分类: 黑客事件

韩国声称朝鲜黑客组织瞄准海外现金

韩国金融研究机构 Korea Financial Security Institute 发表报告声称,朝鲜网络军队已分化成多个组织,正进行有协调的网络攻击,且越来越多的攻击旨在将被盗窃的资金转移至朝鲜。 上述情况标志着朝鲜军方网络攻击模式的一个重大转变,此前其发动的攻击主要使为了获取军事信息、破坏网络稳定或进行恐吓。这也体现出在当前受制于金融制裁措施的情况下,朝鲜发展迅速但成本高昂的核导弹项目的资金需求正在加速上升。 稿源:solidot奇客;封面源自网络

伊朗 APT 组织 CopyKittens 最新网络间谍行动曝光

据外媒 7 月 25 日报道,趋势科技(Trend Micro)与以色列安全公司 ClearSky 研究人员近期联合发布一份详细报告,指出伊朗 APT 组织 CopyKittens 针对以色列、沙特阿拉伯、土耳其、美国、约旦与德国等国家与地区的政府、国防与学术机构展开新一轮大规模网络间谍活动 “ Operation Wilted Tulip ”。 APT 组织 CopyKittens(又名:Rocket Kittens)至少从 2013 年以来就一直处于活跃状态,曾于 2015 年面向中东地区 550 个目标展开攻击。据悉,该报告详细介绍 CopyKittens 在新网络间谍活动中采取的主要攻击手段: 1、水洞攻击:通过植入 JavaScript 至受害网站分发恶意软件,其主要针对新闻媒体与政府机构网站。 2、Web 入侵:利用精心构造的电子邮件诱导受害者连接恶意网站,从而控制目标系统。 3、恶意文件:利用近期发现的漏洞(CVE-2017-0199)传播恶意 Microsoft Office 文档。 4、服务器漏洞利用:利用漏洞扫描程序与 SQLi 工具 Havij、sqlmap 与 Acunetix 有效规避 Web 服务器检测。 5、冒充社交媒体用户:通过与目标系统建立信任传播恶意链接。 趋势科技表示,为成功感染目标系统,CopyKittens 将自定义恶意软件与现有商业工具(如 Red Team 软件 Cobalt Strike、Metasploit、开发代理 Empire、TDTESS 后门与凭证转储工具 Mimikatz)结合,从多个平台向同一受害系统发动持续攻击,成功操控后转移至其他目标设备。 原作者:Mohit Kumar,编译:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

第四家以太坊平台被黑,黑客盗取 840 万美元

Veritaseum 证实一名黑客从该公司的首次代币发行中窃取 840 万美元。它是本月第四家被黑的以太坊平台和第二家遭到黑客攻击的首次代币发行。 首次代币发行类似首次公开发行股票,但买家购买到的不是股票而是令牌,买家可以保留令牌直至公司赎回,或者也可以将令牌出售给其他用户换取以太坊。 Veritaseum 上周日( 7 月 23 日 )首次代币发行发售 VERI 令牌,黑客入侵系统,窃取 VERI 令牌并迅速将其挂到市场销售,从中获得 840 万美元。 稿源:solidot奇客,封面源自网络

黑客连接美国赌场智能鱼缸,以致渗透内网窃取数据

美国一家赌场日前遭受黑客袭击,其黑客设法通过连接互联网智能鱼缸渗透到赌场内部网络,并窃取未披露的数据。如果你想知道为什么一个鱼缸需要连接到互联网,那是因为赌场想要远程完成所有工作,员工使用远程连接喂鱼,并立即获取所有信息,例如水温等信息。 但是,正是这种连接到互联网的鱼缸最终将整个赌场网络暴露给黑客,一群未知攻击者成功渗透网络并在芬兰服务器上上传数据。目前,黑客行为最终被发现,漏洞已被修复。安全公司 Darktrace 表示,黑客通常能在生产产品公司之前发现漏洞,这意味着他们有一个时间窗口攻击目标。一旦他们通过鱼缸进入赌场内网,就可通过扫描发现其他漏洞,以致横向移动到网络中的其他地方。 虽然赌场名称和被泄露的信息的细节没有透露,但是没有访问敏感数据的机会不大。否则,赌场将被迫通知客户。 稿源:cnBeta,封面源自网络

美国银行客户被钓鱼,黑客利用俄国服务器发起攻击

HackRead 近日报告了一项针对美国银行(Bank of America)用户的大型网络钓鱼攻击,黑客们利用一台架设在俄国的服务器,进行邮件钓鱼攻击,旨在获取美国银行客户的的信用卡账号、个人信息等数据。 当然由于仅仅是服务器架设在俄国,并未有任何确凿的证据指向是由俄国黑客团体或者与政府相关。钓鱼攻击依赖于传统的信件欺诈钓鱼,伪造的银行邮件会谎称需要一些额外的步骤或者确认信息来解除某些使用限制,向客户骗取个人信息或者信用卡账号细节等。 信用卡账号的细节和个人信息是这起网络钓鱼攻击的主要目的,包括用户名称、地址、手机号码、卡号、有效日期和CVV码等。关于这起大型钓鱼攻击的细节有待进一步披露。 稿源:cnBeta,封面源自网络

黑客 BestBuy 认罪,曾劫持德国电信路由器逾 90 万台导致 200 万欧元损失

据外媒报道,29 岁黑客 BestBuy 于 7 月 21 日在德国法庭认罪,曾使用 Mirai IoT 恶意软件自定义版本劫持德国电信路由器逾 90 万台。目前,德国预计此次网络攻击损失超过 200 万欧元。 7 月初,调查人员布莱恩·克雷布斯(Brian Krebs)表示,他们发现黑客 BestBuy 真实身份,即英国丹尼尔·凯耶(Daniel Kaye)。调查显示,BestBuy 在该起网络攻击活动中提供了恶意软件源代码,包括代码签名数字证书( 网络黑市 TheRealDeal 中售价接近 4.5 比特币 )。 英国警方表示,BestBuy 于 2016 年 11 月下旬通过恶意代码新变种感染德国电信路由器,发动 DDoS 攻击。随后,这黑客又于 12 月使用另一版本恶意软件 Mirai ,造成英国 10 万台路由器处于离线状态。据悉,BestBuy 于 2017 年 2 月底在伦敦机场被捕后被引渡德国。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

DarkHotel APT 再次回归,利用新技术针对朝鲜政府雇员开展间谍活动

据安全公司 Bitdefender 最新消息,DarkHotel APT 组织再次回归并以新型技术针对朝鲜政府雇员开展间谍活动。研究人员认为 DarkHotel APT 成员主要是韩国人,目前在朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、台湾、中国、美国、印度等多个国家均有其受害者。 2014 年 11 月,卡巴斯基实验室首次发现了 Darkhotel APT 间谍活动,该组织主要针对出国旅游的公司高管。研究人员注意到这一组织只会针对目标入侵一次,绝不重复行动,此前目标包括来自美国和亚洲的首席执行官、高级副总裁、顶尖研发工程师、销售和营销主管等。 调查显示,DarkHotel APT 黑客利用多种方式攻击目标系统,并将其用作攻击点对点(P2P)文件共享网站和酒店 Wi-Fi。而近期,Darkhotel APT 被发现利用此前意大利黑客公司 Hacking Team 泄露的漏洞尝试新型攻击方法。 DarkHotel APT 最近一次行动中通过被称为“ Inexsmar ” 的攻击手段,对政治人物进行了针对性入侵。“这种攻击使用新的 payload 传递机制而非完整的 0-day 开发技术,并以社会工程学与相对复杂的木马混合感染其选定的受害者群体”。通过网络钓鱼邮件传播木马下载程序,恶意代码则用于收集受感染设备上的信息,并将其发送回攻击者服务器。若受感染的系统满足特定要求,则会被伪装成 OpenSSL 组件的第一级下载器取回。在这个阶段,恶意代码打开了一个题为“平壤电子邮件列表 – 2016 年 9 月”的文件,其中包含平壤各组织的电子邮件联系人。如果要求不满足则攻击停止,否则传送另一个 payload。 不幸的是,在调查时由于 C&C 服务器处于脱机状态,研究人员无法收集有关攻击的进一步细节。与利用漏洞相比,多级下载器的使用意味着技术上的重要改进,因为它能够允许攻击者进一步优化恶意软件的分发和更新。 原作者:Pierluigi Paganini,编译:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软以全新方式对付俄罗斯黑客 Fancy Bear

微软已经采取措施削弱俄罗斯联邦格鲁吉亚黑客团伙 Fancy Bear 能力。Fancy Bear 有时与俄罗斯秘密军事情报机构联系在一起,被认为是去年黑掉美国民主党电子邮件账户的主要力量。自 2007 年以来,Fancy Bear 一直在进行网络间谍活动,入侵过北约、奥巴马白宫、法国电视台、世界反兴奋剂机构和无数非政府组织以及欧洲、中亚和高加索地区的军事和民间机构。 美国情报调查结果显示,Fancy Bear 在去年针对民主党全国委员会和希拉里克林顿电子邮件账户的行动,是莫斯科帮助唐纳德 · 特朗普赢得白宫努力的一部分。然而,微软并未利用反黑客人员通过命令提示符代码与黑客进行斗争。其微软一直在慢慢地通过起诉案件,将 Fancy Bear 带入法庭,没收属于 Fancy Bear 的几十个域名。 目前,微软已经设法获得了 70 个原本属于 Fancy Bear 的域名,这些域名曾经用来制造恶意行为,例如在电脑上注入恶意软件,并将虚假信息扩散到社交媒体网站。此外,被微软控制的域名,允许微软在其上设置拦截点,因为 Fancy Bear 的服务器网络将信息中继到现在微软控制的域名和网站,现在微软成为中间人,使其能够在观察外国攻击或黑客攻击的各种计划和行为。 稿源:cnBeta;封面源自网络

以太坊钱包客户端 Parity 遭黑客盗取三千万美元

未知黑客利用以太坊钱包客户端 Parity 漏洞从多签名钱包中窃取超过 15.3 万以太坊,价格三千万美元。目前,该漏洞影响 Parity 1.5 及之后的版本。 Parity 1.5 于今年 1 月 19 日发布,其多签名钱包是指多个用户使用自己的私钥控制以太坊账号,需要在多数人使用私钥签名后才能转移资金。攻击发生后立即被 Parity 发现并发出警告。 据悉,被窃取的以太坊储存在地址 0xB3764761E297D6f121e79C32A65829Cd1dDb4D32。目前,攻击者已成功转出 5 万以太坊,并将其分散到更多账号。此外,The White Hat Group 组织在攻击发生后利用相同漏洞提取出未被黑客盗出的以太坊,储存在地址 “0x1DBA1131000664b884A1Ba238464159892252D3a ,该地址目前有 37.7 万以太坊,价值超过八千万美元。知情人士透露,该组织由安全研究人员和以太坊项目成员组成,他们表示此举是为保护资金的安全,会在攻击后退还给原拥有者。 稿源:solidot奇客;封面源自网络

Segway 平衡车 App 远程被黑:夸张到让骑行者随意栽倒

平衡车也能被黑?这事儿真发生了。据外媒报道,研究机构 IOActive 的实验人员通过使用修改版本的 UART,黑入平衡车的蓝牙通讯系统,达到控制系统、调整设置目的。 此次被黑产品是赛格威 miniPRO 平衡车,入侵者可以远程通过手机对平衡车进行定位,甚至急刹或者让骑行者栽倒等。 不过,ZDNet 称,Segway 和其母公司 Ninebot 已经收到 IOActive 的漏洞报告,并在新版 APP 中修复了 BUG。 稿源:cnBeta、快科技;封面源自网络