分类: 黑客事件

通过 Netwire 攻击链对意大利进行网络攻击

信息窃取软件是常见的恶意软件之一。 如:多平台远程管理工具(RAT)Netwire (MITRE S0198)从2012年开始被网络犯罪组织不断使用。在我们进行网络监测期间,发现了一个特定的Office文档,该文档通过安装恶意软件插件,来对意大利人民发起隐藏性的网络攻击活动,这种攻击活动的特定供给链采取了独特的技术模式,类似于这种,本文将对此进行深入分析。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1238/     消息来源:yoroi, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

任天堂就账号被黑事件发布最新声明:共有 30 万账号被入侵

在过去几个月时间里,任天堂被黑客入侵的用户账号数量几乎翻了一番。这家日本游戏巨头最初披露信息称,共有16万个任天堂账号遭到入侵,泄露的个人信息包括账号所有者的姓名、电子邮件地址、出生日期和居住国等。但据任天堂公布的更新声明显示,另有14万个账号被泄露。声明称,继续调查的结果使得这一数字上升。任天堂表示,该公司重新设置了这些账号的密码,并与受影响用户取得了联系。声明重申,任天堂的所有账号中仅有不到1%受到了此次黑客入侵事件的影响。 账号信息泄露的消息最早是在3月传出的,当时任天堂用户抱怨称其账号在未经许可的情况下被收取了数字物品费用。 任天堂4月发布Twitter消息称,用户应为自己的账号启用双因素身份验证功能,但并未说明原因。两周之后,任天堂才承认大量账号被不当访问,但仍未透露这些账户是如何被访问的,只是声称黑客通过“我们服务以外的某种方式”获得了密码,从而获得了账号的访问权限。这意味着用户可能使用了保密性较弱的密码,或者重复使用了在其他服务中已被破解的密码,并被黑客用来入侵其任天堂账号。     (稿源:新浪科技,封面源自网络。)

印度 IT 公司 7 年入侵 1 万多电邮账户 多国政要被殃及

北京时间6月10日早间消息,据路透社报道,一家鲜为人知的印度IT公司为客户提供黑客服务,在7年时间里对全球超过1万个电子邮件账户进行入侵。根据该公司的三名前员工披露的信息以及外部研究人员的报告和网上的种种证据,总部位于新德里的BellTroX信息技术服务公司专门瞄准欧洲的政府官员、巴哈马的博彩大亨和以及包括美国私募股权巨头KKR和做空机构浑水在内的著名投资机构。 5名知情人士表示,BellTroX针对美国目标发动的黑客行动正在面临美国执法部门的调查。但美国司法部拒绝置评。 目前还不清楚BellTroX客户的身份。但该公司的所有者苏米特·古普塔(Sumit Gupta)拒绝在电话采访中透露客户身份,并否认存在任何不当行为。  浑水创始人卡尔森·布洛克(Carson Block)说,“得知我们可能成为BellTroX客户的入侵目标时,我感到失望,但并不惊讶。”KKR拒绝置评。 互联网监督组织Citizen Lab的研究人员花费了两年多时间摸清了黑客使用的基础设施。这些研究人员周二发布报告称,他们“充分相信”BellTroX的员工充当了间谍活动的幕后黑手。 “这是有史以来受雇开展的规模最大的间谍活动之一。”Citizen Lab研究员约翰·斯科特-莱尔顿(John Scott-Railton)说。 他表示,尽管与获得国家支持的间谍组织或者引人关注的网络盗窃案相比,“网络雇佣军”并未得到太大关注,但这些服务却得以广泛使用。“我们的调查发现,没有任何领域可以幸免。” 路透社通过查看数据缓存深入研究了这项活动,结果显示,BellTroX在2013至2020年间发送了成千上万条旨在诱骗受害者透露密码的消息。该数据是由黑客使用的网络服务提供商匿名提供给路透社的,在此之前,路透社曾经警告这些公司,他们平台上的活动存在异常。 该数据相当于一份“黑名单”,列出了攻击目标和攻击时间。路透社通过与受攻击的目标收取的电子邮件进行对比,验证了这些数据的真实性。 名单包含南非的法官、墨西哥的政治人物、法国的律师和美国的环保组织。这几十个人只是BellTroX数以千计攻击目标中的一小部分,他们均未作出回应或拒绝发表评论。 目前还无法确定究竟有多少次黑客入侵活动取得成功。 BellTroX的古普塔在2015年的一次黑客案中遭到起诉,该案中有两名美国私家侦探承认向他支付费用,以入侵营销高管的帐号。古普塔在2017年被宣布为逃犯,但美国司法部拒绝评论此案当前的状况,也拒绝透露是否已提出引渡请求。 古普塔在他位于新德里的家中通过电话否认了黑客入侵行为,他还表示执法部门从未与他联系。他说,他在私家侦探向其提供登录详细信息后,才帮助他们从电子邮件收件箱中下载了消息。 “我没有帮助他们获取任何东西,我只是帮助他们下载邮件,他们向我提供了所有详细信息。”他说,“我不知道他们如何获得这些详细信息,我只是为他们提供了技术支持。” 路透社无法确定私家侦探为什么会要求古普塔帮助他们下载电子邮件。古普塔没有回复后续消息,而当路透社记者周一前往他的办公室拜访时,也一再遭到拒绝。德里警方和印度外交部发言人没有发表评论。 伪装邮件 根据路透社查看的数据,BellTroX在德里西部某零售综合体的一家已经关闭的茶摊上方的小房间内开展活动,他们用数以万计的恶意电子邮件对目标展开“轰炸”。有些信息会伪装成攻击目标的同事或亲人,还有的邮件则伪装成Facebook登录请求或色情网站退订邮件。 法哈米·奎德(Fahmi Quadir)在纽约的做空机构Safkhet Capital是BellTroX于2017年至2019年间瞄准的17家投资机构中的一家。她说,在她发起基金后不久,就注意到2018年初的电子邮件数量激增。 最初“似乎不是恶意邮件,”奎德说,“只是占星术之类的内容。然后变成色情内容。” 最终,黑客们又加大了攻击力度,向她发送了看似可信的信息,伪装成她的同事、家人或其他做空机构。奎德说:“他们甚至想假冒我的姐妹。”但她认为攻击并没有成功。 美国游说组织也屡次成为目标。其中包括数字版权组织Free Press和Fight for the Future,这两个组织都为网络中立原则展开游说。这些组织表示,少数员工帐户遭到入侵,但更广泛的网络并未受到影响。电子前沿基金会曾在2017年的报告中详细阐述了这些组织遭到的攻击,但并没有公开将此与BellTroX联系起来。 Free Press主任蒂莫西·卡尔(Timothy Karr)说,“每当我们参与激烈且备受瞩目的公共政策辩论时,攻击行为就会增加。”Fight for the Future副主任埃文·格里尔(Evan Greer)说:“如果企业和政客可以雇用数字雇佣兵来瞄准公民社会组织,就会破坏我们的民主进程。” 尽管路透社无法确定是谁雇用了BellTroX来进行黑客攻击,但该公司的两名前雇员表示,他们及其他类似公司通常会与私家侦探签约,而这些私家侦探的幕后老板其实是受攻击者的商业或政治竞争对手。 圣迭戈私家侦探公司Bulldog Investigation的巴特·桑托斯(Bart Santos)表示,他们就曾经收到了来自印度的黑客服务广告,其中有一个人自称是BellTroX的前雇员。这些广告号称可以提供“数据渗透”和“电子邮件渗透”服务。事实上,有十余家欧美私家侦探都表示曾经收到过类似的广告。 桑托斯说,他并没有理睬这些广告,但他可以理解为什么有些人会花钱雇佣这些公司。“印度人在客户服务方面声誉很好。”他说。     (稿源:新浪科技,封面源自网络。)

谷歌称境外黑客对特朗普和拜登等竞选者的电子邮件展开了攻击

路透社报道称,境外黑客正在对美总统候选人的电子邮件展开攻击,现任总统唐纳德·特朗普和民主党主要候选人乔·拜登的个人电子邮件账户都受到了威胁。分析称某些具有资深背景的黑客试图将拜登竞选团队的工作人员作为攻击目标,另有所谓的伊朗黑客将目光瞄向了特朗普竞选团队工作人员的电子邮件账户。 谷歌威胁分析团队负责人 Shane Huntley 在一条推文中称,黑客已对美总统竞选人开展了网络钓鱼尝试,且丝毫没有就此收手的迹象。 谷歌发言人亦在接受 TheVerge 采访时称,该公司尚未见到有证据表明任何攻击攻击已经得逞,因此未将相关信息转交给联邦执法人员。 即便如此,谷歌仍鼓励竞选团队成员为其工作和个人电子邮件账户加以额外的防护,比如两步验证和谷歌提供的高级安全防护等资源。 拜登竞选团队的新闻事务部长 Matt Hill 表示,他们已经意识到了网络钓鱼的企图,竞选团队将保持警惕,并且为应对此事做好了网络安全相关的准备。 特朗普竞选团队发言人亦表示,其已被告知境外黑客未能攻破其部署的安全防线,同样对网络安全保持警惕,但未进一步谈论任何预防措施。     (稿源:cnBeta,封面源自网络。)  

卡巴斯基报告:针对 Cycldek 黑客组织知识鸿沟的相关信息

在调查关于Cycldek组织2018年后有关攻击活动时,发现对该组织的信息了解甚少。本文旨在弥合对该组织的知识鸿沟,了解其最新活动和操作方式。以下是关于该组织的相关信息: Cycldek(也称为Goblin Panda和Conimes)在过去两年中一直很活跃,对东南亚地区国家政府进行了针对性的攻击活动。 相关活动的分析显示了两种不同的模式,表明该组织是由一个领导管理的两个运营实体组成。 我们检测发现到了用于目标网络的横向移动和信息窃取的工具,其中包括自定义工具、未报告工具以及二进制文件。 最新公布的工具之一被命名为USBCulprit,其通过USB媒体来提取受害者的数据。这表明Cycldek可能正试图到达受害者环境中的气隙网络,或依靠物理存在达到同样的目的。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1230/     消息来源:securelist, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

澳大利亚黑客在 Twitter 上发布苹果员工机密信息后被判缓刑

一名澳大利亚男子因从苹果公司的服务器中提取员工资料并在Twitter上发布,被判处5000澳元的罚款和18个月的观察期。据Bega地区新闻报道,24岁的Abe Crannaford周三在伊甸园当地法院出庭接受宣判,此前他在2月份对两项未经授权访问或修改受限数据的罪名表示认罪。 在2017年中和2018年初,Crannaford从这家总部位于美国的大型企业中提取了仅针对员工的受限信息。2018年1月,Crannaford在其Twitter账号上发布员工信息,并据称在GitHub上提供了该公司固件的链接,让这起黑客事件达到了高潮。 裁判官道格-迪克对他处以5000美元的罚款,然而他并没有对Crannaford进行判刑,而是给予他18个月的观察期,如果在观察期内违反了相关规定,将导致额外的5000美元罚款。 Crannaford的辩护律师Ines Chiumento辩称,苹果公司通过其赏金计划奖励寻找漏洞和bug的黑客,在某种意义上 促进了黑客的发展。检察官承认苹果公司存在悬赏计划,但称Crannaford多次入侵网站,并与他人共享受限数据,苹果公司的悬赏的概念与Crannaford的行为背道而驰。     (稿源:cnBeta,封面源自网络。)

NSA发警告:俄黑客组织 Sandworm 渗入 MTA Exim 已有数月时间

据外媒报道,本周,美国安局(NSA)警告公众,俄罗斯军方网络行为者至少已经利用一个版本的电子邮件软件长达数月之久。据悉,这个受影响的邮件系统是用于基于Unix的系统的MTA软件–Exim mail。该软件默认安装在许多Linux发行版中。 虽然这个漏洞的原始补丁早在去年已经发布,但许多计算机在运行Exim时仍没有安装这个补丁。 据了解,漏洞代码为CVE-2019-10149,其允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。 根据NSA发布的文件,利用这一漏洞发起攻击的俄罗斯组织是Sandworm。他们认为这些俄罗斯网络行动者来自GRU特殊技术中心(GTsST) 74455小组。这些俄罗斯行为者被指通过利用该漏洞增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络,可以说几乎能够实现任何攻击者的梦想访问,而他们要利用的就是未打补丁的Exim MTA版本。 据了解,针对该漏洞的补丁是在几个月前发布的并且当时还有一份来自Exim开发人员的警告。现在,NSA确定他们也已经警告过公众。 随着这些信息的发布,NSA表示,他们将会在未来通过其Twitter账号@NSAcyber公布更多相关的网络安全产品发布和技术指导。     (稿源:cnBeta,封面源自网络。)

黑客组织”匿名者”放言揭露美警察罪行 攻击明州警局

6月1日消息,据国外媒体报道,当地时间上周六晚上,明尼阿波利斯警察局网站自开始有遭到黑客攻击的迹象。几天前,一段据称来自黑客组织“匿名者”(Anonymous)的视频表示,将对乔治·弗洛伊德(George Floyd)在被捕期间遭白人警察 “压颈”后死亡这一事件进行报复。 上周六美国各地城市的抗议者上街游行,反对警察针对黑人的暴力行为。明尼阿波利斯警察局和明尼阿波利斯市的网站暂时无法访问。 到周日上午,这些页面有时会要求访问者提交“验证码”,以验证它们不是机器人。这种工具被用来减缓黑客对网站的攻击。 明尼阿波利斯警察局和市政府的官员没有立即回复置评请求。5月28日,黑客组织“匿名者”在Facebook页面上发布了一段针对明尼阿波利斯警方的视频,在其中指责警方有“可怕的暴力和腐败记录”。 演讲者穿着连帽衫,戴着面具,在视频结尾说,“我们不信任你们这种腐败的组织来执行正义,所以我们将向世界揭露你们的许多罪行。”我们是一个团体。请拭目以待。” 上周末,这段视频在Facebook上被浏览了近230万次。在此期间,抗议者与美国警察执法部门以及国民警卫队发生冲突,暴力事件席卷整个美国。 一些示威活动演变成了骚乱。一些城市实行宵禁,警察有时用橡皮子弹和橡胶棒对付活动人士和报道抗议活动的记者。     (稿源:网易科技,封面源自网络。)

黑客组织窃取 ESET 杀毒软件日志 观察他们的恶意程序有没有检测出

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月,三个目标分别是国家议会和外交部,黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。 ComRAT 的最新版本是 v4,研究人员观察到了 ComRAT v4 的新变种包含了两项新功能:收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。 安全研究人员认为,黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来,他们可以进行调整以躲避检测。     (稿源:solidot,封面源自网络。)

黑客叫卖 Wishbone 4000 万注册用户的数据

外媒报道称,一名黑客正在叫卖 Wishbone 4000 万注册用户的详细信息,且宣称这批数据是在今年早些时候的黑客攻击活动中窃取的。作为一款流行的移动 App,其允许用户通过简单的投票调查,在两个物品之间展开比较。然而 ZDNet 指出,Wishbone 的大量注册用户信息正在多个黑客论坛上挂牌叫卖,价格仅为 0.85 个比特币(约 8000 美元)。 卖方挂出的示例表明,数据库中包含了 Wishbone 的用户名、电子邮件、电话号码、所在城市、以及密码的哈希值等信息。 黑客声称密码为 SHA1 格式,但 ZDNet 审查发现样本中包含 MD5 格式的密码。 作为一种弱密码散列格式,MD5 很容易被暴力破解算出原始的纯文本字符串,甚至线上就有许多可免费使用的破解工具。 此外数据库汇总包含了指向 Wishbone 个人资料图片的链接,样本中明显涵盖了大量的未成年人用户群体。 黑客声称 Wishbone 应用数据是在今年早些时候发生的一次攻击中窃取的,样本中包含的用户注册和最后登录日期可证明这一点(追溯到 2020 年 1 月),但目前尚不清楚是谁将它挂到黑客论坛上叫卖的。 ZDNet 分析发现,该黑客目前还在兜售数十家其它企业的数据库(总计超过 15 亿条记录),且大多数都来自前些年有被报道过的企业,比如 2017 年波及 Wishbone 的 220 万用户数据泄露事件。 尽管 Wishbone 未披露近年来的用户规模数据,但该 App 多年来一直是 iOS App Store 排名前 50 的社交类应用(甚至在在 2018 年窜升至前 10),谷歌 Play 商店的下载量也在 500 ~ 1000 万之间。   (稿源:cnBeta,封面源自网络。)