分类: 黑客事件

黑客利用存在 5 年的漏洞感染 Linux 服务器并获利

黑客组织利用 Cacti“Network Weathermap”插件中一个存在 5 年之久的漏洞,在 Linux 服务器上安装了 Monero 矿工,赚了近 75,000 美元。来自美国安全公司趋势科技的专家表示,他们有证据证明这些攻击与过去发生在 Jenkins 服务器上的攻击有关:黑客组织利用 CVE-2017-1000353 漏洞在 Jenkins 设备上安装 Moner 矿工,获得了约 300 万美元。 这次,攻击者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一个基于 PHP 的开源网络监视和图形工具,更具体地说,是在其 Network Weathermap 插件中负责可视化网络活动。 就像在以前的攻击一样,黑客利用这个漏洞获得底层服务器的代码执行能力,在这些服务器上他们下载并安装了一个合法的 Monero 挖掘软件 XMRig 的定制版本。 攻击者还修改了本地 cron 作业,每三分钟触发一次“watchd0g”Bash 脚本,该脚本检查 Monero 矿工是否仍处于活动状态,并在 XMRig 的进程停止时重新启动它。 攻击者使用这种简单的操作模式收获了大约 320 XMR(75,000 美元)。所有受感染的服务器都运行 Linux,大多数受害者位于日本(12%),中国(10%),台湾(10%)和美国(9%)。 由于 Cacti 系统通常设计为运行并密切关注内部网络,因此不应在线访问此类实例。 稿源:cnBeta、开源中国,封面源自网络;

美国起诉 10 名伊朗黑客:曾针对大学和 HBO 发起网络攻击

美国司法部周五宣布针起诉 9 名伊朗人,指控他们袭击全球数百所美国大学和其它国家的大学。这 9 名伊朗人所在组织的名称被认定为“马布纳黑客”,据称袭击了 22 个国家的 320 所大学,其中 144 所在美国。 美国司法部助理副部长德斯坦斯坦在新闻发布会上表示,黑客窃取了大学的研究成果并将其出售给伊朗以谋利。罗森斯坦说:“学术机构是外国网络犯罪分子的主要目标。大学只有在他们的工作免受盗窃时才能持续研发和创意。” 同样在周五,美国财政部宣布对伊朗黑客进行制裁,并且将另外一名伊朗人 Behzad Mesri 加入起诉行列,指控其负通过互联网攻击 HBO 服务器,并在去年夏天泄露了尚未发布的“权力的游戏”电视剧。 据司法部称,“马布纳黑客“组织还针对美国联邦能源委员会,劳工部和联合国进行了攻击,另外还有 47 家私人公司遭遇他们攻击,这些攻击是代表伊朗政府完成的。 罗森斯坦说,总的来说,这些大学被黑客偷窃和出售的研究开发成本达到34亿美元。官员说,该组织被指控窃取超过 31 TB 的大学数据,这些数据是通过向大学教授发送具有钓鱼链接的欺骗性电子邮件渗透进入大学而被盗取。 稿源:cnBeta,封面源自网络

波多黎各电力局(PREPA)遭遇黑客入侵

外媒 3 月 21 日消息,波多黎各电力局(PREPA)本周一证实其计算机基础设施曾在周末遭受了黑客入侵。目前 PREPA 确认此次事件没有对用户带来风险,因为黑客并没有访问其客户服务系统,数据信息也没有受到破坏。 值得注意的是,美国政府几天前曾发出警告称俄罗斯资助黑客组织发起针对美国关键基础设施 的网络攻击。 不过目前并没有证据表明俄罗斯黑客参与了 PREPA 的攻击事件,因为黑客人士采用了复杂的技术来隐藏自己,使得调查该网络攻击变得非常困难。 根据 PREPA 发言人的说法,目前有关部门正在对该事件进行调查,但拒绝透露有哪些政府部门参与 。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

伊朗黑客组织 TEMP.Zagros 转变攻击战术,针对亚洲和中东地区开展大规模网络钓鱼攻势

近日,FireEye 发布安全分析报告称,一个名为 TEMP.Zagros(又被称为 MuddyWater)的伊朗黑客自 2018 年 1 月至 3 月期间针对亚洲和中东地区发起了大规模的网络钓鱼攻势。在近期的活动中,该黑客利用了最新的代码执行和持久性技术向这些地区分发一个基于宏的恶意文档,与以往不同的是,该文档删除了一个 VBS 文件和一个包含 Base64 编码的 PowerShell 命令的 INI 文件。一旦被成功执行,恶意文档将会安装一个 POWERSTATS 后门。 在该恶意活动中,TEMP.Zagros 的战术、技术、程序、以及目标在一个月之内发生了较大的改变。上图为该钓鱼活动的简要时间轴。 TEMP.Zagros 通常会使用具有地缘政治主题的网络钓鱼攻击电子邮件和恶意宏文件,例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。在分析这些文件时,FireEye 观察到TEMP.Zagros 重用了 AppLocker 旁路和用于间接代码执行的横向移动技术。此外,研究人员还在 TEMP.Zagros 使用的恶意代码中发现了中文字符串,这些字符串被留作虚假标志使得查询归属变得更加困难。 FireEye 分析报告: 《 Iranian Threat Group Updates Tactics, Techniques and Procedures in Spear Phishing Campaign 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

波兰警方逮捕 Polski、Vortex 、Flotera 勒索软件开发作者

外媒 3 月 17 日消息,波兰执法部门于上周星期五对外宣布著名网络犯罪分子 Tomasz T 已在波兰被警方逮捕。据悉,Tomasz T 被广泛认为是 Polski、Vortex 和 Flotera 勒索软件家族的开发作者。 波兰警方在此次逮捕行动中搜查了 Tomasz T 的住所并扣留了其电脑设备。通过该设备以及其远程服务器,一些重要数据被成功恢复,其中包括加密密钥。目前波兰警方正在鼓励 Polski、Vortex 和 Flotera 勒索软件的受害用户向地方当局提交正式诉讼,以便于获取其文件的解密秘钥。 目前这名自 2013 年起就开始活跃的网络犯罪分子被指控了 181 项不同的罪行,并且法院已批准其暂时拘留三个月。 消息来源:bleepingcomputer.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

此前遭受黑客攻击的日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐

此前遭受黑客攻击的日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐私性的加密货币门罗币(Monero)、达世币(Dash)和 Zcash。据《日本时报》报道,此举可能是应日本金融局(FSA)提出的交易所安全性改善要求。 稿源:新浪科技,封面源自网络;

安全公司发现 OceanLotus APT (海莲花)在近期攻击中使用了新后门

外媒3月14日消息,安全公司 ESET 发布分析报告称 OceanLotus APT 组织(“ 海莲花 ”,也被称为 APT32 和 APT- c -00) 在其最近的攻击活动中使用了新的后门,旨在获得远程访问以及对受感染系统的完全控制权。 OceanLotus 组织自 2013 年起至今一直保持活跃状态,据有关专家介绍,该组织是一个与越南有关的国家资助的黑客组织,其中大部分分布在越南、菲律宾、老挝和柬埔寨。根据调查,OceanLotus 除了针对多个行业的组织之外,也针对外国政府、持不同政见人士和记者。 目前来看,OceanLotus 的攻击分两个阶段进行,第一阶段黑客利用一个通过鱼叉式钓鱼信息传递的 dropper 来获得目标系统的初始据点,第二个阶段是其恶意代码为部署后门做好准备。   △ dropper 部分有以上执行流程 △ 后门有以上执行流程 目前 OceanLotus 会在其攻击活动中不断更新工具集,这显示了该组织通过选择目标保持隐藏的意图。此外,OceanLotus 也限制其恶意软件的分发以及使用多个不同的服务器来避免将注意力吸引到单个域名或 IP 地址。 ESET 分析报告: 《 ESET_OceanLotus.pdf 》 消息来源:Security Affairs.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Pwn2Own 2018:黑客成功入侵 Safari 浏览器

本周三举行的年度 Pwn2Own 黑客大赛上,趋势科技举办的 Zero Day Initiative(ZDI)活动上,有两起针对苹果 Safari 浏览器的攻击,其中一次取得了成功。根据博客分享的细节,来自 phoenhex 的 Samuel Groß 利用包含 macOS 提权漏洞的三个 BUG 链成功入侵了 Safari。 根据官方新闻稿提供的细节,这个漏洞还能对 MacBook Pro上TouchBar 的文本进行篡改。凭借着这个 BUG 链,Groß 成功的获得了 6.5 万美元,并以 6 分的成绩获得了梦寐以求的“ Master of Pwn ”头衔。 去年 11 月举办的 Mobile Pwn2Own 大会上,曾经利用两个 Safari BUG 绕过 iPhone 7 安全协议的 Richard Zhu 在本次大会上尝试利用 Safari 漏洞发起攻击的。但是遗憾的是,在本届 Pwn2Own大 会上,Zhu 无法在规定的 30 分钟时间内从沙箱中逃脱。 不过,Zhu 成功利用 Windows 内核 EoP 破解了微软 Edge,使用了两个 UAF 漏洞和整数一处漏洞。Groß 的 phoenhex 队友 Niklas Baumstark 成功对 Oracle VirtualBox 发起攻击。 稿源:cnBeta,封面源自网络;

币安网发全球通缉令,25 万美元等值赏金追缉黑客

2018 年 3 月 7 日深夜,币安网发生的黑客攻击事件,想必大家都历历在目。大量账户比特币被换成垃圾币,神秘 VIA 币价格暴涨,而比特币等主流货币一夜之间均大幅下跌(虽不一定这件事为主因),这场蓄谋已久的黑客行动引发了不少人的担忧。 于是,2018 年 3 月 11 日晚,币安网正式下发通缉令,25 万美元等值赏金全球追缉黑客。、 币安网黑客通缉令全文如下: 为确保建立一个安全稳定的数字货币社区,除了建立严格的风控系统外,我们还需要积极的预防任何黑客事件的发生,并在事件发生后进行追查。在 3 月 7 日的事件中虽然黑客对 Binance 的攻击并没有成功,但很明显这是一次大规模并且有组织的行动。 如果您能将 2018 年 3 月 7 日企图攻击 Binance 的黑客绳之以法,并提供对应的法律证据,我们将奖励 25 万美元的等值赏金作为感谢。 1. 第一个报警并让黑客在任何国家被合法逮捕的重要信息的人经确认后,将获得 25 万美元等值的 BNB,汇率按转账时市场价。 2.请您将详细信息和证据提交到 bounty@binance.com 及您当地的执法机构(警察部门),黑客被逮捕后,我们将尽快为您转入赏金,如果您当地的法律允许,您可以使用匿名。 3. 如果黑客最终的法律制裁源于多方信息,则赏金将会被平分;Binance 将对赏金的分配保留所有权,分配方式由平台综合判断决定。 此外,Binance 决定拿出 1000 万美元等值的数字货币作为未来的悬赏储备金,抵制对B inance 的任何非法黑客攻击。我们也邀请了其他数字货币交易平台和公司加入我们的联盟。 保护您的资金安全是我们的最重要的任务! 值得关注的是,除了针对此次黑客攻击事件,币安网拿出地 25 万美元等值币安币赏金之外,还有 1000 万美元等值数字货币作为未来的悬赏储备金。 经历这次事件之后,币安网以及其他数字货币交易所显然会更加注重安全建设,同时也针对黑客采取一定的威胁震慑手段。 币安黑客事件历史报道: 比特币遭遇跳崖式暴跌,来看黑客导演的这场烧脑大片 稿源:freebuf,封面源自网络;

知名杀毒巨头迈克菲:朝鲜加密货币黑客攻击范围蔓延到传统金融系统,土耳其首当其冲

近日,杀毒巨头迈克菲(McAfee)发布了一份报告,其中发现土耳其金融行业最近遭受的网络攻击可能和朝鲜黑客有关,不仅如此,迈克菲安全威胁高级研究小组还发现,本次企图破坏土耳其政府支持的金融机构的非法组织,可能是朝鲜加密货币黑客集团 Hidden Cobra (又名 Lazarus)。 虽然迈克菲没有给出明确指出黑客名称,但他们在报告中提到,本次攻击土耳其金融机构的黑客代码与朝鲜加密货币黑客手中的代码非常相似。 据悉,黑客使用的是一个被称为“ Bankshot ”的修改版恶意软件,利用了最近 Adobe Flash 软件中发现的漏洞,攻击者尝试使用一个感染了病毒的 “ Agreement.docx ”微软Word 文件,然后包含在一封钓鱼电子邮件中引诱受害者。 Bankshot 恶意软件代码所来自的域名,和加密货币借贷平台 Falcon Coin 很相似,不过恶意网站域名 falcancoin.io 是在 2017 年 12 月 27 日窗帘的,因此从法律角度上,其实和原平台没有关联。 截至目前,本次攻击还没有被披露有任何资金损失。不过迈克菲安全威胁高级研究小组认为,这次黑客袭击的主要目的是为了远程访问政府控制的金融机构内部系统,但他们也没有对外披露哪些政府机构受到本次攻击的影响。 不仅如此,迈克菲安全威胁高级研究小组在恶意软件中还发现了两份用韩语编写的文件,虽然攻击的目标不一样,但或许能够从中看出是同一黑客所做。 回到 2017 年 12 月,美国政府在那时就已经针对 Bankshot 恶意软件发布了风险经过,而且指出该恶意软件和黑客组织 Hidden Cobra 有关。当时,美国政府表示该黑客组织是为朝鲜政府工作的。韩国曾多次指责朝鲜黑客攻击该国的加密货币交易所,目前针对朝鲜的国际制裁也已经超过了一年时间。 稿源:转载自 36Kr,原文翻译自 coindesk.com,译者:36cup。封面源自网络。