分类: 黑客事件

趋势科技:韩文处理器 HWP 系统遭黑客网络钓鱼攻击

HackerNews.cc  9 月 14 日消息,趋势科技( Trend Micro )研究人员近期发现黑客正以 “ 比特币 ” 或 “ 金融安全准则 ” 为主题分发附带恶意 PostScript 代码的文件,旨在感染韩文处理器(HWP)系统、展开网络钓鱼攻击活动。 图一:诱导文件样本 韩文处理器(HWP)是一款颇受韩国公民欢迎的文字处理应用程序,它具备运行 PostScript 代码的功能,这是一种最初用于打印与印刷系统的编程语言。另外,PostScript 的其中一个分支被称为 Encapsulated PostScript(被封装的 PostScript 格式),它增加了运行代码的限制范围,从而使部分文档的打开更加安全。但不幸的是,较老版本的 HWP 系统并未约束这些限制。 调查显示,此类攻击手段主要是利用恶意 PostScript 代码在受害设备上获取立足接入点,以便展开攻击活动。虽然 PostScript 无法执行 shell 命令,但它确实能够操控目标设备文件。此外,研究人员表示,攻击者入侵目标设备后,首先将系统文件丢弃到各种启动文件夹中,并在等待用户重启设备前使用不同攻击方式破坏系统,其攻击方式包括: Ο 在启动文件夹中删除快捷方式执行 MSHTA.exe 文件。 Ο 删除启动文件夹中的快捷方式和%Temp%目录中的 DLL 文件。该快捷方式主要调用 rundll32.exe 执行 DLL 文件。 Ο 在启动文件夹中删除可执行文件。 图二: HWP 文件中的代码示例 目前,经调查显示,2014 年以后更新的版本不易受此类问题影响。因此,研究人员建议用户更新至最新版本,以防黑客攻击、保障系统安全。 稿源:Trend Micro,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

朝鲜黑客以韩国数字货币交易平台为首选攻击目标

安全公司 FireEye 发表报告称,朝鲜黑客表现出了对数字货币的浓厚兴趣,至少三家韩国数字交易平台成为他们的攻击目标。据悉,朝鲜黑客采用钓鱼攻击的方法展开攻击活动。 过去几个月内,比特币币值出现了大幅上涨,一度突破 5000 美元,但过去几天由于传出中国准备打击比特币关闭比特币交易平台,币值出现了大幅下滑,目前币值已经跌至 4000 美元以下。朝鲜因为核试验和发射导弹而遭到联合国制裁,FireEye 认为黑客以数字货币为目标可能是为政府寻找硬通货,窃取数字货币兑换可使用现金。 稿源:solidot奇客,封面源自网络;

黑客组织 CodeFork 利用“无文件”恶意软件挖掘加密货币 Monero

据外媒 9 月 7 日报道,网络安全公司 Radware 研究人员近期发现黑客组织 CodeFork 利用新型“无文件”恶意软件“Gamarue”感染目标系统、规避杀毒工具检测,旨在挖掘加密货币 Monero(门罗币)增加自身收益。 黑客组织 CodeFork 自 2015 年以来一直处于活跃状态,其主要通过出售恶意服务(例如:分发电子垃圾邮件、蠕虫病毒或下载恶意程序)攻击目标设备。目前,受害目标已广泛分布于全球不同行业。 调查显示,黑客组织 CodeFork 所使用的恶意软件“Gamarue”具备无文件持久性技术,即允许攻击者绕过目标系统安全检测后通过 C&C 服务器下达指令,从而下载并执行改进版 xmrig.exe(门罗币矿工)挖掘货币。因此,一旦攻击者利用该恶意软件感染目标系统后,其磁盘驱动器上将不会留下任何可疑文件,从而能够使攻击者在受感染机器上停留更长时间传播恶意软件、挖掘加密货币 Monero。此外,在该攻击活动中,“Gamarue”并不会入侵目标设备硬盘驱动器,而是通过已安装应用程序感染内部存储器。 目前,研究人员尚不了解黑客组织 CodeFork 攻击范围,也不清楚当前已有多少目标系统遭受感染。不过,安全专家警示,该黑客组织一定会继续分发恶意软件变种,并寻找最新途径绕过当前保护措施。 原作者:Jason Murdock ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧洲与北美数十家能源机构遭俄罗斯黑客组织“蜻蜓”针对性网络攻击

据外媒报道,赛门铁克于 9 月 6 日发布安全报告,宣称欧洲与北美能源部门似乎正面临俄罗斯黑客组织 “ 蜻蜓(Dragonfly)”全面攻击风险。调查显示,目前已有数十家境外基础设施遭到黑客针对性攻击,其中多数位于美国。 黑客组织 “ 蜻蜓 ”(又名:“ Energetic Bear ” 或 “ Crouching Yeti ” )自 2011 年以来一直处于活跃状态,但研究人员表示该组织从 2014 年被曝光后隐藏近两年,随后于 2015 年年底通过部署大规模网络钓鱼邮件复苏并开始展开新一轮攻击活动。据悉,黑客组织 “ 蜻蜓 ” 此前曾依赖暗网中的自定义恶意软件感染目标系统,窃取受害用户重要数据。 调查显示,黑客组织 “蜻蜓” 于 2016 – 2017 年进行了一起以 “ 能源企业发展 ” 为主题的恶意电子邮件分发活动,旨在窃取用户敏感数据。今年,赛门铁克观察到,该组织使用了一款名为 “  Phishery ” 的工具包,而该工具包自去年以来一直于暗网公开发售并允许黑客在用户不知情下入侵目标系统。近期,美国、土耳其与瑞士等多国基础设施疑似遭该黑客组织攻击。 据悉,虽然黑客现已成功控制多数受害系统,但研究人员尚不清楚攻击者最终目标或真正意图。不过,根据黑客长久的控制操作可以推测,攻击者具备政治动机,与早前乌克兰电厂攻击活动存在异曲同工之处,尽管二者之间无明确关系。 目前,虽然研究人员尚不了解该黑客组织真实背景,但他们发现该组织通常使用公开出售的恶意软件或黑客工具包,以便隐匿自身行踪。此外,赛门铁克表示,攻击者最初入侵目标组织系统仅是收集有关资料,以便规划未来网络攻击活动策略。虽然赛门铁克当前并未发布受害者详细信息,但他们指出该黑客组织通常导致能源公司出现电力中断或电网关闭现象。不过,研究人员表示,“黑客完全接管国家关键能源系统”的 “噩梦” 目前也只是推测和理论。 原作者:Jason Murdock, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

苹果开发者网站疑似遭黑客攻击,IP 被更改为同一俄罗斯地址

据外媒报道,周三在社交媒体上出现了一些针对苹果开发者网站的投诉,一些开发账户地址被更改为同一俄罗斯地址,从而引发人们猜测该网站可能存在某种安全漏洞或遭黑客攻击。 一位名叫 David Negron 的开发人员(自称是 Productiontrax.com 的创始人)首先注意到这个问题,他发表推文称:“ 所有开发者的帐户地址都被显示为俄罗斯的一个地址。” 另一位开发人员 @Kaiusee 发表推文称,他检查了四个不同的苹果开发者帐户,发现所有账户都显示了相同的地址:“ bul. Novatorov, Saint-Petesburg, Leningrad, 198216, Russian Federation。” 目前,尚不清楚是否存在某种内部错误,还是受到黑客攻击。苹果开发者网站在几个小时无法访问后恢复正常。 稿源:cnBeta,封面源自网络;

黑客瞄准英国高等学院窃取军事武器研究成果与专家敏感数据

HackerNews.cc  9 月 5 日消息,境外高等院校的网络安全漏洞数量在过去一年内翻了一番,因为黑客正绕过他们薄弱的防范手段窃取国家机密信息。据悉,现今黑客似乎开始瞄准英国大学,旨在窃取导弹研究成果与专家个人敏感数据。  《 纽约时报 》援引信息自由法案( FOI )收集的数据显示,黑客于 2016-2017 年在医药、工程与导弹研究方面共计开展了 1152 起恶意攻击活动,其受影响机构除著名的牛津大学遭到 515 次未经授权访问攻击外,还包括伦敦学院与伦敦玛丽皇后学院被成功攻击 57 次。此外某学院还声称,它每月受到的攻击多达 10,000 次,其多数源自中国、俄罗斯与远东等地区。 网络安全公司 Darktrace 技术总监 Dave Palmer 表示,虽然伪装军用车辆的导弹与机密设备是黑客首要攻击目标之一,但他们更想得到有关军事武器与专家研究成果的详细资料。 华威大学网络安全研究主任 Carsten Maple 表示:“大学是推动英国多数研究成果的发展基地,其一款技术设备的知识产权需要多年的专业经验与成本。如果黑客成功袭击一所大学并将其窃取的信息出售给一个民族或国家,那么研究人员所有的努力将功亏一篑。因此安全专家呼吁各大学研究基地加强网络防御体系,维护自身研究成果,共同抵御黑客网络攻击活动。 原作者:Brendan Cole,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

澳警方无线电网络系统遭黑客劫持,协助歹徒得以快速逃离犯罪现场

据外媒 9 月 2 日报道,澳大利亚维多利亚州警方在接到一起持枪抢劫案件的电话后,试图追捕涉嫌武装并通过被盗车辆逃离犯罪现场的两名歹徒。然而,戏剧性的一幕出现了,一名未知黑客在警方追捕期间多次中断无线电网络跟踪系统并冒充警察同步错误信息导致追捕行动失败。 知情人士透露,尽管警方最初不得不放弃追捕,但他们随后在附近的一个镇上成功逮捕这两名犯罪嫌疑人。维多利亚警方经调查表示,黑客可能位于 Gippsland 东部地区进行这一恶意操作。目前,当地警方仍在继续展开调查。 事实上无线电黑客并不罕见。今年 4 月份,一名黑客劫持了达拉斯紧急系统,并在同一天晚上连续 12 次触发龙卷风警报;同年 7 月一名黑客劫持英国电台并在不同频率连续播放淫秽歌曲。 澳大利亚政府表示,该事件突出表明,国家需要一款更强大的数字系统以防黑客再次入侵。而警局局长里萨·内维尔(Brisbane Times)表示,此次事件无疑暴露了当前无线电网络系统的薄弱区域,好在政府现已投入 1200 万美元将用于明年网络系统改进的全面运作当中。 原作者:India Ashok ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美公司渲染中国黑客攻击越南 中国外交部:妄加指责

据外媒报道,美国网络安全公司 FireEye 声称,在南海紧张加剧之际,为中国网络间谍扩大了对越南官方机构以及企业的攻击范围。调查显示,这些攻击活动于近期发生,可能由中国网络间谍使用过的网络设施造成。 FireEye 网络情报团队主管本·里德说:“以前中国窃取情报的重点往往是政府,近来的情况表明,他们实际上可能在攻击越南整个商界,企图广泛搜集各类情报 ”。中国外交部发言人华春莹说,中国反对任何形式的网络窃密和非法网络活动。反对任何国家、任何方面在没有确凿证据的情况下对其他国家妄加指责。越南外交部发言人黎氏秋恒说,应当依据法律严惩网络攻击行为,各国必须保障各自的网络安全。 FireEye 公司说,越南遭受的网络攻击主要是用越南语向用户发送的佯称要调查财务信息的文件。据悉,此次网络攻击涉及的企业范围极其广泛,包括金融机构,但是 FireEye 并未透露具体情况。另外,当用户打开文件时,对方就投放了恶意软件,可能感染电脑并把信息传给网络间谍,也可能使网络间谍得以入侵该计算机网络。 FireEye 认为这些攻击活动与黑客组织 Conimes 有关,原因是这个团伙过去用过 conimes.com 的域名。里德说,该团伙的攻击重点是东南亚,但主要目标是越南,并且在南海紧张加剧后愈发活跃。 稿源:新浪科技、参考消息网,封面源自网络;

老牌 DDoS 服务出租平台 TrueStresser 被黑,客户敏感信息在线泄露

HackerNews.cc  9 月 2 日消息,某黑客因不满意 DDoS 服务出租平台 TrueStresser 提供的服务,入侵该平台后窃取了部分客户敏感信息,并于社交媒体 Pastebin 与 Hastebin 上公然发布。此外,该黑客声称他不仅窃取了 331 名用户电子邮件账号、用户名与密码,还在线发布了 TrueStresser 控制面板登录凭证,致使任意用户均可使用该凭证命令僵尸网络发动 DDoS 攻击。 安全研究人员 Derrick Farmer 表示他曾通过黑客泄露的 16 个明文用户密码之一进行登录,以便验证该起事件是否真实,随后他所使用的 IP 地址便就到了大规模的  ICMP Flood 攻击。 TrueStresser 平台在发现数据库遭窃后立即向另一 DDoS 服务出租平台 Defcon.pro 租用攻击服务基础设施,后者现今拥有超过 7,700 名客户,可在短短一天内发动逾 3,900 次 DDoS 攻击。目前尚不清楚黑客是何时以及如何入侵的 TrueStresser 平台,研究人员表示还将深入调查。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Instagram 网络攻击殃及数百万账号:知名用户号码被放置暗网出售

据外媒报道,Instagram 此前曾对外宣称,其应用程序界面存在一处安全漏洞,允许黑客利用恶意代码窃取目标用户帐号电子邮件地址、手机号码。不过,虽然该漏洞已被修复,但影响范围远比想象还要严重。知情人士获悉,该漏洞似乎正是导致赛琳娜 ·戈麦斯账号突然发出大量前男友贾斯汀·比伯裸照的缘由。 官方最新消息披露,虽然一开始 Instagram 表示此次攻击仅影响到获得认证的账号,但最新更新数据却指出未获得认证的用户账号也在影响范围之内。据了解,在这一网络攻击曝光数小时后,黑客建立了一个名为 Doxagram 的搜索数据库,即用户可花费 10 美元在其获得一次搜索受害者联系信息的机会。目前,黑客总共在上面发布了 1000 个账号,包括 50 个关注者最多的账号。 Instagram 至今仍未公布受影响账号数量。据历史统计 Instagram 总共拥有 7 亿多个活跃账号,然而黑客声称他们手上已掌握逾 600 万个账号信息。另外,Instagram 还表示在这次攻击中用户的账号密码并未被盗。截止当前,虽然 Doxagram 已经下线,但并不清楚它是否还会卷土重来。不过,即便 Doxagram 已经关闭,但网络安全公司 RepKnight 发现包括演员、歌手与运动员在内的多数名人信息于暗网出售: 演员:艾玛·沃特森、艾米莉亚·克拉克、扎克·埃夫隆、莱昂纳多·迪卡普里奥、查宁·塔图姆 歌手:哈里·斯泰尔斯、埃莉·古尔丁、维多利亚·贝克汉姆、碧昂斯、Lady Gaga、蕾哈娜、泰勒·斯威夫特、凯蒂·佩里、阿黛尔、史诺普·道格、布兰妮·斯皮尔斯 运动员:弗洛伊德·梅威瑟、齐达内、内马尔、大卫·贝克汉姆、小罗纳尔多。 目前,虽然尚不清楚此次大规模网络攻击幕后黑手真正身份,但 Instagram 已与执法部门展开合作。此外,安全专家提醒 Instagram 用户启用双因素身份验证并始终通过复杂密码保护账号信息。 本文根据 thehackernews 与 cnBeta 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。