分类: 黑客事件

尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台

雷锋网(公众号:雷锋网)消息,5 月 28 日,威胁情报公司微步在线对雷锋网称,他们近日发现了一个长期利用窃密木马(AgentTesla等)对制造业、航运、能源以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙“SWEED”。 不久前,一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice)引起了微步在线安全研究员的注意,因为该文档利用了 OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“AgentTesla”。 AgentTesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过”web”、”smtp”和”ftp”等三种方式回传数据。 安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。 “SWEED”团伙在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。 安全研究人员建议,国内企业用户对所有包含附件的邮件提高警惕,涉及金融交易的细节需与对方核实确认,谨防此类欺诈攻击。 点击获取详细样本分析。   稿源:雷锋网,封面源自网络;

比特币黄金遭黑客攻击:可能损失 1800 万美元

北京时间5月28日早间消息,比特币黄金(Bitcoin Gold)的开发团队近期公布了上周遭遇攻击的详情。当时,攻击者通过“双重支出攻击”,从加密货币交易所中窃取了资金。 比特币黄金的开发团队确认,攻击者获得了网络算力的大部分控制权,利用这些算力重组了比特币黄金的区块链,并进行反向交易。 在这起事件中,攻击者向加密货币交易所存入资金,将其交易为比特币或其他加密货币,随后再提取资金。随后,攻击者使用获得的绝大部分算力,迫使网络的其他部分接受伪造的数据块,修改最初的存入资金,导致这些资金从交易所控制的钱包中消失。 根据此前的报道,与攻击者关联的地址在一系列“双重支出行为”的交易中向自己发送了超过38万个比特币黄金。目前尚不清楚,这些交易中有多少造成了资金被盗。从理论上来说,如果所有交易都造成资金被盗,那么攻击者可以从中获利1800万美元。 项目的开发者表示,此次攻击部分是因为,比特币黄金的挖矿算法“Equihash”也被其他加密货币所使用,导致可用算力池要比比特币黄金网络中的算力更大。 比特币黄金已经计划迁移至新算法。此前,挖矿硬件厂商比特大陆宣布,首款Equihash AISC矿机已经开始接受预订。开发者表示,迁移至新算法能大幅提升网络的安全性。   稿源:新浪科技,封面源自网络;

Turla APT 组织利用 Metasploit 框架发动攻击

Turla是俄罗斯的APT小组(也称为Waterbug),小组自2007年以来活跃攻击政府组织和私营企业。 Turla的受害者包括瑞士国防公司,美国国务院和美国中央司令部。在最近的攻击中,该组织使用真的Adobe Flash安装程序与其macOS后门打包,并在受害者系统上下载恶意软件。ESET的专家观察到,攻击活动发生了变化:黑客利用流行的开源开发框架Metasploit开展攻击,而以往的案例中,Turla会使用自己的工具,比如Skipper。   稿源:Freebuf,封面源自网络;

黑客找到新方法在 WordPress 站点中加载后门插件

为了攻击WordPress网站,挂上后门插件,黑客想出了一种新的方法,这种新方法需要用到那些弱口令WordPress.com账号和Jetpack插件。整个攻击过程非常复杂,为了攻击网站,黑客需要经历不同步骤,这也意味着用户的防御方法非常之多。 尽管如此,根据WordPress网站安全公司Wordfence的报告以及WordPress.org官方论坛上的一些帖子,有很多用户还是被挂上了后门插件,攻击大都发生在5月16日以后。攻击的第一步包括黑客从公开漏洞中获取用户名和密码,并尝试登录WordPress.com帐户。如果使用了社工库里已经暴露的密码,就可能受到攻击。第二个攻击要素则是Jetpack,这是一款非常普遍的wordpress插件,黑客利用这款插件进一步在网站上安装后门。   稿源:Freebuf,封面源自网络;

匿名币 Verge 再遭 51% 攻击,黑客盗取近 3500 万个 XVG

4月份的攻击阴影仍未散去,匿名币Verge(XVG)再次遭到51%攻击。 根据BitcoinTalk网友ocminer(他是竞争币矿池Suprnova的运作者)所说,某攻击者已经成功通过51%攻击分叉了VXG区块链。在过程中,攻击者锁定了XVG代码中的某个漏洞,该漏洞允许恶意矿工在区块上添加虚假的时间戳,随后快速挖出新块。 Suprnova发推表示: XVG再次遭到攻击,有人通过51%攻击导致所有正确区块失效。所有的矿池和矿工都受到了影响,这位攻击者目前控制了所有的区块。   XVG协议交替使用五种挖矿算法,ocminer表示,攻击者已经控制了其中的两种——scrypt和lyra2re,因此其进行挖矿是毫不费力的。攻击者还用假的时间戳来欺骗整个网络接受其挖出的区块并添加到主链中。 攻击者在区块2155850和2206272之间采取了行动,在短短的几个小时内谋取了近3500万个XVG,也就是175万美元。截至发稿时,本次攻击已经被成功制止,然而没人能够保证未来攻击者是否会再次出击。 而XVG开发者的回应似乎并不让人省心。他们在推特中承认该项目挖矿存在问题,但声称只是几个矿池受到了DDOS攻击。 这位攻击者的手法与两个月前的入侵者类似,当时那位恶意矿工通过攻击XVG网络获取了2000万个XVG,这在当时价值高达110万美元。而当时和现在一样,XVG开发者对系统漏洞的轻描淡写,引发了社区无止尽的批评。 当时XVG通过激活紧急的硬分叉计划来修复漏洞,但包括ocminer在内的批评者都认为此次升级只不过是“贴了一张创口贴”,并未从源头上解决问题。 自本次攻击事件以来,XVG价格已下跌超14%。目前XVG是市值排名第31位的加密货币,截至发稿时,其总市值为6.8亿美元。 XVG遭到攻击之后,门罗币首席开发者也在推特上对其冷嘲热讽了一番,“真是一种安全稳定的加密货币呢。” XVG团队尚未就本次事件作出评论。   稿源:巴比特资讯,编译:Wendy,封面源自网络;

思科发布安全预警:几十个国家50万台路由器被感染

北京时间5月23日晚间消息,思科公司周三发布安全预警称,黑客利用恶意软件,已感染几十个国家的至少50万台路由器和存储设备。 据思科研究人员克雷格·威廉姆斯(Craig Williams)称,思科Talos安全部门认为,俄罗斯政府是此次攻击的幕后主谋,因为黑客所使用软件的代码,与俄罗斯政府之前发动网络攻击所使用软件的代码一致。 乌克兰安全局(SBU)称,此举表明俄罗斯计划在欧洲冠军联赛决赛开战之前,对乌克兰发动大规模网络攻击。欧洲冠军联赛决赛将于本周六在基辅开战。 乌克兰安全局在一份声明中称:“安全服务专家认为,此次乌克兰境内路由器和存储设备被感染,是俄罗斯为发动新一轮网络攻击做准备,目的是在欧洲冠军联赛决赛期间破坏局势。”   稿源:新浪科技,封面源自网络;

与朝鲜有关的黑客使用谷歌Play商店中的恶意软件追踪脱北者

据外媒Techspot报道, 谷歌Play商店此前曾出现一些看似合法却包含恶意软件的的应用程序并不陌生,但McAfee的研究人员发现了一些与以前不同的内容:针对特定个人的三种恶意应用程序。该安全组织表示,一个与朝鲜有关的小组上传了这些应用程序,这些应用程序旨在渗透属于脱北者的Android设备。 虽然“朝鲜黑客”通常指臭名昭著Lazarus Group,但此次的攻击者是 Sun Team。该组织参加了名为RedDawn的活动,该广告活动在恶意软件加载应用程序被添加到谷歌Play商店之前,曾试图吸引“叛逃者”下载软件。 今年1月至3月间,这三款应用出现在谷歌Play商店中。其中一个称为 Food Ingredients Info的应用提供了有关食物成分的信息。另外两个应用——Fast AppLock 和Fast AppLockFree则是安全工具。这三款应用都能够窃取那些下载应用的用户的个人数据,这些数据可能被用来勒索,威胁或追踪受害者; 这些信息包括用户的照片、联系人、通话记录和短信等。 “感染设备后,恶意软件使用Dropbox和Yandex上传数据并发布命令,包括其他插件dex文件;这与早期的Sun Team攻击类似,”McAfee的Jaewon Min写道。“从这些云存储站点,我们发现了Sun Team用于我们1月份报告的恶意软件活动的相同测试Android设备的信息日志。日志具有类似的格式,并使用与其他Sun Team日志相同的缩略字段。此外,新恶意软件者的电子邮件地址与早先与Sun Team相关的电子邮件地址相同。” Sun Team试图让朝鲜叛逃者(其中2016年有超过30,000人)通过使用虚假的Facebook个人资料或通过该发送直接私人消息来下载应用程序。在韩国流行的聊天应用程序KakaoTalk也被用来发送链接到目标。 目前已被删除的应用程序在谷歌 Play商店中大约被下载了100次。据报道,Sun Team设置的两个虚假的Facebook个人资料仍然活跃。将攻击与朝鲜联系在一起的进一步证据包括在测试日志文件中找到的属于该国的IP地址,以及作者使用韩语“不在韩国语词汇中”的事实。   稿源:cnBeta,封面源自网络;

墨西哥多家银行巨款神秘消失 或遭“黑客”窃取

墨西哥中央银行和监管机构14日说,1800万至2000万美元近期在多家银行的电子转账过程中不翼而飞,可能遭“黑客”窃取。 中央银行企业支付和服务系统主管洛伦扎·马丁内斯说,4月到5月至少发生5起针对墨西哥官方电子支付系统SPEI的袭击。他否认媒体先前关于“丢失”4亿比索(约合2039万美元)的报道。“正在核查金额,一些转账被拦截,款项正在回流。” 马里奥·阿尔韦托·迪科斯坦索在政府中主管保护金融业客户的委员会,说遗失金额可能在3.5亿至4亿比索(1875万至2039万美元)之间。部分款项通过SPEI系统转账,交易者身份和收款人信息暂时不清楚。 路透社以两名了解政府调查的人士为消息源报道,黑客向北方商业银行等银行发送数以百计错误指令,把数以万计乃至数以十万计比索转至其他银行的虚假账户中,随后在数十家分行提取现金。 在墨西哥,跨行支付系统允许不同银行之间实时转账。一名消息人士说,黑客可能在银行有内应,缘由是如此大量现金提取在墨西哥并不常见。 据美联社报道,三家银行4月27日在软件筛查过程中发现漏洞,其他银行继而马上进入安全检测模式,发现巨款“窟窿”。马丁内斯说,SPEI系统没有受到破坏,但由其他机构或第三方提供的连接支付系统的软件出现漏洞。 不过,巨款蒸发没有影响储户,而是让多家银行吃了哑巴亏。迪科斯坦索说,这是一次惨痛教训,银行今后必须提高系统安全标准,不仅保护客户资料安全,还要保护自身的身份信息。 中央银行要求所有银行追加安全举措,延长借记卡消费预授权、电子支付等交易的转账时间。这对一些零售银行业务客户或自助柜员机(ATM)用户而言无疑会带来一定的不便。   稿源:新华网,封面源自网络;

美电话追踪公司Securus遭黑客攻击:至少2800个登录名和密码泄露

据外媒cnet报道,美参议员Ron Wyden曾曝光了Securus公司为警方提供实时追踪电话的能力。现在,最新消息称,这家公司遭到了黑客攻击。根据Motherboard的报道,黑客至少拿到了包含有2800个登录名和加密密码的电子表格。 其中一些密码已经被破解。Motherboard表示,为了证实该网络攻击的事实他们对一些登录名进行了测试。 目前还无法完全确定这一报道,也还不清楚这些被盗走的登录名是否会让黑客也拥有追踪对应用户手机的能力。 对此,Securus方面并未立即置评。   稿源:cnBeta,封面源自网络;

上传恶意文件时无意泄露两个0-day,被研究人员抓个正着

一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时,无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获,并及时上报给厂商修复。 ESET 研究员 Anton Cherepanov 在 3 月底分析海量恶意软件样本时,发现了这两个隐藏的漏洞,在发现之时,该神秘黑客组织仍在调整这两个漏洞。Cherepanov 表示:“样本中不包含最终有效载荷,这意味着漏洞被发现时仍处于早期发展阶段。”这两个 0-day 漏洞分别是影响 Adobe Acrobat/Reader PDF 阅读器的 CVE-2018-4990,和影响 Windows Win32k 组件的 CVE-2018-8120。二者结合可以构成一个所谓的“利用链”。其中,利用 CVE-2018-4990 可以在 Adobe Acrobat/Reader 中运行自定义代码,而利用 CVE-2018-8120 则可以绕过 Adobe 的沙箱保护并在底层操作系统上执行其他代码。   稿源:Freebuf,封面源自网络;