分类: 黑客事件

黑客找到新方法在 WordPress 站点中加载后门插件

为了攻击WordPress网站,挂上后门插件,黑客想出了一种新的方法,这种新方法需要用到那些弱口令WordPress.com账号和Jetpack插件。整个攻击过程非常复杂,为了攻击网站,黑客需要经历不同步骤,这也意味着用户的防御方法非常之多。 尽管如此,根据WordPress网站安全公司Wordfence的报告以及WordPress.org官方论坛上的一些帖子,有很多用户还是被挂上了后门插件,攻击大都发生在5月16日以后。攻击的第一步包括黑客从公开漏洞中获取用户名和密码,并尝试登录WordPress.com帐户。如果使用了社工库里已经暴露的密码,就可能受到攻击。第二个攻击要素则是Jetpack,这是一款非常普遍的wordpress插件,黑客利用这款插件进一步在网站上安装后门。   稿源:Freebuf,封面源自网络;

匿名币 Verge 再遭 51% 攻击,黑客盗取近 3500 万个 XVG

4月份的攻击阴影仍未散去,匿名币Verge(XVG)再次遭到51%攻击。 根据BitcoinTalk网友ocminer(他是竞争币矿池Suprnova的运作者)所说,某攻击者已经成功通过51%攻击分叉了VXG区块链。在过程中,攻击者锁定了XVG代码中的某个漏洞,该漏洞允许恶意矿工在区块上添加虚假的时间戳,随后快速挖出新块。 Suprnova发推表示: XVG再次遭到攻击,有人通过51%攻击导致所有正确区块失效。所有的矿池和矿工都受到了影响,这位攻击者目前控制了所有的区块。   XVG协议交替使用五种挖矿算法,ocminer表示,攻击者已经控制了其中的两种——scrypt和lyra2re,因此其进行挖矿是毫不费力的。攻击者还用假的时间戳来欺骗整个网络接受其挖出的区块并添加到主链中。 攻击者在区块2155850和2206272之间采取了行动,在短短的几个小时内谋取了近3500万个XVG,也就是175万美元。截至发稿时,本次攻击已经被成功制止,然而没人能够保证未来攻击者是否会再次出击。 而XVG开发者的回应似乎并不让人省心。他们在推特中承认该项目挖矿存在问题,但声称只是几个矿池受到了DDOS攻击。 这位攻击者的手法与两个月前的入侵者类似,当时那位恶意矿工通过攻击XVG网络获取了2000万个XVG,这在当时价值高达110万美元。而当时和现在一样,XVG开发者对系统漏洞的轻描淡写,引发了社区无止尽的批评。 当时XVG通过激活紧急的硬分叉计划来修复漏洞,但包括ocminer在内的批评者都认为此次升级只不过是“贴了一张创口贴”,并未从源头上解决问题。 自本次攻击事件以来,XVG价格已下跌超14%。目前XVG是市值排名第31位的加密货币,截至发稿时,其总市值为6.8亿美元。 XVG遭到攻击之后,门罗币首席开发者也在推特上对其冷嘲热讽了一番,“真是一种安全稳定的加密货币呢。” XVG团队尚未就本次事件作出评论。   稿源:巴比特资讯,编译:Wendy,封面源自网络;

思科发布安全预警:几十个国家50万台路由器被感染

北京时间5月23日晚间消息,思科公司周三发布安全预警称,黑客利用恶意软件,已感染几十个国家的至少50万台路由器和存储设备。 据思科研究人员克雷格·威廉姆斯(Craig Williams)称,思科Talos安全部门认为,俄罗斯政府是此次攻击的幕后主谋,因为黑客所使用软件的代码,与俄罗斯政府之前发动网络攻击所使用软件的代码一致。 乌克兰安全局(SBU)称,此举表明俄罗斯计划在欧洲冠军联赛决赛开战之前,对乌克兰发动大规模网络攻击。欧洲冠军联赛决赛将于本周六在基辅开战。 乌克兰安全局在一份声明中称:“安全服务专家认为,此次乌克兰境内路由器和存储设备被感染,是俄罗斯为发动新一轮网络攻击做准备,目的是在欧洲冠军联赛决赛期间破坏局势。”   稿源:新浪科技,封面源自网络;

与朝鲜有关的黑客使用谷歌Play商店中的恶意软件追踪脱北者

据外媒Techspot报道, 谷歌Play商店此前曾出现一些看似合法却包含恶意软件的的应用程序并不陌生,但McAfee的研究人员发现了一些与以前不同的内容:针对特定个人的三种恶意应用程序。该安全组织表示,一个与朝鲜有关的小组上传了这些应用程序,这些应用程序旨在渗透属于脱北者的Android设备。 虽然“朝鲜黑客”通常指臭名昭著Lazarus Group,但此次的攻击者是 Sun Team。该组织参加了名为RedDawn的活动,该广告活动在恶意软件加载应用程序被添加到谷歌Play商店之前,曾试图吸引“叛逃者”下载软件。 今年1月至3月间,这三款应用出现在谷歌Play商店中。其中一个称为 Food Ingredients Info的应用提供了有关食物成分的信息。另外两个应用——Fast AppLock 和Fast AppLockFree则是安全工具。这三款应用都能够窃取那些下载应用的用户的个人数据,这些数据可能被用来勒索,威胁或追踪受害者; 这些信息包括用户的照片、联系人、通话记录和短信等。 “感染设备后,恶意软件使用Dropbox和Yandex上传数据并发布命令,包括其他插件dex文件;这与早期的Sun Team攻击类似,”McAfee的Jaewon Min写道。“从这些云存储站点,我们发现了Sun Team用于我们1月份报告的恶意软件活动的相同测试Android设备的信息日志。日志具有类似的格式,并使用与其他Sun Team日志相同的缩略字段。此外,新恶意软件者的电子邮件地址与早先与Sun Team相关的电子邮件地址相同。” Sun Team试图让朝鲜叛逃者(其中2016年有超过30,000人)通过使用虚假的Facebook个人资料或通过该发送直接私人消息来下载应用程序。在韩国流行的聊天应用程序KakaoTalk也被用来发送链接到目标。 目前已被删除的应用程序在谷歌 Play商店中大约被下载了100次。据报道,Sun Team设置的两个虚假的Facebook个人资料仍然活跃。将攻击与朝鲜联系在一起的进一步证据包括在测试日志文件中找到的属于该国的IP地址,以及作者使用韩语“不在韩国语词汇中”的事实。   稿源:cnBeta,封面源自网络;

墨西哥多家银行巨款神秘消失 或遭“黑客”窃取

墨西哥中央银行和监管机构14日说,1800万至2000万美元近期在多家银行的电子转账过程中不翼而飞,可能遭“黑客”窃取。 中央银行企业支付和服务系统主管洛伦扎·马丁内斯说,4月到5月至少发生5起针对墨西哥官方电子支付系统SPEI的袭击。他否认媒体先前关于“丢失”4亿比索(约合2039万美元)的报道。“正在核查金额,一些转账被拦截,款项正在回流。” 马里奥·阿尔韦托·迪科斯坦索在政府中主管保护金融业客户的委员会,说遗失金额可能在3.5亿至4亿比索(1875万至2039万美元)之间。部分款项通过SPEI系统转账,交易者身份和收款人信息暂时不清楚。 路透社以两名了解政府调查的人士为消息源报道,黑客向北方商业银行等银行发送数以百计错误指令,把数以万计乃至数以十万计比索转至其他银行的虚假账户中,随后在数十家分行提取现金。 在墨西哥,跨行支付系统允许不同银行之间实时转账。一名消息人士说,黑客可能在银行有内应,缘由是如此大量现金提取在墨西哥并不常见。 据美联社报道,三家银行4月27日在软件筛查过程中发现漏洞,其他银行继而马上进入安全检测模式,发现巨款“窟窿”。马丁内斯说,SPEI系统没有受到破坏,但由其他机构或第三方提供的连接支付系统的软件出现漏洞。 不过,巨款蒸发没有影响储户,而是让多家银行吃了哑巴亏。迪科斯坦索说,这是一次惨痛教训,银行今后必须提高系统安全标准,不仅保护客户资料安全,还要保护自身的身份信息。 中央银行要求所有银行追加安全举措,延长借记卡消费预授权、电子支付等交易的转账时间。这对一些零售银行业务客户或自助柜员机(ATM)用户而言无疑会带来一定的不便。   稿源:新华网,封面源自网络;

美电话追踪公司Securus遭黑客攻击:至少2800个登录名和密码泄露

据外媒cnet报道,美参议员Ron Wyden曾曝光了Securus公司为警方提供实时追踪电话的能力。现在,最新消息称,这家公司遭到了黑客攻击。根据Motherboard的报道,黑客至少拿到了包含有2800个登录名和加密密码的电子表格。 其中一些密码已经被破解。Motherboard表示,为了证实该网络攻击的事实他们对一些登录名进行了测试。 目前还无法完全确定这一报道,也还不清楚这些被盗走的登录名是否会让黑客也拥有追踪对应用户手机的能力。 对此,Securus方面并未立即置评。   稿源:cnBeta,封面源自网络;

上传恶意文件时无意泄露两个0-day,被研究人员抓个正着

一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时,无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获,并及时上报给厂商修复。 ESET 研究员 Anton Cherepanov 在 3 月底分析海量恶意软件样本时,发现了这两个隐藏的漏洞,在发现之时,该神秘黑客组织仍在调整这两个漏洞。Cherepanov 表示:“样本中不包含最终有效载荷,这意味着漏洞被发现时仍处于早期发展阶段。”这两个 0-day 漏洞分别是影响 Adobe Acrobat/Reader PDF 阅读器的 CVE-2018-4990,和影响 Windows Win32k 组件的 CVE-2018-8120。二者结合可以构成一个所谓的“利用链”。其中,利用 CVE-2018-4990 可以在 Adobe Acrobat/Reader 中运行自定义代码,而利用 CVE-2018-8120 则可以绕过 Adobe 的沙箱保护并在底层操作系统上执行其他代码。   稿源:Freebuf,封面源自网络;

交易所被黑之后 日本还会是数字货币的天堂吗?

据国外媒体报道,日本曾被行业参与者认为是数字货币项目的天堂。但在本地数字货币交易所Coincheck遭到黑客攻击后,监管机构加强了对相关业务的监管力度,数字货币的热度也在不断下降。 不久前日本在亚洲地区率先承认比特币和法定货币具有同等效力,仅去年就批准成立了11个数字货币交易所。在全球比特币飙涨的刺激下,乐天株式会社(Rakuten)以及Line等日本公司纷纷创立交易所或发行自家的数字货币。在其他国家纷纷对首次代币发行叫停的同时,日本似乎成了数字货币业务的避风港。 但是今年1月份,日本本地交易所Coincheck遭到黑客攻击,价值逾5亿美元的新经币遭窃,使得日本对区块链技术友好的声誉受到了考验。业内消息人士称,日本一度被称为数字货币天堂,外国公司纷纷到这里创立区块链和数字货币项目。但随着日本政府试图控制数字货币市场,这种乐观情绪已经变得暗淡起来。 图示:Coincheck交易所显示的比特币在2018年2月16日的价格走势图 在Coincheck交易所遭受黑客攻击之前,人们根本不用考虑如何保护自己或保护自己的资产,而是疯狂追求各种数字货币项目。联合创立日本数字钱包业务IndieSquare的区块链企业家高桥(Koji Higashi)说,“他们只是想知道下一个数字货币在哪里。” 但过度的乐观情绪掩盖了繁荣之下的问题。 高桥说,尽管去年出台了关于新成立交易所和首次代币发行的相关法规,但是由于人们对区块链技术往往缺乏或根本不理解,相关的欺诈行为在日本愈演愈烈。 事实上,在日本销售未经注册的数字令牌是非法的,因为监管部门规定每个代币发行都必须与当地拥有许可证的交易所合作。据高桥介绍,仍有日本当地企业会邀请海外公司举办研讨会或研讨会,顺势将其发行的数字货币卖给与会者。这样外国的首次代币发行通过各种方法进入日本。 最重要的是,他补充说,交易所为获得更多用户,优先考虑的便捷而非安全。受到黑客攻击的Coincheck交易所就以其易用性而著称,其营销方式就是对用户的友好性,这对于缺乏学习耐心的新手来说很方便。Coincheck交易所一直通过热钱包管理用户资金——这种在线加密账户能够更快地转移资金——而不是更安全的冷钱包。后者就像一个保险柜,这种离线存储方式更难破解。 相比于亚洲的不少其他国家,日本监管机构对数字货币的态度并不消极,这使得日本成为了数字货币项目的避风港。但高桥指出,这很大程度上是因为处于监管上的灰色地带。 高桥指出:“这并不是因为日本是首次代币发行的避风港,而是因为缺乏相应监管,我们会在未来看到大规模出现问题。” 然后,在今年1月26日Coincheck交易所遭到黑客攻击,该交易所的用户损失的新经币价值5.3亿美元。在此之后,由于这一事件被国内外媒体广为宣传,监管机构被迫应对相关问题。 自黑客事件四个月后,交易仍在复苏。据行业研究公司Crypto Compare的数据,2017年10月全球63%的比特币通过日本交易,而现在主流数字货币中通过日元交易的为34%。 业内人士认为,在制定规则之前,日本也正在等待美国制定法规。美国证券交易委员会建议对首次发币发行秉持谨慎但开放的态度,但仍有必要通过监管来保护投资者。 “从这个角度看,他们可能会找到自己想要的方法,”申如是指出。   稿源:网易科技,封面源自网络;

“黑客”入侵快递公司后台盗近亿客户信息 13名嫌犯被抓

工作时间总能接到贷款买房电话,父母常被诈骗推销电话困扰……这些都与公民个人信息泄露有关。近日,江苏省淮安市警方历时1年,辗转湖北、上海、内蒙古等地,成功侦破一起公安部督办的“黑客”非法入侵快递公司后台窃取客户信息牟利案件,抓获犯罪嫌疑人13名,缴获非法获取的公民信息近1亿条。 2017年5月10日,淮安市公安局清江浦分局接到当地某快递公司报警,称其服务的一家从事工艺品销售的公司最近突然接到很多客户投诉,称他们自从在这家工艺品公司购买了产品之后,就接连接到其他工艺品公司的推销电话,客户怀疑他们的个人信息资料被这家工艺品公司泄露。 接报后,清江浦分局根据相关信息经初步研判发现,该公司在2017年3月至4月,有1万余组数据被外部人员非法获取。经查,民警还发现,不仅该快递公司的网站后台被非法入侵,当地其他多家快递公司也不同程度地出现后台被非法入侵、公民信息数据被非法获取的现象。 由于案情重大,2017年7月,公安部对此案挂牌督办。 “我们深挖后,发现这家快递公司有一组电脑后台IP地址有异常,调查后发现异常IP分别指向上海、广东佛山、湖北孝感三地。”淮安市公安局清江浦分局办案民警沙俊说。 得到线索后,专案组民警立即赶赴三地调查。经过排查走访,最终确定犯罪嫌疑人潜藏在湖北省孝感市。 “等我们找到最初锁定的地点时,发现只是一间普通民居,并没有发现可疑人员。”沙俊介绍,“我们就怀疑嫌疑人蹭了这家人的网进行不法活动。一般来说,蹭网也不会离的太远。” 经过5个昼夜的蹲守,民警发现同小区隔壁单元3楼一住户中有4名可疑男子。“他们家总是白天睡觉没动静,一到晚上通宵亮着灯。”沙俊说。 民警通过摸排,调查证实4名男子正是犯罪嫌疑人,遂于去年6月15日在当地警方的配合下,当场抓获杨某、胡某、陈某、熊某4人,并现场缴获蹭网器一套,公民信息数据近100G。 根据杨某等人的供述,警方顺藤摸瓜,赴河南、内蒙古、安徽等地又相继抓获9名犯罪嫌疑人,总计缴获公民信息数据超过300G,近1亿条。 “经过对这些数据核实,准确率达到90%以上。嫌疑人还对这些数据分门别类,根据年龄层次推销不同的产品。”沙俊说。 杨某等人交代,他们通过QQ群、微信等方式在网上兜售,买家主要是从事“三无”产品销售的电话或网络经销公司。“尤其是销售保健品的公司购买数据价格最高,一条有关老年人的姓名、手机号码等数据,无论新旧价格都在1元左右,这意味老年人更容易成为侵害对象。”办案民警说。 近日,经清江浦区人民法院审理,杨某、胡某、陈某因犯侵犯公民个人信息罪均被判处3年以上有期徒刑,并处罚金。   稿源:法制网,封面源自网络;

前 NSA 黑客发布 DND 应用:帮 Mac 用户抵御邪恶女佣攻击

前美国国家安全局(NSA)黑客近日面向苹果的 macOS 系统推出了一款名为“ Do Not Disturb (DND) ”的安全应用,声称能够帮助你的 Mac 抵御“邪恶女佣攻击”(Evil Maid Attack)。这款安全应用同时也是免费和开源的,这款应用只做一件事情:监听 Mac 后台是否存在“ lid open ”事件,避免你不在的时候有人通过物理方式获取你的机密信息。 开发者解释道:“Do Not Disturb (DND)应用能够持续监听你的系统事件,检测是否受到 Evil Maid Attack。尤其这款应用会监听 ‘lid open’ 事件。如果你关闭了笔记本(因此会触发睡眠模式),为了达到入侵成功的目的,黑客往往需要打开屏幕进行物理操作。” Do Not Disturb (DND) 能够检测通过 USB 或者 Thunderbolt 端口插入 Mac 的设备,检测是否有后台应用偷偷使用摄像头等等,并修复了 “I Am Root” 漏洞。 稿源:cnBeta,封面源自网络;