分类: 黑客事件

黑客组织找到一种巧妙的方法绕过目标网络的多因素身份认证

一伙为不法分子提供攻击工具的黑客找到了一种非常巧妙的方法,能够绕过目标网络的多因素身份验证(MFA)系统。根据安全公司 Volexity 本周一发布的博文,他们在 2019 年年末和 2020 年年初发现了这些攻击者的踪迹,并不少于 3 次利用该方法潜入某些机构内部。 在一次入侵期间,Volexity 的研究人员注意到黑客使用一种新颖技术绕过了 Duo 提供的 MFA 保护。在受感染的网络上获得管理员特权后,黑客使用这些不受束缚的权限从运行 Outlook Web App 的服务器上窃取了名为 akey (企业为各种网络服务提供帐号身份验证)的 Duo 机密。 然后,黑客使用 akey 生成 cookies。因此,当拥有正确用户名和密码的用户登录之后,黑客就能通过 cookies 接管账户。Volexity 认为该方法是由黑客集团  Dark Halo 提供的。研究人员 Damien Cash,Matthew Meltzer,Sean Koessel,Steven Adair 和 Thomas Lancaster 写道: “在 Volexity 对 Dark Halo 的第二次调查进入尾声的时候,研究人员观察到黑客通过 Outlook Web App 访问了用户的电子邮件账户。出于某些原因,这是完全意外的,最重要的原因是目标邮箱是受到 MFA 保护的。 来自Exchange服务器的日志显示,攻击者提供的用户名和密码身份验证正常,但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明,未尝试登录到该帐户。 Volexity能够确认不涉及会话劫持,并且通过OWA服务器的内存转储,还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。 Volexity对这一事件的调查确定,攻击者已从OWA服务器访问了Duo集成密钥(akey)。然后,该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后,服务器评估了duo-sid cookie并确定其有效。 这使攻击者知道用户帐户和密码,然后完全绕过帐户上设置的MFA。此事件强调了确保与密钥集成关联的所有机密(例如与MFA提供者的机密)在发生泄露后应进行更改的必要性。此外,重要的是,不仅要在违规后更改密码,而且不要将密码设置为与以前的密码类似的内容(例如,Summer2020!vs Spring2020!或SillyGoo $ e3 vs SillyGoo $ e2)。”         (消息及封面来源:cnBeta)

黑客组织找到一种巧妙的方法绕过目标网络的多因素身份认证

一伙为不法分子提供攻击工具的黑客找到了一种非常巧妙的方法,能够绕过目标网络的多因素身份验证(MFA)系统。根据安全公司 Volexity 本周一发布的博文,他们在 2019 年年末和 2020 年年初发现了这些攻击者的踪迹,并不少于 3 次利用该方法潜入某些机构内部。 在一次入侵期间,Volexity 的研究人员注意到黑客使用一种新颖技术绕过了 Duo 提供的 MFA 保护。在受感染的网络上获得管理员特权后,黑客使用这些不受束缚的权限从运行 Outlook Web App 的服务器上窃取了名为 akey (企业为各种网络服务提供帐号身份验证)的 Duo 机密。 然后,黑客使用 akey 生成 cookies。因此,当拥有正确用户名和密码的用户登录之后,黑客就能通过 cookies 接管账户。Volexity 认为该方法是由黑客集团  Dark Halo 提供的。研究人员 Damien Cash,Matthew Meltzer,Sean Koessel,Steven Adair 和 Thomas Lancaster 写道: 在 Volexity 对 Dark Halo 的第二次调查进入尾声的时候,研究人员观察到黑客通过 Outlook Web App 访问了用户的电子邮件账户。出于某些原因,这是完全意外的,最重要的原因是目标邮箱是受到 MFA 保护的。 来自Exchange服务器的日志显示,攻击者提供的用户名和密码身份验证正常,但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明,未尝试登录到该帐户。 Volexity能够确认不涉及会话劫持,并且通过OWA服务器的内存转储,还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。 Volexity对这一事件的调查确定,攻击者已从OWA服务器访问了Duo集成密钥(akey)。然后,该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后,服务器评估了duo-sid cookie并确定其有效。 这使攻击者知道用户帐户和密码,然后完全绕过帐户上设置的MFA。此事件强调了确保与密钥集成关联的所有机密(例如与MFA提供者的机密)在发生泄露后应进行更改的必要性。此外,重要的是,不仅要在违规后更改密码,而且不要将密码设置为与以前的密码类似的内容(例如,Summer2020!vs Spring2020!或SillyGoo $ e3 vs SillyGoo $ e2)。           (消息及封面来源:cnBeta)

疑似遭俄黑客攻击后 美国国土安全部/数千家企业争分夺秒展开调查

据路透社报道,美国国土安全部和数千家企业周一争分夺秒地调查和应对一场大规模的黑客攻击活动,官员们怀疑该活动是由俄罗斯政府指挥的。三位知情人士周一告诉路透社记者,作为复杂的系列漏洞的一部分,负责边境安全和防御黑客攻击的国土安全部官员发送的电子邮件被黑客监控。周日首次披露的攻击事件还袭击了美国财政部和商务部。 科技公司SolarWinds是黑客使用的关键“踏脚石”,该公司表示,其多达1.8万名客户下载了一个被入侵的软件更新,使黑客能够在近9个月的时间里不被察觉地监视企业和机构。 美国周日发出紧急警告,命令政府用户断开SolarWinds软件的连接,称该软件已被“恶意行为者”入侵。 这一警告是在路透社报道疑似俄罗斯黑客利用劫持的SolarWinds软件更新侵入包括财政部和商务部在内的多个美国政府机构之后发出的。莫斯科否认与攻击有任何关系。其中一位熟悉黑客活动的人士表示,国土安全部网络安全部门用来保护基础设施的关键网络,包括最近的选举,都没有被攻破。 国土安全部表示知道这些报道,但没有直接证实这些报道,也没有说受影响有多严重。国土安全部是一个庞大的官僚机构,其中负责保障COVID-19疫苗的分发。在国土安全部(DHS)下属网络安全和基础设施安全局(CISA)局长克里斯托弗·克雷布斯(Christopher Krebs)称2020年总统选举是美国历史上最安全的选举后,美国总统特朗普解雇了负责人克雷布斯。他的副手和选举负责人也已经离开。 SolarWinds在一份监管披露中表示,它认为这次攻击是 “外部民族国家 “所为,他们在今年3月至6月间发布的Orion网络管理软件更新中插入了恶意代码。 “SolarWinds目前认为,可能安装了包含此漏洞的Orion产品的客户实际数量不到1.8万,”它说。 该公司没有回应有关受影响客户的确切数量或这些组织的任何违规程度的评论请求。该公司表示,它并不知道其其他产品存在漏洞,目前正在美国执法部门和外部网络安全专家的帮助下进行调查。 SolarWinds在全球拥有30万客户,其中包括美国财富500强企业的大部分,以及美国和英国政府的一些最敏感的部分–如白宫、国防部门和两国的信号情报机构。目前,世界各地的调查人员都在争分夺秒地寻找黑客。英国政府发言人表示,英国目前还不知道这次黑客攻击有什么影响,但仍在调查。 三位熟悉黑客调查的人士告诉路透社,任何运行Orion软件受损版本的机构都会被攻击者在其电脑系统中安装了“后门”。“在那之后,只是攻击者是否决定进一步利用这一权限的问题,”其中一位消息人士说。 据两位熟悉周一上午启动的企业网络安全调查浪潮的人士称,早期迹象表明,黑客在选择入侵对象时是有区别的。”我们看到的是远远少于所有的可能性,”一位人士说。”他们正在像使用手术刀一样使用这个。” 与此次事件有关的知名网络安全公司FireEye在此间的一篇博客中表示,其他目标包括 “北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘实体”。 “如果是网络间谍活动,那么这是我们在相当长一段时间内看到的最有效的网络间谍活动之一。”FireEye的情报分析总监John Hultquist说。 专家表示,由于攻击者可以利用SolarWinds进入网络内部,然后创建一个新的后门,因此仅仅断开网络管理程序还不足以将黑客引导出去。为此,成千上万的客户都在寻找黑客存在的迹象,并试图猎取并禁用这些额外的工具。         (消息来源:cnBeta;封面来源于网络)

CISA 和 FBI 警告针对 K12 教育的勒索软件攻击增多

在周四发布的联合安全警报中,美国网络基础设施安全局及联邦调查局表示:针对美国K-12教育的勒索软件网络攻击的数量有所增加,这些网络攻击活动通常会导致数据泄露和远程学习的中断。 警报写道:“截至2020年12月,FBI、CISA和MS-ISAC持续收到来自K-12教育机构的网络攻击报告。” “黑客可能将学校视为攻击目标,预计这类攻击将持续到2020/2021学年。” 勒索软件攻击 CISA和FBI表示:“ 针对K-12教育机构的今年所有网络攻击中,勒索软件一直是最重大的威胁。MS-ISAC数据显示2020学年开始之际,针对K-12教育的勒索软件事件的百分比有所增加。”他们说:“在8月和9月,MS-ISAC已知的勒索软件事件中有57%针对K-12教育,而从1月到7月,针对K12教育的网络攻击占比只有28%。” 该数字与Emsisoft最新报告一致  ,该公司还注意到2020年第三季度针对教育行业的勒索软件攻击激增。 根据两家机构收到的报告,今年针对美国K-12的五个最活跃的勒索软件组织是Ryuk、Maze、Nefilim、AKO和Sodinokibi / REvil。 这五个都是勒索软件操作,它们已知运行“泄漏站点”,通常在这些泄漏站点上从没有付款的受害者中转储数据,这也存在将学生数据在线发布的危险。 商品性恶意软件 但是,勒索软件攻击的增加并不是本学年K-12教育机构面临的唯一问题。CISA和FBI表示,商品性质的恶意软件已在美国网络攻击中流行。 恶意软件的变种是偶然性的,因为它们不仅影响教育机构,还影响其他组织。 在K-12网络攻击上最常见的恶意软件感染中,ZeuS(Zloader)木马(Windows)和Shlayer loader(macOS)在感染排行榜上名列前茅。 我们不应轻视这种恶意软件,因为这些威胁通常演变成更大的网络攻击,需要立即加以解决。 DDOS攻击和视频会议中断 除了恶意软件之外,美国网络基础设施安全局及联邦调查局还警告K-12教育机构要注意其他形式的网络攻击:包括DDoS攻击和实时视频会议中断(也称为“ 缩放轰炸”)。 随着学校IT系统现在需要满负荷工作以保持学校资源正常运行,DDoS攻击已成为最受欢迎的攻击媒介,用于勒索学校以牟取收益或学生逃课。 这两点由卡巴斯基 在今年早些时候指出,针对教育机构的DDoS攻击数量在美国乃至全世界都大量增加。 自2020年3月以来,视频会议中断一直是学校面临的问题。 警报中也包含应对措施,受害组织可以采用这些对策预防今年以来最常见的威胁。       消息及封面来源:zdnet;译者:小江 本文由 HackerNews.cc 翻译整理 转载请注明“转自 HackerNews.cc ”   

Mount Locker 勒索软件向黑客提供双重勒索方案

研究发现,一种新的勒索软件可以扩大目标范围,躲避安全软件的检测,发动双重勒索攻击。 MountLocker勒索软件在2020年7月开始出现,它在加密前窃取文件,并且要求数百万赎金,这种策略被称为双重勒索。 BlackBerry Research and Intelligence Team的研究人员表示,“MountLocker背后的攻击者显然只是在热身。从7月份开始,他们的勒索要求越来越高。” “与MountLocker相关联的公司效率很高,能够快速过滤敏感文档,在几个小时内对目标进行加密。” MountLocker还加入了其他勒索软件家族,比如Maze(上个月关闭),这些勒索软件在暗网上运营一个网站,羞辱受害者,并提供泄露数据的链接。 到目前为止,这款勒索软件已经有5名受害者,但研究人员怀疑人数可能“多得多”。 MountLocker作为勒索软件即服务(RaaS)提供,它在今年8月初针对瑞典安全公司Gunnebo进行了部署。 尽管该公司表示已成功阻止了勒索软件攻击,但攻击者最终在10月份窃取并在网上发布了18G的敏感文件,这些文件包括客户银行保险库和监控系统的示意图。 现在根据BlackBerry的分析,MountLocker背后的攻击者利用远程桌面(RDP)和泄露的凭证,在受害者的环境中获得初步的立足点(这在Gunnebo的黑客攻击中也有观察到)。然后部署工具执行网络侦察(AdFind),接着部署勒索软件和横向跨网络传播,通过FTP过滤关键数据。 勒索软件本身是轻量级且高效的。执行后,它会终止安全软件,使用ChaCha20密码触发加密,并创建一张勒索便条,其中包含一个Tor.onion URL的链接,通过暗网聊天服务协商解密软件的价格。 它还使用一个嵌入的RSA-2048公钥对加密密钥进行加密,删除卷影副本以阻止加密文件的恢复,并最终将自己从磁盘中删除以隐藏踪迹。 然而,研究人员指出,勒索软件使用一种称为GetTickCount API的加密不安全方法来生成密钥,该方法可能容易受到暴力攻击。 MountLocker的加密目标非常广泛,支持2600多个文件扩展名,包括数据库、文档、档案、图像、会计软件、安全软件、源代码、游戏和备份。 除此之外,我们在11月底发现了MountLocker的一个新变种(称为“版本2”),它删除了加密所需的扩展名列表,转而使用精简的排除列表:.exe、.dll、.sys、.msi、.mui、.inf、.cat、.bat、.cmd、.ps1、.vbs、.ttf、.fon和.lnk。 研究人员总结说:“自从成立以来,MountLocker组织就在扩大和改进其服务。虽然他们目前还不是特别先进,但可能短期内变得更强大。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Facebook 封禁了疑似与 APT32 组织有关联的越南 CyberOne 账号

在周四的一份公告中,Facebook 安全团队出人意料地透露了 APT32 组织的真实身份。作为近年来最为活跃的黑客组织之一,有消息称其与越南方面有说不清道不明的关系。不过在被发现利用社交平台传播恶意软件并试图感染用户之后,Facebook 已经果断地封禁了与 APT32 有关联的账户 —— 所谓的“CyberOne Security”。 Facebook 安全策略主管 Nathaniel Gleicher 与网络威胁情报主管 Mike Dvilyanski 表示,他们调查到了这些活动与越南 IT 企业 CyberOne Group 有关联。 Gleicher 和 Dvilyanski 补充道,APT32 在 Facebook 上的运作方式,就是通过虚构的角色来创建相关账户也页面,常用的伪装是活动家或商业实体。 然后通过其它诱饵,APT32 可逐步渗透到受害的目标网络中。比如网络钓鱼或恶意软件、甚至指向该组织设法在谷歌官方 Play 商店上传的 Android 应用程序的链接,以进一步监视受害者。 嫌疑账号的 Facebook 主页缓存截图 据信 APT32 组织的早在 2014 年就开始了运作,有时也会被外界称作 OceanLotus,但此前的行动有些杂乱无章。 然而由于此前公布的联系方式已经变灰,外媒暂时无法与 CyberOne 发言人取得联系,发出去的邮件咨询请求也被退回。         (消息及封面来源:cnBeta)

俄罗斯 APT28 黑客组织使用 COVID-19 作为诱饵传递 Zebrocy 恶意软件

一个以恶意软件活动著称的俄罗斯黑客组织再次利用COVID-19作为网络钓鱼诱饵进行恶意攻击。 网络安全公司Intezer将这一行动与APT28(又名Sofacy、Sednit、Fancy Bear或STRONTIUM)联系起来,并表示,这些以COVID-19为主题的网络钓鱼电子邮件被用来传播Zebrocy(或Zekapab)恶意软件的Go版本。这些活动是上个月底观察到的。 Zebrocy主要通过网络钓鱼进行攻击,该攻击包含有宏和可执行文件附件的Microsoft Office文档诱饵。 该恶意软件的幕后攻击者于2015年被发现,并与GreyEnergy有所联系。GreyeEnergy被认为是BlackEnergy(又名Sandworm)的继承者,这表明攻击者与Sofacy和GreyEnergy都有关联。 它充当后门和下载程序,能够收集系统信息、文件操作、捕获屏幕截图和执行恶意命令,然后将这些命令过滤到攻击者控制的服务器上。 虽然Zebrocy最初是用Delphi(称为DelPHOCY)编写的,但此后已用五六种语言来实现,包括AutoIT、C++、C#、GO、Python和VB.NET。 本次攻击使用了Go版本的恶意软件。该恶意软件首先由Palo Alto Networks于2018年10月记录,随后Kaspersky于2019年初再次发现。诱饵作为虚拟硬盘(VHD)文件的一部分提供,该文件要求受害者使用Windows 10访问。 VHD文件一旦安装,就会显示为带有两个文件的外部驱动器,其中一个是PDF文件,据称包含关于Sinopharm International Corporation(一家中国制药公司)的幻灯片,该公司研制COVID-19疫苗在后期临床试验中对病毒的有效预防率为86%。 第二个文件是一个可执行文件,它伪装成Word文档,打开后运行Zebrocy恶意软件。 Intezer称,他们还观察到了一次针对哈萨克斯坦的单独攻击,攻击者可能使用了网络钓鱼诱饵,冒充印度民航总局的撤离信。 近几个月来,我们在野外多次发现了提供Zebrocy的网络钓鱼活动。 去年9月,ESET详细介绍了Sofacy针对东欧和中亚国家外交部的攻击活动。 今年8月早些时候,QuoIntelligence发现了一个针对阿塞拜疆政府机构的单独攻击。攻击者假借分享北约训练课程来分发Zebrocy Delphi变种。 Golang版本的Zebrocy后门也引起了美国网络安全和基础设施安全局(CISA)的注意。该局在10月底发布了一份报告,表示:“该恶意软件允许远程攻击者在受损系统上执行各种功能。” 为了阻止此类攻击,CISA建议在使用可移动媒体、打开来自未知发件人的电子邮件和附件、扫描可疑电子邮件附件时要谨慎,并确保扫描附件的扩展名与文件头相匹配。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客可利用漏洞攻击 D-Link VPN 路由器

研究发现,一些D-Link VPN路由器易受三个新的高危漏洞的攻击,这使得数百万的家庭和商业网络即使有强大的密码保护也容易受到网络攻击。 Digital Defense的研究人员发现了这些漏洞,并于8月11日向D-Link披露。如果漏洞被利用,远程攻击者可以通过特制请求在易受攻击的网络设备上执行任意命令,甚至发起拒绝服务攻击。 Link DSR-150、DSR-250、DSR-500和DSR-1000AC以及DSR系列中运行固件版本14和3.17的其他VPN路由器型号易受根命令注入漏洞的远程攻击。 这家台湾网络设备制造商在12月1日的一份咨询报告中证实了这些问题,并补充说,他们正在针对其中两个漏洞开发补丁。目前,这些补丁已发布。 Digital Defense在报告中表示:“从广域网和局域网接口来看,这些漏洞可以在网上被利用。” “因此,未经身份验证的远程攻击者可以通过访问路由器web界面,作为根用户执行任意命令,从而有效地获得对路由器的完全控制。” 易受攻击的组件“Lua-CGI”可以在不经过身份验证的情况下访问,并且缺少服务器端过滤,从而使得攻击者(无论是否经过身份验证)都有可能注入将以根用户权限执行的恶意命令。 Digital Defense报告的另一个漏洞涉及修改路由器配置文件,以根用户身份注入恶意CRON条目并执行任意命令。 然而,D-Link表示,它不会“在这一代产品上”修复这一漏洞,并表示这是预期的功能。 Digital defence警告说,由于COVID-19的流行,在家工作的人数空前增加,可能会有更多的员工使用受影响的设备连接到企业网络。 随着远程工作的增加,vpn中的漏洞成为攻击者进入企业内部网络的目标。 建议使用受影响产品的企业进行相关更新。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

美国一 COVID-19 数据泄露者住宅遭警方突袭并被没收计算机

据外媒报道,8个月前,白宫新冠病毒特别工作组的Deborah Birx称赞佛罗里达的COVID-19仪表盘是“我们需要把知识和力量交到美国人民手中”的一个例子。据悉,该仪表盘由Rebekah Jones打造。然而在今年5月的时候,Jones被佛罗里达州卫生部门解雇,据称是因为其拒绝操控这些数据来证明该州能重新开放。 现在,佛罗里达州立警方突袭了她的家并拿走了她用来维护一个其个人版的新、独立COVID-19追踪的设备。 Jones在Twitter上发布了一系列关于这一事件的信息,其中包括一段警察持枪进入其房子的视频。 佛罗里达州执法部门(FDLE)向Miami Herald和Tallahassee Democrat证实,警方突袭Jones住宅的时候持有搜查证并没收了她的设备。 Tampa Bay Times上月报道称,有人神秘地向该州紧急公共卫生和医疗协调小组发送了一条未经授权的信息,上面写着“在1.7万人死亡之前大声说出来吧”。你知道这是错的。你不必参与其中。成为一名英雄。趁还来得及说出来。” 根据FDLE提供给媒体的一份宣誓书,执法部门认为是Jones或其住宅内的某个人发送了这条信息的。 尽管上个月有迹象表明该系统可能已经被黑客入侵,但它显然并没有特别强大的安全性:证词称所有的注册用户共享有相同的用户名和密码。 Jones没有立即回应记者的置评请求,但她在Twitter发文称,她买了一台新电脑并将继续更新她的新网站。       (消息来源:cnBeta;封面来自网络)

富士康墨西哥工厂遭勒索软件攻击 黑客要求 3400 万美元赎金

感恩节的周末,富士康位于墨西哥的一家工厂遭受勒索软件攻击。攻击者在对设备加密之前已经窃取了大量未加密的文件。富士康是全球最大的电子制造公司之一,2019 年的营业收入达到了 1720 亿美元,在全球拥有超过 80 万名员工。富士康的子公司包括 Sharp Corporation,Innolux,FIH Mobile 和 Belkin。 援引外媒 Bleeping Computer 报道,位于墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,并在暗网上出售窃取的文件。据悉窃取的文件包括常规的业务文档和报告,但不包含任何财务信息或者员工的个人信息。 网络安全行业的消息来源证实,富士康于2020年11月29日左右在其位于墨西哥华雷斯城的富士康 CTBG MX 设施遭受了攻击。该工厂于2005年开业,富士康将其用于向南美洲和北美洲的所有地区组装和运输电子设备。 在对工厂设备进行加密之后,在页面上包含了一个指向 DoppelPaymer Tor 付款站点的链接,威胁要求支付 1804.0955 比特币,按照今天的比特币价值来计算,相当于 34686000 美元。作为此次攻击的一部分,威胁行动者声称已加密了约 1200 台服务器,窃取了100 GB的未加密文件,并删除了20-30 TB的备份。       (消息及封面来源:cnBeta)