标签: 数据泄露

从 Agent.BTZ 到 ComRAT v4 的十年发展历程

ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的更新版本。Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年,之前也介绍过许多该组织的活动。 ComRAT,也称为Agent.BTZ,是一种用于远程访问特洛伊木马(RAT),该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版(约在2007年发布)通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年,已经发布了RAT的两个主要版本。有趣的是,它们都使用了著名的Turla XOR密钥: 1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s 2017年,Turla开发人员对ComRAT进行了一些更改,但这些变体仍然是从相同的代码库中派生出来的,相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库,相比之前的版本会复杂很多。以下是该恶意软件的几个特征: ComRAT v4于2017年首次亮相,直到2020年1月仍在使用。 其至少确定了三个攻击目标:两个外交部和一个国民议会。 ComRAT用于窃取敏感文档,运营商使用OneDrive和4shared等云服务来窃取数据。 ComRAT是用C ++开发的复杂后门程序。 ComRAT使用FAT16格式化的虚拟FAT16文件系统。 其使用现有的访问方法(例如PowerStalli on PowerShell后门)部署ComRAT。 ComRAT具有两个命令和控制通道: 1.HTTP:它使用与ComRAT v3完全相同的协议; 2.电子邮件:它使用Gmail网络界面接收命令并窃取数据。 ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1222/     消息来源:welivesecurity, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

黑客组织窃取 ESET 杀毒软件日志 观察他们的恶意程序有没有检测出

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月,三个目标分别是国家议会和外交部,黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。 ComRAT 的最新版本是 v4,研究人员观察到了 ComRAT v4 的新变种包含了两项新功能:收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。 安全研究人员认为,黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来,他们可以进行调整以躲避检测。     (稿源:solidot,封面源自网络。)

泰国移动运营商泄露 83 亿互联网记录

研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问,数据库包含大约 83 亿记录,容量约为 4.7 TB,每 24 小时增加 2 亿记录。 AIS 是泰国最大的 GSM 移动运营商,用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制,包括了 DNS 查询日志和 NetFlow 日志,这些数据可用于绘制一个用户的网络活动图。 研究人员尝试联系 AIS 但毫无结果,直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。     (稿源:solidot,封面源自网络。)

因社交平台隐私问题 Twitter 和 WhatsApp 或面临欧洲制裁

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象,围绕数据保护问题,欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称,针对Twitter数据泄露问题,5月22日确定一份草案,委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说,在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求,针对任何提出的制裁,Facebook服务必须发表评论,然后方便欧盟各国进行评估。 2018年5月,《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,之后爱尔兰当局加大调查力度,但并没有给出最终决定。一些美国大型科技公司成为调查对象,包括Twitter、Facebook、谷歌、苹果,爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规,《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单,这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说,其它一些案件也取得进展,比如针对Facebook当地部门的尽职调查,委员会想知道Facebook是否为个人数据处理确立法律基础。     (稿源:新浪科技,封面源自网络。)

任天堂泄露事件愈演愈烈 3DS 操作系统源代码泄露

任天堂泄露事件愈演愈烈,据Resetera网友爆料,目前3DS操作系统的完整源代码已经流传到了网上。这次的泄露虽然没有包含设计文档,不过包含了许多有趣的开发文件。比方说根据Log文件中的引用,NVIDIA看起来在2006年时就曾参与到了3DS的开发中,其他泄露的文件目录可以参见此处。 考虑到3DS目前仍未淘汰,同时NS操作系统也是基于3DS操作系统,此次泄露的影响恐怕更为严重。 除此之外,《宝可梦:珍珠/钻石》的源代码也泄露到了网上,不过此次泄露中没有出现新的宝可梦原型。     (稿源:GamerSky游民星空,封面源自网络。)

黑客叫卖 Wishbone 4000 万注册用户的数据

外媒报道称,一名黑客正在叫卖 Wishbone 4000 万注册用户的详细信息,且宣称这批数据是在今年早些时候的黑客攻击活动中窃取的。作为一款流行的移动 App,其允许用户通过简单的投票调查,在两个物品之间展开比较。然而 ZDNet 指出,Wishbone 的大量注册用户信息正在多个黑客论坛上挂牌叫卖,价格仅为 0.85 个比特币(约 8000 美元)。 卖方挂出的示例表明,数据库中包含了 Wishbone 的用户名、电子邮件、电话号码、所在城市、以及密码的哈希值等信息。 黑客声称密码为 SHA1 格式,但 ZDNet 审查发现样本中包含 MD5 格式的密码。 作为一种弱密码散列格式,MD5 很容易被暴力破解算出原始的纯文本字符串,甚至线上就有许多可免费使用的破解工具。 此外数据库汇总包含了指向 Wishbone 个人资料图片的链接,样本中明显涵盖了大量的未成年人用户群体。 黑客声称 Wishbone 应用数据是在今年早些时候发生的一次攻击中窃取的,样本中包含的用户注册和最后登录日期可证明这一点(追溯到 2020 年 1 月),但目前尚不清楚是谁将它挂到黑客论坛上叫卖的。 ZDNet 分析发现,该黑客目前还在兜售数十家其它企业的数据库(总计超过 15 亿条记录),且大多数都来自前些年有被报道过的企业,比如 2017 年波及 Wishbone 的 220 万用户数据泄露事件。 尽管 Wishbone 未披露近年来的用户规模数据,但该 App 多年来一直是 iOS App Store 排名前 50 的社交类应用(甚至在在 2018 年窜升至前 10),谷歌 Play 商店的下载量也在 500 ~ 1000 万之间。   (稿源:cnBeta,封面源自网络。)

黑客 Sanix 在乌克兰被捕 曾贩卖数十亿用户的登陆凭证

乌克兰特勤局今日宣布逮捕了一位名叫 Sanix 的黑客,其曾通过黑客论坛和 Telegram 渠道贩卖数十亿受害用户的登陆凭证。本次逮捕发生在乌克兰西部城市 Ivano-Frankivsk,但官方为披露黑客的真名。作为地下黑客论坛的老成员,有关部门最早在 2018 年追溯到了他的线索。 在安全专家看来,Sanix 的身份更像是一位二道贩子(数据中间商 / Data Broker)。其收集了被黑客入侵的企业泄露的大量数据,将之整理汇总出大量的用户登陆凭证(ID 和密码)。 Sanix 随后将数据贩卖给其它在灰色地带从事网络犯罪的恶意行为者,比如垃圾邮件发送者、密码破解者、账户劫持者、以及暴力僵尸网络的幕后黑手。 在 Telegram 上,Sanix 也曾化名 Sanixer 。其最初负责‘组装’一系列用户名和密码组合,并打包成 #1、#2、#3、#4、#5、Antipublic 等数据集合。 这些资料涵盖了数十亿个唯一的用户名和密码组合,合计容量达到了数 TB,并且已经在私底下被贩卖多年。 然而威胁情报公司 IntSights 指出,部分资料在与另一位二道贩子 Azatej 发生纠纷后在网络上被泄露(Azatej 被认为是贩卖被盗数据的 Infinity Black 门户网站的幕后黑手)。 尽管 Azatej / Sanix 只是泄露了打包后的旧数据,却还是在 2019 年 1 月引发了媒体的强烈关注。时至今日,Collection #1 甚至在维基百科上都拥有了专属的介绍页面。 据悉,Azatej 陆续泄露了多个数据包。但在欧洲刑警组织针对 Infinity Black 采取的一系列行动中,Azatej 已于本月早些时候被逮捕。 乌克兰特勤局(SSU)在今日的新闻发布会上表示,其在 Sanix 的计算机上找到了 Collection#1 的副本,以及至少七个类似的被盗密码数据库。 除了收集用户名和密码,Sanix 的计算机上还存储了与银行卡 PIN 码、加密货币钱包、PayPal 账号、以及 DDoS 僵尸网络有关的信息。 随后的统计发现,SSU 一共从 Sanix 的住所中查获了 2TB 的数据、以及 3000 美元和 19 万格里夫纳(约 7000 美元)的赃款。   (稿源:cnBeta,封面源自网络。)

EFF 呼吁阻止谷歌收购 Fitbit:会收集大量用户的敏感数据

5月14日,欧洲消费者组织BEUC警告称谷歌收购Fitbit会改变数字健康市场的游戏规则,可能会损害消费者利益,同时阻碍创新。在近日电子前沿基金会(EFF)发布的公开信中,该机构也持相同的观点,希望能够阻止谷歌收购Fitbit,并希望得到之前已购买Fitbit产品用户的支持。 更具体来说,EFF认为只有Fitbit的用户才能帮助阻止这次收购,并向Fitbit用户发出了灵魂拷问。EFF问道:“你购买Fitbit产品的原因之一是不是不愿意向谷歌分享更多的数据?谷歌收购Fitbit是否让你有种无法逃脱谷歌数据收集魔爪的感觉?” EFF表示科技巨头并不一定会投资创新,而是更喜欢收购能够为创新加油的公司。EFF表示:“谷歌的两个标志性项目搜索和Gmail都是内部项目,但其他绝大多数产品的成功都是收购自其他公司。” EFF继续说道:“现在谷歌正尝试在Fitbit旧戏重演,这会让这家占主导地位的可穿戴健身追踪公司消失进入Googleplex中,而其中会收集大量用户的敏感数据。” 谷歌于去年11月官宣了这笔交易,通过收购Fitbit,谷歌试图在竞争激烈的健身追踪器和智能手表市场上与苹果和三星一较高下。在这一领域,华为和小米也是主要竞争者。 然而,批评人士表示,收购Fitbit将使这家美国科技巨头获得大量的健康数据。这些数据来自于Fitbit的健身追踪器和其他用于监控用户日常步数、卡路里消耗和行驶距离的设备。   (稿源:cnBeta,封面源自网络。)

LOLSnif–另一个基于 Ursnif 的目标追踪活动

工具泄露是网络安全中非常有趣的事件。一方面泄露的工具在被熟知且进行分析后,会对原有的文件造成某种意义的破坏,另一方面其内容将会被传入到较低版本的工具当中。本文将会对Ursnif的新版本进行了详细分析。 由于恶意软件的存在,源代码泄露情况很普遍。2017年,代码“ Eternal Blue”(CVE-2017-0144)遭泄露并被黑客入侵,而早在2010年银行木马Zeus的泄露就已经形成了恶意软件新格局,该木马的源代码在泄露后,出现了与该银行木马相同的代码库。本文我将重点介绍源代码在2014年就被泄露的系列事件,这个系列被称为Ursnif(也称为Gozi2 / ISFB),Ursnif是成熟的银行木马,而关于该系列的研究也有很多。 本文中我对Ursnif的最新变体进行了分析,发现它利用LOLBins、组件对象模型(COM)接口等技术来检测Internet Explorer,借此绕过本地代理以及Windows Management Instrumentation(WMI)来与操作系统进行交互,达到代替本地Win32 API的效果,该操作很难被检测到。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1213/   消息来源:telekom, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

梅赛德斯奔驰 OLU 源代码在网上曝光

外媒ZDNet获悉,梅赛德斯-奔驰货车上安装的“智能汽车”零部件源代码上周末在网上泄露。而在泄密事件发生之前,瑞士软件工程师Till Kottmann发现了一个属于戴姆勒公司(Daimler AG)的Git门户网站。戴姆勒是一家德国汽车公司,旗下拥有梅赛德斯-奔驰汽车品牌。 Kottmann告诉ZDNet,他可以在戴姆勒的代码托管门户上注册一个帐户然后下载580多个Git存储库,其中包含了梅赛德斯奔驰货车上安装的车载逻辑单元(OLU)的源代码。 什么是OLU? 根据戴姆勒的网站,OLU是介于汽车硬件和软件之间的一个组件,它负责将车辆连接到云端。 戴姆勒表示,OLU简化了对实时车辆数据的技术访问和管理并允许第三方开发人员创建从奔驰货车检索数据的应用程序。 这些应用程序通常用于跟踪货车在路上的情况、跟踪货车的内部状态或用于冷冻货车以防盗窃情况发生。 不安全的GitLab安装泄漏了OLU代码 Kottmann告诉ZDNet,他发现戴姆勒的GitLab服务器使用了一些简单的东西如Google dorks(专门的Google搜索查询)。 GitLab是一个基于web的软件包,各大公司用它来集中处理Git存储库。 Git是一种专门用于跟踪源代码更改的软件,它允许多人工程团队编写代码,然后将代码同步到一个中央服务器–在本例中则是戴姆勒基于Gitlab的网页门户。 Kottmann告诉ZDNet:“当我感到无聊的时候,我经常会寻找有趣的GitLab实例,大多数情况下都是使用简单的Google dork,对于几乎没有考虑到安全设置这件事一直让我感到惊讶。” Kottman表示,戴姆勒未能实施账户确认流程,而这使其能使用一个不存在的戴姆勒公司电子邮件在公司的官方GitLab服务器上注册一个账户。 这位研究人员称,他从公司的服务器上下载了超580个Git存储库,他计划在周末将其公开并将文件上传到文件托管服务MEGA、Internet Archive和他自己的GitLab服务器等几个地方。 针对这一情况,ZDNet审查了一些泄漏的Git存储库。他们查看的文件中没有一个包含开源许可,这表明这这些文件都是不应该公开的专有信息。 泄露的项目包括梅赛德斯厢式货车OLU组件的源代码,另外还有树莓派图像、服务器图像、用于管理远程OLU的戴姆勒内部组件、内部文档、代码样本等等。 虽然一开始泄露的数据看起来无害,但负责审查数据的威胁情报公司告诉ZDNet,他们发现了戴姆勒内部系统的密码和API令牌。如果这些密码和访问令牌落到一些怀有坏心思的人手中则可能会被用来计划和发动针对戴姆勒云计算和内部网络的入侵。 现在,ZDNet和Under the Breach都已经跟戴姆勒公司取得了联系,该公司已经从GitLab服务器下载了这些数据。不过戴姆勒发言人没有回复记者的正式置评请求。 Kottmann告诉ZDNet,他打算把戴姆勒的源代码留在网上,直到该公司要求他删除源代码。 然而,关于Kottmann行为的合法性仍存在一些疑问,因为他没有在周末在线发布源代码之前试图通知公司。 而另一方面,GitLab服务器允许任何人注册一个帐户,有些人可能会将其解释为一个开放的系统。此外,ZDNet在今日早些时候审查的源代码并没有出现这是专有技术的警告。     (稿源:cnBeta,封面源自网络。)