分类: 黑客事件

全球航运公司 Clarksons 拒付黑客赎金,内部机密数据或被泄露

HackerNews.cc 30 日消息,全球航运公司 Clarksons 发表声明称,公司此前发生“安全事件”被盗的内部机密数据可能会因拒付赎金而被黑客公开。Clarksons 公司表示不接受黑客威胁、将会采取有效措施应对被盗事件,并且对受影响的客户和个人深表歉意。 直至本文截稿前,被盗数据的数量和确切细节尚未被公布,Clarksons 公司只对外宣称被盗的是高度机密数据。Clarksons 表示,黑客组织访问公司内部系统可能没有利用软件漏洞这种途径,而是盗用了一个合法账户持有者的登录证书进行渗入。公司目前已将被盗帐户禁用,并采取了相应安全措施以防止今后发生类似的问题。 据 Clarksons 透露近期黑客可能会对外发布一些数据,但是作为一个负责任的全球性企业,公司选择与警方和安全专家合作处理这个事件,并与有关监管机构进行了联系。由于所涉及的是内部保密数据,所以要求律师必须采取一切必要的措施来保护信息的机密性。 Clarksons 发言人表示,目前事件正在调查,其余细节则不予透露。 消息来源:ZDNet、ESET,译者:榆榆,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客利用垃圾流量致使美国最大的互联网管理公司 Dyn 系统瘫痪

据外媒报道,黑客于上周五通过垃圾流量致使美国最大的互联网管理公司之一 Dyn 系统瘫痪,有效地关闭了整个地区的服务及网站,类似 Twitter、Spotify、Etsy、Netflix 和软件代码管理服务 GitHub 这样的网站都无法访问。 调查显示,黑客此次攻击仅仅影响了美国与欧洲部分地区,其中断情况于两个小时后有所缓解。美国国土安全部表示,他们正在调查所有可能原因。安全人员透露,黑客主要利用电脑、路由器和安全摄像机等联网设备捆绑成僵尸网络,从而展开 DDoS 攻击,以致破坏 Dyn 服务器。 Dyn 位于新罕布什尔州,既是 DNS 服务提供商,也是一家互联网管理公司。主要帮助网站客户获得最佳的在线性能。同时也过滤了流向网站的恶意流量,这也是上周事情分崩离析的地方,攻击者通过压倒性的流量攻击瘫痪了 Dyn 服务。 网络安全公司 Flashpoint 表示,攻击 Dyn 的僵尸网络使用了之前攻击 Krebs 和法国网站 OVH 相同的恶意软件,而这两款恶意软件可以发起有史以来最强大的 DDoS 攻击。 稿源:cnBeta;封面来自网络;

黑客组织 Cobalt 正通过潜伏 17 年的 Office 漏洞针对全球金融机构展开钓鱼攻击

HackerNews.cc 11 月 26 日消息,网络安全公司 Reversing Lab 研究人员最新发现黑客组织 Cobalt 正通过微软近期披露的 Office 漏洞(CVE-2017-11882)针对全球银行等金融机构展开网络钓鱼攻击。 该漏洞由 Embedi 研究人员率先在 Microsoft Office 组件的 EQNEDT32.EXE 模块(负责文件插入与公式编辑)中发现,是一处内存损害问题,允许攻击者利用当前登录的用户身份执行任意代码。该漏洞影响了过去 17 年来发布的所有 Microsoft Office 版本,其中包括新版 Microsoft Office 365。此外,它还可能触发所有版本的 Windows 操作系统。值得庆幸的是,CVE-2017-11882 的补丁已在本月例行安全更新中发布。 研究显示,黑客组织 Cobalt 主要在通过垃圾邮件肆意分发 RTF 恶意文档时感染目标用户系统。这一感染流程分为多个阶段: ○ 首先,用户打开 RTF 文档后系统将会自动利用 MS 方程触发 CVE-2017-11882 漏洞; ○ 随后,黑客将通过调用 Mshta.exe 文件获取并执行恶意脚本代码; ○ 最终,该脚本在运行时将会嵌入本地 playload,从而根据设备体系结构(32 位或 64 位)下载 DLL 恶意文件,以便感染目标系统。 需要留意的是,这并非 Cobalt 第一次利用微软漏洞展开攻击。知情人士透露,该黑客组织此前就曾利用微软 RCE 漏洞( CVE-2017-8759 )针对欧洲、美洲、俄罗斯等银行 ATM 设备以及金融机构开展攻击活动。虽然该漏洞目前已被修复,但并不能完全避免漏洞攻击的风险,因此研究人员提醒各企业管理人员在更新系统的同时,禁用 Eqnedt 模块是最保险的方法。 更多内容: ○  微软 Office 漏洞(CVE-2017-11882)概念验证(PoC):https://github.com/embedi/CVE-2017-11882 ○  微软 Office 漏洞(CVE-2017-11882)补丁地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 ○  为保护系统,管理员应该需要应用最新补丁包括: KB2553204,KB3162047,KB4011276 和 KB4011262。 消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客侵入政府网站,疑犯网络售卖教师资格证书后获利超 700 万

通过网络联系,花费不到 3000 元,即可获得一本 “教师资格证” 。尽管是“假证”,但是登录教育部门官方网站后,居然可以通过验证。“假证转正” 的背后,是一整条串联起买家、卖家、黑客、非法制证者的售假链条。据悉,黑客侵入政府网站后窃取机密信息,在线售卖教师证获利超 700 万元。 近日,江苏常州警方侦破一起网络售卖教师证案件,控制涉案人员 13 人,地域涵盖黑龙江、山东、河南等多省市,查获已制好尚未售出的假证 300 余箱,总重近 2 吨。值得注意的是,非法制证者通过黑客团队,以漏洞扫描、上传木马程序等手段 “黑” 入政府官网,并将证件验证窗口链接至售假团伙自家网站。这一犯罪手法,目前在国内尚属首例。 假证却能通过核验 案件因一起网络制假案而起。今年 7 月初,江苏常州市公安局的网络监察部门在日常巡查中发现,常州网民褚真(化名)对外联系频繁,沟通中常常发送各类证件,似乎存在异常。之后的进一步调查,强化了这一判断。记者从常州市公安局了解到,警方事后查明,现年 36 岁的褚真是一名“办证中介”。与传统在路边刷广告的办证者不同的是,褚真的市场大部分在网络,所销售的证件品类也更加集中,大部分为教师资格证和办理教师资格证所需的普通话等级证书等。这些均属于国家明文规定,应当由行业主管部门出具的专业证件。 围绕对褚真的调查展开,常州警方发现,褚真所处的是一个售卖教师证的网络,其角色为中介代理商。具体操作上,褚真将需要伪造资格人员的相关信息,通过 QQ 发送给一个昵称为 “杜老师” 的人,在收到证件后,将伪造好的证书,以邮寄的形式寄送给买主。警方获得一部分假证后,对这些证件的真伪进行了验证。不过,结果让办案人员难以捉摸:尽管眼前的证件,明明是通过非法渠道办理的假证,但是在一些地方教育主管部门的官网上,输入证件编号后,竟然可以通过核验。案件侦查一时陷入僵局。常州警方判断,要想解开“假证真做”的谜团,答案可能就在“杜老师”身上。 抓 13 人查获假证近 2 吨 理清这一方向后,常州市公安局网安支队开始围绕 “杜老师” 进行深入调查。通过技术手段,警方明确 “杜老师” 的真实身份。这是一名 28 岁的黑龙江伊春男子,姓黄,无业且有过前科。平日里,黄姓男子通过网络与分布在全国各地的中间商联系,由后者帮助寻找客源。获得客户信息和需求后,再以每张 1000 元到 3000 元不等的价格,通过各地中介为客户办理职称、教师资格证、普通话资格证等证件。 也就是说,在这一案件中,实际上有组织者、黑客团伙、地方代理商、假证及印章制作者等多个角色,彼此通过网络联系,分工明确。鉴于此,常州警方组成专案组。今年 9 月以来,根据专案组部署,常州警方抓获包括“杜老师”在内的犯罪嫌疑人 13 名,一个遍及全国各地的制售假教师证网络,就此被瓦解。经过审查,13 名嫌疑人均交代犯罪事实。警方共查获已制作好,尚未来得及交付的假证 300 余箱,近 2 吨,追缴已交付的假证 80 余本,涉及幼师、小学、高中教师资格证、普通话证书等。 黑客如何实现假证“转正”? 与其他假证制造者不同的是,“杜老师”对于自己出品的证件,信心似乎很足。在与买家交流中,其反复承诺“能在官网上查询到”教师资格证的信息,并称有“以假乱真”的效果。这是怎么做到的?警方进一步研判发现,“杜老师”制造的假证,通常在固定的几个政府官网查验,而这些网站实际上早已被黑客挟持。查询的窗口,被植入制假者的自制网站,也就是说,所谓的核验,通过的并非官方验证,而是制假者的“验证”。 “杜老师”的日常是忙碌的。为了让假证“转正”,他通过网络招募黑客,专门针对 gov、edu、org 等政府及教育部门的网站入侵。黑客团伙以漏洞扫描、上传木马程序等手段,获得网站后台管理权限后,以每个网站 1000 到 5000 元不等的价格,销售给“杜老师”,后者则利用黑客团伙获取的政府网站权限,对网站内容进行篡改,在原网站上新增查询选项。买家点击查询选项后,实际是跳转到假网站查询。随后,“杜老师”再将买家的身份信息,添加到假网站数据库内。这样一来,就可以实现“假证”在政府网站“验证”。记者从常州警方获悉,下一阶段,专案组将继续开展证据搜集,扩线抓捕团伙其他黑客和其他涉案中介代理商。 假证购买者多为教育培训人员 记者从常州警方获悉,在这一教师证制假案中,主犯为“杜老师”及其妻子,夫妻两人各有分工。其中“杜老师”负责招募和组织黑客,侵入范围包括教育、人社等部门官网;其妻则帮助伪造证件,并充当中介进行交易。办案民警称,两人被捕后交代,首次制作假教师证,源于一个网络黑客聚集的论坛,有用户发布任务后,一些黑客就会“接单挣钱”。发现这一群体后,“杜老师”即开始利用黑客,做起假证生意,并使用假身份证联系黑客。自 2016 年初开始,两人共涉嫌侵入、破坏 20 多个省份 60 多个教育、人社部门网站,获利超过 700 万元,为至少 2000 人伪造证件。 什么样的人,会通过网络购买假教师证?新京报记者从常州警方了解到,侦查结果表明,“杜老师”的客户,主要是各地培训机构老板及从业人员。南京一名从事教育培训的业内人士告诉记者,培训业的门槛较低,所招聘人员多为应届大学生,由于待遇相对较低且比较辛苦,因此很难招到持有教师资格证的人员。与此同时,一些学生家长会以从业人员是否持证,作为评价和选择培训机构的依据。为了保证竞争中的优势,也为了“装点门面”,一些从业人员就会选择从网络购买假证。 常州警方称,案件中,除了教师证外,还查获了部分金融证券以及建造师资格证件。追溯这些证件的买家,则多为已经从业,但多年未取得证件的人员。记者了解到,警方还对 4 名涉嫌侵入国家机关网站的“黑客”进行了问讯,并将做进一步调查。 稿源:cnBeta、新京报,封面源自网络;

网络犯罪分子正通过互联网扫描窃取用户在线暴露的虚拟钱包

HackerNews.cc 11 月 24 日消息,网络安全专家 Didier Stevens 于近期(比特币价格从 7,000 美元升至 8000 美元时)在其蜜罐中发现黑客正进行一项扫描活动,旨在检测在线暴露的比特币钱包后不断提出访问请求,从而试图获取钱包加密货币。这种情况极其罕见,其首次发生于 2013 年比特币价格第一次升涨时期。 黑客们除了比特币外也会将其他加密货币作为探索目标,比如以太坊(Ethereum)。研究人员 Dimitrios Slamaris 就于近期发现黑客在本地公开的 Ethereum 节点向目标 JSON-RPC 接口发出调用请求,命令系统将用户资金转移至攻击者钱包。随后,网络安全中心 Johannes Ullrich 发现两个 IP 地址通过上述请求扫描用户加密钱包: 216[.]158[.]238[.]186 – Interserver Inc .(新泽西托管公司) 46[.]166[.]148[.]120 – NFOrce Entertainment BV(Durch托管公司) 目前,如果您正在使用/运行 Ethereum 节点,那么请确保该节点未被监听查询,因为此类操作都是非常简单的 HTTP 请求,它们不受同源策略的保护,很容易被黑客利用 Javascript 窃取信息。研究人员提醒用户/管理员尽快在其服务器上禁用 JSON-RPC 接口的入站查询或代理请求,以便系统只筛选已批准的客户设备。 相关阅读: ○ 安全专家发布的互联网当前泛滥的以太坊 JSON-RPC 扫描问题 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Imgur 证实:2014 年受黑客攻击,逾 170 万账号信息遭窃

全球知名图片分享网站 Imgur 近日承认 2014 年受到黑客攻击,170 万包含邮箱地址和密码的账户信息被窃取。Imgur 表示由于网站并不需要用户提交真实姓名、地址或者手机号码,因此被窃取的信息中并不包含私人信息。 知情人士透露,在过去的四年时间始终没有引起媒体和用户的注意,直到近期黑客将被窃取的数据发送给 Troy Hunt。Hunt 负责运行和维护数据被窃通知服务 Have I Been Pwned。 在感恩节当天,他向 Imgur 公司发出提醒。随后公司立即发布公告,要求受影响用户账号尽快重新更改密码。Hunt 表示:“在美国感恩节期间我发现了 Imgur 的账号被窃情况,公司在不到 24 小时内做出快速反应的行为是值得称赞的。” 稿源:cnBeta,封面源自网络;

朝鲜 APT 组织 Lazarus 或利用安卓恶意软件针对韩国三星用户展开新一轮网络攻击

据外媒 11 月 22 日报道,网络安全公司 McAfee 与 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 似乎开始利用一款 Android 恶意软件针对韩国三星用户展开新一轮网络攻击。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。 调查显示,该恶意软件主要附着在一款用于阅读韩文圣经的合法 APK 中并由开发人员 GODpeople 在 Google Play 发布。截至目前,该应用已被下载 1300 多次。McAfee 经分析表示,其恶意软件主要为可执行与可链接格式(ELF)文件提供一个后门,允许攻击者完全控制受害设备。另外,该后门程序所使用的命令与控制(C&C)服务器列表与黑客组织 Lazarus 此前使用的 IP 地址有关。   Palo Alto Networks 安全专家指出,此次活动似乎主要针对韩国三星用户展开攻击,并与此前 Lazarus 开展的 “ Operation Blockbuster” 活动存有潜在联系,例如:所使用的 Payload、恶意软件代码,以及托管的合法 APK 都极其相似等。随后,Unit 42 安全专家对上传到 VirusTotal 的 PE 文件分析后发现,这一文件被用于从 HTTP 服务器传送  ELF ARM 和 APK 文件,从而感染更多设备后允许攻击者展开大规模攻击活动。 目前,Palo Alto Networks 由证据表示,该恶意软件代码与 Lazarus 对 SWIFT 银行系统和 Operation Blockbuster 攻击活动所使用的有效负载具有重叠部分,因此这似乎意味着该组织持续使用同一系列的黑客工具展开攻击活动。对此,他们推测 Lazarus 似乎正忙于全球业务的扩张发展。 更多阅读: 来自 McAfee 的分析报告 <Lazarus Cybercrime Group Moves to Mobile Platform> 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

虚拟货币钱包 Tether 遭黑客攻击,近 3100 万美元代币被盗

北京时间 11 月 21 日下午消息,根据加密数字货币媒体网站 CoinDesk 的报道称,数字代币初创公司 Tether 于本周一证实公司系统遭遇黑客袭击,近 3095 万美元的数字代币被盗。 知情人士透露,Tether 公司曾于此事件发生后在其网站发布了相关报道,但目前该网站消息已被删除。不过,根据此前消息称,Tehter 将此次代币被窃事件定性为外部攻击者的恶意行为。 据悉,在那则被删除的文章中,Tether 公司表示他们正积极尝试恢复代币,以防止它们流入到外部数字加密货币市场。该公司还表示会暂停后台数字钱包服务,同时将会为用户提供更新软件,以阻止被窃取的数字代币从黑客攻击者的地址再被转移。目前,部分用户认为,本次黑客攻击事件可能于周一比特币市值的极端波动有关,其比特币价格在短短一个半小时内从 8250 美元峰值瞬间下跌了 430 美元。 Tether 公司官方网站曾表示其数字代币具有法定货币支持,因此可以防止一般加密货币的行情波动。此外,Tether 数字代币还能在区块链上被存储、发送和接收,而且还支持兑换现金。 稿源:新浪科技,封面源自网络;

2017 上半年 DDoS 攻击数量倍增,罪魁祸首竟然是它?

网络安全公司 Corero 于近期发布一份报告,宣称 2017 上半年的 DDoS 攻击数量增加一倍,起因竟是各企业及用户所使用的不安全物联网(IoT)设备。据称,只要用户设备在线联网,其拒绝服务(DDoS)攻击就将存在。倘若企业依赖互联网销售产品或协作,那么 DDoS 攻击不仅仅是一个麻烦,更将影响企业后续发展。 在过去数年内,DDoS 攻击的数量在 “猫捉老鼠” 的演变过程中呈缓慢趋势增长,即犯罪分子一旦加强攻击,其网络供应商就会进行弹性防御。然而,此类攻击一般都来自被感染的计算机和服务器组成的僵尸网络。不过,由于在僵尸网络中获取和维护这些系统的成本相对较高,因此在攻击发展的速度方面存在经济限制。 但是,僵尸网络 Mirai 的开发人员就很 “聪明”, 并未针对安全团队或安全设施开展攻击,而是把重点瞄准数百万家用物联网设备,例如利用网络摄像头与互联网路由器构建僵尸网络开展 DDoS 攻击。由于 Mirai 无需任何安全措施检测,因此它能在肆意感染的同时发起比以往更大的攻击活动。 根据 Arbor Networks 2016 年年底的报告显示,物联网设备已然成为 DDoS 攻击来源。到目前为止,这些大规模的攻击还未利用反射/放大技术展开。相关数据显示,DDoS 攻击的数量在 2015 年显著上升,其攻击的平均规模和时间也在不断增加。由卡巴斯基 2016 年第四季度 DDoS 情报报告得知,DDoS 攻击持续时间最长为 292 小时(或 12.2 天),明显长于上一季度( 184 小时或 7.7 天),创下 2016 年的纪录。 研究人员表示,目标企业现平均每天遭受 8 次 DDoS 攻击,均由不安全物联网设备和 DDoS 出租服务导致。虽然大规模的 DDoS 攻击正得到媒体关注,但这只是攻击的一小部分。然而,最令人感兴趣的是,2017 年第二季度发生的第五次 DDoS 攻击使用了多种媒介进行,旨在规避安全软件检测。目前,只需要每小时 20 美元,任何黑客都可采用僵尸网络针对目标企业发动攻击。此外,网络犯罪分子已经将 DDoS 攻击作为一项有利可图的开发项目,这就意味着拒绝服务攻击的活动仍将继续。 关联阅读: ○ 卡巴斯基实验室 《黑色星期五威胁报告》(英文) ○ 卡巴斯基实验室《2017 年第三季度的 DDoS 攻击报告》(英文) ○ 卡巴斯基实验室《2018 年威胁预测》(英文)   消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

阿尔及利亚电信运营商遭黑客攻击,国家电子支付系统安全引担忧

据外媒 11 月 21 日报道,阿尔及利亚的电信运营商 Algerie Telecom 于上周五证实,公司遭受了一系列旨在破解其系统的网络攻击事件。目前,公司已在相关部门的帮助下成功击退黑客并开启安全防御系统,以便减少企业运营损失。不过,他们尚不清楚黑客真正意图以及进一步相关细节。 此外,由于网络攻击数量的迅速增加引起了阿尔及利亚政府的担忧,特别是近期所推出的电子服务项目,例如公民采用电子支付系统缴纳水电费用。 信息与通信技术部部长 Iman Houda Faraoun 表示,通常由部长理事会批准的电子商务项目一旦通过,将会即日生效。不过,他们承诺将会充分保护电子商务流程,严禁外泄各金融交易数据、发票以及公民银行卡号等敏感信息。 消息来源:securityaffairs.co 、新华网,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。