分类: 黑客事件

Operation Emmental 幕后黑手再度潜入瑞士银行系统

据外媒 7 月 10 日报道,趋势科技( Trend Micro )研究人员近期发现黑客活动 Operation Emmental 幕后黑手利用 OSX/DoK 恶意软件新变种 OSX_DOK.C 针对瑞士银行系统展开新一轮攻击活动。 2014 年 7 月,趋势科技研究人员发布一份关于黑客活动 Operation Emmental 报告,指出攻击者绕过金融机构双重身份验证入侵瑞士银行账户、窃取客户私人敏感信息。OSX/DoK 允许黑客通过拦截授权操作短信令牌、更改域名系统设置诱导受害者访问虚假银行网站。 近期,研究人员发现黑客更新代码并通过电子邮件传播恶意软件 OSX/DoK 新变种 OSX_DOK.C。据悉,后者一旦感染 Mac 系统后将窃取管理权限并安装新 root 证书,拦截包括 SSL 加密流量在内的全部通信记录。 调查显示,仅当受害者外部 IP 地址位于瑞士时,OSX_DOK.C 才会劫持用户流量。被感染系统将重定向至虚假金融机构登录页面。此外,OSX_DOK.C 还具备其他复杂功能,如滥用证书与安全软件漏洞、影响苹果系统设备正常使用等。目前,OSX_DOK.C 正利用可执行文件压缩软件( UPX )漏洞包装木马以规避安全软件检测。 原作者: Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FBI 与 DHS 发布联合警报:APT 组织已成功渗透美国核设施系统

据外媒 7 月 10 日报道,美国国土安全部( DHS )与联邦调查局( FBI )上周发布联合警报,指出黑客组织早于今年 5 月成功渗透美国等国核电站、工厂与能源设施的企业网络。 据《 纽约时报 》透露,由于该报告并未提供黑客攻击动机,因此调查人员尚未掌握足够证据证明攻击者是否完全掌控目标网络、访问控制系统,也暂时无法对黑客使用的恶意软件/工具进行隔离与分析。 调查显示,黑客组织多数情况下围绕具有关键工控系统直接访问权限的工程师展开网络钓鱼活动。一旦系统遭受破坏,可能导致工厂爆炸、火灾或危险物质泄露等安全事故。分析表明,黑客通过含有恶意软件的 Microsoft Word 文档窃取受害者登录凭据并在目标网络上进行横向传播。此外,黑客还利用安全漏洞攻击受害者访问的合法网站。 安全专家猜测,此类事件与境外政府资助的 APT 组织有关,攻击者策略、技术与流程( TTP )均效仿了以往入侵能源行业的 APT 组织,例如俄罗斯 Energetic Bear 等。目前,美国国土安全部( DHS )已将关键基础设施的网络攻击视为国家必须面对的头等安全挑战之一。 稿源:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国自助售货机供应商 Avanti 网络支付系统遭黑客入侵

美国自助售货机供应商 Avanti Markets 于近期证实,公司内部网络支付系统遭黑客入侵并感染恶意软件。Avanti 警示,此事件极有可能危及客户信用卡帐户信息以及生物识别数据。 调查显示,目前约 160 万顾客使用 Avanti 公司自助结账设备。即顾客可使用信用卡、指纹扫描或现金支付饮料、零食与其他食品费用。据悉,此泄露事件发生后,Avanti 当即在其网站发布数据泄露通知: “ 2017 年 7 月 4 日,我们发现一起复杂的恶意软件攻击事件,影响部分 Avanti Markets 自动售货机终端。目前,尽管我们尚未确认本次入侵事件的根本原因,但攻击者似乎利用恶意软件未经授权访问部分自动售货机客户个人信息,其中包括信用卡姓名、号码与到期时间。因为并非所有自助售货机均以相同方式配置或使用,所以仅有部分机器上的个人信息可能遭受不利影响。” 安全专家表示,尽管销售供应商在过去几年内经常遭受黑客攻击,但此次事件现象尤为特殊,因为较新的 Avanti 自助售货系统允许用户使用指纹扫描支付费用,所以它极有可能危及客户生物识别数据。目前,虽然 Avanti 已禁用自动售货机信用卡支付功能以清除受恶意软件感染的系统设备,但顾客仍可在其自动售货机上使用现金支付。 原作者:Brian Krebs,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

攻击预警:韩国出入境网站 hikorea 疑遭数据库注入攻击,泄露在韩外国人身份信息

据创宇盾( www.365cyd.com )安全舆情监控平台最新监测显示,匿名者组织活跃账号 @Scode404 今晨发布消息已对包括韩国出入境网站(hikorea.go.kr) 、韩国教育部所属全国教育课程中心(ncic.go.kr)在内的多个政府网站进行数据库注入攻击,并通过 pastebin 公布了详细注入点,存在巨大的被拖库风险。 Hi Korea( www.hikorea.go.kr ) 是由法务部、知识经济部、劳动部共同组建的为查询大韩民国信息的外国人提供其所需的投资、雇佣、居住、生活便利等信息的一个窗口,是大韩民国为外国人服务的电子政府( Government for Foreigner )的代表性网站。 HackerNews.cc 在此提醒所有读者,尤其是曾在韩国申请居住证的我国同胞注意近期可能遇到的信息泄露、钓鱼欺诈风险。我们将为您持续关注并提供最新情报。

谷歌警示:BroadPwn 漏洞或将影响使用 Broadcom Wi-Fi 芯片的数百万台 Android 设备

据外媒 7 月 7 日报道,谷歌于近期发布了一份关于 Android 设备的安全更新报告,警示 Broadcom Wi-Fi 芯片存在一处远程代码执行漏洞 BroadPwn(CVE-2017-3544),或将影响数百万台 Android 设备以及部分 iPhone 机型。 BroadPwn 漏洞影响 Broadcom BCM43xx 系列的 WiFi 芯片,允许远程攻击者可在没有与用户交互的情况下,在具有内核特权的受损设备上触发漏洞、执行恶意代码。 据悉,Google 修补了数十个重要漏洞与 100 多个中等问题。此外,研究人员还修补了几个影响 Android Mediaserver 进程的关键漏洞,其中一些漏洞可能被攻击者远程执行恶意代码。值得注意的是,在 Mediaserver libhevc 库中的输入验证漏洞(CVE-2017-0540)能够允许攻击者使用特制文件在媒体文件与数据处理的过程中损坏内存。 目前,虽然 Google 已发布关于 Pixel 与 Nexus 设备的安全更新,但剩下的 Android 设备仍易遭受攻击。除非各原始设备制造商( OEM )能够立即检测并修复漏洞,不然无法完全解决当前问题。 附:《 Google 2017 年 7 月 Android 安全更新报告 》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球第四大比特币交易所 Bithumb 遭黑客入侵,至少损失数十亿韩元

据外媒 7 月 5 日报道,全球知名比特币与以太坊加密货币交易所 Bithumb 近期遭黑客入侵,导致大量客户个人信息泄露、客户财产受到严重损失。 Bithumb 不仅是全球首家以太坊交易所,还是世界知名比特币交易所之一,占全球以太坊交易量 20%、占全球比特币交易量 10%。 根据当地知名报社 Kyunghyang 消息,上周发生的网络黑客行为大约造成数十亿韩元损失。此外,黑客还成功窃取 31,800 名客户个人信息,其中包括姓名、电子邮件地址与手机号码。尽管被盗数据不包含账户密码,但部分客户仍声称资金遭受严重损失。Bithumb 表示只有 3% 客户受到此次数据泄露事件影响。 Bithumb 交易所于 6 月 29 日发现数据泄露后当即向韩国网络犯罪监管机构上报并发表声明,指出此次事件由该公司员工家用电脑被黑导致,排除公司网络系统遭受入侵的可能。此外,造成部分账户资金流失的原因是一些客户在电子金融交易中使用一次性密码引发。目前,预计约有 100 名 Bithumb 客户已向国家警察局网络犯罪报告中心提出申诉。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

海外中文新闻媒体遭针对性网络钓鱼攻击

加拿大多伦多大学公民实验室发表研究报告,称海外中文新闻媒体遭到针对性的钓鱼攻击。2017 年 2 月,中国数字时代的记者陆续收到一系列网络钓鱼邮件,发件人声称自己掌握一场针对明镜新闻网的黑客行动的内幕消息。 调查显示,邮件里的链接指向的实际上是一个看起来像是中国数字时代内容管理系统登录页面的虚假网页——一个试图盗取记者帐号信息以进入该系统发布内容的聪明手段。不过,该手段没有如愿以偿地落实。 获悉,这些邮件让中国数字时代工作人员产生怀疑,他们继而与公民实验室的研究人员分享了这些邮件以作进一步分析。对这些针对中国数字时代的网络钓鱼攻击牵连出一起更广泛的网络攻击行动。这起行动是又一个针对中国报道记者和新闻机构的网络间谍活动。 稿源:solidot,封面源自网络

以太坊钱包遭遇黑客入侵,攻击者利用社工手段劫持钱包域名

据外媒 3 日报道,以太坊钱包(Classic Ether Wallet)—— 一款基于区块链的加密现金公共平台 Ethereum Classic (ETC)开源电子钱包于上周四遭到黑客入侵。去中心化平台开发者表示,黑客试图通过社工手段劫持钱包域名。据 Etereum Classic 开发者推文显示,黑客通过致电域名注册管理机构并冒充服务所有者的方式骗取网站控制权。 Ethereum 是用来挖掘去中心化加密货币 Ether(被部分人视为比特币竞争对手)的分布式公共区块链网络。截至本周一,根据 coinmarketcap.com 提供数据,1  Ethereum Classic(ETC)约合 18 美元。 黑客在获得域名访问权限后将网站设置转换为将域名与资金导向自己的恶意服务器。根据具体服务,被劫持的网站版本 “用代码拷贝用户输入的私钥并发送至黑客”。 网站入口已于上周四被 Cloudflare 发布的网络钓鱼预警阻拦。本周一上午,多数用户已无法访问该网站。网站恢复正常访问后,页面出现“该域名已由托管供应商 1&1 注册”的提示。 目前尚不清楚黑客究竟如何成功诱骗德国公司 1&1 移交域名访问权限。本周一发送至 1&1 的评论请求也未得到即时回复。虽然用户钱包里的加密货币处于安全状态,使用钱包进行交易的用户有可能已在网站遭到劫持期间将代币发送至黑客而非指定接收者手中。 网站管理员建议用户在网站恢复正常前使用托管在 Github、myetherwallet.com 以及 $ETC 节点上的安全版本钱包。Reddit 受害者普遍声称已在此次诈骗中丢失数千美元。其中一名用户表示在一系列 Ethereum Classic 区块链交易中共损失 1001ETC ,约合 18,000 美元。 近年来,比特币与其他加密货币已被证实成为网络钓鱼攻击的诱人目标。去年夏天,Cyren 与 OpenDNS 研究人员协助发现一起旨在从合法比特币钱包吸取资金的攻击。黑客通过诱惑用户访问冒充 Blockchain.info 的一系列网站骗取用户的真实用户名与密码。 注:此篇报道发布之时,1 Ethereum Classic(ETC)合18美元,1 Ethereum(ETH)合 278 美元。 原作者:Chris Brook,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌雇员遭受 Sabre 数据泄露事件困扰

据外媒 3 日报道,谷歌已向本公司的 Sabre 数据泄露事件潜在受害雇员发送通知提醒可能到来的欺诈活动。 今年 5 月,全球旅游业科技巨头 Sabre 在证监会文件中证实“已对未授权访问 Sabre Hospitality Solutions SynXis Central Reservation 系统订单支付信息事件展开调查。” 调查显示,入侵者在劫持 SynXis 系统内部账户后获取系统访问权限。 Sabre 在发送给受害者群体的一份声明中表示,“未授权访问已被关闭,尚未获得后续未授权访问相关证据。无法断定 SynXis Central Reservation 以外的其他任何系统受到影响。” SynXis Central Reservation 产品作为一项费率与库存管理 SaaS 应用目前被全球 32,000 多家酒店广泛采用。此次事件可能造成了非常严重的影响。 公司事后证实,黑客设法访问个人可识别数据、信用卡支付细节与其他信息。谷歌雇员当时正使用 Carson Wagonlit Travel(CWT) 提供的预订服务,而 CWT 采用的正是 SynXis 平台。 谷歌于 6 月 16 日从 CWT 处得知 Sabre 数据泄露事件后立即通过邮件告知受影响雇员:他们的姓名、联系人信息与支付信用卡细节可能已在事发期间( 2016 年 8 月 10 日至 2017 年 3 月 9 日)被黑客掌握。 “我们近期了解到谷歌商旅酒店订单可能受到此次事件影响。我们的第三方供应商作为受害者通过电子预订系统为全球成千上万旅行社与酒店提供服务。值得注意的是,此次事件仅对谷歌采用的旅游供应商 CWT 造成影响,谷歌系统不受任何影响。” “Sabre 迄今仍未发现社保卡号、护照、驾照等信息遭窃取的证据。尽管如此,由于 SynXis CRS 对退房 60 天以上的客人信息采取删除处理,无法证实具体信息是否与受影响订单相关。” 出于保护考虑,谷歌选择向受影响雇员提供为期两年的身份保护与信用监控服务。目前,谷歌正与 CWT 与 Sabre 合作解决这一问题。 Sabire 特地雇佣网络安全公司 Mandiant 协助调查。该公司还将数据泄露事件同步给相关执法机构与支付卡品牌。 “我们通过第三方 AllClear ID 提供为期两年的免费身份保护与信用监控服务。此项服务期于期限内有效,可随时启用。” 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

CNN 等多家知名网站遭遇 Error 503 错误 或被攻击

【TechWeb报道】6月29日消息,据国外媒体报道,CNN(美国有线电视新闻网)等多家知名网站日前遭遇了 Error 503 错误。 外媒称,据用户反映,受到影响的包括社交新闻网站Reddit、纽约时报、CNN、BuzzFeed等知名网站,它们的网络管理系统出了大问题。用户反映,屏幕上会显示“Error 503:达到服务最大线程”的字样(Error 503: Maximum threads for service reached)。 为这些网站提供云服务的 Fastly 公司表示,这种情况属于“全球性事件”,公司多个团队正在进行修复和调查。有分析认为,这次的事故可能是 DDoS(分布式拒绝服务)攻击所造成的。Error 503 错误出现就是因为服务器流量超载,导致无法处理新的请求。 另外,新勒索病毒正席卷全球,渗透进许多的大型跨国企业。受影响的公司包括WPP、俄罗斯石油公司、马士基、美国制药公司默克、俄罗斯第二大钢铁企业耶弗拉兹( Evraz )以及欧华律师事务所( DLA Piper )等等。乌克兰受到大面积打击,使国有供电企业Ukrenergo以及该国几家银行受到影响。 在此之前,WannaCry 病毒在5月份的一个周末肆虐全球,当时就造成 100 多个国家超过 20 万台 Windows 系统电脑中招,影响了全球各地的各个组织,其中包括法国汽车制造商、俄罗斯银行和西班牙电信运营商,引发了全世界的关注。网民电脑里的重要资料被病毒加密,黑客称只有支付赎金才能恢复。(宋星) 稿源:TechWeb,封面源自网络