分类: 黑客事件

RouteX 恶意软件:俄罗斯黑客利用 Netgear 路由器攻击财富 500 强企业

据外媒报道,安全研究人员近期发现一名俄罗斯黑客正通过恶意软件 RouteX 感染联网 Netgear 路由器后,针对财富 500 强企业展开网络攻击活动。 调查显示,该恶意软件劫持易受攻击的路由器后,会将其转变为 SOCKS 代理,然后展开 “ Credential Stuffing(证书填充)” 攻击。由于证书填充攻击会不断验证被盗密码有效性,因此攻击方式在自动化程度与暴力破解攻击上极其类似。不过,攻击者则是利用 RouteX 恶意软件通过 SSH 配置中的一处漏洞展开。据悉,该漏洞现存在于一些较老版本的 Netgear 路由器中。一旦遭受恶意软件感染,该路由器将会变成攻击者代理并限制其他攻击者访问。 此外,研究人员通过分析 RouteX 恶意软件的源代码发现了 10 个 C&C(命令和控制)的域名,其能够与攻击者过去使用的电子邮件匹配,从而找到黑客的线索。但当务之急,安全专家建议使用 Netgear 路由器的用户尽快升级设备,运行最新的固件版本,以防止攻击者的进一步动作。 稿源:新浪科技、中关村在线,封面源自网络;

流行音乐媒体 Vevo 服务器遭黑客组织 OurMine 入侵,致使逾 3.1 TB 内部文件与视频在线泄露

HackerNews.cc 9 月 16 日消息,流行音乐媒体 Vevo 服务器遭黑客组织 OurMine 入侵,致使逾 3.1 TB 内部文件与视频在线泄露,其中包括 90 多名不同艺术家私人档案(例如:泰勒斯威夫特、贾斯汀比伯、凯蒂佩里、小甜甜布兰妮、麦当娜等)、公司社交媒体战略备忘录、英国 Vevo 办公室禁用报警系统说明、电商营销信息、每周音乐排行榜等内部文件。 OurMine 是一个自称安全黑客的团队,他们经常通过侵入一些大咖的社交网络账号给自己打广告。就在上个月他们还曾窃取过 HBO 和《权力的游戏》的社交媒体账号(注:窃取 1.5TB 数据的并非 OurMine 团队),但 OurMine 宣称他们仅仅 “ 在测试 HBO 系统的安全性能 ”。不过,他们此前主要攻击的目标是科技圈内的 CEO、企业与新闻网站,旨在通过漏洞入侵社交账号后兜售自家安全服务。 黑客组织 OurMine 在窃取 Vevo 大量数据后于 9 月 14 日通知公司,但遭到雇员怀疑与亵渎。不过,尽管 OurMine 已泄露大量数据,但他们还是在官网声称:“ 如果 Vevo 代表主动与我们取得联系,我们会立即删除数据 ”。最终,OurMine 删除了在线数据。随后,Vevo 在一份声明中证实并表示此次泄露事件主要是通过网络钓鱼攻击的结果。目前,Vevo 已妥善解决这个问题并正在加大调查力度,以确保公司信息安全。 原作者:Hyacinth Mascarenhas,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

趋势科技:韩文处理器 HWP 系统遭黑客网络钓鱼攻击

HackerNews.cc  9 月 14 日消息,趋势科技( Trend Micro )研究人员近期发现黑客正以 “ 比特币 ” 或 “ 金融安全准则 ” 为主题分发附带恶意 PostScript 代码的文件,旨在感染韩文处理器(HWP)系统、展开网络钓鱼攻击活动。 图一:诱导文件样本 韩文处理器(HWP)是一款颇受韩国公民欢迎的文字处理应用程序,它具备运行 PostScript 代码的功能,这是一种最初用于打印与印刷系统的编程语言。另外,PostScript 的其中一个分支被称为 Encapsulated PostScript(被封装的 PostScript 格式),它增加了运行代码的限制范围,从而使部分文档的打开更加安全。但不幸的是,较老版本的 HWP 系统并未约束这些限制。 调查显示,此类攻击手段主要是利用恶意 PostScript 代码在受害设备上获取立足接入点,以便展开攻击活动。虽然 PostScript 无法执行 shell 命令,但它确实能够操控目标设备文件。此外,研究人员表示,攻击者入侵目标设备后,首先将系统文件丢弃到各种启动文件夹中,并在等待用户重启设备前使用不同攻击方式破坏系统,其攻击方式包括: Ο 在启动文件夹中删除快捷方式执行 MSHTA.exe 文件。 Ο 删除启动文件夹中的快捷方式和%Temp%目录中的 DLL 文件。该快捷方式主要调用 rundll32.exe 执行 DLL 文件。 Ο 在启动文件夹中删除可执行文件。 图二: HWP 文件中的代码示例 目前,经调查显示,2014 年以后更新的版本不易受此类问题影响。因此,研究人员建议用户更新至最新版本,以防黑客攻击、保障系统安全。 稿源:Trend Micro,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

朝鲜黑客以韩国数字货币交易平台为首选攻击目标

安全公司 FireEye 发表报告称,朝鲜黑客表现出了对数字货币的浓厚兴趣,至少三家韩国数字交易平台成为他们的攻击目标。据悉,朝鲜黑客采用钓鱼攻击的方法展开攻击活动。 过去几个月内,比特币币值出现了大幅上涨,一度突破 5000 美元,但过去几天由于传出中国准备打击比特币关闭比特币交易平台,币值出现了大幅下滑,目前币值已经跌至 4000 美元以下。朝鲜因为核试验和发射导弹而遭到联合国制裁,FireEye 认为黑客以数字货币为目标可能是为政府寻找硬通货,窃取数字货币兑换可使用现金。 稿源:solidot奇客,封面源自网络;

黑客组织 CodeFork 利用“无文件”恶意软件挖掘加密货币 Monero

据外媒 9 月 7 日报道,网络安全公司 Radware 研究人员近期发现黑客组织 CodeFork 利用新型“无文件”恶意软件“Gamarue”感染目标系统、规避杀毒工具检测,旨在挖掘加密货币 Monero(门罗币)增加自身收益。 黑客组织 CodeFork 自 2015 年以来一直处于活跃状态,其主要通过出售恶意服务(例如:分发电子垃圾邮件、蠕虫病毒或下载恶意程序)攻击目标设备。目前,受害目标已广泛分布于全球不同行业。 调查显示,黑客组织 CodeFork 所使用的恶意软件“Gamarue”具备无文件持久性技术,即允许攻击者绕过目标系统安全检测后通过 C&C 服务器下达指令,从而下载并执行改进版 xmrig.exe(门罗币矿工)挖掘货币。因此,一旦攻击者利用该恶意软件感染目标系统后,其磁盘驱动器上将不会留下任何可疑文件,从而能够使攻击者在受感染机器上停留更长时间传播恶意软件、挖掘加密货币 Monero。此外,在该攻击活动中,“Gamarue”并不会入侵目标设备硬盘驱动器,而是通过已安装应用程序感染内部存储器。 目前,研究人员尚不了解黑客组织 CodeFork 攻击范围,也不清楚当前已有多少目标系统遭受感染。不过,安全专家警示,该黑客组织一定会继续分发恶意软件变种,并寻找最新途径绕过当前保护措施。 原作者:Jason Murdock ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧洲与北美数十家能源机构遭俄罗斯黑客组织“蜻蜓”针对性网络攻击

据外媒报道,赛门铁克于 9 月 6 日发布安全报告,宣称欧洲与北美能源部门似乎正面临俄罗斯黑客组织 “ 蜻蜓(Dragonfly)”全面攻击风险。调查显示,目前已有数十家境外基础设施遭到黑客针对性攻击,其中多数位于美国。 黑客组织 “ 蜻蜓 ”(又名:“ Energetic Bear ” 或 “ Crouching Yeti ” )自 2011 年以来一直处于活跃状态,但研究人员表示该组织从 2014 年被曝光后隐藏近两年,随后于 2015 年年底通过部署大规模网络钓鱼邮件复苏并开始展开新一轮攻击活动。据悉,黑客组织 “ 蜻蜓 ” 此前曾依赖暗网中的自定义恶意软件感染目标系统,窃取受害用户重要数据。 调查显示,黑客组织 “蜻蜓” 于 2016 – 2017 年进行了一起以 “ 能源企业发展 ” 为主题的恶意电子邮件分发活动,旨在窃取用户敏感数据。今年,赛门铁克观察到,该组织使用了一款名为 “  Phishery ” 的工具包,而该工具包自去年以来一直于暗网公开发售并允许黑客在用户不知情下入侵目标系统。近期,美国、土耳其与瑞士等多国基础设施疑似遭该黑客组织攻击。 据悉,虽然黑客现已成功控制多数受害系统,但研究人员尚不清楚攻击者最终目标或真正意图。不过,根据黑客长久的控制操作可以推测,攻击者具备政治动机,与早前乌克兰电厂攻击活动存在异曲同工之处,尽管二者之间无明确关系。 目前,虽然研究人员尚不了解该黑客组织真实背景,但他们发现该组织通常使用公开出售的恶意软件或黑客工具包,以便隐匿自身行踪。此外,赛门铁克表示,攻击者最初入侵目标组织系统仅是收集有关资料,以便规划未来网络攻击活动策略。虽然赛门铁克当前并未发布受害者详细信息,但他们指出该黑客组织通常导致能源公司出现电力中断或电网关闭现象。不过,研究人员表示,“黑客完全接管国家关键能源系统”的 “噩梦” 目前也只是推测和理论。 原作者:Jason Murdock, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

苹果开发者网站疑似遭黑客攻击,IP 被更改为同一俄罗斯地址

据外媒报道,周三在社交媒体上出现了一些针对苹果开发者网站的投诉,一些开发账户地址被更改为同一俄罗斯地址,从而引发人们猜测该网站可能存在某种安全漏洞或遭黑客攻击。 一位名叫 David Negron 的开发人员(自称是 Productiontrax.com 的创始人)首先注意到这个问题,他发表推文称:“ 所有开发者的帐户地址都被显示为俄罗斯的一个地址。” 另一位开发人员 @Kaiusee 发表推文称,他检查了四个不同的苹果开发者帐户,发现所有账户都显示了相同的地址:“ bul. Novatorov, Saint-Petesburg, Leningrad, 198216, Russian Federation。” 目前,尚不清楚是否存在某种内部错误,还是受到黑客攻击。苹果开发者网站在几个小时无法访问后恢复正常。 稿源:cnBeta,封面源自网络;

黑客瞄准英国高等学院窃取军事武器研究成果与专家敏感数据

HackerNews.cc  9 月 5 日消息,境外高等院校的网络安全漏洞数量在过去一年内翻了一番,因为黑客正绕过他们薄弱的防范手段窃取国家机密信息。据悉,现今黑客似乎开始瞄准英国大学,旨在窃取导弹研究成果与专家个人敏感数据。  《 纽约时报 》援引信息自由法案( FOI )收集的数据显示,黑客于 2016-2017 年在医药、工程与导弹研究方面共计开展了 1152 起恶意攻击活动,其受影响机构除著名的牛津大学遭到 515 次未经授权访问攻击外,还包括伦敦学院与伦敦玛丽皇后学院被成功攻击 57 次。此外某学院还声称,它每月受到的攻击多达 10,000 次,其多数源自中国、俄罗斯与远东等地区。 网络安全公司 Darktrace 技术总监 Dave Palmer 表示,虽然伪装军用车辆的导弹与机密设备是黑客首要攻击目标之一,但他们更想得到有关军事武器与专家研究成果的详细资料。 华威大学网络安全研究主任 Carsten Maple 表示:“大学是推动英国多数研究成果的发展基地,其一款技术设备的知识产权需要多年的专业经验与成本。如果黑客成功袭击一所大学并将其窃取的信息出售给一个民族或国家,那么研究人员所有的努力将功亏一篑。因此安全专家呼吁各大学研究基地加强网络防御体系,维护自身研究成果,共同抵御黑客网络攻击活动。 原作者:Brendan Cole,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

澳警方无线电网络系统遭黑客劫持,协助歹徒得以快速逃离犯罪现场

据外媒 9 月 2 日报道,澳大利亚维多利亚州警方在接到一起持枪抢劫案件的电话后,试图追捕涉嫌武装并通过被盗车辆逃离犯罪现场的两名歹徒。然而,戏剧性的一幕出现了,一名未知黑客在警方追捕期间多次中断无线电网络跟踪系统并冒充警察同步错误信息导致追捕行动失败。 知情人士透露,尽管警方最初不得不放弃追捕,但他们随后在附近的一个镇上成功逮捕这两名犯罪嫌疑人。维多利亚警方经调查表示,黑客可能位于 Gippsland 东部地区进行这一恶意操作。目前,当地警方仍在继续展开调查。 事实上无线电黑客并不罕见。今年 4 月份,一名黑客劫持了达拉斯紧急系统,并在同一天晚上连续 12 次触发龙卷风警报;同年 7 月一名黑客劫持英国电台并在不同频率连续播放淫秽歌曲。 澳大利亚政府表示,该事件突出表明,国家需要一款更强大的数字系统以防黑客再次入侵。而警局局长里萨·内维尔(Brisbane Times)表示,此次事件无疑暴露了当前无线电网络系统的薄弱区域,好在政府现已投入 1200 万美元将用于明年网络系统改进的全面运作当中。 原作者:India Ashok ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美公司渲染中国黑客攻击越南 中国外交部:妄加指责

据外媒报道,美国网络安全公司 FireEye 声称,在南海紧张加剧之际,为中国网络间谍扩大了对越南官方机构以及企业的攻击范围。调查显示,这些攻击活动于近期发生,可能由中国网络间谍使用过的网络设施造成。 FireEye 网络情报团队主管本·里德说:“以前中国窃取情报的重点往往是政府,近来的情况表明,他们实际上可能在攻击越南整个商界,企图广泛搜集各类情报 ”。中国外交部发言人华春莹说,中国反对任何形式的网络窃密和非法网络活动。反对任何国家、任何方面在没有确凿证据的情况下对其他国家妄加指责。越南外交部发言人黎氏秋恒说,应当依据法律严惩网络攻击行为,各国必须保障各自的网络安全。 FireEye 公司说,越南遭受的网络攻击主要是用越南语向用户发送的佯称要调查财务信息的文件。据悉,此次网络攻击涉及的企业范围极其广泛,包括金融机构,但是 FireEye 并未透露具体情况。另外,当用户打开文件时,对方就投放了恶意软件,可能感染电脑并把信息传给网络间谍,也可能使网络间谍得以入侵该计算机网络。 FireEye 认为这些攻击活动与黑客组织 Conimes 有关,原因是这个团伙过去用过 conimes.com 的域名。里德说,该团伙的攻击重点是东南亚,但主要目标是越南,并且在南海紧张加剧后愈发活跃。 稿源:新浪科技、参考消息网,封面源自网络;