分类: 黑客事件

黑客组织使用 Raccoon 信息窃取器来盗取数据

今年早些时候,一个以电子商务网站为目标的网络犯罪组织发起了一场“多阶段恶意活动”,目的是散布信息窃取器和基于JavaScript的支付窃取器。 新加坡网络安全公司Group-IB在今天发布的一份新报告中,将这一行动归因于同一个组织,该组织与另一次针对网商的攻击有关。该攻击使用窃取密码的恶意软件,用伪造的JavaScript-sniffers(JS-sniffers)感染他们的网站。 这项活动从2月开始到9月结束,共分四波进行。攻击者利用钓鱼网页和带有恶意宏的诱饵文件,将Vidar和Raccoon信息窃取器下载到受害者系统上。 研究人员指出,这次攻击的最终目的是通过几种攻击载体和工具窃取支付和用户数据,从而传播恶意软件。 这些假网页是使用Mephistophilus网络钓鱼工具包创建的,攻击者可以利用该工具创建和部署专为分发恶意软件而设计的网络钓鱼登录页面。 去年11月,IB集团的研究人员在对网络犯罪组织的策略进行分析时表示:“攻击者将伪造的页面链接发送给受害者,告知受害者缺少正确显示文档所需的插件。如果用户下载了该插件,则他们的计算机就感染了窃取密码的恶意软件。” 在今年2月和3月的第一波攻击中,Vidar密码窃取器可以拦截用户浏览器和各种应用程序的密码,但随后的迭代改用Raccoon窃取器和AveMaria RAT来实现目标。 去年Cybereason首次记录的Raccoon具有许多功能,可以与命令控制(C2)服务器进行通信,以窃取数据——包括截图、信用卡信息、加密货币钱包、存储的浏览器密码、电子邮件和系统详细信息。 Raccoon的独特之处在于,它通过向电报通道(“blintick”)发出请求以接收C2服务器的加密地址,从而绕过C2服务器的阻拦。此外,它还通过聊天服务为社区问题和评论提供24×7的客户支持。 同样,AveMaria RAT具有持久性,可以记录击键信息、注入恶意代码以及窃取敏感文件等。 Vidar和Raccoon都以恶意软件即服务(MaaS)的形式出售。Vidar窃取器的租金为每月250美元到300美元不等,Raccoon每月的租金为200美元。 除了上述四个阶段外,Group-IB还观察到了一个过渡阶段,即2020年5月至2020年9月。在此期间,20家网店感染了FakeSecurity系列改良版本的JS-sniffer。 有趣的是,用于分发Vidar和Raccoon窃取器的基础设施与用于存储sniffer代码和收集被盗银行卡数据的基础设施有相似之处。 今年1月初,国际刑警组织抓获了三名与“GetBilling”组织有关联的人。这三个人参与了代号为Night Fury的行动。他们在印度尼西亚开展了一个JS-sniffer活动。         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

勒索软件黑客大闹直升机制造商 Kopter 公司 公布其企业文档

直升机制造商Kopter在黑客入侵其内部网络并加密公司文件后,成为勒索软件攻击的最新一例受害者。在Kopter拒绝与黑客接触后,勒索软件团伙已于周五在互联网上公布了该公司的部分文件。许多勒索软件团伙在特殊的 “泄密网站”上上传并分享受害者的数据,作为其策略的一部分,向被黑客攻击的公司施加压力,逼迫他们谈判,或者迫使他们支付巨额赎金。 Kopter的企业内部数据已经发布在暗网托管的一个博客上,这一博客由LockBit勒索软件团伙运营。该网站上共享的文件包括商业文件、内部项目以及各种航空航天和国防工业标准文档。 LockBit勒索软件的运营者在一封电子邮件中告诉ZDNet,他们上周利用一个VPN设备入侵了Kopter的网络,该设备使用了一个弱密码,并且没有启用双因素认证(2FA)。 LockBit团伙还表示,他们在暗网上运营着一个门户网站,在那里他们向黑客公司展示有关攻击的细节,包括赎金要求。LockBit运营商表示,Kopter公司有人访问了赎金页面,但该公司并没有在提供给黑客的聊天渠道中与他们接触。 Kopter公司没有在其网站上或通过商业电讯公开披露安全漏洞,公司发言人也没有回复寻求对勒索软件攻击发表评论的电子邮件,周五拨打的电话也仍然无人接听。 这家总部位于瑞士的公司成立于2007年,以其中小型民用直升机系列而闻名。2020年1月,意大利航空航天和国防公司莱昂纳多以未披露的金额收购了Kopter。       (消息来源:cnBeta;封面来源于网络)

黑客组织 Turla 被曝利用 Dropbox 存储恶意软件窃取来的数据

ESET 安全研究人员指出,疑似有俄方背景的黑客组织 Turla,正在利用前所未有的方式,存储恶意软件窃取来的相关数据。此前有研究称 Turla 涉嫌在欧盟外交机构部署了后门程序,并窃取了敏感文件。此外在 2015 到 2020 年初的活动中,该组织还利用了此前未知的 Crutch 恶意软件框架。 Crutch 恶意软件架构图(来自:ESET) ESET 安全研究人员 Matthieu Faou 在今日公布的一份报告中称:“攻击的复杂性和已发现的技术细节,进一步增强了我们对 Turla 组织拥有大量资源来运营如此庞大而多样化的网络攻击武器库的看法”。 此外 Crutch 甚至能够滥用合法的基础架构(本文以 Dropbox 网盘为例)来绕过某些安全层,以便将自身隐于正常的网络流量,从操作者手上接收命令并窃取机密文档。 之所以怀疑 Turla 有俄方背景,是因为 ESET 研究人员发现 Crutch 与 2016~2017 年间的 Gazer 网络安全威胁有相似之处。 其使用了相同的 RC4 密钥来解密有效负载,且应用了与 2017 年 9 月的一台受感染的计算机上几乎相同的 PDB 路径和文件名。 基于此,Matthieu Faou 认为 Crutch 只是 Turla 网络攻击武器库家族的其中一部分。 此外根据 2018 年 10 月 ~ 2019 年 7 月间 500 多个被盗上传至 Dropbox 账户的 ZIP 存档文件时间戳,Crutch 幕后操作者的工作时间,也与俄罗斯地区的 UTC +3 时区保持一致。       (消息及封面来源:cnBeta)

受国家支持的黑客组织开展间谍活动

根据一项新的研究,自2012年以来,以网络间谍活动而闻名的国家性质的黑客,正在使用挖矿技术来躲避检测,并在受害者系统上建立持久性。 微软的365 Defender威胁情报团队称,今年7月至8月期间,该组织部署了Monero硬币矿工,对法国和越南的私营部门和政府机构进行攻击。 研究人员在昨天发表的一份分析报告中表示:“这些硬币矿工的背后或许隐藏着更邪恶的活动。” 此次攻击的主要受害者是越南的国有企业以及与越南政府机构有关联的实体。 微软把Bismuth比作“OceanLotus”(或APT32),将其与间谍软件攻击联系在一起,这些间谍软件使用定制和开源工具集攻击大型跨国公司、政府、金融服务、教育机构、人权和民权组织等。 此前,OceanLotus利用了macOS的一个新后门,攻击者能够窥探并窃取受感染机器的机密信息和敏感商业文件。 使用硬币矿工进行混入 尽管该组织的渗透策略和间谍活动基本上没有什么变化,但“硬币矿工”为他们提供了一种新的盈利方式。 这个想法是为了争取时间进行横向移动,感染像服务器这样的高价值目标,以便进一步传播。 为了实现这一点,攻击者针对受害者使用了特制的越南语编写的鱼叉式网络钓鱼邮件。在某些情况下,攻击者甚至与目标建立通信,以增加打开电子邮件中嵌入的恶意文档并触发感染链的机会。 另一种技术涉及使用DLL侧加载,其中合法库被恶意变体替换,利用过期版本的合法软件(如Microsoft Defender Antivirus、Sysinternals DebugView和Microsoft Word 2007)加载恶意DLL文件,并在受损设备和网络上建立一个持久的命令和控制(C2)通道。 新建立的通道随后被用来丢弃一些下一阶段的有效负载,包括用于网络扫描、凭证盗窃、Monero硬币挖掘和执行侦察的工具,其结果以“.csv”文件的形式传回服务器。 躲避策略 微软表示:“攻击者通过与正常的网络活动或预期会得到低关注的常见威胁混合在一起来躲避检测。” 建议企业通过加强电子邮件过滤和防火墙设置,加强凭证保护,启用多因素身份验证来限制用于获得初始访问权限的攻击面。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客耗时六个月发现苹果设备漏洞 不接触就能全权掌控

在电影或者视频游戏中,你是否曾经看到过有黑客在不接触设备的情况下立即接管某人的设备?也许你认为在当前各大厂商非常注重安全的大背景下不太可能,不过谷歌 Project Zero 安全研究人员 Ian Beer 已经将其变成现实。 在今天更新的博文中,他表示截至今年五月,iPhone、iPad等设备都存在严重的漏洞,能够让攻击者在不接触设备的情况下完全控制设备,包括阅读电子邮件和其他信息、下载照片,甚至能够通过麦克风和相机来观察和收听你的声音。 an Beer 表示这个漏洞的关键是当前 iPhone、iPad、Mac 和 Apple Watch 均使用 Apple Wireless Direct Link(AWDL)协议,而该协议是AirDrop(可轻松将照片和文件传输到其他iOS设备)和Sidecar(快速将iPad变成辅助屏幕)的基础。 Beer 不仅找到了一种方法来利用这一点,而且还找到了一种强制AWDL打开的方法,即使先前已将其关闭。 尽管 Beer 表示虽然没有证据表明这些漏洞已经被黑客利用,但他承认他花了整整 6 个月的时间才发现这个漏洞,并验证可以利用。虽然这个漏洞在今年 5 月已经修复,但他建议不要忽略黑客的攻击力,应该尽快安装升级。苹果没有立即回应置评请求,但苹果确实在2020年5月与漏洞相关的一些安全更新的变更日志中引用了 Beer 的内容。         (消息来源:cnBeta;封面来自网络)

有黑客组织利用 macOS 后门对越南地区 Mac 用户发起攻击

援引外媒报道,一支有国家背景的黑客组织正利用现有 macOS 后门对越南地区的 Mac 用户发起攻击。根据趋势科技近日发布的一份最新报告,这款升级版恶意软件能让攻击者访问受感染的 Mac,并监控和窃取敏感信息。 图 1-2. OceanLotus样本(上)和最新OceanLotus样本(下)的比较 图 3. 样本文件名、图标和app bundle结构 图 4. “.” 和 “doc”之间的特殊字符 图 5. 样本的代码签名信息 图 6. “ALL tim nha Chi Ngoc Canada” 文件内容 图 7. 执行文件后展示的文件 图 8. Plist文件 ~/Library/LaunchAgents/com.apple.marcoagent.voiceinstallerd.plist 图 9. 释放文件的时间戳 图 10. 加密的字符串 图 11-12. 解密方法 报告指出,该恶意软件以 ZIP 文件的形式进行传播,并伪装成 Word 文档,通过钓鱼电子邮件方式进行传播。目前,使用该恶意软件伪装的 ZIP 文件能够通过各种安全软件的检测。 一旦安装在计算机上,该恶意软件就会启动一系列有效负载,这些有效负载会更改访问权限并在系统上安装后门。该后门程序使攻击者可以侦听和下载用户文件,获取有关计算机的其他信息以及上载其他恶意软件。 趋势科技认为,该后门程序与一个名为 OceanLotus 或 APT32 的黑客组织有关,该组织被认为与越南政府有联系。 OceanLotus 以针对在越南工作的外国组织为目标而闻名,人们认为他们的目标是通过网络间谍活动来支持越南拥有的公司。 研究人员写道:“ OceanLotus等威胁组织正在积极更新恶意软件变种,以逃避检测并提高持久性”。由于该恶意软件似乎是为特定地理区域内的针对性间谍活动而设计的,因此它不太可能给大多数macOS用户带来很大的风险。         (稿源:cnBeta;封面来自网络)

黑客组织利用黑匣子攻击技术从意大利 ATM 机中盗走了 80 万欧元

黑客组织利用黑匣子攻击技术从至少35台意大利ATM机中盗窃了80万欧元。 意大利人Carabinieri证实该黑客组织有12人,其中6人已经被捕,3人目前在波兰被押制,1人在被逮捕之前返回摩尔多瓦,还有2人可能已离开意大利。 据当地媒体报道,该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省设有众多后勤基地。 黑匣子 攻击技术旨在通过“黑匣子”设备发送命令强制ATM分配现金。在此攻击中,黑匣子设备(移动设备或Raspberry)物理连接到ATM以向计算机发送命令。 没有采取良好保护措施的ATM更容易遭受此类攻击,因为黑客很容易就连接上移动设备。 7月,ATM机领先制造商Diebold Nixdorf向客户发出了警报:黑匣子攻击产生了新变种。比利时的Agenta银行在被攻击后被迫关闭143台ATM。 比利时当局观察到,所有受感染的机器都是 Diebold Nixdorf ProCash 2050xe 设备。 根据 Diebold Nixdorf发布在ZDNet上的安全警报描述:黑匣子攻击的新变种已在欧洲的某些国家/地区被黑客利用。           消息及封面来源:securityaffairs;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

安全人员对 APT 黑客攻击的调查

本次攻击是一个著名的亚洲APT组织所为,该组织涉嫌对政府目标进行网络间谍活动。在本文中,我们将分享这次攻击的调查结果。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1414/           消息及封面来源:ptsecurity,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客再发威 《生化危机8》少量剧情概要遭泄露

卡普空最近是屋漏又逢连夜雨,几乎每天都会有不同的消息泄露出来,而他们依然在与黑客苦战。匿名黑客团体Team Ragnar手持大量卡普空数据作为要挟,今天他们再次表达了自己的决心和实力,放出了一批19G大小的数据,其中大多数都是关于《生化危机》系列以及《生化危机8》的。 上周泄露的信息表明《生化危机8》将于2021年4月下旬发售,而这次泄露的数据中心包含了许多完成品过场动画。而过场动画里自然包含了许多关键剧透,所以想要亲自通过游戏体验剧情的玩家务必就此打住。 剧透警告 下列是本次泄露出来的过场动画标题,标题本身就已经概括了事件。 与Mia的回忆_次要 撞车,Elena和二楼_次要 前往Elena和阁楼_次要 Chris版本开场_次要 巨人Kadu炸弹安装_次要 巨人Kadu炸弹安装_导演检验 营救Mia_次要 所以《生化危机8》一共泄露了8个过场动画,基本上泄露了游戏剧情中的重要事件。类似的事也曾发生在《最后的生还者2》身上。虽然被剧透以后依然会存在一些悬念,但多多少少会减弱剧情发生时的冲击力,这对于剧情向单机游戏来说非常致命。         (消息来源:cnBeta;封面来源于网络)

黑客正在出售数百名 C-level 高管的电子邮件账户和密码

目前,一个威胁行为者正在出售全球数百家公司的C-level高管的电子邮件账户密码。ZDNet本周获悉,这些数据正在一个名为Exploit.in的俄语黑客封闭式地下论坛上出售。 威胁行为者正在出售Office 365和微软账户的电子邮件和密码组合,他声称这些数据由占据职能的高级管理人员拥有,如: CEO–首席执行官 COO – 首席运营官 CFO – 首席财务官或首席财务总监 CMO – 首席营销官 CTO – 首席技术官 主席 副总裁 行政助理 财务经理 会计师 理事 财务总监 财务主任 付账人员 访问这些账户的价格从100美元到1500美元不等,这取决于公司规模和用户的角色。 一位同意与卖家联系以获取样本的网络安全界人士证实了数据的有效性,并获得了两个账户的有效凭证,这两个账户分别是一家美国中型软件公司的CEO和一家欧盟连锁零售店的CFO。 该消息人士要求ZDNet不要使用其名字,正在通知这两家公司,同时也在通知另外两家公司,卖家公布了这两家公司的账户密码,作为他们拥有有效数据的公开证明。 这些是英国一家企业管理咨询机构高管的登录信息,以及美国一家服装和配件制造商总裁的登录信息。 卖家拒绝分享他是如何获得登录凭证的,但表示他还有数百个登录凭证可以出售。 根据威胁情报公司KELA提供的数据,同一威胁行为者此前曾表示有兴趣购买 “Azor日志”,这个术语指的是从感染AzorUlt信息窃取者木马的计算机上收集的数据。信息窃取者日志几乎总是包含木马从安装在受感染主机上的浏览器中提取的用户名和密码。 这些数据往往是由信息窃取者运营商收集的,他们会对这些数据进行过滤和整理,然后在Genesis等专门市场、黑客论坛上出售,或者他们将这些数据卖给其他网络犯罪团伙。 “被篡改的企业电子邮件凭证对网络犯罪分子来说很有价值,因为它们可以以许多不同的方式被货币化,”KELA产品经理Raveed Laeb告诉ZDNet。 “攻击者可以将它们用于内部通信,作为‘CEO骗局’的一部分–犯罪分子操纵员工向他们汇入大笔资金;它们可以被用来访问敏感信息,作为敲诈计划的一部分;或者,这些凭证也可以被利用,以便访问需要基于电子邮件的2FA的其他内部系统,以便在组织中横向移动并进行网络入侵,”Laeb补充道。 但是,最有可能的是,这些被泄露的电子邮件将被购买和滥用,用于CEO诈骗或商业电子邮件攻击(BEC)诈骗。根据FBI今年的一份报告,到目前为止,BEC诈骗是2019年最流行的网络犯罪形式,已占去年报告的网络犯罪损失的一半。 防止黑客将任何类型的窃取凭证货币化的最简单方法是为您的在线账户使用两步验证(2SV)或双因素认证(2FA)解决方案。即使黑客设法窃取登录信息,如果没有适当的2SV/2FA附加验证器,这些信息也将毫无用处。         (消息来源:cnBeta;封面来源于网络)