分类: 黑客事件

黎巴嫩外交部及 20 个黎巴嫩驻外大使馆门户被黑

在本月 11 日,一个自称 “Team Bad Dream” 的黑客组织攻破了黎巴嫩外交部和 20 个黎巴嫩驻外大使馆的官方门户网站,并将一个名为 “default.html” 的网页镜像文件上传到了 Zone-h(国际著名黑客站点),用于记录自己的“战绩”。目前,尚不清楚黑客组织发起攻击的动机和目的。黑客只在页面上留下了一条用阿拉伯文编写的消息 “عاصفةالحزمقأدمةإلىلبنان”,谷歌翻译器将其翻译为“暴风雨来到黎巴嫩”。 当然,黑客组织采用了怎样的方法成功攻破了这些网站也是未知的,并且官方也没有发布任何有关黑客组织是否已经窃取了敏感数据的声明。根据调查,被黑的网站似乎都托管在同一台 Windows 2012 服务器上,由一家名为 “WeHostWebSites” 的美国公司负责管理。这意味着黑客组织可能以某种方式黑入了该服务器,进而才导致如此多的网站同时被攻破。根据 Zone-h 记录的信息我们可以看到,被攻陷的网站包括: 黎巴嫩驻马德里大使馆(西班牙)、黎巴嫩驻加蓬共和国大使馆(利伯维尔)、黎巴嫩驻纽约总领事馆、黎巴嫩驻委内瑞拉玻利瓦尔共和国大使馆、黎巴嫩驻苏丹共和国大使馆(喀土穆)、黎巴嫩驻匈牙利大使馆(布达佩斯)、黎巴嫩驻埃及阿拉伯共和国大使馆(开罗)、黎巴嫩驻摩洛哥大使馆(拉巴特)、黎巴嫩驻亚美尼亚共和国的大使馆(埃里温)、黎巴嫩驻巴基斯坦伊斯兰共和国大使馆(伊斯兰堡)、黎巴嫩驻尼日利亚联邦共和国大使馆(阿布贾)、黎巴嫩驻瑞士大使馆、黎巴嫩驻马来西亚大使馆(吉隆坡)、黎巴嫩驻阿曼苏丹国大使馆(马斯喀特)、黎巴嫩驻英国大使馆、黎巴嫩驻印度尼西亚共和国大使馆(雅加达)、黎巴嫩驻德意志联邦共和国大使馆(柏林)、黎巴嫩驻里约热内卢总领事馆、黎巴嫩驻瑞典王国大使馆(斯德哥尔摩)以及黎巴嫩驻希腊共和国(雅典)。 值得注意的是,这已经不是黎巴嫩外交部首次遭到黑客入侵。根据 Zone-h 的记录,该网站曾被黑客入侵过两次。最近的一起攻击事件是在 2017 年 3 月 21 日,一个自称来自黑客组织 “AnonGhost Team” 代号为 “Mr.Domoz” 的黑客上传了一个名为 “domoz.htm” 网页镜像文件。而早在 2015 年,一名来自约旦代号为 “MoThAnnA-X” 的黑客上传了一个名为 “x.htm” 的网页镜像文件。 稿源:黑客视界,作者:碰瓷党;封面源自网络。

Parity 逾 2.8 亿以太坊遭到冻结,竟是由黑客蓄意触发漏洞导致

作为比特币的竞争对手,成立于 2014 年的加密货币以太坊(Ethereum)在全球市场日益升温,总价值超过 280 亿美元。但随之以太坊的安全问题也日益突显,上周再次被曝以太坊钱包存在关键漏洞,导致价值逾 2.8 亿美元的以太坊遭到冻结。以太坊钱包 Parity 的幕后公司 Parity Technologies 随后证实,由于自 7 月 20 日开始部署的多重签名钱包出现技术问题,导致逾 580 个多团体钱包受到此次事件影响。 近期,Parity 的其中一家客户–VR 3D 模型创业公司 Cappasity 发表声明,宣称其价值约 100 万美元的以太坊钱包遭到冻结,并表示此次事件并非偶然,而是一场蓄意的黑客活动。Parity 在追踪黑客交易时发现此次攻击由一名 GitHub 用户 devops 199 蓄意触发漏洞导致。然而,Cappasity 创始人 Kosta Popov 在一份声明中表示,如果 Parity 近期没有妥善解决此次问题,他们将申请执法机构进行下一步调查。 目前,虽然 Parity 尚未更新以太坊钱包的恢复情况,但其以太坊并未被触及。不过,在妥善解决这个问题之前,用户不太可能获取所被冻结的资金。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

瑞典电台遭黑客入侵,播放 30 分钟 IS 宣传歌曲

新加坡《联合早报》11 月 10 日报道称,瑞典电台 Mix 遭黑客入侵,播放了 30 分钟宣扬极端组织 “伊斯兰国” 的歌曲。该电台负责人格维斯丹发布声明证实此事,并表示将报警及向政府当局投报。 报道称,被播放的歌曲曾被用在宣传和招募极端分子前往伊拉克和叙利亚的视频上。电台方面认为,有人用发射器干扰了电台的频道。Mix 是瑞典主要电台,每天约有 140 万人收听,而受影响的是该台在南部城市马尔默(Malmo)的频道。 稿源:网易新闻、环球网,封面源自网络;

调查结果显示全球约 2500 家网站被植入挖矿代码、窃取加密货币

据外媒报道,黑客入侵网站植入挖矿脚本后利用用户的 CPU 挖掘数字货币的做法越来越流行。其相关数据统计,目前已有 2,496 家运行过时软件的网站遭到黑客植入恶意代码,并利用访问者 CPU 挖掘门罗币。 研究人员表示,其中 80% 的网站还被植入了其它恶意程序,允许黑客窃取访问者的银行卡信息。据称,这些网站植入的都是 Coinhive.com 提供的脚本,其中 85% 被入侵网站植入的脚本属于两个 Coinhive 账号、15% 的则属于其他 Coinhive 账号。值得注意的是,这些账号正被一个人或一个组织控制。 此外,根据资源管理器显示,CPU 占用率超过了 95%,而关闭这个网站后立即降到 9%。因此,如果用户打开内嵌挖矿代码的网站后不关闭,每台电脑每个月都会多消耗2.9-5美元的电费,这还不算对硬件寿命的额外损耗。目前,研究人员提醒用户可以通过广告屏蔽工具或专门扩展阻止挖矿脚本的运行。 稿源:根据 cnBeta、solidot奇客 综合整理,封面源自网络;

安全报告:越南黑客组织 APT32 成为威胁领域中 “最先进” 网络犯罪团伙之一

据外媒 11 月 7 日报道,网络威胁响应公司 Volexity 近期发表一份安全报告,宣称越南黑客组织 APT32 已然成为当今威胁领域中 “最先进” 的网络犯罪团伙之一。 黑客组织 APT32(也称为:OceanLotus)自 2012 年以来一直处于活跃状态,其主要针对越南境内多家行业机构、境外组织、政客与记者展开大规模网络间谍活动,或有越南政府背景。 FireEye 安全专家此前曾注意到黑客组织 APT32 自 2014 年以来就已针对越南多家境外制造业、消费产品生产业及酒店领域进行情报搜集活动,其中包括目标企业的运营情况、是否遵守越南相关条例等。知情人士透露,APT 32 所获情报均与越南国家利益有关,但对其普通公民毫无用处。此外,该黑客组织还利用独特的恶意软件结合商业工具针对外围安全企业及与境外投资相关的安全公司展开网络攻击。因此,安全专家推测黑客组织 APT32 可能与越南政府有关,但该国否认参与其中。 Volexity 研究人员于今年 5 月以来一直在跟踪该黑客组织攻击活动,他们观察到 APT32 主要瞄准亚洲多个国家、东南亚国家联盟(ASEAN)、媒体,以及人权和公民社会组织展开大规模监视与网络间谍活动,而这些攻击似乎是通过战略性破坏目标网站进行,并已经发生在多个备受瞩目的东盟峰会上。Volexity 认为,该黑客组织的攻击规模可以与俄罗斯 APT 组织 Turla 相提并论。 目前,Volexity 在分析了 APT 32 最近一起活动后总结了该组织的主要攻击特点: ο 主要通过战略性破坏网站进行大规模数字化分析与信息收集活动; ο 瞄准与政府、军事、人权、公民社会组织、媒体、国家石油勘探等有关的个人与组织发动攻击; ο 使用白名单定位目标用户与组织; ο 利用自定义 Google Apps 访问受害者的 Gmail 帐户,以窃取电子邮件和联系人等敏感信息; ο 战略性和有针对性的修改受害网站视图,以便安装恶意软件或窃取访问者的电子邮件帐户; ο 大型 DDoS 攻击的基础架构由多家服务器托管商提供; ο 伪造合法在线服务与组织的域名分发恶意软件,如 AddThis、Disqus、Akamai、百度、Cloudflare、Facebook、Google 等; ο 加密目标企业 SSL/TLS 证书; ο 开发并使用多款后门软件,如 Cobalt Strike 等。 Volexity 表示,黑客组织 APT32 正迅速发展并增强自身能力,因此安全专家认为该威胁团队已然成为当前领域中 “最先进” 的组织之一。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

神秘黑客组织 SowBug 利用新恶意软件 “Felismus” 窃取南美、东南亚等多国外交机密

HackerNews.cc 11 月 7 日消息,赛门铁克研究人员近期发现神秘黑客组织 SowBug 正肆意分发一款新型恶意软件 “Felismus”,意在窃取阿根廷、巴西、厄瓜多尔、秘鲁与马来西亚等多国政府机构的外交机密。 Felismus 是一款复杂的远程访问木马,其模块化结构允许黑客通过后门隐藏或扩展恶意功能。像多数银行木马一样,该恶意软件不仅允许黑客完全操控受害系统,还允许他们通过远程服务器进行通信、下载文件与执行 shell 命令。 调查显示,黑客组织 SowBug 至少从 2015 年开始活动,其主要瞄准南美、东南亚地区的多个国家机构进行一系列针对性攻击活动。此外,研究人员发现该组织资源充足,能够同时渗透多家系统并在目标机构的工作时间外运作。相关证据表明,该攻击者主要使用一款黑客工具 Starloader 通过 Windows 或 Adobe Reader 更新时在受害者的网络中部署恶意软件。 研究人员表示,他们已经发现黑客通过 Starloader 工具分发恶意文件 AcrobatUpdate.exe 和 Intelupdate.exe 的证据。不过,值得注意的是,攻击者并没有损害系统软件本身,而是重新命名了恶意文件的名称,使其与合法软件所使用的文件名类似,并将它们放置在目录中,从而不会引起怀疑。此外,Sowbug 黑客还采取了其他一系列措施规避安全软件的检测。 研究人员表示目前所掌握的证据还不足以揭露黑客组织 Sowbug 的真实身份。HackerNews.cc 在此提醒各国政府机构提高系统安全防御体系,以防黑客肆意感染系统后展开大规模攻击活动。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

韩议员透露:朝鲜黑客窃取军舰机密蓝图,或将威胁国家军事安全

据外媒报道,韩国国会的反对派议员 Kyeong Dae-soo 10 月 30 日透露,朝鲜黑客极有可能于去年 4 月入侵大宇造船和海洋工程公司(DSME)数据库后窃取了约 4 万份文件,其中包括韩国军事机密记录,以及国家各武器军舰蓝图。 路透社援引 Kyeong Dae-soo 声明报道,这一事件由韩国国防部发现,其调查人员在分析后几乎肯定朝鲜黑客就是 DSME 被黑事件的幕后黑手,因为此次所使用的攻击手法与过去朝鲜黑客发动的网络攻击极其相似。然而,大宇造船公司的发言人表示,公司正在确认 Kyeong 的讲话细节。 此外,朝鲜于本月早些时候还被指控窃取韩国大量军事机密,其中包括 “华盛顿-首尔” 的军事行动计划,目的是 “斩首” 金** 的独裁政权。上周,英国当局还指责朝鲜策划了一场今年早些时候席卷全球的勒索软件 WannaCry 攻击事件,不过,朝鲜政府目前否认这些指控。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基:网络犯罪团伙 Silence 采用黑客技术展开钓鱼攻击,俄罗斯等国 10 大银行成首要攻击目标

HackerNews.cc 11 月 1 日消息,卡巴斯基实验室研究人员近期发现黑客组织 Silence 正采用网络犯罪团伙 Carbanak 的黑客技术瞄准俄罗斯、亚美尼亚与马来西亚等国至少 10 家银行展开攻击活动。据称,该组织在使用后门程序获取目标银行持久性访问权限后开始监控员工日常操作、窃取用户敏感信息。目前,该组织已从全球各银行窃取逾 10 亿美元资金。 调查显示,此类攻击活动最早可追溯至今年 9 月,其黑客在入侵银行系统访问内部网络后获取了银行职员的重要信息,以便通过肆意分发 .chm 恶意附件开展网络钓鱼攻击活动。 诱导邮件部分内容 卡巴斯基表示,鱼叉式网络钓鱼攻击活动仍然是感染目标系统最为流行的一种方式。并且,由于此次攻击活动主要是通过受损的基础设施分发 .chm 恶意附件。因此,该黑客手段似乎是一种非常有效的传播方式,至少目前在金融机构中是这样。另外,Silence 还利用合法的管理工具运行恶意程序,从而规避目标系统雷达监测。 据悉,研究人员发现该组织利用了一种微软专有的在线帮助格式 Microsoft Compiled HTML Help (CHM)分发恶意邮件,因为 CHM 具备交互性质,可以任意运行 JavaScript 代码。对此,受害用户一旦打开 CHM 附件后,将被嵌入包含 JavaScript 代码的 .htm 文件(“start.htm”),其目标是将受害者重定向至外部恶意链接,并在自动运行有效负载后执行下一阶段操作。 start.htm 嵌入文件的一部分 随后,C&C 服务器将解压并执行恶意软件 dropper 程序,其部分负载模块将会在删除记录后帮助攻击者继续监视目标银行系统。据称,负载模块中包括一款屏幕监视器,它采用了 Windows GDI 和 API 工具通过将所有收集的位图组合在一起,从而创建了受害者活动的伪视频流。 C&C 服务器连接程序 虽然研究人员并未公布黑客组织 Silence 窃取信息的证据,但他们证实此类攻击仍在继续且普遍针对金融机构展开攻击。这是一个非常令人担忧的趋势,因为这是网络犯罪分子在攻击中取得成功的表现。目前,卡巴斯基实验室仍在继续监控此类攻击活动,并强烈建议各金融企业加强自身系统防御体系,以抵御黑客攻击活动。 附:卡巴斯基实验室原文报告《Silence – a new Trojan attacking financial organizations》 原作者: Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

加沙网络黑帮 Gaza Cybergang 重返江湖,中东与北非地区成为重灾区

据外媒报道,与巴勒斯坦伊斯兰抵抗运动组织哈马斯有关的阿拉伯黑客组织加沙网络黑帮 Gaza Cybergang 近日重返江湖,其攻击目标定位为中东与北非(MENA)地区。 Gaza Cybergang( 又名 “ Gaza 黑客军团 ”或 Molerats )疑似政治黑客,早在 2012 年就处于活跃状态,自 2015 年第二季度起影响不断加剧,主要攻击目标为政府实体/使馆、石油与天然气、媒体/新闻出版机构、政客与外交官等。据推测,该组织可能由巴勒斯坦哈马斯军方组成,欧洲与美国组织机构也受到不同程度影响。调查显示,黑客广泛搜集情报,配合使用高级社工等方式通过含有宏病毒的 Office 附件或恶意链接的鱼叉式网络钓鱼邮件展开攻击。 今年初,网络安全公司 Palo Alto Networks 发现黑客组织 Gaza Cybergang 利用恶意软件 DustySky 开展新兴网络间谍活动。据悉,他们通过 Downeks 下载器与 Quasar 或 Cobaltstrike 远程访问工具(RAT)向政府机构的 Windows 设备发动攻击,以便获取远程访问与数据渗出能力。卡巴斯基表示,该组织主要针对 MENA 地区的石油天然气公司展开攻击活动。其黑客入侵公司系统后,渗出数据已长达一年之久。此外,Gaza Cybergang 武器库还于今年 4 月新增一款安卓木马,最初由卡巴斯基在一台命令与控制服务器上发现,很可能被用于针对以色列士兵。 自 6 月起,Gaza Cybergang 利用攻击链触发微软公司 4 月修复的漏洞 CVE 2017-0199。据称,这种做法更加行知有效,可通过未经修复的 Windows 系统直接实现代码执行能力。Microsoft Access 数据库文件可用于维持低级别检测,是传播恶意软件的常见方法。这些开发有助于黑客继续开展行动,甚至绕过传统防御,持续长时间作业。 专家坦言,由于黑客不断改善工具包、减少曝光率,近期此类攻击活动在数量与质量上都将有增无减。建议组织机构:提高安全防范意识、及时修复漏洞;使用成熟的企业级安全解决方案有针对性地分析、捕捉异常网络攻击事件;向雇员提供最新的威胁情报数据(例如入侵指标与 YARA 规则)以强化威胁防范与查找发现措施。 原文作者:Pierluigi Paganini,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客于暗网正出售企业内部 RDP 远程桌面连接凭证,售价最低 3 美元

安全人员近期发现暗网里的部分网站正在销售企业内部设备的 RDP 远程桌面协议的凭证,以便直接访问目标企业内网。据悉,这种不需要借助恶意软件和木马病毒就可窥探企业内网的凭证,目前正在暗网逐渐兴起并产生市场竞争。 据悉,这些 RDP 凭证涉及卫生保健以及教育和企业组织等多种类型,最低价格仅仅只需要 3 美元即可。此外,远程桌面协议允许个人通过网络连接后直接访问对应设备。然而,通常此类设备都是虚拟桌面或者远程管理系统。因此攻击者如果可借助凭证访问 RDP 的话,即可顺利进入内网窃取数据,且企业并不会察觉任何异常情况。另外,依据操作系统的不同,存在售价差异。例如:Windows XP 系统的 RDP 凭证最低仅只需要 3 美元即可,而 Windows 10 系统的 RDP 凭证则需 9 美元起。 经调查发现,成立于 2016 年年初的 UAS 终极匿名服务网站是暗网里销售 RDP 远程桌面连接凭证最活跃且最受欢迎的商店。据称,UAS 商店可以提供涵盖各个国家不同操作系统的 RDP 凭证,其高峰期掌握超过 35,000 份 RDP 凭证可提供出售,其中包括中国和巴西以及美国的数万台设备的凭证,而价格最高的 RDP 凭证也仅仅只需要 15 美元。 暗网和低下黑市中并不是只有 UAS 商店提供 RDP 凭证销售,实际上诸如 xDedic 等同行竞争对手亦在销售凭证。xDedic 的 RDP 凭证价格从 10美元到 100 美元不等,但研究人员称似乎并未发现这些凭证与 UAS 的有太大区别。但不可否认的是 RDP 凭证已经逐步形成了活跃的黑色市场,这对于多数企业和机构来说绝对不是什么好事情。很多企业的 RDP 凭证实际已经泄露但却毫无察觉,在这种情况下攻击者借助 RDP 潜伏和窃取数据可持续很久。目前,研究人员建议使用此类协议的企业和机构应定期检查系统安全性, 尤其是凭证密码更应该定期更换防止泄露。 稿源:蓝点网,封面源自网络;