分类: 黑客事件

黑客大方放出 3.86 亿条用户凭证 称已经赚够钱了

涉及 18 家公司,超过 3.86 亿条用户信息被曝光。自7月21日以来,一个网名为 ShinyHunters 的卖家在一个专门出售和分享被盗数据的黑客论坛上分享了这些用户凭证,而且这些数据都是免费提供的。 在过去一年中,ShinyHunters 参与并表示对多起数据泄漏事件负责,其中包括 Wattpad、Dave、Chatbooks、Promo.com、Mathway、HomeChef 以及 微软 GitHub 仓库的泄露事件。 这些泄漏的数据通常会被私下出售,价格在 500 美元(Zoosk)到 10 万美元(Wattpad)之间。一旦这些用户凭证的价值大打折扣,那么数据卖家通常会选择免费发布来增加黑客论坛的声誉。 在7月21日以来发布的数据库中,其中 9 个数据库在过去已经以某种方式被披露。另外9个,包括 Havenly、Indaba Music、Ivoy、Proctoru、Rewards1、Scentbird 和 Vakinha,此前并未披露。18起数据泄露事件的完整名单如下: BleepingComputer 已经确认,这些曝光的电子邮件账号对应这些服务上的账户。合并后的数据库暴露了超过3.86亿条用户记录。虽然并不是每条记录中都包含密码,例如 promo.com ,但仍然有大量的信息被披露,威胁行为者可以使用。 在询问为何要免费分享这些数据的时候,ShinyHunters 表示:“我现在已经赚够了钱,所以这次我的泄漏是为了大家的利益。很明显,有些人有点不高兴,因为他们几天前向经销商支付了费用,但我不在乎”。 BleepingComputer 已经联系了 ShinyHunters 提供免费服务的每一家公司,但没有收到任何一家公司的回复。这种缺乏回应的情况在报告数据泄露时很常见,通常几周甚至几个月后,该公司会报告数据泄露。     (稿源:cnBeta,封面源自网络。)

数万台 MSSQL 服务器遭爆破入侵,已沦为门罗币矿机

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA     一、概述 腾讯安全威胁情报中心检测到针对MS SQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。 从挖矿木马的HFS服务器计数看,已有上万台MS SQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。 腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统(御点)已可拦截查杀该挖矿木马。 腾讯安全旗下安全产品已针对该挖矿木马的入侵行为进行检测和拦截,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)该木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1) 腾讯云镜支持Mssql弱密码检测; 2)腾讯云镜支持查杀该挖矿木马。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Cloud Workload Protection,CWP) 1)腾讯漏洞扫描服务已支持监测全网资产是否受MSSQL弱密码影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯漏洞扫描服务等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)对利用mssql爆破入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)查杀该团伙入侵释放的挖矿程序,内网端口映射工具; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、样本分析 该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下: Adduser.exe,添加后门账户,用于后续远程登陆。 SQL.exe执行后释放4个文件到c:\windows\Fonts目录中 c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer Sqlwrites.exe是基于xmrig 6.2的挖矿程序 矿池: xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 Frp_C.exe执行后释放以下文件到c:\windows\Fonts中 Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。 IOCs Doamin xxx.hex7e4.ru xmr.hex7e4.ru d3d.hex7e4.ru IP 43.229.149.62 185.212.128.180 URLs hxxp://43.229.149.62:8080/web/Add.exe hxxp://43.229.149.62:8080/web/AddUser.exe hxxp://43.229.149.62:8080/web/dw.exe hxxp://43.229.149.62:8080/web/Frp_C.exe hxxp://43.229.149.62:8080/web/frpc.exe hxxp://43.229.149.62:8080/web/frpc.ini hxxp://43.229.149.62:8080/web/po.jpg hxxp://43.229.149.62:8080/web/se.jpg hxxp://43.229.149.62:8080/web/SQL.exe hxxp://43.229.149.62:8080/web/sqlwriters.jpg hxxp://43.229.149.62:8080/web/sqlwriters1.jpg hxxp://43.229.149.62:8080/web/xx.txt hxxp://43.229.149.62:8080/web/xxx.txt MD5 9a745dc59585a5ad76fee0867acd1427 statr.bat 301257a23e2cad9da915cd942c833146 sqlwriters.exe 9a22fe62ebad16edc5c489c9493a5882 Frp_C.exe 88527fecde10ca426680d5baf6b384d1 po.jpg e27ba54c177c891ad3077de230813373 xxx.txt 2176ecfe4d91964ffec346dd1527420d xx.txt f457a5f0472e309c574795ca339ab566 sql.exe

Garmin 被要求支付 1 千万美元赎金 俄罗斯黑客可能是幕后黑手

Garmin在上周四遭遇勒索软件攻击,导致其服务中断,Garmin目前仍在努力恢复服务。现在更多的信息已经显示出谁应该对整个事件负责。Garmin在五天前承认了遭遇黑客袭击,Garmin在Twitter上的一个模糊的公告中解释说,它正在经历一次服务中断,公司正在努力修复它。 Garmin表示,目前正在经历一次故障,影响Garmin.com和Garmin Connect。这次中断也影响了呼叫中心,服务人员目前无法接收任何电话、电子邮件或在线聊天服务。Garmin正在努力尽快解决这个问题,并对由此带来的不便表示歉意。根据各种报道,Garmin内部宣布在部分工厂进行两天的维护,可能是为了在攻击后恢复。该公司从未证实勒索软件攻击是造成此次故障的原因。不过,来自《每日邮报》的报道显示,Garmin被要求支付1000万美元的赎金来解锁电脑,勒索软件感染会对设备上的所有文件进行加密,受害者需要支付赎金才能解密。 不用说,Garmin表示拒绝,据信该公司现在正在努力恢复备份,使所有服务重新上线。但事实证明,即使Garmin同意支付,这种事情也是不可能的,这是因为这次攻击背后的黑客组织据信是Evil Corp,这是一个俄罗斯组织,此前曾与多个针对美国银行系统的恶意行动有关。去年,美国财政部正式宣布了对Evil Corp的一系列制裁,所以在法律上,Garmin是不允许向该组织支付任何款项的。 Evil Corp的幕后黑手是Maksim Yakubets,他是一名33岁的黑客,FBI悬赏500万美元,据信他最近还对其他数十家美国公司发动了大规模攻击。据相关消息人士透露,Yakubets目前仍居住在俄罗斯,他通过恶意活动发家致富,他是著名的兰博基尼Huracan车主。他此前购买了一只老虎作为自己的宠物,并在车上使用了一个写着 “小偷 “的定制号牌。截至目前,Garmin服务仍处于瘫痪状态,该公司拒绝对任何有关勒索软件攻击的说法发表评论。     (稿源:cnBeta,封面源自网络。)

Garmin Connect 服务在遭受勒索软件攻击后下线

Garmin地图和导航服务所在的公司遭到了勒索软件的攻击,攻击者加密了这家智能手表制造商的内部服务器,迫使其关闭了呼叫中心、网站和Garmin Connect服务,而所有的Garmin地图用户几乎都依靠该服务通过移动应用同步他们的活动。 在Twitter上分享的消息中,该公司向用户道歉,并详细介绍了不同服务被迫关闭的严重程度。 据ZDNet报道,此次攻击还影响到了Garmin的航空数据库服务,即支持航空导航设备的flyGarmin,甚至是位于亚洲的一些生产线。 Garmin官方并未将此次故障归结为勒索软件攻击所致,但公司员工此后在Twitter上将其描述为勒索软件攻击。 台湾科技新闻网站IThome公布了一份Garmin的IT部门给其台湾工厂的内部备忘录,宣布周五和周六两天进行维护,消息人士告诉网站,这是由于 “病毒”造成的。     (稿源:cnBeta,封面源自网络。)  

逾千名 Twitter 员工拥有内部权限:可协助黑客入侵帐号

新浪科技讯 北京时间7月23日早间消息,据外媒报道,两位Twitter前员工透露,截至今年早些时候,共有1000多名Twitter员工和承包商可以使用内部工具更改用户帐号设置,并将控制权提供给他人。这使得防范上周的大规模黑客攻击变得更加困难。 Twitter和美国联邦调查局正在调查这起黑客入侵案件。在此次入侵中,黑客可以反复通过认证帐号发送推文,其中包括美国民主党总统候选人乔·拜登(Joe Biden)和亿万富豪比尔·盖茨(Bill Gates)等。 Twitter上周六表示,黑客“操纵了少量员工帐户,使用他们的证书”登录了工具,并获取了45个帐号的权限。他们还在周三表示,黑客可以读取36个帐号的私信,但并未披露具体受影响的帐号。 熟悉Twitter安全政策的前员工表示,有很多人具备这种权限,截至2020年早些时候甚至超过1000人,其中也包括高知特等承包商。 Twitter拒绝对这一数字发表评论,也不肯透露具体数字是否在此次被黑事件发生前有所下降。但该公司表示,他们正在物色新的安全主管,希望加强系统安全,并培训员工防范外部攻击。 高知特也未对此置评。(樵夫)     (稿源:新浪科技,封面源自网络。)

Twitter:黑客在上周的入侵中访问了 36 个账户的直接信息

Twitter正在继续调查上周苹果和其他知名人士和公司的Twitter账户被比特币骗子黑客入侵的安全漏洞。当地时间周三这家社交媒体公司证实,黑客访问了36个Twitter账户的直接信息(Direct Messages )。 Twitter此前表示,在此次黑客攻击中没有密码被盗,这是一次针对Twitter员工的 “协调性社会工程攻击”。黑客能够获得员工凭证,利用这些信息访问Twitter的内部系统,包括绕过双因素认证保护。 内部工具被用来攻击130个账户,对于其中的45个账户,黑客启动了密码重置,并完全可以进入该账户发送推文。对于其中的8个Twitter账户,攻击者通过“你的Twitter数据”工具下载了账户信息,该工具提供了Twitter账户的详细信息和活动情况,但以这种方式为目标的8个账户都不是经过验证的账户。 在被入侵的130个账户中,包括特斯拉CEO埃隆·马斯克、美国前总统奥巴马、微软联合创始人比尔·盖茨、亚马逊CEO杰夫·贝佐斯、总统候选人乔·拜登等人的账户,黑客能够看到电子邮件地址和电话号码等个人信息,对于一些被接管的账户,还能获得更多信息。 Twitter没有提供具体细节,说明36个账户中哪些账户的直接信息被入侵,但黑客确实访问了荷兰一名民选官员的直接信息。没有其他前任或现任民选官员的DM被访问。 Twitter正在与受影响的账户持有人直接沟通,并进一步保护其系统安全,以防止未来的攻击。作为阻止类似事情再次发生的努力的一部分,Twitter正在全公司范围内推出额外的培训,以防范社交工程策略。     (稿源:cnBeta,封面源自网络。)

Twitter 怕再遭调查 主动向欧盟报备黑客攻击事件

新浪科技讯 北京时间7月22晚间消息,据国外媒体报道,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向欧盟数据保护机构报备该事件。 欧盟数据保护机构“爱尔兰数据保护委员会”(DPC)发言人格雷厄姆·多伊尔(Graham Doyle)今日称,该监管机构已收到关于这一事件的通报。DPC是Twitter和其他美国科技公司在欧盟的主要监管机构,因为这些公司的欧洲总部都设在爱尔兰。 当前,Twitter正在努力应对这一最严重的安全事故。Twitter上周三晚间宣布,黑客通过获得Twitter员工凭证的控制权,劫持了包括民主党总统候选人乔·拜登(Joe Biden)、前总统巴拉克·奥巴马(Barack Obama)、真人秀明星金·卡戴珊(Kim Kardashian)和科技亿万富豪兼特斯拉创始人埃隆·马斯克(Elon Musk)在内的账户。 Twitter随后又表示,黑客此次共锁定130个帐号,通过重置密码控制了其中的45个账号,并通过它们发布了“推文”(Twitter消息)。另外,Twitter还证实,攻击者成功地操纵了一小部分内部员工,并利用他们的凭证访问Twitter的内部系统。 2018年5月,欧盟新的数据隐私法规《通用数据保护条例》(GDPR)正式生效。同年10月,Twitter就在欧洲遭到了有关用户数据跟踪的调查。这也是GDPR生效之后,Twitter首次遭遇调查。(李明)     (稿源:新浪科技,封面源自网络。)

Coinbase 称阻止了 1100 余名顾客跟 Twitter 黑客的交易

据外媒报道,加密货币交易公司Coinbase表示,其近日阻止了1100多名客户向Twitter黑客发送比特币。上周,这些黑客劫持了一些知名账户以此来宣传一场比特币骗局。Coinbase首席信息安全官Philip Martin告诉《福布斯》,如果Coinbase不采取这一措施,那么这些客户将总共会向黑客发送30.4比特币(目前价值约合27.8万美元)。 值得注意的是,这个金额是黑客通过受害者收集到的实际金额(12.1万美元)的两倍多。 Martin表示,尽管Coinbase采取了行动,但它的14名客户仍成为了骗局的受害者,在将其地址列入黑名单之前他们向黑客发送了价值约3000美元的比特币。 报告显示,Gemini、Kraken和Binance的用户也尝试过向这些地址发送比特币,但数量没Coinbase的多。所有这些交易所都在骗局曝光后立即采取行动封锁了这些地址。 据悉,这场影响广泛的攻击于美国当地时间周三发生在Twitter上,受到影响的名人包括前美国总统巴拉克·奥巴马、微软联合创始人比尔·盖茨和特斯拉CEO埃隆·马斯克等等。 区块链分析公司称,一些被盗的比特币已经被转移到了一些交易所和像芥末钱包(Wasabi Wallet)等这样的混合比特币商家。 Elliptic联合创始人兼首席科学家Tom Robinson告诉The Block:“我们可以看到非常少量的数据流向已知的、受监管的加密交换系统。”不过出于保密原因,他拒绝透露交易所的名字。但Robinson进一步表示,2.89比特币(占总金额的22%)被送到了芥末钱包中。 另一家区块链分析公司Whitestream告诉The Block,其中一个黑客的地址已经跟至少三个加密货币平台进行过交易。Whitestream联合创始人兼首席执行官Itsik Levy告诉The Block:“我们可以看到,一个地址跟数个数字货币支付处理器(CoinPayments,Coinbase,BitPay)相关的地址进行了联系。” 事实上,BitPay的一位发言人向The Block证实,在2020年5月,它的一个商户从一个Twitter黑客的地址汇出了25美元,而作为BitPay标准流程和程序的一部分,他们正在将可获得的细节信息风险给包括执法部门在内的相关方。 CoinPayments拒绝就此事置评,Coinbase也没有回复置评请求。 另一方面,Blockchain Intelligence Group表示,一些被盗的比特币被送到了Binance。 事实上,Binance的一位发言人向The Block证实–“一小部分比特币(相当于大约10美元)被发送到了Binance核心钱包的地址。看来他们(黑客)的举动是为了迷惑区块链的研究人员。” 此外,根据The Block Research获取的信息,被Kraken和Binance收购的印度加密货币交易所WazirX也收到了部分被盗的比特币。     (稿源:cnBeta,封面源自网络。)

英美加称俄罗斯情报机构正试图窃取新冠疫苗研究成果

英国、美国和加拿大政府指控俄罗斯国家情报机关以黑客方式入侵国际制药和学术研究机构,以期赢得研制Covid-19疫苗的竞赛。 目前尚不清楚研究机构是否受损,或疫苗项目是否因黑客行动受阻,但上述国家官员警告说网络攻击仍在进行中。 英国国家网络安全中心(NCSC)周四在一份出人意料的声明中表示,多个国家的疫苗和治疗部门成为攻击目标。但该机构没有列出受此影响的机构名称及数量。 英国指,实施黑客入侵的组织名为APT29,称其“几乎可以肯定”是俄罗斯国家情报部门的组成部分。该小组还被称为Cozy Bear或The Dukes,针对英国、美国和加拿大的疫苗研发组织。 NCSC称,恶意活动一直在进行,主要针对政府、外交、智囊机构、卫生和能源目标,旨在窃取有价值的知识产权。 俄罗斯否认涉及任何针对新冠病毒疫苗的黑客活动。克里姆林宫发言人Dmitry Peskov对彭博说:“我们不知道什么人可能黑入了制药公司和研究中心。我们只能说,俄罗斯与这些企图毫无关联。”     (稿源:新浪财经,封面源自网络。)

Twitter 公布最新调查进展:大约有 130 个账号遭到攻击

针对本周较早时候发生的大规模黑客入侵事件,推特在最新推文中持续更新了调查情况。在推文中表示大约有 130 个账号遭到攻击,而且这些被攻击的账号中有少部分账号被攻击者完全控制,然后通过这些账号发送推文。 推特表示目前正和受影响的账户进行交流的同时,在接下来几天中还将会继续展开本次事件的调查工作。推特将继续评估与这些帐户相关的非公开数据是否遭到破坏,如果确定发生了非公开数据,则会提供更新。 在调查期间,所有账号的下载推特数据选项依然是禁用的。此外推特还采取了多项积极措施来保护推特用户的账号安全。目前推特正在评估可能采取的长期措施,并会尽快分享更多细节。 美国中部时间 2020 年 7 月 15 日 14:00 左右,多个大 V 的推特账户出人意料地发布了有关比特币的消息,此事很快引发了许多网友和 Twitter 官方安全团队的警惕。 这些疑似被劫持的账号不约而同地宣称将以品牌或个人的名义向网友赠送比特币以“回馈社区”,但前提是先让网友将特定数量的比特币发送到给定的钱包地址,然后他们才会“双倍奉还”。 在一段相当混乱的时间内(半小时或更长时间),多个大 V 账号都被卷入了这场突如其来的比特币骗局。美国中部时间 16:45 左右,Twitter 官方支持账号终于对此事给予了回应。     (稿源:cnBeta,封面源自网络。)