分类: 黑客事件

Evilnum 黑客使用新的基于Python的木马攻击金融公司

至少自2018年以来,一家以金融科技行业为目标的攻击者改变了策略,加入了一种新的基于Python的远程访问特洛伊木马(RAT),该木马可以窃取密码、文档、浏览器cookie、电子邮件凭据和其他敏感信息。 在Cyber eason研究人员昨天发表的一项分析中,Evilnum不仅调整了其感染链,而且还部署了一个名为“ PyVil RAT”的Python RAT,它具有收集信息,截屏,捕获击键数据,打开SSH shell的功能,并且部署了新工具。 网络安全公司表示:“从2018年的第一份报告到今天,该集团的TTP已经随着不同的工具而发展,而集团继续专注于金融科技目标。”。 “这些变化包括感染链和持久性的改变,随着时间的推移正在扩展的新基础设施,以及使用新的Python脚本远程访问木马(RAT)”来监视其受感染的目标。 在过去的两年中,Evilnum与针对英国和欧盟范围内的公司的几次恶意软件攻击活动有关,这些恶意软件攻击活动涉及使用JavaScript和C#编写的后门程序,以及通过从恶意软件服务提供商Golden Chickens购买的工具。 早在7月,APT小组就被定位为使用鱼叉式网络钓鱼电子邮件的公司,这些电子邮件包含指向托管在Google云端硬盘上的ZIP文件的链接,以窃取软件许可证,客户信用卡信息以及投资和交易文件。 虽然他们在受感染系统中获得最初立足点的作案手法保持不变,但感染程序已发生重大变化。 除了使用带有假冒的鱼叉式网络钓鱼电子邮件(KYC)来诱骗金融业员工触发恶意软件外,攻击还从使用具有后门功能的基于JavaScript的特洛伊木马转移到了能够提供隐藏在合法可执行文件的修改版本中的恶意有效载荷,旨在逃避检测。 研究人员说:“JavaScript是这个新感染链的第一步,最终以有效载荷的传递为最终结果,该载荷是用py2exe编译的Python编写的RAT,Nocturnus研究人员称其为PyVil RAT。” 多进程传递过程(“ ddpp.exe”)在执行时,解压缩shellcode以便与攻击者控制的服务器建立通信,并接收第二个加密的可执行文件(“ fplayer.exe”),该文件用作下一阶段的下载程序以进行提取Python RAT。 研究人员指出:“在该小组的先前活动中,Evilnum的工具避免使用域与C2进行通信,而仅使用IP地址。” “虽然C2 IP地址每隔几周更改一次,但与此IP地址关联的域列表却在不断增长。” 随着APT技术的不断发展,企业必须保持警惕,员工要警惕他们的电子邮件是否存在网络钓鱼企图,并在打开来自未知发件人的电子邮件和附件时保持谨慎。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

暗网 Empire Market 于三天前宕机 猜测跑路或管理员被捕

援引彭博社报道,全球最大的暗网之一 Empire Market 于三天前宕机。目前尚不清楚引发本次宕机的原因是什么,也不清楚该网站的管理员是谁。报道中采访的一位网络安全专家表示,像 Empire Market 这样的暗网宕机通常有两个原因,其一是管理员被逮捕,其二就是窃取了用户押金后跑路。 暗网 Empire Market 主要销售毒品,并提供包括护照、恶意软件在内的其他内容。彭博社报道称,在 Silk Road 和 AlphaBay 等暗网关闭之后,Empire Market 成为交易量最大的暗网市场。 帝国市场上的商品被换成了加密货币。为了在这样的市场上经营,任何想要出售的人都必须交纳押金。这笔钱会被托管,让网站的管理员对其进行控制。这使得他们有可能直接关闭网站,然后带着钱走人。一位接受彭博社采访的安全专家表示,帝国市场托管的金额很难估计,但至少是 “数百万美元”。     (稿源:cnBeta,封面源自网络。)

为拿回被朝鲜黑客盗走的加密货币 美政府提起诉讼

据外媒报道,美国政府日前提起诉讼以此来控制280个比特币和以太坊账户,据悉这些账户持有朝鲜黑客从两家加密货币交易所窃取的资金。法庭文件没有指明被黑的交易所,但官员表示,这两次黑客攻击分别发生在2019年7月1日和2019年9月25日。 在第一次事件中,朝鲜黑客窃取了价值27.2万美元的加密货币和代币,包括Proton代币、PlayGame代币和IHT Real Estate代币。而在第二次事件中,黑客窃取了多个虚拟货币,总价值超过250万美元。 美国官员表示,他们使用区块链分析追踪到两家被黑交易所门户网站被盗资金进入了280个账户中。 根据法庭文件,美国政府表示,朝鲜黑客使用了一种名为chain hopping的技术来洗黑钱。这种技术也被称为blockchain hopping,指的是从一种加密货币中获取资金并将其转换为另一种加密货币。 美司法部表示,朝鲜黑客通常会从一家交易所窃取资金然后将资金转移到另一家交易所,在那里他们会进行数次连锁交易,最终则将所有资金汇入他们追踪到的280个BTC和ETH账户中。 根据法庭文件了解到,这280个地址中的许多地址目前都被冻结在了它们建立的加密货币门户上。由于加密货币交易门户网站之间有着合作关系,它们会在遭到黑客攻击后立即冻结问题账户。 现在,美国政府想要正式控制这些账户以便将资金返还给被黑客攻击的交易所或用户。 美国司法部表示,这两起黑客攻击跟他们在2019年3月曝光的其他朝鲜黑客攻击和洗钱活动有关。 2019年9月,美国财政部曾制裁了三家朝鲜黑客组织,并冻结了跟其空壳公司相关的金融资产。美财政部官员表示,这三家组织参与了对加密货币交易所的黑客攻击,其目的是窃取资金然后转移给平壤政权手中。     (稿源:cnBeta,封面源自网络。)

柠檬鸭加密矿工:针对云应用和 Linux

企业一直是恶意加密矿工团队的首选目标。他们不仅经常操作大量的计算资源(这有助于密码劫持者更快地开采加密货币),而且企业运营的网络对随后的攻击也很有帮助:犯罪分子可能会使用最初的受感染机器作为立足点,从中试图横向移动。在网络中感染更多计算机,并通过新的漏洞和社交工程技术不断调整攻击 “柠檬鸭”(Lemon_Duck)是一个我们见过的十分先进的密码劫持者。它的创建者不断使用新的威胁向量和混淆技术来更新代码,以逃避检测,并且矿工本身是“无文件的”,这意味着它驻留在内存中,并且不会在受害者的文件系统上留下任何痕迹。 在这篇文章中,我分享了有关此活动使用新攻击媒介的信息,以及我在上一则文章中讨论的其余媒介的一些后续工作。 以Covid-19为主题的电子邮件和附件 一些传播垃圾邮件的攻击者通常从重大事件中获利,例如年末假期,各个国家/地区的报税截止日期。因此,柠檬鸭背后的威胁者与许多其他威胁者一样,在大规模垃圾邮件活动中利用了全球对COVID-19大流行的忧虑,使收件人收到恶意附件。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1314/ 消息与封面来源:Sophos   ,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

以法律和金融组织为目标的 DeathStalker APT

国家赞助的威胁者和复杂的攻击经常成为人们关注的焦点。确实,他们的创新技术,先进的恶意软件平台和 0day漏洞利用链吸引了我们的想象力。但是,在大多数公司中,这些群体仍然不太可能成为风险模型的一部分,也不应该成为风险模型的一部分。当今的企业面临着更多直接的威胁,从勒索软件和客户信息泄漏到从事不道德商业行为的竞争对手。在此博客文章中,我们将重点关注DeathStalker:这是一个独特的威胁组,似乎针对律师事务所和金融部门的公司(尽管我们偶尔在其他垂直行业也看到过)。据我们所知,他们不受经济利益的驱使。他们不部署勒索软件,不窃取付款信息并转售,或从事与网络犯罪黑社会相关的任何类型的活动。他们对收集敏感的业务信息感兴趣,这使我们相信DeathStalker是一群雇佣兵,他们提供黑客出租服务,或在金融界充当某种信息经纪人的角色。 DeathStalker首先通过Powersing的基于PowerShell的植入程序引起了我们的注意。通过分解该线程,我们可以确定可追溯到2018年甚至2012年的活动。但是,在深入探究DeathStalker的历史之前,我们将从一些背景开始,以下先介绍威胁者的武器库。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1312/ 消息与封面来源:SUCURELIST,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

透明部落黑客组织进化分析

背景和主要发现 透明部落(又称PROJECTM和MYTHIC LEOPARD)是一个活动频繁的组织,其活动可以追溯到2013年。Proofpoint 在2016年发表了一篇有关他们的很好的文章,从那时起,我们一直关注着。我们已经通过APT威胁情报报告了他们的活动,在过去的四年中,这个APT小组从未休假。他们的目标通常是印度军方和政府人员。 多年来,该小组TTP一直保持一致,不断使用某些工具并为特定的活动创建新的程序。他们最喜欢的感染媒介是带有嵌入式宏的恶意文档,这些文档似乎是由自定义生成器生成的。 他们的主要恶意软件是自定义的.NET RAT,俗称Crimson RAT,但多年来,我们还观察到了其他自定义.NET恶意软件和基于Python的RAT Peppy的使用。 在过去的一年中,我们看到该组织加强了其活动,开始了大规模的感染运动,开发了新的工具并加强了对阿富汗的关注。 我们最近的调查将在两个博客文章中进行介绍。第一部分将涵盖以下关键点: 我们发现了Crimson Server组件,这是Transparent Tribe用来管理受感染机器和进行间谍活动的C2。该工具证实了我们对Crimson RAT的大多数观察结果,并帮助我们了解了攻击者的观点。 透明部落继续传播深红RAT,感染了多个国家(主要是印度和阿富汗)的受害者。 USBWorm组件是真实的,并且已在数百个系统上检测到它。这种恶意软件的存在早在几年前就已被推测出来,但是据我们所知,它从未被公开描述过。     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1305/ 消息与封面来源:SUCURELIST,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。    

Uber 前首席安全官因隐瞒黑客事件遭美司法部起诉

本周四,Uber前首席安全官约瑟夫·沙利文(Joseph Sullivan)受到刑事指控,罪名是试图隐瞒2016年的一次黑客攻击。当时的攻击导致Uber大约5700万用户和司机的个人信息泄露。值得注意的是,这样的诉讼尚没有先例。 美国司法部指控52岁的沙利文犯有妨碍司法公正的重罪。诉讼称,在黑客攻击发生后,美国联邦贸易委员会(FC)开始监督Uber的信息安全工作,但他采取“蓄意的措施”,妨碍FTC了解相关信息。 这起案件是企业的信息安全人员首次被指控隐瞒黑客攻击活动。 沙利文本人曾是美国联邦检察官。他根据Uber的信息安全研究者漏洞报告奖励计划,向黑客支付了10万美元。到目前为止,这是Uber奖励计划支付的最高奖金,但这一项目原本并不覆盖敏感数据被盗事件。 沙利文此前曾是Facebook的信息安全负责人,目前在Cloudflare担任首席信息安全官。 在此前的采访中,信息安全人员表示,Uber支付这笔钱是为了迫使黑客公开接受奖金,并确保数据,尤其是平台司机的驾照信息被销毁。 起诉书称,沙利文让黑客签署了保密协议,谎称他们没有窃取数据。此外,Uber时任CEO的特拉维斯·卡兰尼克(Travis Kalanick)知晓沙利文的行为。 卡兰尼克的发言人拒绝对此置评。沙利文的发言人表示,沙利文正在与同事就本案展开合作,具体信息由司法部门披露。 沙利文的发言人布拉德·威廉姆斯(Brad Williams)说:“如果不是沙利文和他团队的努力,很可能我们永远都不会知道,什么人应该为此事件负责。” 卡兰尼克的继任者、Uber现任CEO达拉·科斯罗沙西(Dara Khosrowshahi)披露了这笔奖金,并在确定违规程度后辞退了沙利文及他的副手。Uber随后支付1.48亿美元,以了结在美国所有50个州和华盛顿特区遭遇的指控。 对于许多与黑客直接打交道的公司来说,Uber这起案件非常值得关注。许多公司都制定了类似的漏洞报告奖励计划,这些计划通常被视为提高信息安全水平的工具,并为黑客提供法律框架内的奖励。然而,有些参与者并没有遵守规则。 美国联邦调查局(FBI)指出,在Uber的案件中,两名主要的黑客继续攻击其他公司。如果沙利文首先报告司法部门,那么这种情况本可以避免。这两名黑客已经认罪,正在等待法庭判决。     (稿源:新浪科技,封面源自网络)

文件显示美国将 DDS 视为黑客犯罪组织

透明度活动组织 “分布式拒绝秘密”(DDoSecrets)在今年夏天早些时候公布了296GB的敏感执法数据后,被正式定为 “犯罪黑客组织”。这一描述来自于6月底美国国土安全部情报与分析办公室向全国各地的融合中心散发的一份公告。该公告的措辞与美国政府早前对维基解密、匿名者和LulzSec的描述如出一辙。 公告中写道:”一个犯罪黑客组织分布式拒绝秘密(DDS)于2020年6月19日进行了一次针对联邦、州和地方执法数据库的黑客和泄密行动,可能是为了支持或回应因乔治-弗洛伊德之死而引发的全国性抗议活动。”据称,DDS泄露了全球200个警察部门、融合中心和其他执法培训和支持资源的十年数据。DDS此前曾针对俄罗斯政府进行过黑客和泄密活动。” 据报道,BlueLeaks的数据是由一名自称与Anonymous有关系的黑客提供给DDS的,包括来自200多个警察部门和融合中心的10年信息。这些记录包括警方和FBI的报告、公告、指南以及有关监控技术和情报收集的技术资料。一些新闻机构利用BlueLeaks的数据发布了关于执法手段的报道,包括黑人生命重要抗议者的反监视方法,反法执法部门威胁的分析,以及对COVID-19大流行期间广泛佩戴面具挫败面部识别算法的担忧。 6月底,Twitter针对泄密事件暂停了DDS的账户,并大规模屏蔽了泄密数据集的超链接,使其无法在平台上分享。对于一家长期以来允许DCLeaks等极端主义内容和容留选举干预链接的工作公司来说,这是一个非常严厉的步骤。上个月,德国当局查封了托管BlueLeaks数据的DDS服务器,有效关闭了该组织的在线记录库。这次查封是应美国当局的要求进行的。 DDS创始人之一艾玛-贝斯特(Emma Best)告诉The Verge,他们 “绝对 “相信这份文件表明,美国当局正在以调查维基解密的方式调查他们的组织,而维基解密的创始人朱利安-阿桑奇(Julian Assange)被控阴谋窃取和发布五角大楼的机密文件。贝斯特坚持认为,该组织从未参与过任何入侵获取文件的行为,只是在文件被他人获取后发布。他表示,与维基解密和阿桑奇不同,我们没有参与实际的黑客攻击,也没有为黑客提供物质支持。 (稿源:cnBeta,封面源自网络。)

潜伏十年“黑客雇佣军团”现身,盯上欧洲律师事务所

今年继Dark Basin黑客雇佣组织曝光后,卡巴斯基发现第二个黑客雇佣组织Deceptikons。 俄罗斯网络安全公司卡巴斯基在一场网络研讨会中表示,发现了一个新的黑客雇佣组织,该组织已经活跃了近十年。 据卡巴斯基恶意软件分析师Vicente Diaz透露,卡巴斯基将这个组织命名为“Deceptikons”,其针对行业主要四律师事务所、金融科技公司开展攻击,窃取企业的机密数据,主要分布在欧洲,偶尔出现在中东国家,比如以色列、约旦和埃及。 该组织最近一次攻击是在2019年的一次鱼叉式网络钓鱼活动,一系列欧洲律师事务所中招,在这场活动中,该组织在目标企业主机中部署了恶意PowerShell脚本。 尚未利用0day漏洞 俄罗斯安全企业在网络研讨会中的一份书面报告中提及,“该租住在攻击技术上的发展目前还不成熟,就我们所了解到的尚未利用0day开展攻击。” 就该黑客组织的基础设施和恶意软件而言,“巧妙但不算先进”,对感染主机最大的优势在于持久性。 观察其大多数攻击事件可以发现它们具有相似的模式,始于鱼叉式网络钓鱼邮件,邮件携带更改过的恶意LINK(快捷)文件。 如果受害者下载或和邮件互动(比如点击它),这个快捷文件就会自动下载并运行PowerShell后门木马。 卡巴斯基在接下来的几周时间内将会就该组织的活动公布一些更全面的攻击技术报告。 今年第二个黑客雇佣军团 Deceptikons是今年继Dark Basin APT组织之后发现的第二个黑客雇佣军团。卡巴斯基目前暂时尚未发现该组织受命于哪家实体企业。 今年发现的第一个黑客雇佣军团Dark Basin攻击对象主要是记者、右翼团体、政府官员、金融机构等,幕后指示者似乎是一家来自印度的科技公司。 Dark Basin是一个雇佣黑客组织,目标是六大洲的数千名个人(如高级政客、政府检察官、企业 CEO、新闻工作者和人权维护者)和数百家机构,包括非营利组织和对冲基金等行业,Citizen Lab 也将其定位为网络钓鱼幕后组织。 这家名为BellTroX的印度信息科技服务企业,7 年内监视了超过 1 万个电子邮件帐户,多国政要、行业大亨、社会团体和知名机构都成为其攻击对象。该组织在被曝光之后,这场监视活动也被称为是有史以来最大的雇佣间谍活动之一。     (稿源:Freebuf,封面源自网络。)

卡巴斯基报告:Lazarus APT 组织的大型狩猎游戏

毫无疑问,2020 年将成为历史上令人不愉快的一年。在网络安全领域,针对目标的勒索软件攻击日益增加,集体的伤害就更加明显。通过调查许多此类事件,并通过与一些值得信赖的行业合作伙伴讨论,我们认为我们现在对勒索软件生态系统的结构有了很好的了解。 勒索软件生态系统的结构犯罪分子利用广泛传播的僵尸网络感染(例如,臭名昭著的 Emotet 和 Trickbot 恶意软件家族)传播到受害者和第三方开发者的勒索软件“产品”的网络中。当攻击者对目标的财务状况和IT流程有充分了解后,他们就会在公司的所有资产上部署勒索软件,并进入谈判阶段。 这个生态系统在独立、高度专业化的集群中运行,在大多数情况下,除了业务联系之外,这些集群彼此之间没有联系。这就是威胁行为者的概念变得模糊的原因:负责最初破坏的组织不太可能是破坏受害者的 Active Directory 服务器的一方,而该服务器又不是事件中实际使用的勒索软件代码的一方。更重要的是,在两起事件中,同一罪犯可能会交换业务伙伴,并且可能利用不同的僵尸网络或勒索软件家族。 当然,没有一个复杂的生态系统可以用一套单一的、严格的规则来描述。在本文中,我们描述了2020年3月至2020年5月之间进行的两次调查中出现的异常之处。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1279/     消息来源:kaspersky,译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。