分类: 黑客事件

黑客正在出售数百名 C-level 高管的电子邮件账户和密码

目前,一个威胁行为者正在出售全球数百家公司的C-level高管的电子邮件账户密码。ZDNet本周获悉,这些数据正在一个名为Exploit.in的俄语黑客封闭式地下论坛上出售。 威胁行为者正在出售Office 365和微软账户的电子邮件和密码组合,他声称这些数据由占据职能的高级管理人员拥有,如: CEO–首席执行官 COO – 首席运营官 CFO – 首席财务官或首席财务总监 CMO – 首席营销官 CTO – 首席技术官 主席 副总裁 行政助理 财务经理 会计师 理事 财务总监 财务主任 付账人员 访问这些账户的价格从100美元到1500美元不等,这取决于公司规模和用户的角色。 一位同意与卖家联系以获取样本的网络安全界人士证实了数据的有效性,并获得了两个账户的有效凭证,这两个账户分别是一家美国中型软件公司的CEO和一家欧盟连锁零售店的CFO。 该消息人士要求ZDNet不要使用其名字,正在通知这两家公司,同时也在通知另外两家公司,卖家公布了这两家公司的账户密码,作为他们拥有有效数据的公开证明。 这些是英国一家企业管理咨询机构高管的登录信息,以及美国一家服装和配件制造商总裁的登录信息。 卖家拒绝分享他是如何获得登录凭证的,但表示他还有数百个登录凭证可以出售。 根据威胁情报公司KELA提供的数据,同一威胁行为者此前曾表示有兴趣购买 “Azor日志”,这个术语指的是从感染AzorUlt信息窃取者木马的计算机上收集的数据。信息窃取者日志几乎总是包含木马从安装在受感染主机上的浏览器中提取的用户名和密码。 这些数据往往是由信息窃取者运营商收集的,他们会对这些数据进行过滤和整理,然后在Genesis等专门市场、黑客论坛上出售,或者他们将这些数据卖给其他网络犯罪团伙。 “被篡改的企业电子邮件凭证对网络犯罪分子来说很有价值,因为它们可以以许多不同的方式被货币化,”KELA产品经理Raveed Laeb告诉ZDNet。 “攻击者可以将它们用于内部通信,作为‘CEO骗局’的一部分–犯罪分子操纵员工向他们汇入大笔资金;它们可以被用来访问敏感信息,作为敲诈计划的一部分;或者,这些凭证也可以被利用,以便访问需要基于电子邮件的2FA的其他内部系统,以便在组织中横向移动并进行网络入侵,”Laeb补充道。 但是,最有可能的是,这些被泄露的电子邮件将被购买和滥用,用于CEO诈骗或商业电子邮件攻击(BEC)诈骗。根据FBI今年的一份报告,到目前为止,BEC诈骗是2019年最流行的网络犯罪形式,已占去年报告的网络犯罪损失的一半。 防止黑客将任何类型的窃取凭证货币化的最简单方法是为您的在线账户使用两步验证(2SV)或双因素认证(2FA)解决方案。即使黑客设法窃取登录信息,如果没有适当的2SV/2FA附加验证器,这些信息也将毫无用处。         (消息来源:cnBeta;封面来源于网络)

COVID19 疫苗制造商阿斯利康公司疑似遭遇朝鲜黑客攻击

两名知情人士告诉路透社记者,最近几周,疑似朝鲜黑客试图入侵英国制药商阿斯利康公司的系统,因为该公司正在部署COVID-19疫苗。消息人士称,这些黑客在社交网站LinkedIn和WhatsApp上冒充招聘人员,以虚假的工作机会接近阿斯利康员工。然后,他们发送了自称是工作描述的文件,这些文件中掺杂着恶意代码,旨在获取受害者电脑的访问权限。 其中一名消息人士说,黑客针对的攻击对象广泛,包括从事COVID-19研究的工作人员,但据认为攻击没有成功。朝鲜驻日内瓦联合国代表团没有回应置评请求。平壤此前一直否认实施网络攻击。已成为COVID-19疫苗三大研发商之一的阿斯利康公司拒绝发表评论。研究浙这次攻击的安全人员认为,此次攻击中使用的工具和技术表明,黑客来自于朝鲜。 据三名曾调查过攻击事件的人士称,该活动此前主要针对国防公司和媒体机构,但最近几周转而针对COVID-19相关目标。在COVID-19大流行期间,由于国家支持的黑客组织和犯罪黑客组织争相获取有关疫情的最新研究和信息,针对卫生机构、疫苗科学家和制药商的网络攻击激增。任何被盗的信息都可能被出售以获取利润,用于敲诈受害者,或者给外国政府提供宝贵的战略优势,因为全球政府都在努力遏制一种已经导致全球140万人死亡的疾病。 微软本月表示,它已经看到两个朝鲜黑客组织针对多个国家的疫苗开发者发动攻击。韩国政府上周五表示,该国情报机构挫败了其中一些企图。路透社此前曾报道,黑客今年曾试图入侵领先的制药商甚至世界卫生组织。其中一位消息人士说,在对阿斯利康的攻击中使用的一些账户使用了俄罗斯的电子邮件地址,可能是为了误导调查人员。 朝鲜一直被美国检察官指责发动了世界上一些最大胆和最具破坏性的网络攻击,包括2014年索尼影业黑客攻击和电子邮件泄露,2016年孟加拉国中央银行8100万美元盗窃,以及2017年释放Wannacry勒索病毒。         (消息来源:cnBeta;封面来源于网络)

黑客勒索曼联:不给钱不让进系统 英国政府帮忙也没辙

据英国媒体报道,曼联俱乐部上周遭到了黑客攻击,黑客控制了俱乐部的计算机系统,导致工作人员无法接入网络。英国国家网络安全中心(NCSC)已经介入提供技术援助。在媒体曝光之后,曼联俱乐部承认自己遭到了黑客攻击,但却表示“没有发现任何球迷和消费者个人数据泄露的情况”。 曼联发言人今天再次重申,球迷数据目前尚未遭受影响。“在近期遭受网络攻击之后,俱乐部的IT部门和外部专家正在加固网络,进行司法调查。……此次攻击是破坏性的,但目前没有发现球迷数据遭受影响。老特拉福德球场的关键系统依然安全,球赛也照常进行。” 在遭受黑客攻击之后,曼联俱乐部已经通知了英国信息主管部门。他们之所以要强调球迷数据的原因是,按照英国法律,即便是黑客攻击导致消费者数据泄露,被攻击目标依然要承担责任,甚至要面临处罚。此前订票网站Ticketmaster在2018年遭受黑客攻击,用户数据泄露,他们最后收到了125万美元的罚金。 英国国家网络安全中心的数据显示,过去一年英国已经报告了700多次网络攻击事件。而在这些网络攻击事件中,勒索攻击在不断增加,即黑客锁定攻击对象的计算机系统,要求支付赎金之后才解锁。曼联俱乐部遭受的就是勒索攻击。或许黑客对曼联计算机系统的球迷数据并没有兴趣,只是想从红魔勒索一笔钱。曼联也是全球豪门俱乐部中第一个遭受勒索攻击的。 勒索攻击在美国更加猖獗,企业、大学、医院、政府机构都曾经被黑客锁定计算机系统,要求支付比特币赎金之后才肯解锁。底特律市政府、加州大学伯克利分校、洛杉矶长老会医院都曾经被黑客勒索,疯狂的黑客甚至连美国的警察局都不放过。 尽管英国国家网路安全中心已经提供了技术帮助,但直到今天(11月26日),曼联工作人员依然无法进入自己的工作邮件系统。曼联拒绝对外透露黑客的勒索金额。但据英国《每日邮报》报道,黑客要求得到数百万英镑。         (消息及封面来源:新浪科技)

从地缘紧张局势中识别黑客活动

网络威胁情报(CTI)专员可通过跟踪地缘性紧张局势来深入了解对手行动。与刑事调查中的“遵循金钱”方法类似,查看冲突区域可以揭示相关网络功能。 上述理论得到了地缘政治紧张局势相关事件的验证: 俄罗斯黑客入侵导致的2015年和2016年的乌克兰电力事件、2017年的NotPetya事件以及至今的持续攻击活动。 阿拉伯/波斯湾地区的恶意软件和2017年的“封面”海卫/ TRISIS事件。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1408/         消息来源:domaintools,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织 BigBlueBox 宣布成功 Dump 了两款 PS5 游戏镜像

每当新游戏主机上市,除了玩家迫不及待入手游玩自己期待的游戏之外,摩拳擦掌的还有全球各地的技术大牛和黑客们,能够在第一时间攻破新主机的防线,完成主机软件系统到硬件的全方位的破解是对技术能力最好的证明。在PS5全球发售不足半月的今天,已经有团队取得了PS5破解的初步胜利。 近日,知名黑客组织BigBlueBox宣布成功Dump了两款PS5游戏镜像,这两款游戏其中包括上市初期销量最高的《漫威蜘蛛侠:迈尔斯·莫拉莱斯》,这款游戏Dump出的镜像文件达到49.78GB,另一款游戏是《过山车之星主机版》,容量11.8GB。 虽然PS5游戏在上市短短一周多就被成功Dump,不过就目前PS5的破解工作开展进度来说,游戏镜像完全没有办法派上用场。最早成功Dump出Switch游戏的组织也是BigBlueBox,距离通过破解手段运行这些游戏镜像则用了一年到两年多的时间。 值得一提的是,在被Dump出的PS5游戏镜像的nfo文件中,BigBlueBox还写下了两行以Mariko开头的密钥,疑似与续航版Switch和Lite的破解工作新进展有关。       (消息及封面来源:cnBeta)

FBI 公布钓鱼网站清单:有黑客利用FBI相似域名窃取用户信息

美国联邦调查局(FBI)近日发布警告,称有网络犯罪分子正在使用一系列伪装成 FBI 的钓鱼网站来窃取用户信息。这些钓鱼网站使用了欺骗性极强的域名,例如使用相近的字母、添加或者减少某个字幕,从而让受害者认为他们加载的是合法正规网站。 在大多数情况下,黑客会发布鼓励用户提供诸如个人详细信息和信用卡号之类的信息的内容。FBI 表示,该机构已经检测到了大量欺骗性域名,以及不再解析的其他域名,这意味着它们已被暂停(尽管也有可能在以后的时间将其重新激活)。 在警告中写道: 联邦调查局(FBI)发布了此公告,以帮助公众识别和避免与FBI有关的欺骗性Internet域名。联邦调查局发现,未经注册的网络参与者在欺骗合法的联邦调查局网站的过程中注册了许多域,这表明了未来的运营活动的潜力。 欺骗性的域名和电子邮件帐户被外国行为者和网络犯罪分子利用,很容易被误认为合法网站或电子邮件。攻击者可以使用欺骗性域名和电子邮件帐户传播虚假信息;收集有效的用户名,密码和电子邮件地址;收集个人身份信息;并传播恶意软件,从而导致进一步的威胁和潜在的财务损失。           (消息来源:cnBeta;封面来自网络)

特斯拉 Model X 遭遇黑客中继攻击 3 分钟可开走汽车

一名黑客成功地为特斯拉汽车开发了一种新的密钥克隆“中继攻击”(Relay Attack),并在特斯拉Model X电动汽车上进行了演示。报道称,特斯拉被告知了这一新的攻击,目前准备为其推出新的补丁。 在北美,特斯拉汽车被盗相当罕见。但在欧洲,有一些老练的窃贼,他们通过“中继攻击”,盗窃了不少特斯拉汽车,其中大多数都没有被找回。 为了应对这些攻击,特斯拉之前已经推出了额外的安全保护措施,配备了改进的密钥卡和可选的“PIN to Drive”功能。 但如今,比利时鲁汶大学(Belgian university KU Leuven)安全研究员列纳特·沃特斯(Lennert Wouters)声称,他组织了一系列新的攻击,可以绕过密钥卡中新改进的加密技术。 沃特斯表示,他只需大约90秒的时间,即可进入特斯拉汽车。一旦进入车内,为了能开走汽车,还需要进行第二步攻击。大概1分钟左右的时间,他就可以注册自己的汽车钥匙,然后把车开走。 目前还不清楚,“PIN-to-Drive”功能能否让沃特斯的第二步攻击失效,该功能要求司机输入PIN后,才能让车辆进入驾驶状态,而不管密钥卡是什么。 不管怎样,特斯拉还是看到了沃特斯攻击的一些价值。沃特斯表示,他们早在8月份就告知了特斯拉。       (消息来源:cnBeta;封面来自网络)

首个 HomePod 越狱事件引发对智能音箱黑客潜力的猜测

iOS系统的 “Checkra1n”越狱工具背后的团队声称已经用它成功越狱了苹果的HomePod,不过目前还不清楚这对智能音箱的黑客潜力意味着什么。该消息是由Twitter用户L1ngL1ng宣布的,他分享了一张macOS终端窗口的截图,似乎显示了通过SSH连接实现对HomePod的命令行root访问。 命令行上的信息表明,相关设备是2018年的原始HomePod型号(标识符为AudioAccessory 1,1),而不是苹果新的HomePod mini(AudioAccessory 5,1)。原版HomePod运行在苹果设计的A8芯片上,这也是iPhone 6首次推出时使用的芯片。 这确实是一个新奇的发展,但越狱HomePod的实际效用在很大程度上是未知的,尽管这并没有阻止r/jailbreak Subreddit上的评论者对可能性的猜测。 到目前为止,能够有机会实现的想法包括打开扬声器的蓝牙连接锁定, 改变Siri为竞争对手的虚拟助手, 显示自定义颜色的顶部屏幕, 并启用支持更多的第三方流媒体服务. 之前已经被证明能够入侵苹果的T2安全芯片的Checkm8 bootrom漏洞可能在这次越狱实践中实现了规避磁盘加密、固件密码和整个T2安全验证链.         (消息来源:cnBeta;封面来源于网络)

俄罗斯黑客窃取 2400 多名艾滋病患者资料打包出售

在网络黑市上,有些黑客真的是什么都能搞到,什么资料都敢卖,现在有2400多名艾滋病患者的资料被盗,网上打包只要5100多块就能买下。据俄罗斯媒体报道,有黑客在网上叫卖艾滋病患者的数据信息,据他所说这些资料是从俄罗斯诺夫哥罗德市艾滋病预防和控制中心获得的,总计有2400多人。 被盗取的信息非常丰富,有患者的姓名、出生日期、护照信息、电话、工作地址、登记及实际住址,还有详细的医疗信息。 为了证明自己所售资料的真实性,这个黑客还在网上公布了三个患者的医疗信息在网站上的截图。 这个包含2400多人医疗信息的资料价格倒不算很高,打包只要6万卢布,约合5100多元,100人的信息则要3000卢布,不到260块。 不知道有哪些人会对这些艾滋病患者的信息感兴趣,不过很大可能这是逼迫被盗机构来赎回这些信息,毕竟当地疾控中心显然不愿意看到这些信息扩散。 盗窃患者的医疗信息出售,这个黑客的行为怎么看都有点缺德,不过这也不是他第一次这么干了,本月初他还从当地肺病医学中心盗取了肺结核患者的医疗信息。         (消息及封面来源:cnBeta)

ZeroLogon 已被黑客组织大量用于全球范围内的工业攻击

赛门铁克安全研究人员刚刚披露了波及 17 个市场区域,针对汽车、工程、制药、托管服务提供商等领域的大规模 ZeroLogon 漏洞攻击。在这些活跃的网络攻击背后,据说都有 Cicada 的身影(又名 APT10、Stone Panda 和 Cloud Hopper)。 (来自:Symantec) 2009 年开始浮出水面的 Cicada,被美方认为有境外背景,且曾向日本多个组织机构发起过网络攻击。 从目前已知的信息来看,新一轮攻击的模样似乎没有什么不同。时间从 2019 年 10 月中旬,一直活跃到至少今年 10 月。 赛门铁克指出,Cicada 使用了包括 DLL 侧载、网络侦察、凭据盗窃、能够安装浏览器根证书并解码数据的命令行实用程序、PowerShell 脚本、RAR 文档等在内的工具和技术,并且利用了合法的云托管服务提供商来下载、打包和泄露其窃取的文件信息。 需要指出的是,该组织最近还扩展了他们的工具包阵容,能够对评级为 10 分的 ZeroLogon 漏洞(CVE-2020-1472)展开利用。 尽管微软已于 8 月对其进行披露和修补,但广大用户仍有被域控制器账户劫持或欺骗、以及导致活动目录身份服务被破坏等安全风险。 此外 Cicada 针对攻击目标推出了定制的 Backdoor.Hartip 恶意软件,此前从未与 APT 有过关联。 据说该组织专注于窃取信息和开展网络间谍行动,包括公司记录、人力资源文档、会议备忘录、费用信息等在内的感兴趣数据,通常会被打包并提交到 Cicada 的命令与控制服务器中。 研究人员指出,攻击者在受害者网络上耗费的时间不尽相同,或者沉寂一段时间后又再次活跃。遗憾的是,由于代码本身被加花,赛门铁克难以准确推断该组织的确切目标。 不过 DLL 侧载和 FuckYouAnti 等名称的运用,此前已被另一份有关 APT 的 Cylance 报告所披露。此外还有 Cicada 之前利用过的 QuasarRAT 和 Backdoor.Hartip 。 赛门铁克总结道:Cicada 显然有许多资源和技能去支撑其发动类似复杂而广泛的攻击,其危险性依然不容小觑。         (消息来源:cnBeta;封面来自网络)