分类: 黑客事件

暗网市场 Basetools 遭入侵,黑客以“将数据移交美国 FBI、国土安全部”为由勒索 5 万美金

据外媒报道,安全研究人员近期发现暗网市场 Basetools 遭黑客入侵并在线泄露了其数据库部分信息。黑客随后威胁暗网市场管理员支付 5 万美元赎金,否则就将其运营者身份以及相关数据移交至美国联邦调查局(FBI)、国土安全部(DHS)、司法部( DoJ)和其他机构。 Basetools 是一所地下交易市场,经常在俄语网络犯罪论坛发布广告,允许暗网供应商出售垃圾邮件工具、信用卡数据、黑客账户,以及其他东西。据称,该暗网市场号称拥有超过 15 万的用户,并提供逾 2 万种销售工具,以及 7*24 的服务支持。 安全专家表示,黑客在入侵 Basetools 数据库后兜售了一些工具,包括后门、shell 和 C-Panel 账户的登录凭证、托管在黑客攻击服务器上的垃圾邮件,以及此前其他互联网平台泄露的用户数据。消息显示,由于担心被泄露的工具可能会被其他网络犯罪分子用来发动恶意攻击,运营者在黑客泄露数据后已立即将网站下线。 虽然网络犯罪分子和敌对的暗网市场互相攻击并不是一种新现象,但此类攻击在多数情况下都是由经济动机推动。据研究人员介绍,AlphaBay 和 Hansa 两大最受欢迎的暗网市场于前段时间被查处关闭,从而导致网络犯罪事件于近期陷入了混乱和分散状况。 原文作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

JS 第三方库 “jQuery” 的官方博客遭黑客篡改,代码库暂不受影响

据外媒 10 月 26 日报道,继 JS 挖矿引擎 CoinHive 被黑后, jQuery 的官方博客(blog.jquery.com)于近期遭网名为 “str0ng” 和 “n3tr1x” 的黑客篡改。目前,虽然没有证据表明存放在主机系统文件的服务器已遭黑客入侵,但可以确定黑客通过  jQuery 管理人员 Leah Silber 的账号发布了一篇诋毁官网的文章(如下图)。 调查显示,由于 jQuery 官方博客使用了 WordPress 平台的内容管理系统(CMS),因此黑客还有可能通过 WordPress 已知或零日漏洞获取未经授权访问权限。 jQuery 团队在发现博客官网被黑后立即删除了黑客所发布的帖子。 研究人员表示,由于数百万网站直接由 jQuery 服务器调用脚本,因此该攻击活动可能导致的后果更为糟糕。另外,这已经不是 jQuery 网站第一次受到攻击。据报道,jQuery 主要域名(jQuery.com)曾于 2014 年遭黑客入侵,其网站访问者被重定向至恶意页面。 原文作者:Swati Khandelwal,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

伦敦知名整形医院遭网络攻击,黑客称名单中有皇室成员

据外媒报道,近日有消息称,有黑客攻破了伦敦一家知名整容医院并从中偷走了大量照片和来自名人甚至还有皇室成员的敏感信息。而一个叫做 Dark Overlord 宣称为伦敦桥整形(LBPS)的网络攻击负责。 Dark Overlord 最早是在去年出现在大众面前,当时它从一些学校、医疗中心甚至一家跟 Netflix 合作的制片厂那里盗取了信息并以此勒索他人或机构。 这次,Dark Overlord 告诉外媒 Daily Beast,他们最近对 LBPS 发起的网络攻击是成功的,他们已经掌握了数 TB 的数据库、名字以及其他一切信息,并且当中还有一些皇室家族。另外,Dark Overlord 还称他们获得了大量病人照片和特写照片–一些则展示了男性和女性生殖器的手术,一些展示了病人术后的样子。据了解,这个黑客组织扬言要将这些整形照片公布于众。 对此,LBPS 证实了漏洞的存在,但他们还不确定究竟哪些数据遭到了泄露。另外他们还补充称,安全和病人个人信息保密对于他们来说一直都是最重要的,为此他们投资了市场先进的安全技术。 稿源:cnBeta,封面源自网络;

黑客组织 “匿名者” 入侵西班牙宪法法院网站,疑为支持加泰罗尼亚独立

2017 年 9 月 6 日,西班牙加泰罗尼亚议会通过了一项有关独立公投的法案,并于 10 月 1 日举行公投,决定是否脱离西班牙建国。不过,西班牙政府随后就该法案向宪法法院提出异议,要求加泰罗尼亚宣告放弃独立。10 月 17 日,西班牙宪法法院宣布加泰罗尼亚于 9 月 6 日通过的公投法案无效。 不过,此次事件似乎并未结束。西班牙国家安全局(DSN)于 10 月 20 日发表声明,宣称国家网站在过去数周内屡遭同一主题的不同网络攻击。此外,安全专家还通过与其关联的 Twitter 账户发现,国际黑客组织 “匿名者”(Anonymous)在线透露,将于 21 日对其政府网站进行大规模网络攻击。 随后,黑客组织 “匿名者” 果真于 10 月 21 日入侵西班牙宪法法院的网站系统,导致平台瘫痪不可访问且还在其官网上发布了 “解放加泰罗尼亚” 的宣传视频。调查显示,“匿名者” 主要针对目标网站的服务器展开 DDoS 网络攻击,从而迫使网站处于离线状态。虽然这并不被认为是一种复杂的攻击形式,但对于网站来说,它可能很难迅速恢复。知情人士透露,黑客在多数情况下利用这一点进行攻击的原因,通常是为了支持某一政权。 相关人士根据 “匿名者”在各政府网站发布的抗议视频推测,该组织似乎想让西班牙政府允许加泰罗尼亚的人民通过公投的方式表达自己的意愿,从而减少社会各阶层的主流观点。 目前,西班牙宪法法院的发言人表示:“虽然我们知道匿名者会针对网站进行攻击,但我们并不知道攻击的主要来源。不过,好在其他的 IT 系统并没有受到影响,现仍可正常访问。此外,我们将继续针对此次事件进行深入调查”。然而,到目前为止,加泰罗尼亚负责人并未发表任何置评。 原文作者:Jason Murdock,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

好莱坞女星私照泄露事件的关键黑客认罪:曾侵入 iCloud/Gmail 账户

据 Deadline 报道,因为涉及到 2014 年好莱坞的名人私照泄露事件,关键黑客目前已被控诉。报道称,这名男子承认自己黑入了 550 部电脑,其中多数的拥有者是好莱坞女星。男子名叫 Emilio Herrera,他目前或将面临最高 5 年的联邦监狱惩罚。 不过,Herrera 并不是这批照片、视频的直接泄露者,目前来看,他仅仅是一名技术达人,帮着破解到了名人的 iCloud/Gmail 等账户密码。据悉,该黑客的具体是通过伪装成互联网运营商发送邮件,诱导名人点击恶意链接,从而被植入木马或者远程连接。 稿源:cnBeta、快科技,封面源自网络;

黑客组织 APT28 欲在 Flash 零日漏洞修复前发动网络攻击活动

据外媒 10 月 22 日报道,网络安全公司 Proofpoint 研究人员近期发现黑客组织 APT28 正利用 Microsoft Word 附件、通过 Adobe Flash 漏洞(CVE-2017-11292)分发恶意软件。研究人员表示,该漏洞近期刚刚被修复,不过攻击者似乎想要在用户安装补丁前展开网络攻击活动。 ATP28(又名 Sofacy、Fancy Bear 或 Tsar Team)是一支由俄罗斯政府资助的黑客组织,其主要针对境外国家的航空航天,以及私营部门展开攻击活动。据悉,该组织除针对丹麦国防部展开网络间谍活动外,还曾干预法国德国重大选举事件。 据悉,尽管研究人员所收集的信息有限,但他们目前已经大致了解攻击者的目标分布范围,其包括欧洲与美国的一些政府机构和航空航天私营部门。知情人士获悉,该漏洞补丁于 10 月 16 日在线公布时,卡巴斯基就已经发现黑客组织 BlackOasis APT 利用该漏洞开展网络攻击活动。 目前,研究人员推测 APT28 已经获取了一种利用 CVE-2017-11292 漏洞的方法,不过他们尚不清楚该组织是通过购买还是自身发现,亦或是反向分析 BlackOasis 攻击活动获得。不过,值得注意的是,黑客组织 APT28 一直利用恶意软件 DealersChoice 展开攻击活动。据称,当目标用户打开此类诱导文件时,DealersChoice 会自动联系远程服务器,下载并执行漏洞开发代码。 研究人员根据相关证据表明,黑客组织 APT28 似乎想要在 Flash 漏洞补丁被广泛部署前肆意分发恶意软件。不过,由于 Flash 仍存在于多数系统上,且此漏洞影响所有主要操作系统,因此用户立即更新Adobe 补丁至关重要。Proofpoint 研究人员证实,公司正试图取消与 DealersChoice 攻击框架相关的 C&C 服务器连接。此外,研究人员提醒用户,尽快安装补丁或更新系统至最新版本。 附:Proofpoint 安全报告原文链接《APT28 racing to exploit CVE-2017-11292 Flash vulnerability before patches are deployed》 原文作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

思科 Talos 安全报告:黑客组织 APT28 利用 “网络冲突” 诱导文件开展新一轮攻击活动

思科 Talos 团队近期发现黑客组织 APT28 正利用诱导文件开展新一轮网络攻击活动。有趣的是,该文件是一份关于美国会议 “网络冲突” 的宣传单张,其由北约网络防御中心于今年 11 月 7 日至 8 日在华盛顿举办。值得注意的是攻击活动与此前大不相同,该诱导文件虽然并未通过任何开发手段或零日漏洞展开攻击,但他们使用了恶意 Visual Basic Applications(VBA)宏病毒嵌入 Microsoft Office 文档,以便分发恶意软件 Seduploader 新变种。 俄罗斯 ATP28 黑客组织(又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team)除针对丹麦国防部展开网络间谍活动外,还曾涉嫌参与多起欧洲国家网络攻击事件,其中包括攻击欧洲防务展览会、干预法国德国重大选举、针对联邦议院发起鱼叉式网络钓鱼攻击等。 调查显示,诱导文件以 Conference_on_Cyber_Conflict.doc 命名,包含 2 页与组织者和赞助商的标识。此外,由于该文件确切的内容可以在会议网站查询,因此攻击者可能对其内容进行复制/粘贴后利用 Word 创建恶意文档。不过,根据文件的性质,研究人员推测攻击者的目标人群可能是网络安全领域的相关人士。此外,研究人员通过查看诱导文件发现 VBA 会在感染目标设备后分发恶意软件 Seduploader 新变种,这款侦察恶意软件已被 APT 28 使用多年。 知情人士透露,攻击者的思维与时俱进,其懂得利用美国 “网络冲突” 为主题吸引读者注意从而达成攻击的目的。目前,研究人员仍在进行调查,因为他们不希望黑客能够通过任何漏洞确保恶意软件的存活几率。 附:Cisco Talos 原文报告《 “网络冲突” 诱导文件用于真实的网络冲突 》 稿源:Cisco Talos,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织 Leviathan 针对全球国防、政府及海军等机构展开新一轮网络钓鱼攻击

HackerNews.cc 10 月 19 日消息,黑客组织 Leviathan 近期正瞄准全球国防、政府及海军等机构展开新一轮网络钓鱼攻击,旨在窃取国家机密信息。 黑客组织 Leviathan 自 2014 年以来一直处于活跃状态,其美国、西欧与中国南海等地区普遍遭受影响。据悉,网络安全公司 McAfee 和 F-Secure 研究人员发现 Leviathan 曾于 2015 年 2 月至 10 月入侵中国南海地区工控系统。另外,菲律宾司法部门、亚太经合组织组织及国际律师事务所也在此期间纷纷遭受攻击。 调查显示,黑客组织 Leviathan 于今年 9 月针对一家美国造船公司和一所与军队相关的美国大学研究中心展开了新一轮网络钓鱼攻击,其钓鱼邮件常以 “ 工作简历 ” 和 “鱼雷恢复实验” 等为主题、诱导用户下载并安装恶意软件。目前,尚不清楚黑客是否成功窃取他们最新活动的任何机密数据。 Proofpoint 研究人员在博客中表示:“工具、技术和目标始终将他们的工作联系起来,特别是考虑到他们对海军与国防利益的密切关注。此外,虽然与军事相关的国防承包商和学术研究中心应该始终认识到国家网络攻击的潜在威胁,但还需特别警惕那些看似合法却未经验证的电子邮件。” 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

瑞典交通机构上周曾遭黑客 DDoS 攻击,致使订单 IT 系统宕机、列车延误

据外媒报道,瑞典三家交通机构的 IT 系统于 10 月 11 日、 12 日分别遭到黑客 DDoS 攻击,导致官网服务掉线、列车运行延误。 调查显示,黑客于 10 月 11 日针对瑞典运输管理局( Trafikverket )展开 DDoS 攻击,导致该机构负责管理列车订单的 IT 系统瘫痪,以及电子邮件系统与网站宕机,从而影响了旅客预定或修改订单的情况。不过,该机构随后通过 Facebook 向旅客提供了有关情况的最新信息。 瑞典交通管理局的新闻通讯官员 Pär Aronsson 证实,机构多个 IT 系统受到黑客攻击,其中包括能够显示列车位置的驱动系统。不过,虽然部分问题还在调查,但多数系统仍可正常运行。此外,知情人士透露,黑客发动的 DDoS 攻击主要针对服务提供商 TDC 和 DGC,其目的是影响机构的正常运营。 起初,安全专家认为这仅仅是一次突发事件,但第二天,另一家政府机构——瑞典交通运输局(Transportstyrelsen),以及公共交通运营商 Västtrafik 的 IT 系统遭到类似 DDoS 攻击,短暂性的破坏了官网的机票预订应用和在线旅游计划。互联网提供商 DGC 的副首席执行官 Patrik Gylesjö 表示,这可能是一场恶作剧,或者有人想要试图调查瑞典交通机构的预防措施。 目前,安全专家很难将此次攻击归因于简单的信息盗窃行为,因为他们根据俄罗斯上月开展的 “ 萨帕德 ” 军演推测,这更像是俄罗斯测试其网络能力,从而调查瑞典的交通基础设施情况。 相关阅读: 2017 “萨帕德” 军事演习:俄罗斯可能早前已在拉脱维亚测试网络武器 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司披露黑客组织 Tick 新动态,自 2012 年来持续针对日本关键基础设施、重工业等展开攻击活动

HackerNews.cc 10 月 14 日消息,网络安全公司 SecureWorks 研究人员近期正监视黑客组织 Bronze Butler 一系列攻击行动,旨在分析日本各企业受害情况。 研究人员发现,黑客组织 Bronze Butler( 又称 Tick )自 2012 年以来一直针对日本企业的关键基础设施、重工业、制造业以及国际关系方面展开攻击活动,旨在窃取企业知识产权与其机密信息。有消息指出,该组织似乎还与中国存有潜在联系。 调查显示,黑客组织 Bronze Butle 主要采取鱼叉式网络钓鱼攻击、SWCs 等非法手段入侵目标企业系统、窃取机密信息。此外,他们还会通过 0 day 针对目标系统展开攻击。 ο 黑客组织 Bronze Butle 曾研发了一款恶意软件 Daserf 后门,允许攻击者完全控制受损系统。随后,他们又在 2016 年开发出两款远程访问木马 xxmm、Datper。 ο Bronze Butle 组织曾利用日本企业生产的一款桌面管理工具 SKYSEA Client View 通过 Adobe Flash 零日漏洞(CVE-2016-7836)展开攻击。 下图为该黑客组织 2012-2017 年间使用的一些专有工具。 知情人士获悉,安全专家通过日本各企业的产品细节与公司信息了解到,该组织致力寻求他们认为对竞争组织有价值的信息并进行窃取。目前,该组织仍处于活跃状态且被视为有能力的团队。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接