限制范围,从而使部分文档的打开更加安全。但不幸的是,较老版本的 HWP 系统并未约束这些限制。 调查显示,此类攻击手段主要是利用恶意 PostScript 代码在受害设备上获取立足接入点,以便展开攻击活动。虽然 PostScript 无法执行 shell 命令,但它确实能够操控目标设备文件。此外,研究人员表示,攻击者入侵目标设备后,首先将系统文件丢弃到各种启动文件夹中,并在等待用户重启设备前使用不同攻击方式破坏系统,其攻击方式包括: Ο 在启动文件夹中删除快捷方式执行 MSHTA.exe 文件。 Ο 删除启动文件夹中的快捷方式和%Temp%目录中的 DLL 文件。该快捷方式主要调用 rundll32.exe 执行 DLL 文件。 Ο 在启动文件夹中删除可执行文件。 图二: HWP 文件中的代码示例 目前,经调查显示,2014 年以后更新的版本不易受此类问题影响。因此,研究人员建议用户更新至最新版本,以防黑客攻击、保障系统安全。 稿源:Trend Micro,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接