分类: 黑客事件

报告称全球约 72% 的零售商是网络攻击的受害者

据外媒Betanews报道,Keeper Security 和 Ponemon Institute 的一项新调查结果指出,全球约有72%的零售商遭受了网络攻击,去年有61%遭受过一次网络攻击,但是50%的企业没有针对数据泄露的应对计划。 调查结果也说明每一起网络攻击涉及的客户/员工数据丢失导致平均7772个客户的个人记录丢失或被盗,每一起网络攻击造成的正常运营中断平均导致近190万美元损失。 在接受调查的零售商中,有87%同意网络攻击变得更有针对性,有67%认为网络攻击越来越严重,另有61%认为网络攻击越来越复杂。最常见的攻击方法是网络钓鱼(69%),基于网络的攻击(54%)和恶意软件攻击(40%)。 从这些攻击背后的因素来看,预算是零售商最担忧的问题。只有三分之一的零售商认为他们有足够的预算来实现强大的IT安全性。但是,有93%的零售商在安全方面的支出不到总IT预算的20%,平均支出为11.5%。人员不足(91%),预算不足(51%)以及对如何保护自己免受网络攻击的理解(40%)是阻碍充分有效的安全态势的最常被提及的挑战。 Keeper Security首席执行官兼联合创始人Darren Guccione表示:“暗网上有数十亿个被盗凭证,网络罪犯可以等待数月之久的主要机会,例如高峰购物季节,以利用零售商的安全漏洞并进行非法购买。现实是,零售业面临的网络安全问题不是金钱或人员问题,而是思维定势。零售商需要知道存在易于实施,具有成本效益的安全解决方案,这些解决方案可以大大增强其安全状况并在很大程度上防止此类网络犯罪发生。”   (稿源:cnBeta,封面源自网络。)

ZoneAlarm论坛遭遇黑客攻击,暴露成千上万用户数据

Check Point Technologies拥有的流行安全软件公司ZonaAlar 遭遇了数据泄露,安全漏洞暴露了ZonaAlarm论坛用户的数据。 ZoneAlarm套件包括面向用户和小型组织的防病毒软件和防火墙解决方案,下载量接近1亿。 虽然ZoneAlarm或者其母公司Check Point都还没有公开这次的事件,但该公司本周末悄悄地通过电子邮件警告了所有用户。 尚不清楚攻击者何时破坏了ZoneAlarm论坛。消息表明,攻击者获得了对论坛成员数据的未经授权的访问,包括姓名,电子邮件地址,哈希密码和生日。 好消息是,受影响的用户数量不大,此事件仅影响了“ forums.zonealarm.com”域,该域名下大约有4,500个订阅者。 “该论坛与公司的其他网站不同,只有少数的用户注册使用,”公司在通知邮件中解释道,“目前该网站为了解决问题而处于非活动状态,并将在修复后立即恢复。登录论坛后,系统将要求您重置密码。” 此次事件是由于缺少补丁程序管理所致。公司发言人解释说,攻击者利用了vBulletin论坛软件中的CVE-2019-16759远程执行代码漏洞。 9月,一位匿名黑客披露了技术细节和概念验证漏洞利用代码,以解决该漏洞中一个严重的零日远程代码执行漏洞。黑客可以远程利用此漏洞。黑客发布 的PoC对于5.0.0至5.5.4版本都有效,ZoneAlarm论坛正在运行5.4.4版本。 论坛软件的小部件文件在通过URL参数接受配置的方式中产生了零日漏洞。专家发现该软件包无法验证参数,攻击者可以利用该软件包注入命令,并在易受攻击的安装上远程执行代码。 此事件发生后,ZoneAlarm 关闭了论坛网站并开始对事件进行调查。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

墨西哥国有石油公司 Pemex 遭遇勒索软件打击

周日,DoppelPaymer勒索软件感染并破坏了墨西哥国有石油公司 PetróleosMexicanos(Pemex)的系统。 黑客向Pemex提出的金额为565 比特币。 此外,DoppelPaymer的TOR网站更新后的文字如下: “我们还收集了所有的私人敏感数据。如果你拒绝付款,我们会将这些数据传播给其他人,这可能会损害您的商誉。” pic.twitter.com/BoHi1lVigF — MalwareHunterTeam(@malwrhunterteam),2019年11月12日 据该公司称,公司只有不到5%的计算机感染了勒索软件。 图片来自BleepingComputer “和其他国际政府以及金融公司和机构一样,Pemex 经常收到威胁和网络攻击。” 该公司发布的安全公告中写道。“11月10日星期日,这家国有生产公司遭遇了网络攻击,这些攻击最终被及时消除,并且只影响了不到5%的个人计算机设备的运行。此次事件过后,Pemex重申其燃料生产,供应和库存是有安全保障的。” Petróleos Mexicanos 声称它迅速解决了此事件,同时强调其运营和生产系统没有受到影响。 Pemex确认其基础设施与所有主要的国家和国际政府以及金融组织一样,正不断面对来自黑客的攻击,因此公司正在持续加强安全措施。 DoppelPaymer勒索软件是BitPaymer勒索软件的 forked 版本,它可能是由某些网络犯罪团伙以TA505身份开发的。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

托管提供商 SmarterASP.NET 承认遭到勒索软件攻击 客户数据被加密

SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称,遭到勒索软件的攻击,这也是2019年遭到攻击而下线的第三家大型网络托管公司,黑客不仅破坏了该公司的托管业务而且还对客户服务器上的数据进行了加密。   SmarterASP.NET官方表示正在努力恢复客户数据,但尚不清楚该公司是支付了赎金,还是从备份中进行了恢复。目前该公司并没有回复外媒的评论请求。 根据其官网显示的信息,该公司承认遭到了黑客攻击。该消息说:“您的托管帐户受到攻击,黑客已经加密了您的所有数据。我们现在正在与安全专家合作,尝试解密您的数据,并确保不会再发生这种情况。” 本次网络攻击不仅对客户数据进行了加密,SmarterASP.NET官网也被迫下线。在周六全天下线之后,在周日上午恢复重新上线。服务器恢复工作进展缓慢。许多客户仍然无法访问其帐户和数据,这些被加密的客户数据包括网站文件和后台数据库。   (稿源:cnBeta,封面源自网络。)

两名前 Twitter 员工被指控为沙特阿拉伯政府监视数千个 Twitter 帐户

两名前 Twitter 员工已被指控代表沙特阿拉伯政府监视数千个 Twitter 用户帐户,其目的是为了找出不同政见者。 根据11月5日公开的起诉书,这两名前雇员是美国公民 Ahmad Abouammo 和沙特阿拉伯公民 Ali Alzabarah。两人均已于2015年12月离开公司。 两人2014年开始便为沙特阿拉伯政府工作,任务是收集沙特阿拉伯王国和反对王室的 Twitter 账号。 Abouammo 和 Alzabarah有权访问用户的个人资料,包括电子邮件地址,使用的设备,用户提供的个人信息, 生日,用户浏览器信息,用户在Twitter上的所有操作记录,以及IP地址和电话号码。 根据起诉书,Alzabarah 于2013年8月以“站点可靠性工程师”的身份加入Twitter,他于2015年5月21日至11月18日为沙特阿拉伯服务。据指控,他涉嫌监视6000多个Twitter帐户,沙特政府曾经向Twitter请求披露其中的数十个账户的具体信息。 Abouammo 被指控在美国境内充当外国间谍,还向FBI提供了伪造记录,以干扰他们的调查。他还从社交媒体平台删除了某些信息,比如应沙特政府官员的要求删除了某些Twitter帐户。当然,他还能够帮助沙特阿拉伯政府揭露某些用户的身份。 根据起诉书中的内容,沙特阿拉伯官员通过伪造发票的方式,向Abouammo支付了高达30万美元的报酬。该文件还指出,该男子收到了Hublot金陶瓷手表。 美国司法部还对沙特国民Ahmed al Mutairi提出了指控,这是一家与沙特王室有联系的社交媒体营销公司。Ahmed al Mutairi担任 Twitter 的两名前雇员与沙特阿拉伯政府官员之间的中介。 Abouammo 于周二在西雅图被 FBI 逮捕,其他两名嫌犯仍在逃。 “许多Twitter用户在与全世界分享他们的观点的同时也面临着很多危险。我们会保护他们的隐私和发声的权利” Twitter在声明中说。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

小心伪装成用户调研文档的钓鱼邮件攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/PILcMXKLnLLMKd2ikHbG8g   一、背景 腾讯安全御见威胁情报中心捕获到一例伪装成某公司的用户投诉调研文档的钓鱼邮件攻击。黑客在投递的恶意文档中嵌入恶意宏代码,一旦用户在打开文档时选择执行宏,就会在用户电脑上执行一段Powershell,通过多次解码后,执行Poweshell版开源远控木马powerfun。该远控木马采用Powershell实现,可作为控制端段或被控端运行,安装后会搜集系统信息上传,下载安装其他模块,执行任意远程指令。 为了掩盖其行动,黑客精心伪装攻击文档内容,使得其与真实的用户调研文档十分相似。同时其中嵌入的恶意Powershell代码经过多层混淆,采用“无文件”的攻击方式来保证攻击过程不易被发现。 腾讯电脑管家、腾讯御点均可查杀拦截该诱饵文档。 二、详细分析 载荷投递 打开文档时microsoft office程序提示文档中被嵌入的宏被禁用,问询是否启用内容,一旦启用,恶意代码便会执行。 文档标题:HSS Hire Services Complaint form(HSS Hire服务投诉表)。引语:(译文)“我们致力于提供高质量的护理和服务以满足您的需求,我们重视您的反馈,包括投诉。请告诉我们还有哪些地方可以改进我们的服务。“ 根据该文档的导航信息,文档内容包含6个部分,各部分主题分别如下: 第1部分:客户详情。 第2部分:请提供反馈涉及的服务的详细信息。 第3部分:请详细说明你的反馈问题。 第4部分:你对这个问题已经采取了哪些行动? 第5部分:你希望通过提供反馈得到什么样的结果? 第6部分:声明(签字和日期)。 从文档中提取出宏代码,可以看到在AutoOpen()函数中定义了一个字符串变量veqTMFKmz,并在变量中通过拼接的方式赋值Powershell -ec “xxxxx”,最终执行一段经过base64编码的命令。 在Powershell代码执行时,还会通过MsBox()提示一段话,告诉用户文档创建时使用的microsoft office版本过低导致,需要联系作者将文档另存为一个新的格式,以此来掩盖其恶意代码执行过程。用于迷惑用户的提示内容如下: “This application appears to have been made with an older version of the Microsoft Office product suite. Please have the author save this document to a newer and supported format. [Error Code: -219]” base64编码的Powershell命令解码后如下,该命令将核心代码重新进行base64编码,并且以命令 powershell -noexit -e  “xxxxxxx”的格式执行。 核心代码首先通过DllImport引入了四个系统函数: calloc memset VirtualProtect CreateThread 然后利用引入的函数calloc申请内存,memset将二进制代码写入内存,VirtualProtect修改内存为可执行属性,最后CreateThread创建线程指向该片内存执行恶意代码。 而创建线程执行的恶意代码为另一段经过压缩编码的Powershell命令,该段命令解压后为公开的Powershell实现的远控木马powerfun (github地址: https://github.com/rapid7/metasploit-framework/blob/master/data/exploits/powershell/powerfun.ps1)。 远控木马 木马通过参数设置通信类型及方式,“bind” 设置为绑定443端口,作为控制端进行监听连接请求,”reverse”反向连接服务器,作为被控端建立连接。”Sslcon“为是否采用SSL协议连接。此次代码设置的控制端服务器端地址为34.65.251.183:443。 接着获取用户名和机器名上传,根据列表下载模块安装,以及循环读取接受到的Powershell命令执行。 三、安全建议 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、建议升级office系列软件到最新版本,对陌生文件中的宏代码坚决不启用; 3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs Md5 f3672638b9773c1445e262bfc87e1e1a fda067e9998f3c815c08caca4bc8a19c C&C 34.65.251.183:443

勒索软件攻击加拿大Nunavut地区 当地政府所有电子信息服务瘫痪

勒索软件攻击了加拿大Nunavut地区,政府的所有联网服务都受到了影响。Nunavut地区面积超过190万平方公里,人口约36,000。 当地政府称:“在2019年11月2日(星期六),一种新型的勒索软件影响了整个城市。勒索软件会加密各种服务器和工作站上的单个文件。除了Qulliq能源公司以外,所有需要访问GN网络上存储的电子信息的政府服务都受到了影响。” 特区区长乔·萨维卡塔克(Joe Savikataaq)说:“我向Nunavut保证,我们正在尽全力解决这个问题。基本服务将不会受到影响,并且在此期间GN将继续运行。重新上线时可能会导致些许延迟,我感谢大家的耐心和理解。” 一半的GN IT系统今天清晨被针对公共服务的病毒入侵。我们会全天候工作,排查问题并让电脑恢复上网功能。在问题获得全面解决之前,您将无法访问您的GN帐户。 据CBC报道,勒索信息具体内容如下: “您的网络已被渗透,全部文件已被强大的算法进行了加密。我们可以为您提供解密软件。如果您一直未进入链接取得密钥,您的数据将被完全删除。” 专家注意到,勒索信息要求受害者下载加密的浏览器并在21天内访问指定的URL,专家注意到勒索信息是用生硬的英语书写的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基发现了 2017 Shadow Brokers 泄露中提到的神秘 APT

2017 年,一个名叫 Shadow Brokers 的神秘黑客团体,在网络上公布了名为“Lost in Translation”的数据转储,其中包含了一系列据称来自美国国家安全局(NSA)的漏洞利用和黑客工具。此后臭名昭著的 WannaCry、NotPetya 和 Bad Rabbit 勒索软件攻击,都基于这里面提到的 EternalBlue 漏洞。现在,卡巴斯基研究人员又发现了另一座冰山,它就是一个名叫 sigs.py 的文件。 (题图 via ZDNet) 据悉,该文件是一个名副其实的情报数据宝库。作为内置的恶意软件扫描程序,黑客利用它来扫描受感染的计算机,以查找是否存在其它高级可持续威胁(APT / 通常指背后能量巨大的黑客团体)。 总 sigs.py 脚本包括了用于检测其它 44 个 APT 的签名,但在 2017 年泄密之初,许多网络安全行业从业者并没有对此展开深入研究,表明 NSA 知晓且有能力检测和追踪许多敌对 APT 的运行。 在上月的一份报告中,卡巴斯基精英黑客手雷部门 GReAT 表示,他们终于设法找到了其中一个神秘的 APT(通过 sigs.py 签名的 #27 展开追踪)。 研究人员称,DarkUniverse 组织从 2009 到 2017 年间一直活跃。但在 ShadowBrokers 泄漏后,他们似乎就变得沉默了。 GReAT 团队称:“这种暂停或许与‘Lost in Translation’泄漏事件的发生有关,或者攻击者决定改用更加现代的方法、开始借助更加广泛的手段”。 该公司称,其已在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白罗斯、以及阿联酋等地,找到了大约 20 名受害者。其中包括了民间和军事组织,如医疗、原子能机构、以及电信企业。 不过,卡巴斯基专家认为,随着时间的推移和对该集团活动的进一步深入了解,实际受害者人数可能会更多。至于 DarkUniverse 恶意软件框架,卡巴斯基表示,其发现代码与 ItaDuke 恶意软件 / APT 重叠。   (稿源:cnBeta,封面源自网络。)

窃取 Capital One 约1亿数据的黑客暂被释放

Capital One黑客Paige Thompson在等待审判期间于周二从联邦拘留所释放。 Thompson 从Capital One盗窃1.06亿张记录,此前曾在8月份要求释放联邦拘留所,但最初由于当时法官认为她有飞行危险而被拒绝。 但是,在本周一,主审法官援引汤普森的观点,认为Thompson没有对社区或她本人构成足够的威胁,所以她不应该在等待审判期间受到监禁。Thompson希望获得释放,因为她认为作为一个被关押在男子监狱的变性人,她可能会患上抑郁症或伤害自己。 作为释放条件的一部分,美国地方法院法官Robert Lasnik命令Thompson移居到联邦中途房屋。在那里,Thompson 将一直受到GPS监控,将被禁止访问互联网或使用计算机,手机或任何其他电子设备,除非获得法院许可。 Thompson引起的数据泄露事件影响了美国1亿人和加拿大600万人。据Capital One称被盗取的是2005年至2019年之间的数据,与消费者向银行申请信用卡时所提供的信息有关。其中包括大约一百万个加拿大社会保险号,14万个美国社会保险号和8万个银行帐号。 美国检察官还指控Thompson窃取了其他30多家公司的数据。 据美国检察官说:“服务器是在Thompson的卧室中查获的,其中不仅包括从首都一号偷走的数据,还包括从其他30多家公司,教育机构和其他产业盗取的多达几TB的数据。” Thompson于7月被捕,目前正面临有关电汇欺诈和网络欺诈等起诉。 她的审判定于明年三月进行。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

西班牙两家公司同天遭勒索软件攻击,引发 WannaCry 级恐慌

近日,西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis,这是NTT Data Group旗下的IT咨询公司,其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER,其在官网发表了声明,确认公司遭遇了攻击。 两家公司都要求员工关闭计算机,并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工,是受影响最大的公司之一。该公司其他分支也受到了影响,勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图,显示勒索软件 BitPaymer 攻击了 IT 公司,该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片:Alex Barredo(Twitter@somospostpc) 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一,因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议,敦促公司改善网络安全措施,并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象,但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动,有人担心自己被感染,选择关闭程序来检查系统。 网上还出现了谣言,有人猜测除了Everis之外,其他IT公司也受到了影响。金融咨询公司毕马威(KPMG)的西班牙支部和软件巨头埃森哲(Accenture)今天早些时候在Twitter上发布声明,告诉用户他们没有受到感染,并且一切正常。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接