分类: 黑客事件

Forever 21 证实:公司支付系统遭黑客攻击

据外媒报道,当地时间周四,Forever 21 证实其消费者支付银行卡信息暴露给黑客。不过这家公司并未公布受影响的客户数量,仅表示曾在今年 4 月 3 日至 11 月 18 日之间发生的交易受到影响,其黑客收集了用户信用卡号码、卡片可使用截止日期、验证码甚至持卡人的姓名。 Forever 21 在发给消费者的通知中写道:“我们对发生的这一事件感到遗憾,对此造成的任何担忧表示歉意。黑客通过在一些门店的销售终端安装恶意软件以达到网络攻击的目的”。这是网络犯罪分子针对大型零售店发起网络攻击的又一个例子。快餐连锁店 Chipotle 和视频游戏零售店 GameStop 今年也曾都遭到过类似的攻击。 虽然各大公司拥有阻止黑客攻击的技术,但它们并不是一直都拥有。Forever 21 认为,其销售终端应当都被加了密。这表示任何人都无法截取上面的信息并阅读。Forever 21 表示,但有些时候加密可能会被关掉。而这引发的结果就是遭到黑客攻击、客人的信用卡号码等信息遭到泄露。此外,Forever 21 表示,他们现在已经对这起网络改攻击展开了调查。 稿源:cnBeta,封面源自网络;编辑:青楚。

以太坊交易平台 EtherDelta 被黑,失窃近 27 万美元以太币

据外媒 12 月 27 日报道,以太坊交易平台 EtherDelta 的域名服务器( DNS )证实近期遭到黑客攻击,致使 308 以太币( 约合 $266,789 )及潜在价值数十万美元的代币被窃。据悉,此次网络攻击发生于本月 20 日,一度导致 EtherDelta 平台暂停服务,官方当日发表推文公布其 DNS 服务器遭受攻击等相关细节。直至 22日 EtherDelta 平台才完全恢复服务。 知情人士透露,此次黑客主要通过 DNS 劫持诱骗用户发送钱款。官方指出伪造的应用程序中不仅没有导航栏上的聊天按钮,也没有官方 Twitter 提要,并且还具有一个伪造的订单簿以便获取用户信任。 EtherDelta 在其推文中呼吁所有用户不要访问假冒的网站,并承诺使用 MetaMask 和 hardware 钱包的用户不会受到影响,以及从未在钓鱼网站上输入私钥的用户也是安全的。 目前全球各地已发生多起黑客入侵虚拟货币平台事件,如近期韩国加密货币交易所 Youbit 在今年第二次遭受重大攻击后宣布破产,加密货币矿业市场 NiceHash 也证实因黑客攻击导致价值 6000 万美元的比特币损失。 研究人员认为虚拟货币价格的飙升是吸引网络犯罪分子频繁进行攻击行动的主要原因。 更多阅读: ○ 韩国比特币交易所 YouBit 遭黑客入侵 宣布申请破产 ○ 挖矿算力市场 NiceHash 近 6400万美元比特币被盗 ○ 专家:2018 年比特币等加密货币将成黑客主要攻击目标 消息来源:Security Affairs,编译:榆榆;校审:FOX 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

X-Agent 后门大升级,俄罗斯 APT28 间谍活动更为隐蔽

HackerNews.cc 24 日消息,俄罗斯 “ 奇幻熊 ”(Fancy Bear,又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium)APT 组织于近期重构后门 X-Agent,通过改进其加密技术,使后门更加隐蔽和难以制止。据悉, X-Agent 后门(也称为 Sofacy )与 “ 奇幻熊 ” 的几次间谍活动都有关系。 安全公司 ESET 发表的报告显示,“ 奇幻熊 ” 目前对 X-Agent 所进行的操作较为复杂。其开发人员对其实施新的功能 ,并且重新设计了恶意软件的体系结构,使 X-Agent 更加难以检测和控制: X-Agent 曾特别设计用于针对 Windows、Linux、iOS 和 Android 操作系统 ,研究人员于今年初发现了 X-Agent 用于破坏 MAC OS 系统的第一个版本。 最新版 X-Agent 后门实现了混淆字符串和所有运行时类型信息的新技术、升级了一些用于 C&C 服务器的代码,并在 WinHttp 通道中添加了一个新的域生成算法 ( DGA ) 功能,用于快速创建回滚 C&C 域。此外,加密算法和 DGA 实现方面也存在重大改进,使得域名接管变得更加困难。ESET 观察到 “ 奇幻熊 ” 还实现了内部改进,包括可以用于隐藏受感染系统的恶意软件配置数据和其他数据的新命令。 虽然 “ 奇幻熊 ” 对 X-Agent 后门进行了诸多改进,但攻击链条基本保持不变。该组织依然依赖于网络钓鱼电子邮件进行网络攻击。 ESET 发表的报告称攻击通常以包含恶意链接或恶意附件的电子邮件开始。过去,Sedkit 漏洞利用工具包是他们首选的攻击媒介,但是自 2016 年年底以来,这类工具已经完全消失。目前 “ 奇幻熊 ” 越来越多地开始使用 DealersChoice 平台,该平台也是此前针对黑山共和国使用过的 Flash 漏洞利用框架(例如:利用 CVE-2017-11292 0-day ),可按需求生成嵌入式 Adobe Flash Player 漏洞文档。 截止目前,黑客组织“ 奇幻熊 ” 主要攻击目标仍然是世界各地的政府部门和使馆。 更多阅读: ESET 发布的关于 APT28 的详细分析报告:<Sednit update: How Fancy Bear Spent the Year> 消息来源:Security Affairs、ESET,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

来自金钱的诱惑:Lazarus APT 魔爪逐渐伸向加密货币

安全公司 Proofpoint 近日发现 Lazarus APT 组织对加密货币极为关注, 并试图利用公众、媒体对加密货币价格暴涨的浓厚兴趣展开攻击。因此 Proofpoint 推断 Lazarus 的攻击行动可能与经济利益挂钩。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。(编者注) Proofpoint 发现 Lazarus 的攻击行动有一些共同特性: 第一、朝鲜黑客发起的几个多阶段的攻击都使用了与加密货币有关联的恶意软件来感染用户。 第二,包括 Gh0st RAT 在内的其他恶意软件,都旨在窃取加密货币钱包和交易的凭证,使 Lazarus 组织能够利用比特币和其他加密货币进行有利可图的操作。 因此 Proofpoint 推测 Lazarus 所进行的间谍活动极有可能是出于经济原因(这些行动或是朝鲜特有的),但此前已有多家安全公司认定 Lazarus APT是由国家资助的间谍组织,而国家支持的组织通常又会进行间谍活动和制造混乱。因此研究 Lazarus 的这些行动变得具有探索意义,有趣的地方在于: ○ Lazarus  APT 似乎是被公开的由国家资助以获取经济利益的第一个黑客组织组织 ○ 这些针对加密货币的攻击行动也有利于研究人员记录 Lazarus APT 所使用的定制工具和程序。 ○ 通过这些行动可以推断 Lazarus 并不是一个针对个体的单纯组织。 ○ 可以更好地了解 Lazarus 的行动和其所代表的全球威胁 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国华盛顿近 2/3 监控摄像机网络曾遭罗马尼亚黑客劫持

前情提要:欧洲刑警组织(Europol)、联邦调查局 (FBI)和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动,警方在罗马尼亚东部抓获五名黑客,即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。 勒索软件 Cerber 于 2016 年 3 月出现,它以 RaaS 模式为基础获得广泛分布:RaaS 模式允许任何可能的黑客散布恶意软件,从而获取 40% 的赎金。与大多数勒索软件一样,CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体,比如钓鱼邮件和漏洞利用工具包。 据外媒 12 月 22 日报道,五名黑客中有两人被指控利用勒索软件 Cerber 控制华盛顿 123 台(近 2/3 的)监控摄像机设备。据悉,该起事件发生于美国总统特朗普就职典礼举行前夕,因此引发了美国媒体的骚动。除了欧洲刑警组织之外,美国特勤局目前也在调查这些恶意软件。特工 James Graham 针对这两名罗马尼亚黑客 Isvanca 和 Cismaru 的网络犯罪向美国司法部提供了有关证据。 这两名嫌疑人被指 于 1 月 9 日入侵了 123  台部署在华盛顿哥伦比亚特区警视厅 ( MPDC ) 的监控系统的安全摄像头(总共 187 个),该系统用于华盛顿警方监视华盛顿市的公共空间情况。 为了具体调查攻击情况,今年 1 月 12 日华盛顿警方 IT 人员和秘密服务代理人在确认了一些摄像头处于离线状态的情况下,使用远程桌面协议( RDP )软件连接到一台控制摄像头的服务器上,随后发现该服务器设备运行着许多不常见的软件,其中就包括两个勒索软件变种 Cerber 和 Dharma ,以及文本文件 USA.txt 。据悉,该文本文件中包含 179,616 个电子邮件地址,被用于向目标用户发送垃圾邮件。警方在取证过程中发现与两名黑客有关的邮件帐户 vand.suflete@gmail.com 中带有相同的文本文件。 参与调查的分析师对该邮件账号尤其感兴趣,从其中获得了链接至 Cerber 控制面板的信息,可以断定两名黑客长期租用勒索软件 Cerber 以便感染用户勒索钱财。也正是因为这一邮箱使调查人员成功追踪到黑客 Isvanca 和 Cismaru。 另外调查人员联系了 vand.suflete[at]gmail.com 电子邮件帐户中提到的一些人员和组织,以确定他们的系统是否已经被入侵。相关人员透露,被感染设备中发现的个别目标 IP 被追溯至英国的医疗保健公司,该公司向调查人员证实,其 eXpressApp Framework ( XAF )系统的用户账户已被泄露。 消息来源: TheRegister ,编译:榆榆,终审:FOX; 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

东风日产加拿大公司遭黑客入侵,或泄露 113 万车主敏感信息

据外媒报道,东风日产(加拿大)公司系统 12 月 11 日遭受黑客攻击,导致曾通过东风日产加拿大金融公司(简称 NCF) 和英菲尼迪(加拿大)金融服务公司贷款的约 113 万名车主信息泄露,其中包括客户姓名、地址、车辆制造和型号、车辆识别码、信用评分、贷款金额和月供。 该公司表示目前尚未查明发生入侵事件的确切原因和数据泄露量,所幸泄露的数据不包含支付数据和联系方式。不过 NCF 已采取措施并通过电子邮件提醒所有的客户注意信息安全。为了向公众表示歉意,NCF 承诺他将通过美国三大信用报告机构之一 ——TransUnion为客户提供免费的信用监控服务一年。 消息来源: threatpost,东风日产(加拿大)财务公司公告;编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

南方周末网站被恶意植入挖矿脚本,官方已恢复并上报

 12 月 20 日消息,南方周末网站近日发布关于 OpenX 业务模块被植入脚本的说明。南方周末发现,OpenX  广告业务模块被恶意植入挖矿脚本,目前已恢复。南方周末在说明中表示,近日南方周末网站发现 OpenX  广告业务模块被恶意植入挖矿脚本,立刻进行修复,于 12 月 15 日 11 时 10 分恢复正常。这次事件给用户访问造成影响,特致歉意。 无独有偶,近日,激活工具 KMSpico 的下载网站 kmspi.co 也被植入挖矿病毒。用户下载时,电脑将被植入挖矿病毒 “ Trojan/Miner ”。该病毒入侵用户电脑后,会利用电脑疯狂 “ 挖矿 ”(生产 “ 门罗币 ” ),让这些用户电脑沦为他们牟取利益的 “ 肉鸡 ”。 一般情况下,挖矿病毒侵入用户电脑后,会在用户不知情的情况下,疯狂占用用户电脑资源,令电脑出现速度变慢、发热等异常,给其造成极大危害。 南方周末表示,目前,在专业部门支持下,现已查清漏洞,删除植入,用户可放心浏览使用网站。南周报社已经将此事上报主管部门,依法保护自身权益。 稿源:cnBeta、TechWeb,封面源自网络;编辑:榆榆

韩国比特币交易所 YouBit 遭黑客入侵 宣布申请破产

据路透社北京时间 12 月 19 日报道,韩国加密货币交易所 Youbit 周二宣布,在遭到今年的第二次黑客入侵后交易所将关闭,并申请破产。随着比特币和其他虚拟货币的交易快速增长,安全性问题日益凸显。据韩国媒体报道,Youbit 上一次遭到黑客入侵是在今年 4 月份。当时,Youbit 在一次网络攻击中丢失了近 4000 个比特币。韩国情报部门认为,这次网络攻击与朝鲜有关。 Youbit 在其网站上宣布:交易所在当地时间周二 4:35 分(北京时间周二 3:35 分)遭到入侵,造成的损失相当于总资产的 17%。不过,虽然 Youbit 并未具体披露损失金额,但表示所有客户的虚拟货币资产价值将被减记至原价值的 75%,并停止交易,努力将客户损失降到最低。 在韩国加密货币市场,Youbit 是一家规模较小的交易所。相比之下,全球最繁忙的加密货币交易所 Bithumb 占据了韩国加密货币市场大约 70% 的份额。韩国互联网振兴院(KISA)官员表示,已与警方启动了对入侵事件的调查。韩国互联网振兴院负责处理网络攻击。 比特币交易所和比特币钱包常常是黑客攻击的对象。安全专家称,随着比特币价格的上涨,它更加易于受到网络犯罪行为的攻击。截至格林威治标准时间周二 7:03 分(北京时间周二 15:03 分),比特币在卢森堡交易所 Bitstamp 的价格为 18,759.67 美元,接近创纪录高位。 稿源:cnBeta、凤凰网科技,封面源自网络;编辑:青楚

朝鲜兴趣浓厚?Lazarus APT 钓鱼活动瞄准伦敦加密货币公司

据外媒 12 月 15 日报道,美国网络安全公司 Secureworks 周五表示,朝鲜 Lazarus APT 集团正对伦敦一家加密货币公司展开钓鱼式攻击行动,其目的在于窃取比特币行业内部人士的在线证书。Secureworks 公司警告钓鱼活动可能带来严重后果。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。(编者注) 以招聘为饵散播钓鱼邮件 据 Secureworks 的专家介绍, Lazarus APT 以伦敦一家加密货币公司担任首席财务官职位为饵制作了针对性的钓鱼邮件,一步步引诱受害者点击邮件中附带的恶意链接。点击链接后的用户系统将会感染恶意代码、安装远控软件并进一步下载其他恶意软件或被窃取数据。 Secureworks 公司表示,这个恶意软件与 Lazarus APT 集团之前的一个叫做 “ Nickel Academy ” 的行动共享技术链接。在这次攻击中观察到的 TTPs(techniques, tactics, and procedures)与此前属于 Lazarus APT 的网络攻击战术有许多相似之处。不过目前为止 Secureworks 并没有透露是否有用户点击了钓鱼链接的任何消息 。 钓鱼活动仍在继续进行 据路透社报道,这次发现的鱼叉式网络钓鱼 (Spear phishing) 攻击似乎开始于今年 10 月 25 日,但据研究人员观察,最初的钓鱼活动应该可以追溯到 2016 年。研究人员认为直至目前 Lazarus APT 窃取证书的钓鱼活动仍在进行中。 最近侵入韩国几家比特币交易所的行为被暂时归咎于朝鲜 ,因为通过 Secureworks 搜集的证据显示,朝鲜于 2013 年就显露出对比特币的强烈兴趣。当时,有国家资助背景的黑客使用了一组来自使用朝鲜互联网地址的计算机用户名,这些用户名就是被用来研究比特币的。因此研究人员猜测,这次侵入韩国比特币交易所使用的同一个互联网地址与之前的朝鲜行动有关。 “鉴于目前比特币价格的暴涨,美国反恐局( CTU )怀疑朝鲜对加密货币的兴趣仍然很高,并且可能继续围绕加密货币开展攻击行动”, Secureworks 公司在给路透社的一份声明中表示 Lazarus APT 的钓鱼活动仍在进行中,并警告可能造成严重后果。 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Mirai 僵尸网络导致主流网站陷入瘫痪 其幕后黑手承认罪行

根据法院文件显示,美国司法部已经捕获一名曾参与发起 2016 年大型网络攻击的犯罪嫌疑人,此次网络攻击是通过一个由多台受感染设备组成的名为 Mirai botnet 的网络发起的,结果使得大量主流网站陷入瘫痪状态。根据本周二联邦法庭在阿拉斯加公布的消息显示,被逮捕的犯罪嫌疑人派勒士·嘉(Paras Jua)承认此次罪行。 在此次网络攻击中使用的 Mirai botnet 是一种由大量联网设备比如网络摄像头和监控摄像头组成的网络,这些设备首先遭到攻击,之后就变成一群可以对其他网站或网络基础设施发起攻击的数字机器人大军。 在此次网络攻击中使用的 Mirai botnet 是一种由大量联网设备比如网络摄像头和监控摄像头组成的网络,这些设备首先遭到攻击,之后就变成一群可以对其他网站或网络基础设施发起攻击的数字机器人大军。 稿源:cnBeta,封面源自网络;