分类: 黑客事件

朝鲜 APT 组织 Lazarus 或利用安卓恶意软件针对韩国三星用户展开新一轮网络攻击

据外媒 11 月 22 日报道,网络安全公司 McAfee 与 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 似乎开始利用一款 Android 恶意软件针对韩国三星用户展开新一轮网络攻击。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。 调查显示,该恶意软件主要附着在一款用于阅读韩文圣经的合法 APK 中并由开发人员 GODpeople 在 Google Play 发布。截至目前,该应用已被下载 1300 多次。McAfee 经分析表示,其恶意软件主要为可执行与可链接格式(ELF)文件提供一个后门,允许攻击者完全控制受害设备。另外,该后门程序所使用的命令与控制(C&C)服务器列表与黑客组织 Lazarus 此前使用的 IP 地址有关。   Palo Alto Networks 安全专家指出,此次活动似乎主要针对韩国三星用户展开攻击,并与此前 Lazarus 开展的 “ Operation Blockbuster” 活动存有潜在联系,例如:所使用的 Payload、恶意软件代码,以及托管的合法 APK 都极其相似等。随后,Unit 42 安全专家对上传到 VirusTotal 的 PE 文件分析后发现,这一文件被用于从 HTTP 服务器传送  ELF ARM 和 APK 文件,从而感染更多设备后允许攻击者展开大规模攻击活动。 目前,Palo Alto Networks 由证据表示,该恶意软件代码与 Lazarus 对 SWIFT 银行系统和 Operation Blockbuster 攻击活动所使用的有效负载具有重叠部分,因此这似乎意味着该组织持续使用同一系列的黑客工具展开攻击活动。对此,他们推测 Lazarus 似乎正忙于全球业务的扩张发展。 更多阅读: 来自 McAfee 的分析报告 <Lazarus Cybercrime Group Moves to Mobile Platform> 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

虚拟货币钱包 Tether 遭黑客攻击,近 3100 万美元代币被盗

北京时间 11 月 21 日下午消息,根据加密数字货币媒体网站 CoinDesk 的报道称,数字代币初创公司 Tether 于本周一证实公司系统遭遇黑客袭击,近 3095 万美元的数字代币被盗。 知情人士透露,Tether 公司曾于此事件发生后在其网站发布了相关报道,但目前该网站消息已被删除。不过,根据此前消息称,Tehter 将此次代币被窃事件定性为外部攻击者的恶意行为。 据悉,在那则被删除的文章中,Tether 公司表示他们正积极尝试恢复代币,以防止它们流入到外部数字加密货币市场。该公司还表示会暂停后台数字钱包服务,同时将会为用户提供更新软件,以阻止被窃取的数字代币从黑客攻击者的地址再被转移。目前,部分用户认为,本次黑客攻击事件可能于周一比特币市值的极端波动有关,其比特币价格在短短一个半小时内从 8250 美元峰值瞬间下跌了 430 美元。 Tether 公司官方网站曾表示其数字代币具有法定货币支持,因此可以防止一般加密货币的行情波动。此外,Tether 数字代币还能在区块链上被存储、发送和接收,而且还支持兑换现金。 稿源:新浪科技,封面源自网络;

2017 上半年 DDoS 攻击数量倍增,罪魁祸首竟然是它?

网络安全公司 Corero 于近期发布一份报告,宣称 2017 上半年的 DDoS 攻击数量增加一倍,起因竟是各企业及用户所使用的不安全物联网(IoT)设备。据称,只要用户设备在线联网,其拒绝服务(DDoS)攻击就将存在。倘若企业依赖互联网销售产品或协作,那么 DDoS 攻击不仅仅是一个麻烦,更将影响企业后续发展。 在过去数年内,DDoS 攻击的数量在 “猫捉老鼠” 的演变过程中呈缓慢趋势增长,即犯罪分子一旦加强攻击,其网络供应商就会进行弹性防御。然而,此类攻击一般都来自被感染的计算机和服务器组成的僵尸网络。不过,由于在僵尸网络中获取和维护这些系统的成本相对较高,因此在攻击发展的速度方面存在经济限制。 但是,僵尸网络 Mirai 的开发人员就很 “聪明”, 并未针对安全团队或安全设施开展攻击,而是把重点瞄准数百万家用物联网设备,例如利用网络摄像头与互联网路由器构建僵尸网络开展 DDoS 攻击。由于 Mirai 无需任何安全措施检测,因此它能在肆意感染的同时发起比以往更大的攻击活动。 根据 Arbor Networks 2016 年年底的报告显示,物联网设备已然成为 DDoS 攻击来源。到目前为止,这些大规模的攻击还未利用反射/放大技术展开。相关数据显示,DDoS 攻击的数量在 2015 年显著上升,其攻击的平均规模和时间也在不断增加。由卡巴斯基 2016 年第四季度 DDoS 情报报告得知,DDoS 攻击持续时间最长为 292 小时(或 12.2 天),明显长于上一季度( 184 小时或 7.7 天),创下 2016 年的纪录。 研究人员表示,目标企业现平均每天遭受 8 次 DDoS 攻击,均由不安全物联网设备和 DDoS 出租服务导致。虽然大规模的 DDoS 攻击正得到媒体关注,但这只是攻击的一小部分。然而,最令人感兴趣的是,2017 年第二季度发生的第五次 DDoS 攻击使用了多种媒介进行,旨在规避安全软件检测。目前,只需要每小时 20 美元,任何黑客都可采用僵尸网络针对目标企业发动攻击。此外,网络犯罪分子已经将 DDoS 攻击作为一项有利可图的开发项目,这就意味着拒绝服务攻击的活动仍将继续。 关联阅读: ○ 卡巴斯基实验室 《黑色星期五威胁报告》(英文) ○ 卡巴斯基实验室《2017 年第三季度的 DDoS 攻击报告》(英文) ○ 卡巴斯基实验室《2018 年威胁预测》(英文)   消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

阿尔及利亚电信运营商遭黑客攻击,国家电子支付系统安全引担忧

据外媒 11 月 21 日报道,阿尔及利亚的电信运营商 Algerie Telecom 于上周五证实,公司遭受了一系列旨在破解其系统的网络攻击事件。目前,公司已在相关部门的帮助下成功击退黑客并开启安全防御系统,以便减少企业运营损失。不过,他们尚不清楚黑客真正意图以及进一步相关细节。 此外,由于网络攻击数量的迅速增加引起了阿尔及利亚政府的担忧,特别是近期所推出的电子服务项目,例如公民采用电子支付系统缴纳水电费用。 信息与通信技术部部长 Iman Houda Faraoun 表示,通常由部长理事会批准的电子商务项目一旦通过,将会即日生效。不过,他们承诺将会充分保护电子商务流程,严禁外泄各金融交易数据、发票以及公民银行卡号等敏感信息。 消息来源:securityaffairs.co 、新华网,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

为掩盖 2016 年网络攻击事件,Uber 曾向黑客支付 10 万美元

据外媒报道,Uber 似乎很难让自己逃离新闻中心漩涡。虽然这家公司迎来了一位新 CEO 并且他正在努力清理之前留下的烂摊子,但 Uber 仍旧会发现自己还是被卷入了丑闻中。这份清单中最新增加的内容则是这家公司隐瞒了黑客成功窃取属于 5700 万名 Uber 司机和客户的个人数据的事件。 据了解,该网络攻击最初发生在去年 11 月,但 Uber 一直到 1 个月后才意识到这个漏洞。泄露的信息包括电子邮件地址、60 万名司机的驾照号。不过目前并无迹象表明社保号、银行信息也遭到了窃取。从法律角度来看,Uber应当有在发现网络攻击时通知用户和监管机构的责任,然而它却选择了掩饰。这家公司选择用 10 万美元换取黑客的沉默。 尽管 Uber 坚称被盗的数据从未被用到不正道的地方,但不管怎样隐瞒跟用户敏感数据相关的事实总归是不对的。而优步首席执行官 Dara Khosrowshahi 专门针对此事发表了一份声明。 稿源:cnBeta,封面源自网络;

美国指控伊朗黑客盗取 HBO《权力的游戏》等未上映影集

据外媒报道,一名伊朗黑客近期在美国遭到指控,于今年夏天盗取 HBO 未上映影集并要求支付高达 600 万美元的赎金赎回。今年七月份,这位黑客泄露了一段即将播放的 HBO 系列剧 “权力的游戏” ,以及”Curb Your Enthusiasm” 、”Ballers” 和 “The Deuce.”这三部未发行剧集。 根据美国纽约南区地区法院大陪审团公布的起诉书,美国联邦调查局确定伊朗 Behzad Mesri 为嫌疑黑客,后者要求 HBO 以比特币支付 600 万美元赎金,并威胁说,如果拒绝支付,将释放更敏感的内容。HBO 拒绝就这些指控发表评论,但表示自从网络攻击的早期阶段开始就一直在和执法机构合作。 据称,Mesri 是一名技术娴熟的黑客,曾为伊朗军方工作,攻击核设施,以色列基础设施和对手军队。他还是土耳其黑帽安全团队的成员,这个黑客组织是一个来自伊朗的黑客组织,这个黑客组织破坏了全球数百个网站。法庭文件显示,Mesri 涉嫌利用自己的技能在 5 月份开始对 HBO 员工进行攻击,并且能够攻击几名可以远程访问 HBO 网络服务器的员工。据说,Mesri 可以自由地掠夺 HBO 的视频、脚本和个人信息。 稿源:cnBeta,封面源自网络;

黎巴嫩外交部及 20 个黎巴嫩驻外大使馆门户被黑

在本月 11 日,一个自称 “Team Bad Dream” 的黑客组织攻破了黎巴嫩外交部和 20 个黎巴嫩驻外大使馆的官方门户网站,并将一个名为 “default.html” 的网页镜像文件上传到了 Zone-h(国际著名黑客站点),用于记录自己的“战绩”。目前,尚不清楚黑客组织发起攻击的动机和目的。黑客只在页面上留下了一条用阿拉伯文编写的消息 “عاصفةالحزمقأدمةإلىلبنان”,谷歌翻译器将其翻译为“暴风雨来到黎巴嫩”。 当然,黑客组织采用了怎样的方法成功攻破了这些网站也是未知的,并且官方也没有发布任何有关黑客组织是否已经窃取了敏感数据的声明。根据调查,被黑的网站似乎都托管在同一台 Windows 2012 服务器上,由一家名为 “WeHostWebSites” 的美国公司负责管理。这意味着黑客组织可能以某种方式黑入了该服务器,进而才导致如此多的网站同时被攻破。根据 Zone-h 记录的信息我们可以看到,被攻陷的网站包括: 黎巴嫩驻马德里大使馆(西班牙)、黎巴嫩驻加蓬共和国大使馆(利伯维尔)、黎巴嫩驻纽约总领事馆、黎巴嫩驻委内瑞拉玻利瓦尔共和国大使馆、黎巴嫩驻苏丹共和国大使馆(喀土穆)、黎巴嫩驻匈牙利大使馆(布达佩斯)、黎巴嫩驻埃及阿拉伯共和国大使馆(开罗)、黎巴嫩驻摩洛哥大使馆(拉巴特)、黎巴嫩驻亚美尼亚共和国的大使馆(埃里温)、黎巴嫩驻巴基斯坦伊斯兰共和国大使馆(伊斯兰堡)、黎巴嫩驻尼日利亚联邦共和国大使馆(阿布贾)、黎巴嫩驻瑞士大使馆、黎巴嫩驻马来西亚大使馆(吉隆坡)、黎巴嫩驻阿曼苏丹国大使馆(马斯喀特)、黎巴嫩驻英国大使馆、黎巴嫩驻印度尼西亚共和国大使馆(雅加达)、黎巴嫩驻德意志联邦共和国大使馆(柏林)、黎巴嫩驻里约热内卢总领事馆、黎巴嫩驻瑞典王国大使馆(斯德哥尔摩)以及黎巴嫩驻希腊共和国(雅典)。 值得注意的是,这已经不是黎巴嫩外交部首次遭到黑客入侵。根据 Zone-h 的记录,该网站曾被黑客入侵过两次。最近的一起攻击事件是在 2017 年 3 月 21 日,一个自称来自黑客组织 “AnonGhost Team” 代号为 “Mr.Domoz” 的黑客上传了一个名为 “domoz.htm” 网页镜像文件。而早在 2015 年,一名来自约旦代号为 “MoThAnnA-X” 的黑客上传了一个名为 “x.htm” 的网页镜像文件。 稿源:黑客视界,作者:碰瓷党;封面源自网络。

Parity 逾 2.8 亿以太坊遭到冻结,竟是由黑客蓄意触发漏洞导致

作为比特币的竞争对手,成立于 2014 年的加密货币以太坊(Ethereum)在全球市场日益升温,总价值超过 280 亿美元。但随之以太坊的安全问题也日益突显,上周再次被曝以太坊钱包存在关键漏洞,导致价值逾 2.8 亿美元的以太坊遭到冻结。以太坊钱包 Parity 的幕后公司 Parity Technologies 随后证实,由于自 7 月 20 日开始部署的多重签名钱包出现技术问题,导致逾 580 个多团体钱包受到此次事件影响。 近期,Parity 的其中一家客户–VR 3D 模型创业公司 Cappasity 发表声明,宣称其价值约 100 万美元的以太坊钱包遭到冻结,并表示此次事件并非偶然,而是一场蓄意的黑客活动。Parity 在追踪黑客交易时发现此次攻击由一名 GitHub 用户 devops 199 蓄意触发漏洞导致。然而,Cappasity 创始人 Kosta Popov 在一份声明中表示,如果 Parity 近期没有妥善解决此次问题,他们将申请执法机构进行下一步调查。 目前,虽然 Parity 尚未更新以太坊钱包的恢复情况,但其以太坊并未被触及。不过,在妥善解决这个问题之前,用户不太可能获取所被冻结的资金。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

瑞典电台遭黑客入侵,播放 30 分钟 IS 宣传歌曲

新加坡《联合早报》11 月 10 日报道称,瑞典电台 Mix 遭黑客入侵,播放了 30 分钟宣扬极端组织 “伊斯兰国” 的歌曲。该电台负责人格维斯丹发布声明证实此事,并表示将报警及向政府当局投报。 报道称,被播放的歌曲曾被用在宣传和招募极端分子前往伊拉克和叙利亚的视频上。电台方面认为,有人用发射器干扰了电台的频道。Mix 是瑞典主要电台,每天约有 140 万人收听,而受影响的是该台在南部城市马尔默(Malmo)的频道。 稿源:网易新闻、环球网,封面源自网络;

调查结果显示全球约 2500 家网站被植入挖矿代码、窃取加密货币

据外媒报道,黑客入侵网站植入挖矿脚本后利用用户的 CPU 挖掘数字货币的做法越来越流行。其相关数据统计,目前已有 2,496 家运行过时软件的网站遭到黑客植入恶意代码,并利用访问者 CPU 挖掘门罗币。 研究人员表示,其中 80% 的网站还被植入了其它恶意程序,允许黑客窃取访问者的银行卡信息。据称,这些网站植入的都是 Coinhive.com 提供的脚本,其中 85% 被入侵网站植入的脚本属于两个 Coinhive 账号、15% 的则属于其他 Coinhive 账号。值得注意的是,这些账号正被一个人或一个组织控制。 此外,根据资源管理器显示,CPU 占用率超过了 95%,而关闭这个网站后立即降到 9%。因此,如果用户打开内嵌挖矿代码的网站后不关闭,每台电脑每个月都会多消耗2.9-5美元的电费,这还不算对硬件寿命的额外损耗。目前,研究人员提醒用户可以通过广告屏蔽工具或专门扩展阻止挖矿脚本的运行。 稿源:根据 cnBeta、solidot奇客 综合整理,封面源自网络;