分类: 黑客事件

“ 斗篷与匕首 ” 新型攻击来袭,可滥用合法权限接管任意版本 Android 设备

据外媒 25 日报道,安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger( “ 斗篷与匕首 ” ),允许黑客完全控制任意版本的 Android 设备( 包括最新版本 7.1.2 )、窃取私人敏感数据,其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。 有趣的是,此攻击手段并非利用 Android 生态系统中的任何漏洞,而是滥用流行应用商城中广泛使用的合法权限访问 Android 设备上的某些功能。Cloak and Dagger 主要利用 Android 系统的两项基本权限: SYSTEM_ALERT_WINDOW( “ draw on top ” ):合法覆盖功能,允许应用程序在 Android 设备屏幕上覆盖其他应用程序。 BIND_ACCESSIBILITY_SERVICE( “ a11y ” ):帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。 由于 Cloak and Dagger 无需利用任何恶意代码执行木马程序,因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。据悉,黑客可在安装恶意应用程序后执行各种操作,主要包括高级劫持攻击、无限制访问击键记录、隐身网络钓鱼攻击、静默安装获得所有操作权限的 God-mode 应用、在保持屏幕关闭的状态下解锁手机进行任意操作等。 简而言之,黑客可以暗中接管用户 Android 设备并监视设备上的一举一动。目前,虽然研究人员已向 Google 披露该攻击手段,但由于此类问题源自 Android 操作系统设计缺陷且涉及两个标准功能的正常运行,因此该问题恐怕一时无法解决。安全专家建议用户始终从 Google Play 商店下载应用程序并在安装应用程序之前仔细检查权限设置。 原作者:Swati Khandelwal, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

看个视频也被黑?流行播放器存安全漏洞,凭字幕文件可成功劫持用户系统

安全研究人员近期发现流行媒体播放器 Kodi 与 VLC 存在安全隐患,允许黑客利用恶意字幕文件 “ 完全控制 ” 用户个人电脑、智能电视与智能手机。目前,数亿用户正面临安全风险。 Check Point 专家表示,网络犯罪分子将 “ 精心制作 ” 的电影与电视节目文本文件传播至世界各地。一旦成功诱导用户下载运行,即可执行远程代码、接管用户设备。 字幕文本一般由写手创建并上传至互联网商店( 如 OpenSubtitles 或 SubDB ),随后系统会根据人气与可用性进行索引与排序。此外,安全研究人员发现黑客可能通过操纵在线存储库排名算法愚弄系统,迫使媒体播放器自动下载恶意字幕并规避所有用户交互行为。 研究人员发现全球最受欢迎的四款媒体播放器 VLC、Kodi( XBMC )、Popcorn Time 与 Stremio 均存在此安全隐患。而其他流媒体播放器也不排除存在类似安全隐患的可能。目前,厂商已修复相关漏洞并发布该应用程序最新版本。安全专家强调,为保护自身设备远离网络攻击风险,用户应将流媒体播放器升级至最新版本。 原作者: Jason Murdock, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄黑客入侵 100 多万部 Android 手机,盗取银行客户 5000 余万卢布

据外媒报道,俄罗斯官员于周一宣布,他们已成功打击一个专门盗取银行账户资金的黑客组织。俄罗斯内务部表示,这个团伙被称为 “ Cron ”,他们通过恶意软件 Cron 感染俄罗斯 100 多万部 Android 手机并盗取银行客户超过 5000 万卢布(约合人民币 609 万)。 俄罗斯网络安全公司 Group-IB 称,恶意软件 Cron 感染 Android 用户的手机后,允许黑客向受害者的银行发送短信并要求其向每个受害者平均转出 140 美元。病毒将会在被感染的手机上隐藏来自银行的所有通知。研究人员表示,目前为止,Cron 已将资金存入 6000 个黑客银行帐户。它相当于一种木马病毒,通过文本信息和虚假应用中的恶意链接传播。 Group-IB 平均每天有 3500 名受害者下载如 Navitel、Avito 和 Pornhub 等应用的虚假版本。该计划在俄罗斯是成功的。据俄罗斯中央银行表示,部分原因是五分之一的俄罗斯成年人使用手机银行。Group-IB 情报部门兼负责人 Dmitry Volkov 表示:“ 根据 2016 年高科技犯罪趋势报告,移动 Android 木马造成的损失总额超过 600 万美元,比上一个报告期增加了 471% ”。 据悉,该团队针对俄罗斯 50 家银行并计划在全球范围内扩张,目标主要为美国、德国、法国、新加坡、澳大利亚等国家的银行。黑客每月支付 2000 美元用于称为 Tiny.z 的木马,允许他们从世界各地的银行窃取资金。此外,该黑客组织大部分成员于去年 11 月 22 日被捕,其最后一名活跃成员于今年 4 月在圣彼得堡被捕。 稿源:cnBeta;封面源自网络

朝鲜网络精英战队 Unit 180 涉嫌参与黑客攻击活动

据外媒 21 日报道,安全专家发现朝鲜人民军侦察总局( RGB )下属的网络精英战队 Unit 180 涉嫌以谋取经济利益为目的、针对金融机构大肆展开网络攻击活动。 朝鲜外逃的前计算机科学教授 Kim Heung-kwang (金信宽)表示,Unit 180 成员可能化身为贸易公司、朝鲜海外分公司或中国与东南亚合资企业雇员,前往海外寻找比朝鲜更好的互联网服务并以此方式洗脱罪名。战略与国际研究中心专家 James Lewis 向 路透社 透露,朝鲜不仅利用黑客手段针对韩美两国开展间谍活动与政治骚扰,还在索尼被黑事件后改变策略,即通过支持犯罪活动为执政当局提供硬通货政权。据悉,这一战略显然比此前毒品、伪造与走私活动获益更多。 美国国防部在向国会提交的一份报告中指出,朝鲜可能 “ 将网络视为一种具有成本效益的不对称、可否认工具。这种工具几乎不具有报复性攻击风险,其部分原因是因为该国网络很大程度上与互联网相分隔 ”。此外,该报告还指出,朝鲜很可能为掩饰攻击起源与互联网基础设施通过第三方国家发起网络攻击活动。调查显示,马来西亚已经成为朝鲜网络攻击行动的基地,而朝鲜 RGB 也与两家马来西亚科技公司存有潜在联系。 警方表示,朝鲜曾于去年六月入侵 160 家韩国企业与政府机构逾 14 万台计算机设备。如今,恶意代码的植入已成为朝鲜长期国防计划的一部分,为大规模网络攻击奠定了基础。 原作者:Sarmistha Acharya, 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客针对波罗的海各国能源网络展开“探索性”攻击,或有政府背景

据外媒 20 日报道,北约( NATO )联盟网络安全专家发现有黑客组织针对波罗的海( Baltic )各国能源网络展开 “ 探索性 ” 攻击,导致其他国家禁用该地区能源网络。目前,北约联盟正密切关注此事,专家怀疑此事与俄罗斯政府存有潜在联系。 波罗的海成员国立陶宛、拉脱维亚与爱沙尼亚是欧盟计划将其电网与欧盟同步的主要成员。 据网络安全专家、政府官员与执法机构透露,黑客组织在过去两年里持续针对波罗的海能源网络展开 DDoS 攻击,旨在探测网络架构、找寻能源网络的弱点所在。其中,影响最为严重的攻击事件是东欧乌克兰特定地区能源电网导致大面积停电事件。 据路透社报道,黑客曾于 2015 年底发起一场大规模 DDoS 网络攻击,旨在控制波罗的海电网 Internet 网关。据悉,该场攻击活动虽然中断了部分地区的网络操作,但并未造成大面积停电现象。此外,该黑客除了针对波罗的海配油系统发起 DDoS 攻击以破坏汽油从储罐运送至加油站的网络连接外,还利用恶意软件攻击波罗的海电网网关。 目前,安全专家仍在调查上述事件,但不能排除黑客已成功入侵 波罗的海 国家关键基础设施的可能性。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客组织 APT32 展开多项网络间谍活动,或有越南政府背景

网络安全公司 FireEye 专家近日发现黑客组织 APT32(也称为:OceanLotus)瞄准越南境内多家行业机构、外国政府、持不同政见的组织及记者媒体展开大范围网络间谍活动,或有越南政府背景。 FireEye 安全专家注意到黑客组织 APT32 自 2014 年以来就针对越南多家境外制造业、消费产品生产业及酒店领域进行情报搜集活动,主要收集包括目标企业的运营情况、是否遵守越南相关条例等。APT 32 所获情报均与越南国家利益有关,对其普通公民毫无用处。此外,黑客组织 APT32 还利用独特的恶意软件结合商业工具针对外围安全企业及与境外投资相关的安全公司展开网络攻击。因此,安全专家推测黑客组织 APT32 可能与越南政府有关,但越南政府当即否认参与其中。 近期,安全专家监测到黑客组织 APT32 利用恶意软件发起网络钓鱼攻击活动。有趣的是,该附件并非 Word 文档,而是包含恶意宏的 ActiveMime 文件。此外,攻击者还使用合法的基于云的邮件服务跟踪分析钓鱼邮件是否成功投放。分析显示,此次攻击活动所使用的恶意工具包括一系列定制后门,如 Komprogo、Soundbite、Phoreal 与 Beacon 等。 专家提醒,随着越来越多的国家利用廉价高效的网络活动收集情报信息,各国公民有必要保持警惕、提高安全意识以防境外情报机构的渗透。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Microsoft Edge 浏览器漏洞:允许黑客绕过 SOP 窃取用户私人信息

据外媒 11 日报道,布宜诺斯艾利斯安全测试人员 Manuel Caballero 发现 Microsoft Edge 浏览器存在新型同源策略( SOP )漏洞,允许黑客绕过 SOP 窃取浏览器存储的用户账号登录凭证。 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。(百度百科) 研究发现,攻击者除了冒充请求发送方进行 referrer 欺骗以外,还可利用 data-uri 属性与多数网站采用 iframe 的现状实现一次完整的 SOP 绕过。此外,由于 Edge 密码管理器具有自动填充功能 ,可以呈现一个通用代码片段,一旦用户使用默认密码管理器,黑客将能够快速窃取用户信息。 简而言之,只要密码输入框是从正确的源加载,Edge 浏览器将自动填充那些没有 id 或 name 的密码输入框。如此黑客便能够通过向目标网站注入相应代码提取密码信息。 安全专家提醒用户,SOP 漏洞目前尚未修复。即使用户更新 Microsoft Edge 浏览器并重置密码也难以有效防御黑客发起新型攻击活动。 原作者:Richard Chirgwin, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客伪造 WordPress 核心域名、非法窃取 Cookie 数据

据外媒 10 日报道,安全公司 Sucuri 发现黑客利用一系列恶意软件将恶意代码注入合法 JavaScript 文件,伪装 WordPress 核心域名、窃取 cookie 数据及非法收集用户信息。 据悉,黑客通过误植域名( Typosquatting )或劫持 URL 技术制造虚假域名,而该技术通常依赖于用户在网络浏览器中错误输入 URL 。由于伪造网站被设计成一个看似合法的 WordPress 域名,所以代码显示并无异常。 调查显示,该恶意代码的条件语句并不包括搜索引擎抓取工具中用户代理的 cookie 数据,旨在帮助黑客从抓取工具与机器人中筛选出有价值 cookie。据悉,一旦确定数据有效,该脚本就会将其发送至恶意网站( code.wordprssapi [.] com )。此外,黑客除了在 WordPress JavaScript 文件底部注入恶意代码以外,还利用另一个 WordPress 漏洞注入混淆代码、恶意离线 WordPress 网站 。 研究人员表示,目前尚且无法确定恶意网站幕后黑手,而黑客在权限被撤销之前可以伪装用户执行权限内任何操作。在此,有必要提醒网站管理员除审核网站代码外还需仔细检查网站域名以确保不向第三方发送敏感数据(如 cookie 或密码)。 原作者:Chris Brook, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Handbrake 开发者提醒:你的 Mac 安全吗?

据报道,开源视频转换器应用 Handbrake 的镜像下载服务器最近被黑客攻击,其开发者日前已发布一份针对 Mac 用户的安全提醒。 开发者在声明中表示,镜像服务器上的原始 HandBrake-1.0.7.dmg 安装器文件目前已被恶意文件所替代。被攻击的服务器目前已经关闭,开发者将着手对其进行调查,不过开发者提醒,在 5 月 2 日下午 2:30 至 5 月 6 日上午 11:00 之间下载过文件的用户,你们的系统有 50% 的可能已经被木马入侵。而如果你们在 OS X Activity Monitor 应用中发现 Activity_agent 进程,那说明该系统已被感染。其受感染用户设备需要打开 Terminal ,然后运行以下指令才可删除恶意软件: launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist rm -rf ~/Library/RenderFiles/activity_agent.app if ~/Library/VideoFrameworks/ contains proton.zip,删除文件夹 此外,用户还需要将他们在系统上安装的任何 Handbrake.app 全部删除。安全起见,用户最好更改 OSX KeyChain 或者任何浏览器中保存的密码。 据悉,本次的恶意软件是 OSX.PROTON 的变体,苹果今年 2 月份更新了 XProtect 以防范原始 Proton 恶意软件。苹果于本月 6 日再次更新 XProtect 定义,目前用户设备应该已经自动悄然更新了。 Handbrake 用户如果是通过主要下载镜像或 Handbrake 网站下载,或者是应用内置的更新器 1.0 版本下载的话,那么你可以安心,这些地方的文件都没有受到影响。但如果用户使用的是 Handbrake 0.10.5 或更早版本的话,建议你们也检查看看自己的系统是否被感染。其中,带有以下校验和 HandBrake.dmg 文件是已被感染的系统: SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 / SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793 稿源:威锋网,封面源自网络

法国总统选举遭大规模黑客攻击,9GB 私密数据在线泄露

据外媒报道,法国总统候选人埃马纽埃尔·马克龙(Emmanuel Macron)谴责黑客 EMLEAKS 针对其竞选团队展开 “ 大规模黑客攻击 ”。EMLEAKS 于 5 日下午将马克龙竞选团队相关的 9GB 的数据发布到一个匿名文档分享网站 Pastebin 上。这些文件主要是关于 Macron 活动的邮件档案,包括候选人和顾问等。 目前还没有个人或团体宣布对此事件负责。然而,周四有用户在 4chan 论坛受欢迎的 / pol / 版块上承诺将提供关于 Macron 的数据。在这篇文章中,匿名用户声称具有证明 Macron 逃税的 “ swiftnet 日志 ”,但这似乎并不包含在周五泄露的数据中。 在一份声明中,马克龙领导的前进运动( En Marche! )已经确认被黑客入侵。 En Marche! 发言人在一份声明中表示:“ 前进运动已经成为大规模黑客攻击的受害者,这引起了社交媒体对各种内部信息的传播。” 法国将于 7 日举行第二轮大选,但是从当地时间 5 日零时法国进入总统选举第二轮投票前 “ 安静 ” 期。“ 安静 ” 期限制了针对黑客攻击行为的官方评论调查结果的公开,并将阻碍媒体进行报道。法国的社交媒体用户本应遵守 “ 安静 ” 期规定,但目前不少法国用户正在 Twitter 上讨论此次黑客攻击事件。 稿源:cnBeta,封面源自网络