分类: 黑客事件

俄罗斯被怀疑窃取了美国务院的电子邮件

据外媒报道,据两名熟悉此次网络更经济的美国国会消息人士透露,去年,疑似俄罗斯黑客窃取了数千封国务院官员的电子邮件。这是在不到10年时间里由克里姆林宫支持的对美国务院电子邮件服务器发起的第二起已知攻击。 美国会消息人士称,黑客侵入了国防部欧洲和欧亚事务局及东亚和太平洋事务局的电子邮件。第三位官员称,目前看来,这个机密网络还没有被攻破。 目前尚不清楚被盗国务院电子邮件是否是SolarWinds间谍活动的一部分。据悉,SolarWinds是俄罗斯黑客潜入躲美联邦政府和私营部门网络利用的一家软件开发IT公司–在政府和私营机构都有使用。据《华盛顿邮报》(The Washington Post)报道,美国国务院就使用了SolarWinds软件并在漏洞中暴露了自己。 这一具体事件以前没有被报道过。 美国务院发言人在回应有关黑客攻击的问题时称:“国务院有认真履行保护信息安全的责任并不断采取措施确保信息受到保护。出于安全原因,我们目前无法讨论任何所谓网络安全事件的性质或范围。” 负责网络和新兴技术的副国家安全顾问Anne Neuberger在一份声明中指出,白宫对具体机构不予置评。 “去年有几家联邦机构遭到黑客攻击。作为政府SolarWinds审查的一部分,我们发现联邦机构在网络安全防御方面存在巨大漏洞。我们确定了五个具体的网络安全现代化领域、评估了针对这些领域的机构并正在实施一个‘重建更好’计划以迅速资助和推出这些技术进而弥补漏洞并使我们的网络安全方法更现代化,”Neuberger说道。 美国务院电子邮件被盗事件表明,被怀疑是俄罗斯黑客的人获得的美国政府资料比公众此前所知的要多。受影响的办事处负责处理跟北约、欧洲和印度-太平洋伙伴等美国盟友有关的问题。 这次黑客攻击引发了人们对美国国务院网络安全实践的质疑–这是10年内已知的疑似俄罗斯黑客攻入美国务院的电子邮件服务器的第二次。2015年,俄罗斯黑客成功侵入国务院的网络和白宫的电脑。新冠大流行五一加剧了这种风险,因为许多联邦雇员在不那么安全的系统上远程工作。 对此,俄罗斯大使馆发言人没有立即回应置评请求。           (消息来源:cnBeta;封面源自网络)

美国土安全部要员的邮件账户受 SolarWinds 攻击事件影响

美联社报道称,美国土安全部门要员的电子邮件账户,亦受到了 SolarWinds 恶意软件活动的幕后黑手的影响。据悉,这批账户属于特朗普总统在 2019 年 11 月任命的代理国务卿 Chad Wolf,以及负责调查境外威胁的国土安全部官员。 早在 2020 年 12 月,FireEye 网络安全专家就曝光了波及甚广的 SolarWinds 黑客入侵事件,导致成千上万的企业和政府机构在部署恶意更新后被感染。 周一的报道称,疑似俄方黑客入侵了特朗普政府要员的电子邮件账户,而受害者本就负责着与之对抗的工作。 此外上月的消息称,除了百余家私营企业,SolarWinds 黑客还打击了包括国土安全部在内的至少 9 个联邦机构。 截止外媒发稿时,美国土安全部尚未就此事给出回应。不过美联社称,在事件曝光后的几天里,Char Wolf 等人就已经换成了支持加密聊天的软件服务来开展通信。           (消息来源:cnBeta;封面源自网络)

黑客组织 Kek Security

Kek Security (Keksec)是一个极为活跃的黑客组织,Checkpoint和Netlab360的报告都对其进行了详细分析。Keksec利用多个漏洞,使用多态工具(包括Linux和Windows有效负载)自定义python恶意软件以攻击多个架构。目前该黑客组织正在积极构建IRC僵尸网络,用于DDoS攻击和勒索活动。本文详细介绍了Keksec利用的工具和使用的策略,以及相关黑客的信息。 … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1520/     消息来源:Lacework, 译者:小江; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

71% 的 Office 365 用户遭恶意账户接管

网络检测和响应公司Vectra AI的最新研究显示,由于COVID-19,88%的公司已经加快了云和数字化转型项目。但它还发现,71%的Office 365用户遭遇恶意账户接管。 令人担忧的是,只有三分之一的安全专业人员认为他们可以立即识别和阻止账户接管攻击,大多数人预计需要几天甚至几周的时间来拦截这种违规行为。Vectra公司CTO团队技术总监Tim Wade说:”我们经常看到基于身份的攻击被用来绕过传统外围防御,如多因素认证(MFA)。帐户接管正在取代网络钓鱼成为最常见的攻击载体,而MFA防御系统现在已经变成减速带,而无法阻止攻击。组织需要认真对待这一点,并计划在业务发生实质性中断之前检测和控制账户泄露。恶意访问,即使是短时间的,也会造成巨大的损失。” 安全团队对自己公司安全措施有效性有很高的信心。近五分之四的人声称对绕过防火墙等外围防御的攻击有良好或非常好的可视性。然而,管理层受访者和SOC分析师等从业人员之间的意见存在有趣的对比,管理人员对自己的防御能力表现出更大的信心。总的来说,微软Office365客户提到的最主要的安全问题是云端保存的数据被泄露的风险、账户被接管的风险以及黑客隐藏行踪的能力。 经理们明显比那些在工作场所进行具体工作的人更有信心,这里有一定程度的自欺欺人,也许是因为与高级管理层分享的指标往往更多关注的是被阻止的攻击量,而不是攻击的严重性或达成确定结论的调查数量。不管是什么原因,重要的是不要自满,要对新类型的攻击保持持续的警惕。           (消息及封面来源:cnBeta)

美法院正式判处 Twitter 攻击事件幕后黑客

据外媒报道,去年夏天,美坦帕市青少年 Graham Ivan Clark控制了数个知名Twitter账号并利用它们索要了价值10万多美元的比特币。当地时间周二,他承认了这些指控并被判三年监禁。Clark在跟检察官达成的一项协议中同意服刑3年,之后则还有3年缓刑。 Clark在17岁的时候被指控策划了一场社交媒体网络攻击,一些全球最耳熟能详的名字–包括美总统拜登、前美国总统奥巴马、埃隆·马斯克、坎耶·维斯特、比尔·盖茨、沃伦·巴菲特、迈克·布隆伯格、杰夫·贝佐斯、弗洛伊德·梅威瑟、金·卡戴珊等名人及苹果、Uber等公司。 该协议允许现年18岁的Clark被判为“青少年罪犯”,这使他避免了至少长达10年的刑期。不过如果Clark违反了缓刑处罚那么他将被强制执行最低刑期。 据悉,他将在一所专为年轻人设立的州立监狱服刑。另外,他可能有资格在一个军事化的新兵训练营中服役一段时间。 希尔斯堡州检察官Andrew Warren在一份声明中说道:“Graham Clark需要对这一罪行负责,其他潜在的诈骗者需要看到后果。在这种情况下,我们能承担这些后果,同时也认识到,我们对任何孩子的目标是,只要有可能则是让他们吸取教训,而非毁掉他们的未来。” 当地时间周二下午,Clark出现在希尔斯伯勒县监狱的虚拟法庭听证会上。自被捕以来,他一直被关押在那里。他身穿红色制服,戴着医用口罩,留着平头。 Clark在回答法官Christine Marlewski提出的一系列标准问题时其声音表现得非常单调。他在法庭上认罪并放弃接受审判的权利。除此之外,他几乎没说别的。 辩诉协议的条款要求,在没有得到执法部门许可和监督的情况下,禁止Clark使用电脑。他将不得不接受有关部门对他财产的搜查并交出其控制的所有账号的密码。 Clark的辩护律师David Weisbrod则证实,当事人交出了其获得的所有加密货币。             (消息及封面来源:cnBeta)

10 余个 APT 黑客组织攻击微软 Exchange 服务器

3 月 2 日,微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新,修复了一个预认证的远程代码执行(RCE)漏洞链(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。 黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止,目前有超过 5000 台右键服务器检测到了 webshells,超过 6 万个客户受到影响,而欧洲银行业管理局等多个重要机构遭到攻击。 该漏洞最早是由知名漏斗研究专家 Orange Tsai 发现的,他在 2021 年 1 月 5 日向微软报告了这些漏洞。不过根据外媒 Volexity 的报道,有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。因此,如果这些日期是正确的,那么这些漏洞要么是由两个不同的漏洞研究团队独立发现的,要么就是这些漏洞的信息以某种方式被恶意团伙获得。 2021 年 2 月 28 日开始,不断有 Exchange 用户遭到网络攻击,首先是 Tick,然后 LuckyMouse、Calypso 和 Winnti 团伙也开始迅速发起攻击。这表明,多名黑客在补丁发布之前就获得了漏洞的细节,这意味着我们可以摒弃他们通过对微软更新进行逆向工程构建漏洞的可能性。 在补丁发布的第 2 天,黑客采取了更加疯狂的攻击,包括 Tonto Team 和 Mikroceen 等团队也对 Exchange 服务器发起攻击。有趣的是,所有这些都是对间谍活动感兴趣的高级持续威胁(APT)组织,除了一个例外(DLTMiner),它与一个已知的加密采矿活动有关。下图是攻击时间线概要。 在过去几天时间里,ESET 研究人员一直在密切关注这些漏洞的 webshell 检测数量。基于 ESET 的遥测数据,在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被标记为 webshell,而实际受感染的服务器数量肯定更多。图 2 展示了微软补丁前后的检测情况。 图 3 的热图显示了根据 ESET 遥测的 webshell 检测的地理分布情况。由于大规模的利用,它很可能代表了全球安装 ESET 安全产品的易受攻击的 Exchange 服务器的分布情况。 ESET 已经确定了超过 10 个不同的网络威胁者,他们很可能利用最近的 Microsoft Exchange RCE,以便在受害者的电子邮件服务器上安装植入物。 我们的分析是基于电子邮件服务器,我们在这些服务器上发现了离线地址簿(OAB)配置文件中的webshell,这是利用RCE漏洞的一种特殊技术,已经在42单元的一篇博客文章中详细介绍过。遗憾的是,我们不能排除一些威胁行为者可能劫持了其他组投放的webshells,而不是直接使用该漏洞。一旦漏洞被利用,webshell 被安装到位,我们观察到有人试图通过它安装更多的恶意软件。我们还注意到,在某些情况下,几个威胁行为者针对的是同一个组织。           (消息及封面来源:cnBeta)

外媒详解 Jabber 统治俄罗斯地下黑客组织原因

据外媒CyberScoop报道,虽然俄罗斯网络犯罪黑社会的大部分是一个谜团,但有一种技术却充当了贯穿整个谜团的关键共同链接,它就是Jabber。根据安全公司Flashpoint的最新研究,在一个尖端技术、创意和犯罪的领域,这个已有18年历史的即时通讯工具是讲俄语的网络罪犯最流行的交流工具。 虽然Jabber已经在俄罗斯社区占据了主导地位,但与此同时,它在世界各地的网络罪犯中也变得越来越受欢迎。 这不仅是对技术质量的证明也是对俄罗斯黑客趋势的影响的证明。 “在网络犯罪经济中,Jabber被视为沟通的黄金标准,”安全公司Flashpoint高级研究员Leroy Terrelonge III告诉CyberScoop。 Jabber(同时也被叫XMPP或Extensible Messaging and Presence Protocol)是一个开源的联合即时通讯工具,拥有数千个独立服务器和遍布全球的1000多万名用户。该技术运行在HipChat、索尼PS视频聊天应用和Electronic Arts的Origin等主流产品的幕后。而拥有超10亿用户的WhatsApp使用的则是XMPP的一个变体。记者和隐私保护积极分子在该平台上通常都会有属于自己的账号。 Terrelonge说指出,有俄罗斯人作为先锋,“Jabber在网络犯罪社区有着光明的未来。” Jabber对企业来说有用的诸多因素也是使其成为犯罪分子的理想选择的原因之一。该技术支持强大的加密和一系列高安全特性,再加上其开放性从而提高了它在后斯诺登时代的吸引力。 Jabber创建于1999年,经过十多年的发展拥有了数百万名用户。然而从2013年开始,随着世界越来越强烈地意识到网络上的大规模黑客攻击和监视活动,采用这种技术的人越来越多。在俄罗斯,用户最终开始放弃20世纪60年代的即时通讯工具ICQ转而使用Jabber提供的高级安全功能。据悉,ICQ主导了俄罗斯的在线交流近20年时间。在那里,下载并安全地使用带有非公开加密的信息并不是什么大问题。 对于不太成熟的网络罪犯,微软的通讯应用Skype通常就足够了。但即使是在Skype占主导地位的网络犯罪社区,Jabber也已经取得了进展,更老练的黑客则将其整合到Skype中。 Jabber的联盟意味着任何人都可以打开服务器并按照自己认为合适的方式运行。这对那些担心公司跟政府密切合作的罪犯来说极具吸引力,尤其在美国。一些Jabber服务器甚至就是专门为罪犯设置的。 最近被逮捕的Kelihos僵尸网络幕后主使Pyotr Levashov就是一位典型的俄语高级用户。为了运营他的全球业务,Levashov使用了一个加密的非官方Jabber服务器和账号。 然而,大多数黑客并不运行自己的Jabber服务器而是依赖他人运行的服务器。在地下信徒中,Exploit.im Jabber服务器是执法部门的首要目标。 据悉,Exploit.im是由Exploit社区运行的。这是一个半排外的俄语网络犯罪论坛,具有悠久的相对信任和真实性血统。若想要加入社区则需要进行一定程度的审查或支付。Exploit.im账号只提供给认证成员有效地证明了其用户的威望和信心。最重要的是,服务器的管理员承诺用户不会有日志记录并提供强大的隐私和可靠服务。         (消息及封面来源:cnBeta)

SolarWinds 事件持续发酵:黑客以 60 万美元出售 Windows 10 源代码

在对 SolarWinds 事件的深入调查中,微软发现部分内部帐号被黑客获取,并访问了公司的部分源代码。而现在,有一名黑客以 60 万美元的价格出售 Windows 10 源代码,但是无法确定真实性。 来自 Rendition Infosec 的安全研究人员 Jake Williams 报道了这一消息,他警告称这些黑客似乎来自俄罗斯知名黑客组织 Shadow Brokers。但他们可能是为了混淆视听,并非真正有这些源代码访问。 微软证实,黑客能够查看,但不能改变部分产品的源代码,并表示没有证据表明这一活动将微软服务的安全性或任何客户数据置于风险之中。微软表示,查看源代码并不会增加风险,因为该公司并不依赖源代码的保密性来保证产品的安全。         (消息来源:cnBeta;封面来自网络)

黑客攻击联网情趣用品以勒索赎金

一名黑客控制了连接到互联网的智能情趣用品:男性远程贞操笼,并要求用比特币支付赎金来解锁。“你的丁丁已经被我锁定。”根据一名安全研究人员获得的对话截图,黑客对其中一名受害者说。这位研究人员的名字叫Smelly,是收集恶意软件样本的网站vx-underground的创始人。 去年10月,安全研究人员发现,一款物联网情趣用品贞操笼,一种主要在BDSM社区中使用的放置并锁定在阴茎周围并可以联网远程上锁和解锁的性玩具制造商留下了一个API暴露,给了恶意黑客控制设备的机会。根据一位安全研究人员获得的黑客和几位受害者之间的对话截图,非常糟糕的事情就这样发生了。 不过万幸的是,”这件事发生的时候,我并没有锁上这个东西。”Robert在一次在线聊天中说,不然后果真的不堪设想。 受害者Robert表示,他收到了黑客的信息,要求支付0.02比特币(约合今天750美元)来解锁设备。他意识到自己的笼子肯定被 “锁住了”以至于无法使用。 “我现在已经不是笼子的主人了,所以我在任何时候都不能完全控制笼子。”另一位名叫RJ的受害者在一次在线聊天中表示。他收到了黑客发来的信息,黑客说他们已经控制了笼子,并希望支付一笔钱来解锁笼子。 这些黑客再次表明,仅仅因为你可以将某样东西连接到互联网上,并不意味着你必须这样做,尤其是如果你随后不注意保护设备或其连接的安全。 这款设备的中国制造商Qiui没有回应置评请求,这款设备的名字很贴切,叫做Cellmate。 对Cellmate设备进行安全查验的Pentest Partners安全研究员亚历克斯-洛马斯(Alex Lomas)证实,一些用户确实收到了勒索信息,并表示这凸显了这些设备制造商改进安全实践的必要性。           (消息及封面来源:cnBeta)

JetBrains 否认参与 SolarWinds 黑客攻击

捷克软件开发公司JetBrains今天声明,否认 《纽约时报》和《华尔街日报》 刊登的JetBrains涉嫌参与SolarWinds黑客攻击事件的报道。 调查人员认为,黑客将JetBrains的产品命名为TeamCity,该产品是用于将组件组装到软件应用程序中的CI / CD(持续集成/持续开发)服务器。 JetBrains首席执行官马克西姆·沙菲罗夫(Maxim Shafirov)发表博客表示: “ SolarWinds是我们TeamCity的用户,这是用作构建软件的持续集成和部署系统 。” 他补充说:“ SolarWinds或政府机构尚未与我们联系,提供有关违规的任何详细信息。我们会给予充分的合作。” 但俄罗斯JetBrains首席执行官并没有完全排除其产品被SolarWinds黑客滥用的可能性。 这位高管说:“要强调TeamCity是需要适当配置的产品。如果TeamCity被滥用,那很可能是由于配置错误,而不是特定的漏洞。” 我们仍不清楚所谓的JetBrains违规行为。 正如ETH安全研究中心研究员Stefan Soesanto早些时候在Twitter表示的那样:在对JetBrains承担责任之前,我们需要澄清更多细节。       消息及封面来源:ZDnet,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c