分类: 黑客事件

以太坊客户端 Geth 出漏洞,超过 2000 万美元的数字货币被盗

近日,360 Netlab 调查发现,因为运行不安全的客户端 Geth,在过去几个月里,被盗的以太坊价值超过了2000万美元。 Geth 是一款常用的客户端,运行以太坊节点。用户可以用 Geth,通过 JSON-RPC 界面远程管理钱包。黑客可通过扫描与以太坊网络进行通信的 8545 端口,寻找暴露 JSON-RPC 的加密货币钱包,进而窃取货币。据了解,黑客一共窃取了 38,642 以太币,价值超过 2050 万美元。   稿源:Freebuf,封面源自网络;

韩国一交易所遭黑客攻击:比特币创近三个月最大跌幅

上周日,韩国加密货币交易所Coinrail称系统遭遇“网络入侵”,致使比特币连续三天下跌。彭博社援引Bitstamp数据显示,截止到下午4点,纽约市场比特币价格已跌至6840美元,创出自3月14日以来的最大跌幅,将比特币今年的亏损幅度扩大到52%。 同属加密货币的以太坊和瑞波币的交易价格分别下跌10%和11%。   6月10日,比特币期货(XBT)与美元交叉汇率   Coinrail官网上的一份声明证实,该交易所一些数字货币似乎已被黑客窃取,但未提及具体金额。Coinrail只是说,正在与调查机构及其它交易所合作,以便追捕肇事者并挽回损失。 数字货币的核心安全问题是,货币本身通常只代表一个独特的数字代码,这意味着一旦数据被盗,其所有者信息就会被抹去。 Coinrail表示,为防止黑客攻击,该公司正在审查系统。该交易所说,已经成功冻结了所有面临被盗风险的NPX、NPER和ATX等数字币种,其它加密货币现在被保存在一个“冷钱包”(cold wallet)里。 根据Coinmarketcap.com的数据统计,Coinrail交易所涵盖超过50种不同的加密货币,交易规模在全球同类市场中排名第98位,24小时的交易量约为265万美元。   稿源:新浪科技,封面源自网络;

黑客利用病毒挖门罗币 已获利 60 余万

火绒安全团队截获一批蠕虫病毒。这些病毒通过U盘、移动硬盘等移动介质及网络驱动器传播,入侵电脑后,会远程下载各类病毒模块,以牟取利益。这些被下载的有盗号木马、挖矿病毒等,并且已经获得约645个门罗币(合60余万人民币)。   一、 概述 该病毒早在2014年就已出现,并在国内外不断流窜,国外传播量远超于国内。据”火绒威胁情报系统”监测显示,从2018年开始,该病毒在国内呈现出迅速爆发的威胁态势,并且近期还在不断传播。 火绒工程师发现,该病毒通过可移动存储设备(U盘、移动硬盘等)和网络驱动器等方式进行传播。被该蠕虫病毒感染后,病毒会将移动设备、网络驱动器内的原有文件隐藏起来,并创建了一个与磁盘名称、图标完全相同的快捷方式,诱导用户点击。用户一旦点击,病毒会立即运行。 病毒运行后,首先会通过C&C远程返回的控制命令,将其感染的电脑进行分组,再针对性的获取相应的病毒模块,执行盗号、挖矿等破坏行为。 病毒作者十分谨慎,将蠕虫病毒及其下载的全部病毒模块,都使用了混淆器,很难被安全软件查杀。同时,其下载的挖矿病毒只会在用户电脑空闲时进行挖矿,并且占用CPU资源很低,隐蔽性非常强。 不仅如此,该病毒还会删除被感染设备或网络驱动器根目录中的可疑文件,以保证只有自身会进入用户电脑。由此可见,该病毒以长期占据用户电脑来牟利为目的,日后不排除会远程派发其他恶性病毒(如勒索病毒)的可能。 “火绒安全软件”无需升级即可拦截并查杀该病毒。 二、 样本分析 近期,火绒截获到一批蠕虫病毒样本,该病毒主要通过网络驱动器和可移动存储设备进行传播。该病毒在2014年前后首次出现,起初病毒在海外传播量较大,在国内的感染量十分有限,在进入2018年之后国内感染量迅速上升,逐渐呈现出迅速爆发的威胁态势。该病毒代码执行后,会根据远程C&C服务器返回的控制命令执行指定恶意逻辑,甚至可以直接派发其他病毒代码到本地计算机中进行执行。现阶段,我们发现的被派发的病毒程序包括:挖矿病毒、盗号木马等。病毒恶意代码运行与传播流程图,如下图所示: 病毒恶意代码运行与传播流程图 该病毒所使用的C&C服务器地址众多,且至今仍然在随着样本不断进行更新,我们仅以部分C&C服务器地址为例。如下图所示: C&C服务器地址 该病毒会将自身拷贝到可移动存储设备和网络驱动器中,病毒程序及脚本分别名为DeviceConfigManager.exe和DeviceConfigManager.vbs。被该病毒感染后的目录,如下图所示: 被该病毒感染后的目录(上为可移动存储设备,下为网络驱动器) 火绒截获的蠕虫病毒样本既其下载的其他病毒程序全部均使用了相同的混淆器,此处对其所使用的混淆器进行统一分析,下文中不再赘述。其所使用的混淆器会使用大量无意义字符串或数据调用不同的系统函数,使用此方法达到其混淆目的。混淆器相关代码,如下图所示: 混淆代码 混淆器中使用了大量与上图中类似的垃圾代码,而用于还原加载原始PE镜像数据的关键逻辑代码也被穿插在这些垃圾代码中。还原加载原始PE数据的相关代码,如下图所示: 还原加载原始PE镜像数据的相关代码 上述代码运行完成后,会调用加载原始PE镜像数据的相关的代码逻辑。加载原始PE镜像数据的代码,首先会获取LoadLibrary、GetProcAddress函数地址及当前进程模块基址,之后借此获取其他关键函数地址。解密后的相关代码,如下图所示: 解密后的加载代码 原始PE镜像数据被使用LZO算法(Lempel-Ziv-Oberhumer)进行压缩,经过解压,再对原始PE镜像进行虚拟映射、修复导入表及重定位数据后,即会执行原始恶意代码逻辑。相关代码,如下图所示: 调用解压缩及虚拟映射相关代码 蠕虫病毒 该病毒整体逻辑分为两个部分,分别为传播和后门逻辑。该病毒的传播只针对可移动存储设备和网络驱动器,被感染后的可移动存储设备或网络驱动器根目录中会被释放一组病毒文件,并通过诱导用户点击或利用系统自动播放功能进行启动。蠕虫病毒通过遍历磁盘进行传播的相关逻辑代码,如下图所示: 遍历磁盘传播 被释放的病毒文件及文件描述,如下图所示: 被释放的病毒文件及文件描述 蠕虫病毒会通过在病毒vbs脚本中随机插入垃圾代码方式对抗安全软件查杀,被释放的vbs脚本首先会关闭当前资源管理器窗口,之后打开磁盘根目录下的”_”文件夹,最后执行病毒程序DeviceConfigManager.exe。释放病毒vbs脚本相关逻辑,如下图所示: 释放病毒vbs脚本相关逻辑 除了释放病毒文件外,病毒还会根据扩展名删除磁盘根目录中的可疑文件(删除时会将自身释放的病毒文件排除)。被删除的文件后缀名,如下图所示: 被删除的文件后缀名 病毒在释放文件的同时,还会将根目录下的所有文件全部移动至病毒创建的”_”目录中。除了病毒释放的快捷方式外,其他病毒文件属性均被设置为隐藏,在用户打开被感染的磁盘后,只能看到与磁盘名称、图标完全相同的快捷方式,从而诱骗用户点击。快捷方式指向的文件为DeviceConfigManager.vbs,vbs脚本功能如前文所述。通过这些手段可以使病毒代码执行的同时,尽可能不让用户有所察觉。 被释放的病毒文件列表 蠕虫病毒释放的快捷方式,如下图所示: 蠕虫病毒释放的快捷方式 该病毒的后门逻辑会通过与C&C服务器进行IRC通讯的方式进行,恶意代码会根据当前系统环境将当前受控终端加入到不同的分组中,再通过分组通讯对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括:语言区域信息、当前系统平台版本为x86或x64、当前用户权限等。后门代码中最主要的恶意功能为下载执行远程恶意代码,再借助病毒创建的自启动项,使该病毒可以常驻于用户计算机,且可以向受控终端推送的任意恶意代码进行执行。病毒首先会使用用户的语言区域信息和随机数生成用户ID,之后向C&C服务器发送NICK和USER通讯命令,随机的用户ID会被注册为NICK通讯命令中的名字,该操作用于受控终端上线。相关代码,如下图所示: 受控终端上线相关代码 通过上图我们可以看到,病毒所使用的C&C服务器列表中和IP地址众多,其中很大一部分都为无效域名和地址,主要用于迷惑安全研究人员。在受控端上线后,就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的系统环境将当前受控终端进行分组,分组依据包括:语言区域信息、当前用户权限、系统平台版本信息(x86/x64)。除此之外,病毒还可以利用控制命令通过访问IP查询(http://api.wipmania.com)严格限制下发恶意代码的传播范围。主要控制命令及命令功能描述,如下图所示: 主要控制命令及命令功能描述 主要后门控制相关代码,如下图所示: 后门控制代码 病毒会将远程请求到的恶意代码释放至%temp%目录下进行执行,文件名随机。相关代码,如下图所示: 下载执行远程恶意代码 挖矿病毒 病毒下发的恶意代码众多,我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后,会在电脑运算资源闲置时挖取门罗币,对于普通用户来说其挖矿行为很难被察觉。 在本次火绒所截获到的样本中,我们发现,病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比,如下图所示: 混淆器代码对比图(左为被下发到终端的挖矿病毒、右为蠕虫病毒) 挖矿病毒原始恶意代码运行后,会将病毒自身复制到C:\Users\用户名\AppData\Roaming\svchostx64.exe位置,并创建计划任务每分钟执行一次。病毒会创建互斥量,通过检测互斥量,可以保证系统中的病毒进程实例唯一。之后,病毒会使用挖矿参数启动自身程序,再将挖矿程序(XMRig)PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒行为沙盒中挖矿病毒行为,如下图所示: 挖矿病毒行为 如上图所示,挖矿参数中限制挖矿程序CPU占用率为3%,并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高,如果过高则会重新启动挖矿进程。通过遍历进程检测任务管理器进程(Taskmgr.exe)是否存在,如果存在则会停止挖矿,待任务管理进程退出后继续执行挖矿逻辑。病毒通过上述方法提高了病毒自身的隐蔽性,保证病毒可以尽可能的长时间驻留于被感染的计算机中。相关代码,如下图所示: 挖矿逻辑控制代码 虽然病毒严格控制了挖矿效率,但是由于该病毒感染量较大,总共挖取门罗币约645个,以门罗币当前价格计算,合人民币60余万元。病毒使用的门罗币钱包账户交易信息,如下图所示: 病毒使用的门罗币钱包账户交易信息 三、 附录 文中涉及样本SHA256:   稿源:cnBeta,封面源自网络;

DNA 检测公司 MyHeritage 遭黑客入侵:9200 万账户泄露

新浪科技讯 北京时间6月6日早间消息,消费级家谱网站MyHeritage宣布,与该公司的9200万个帐户相关的电子邮件地址和密码信息被黑客窃取。 MyHeritage表示,该公司的安全管理员收到一位研究人员发送的消息,后者在该公司外部的一个私有服务器上发现了一份名为《myheritage》的文件,里面包含了9228万个MyHeritage帐号的电子邮件地址和加密密码。 “没有证据表明文件中的数据被犯罪者利用。”该公司周一晚些时候在声明中说。 MyHeritage允许用户制作家谱、搜索历史记录并寻找潜在的亲人。该公司2003年创办于以色列,2016年推出了MyHeritage DNA,用户只要发送一份唾液样本即可进行基因检测。该网站目前拥有9600万用户,其中有140万曾经接受过基因检测。 据Heritage介绍,该漏洞发生在2017年10月26日,受影响的用户都是在那一天之前注册的。该公司还表示,他们并没有存储用户的密码,所有密码都经过所谓的单项散列方式进行加密,不同用户的数据需要使用不同的密钥才能访问。 但在之前的黑客事件中,这类机制曾经遭到破解,从而转换出密码。倘若如此,黑客便可获在登录用户帐号后获取其个人信息,包括家庭成员的身份。但即使黑客能够进入用户帐号,也不太可能轻易获取原始基因信息,因为想要下载这些内容,需要通过电子邮件进行确认。 该公司在声明中强调,DNA数据存储在“隔离的系统上,与保存电子邮件的系统相互分离,其中包含额外的安全层。” MyHeritage已经组建了全天候支持团队,为受影响的用户提供帮助。该公司还计划聘请独立网络安全公司调查此事,并有可能加强安全措施。与此同时,他们也建议用户更改密码。 随着消费级DNA测试发展成为一个9900万美元的行业,关于用户私密数据的安全性问题也引发越来越多的关注。在调查者通过某家谱网站追踪到“金州杀手案”嫌疑人后,关于DNA数据的隐私担忧也大幅提升。   稿源:新浪科技,封面源自网络;

加拿大两家银行遭黑客攻击 9万名客户信息被盗

据加拿大《环球邮报》5月28日报道,两家加拿大银行——蒙特利尔银行(Bank of Montreal)和网上银行Simplii Financial——都对外表示遭到黑客袭击,并且发出警告称,袭击两家银行的黑客声称已经访问了客户的账户以及相关个人信息,并威胁将公开这些数据。蒙特利尔银行(加拿大第四大银行)表示,此次黑客袭击事件涉及近5万名客户的信息,并认为此次袭击来源于国外,而非加拿大境内。Simplii Financial则表示,有4万名客户被卷入此次信息泄露事件中。据CNBC的报道,此次黑客袭击事件可能是加拿大金融机构遭受的首次重大攻击。 在世界范围内,类似的数据泄露案例层出不穷,更有趋势调查报告显示金融机构近年来已成为网络犯罪者的首要目标。《每日经济新闻》记者注意到,根据身份盗窃资源中心(Identity Theft Resource Center)和Generali全球援助(Generali Global Assistance)出具的报告,2017年仅美国就有1579起数据泄露事件,同比增长44.7%,其中8.5%的数据泄露发生在金融领域。 黑客来袭 加拿大9万银行账户信息被盗 据《环球邮报》的报道,5月27日,犯罪者联系了蒙特利尔银行以及Simplii Financial,两家银行都于5月28日上午对外披露了此次数据泄露事件。蒙特利尔银行的发言人表示,此次两家银行遭受的袭击事件似乎是相关联的。该行表示,目前正在进行彻底调查并且已经告知所有相关联的机构来评估潜在的损失。 “我们相信,与客户数据相关的泄露渠道已被关闭”,蒙特利尔银行的发言人保罗·甘马尔(Paul Gammal)在一封邮件中表示,“我们已经将此次数据泄露事件告知了所有被卷入事件中的客户”。 Simplii Financial成立于2017年,隶属于加拿大第五大商业银行——加拿大帝国商业银行(Canadian Imperial Bank of Commerce),目前约有200万名客户。该行也表示正试图与所有受影响的客户进行联系,并且承诺此次事件若对客户造成任何损失他们将进行全额赔偿。“我们非常严肃地对待此次事件,并已经采取行动加强我们的监管措施”,该行的发言人奥尔加·佩特里奇(Olga Petrycki)在一封邮件中表示,“我们正在进行调查,以确定索赔的有效性和可能访问的信息类型。” 加拿大警方也表示,正在与两家银行合作,全力调查此次事件。 目前,还没有迹象显示加拿大帝国商业银行以及其他六大加拿大银行的客户数据有遭到泄露。据《环球邮报》报道,加拿大的银行花费了大量资源来应对不断上升的网络威胁,并且至少从2000年以来,一直在通过协作来阻止网络袭击。 据《环球邮报》援引一位Simplii Financial的客户詹妮弗·高德特(Jennifer Gaudet)的说法称,“我很担心到底黑客盗走了多少信息,他是不是知道了我住哪里,知道我什么时候出生的……我感到自己被侵犯了”。 金融机构成为网络黑客的首要目标 据《环球邮报》援引安永的一份研究报告,加强网络和数据安全已经成为各家银行在2018年的首要任务。该报告指出,运用人工智能和先进的分析技术将有助于抵御攻击,但面对日益复杂的各种袭击,“网络安全技能的短缺”仍对各家银行构成挑战。 《Digital Guardian》在2017年10月曾发布10大金融服务机构数据泄露事件排行,排名第一的事件发生在美国三大信用报告公司之一的Equifax,事件涉及近1.43亿美国客户以及40万英国客户,当时的事件导致该公司的首席执行官、首席战略官、首席信息官悉数离职,众多客户也对该公司提起诉讼。 2014年,摩根大通约7600万个家庭以及700万家小型企业的信息泄露事件排名第四,其中客户的姓名、电话号码、邮箱以及账户持有人的地址被泄露。尽管此次泄露不涉及相关财务信息,但这也意味着黑客们能够进入银行的系统,获悉银行正在使用的应用程序清单,这反过来又为他们提供了新的入口,因为每个应用程序都有自己的安全漏洞。 数据泄露日益成为每个行业的痛点,《每日经济新闻》记者注意到,根据身份盗窃资源中心和Generali全球援助出具的报告,全球的金融服务领域,从银行到信用社,从借贷中介到信托公司,近年来已经成为网络犯罪者的首要袭击目标。而造成这一现象的主要原因是金融行业所掌握的数据拥有巨大的价值,这着实让黑客们眼红不已。   稿源:每经网,封面源自网络;

23 岁黑客被控受雇于俄间谍侵入电邮 获刑 5 年

5月30日消息,据美联社报道,在美国旧金山市法庭举行的庭审中,23岁电脑黑客卡里姆·巴拉托夫(Karim Baratov)被控无意中与俄罗斯间谍机构合作,在雅虎大规模数据泄露事件中窃取数据,以获取私人电子邮件。法官文斯·查布里亚(Vince Chhabria)判处他5年监禁,并处以25万美元罚款。 2017年,两名俄罗斯间谍被控策划了2014年的雅虎黑客入侵事件,涉及5亿用户信息被盗。巴拉托夫也被美国起诉,被指控利用俄罗斯联邦安全局传递给他的被盗数据,侵入了数十名记者、商界领袖和其他人的电子邮件账户。检察官说,巴拉托夫是个“国际黑客雇佣兵”,对他的客户很少或根本没有研究。 去年11月份,巴拉托夫承认犯有9项重罪。他承认自己在7年前就开始从事黑客活动,并向客户收取100美元的黑客费,以侵入网络电子邮件中。巴拉托夫出生于哈萨克斯坦,但在加拿大多伦多居住。去年他在加拿大被捕,他通过欺骗用户将自己的凭证输入到伪造的密码重置页面,从而获得他人的网络邮件密码。 检察官在法庭文件中说,巴拉托夫的俄语“网络黑客”(webhacker)登载了广告,宣称“无需预付款就就可帮助侵入电子邮件账户”。检察官表示,俄罗斯情报机构支付给巴拉托夫报酬,支持他利用从雅虎获得的信息来攻击数十个电子邮件账户。检察官认为,俄罗斯联邦安全局的目标是俄罗斯记者、美国和俄罗斯政府官员以及金融服务和其他私人企业雇员。 巴拉托夫及其律师还说,他不知道自己在与俄罗斯间谍机构合作。在法庭文件中,巴拉托夫声称,他可以访问由谷歌和俄罗斯供应商(如Mail.Ru和Yandex)维护的网络电子邮件帐户。他会向客户提供被黑客入侵的账户截图,并承诺他可以更改安全问题,这样他们就可以长期控制账户。 美国司法部指控两名俄罗斯间谍策划了2014年雅虎安全漏洞袭击事件,窃取了5亿用户数据。德米特里·亚历山大·多库恰耶夫(Dmitry Aleksandrovich Dokuchaev)和伊戈尔·阿纳托利维奇(Igor Anatolyevich)仍然在逃,检方认为他们生活在俄罗斯,但俄罗斯与美国没有引渡条约。 巴拉托夫被认为已经收取了超过110万美元的黑客费用,他用这笔钱购买房屋和昂贵汽车。查布里亚法官在听证会上说:“在这种情况下,威慑尤其重要。”但他拒绝了检察官的要求,没有判处巴拉托夫10年监禁,因为他注意到巴拉托夫的年龄,而且被捕前没有犯罪记录。 自被捕以来,巴拉托夫始终处于被拘留状态。他告诉法官,他在狱中的时光“非常令人羞愧,经历也令人大开眼界”。他做出道歉,并承诺“做个更好的人”,在获释后会遵守法律。法官表示,一旦出狱,巴拉托夫很可能会被驱逐出境。 负责美国国家安全事务的助理总检察长约翰·德默斯(John Demers)说:“犯罪黑客和支持他们的国家在攻击美国公司和公民时犯了严重的错误。我们将在他们所到之处认出他们,并将他们绳之以法。”   稿源:网易科技,封面源自网络;

尽管领袖被捕,Cobalt 黑客组织仍然活跃

俄罗斯安全公司 Group-IB 近期发现,专门窃取银行和金融机构资金的 Cobalt 黑客组织仍然活跃,尽管其领导人于两个月前在西班牙被捕,但其成员仍在继续针对世界各地的金融组织及其他公司发起新的攻击活动。 这项新活动是从上周 23 日开始的,当时 Group-IB 安全专家发现了 Cobalt 的钓鱼电子邮件,用来针对俄罗斯和其他前苏联国家的银行。根据 Group-IB 分享的报告显示,这种钓鱼邮件被设计伪装成卡巴斯基实验室的安全警报, 诱使用户访问恶意网站,从而感染 CobInt 木马。 Group-IB 公司表示,尽管 Cobalt 的领导人被捕,但该组织仍然拥有不容忽视的黑客力量,因为其成员短期内似乎并没有计划停止对银行的攻击行动。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台

雷锋网(公众号:雷锋网)消息,5 月 28 日,威胁情报公司微步在线对雷锋网称,他们近日发现了一个长期利用窃密木马(AgentTesla等)对制造业、航运、能源以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙“SWEED”。 不久前,一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice)引起了微步在线安全研究员的注意,因为该文档利用了 OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“AgentTesla”。 AgentTesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过”web”、”smtp”和”ftp”等三种方式回传数据。 安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。 “SWEED”团伙在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。 安全研究人员建议,国内企业用户对所有包含附件的邮件提高警惕,涉及金融交易的细节需与对方核实确认,谨防此类欺诈攻击。 点击获取详细样本分析。   稿源:雷锋网,封面源自网络;

比特币黄金遭黑客攻击:可能损失 1800 万美元

北京时间5月28日早间消息,比特币黄金(Bitcoin Gold)的开发团队近期公布了上周遭遇攻击的详情。当时,攻击者通过“双重支出攻击”,从加密货币交易所中窃取了资金。 比特币黄金的开发团队确认,攻击者获得了网络算力的大部分控制权,利用这些算力重组了比特币黄金的区块链,并进行反向交易。 在这起事件中,攻击者向加密货币交易所存入资金,将其交易为比特币或其他加密货币,随后再提取资金。随后,攻击者使用获得的绝大部分算力,迫使网络的其他部分接受伪造的数据块,修改最初的存入资金,导致这些资金从交易所控制的钱包中消失。 根据此前的报道,与攻击者关联的地址在一系列“双重支出行为”的交易中向自己发送了超过38万个比特币黄金。目前尚不清楚,这些交易中有多少造成了资金被盗。从理论上来说,如果所有交易都造成资金被盗,那么攻击者可以从中获利1800万美元。 项目的开发者表示,此次攻击部分是因为,比特币黄金的挖矿算法“Equihash”也被其他加密货币所使用,导致可用算力池要比比特币黄金网络中的算力更大。 比特币黄金已经计划迁移至新算法。此前,挖矿硬件厂商比特大陆宣布,首款Equihash AISC矿机已经开始接受预订。开发者表示,迁移至新算法能大幅提升网络的安全性。   稿源:新浪科技,封面源自网络;

Turla APT 组织利用 Metasploit 框架发动攻击

Turla是俄罗斯的APT小组(也称为Waterbug),小组自2007年以来活跃攻击政府组织和私营企业。 Turla的受害者包括瑞士国防公司,美国国务院和美国中央司令部。在最近的攻击中,该组织使用真的Adobe Flash安装程序与其macOS后门打包,并在受害者系统上下载恶意软件。ESET的专家观察到,攻击活动发生了变化:黑客利用流行的开源开发框架Metasploit开展攻击,而以往的案例中,Turla会使用自己的工具,比如Skipper。   稿源:Freebuf,封面源自网络;