分类: 黑客事件

菲律宾央行就「黑客攻击马来西亚央行 SWIFT 系统」一案向当地金融机构预警

据外媒报道,在上周二黑客攻击马来西亚央行的 SWIFT 服务器后,菲律宾中央银行向当地金融机构发出警告。马来西亚央行证实,黑客通过 SWIFT 银行结算系统向目标银行发送欺诈性电汇请求,以诱骗其进行转账行为。不过据称黑客的窃取行为并没有成功,因为此次网络攻击事件没有导致任何资金流失。 尽管目前还不清楚黑客是如何访问马来西亚央行的 SWIFT 服务器的,也没有调查出黑客的具体身份。但负责监管该国 45 家商业银行的马来西亚央行表示不会因为受到网络攻击而中断其他支付和结算系统。除此之外,马来西亚央行在一份声明中称已采取了额外的安全措施来保护其利益相关者。他们通过与其他中央银行、 SWIFT 平台、以及金融机构的强有力合作,迅速采取行动阻止所有未经授权的交易。 这是继 2016 年孟加拉国央行被窃取 8100 万美元后,国家中央银行遭受黑客攻击的第二起案件。 2016 年,菲律宾央行也卷入了孟加拉银行的网络抢劫事件中。黑客从孟加拉国中央银行窃取 8100 万美元后,将钱转入了位于菲律宾马尼拉的 Rizal Commercial Banking Corp(RCBC)的多个账户中,然后用这些资金进入当地的赌场业。在此次事件中,菲律宾央行因未能防止欺诈性转移货币而被罚款 2000 万美元。 孟加拉银行副行长 Razee Hassan 认为马来西亚央行的网络攻击事件显示出 SWIFT 平台依然脆弱,因为在 SWIFT 采取了几项在全球范围内保护系统的措施后还出现了这种情况,这意味着犯罪分子可能拥有更充足的能力以及更强大的网络武器,所以对于目前来说进一步改善全球金融转移体系变得尤为重要。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

印度电力公司遭遇黑客攻击,勒索 1 RS Core 或 1000 万卢比

上周,黑客攻占了印度 Uttar Haryana Bijli Vitran Nigam(UHBVN)电力公司的计算机系统,窃取了客户的账单数据。 攻击者对电力公司进行了勒索,索要一个 1 RS Core 或者 1000 万卢比才肯归还数据,1000 万卢比相当于 15 万美元。 据新印度快报报道,黑客在 3 月 21 日凌晨获得了计费系统的访问权,员工在 22 日到公司时,发现他们的电脑上闪烁着赎金信息,要求 1 个 RS Core 来恢复数据。电力公司正在通过日志以及其他来源回复数据。账单数据的丢失意味着电力公司无法对之前的客户用量进行计算。 稿源:freebuf,封面源自网络;

多国刑警联合行动:网络犯罪团伙 Carbanak 头目被捕,曾以恶意软件攻击全球金融机构获利 10 亿欧元

据外媒报道,利用 Carbanak 和 Cobalt 木马攻击全球 100 多家金融机构的 Carbanak 犯罪团伙头目近期在西班牙阿利坎特市被警方逮捕,该行动由欧洲刑警组织、FBI、西班牙警方、以及罗马尼亚、白俄罗斯、中国台湾的网络安全公司、金融机构和执法机构联合开展。 自 2013 年来,Carbanak 犯罪团伙就开始利用他们设计的恶意软件(Carbanak 、 Cobalt )开展攻击活动,至今已有 40 多个国家和地区的银行、电子支付系统和金融机构受到影响,导致金融行业累计损失超过 10 亿欧元。(犯罪团伙仅使用 Cobalt 每次就能窃取 1000 万欧元。) 在所有这些攻击活动中,Carbanak 犯罪团伙都使用了类似的操作手法:他们冒充合法公司向银行职员发送带有恶意附件的钓鱼邮件,进而远程控制职员受感染的设备、访问内部银行网络并感染控制 ATM 服务器。 以下为 Carbanak 犯罪团伙套钱的方式: – 自动取款机被远程指示在预先确定的时间发放现金,其中一名团伙成员在机器旁等待自动提款机吐钱; -电子支付网络用于将资金转移到犯罪账户中; -修改账户信息的数据库,使银行账户的余额增多; 然后 Carbanak 犯罪团伙借助加密货币洗钱,通过利用与加密货币钱包挂钩的预付卡购买豪车和房屋等。 欧洲刑警组织负责人史蒂文威尔逊表示, 这次联合行动不仅对国际刑警组织来说是巨大的胜利,也对以后打击网络犯罪的国际联合行动产生了重大影响。 欧洲刑警组织发布的安全公告: 《 MASTERMIND BEHIND EUR 1 BILLION CYBER BANK ROBBERY ARRESTED IN SPAIN》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客利用存在 5 年的漏洞感染 Linux 服务器并获利

黑客组织利用 Cacti“Network Weathermap”插件中一个存在 5 年之久的漏洞,在 Linux 服务器上安装了 Monero 矿工,赚了近 75,000 美元。来自美国安全公司趋势科技的专家表示,他们有证据证明这些攻击与过去发生在 Jenkins 服务器上的攻击有关:黑客组织利用 CVE-2017-1000353 漏洞在 Jenkins 设备上安装 Moner 矿工,获得了约 300 万美元。 这次,攻击者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一个基于 PHP 的开源网络监视和图形工具,更具体地说,是在其 Network Weathermap 插件中负责可视化网络活动。 就像在以前的攻击一样,黑客利用这个漏洞获得底层服务器的代码执行能力,在这些服务器上他们下载并安装了一个合法的 Monero 挖掘软件 XMRig 的定制版本。 攻击者还修改了本地 cron 作业,每三分钟触发一次“watchd0g”Bash 脚本,该脚本检查 Monero 矿工是否仍处于活动状态,并在 XMRig 的进程停止时重新启动它。 攻击者使用这种简单的操作模式收获了大约 320 XMR(75,000 美元)。所有受感染的服务器都运行 Linux,大多数受害者位于日本(12%),中国(10%),台湾(10%)和美国(9%)。 由于 Cacti 系统通常设计为运行并密切关注内部网络,因此不应在线访问此类实例。 稿源:cnBeta、开源中国,封面源自网络;

美国起诉 10 名伊朗黑客:曾针对大学和 HBO 发起网络攻击

美国司法部周五宣布针起诉 9 名伊朗人,指控他们袭击全球数百所美国大学和其它国家的大学。这 9 名伊朗人所在组织的名称被认定为“马布纳黑客”,据称袭击了 22 个国家的 320 所大学,其中 144 所在美国。 美国司法部助理副部长德斯坦斯坦在新闻发布会上表示,黑客窃取了大学的研究成果并将其出售给伊朗以谋利。罗森斯坦说:“学术机构是外国网络犯罪分子的主要目标。大学只有在他们的工作免受盗窃时才能持续研发和创意。” 同样在周五,美国财政部宣布对伊朗黑客进行制裁,并且将另外一名伊朗人 Behzad Mesri 加入起诉行列,指控其负通过互联网攻击 HBO 服务器,并在去年夏天泄露了尚未发布的“权力的游戏”电视剧。 据司法部称,“马布纳黑客“组织还针对美国联邦能源委员会,劳工部和联合国进行了攻击,另外还有 47 家私人公司遭遇他们攻击,这些攻击是代表伊朗政府完成的。 罗森斯坦说,总的来说,这些大学被黑客偷窃和出售的研究开发成本达到34亿美元。官员说,该组织被指控窃取超过 31 TB 的大学数据,这些数据是通过向大学教授发送具有钓鱼链接的欺骗性电子邮件渗透进入大学而被盗取。 稿源:cnBeta,封面源自网络

波多黎各电力局(PREPA)遭遇黑客入侵

外媒 3 月 21 日消息,波多黎各电力局(PREPA)本周一证实其计算机基础设施曾在周末遭受了黑客入侵。目前 PREPA 确认此次事件没有对用户带来风险,因为黑客并没有访问其客户服务系统,数据信息也没有受到破坏。 值得注意的是,美国政府几天前曾发出警告称俄罗斯资助黑客组织发起针对美国关键基础设施 的网络攻击。 不过目前并没有证据表明俄罗斯黑客参与了 PREPA 的攻击事件,因为黑客人士采用了复杂的技术来隐藏自己,使得调查该网络攻击变得非常困难。 根据 PREPA 发言人的说法,目前有关部门正在对该事件进行调查,但拒绝透露有哪些政府部门参与 。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

伊朗黑客组织 TEMP.Zagros 转变攻击战术,针对亚洲和中东地区开展大规模网络钓鱼攻势

近日,FireEye 发布安全分析报告称,一个名为 TEMP.Zagros(又被称为 MuddyWater)的伊朗黑客自 2018 年 1 月至 3 月期间针对亚洲和中东地区发起了大规模的网络钓鱼攻势。在近期的活动中,该黑客利用了最新的代码执行和持久性技术向这些地区分发一个基于宏的恶意文档,与以往不同的是,该文档删除了一个 VBS 文件和一个包含 Base64 编码的 PowerShell 命令的 INI 文件。一旦被成功执行,恶意文档将会安装一个 POWERSTATS 后门。 在该恶意活动中,TEMP.Zagros 的战术、技术、程序、以及目标在一个月之内发生了较大的改变。上图为该钓鱼活动的简要时间轴。 TEMP.Zagros 通常会使用具有地缘政治主题的网络钓鱼攻击电子邮件和恶意宏文件,例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。在分析这些文件时,FireEye 观察到TEMP.Zagros 重用了 AppLocker 旁路和用于间接代码执行的横向移动技术。此外,研究人员还在 TEMP.Zagros 使用的恶意代码中发现了中文字符串,这些字符串被留作虚假标志使得查询归属变得更加困难。 FireEye 分析报告: 《 Iranian Threat Group Updates Tactics, Techniques and Procedures in Spear Phishing Campaign 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

波兰警方逮捕 Polski、Vortex 、Flotera 勒索软件开发作者

外媒 3 月 17 日消息,波兰执法部门于上周星期五对外宣布著名网络犯罪分子 Tomasz T 已在波兰被警方逮捕。据悉,Tomasz T 被广泛认为是 Polski、Vortex 和 Flotera 勒索软件家族的开发作者。 波兰警方在此次逮捕行动中搜查了 Tomasz T 的住所并扣留了其电脑设备。通过该设备以及其远程服务器,一些重要数据被成功恢复,其中包括加密密钥。目前波兰警方正在鼓励 Polski、Vortex 和 Flotera 勒索软件的受害用户向地方当局提交正式诉讼,以便于获取其文件的解密秘钥。 目前这名自 2013 年起就开始活跃的网络犯罪分子被指控了 181 项不同的罪行,并且法院已批准其暂时拘留三个月。 消息来源:bleepingcomputer.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

此前遭受黑客攻击的日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐

此前遭受黑客攻击的日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐私性的加密货币门罗币(Monero)、达世币(Dash)和 Zcash。据《日本时报》报道,此举可能是应日本金融局(FSA)提出的交易所安全性改善要求。 稿源:新浪科技,封面源自网络;

安全公司发现 OceanLotus APT (海莲花)在近期攻击中使用了新后门

外媒3月14日消息,安全公司 ESET 发布分析报告称 OceanLotus APT 组织(“ 海莲花 ”,也被称为 APT32 和 APT- c -00) 在其最近的攻击活动中使用了新的后门,旨在获得远程访问以及对受感染系统的完全控制权。 OceanLotus 组织自 2013 年起至今一直保持活跃状态,据有关专家介绍,该组织是一个与越南有关的国家资助的黑客组织,其中大部分分布在越南、菲律宾、老挝和柬埔寨。根据调查,OceanLotus 除了针对多个行业的组织之外,也针对外国政府、持不同政见人士和记者。 目前来看,OceanLotus 的攻击分两个阶段进行,第一阶段黑客利用一个通过鱼叉式钓鱼信息传递的 dropper 来获得目标系统的初始据点,第二个阶段是其恶意代码为部署后门做好准备。   △ dropper 部分有以上执行流程 △ 后门有以上执行流程 目前 OceanLotus 会在其攻击活动中不断更新工具集,这显示了该组织通过选择目标保持隐藏的意图。此外,OceanLotus 也限制其恶意软件的分发以及使用多个不同的服务器来避免将注意力吸引到单个域名或 IP 地址。 ESET 分析报告: 《 ESET_OceanLotus.pdf 》 消息来源:Security Affairs.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。