分类: 黑客事件

欧洲刑警组织联合多国执法部门关闭 Safe-Inet 服务器 被黑客用于隐匿身份

本周二,欧洲刑警组织(Europol)宣布联合多国执法机构开展了 Operation Nova 活动,关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器,从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务,主要用于隐藏身份。 据欧洲刑警组织称,这项服务可以隐藏客户的 IP 地址,并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年,它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码,以及其他攻击,如网络钓鱼活动和账户接管。         (消息及封面来源:cnBeta)

TeamTNT 黑客组织正在部署具有 DDoS 功能的 IRC Bot TNTbotinger

今年早些时候,我们观察到网络犯罪组织TeamTNT使用XMRig加密货币矿工攻击暴露的Docker API。TeamTNT使用窃取Amazon Web Services(AWS)secure shell(SSH)凭证和用于传播的自我复制行为开展攻击。 TeamTNT的最新攻击涉及到该组织自己的IRC(互联网中继聊天)bot。IRC bot被称为TNTbotinger,能够进行分布式拒绝服务(DDoS)。 需要注意的是,攻击者首先必须在初始目标机器上执行远程代码(RCE),然后才能成功地对系统发起攻击。攻击者可以通过利用错误配置问题、滥用未修补的漏洞、利用脆弱或重复使用的密码、密钥或泄漏的凭据等安全缺陷来执行RCE。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1436/         消息来源:trendmicro,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软和 McAfee 等巨头加盟勒索软件特别工作组(RST)

通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作,安全与技术研究所(IST)正倡导组建全新的勒索软件特别工作组(RTF)。该工作组的创始成员包括了微软、McAfee等诸多科技公司。 RTF的主要工作内容包括:“RTF 将评估现有解决方案在处理勒索软件方面的级别,寻找其中的差距,并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献,RTF将委托专家撰写论文,并让各行业的利益相关者参与进来,围绕经过审核的解决方案进行讨论”。 目前 RTF 工作组的成员包括 Aspen Digital ● Citrix ● The Cyber Threat Alliance ● Cybereason ● The CyberPeace Institute ● The Cybersecurity Coalition ● The Global Cyber Alliance ● McAfee ● Microsoft ● Rapid7 ● Resilience ● SecurityScorecard ● Shadowserver Foundation ● Stratigos Security ● Team Cymru ● Third Way ● UT Austin Stauss Center ● Venable LLP         (消息及封面来源:cnBeta;)

报道称利用 SolarWinds 发起攻击的黑客将目标对准美财政部高层

据外媒CNET报道,一场复杂的或由俄罗斯黑客进行的攻击活动的范围继续被披露,该活动已经渗透到美国联邦机构和私营公司。据《纽约时报》周一的报道,黑客设法侵入美国财政部高层官员使用的电子邮件系统等。 据报道,参议员罗恩·怀登(Ron Wyden)在为参议院金融委员会举行的简报会后表示,财政部承认其“从7月份开始遭受了严重的入侵。”他补充说,黑客入侵的 “最大程度”尚不清楚。据《纽约时报》报道,Wyden补充说,该部门从运行其大部分通信软件的微软那里了解到这一漏洞。 务部,以及国家卫生研究院。漏洞始于黑客入侵网络安全公司SolarWinds,该公司销售的软件可以让机构看到其计算机网络上发生的事情。据报道,数十家私营公司–包括微软、思科、英特尔和FireEye–也感染了该恶意软件。 上周,美国国家安全机构发表联合声明,称这次活动是“重大的、持续的黑客活动”。美国国务卿迈克·蓬佩奥和一些网络安全专家将此次黑客活动归咎于俄罗斯。 美国财政部拒绝对《纽约时报》的报道发表评论,但指出美国财政部部长史蒂夫·姆努钦周一在CNBC上发表的关于网络攻击的评论。 姆努钦说:“我们的非机密系统确实有一些访问权限。”他补充说,该部门没有看到任何入侵其机密系统的情况。“我要说的好消息是,没有任何损害,也没有看到任何大量信息被转移。”         (消息及封面来源:cnBeta;)

《赛博朋克2077》出手游了?小心,它是勒索软件

伪装成热门游戏进行勒索早已不再是什么新鲜事了,不过这次是热门游戏《赛博朋克2077》的手游版本。不过受害者可以在不支付赎金的情况下解锁设备。当然没有手游版本的《赛博朋克2077》,只不过是黑客利用对这款游戏了解不多的玩家下手而已。 正如卡巴斯基的 Android 恶意软件分析师 Tatyana Shishkova 所指出的那样,不法分子利用部分玩家对游戏的了解程度不够,创建了一个类似于 Google Play 的假网站,让不知情的访问者可以下载手游版《赛博朋克2077》。 该文件实际上是一个名为 CoderWare 的勒索软件,它是 BlackKingdom 勒索软件的变种。与其他恶意软件一样,它会加密设备的内容。受害者有 10 个小时的时间来支付价值 500 美元的比特币,然后才会永久删除所有内容。 不过庆幸的是,Shishkova 指出有种方法可以在不支付赎金的情况下进行解密,但并非 100% 确保你能够收到解密密钥。CoderWare 勒索软件中有一个硬编码密钥,允许解密者恢复文件。         (消息来源:cnBeta;封面来源于网络)

黑客免费公布 27 万加密货币钱包 Ledger 用户信息

近日,一名网络攻击者在黑客论坛发帖,免费公布了从 Ledger 窃取的电子邮件和邮寄地址。Ledger 是一家硬件加密货币钱包,用于存储、管理和销售加密货币。这些钱包中的资金使用 24 个字的恢复短语以及一个可选的秘密口令来保护所有者。 在今年 6 月 Ledger 网站被爆出现数据泄漏事件,利用安全漏洞允许攻击者访问用户的联系人信息。今天,一位威胁攻击者分享了一个存档,其中包括“All Emails (Subscription).txt” 和 “Ledger Orders (Buyers) only.txt”两个文本,包含数据泄漏期间被盗取的数据。 All Emails (Subscription).txt 包含了 1,075,382 名订阅 Ledger 通讯的人的电子邮件地址;而 Ledger Orders (Buyers) only.txt 包含了 272,853 名购买 Ledger 设备的人的姓名、邮寄地址和电话号码。 网络安全情报公司 Cyble 已经与 BleepingComputer 分享了这份泄露的文件,外媒随后已经与 Ledger 的所有者确认,数据是准确的。Ledger 在推特中进一步确认,这次数据转储很可能来自2020年6月的数据泄露事件。         (消息及封面来源:cnBeta)

报道称第二个黑客组织已经瞄准了 SolarWinds

据外媒ZDNet报道,随着SolarWinds供应链攻击事件后的取证证据慢慢被发掘出来,安全研究人员发现了第二个威胁行为体,它利用SolarWinds软件在企业和政府网络上植入恶意软件。关于这第二个威胁行为体的细节仍然很少,但安全研究人员认为这第二个实体与疑似俄罗斯政府支持的入侵SolarWinds的黑客组织没有关系,后者在Orion应用内植入恶意软件。 原始攻击中使用的恶意软件代号为Sunburst(或Solorigate),作为Orion应用的“booby-trapped”(诡雷代码)更新交付给SolarWinds客户。在受感染的网络上,恶意软件会ping其创建者,然后下载名为Teardrop的第二个阶段性后门木马,允许攻击者开始动手操作键盘会话,也就是所谓的人为操作攻击。 但在SolarWinds黑客事件公开披露后的头几天,最初的报告提到了两个第二阶段的有效载荷。来自Guidepoint、赛门铁克和Palo Alto Networks的报告详细介绍了攻击者如何同时植入一个名为Supernova的.NET web shell。 安全研究人员认为攻击者是利用Supernova webshell来下载、编译和执行一个恶意Powershell脚本(有人将其命名为CosmicGale)。 然而,在微软安全团队的后续分析中,现在已经澄清Supernova网页壳并不是原始攻击链的一部分。他们发现Supernova安装在SolarWinds上的公司需要将此次事件作为一个单独的攻击事件来处理。 根据微软安全分析师Nick Carr在GitHub上的一篇文章,Supernova webshell似乎被种植在SolarWinds Orion安装上,这些安装已经暴露在网上,并被利用类似于追踪为CVE-2019-8917的漏洞。 Supernova与Sunburst+Teardrop攻击链有关的困惑来自于,和Sunburst一样,Supernova也被伪装成了猎户座应用的DLL–Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件内,Supernova则隐藏在App_Web_logoimagehandler.ashx.b6031896.dll内。 但在12月18日周五晚些时候发布的分析报告中,微软表示,与Sunburst DLL不同,Supernova DLL并没有使用合法的SolarWinds数字证书进行签名。 Supernova没有被签名这一事实被认为是攻击者极不正常的行为,在此之前,攻击者在操作上表现出了非常高的复杂性和对细节的关注。 这包括花几个月时间在SolarWinds的内部网络中不被发现,提前在Orion应用中添加虚拟缓冲区代码以掩饰日后添加恶意代码,并将他们的恶意代码伪装成SolarWinds开发人员自己编写的样子。 这些似乎都是太明显的错误,最初的攻击者不会这么做,因此,微软认为这个恶意软件与最初的SolarWinds供应链攻击无关。       (消息来源:cnBeta;封面来自网络)

调查发现 SolarWinds 攻击事件最早追溯到去年 10 月

利用 SolarWinds 的 Orion 网络管理平台,本月初黑客成功入侵了包括美国财政部在内的诸多政府机构网站。而援引雅虎新闻报道,这群黑客在去年 10 月就曾尝试分发恶意软件,比之前该公司发布的公告早了 5 个月。 消息称黑客在 2019 年 10 月就尝试分发有问题的 Orion 版本,只不过当时并没有像今年春季那样植入后门。一位参与调查的消息人士透露:“我们认为,当时他们只是想要测试是否会成功、是否会被检测到。所以这多少是一次预演。在验证成功之后他们并没有马上采取攻击,而是徐徐跟进扩大战果。这表明他们更加严谨和慎重”。 10月份的文件是在几个受害者的系统中发现的,但调查人员至今没有发现黑客五个月后,黑客在SolarWinds软件更新服务器上添加了新的恶意文件,这些文件被分发并安装在联邦政府机构和其他客户的网络上。这些新文件在受害者网络上安装了一个后门,允许黑客直接访问它们。 10月份的文件是在几个受害者的系统中发现的,但调查人员至今没有发现黑客在文件登陆这些系统后,在这些系统上进行任何额外的恶意活动的迹象。 据报道,目前受感染的受害者的具体数量仍不得而知,但2020年春季文件被入侵的部分受害者包括:美国财政部和商务部内的部门、国土安全部、为能源部工作的国家实验室,以及监管国家核武器储备的国家核安全管理局。在商业领域,安全公司FireEye也被黑客通过SolarWinds软件入侵,周二晚些时候,微软承认在其网络上也发现了恶意的SolarWinds文件。         (消息及封面来源:cnBeta)

深入调查 SolarWinds 黑客事件 微软已查封一个核心服务器

援引外媒 ZDNet 报道在对 SolarWinds 黑客事件深度调查中 ,微软通过和一家科技联盟合作查封并沉洞了在本次事件中扮演核心角色的域名。该域名是avsvmcloud[.]com,作为恶意软件的命令和控制(C&C)服务器,通过该公司的 Orion 应用程序的木马化更新交付给约 18000 名 SolarWinds 客户。 在 2020 年 3-6 月期间,SolarWinds Orion 更新了 2019.4 到 202.2.1 版本,其中均包含名为 SUNBURST(也称为Solorigate)的恶意软件。一旦安装在计算机上,该恶意软件会休眠 12-14 天,然后ping avsvmcloud[.]com 的一个子域。 根据安全公司FireEye的分析,C&C域名会回复一个包含CNAME字段的DNS响应,其中包含另一个域名的信息,SUNBURST恶意软件会从那里获得进一步的指令和额外的有效载荷,以便在受感染公司的网络上执行。 今天早些时候,一个科技公司联盟查封并下架了avsvmcloud[.]com,将该域名转入微软所有。熟悉今天行动的消息人士将此次查封描述为 “保护性工作”,目的是防止 SolarWinds 黑客背后的威胁行为者向受感染的计算机交付新的订单。       (消息及封面来源:cnBeta)

近 18000 名 SolarWinds 客户安装了后门软件

企业监控软件提供商SolarWinds目前处于最严重的供应链攻击的中心,该公司表示,多达18000名客户可能安装了受污染的Orion产品。 据SolarWinds披露,这起事件很可能是外部国家对供应链进行高度复杂、有针对性和人工攻击的结果。 该公司还在其安全公告中重申,除了2019.4 HF 5和2020.2版本的SolarWinds Orion平台外,监控软件的其他版本或其他非Orion产品均未受到该漏洞的影响。 目前,关于黑客如何侵入SolarWinds网络的细节仍不清楚。根据安全研究员Vinoth Kumar的报告,一个可公开访问的SolarWinds GitHub存储库似乎正在泄露“downloads.solarwinds.com”域的FTP凭据。从而允许攻击者将伪装为Orion软件更新的恶意可执行文件上传到门户。更糟糕的是,FTP服务器受一个普通密码的保护。 在Kumar去年披露之后,该公司于2019年11月22日解决了这一配置错误。 此前一天,网络安全公司FireEye表示,他们发现了一个长达9个月的全球性入侵活动。攻击者的目标是公共和私人实体,这些实体将恶意代码引入SolarWinds Orion软件的合法软件更新中,以进入这些公司的网络并安装一个名为SUNBURST的后门(SolarWinds.Orion.Core.BusinessLayer.dll)。 微软在一份报告中表示,“恶意的DLL使用avsvmcloud.com域调用远程网络基础结构,以准备第二阶段有效负载,在组织中横向移动,泄露数据。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”