标签: 朝鲜黑客

Adobe Flash曝零日漏洞 微软紧急发补丁

Adobe Flash 曾经是互联网的功臣,但不适应时代发展的它正在被放弃,只不过安全问题依然很严重,无论 Adobe 还是微软都不得不随时为它更新维护。今天,微软发布了一个编号 KB4074595 的新补丁,专门用于修复 Adobe Flash Player 中的最新 0-day 零日漏洞。 该漏洞存在于 Adobe Flash Player 28.0.0.161 之前的版本中,能让攻击者通过网络或邮件传播包含恶意Flash内容的Office文档,获得系统控制权、执行任意代码。 操作系统方面,除了 Windows 7 之外所有版本都受影响。 据韩国计算机紧急响应团队披露,这个漏洞至少从 2017 年 11 月中旬就被发现了,而且韩国已有人利用此漏洞发起攻击,主要针对与韩国与朝鲜合作的研究部门。 Adobe 也确认已经知晓此漏洞攻击,并建议用户立即升级最新版本 Flash Player 或者更新补丁。 稿源:cnBeta、快科技,封面源自网络

朝鲜被指控窃取价值 2 万 5 千美元的加密货币

韩国金融安全研究所说,黑客正在挖掘加密货币来资助金正恩政权。彭博社援引韩国政府的分析报导,朝鲜黑客安达列尔( Andariel )今年夏天入侵韩国一家公司的服务器窃取 70 枚莫罗硬币。由 Mariah Carey 和 Fall Out Boy 等音乐人支持的这些电子货币价值总共为 25,000 美元( 18,440 英镑或 31,880 澳元)。 这个消息显示国际上对于朝鲜的制裁正在收紧,朝鲜转向加密货币作为政府资金来源。美国上个月指责朝鲜5月份在全球范围发动 WannaCry 网络攻击事件,瘫痪了超过 30 万台服务器,但是朝鲜否认有任何参与。袭击的受害者发现他们的电脑被锁定,必须支付比特币赎金才能解锁他们的文件。 比特币被朝鲜用作“经济武器”的潜力也被认为是韩国政府想要对加密货币进行打击的一个原因。这次曝光莫罗硬币是专为那些偏爱隐私的人而设计,因为比起比特币和以太坊这样的竞争对手来说,追踪莫罗硬币更加困难。据彭博社报道,韩国政府金融安全研究所所长郭永举(Kwak Kyoung-ju)表示,因为这个原因,莫罗硬币是一个更容易洗钱的货币。 稿源:cnBeta.com, 封面源自网络;

来自金钱的诱惑:Lazarus APT 魔爪逐渐伸向加密货币

安全公司 Proofpoint 近日发现 Lazarus APT 组织对加密货币极为关注, 并试图利用公众、媒体对加密货币价格暴涨的浓厚兴趣展开攻击。因此 Proofpoint 推断 Lazarus 的攻击行动可能与经济利益挂钩。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。(编者注) Proofpoint 发现 Lazarus 的攻击行动有一些共同特性: 第一、朝鲜黑客发起的几个多阶段的攻击都使用了与加密货币有关联的恶意软件来感染用户。 第二,包括 Gh0st RAT 在内的其他恶意软件,都旨在窃取加密货币钱包和交易的凭证,使 Lazarus 组织能够利用比特币和其他加密货币进行有利可图的操作。 因此 Proofpoint 推测 Lazarus 所进行的间谍活动极有可能是出于经济原因(这些行动或是朝鲜特有的),但此前已有多家安全公司认定 Lazarus APT是由国家资助的间谍组织,而国家支持的组织通常又会进行间谍活动和制造混乱。因此研究 Lazarus 的这些行动变得具有探索意义,有趣的地方在于: ○ Lazarus  APT 似乎是被公开的由国家资助以获取经济利益的第一个黑客组织组织 ○ 这些针对加密货币的攻击行动也有利于研究人员记录 Lazarus APT 所使用的定制工具和程序。 ○ 通过这些行动可以推断 Lazarus 并不是一个针对个体的单纯组织。 ○ 可以更好地了解 Lazarus 的行动和其所代表的全球威胁 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

赛门铁克公布 WannaCry 与朝鲜黑客组织关联的最新证据

Google、赛门铁克和卡巴斯基的安全研究人员上周报告了勒索软件 WannaCry 可能与朝鲜黑客组织 Lazarus Group 有关联的证据。现在,赛门铁克通过最新的官方博客报告了更多的证据。 在 5 月 12 日WannaCry 全球性爆发前,其早期版本曾在二月、三月和四月份用以执行少量目标性攻击。早期版本的 WannaCry 和 2017 年 5 月的版本基本相同,只是传播方式有所差别,区别是后者整合了 NSA 的代码。攻击者所使用的工具、技术和基础设施与之前 Lazarus 攻击事件有大量共同点: 在 WannaCry 于二月份的首次攻击之后,受害者网络上发现了与 Lazarus 有关恶意软件的三个组成部分—— Trojan.Volgmer 和 Backdoor.Destover 的两个变体,后者是索尼影业公司攻击事件中所使用的磁盘数据清除工具; Trojan.Alphanc 用以在三月和四月份中传播 WannaCry,该病毒是 Backdoor.Duuzer 的修正版,而 Backdoor.Duuzer 之前与 Lazarus 有所关联; Trojan.Bravonc 与 Backdoor.Duuzer 和 Backdoor.Destover 使用相同的 IP 地址以进行命令和控制,而后两者均与 Lazarus 有所关联;Backdoor.Bravonc 的代码混淆方法和 WannaCry 与 Infostealer.Fakepude(与 Lazarus 有所关联)相似。 稿源:solidot奇客,封面源自网络

韩国 2100 亿美元防御新计划:强调网络安全和军事间谍卫星

据防务世界网站报道,韩国从其修订的 5 年中期网络安全防务计划中储备 2465 亿韩元( 2.18 亿美元),以应对来自朝鲜黑客日益增长的威胁。 国防部表示,部分资金也将用于价值 1 万亿韩元的 “ 425项目 ”,其 2022 年从外国采购 5 颗军事卫星,以提高歼灭边境重要军事设施的突破能力。此外,韩国首尔于本周五宣布 238.2 万亿韩元( 2100 亿美元)的中期防御蓝图,覆盖韩国空军和导弹防御的 “ 三轴系统 ” 。据韩国联合通讯社引用军方声明报道,他们计划改进整个朝鲜地区的监视和打击能力,扩大核心设施的防御能力,开发独立的、大规模报复能力。 据国民议会报道,首尔将于 2020 年早期实现建立三轴系统的军事计划。据悉,军方还将采取新打击手段摧毁北方重要的军事设施。除了短程弹道导弹和 1000 公里射程的 Hyunmoo-3 巡航导弹以外,他们正开发 800 公里射程的导弹。 稿源:网易新闻  内容节选;封面源自网络

朝鲜黑客袭击韩国内网,曾导致美韩秘密作战计划曝光

据外媒报道,朝鲜黑客窃取美韩两国秘密作战计划 ,曾导致美韩联合部队瞄准朝鲜发动战争的计划全面曝光,该计划主要包括首次攻击目标与军队部署策略。 OPlan 5027 于 20 世纪 70 年代后期制定,自 1994 年以来每两年更新一次。最新 OPlan 5015 作战计划于 2015 年拟定,其中包括美韩针对潜在核运载系统的进攻性立场。 2016 年中旬,朝鲜黑客入侵韩国防御系统国防综合数据中心( Defense Integrated Data Centre ),导致“ OPlan 5027 ”作战计划泄漏。国防官员承认部分资料被盗,低调处理此次事件。一位政府知情人士表示,黑客组织仅仅访问了该计划的部分内容,并未窃取完整文件。 据《 朝鲜日报 》报道,朝鲜在过去几个月内发射导弹的频率持续飙升,基于朝鲜已访问 OPlan 5015 作战计划,韩国时刻保持警惕并正在商讨是否修改作战计划。 2016 年,韩国国防官员承认,朝鲜恶意软件入侵并感染韩国约 2000 台互联网电脑与 700 台内网计算机。政府官员表示,他们已经在韩美联合部队司令部和参谋长联席会议的计算机网络中检测到渗透迹象,但难以衡量该黑客组织窃取了哪些机密信息。 2009 年,韩国政府官员使用不安全 USB 存储器下载 “ OPlan 5027 ”作战计划时,也发生过类似事件。据悉,朝鲜黑客当时就已访问了该机密信息,这或许与韩国军事安全管理欠缺有关。 据悉,朝鲜和美国的紧张局势在今年持续升温,特朗普对于北方的军事行动也越来越明显。与此同时,网络安全公司卡巴斯基于 4 日发布报告并提供证据,证明朝鲜黑客攻击全球金融公司,其中包括去年孟加拉国中央银行 8100 万美元被盗事件。 原作者:Jason Murdock, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

朝鲜黑客肆虐全球:从赌场到银行无一幸免

2016 年 2 月,孟加拉国央行陷入一片混乱,计算机系统惨遭黑客入侵、千万美元不翼而飞。时隔一年有余,证明朝鲜与该事件联系紧密的相关证据数量仍不断攀升。这起黑客事件曾被认为是全球范围内已知的最大规模金融网络犯罪。直至目前, 犯罪人员身份仍为不解之谜。 配图源自网络 自去年以来,关于此案的松散追踪就从未停止,调查结果显示,一个与朝鲜方面存在关联、代号为“拉撒路”(Lazarus)的黑客组织难逃干系,但据本月 3 日最新证据显示该组织开展的活动范围远超过之前预期。 卡巴斯基安全实验室认为,Lazarus 旗下代号为 Bluenoroff 的黑客组织专门从事金融犯罪,攻击目标遍及全球十余个国家的银行、赌场、加密货币公司。卡巴斯基实验室全球研究与分析团队在一篇博文中阐述:“Lazarus 的影响远非一般 APT(高级持续性威胁,用于描述掌握广泛资源的黑客组织、通常与政府或情报机构相关联)组织所能及”。 根据卡巴斯基调查报告内容,此黑客组织采用“水坑攻击”技术(通过恶意软件感染目标访问网站)向俄罗斯、挪威、墨西哥、乌拉圭、澳大利亚、印度、波兰、秘鲁、尼日利亚等国发起攻击。 问题焦点 卡巴斯基表示,迄今已在 18 个国家发现该组织的行踪,其中包括今年发生在欧洲与东南亚国家的一些尚未报道的黑客行为,并发布了一份根据一台命令与控制(C&C)服务器进行的分析报告。据称,这台 C&C 服务器透露了一个源自朝鲜的特殊 IP 地址。 图2. 被 Lazarus 设定为攻击目标的已知金融机构地理分布 研究结果表明,未能对无响应、被冻结的现成加密货币挖掘软件进行适当清理导致了服务器更易遭到黑客入侵。但无论如何,该 IP 地址的存在都使朝鲜成为问题的焦点。平壤方面是否与这一系列网络攻击行动有直接关系仍有待探索。通常,此类攻击都被认为源自中国。尽管如此,发生在 2014 年的索尼影业遭到大规模攻击事件已暗示了 Lazarus 以及朝鲜独裁政权具有此方面嫌疑。 网络破坏与硬盘擦除作为索尼被黑事件的两大特点与近期发生的金融犯罪不谋而合。多家网络安全公司均表示该组织已活跃多年(大概可追溯至 2009 年),但卡巴斯基认为将目标设定为银行的做法此前较少出现。一种假设是该黑客组织被迫转向此类型攻击是为了获得经济上的资助。该项计划的真实范围仍不清楚,但造成的影响显而易见。相关样本表明其拥有一个“恶意软件工厂”,提供从多种来源获取的黑客工具。 研究人员表示,“ Lazarus 攻击并非地方性问题,显然该组织的作战范围已遍及全球各地,疑似不同成员在网络窃取钱财或获得非法利润问题上具有不同分工。” “我们认为该组织的最初行动始于 2016 年底,继东南亚地区开展的其他行动中断后进行重新分组并转战至新的国家,选取目标主要为贫穷、较不发达地区,因为这些目标显然更容易得手。 “难以察觉的偷窃行为” 据报道,为了寻找偷窃巨款的途径,Lazarus/Bluenoroff 在“分解”合法软件与补丁方面花费了大量时间。尽管如此,所采用恶意软件的设计初衷并非遵循“打了就跑”模式。“他们的解决方案旨在实现不留痕迹的偷窃”,研究人员表示。 “当然,想把上千万美元巨款挪走又不被发几乎不大可能,但我们认为他们可能正在许多不同地点对恶意软件进行秘密开发,由于行动隐蔽,尚未触发其他任何严重的警报。 “Bluenoroff堪称迄今面向金融产业成功发动大规模攻击的黑客组织之一。我们认为在未来的几年内,他们仍将是银行部门、金融与贸易公司以及赌场面临的巨大威胁。” 证据数量不断攀升 然而,关于此类事件的最新消息并非源自 Lazarus。事实上,赛门铁克曾于今年 2 月在一些黑客与某波兰金融机构之间存在可疑的关联。据称,位于 31 个不同国家的 100 多个组织机构被设定为攻击目标。分析报告透露这款此前未发现的恶意软件名为 Ratankba,疑似与该朝鲜黑客组织之间存在“共性”。除了惊人相似的硬盘擦除能力外还同样采用“进攻+破坏”策略。 此外,BAE Systems Intelleigence & Security 称英国至少 7 家银行曾遭受Lazarus 恶意软件攻击。美国新增 15 起被袭击事件、波兰新增 19 起、墨西哥新增 9 起。该公司强调在卡巴斯基开展此类研究前这些事件之间存在的真实关联始终模糊难辨。 早在 2016 年 2 月,全球执法与安全巨头合作伙伴关系揭露了“重磅炸弹行动”(Operation Blockbuster),介绍了名为 Destover 的 Lazarus 相关恶意软件如何在引导FBI得出朝鲜与该行动联系密切这一结论的过程中发挥作用。 报告称,Lazarus 组织开发了广泛而多样化的工具集,可以有效结合多种方法提供其他恶意软件工具、渗出数据、发动破坏性攻击。 原作者:Jason Murdock, 译者:游弋,审核校对:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

韩国遭遇针对性网络间谍活动,矛头再次指向朝鲜

据外媒报道,韩国再次遭到一次复杂的网络间谍活动。思科 Talos 团队专家称,网络间谍活动发生在 2016 年 11 月至 2017 年 1 月期间,疑似朝鲜支持的黑客利用韩语语言文字处理程序 HWP 漏洞并以韩国统一部名义编写钓鱼文档传播恶意软件。 HWP 办公软件很少在韩国以外地区使用,但它在韩国很流行,包括很多政府部门都在使用。 攻击者首先入侵了韩国政府法律服务网站( kgls.or.kr )并进行挂马。黑客使用了一个标题为“ 2017 朝鲜分析报告”的诱饵文件,文件底部还附加了韩国统一部标志。 调查人员认为攻击是由朝鲜支持的黑客发动的。该网络攻击使用的技术、战术和程序都与此前发现的黑客组织特征相匹配。朝鲜也一直是韩国网络攻击的主要嫌疑对象。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

针对国际银行的网络攻击与索尼所受攻击相关

对近期金融机构网络攻击的调查发现,这些攻击与 2014 年索尼黑客攻击相关。黑客在金融监管机构的网站上安装未授权代码,然后利用这些网站攻击一系列选定全球金融机构的电脑。研究人员不清楚具体有多少银行遭受攻击以及是否发生了财务损失。这些黑客行动与 2014 年索尼影视遭受的破坏性黑客攻击等其他攻击有关。 安全研究人员认为索尼事件幕后黑手是一个与朝鲜有关的组织,他们将其称为 “Lazarus”。该组织自 2009 年以来一直较活跃。如果最近的攻击行动确实系 Lazarus 所为,这意味着该组织正在扩大对银行业的攻击。 稿源:solidot,有删改,封面来源于网络

韩国 DATQ 发布警告:朝鲜黑客能够“瘫痪”美太平洋司令部控制中心

韩国国营机构发布了一份报告警告称,朝鲜黑客可发起全面的网络攻击“瘫痪”美国太平洋司令部(US PACOM)控制中心。韩国国防专家认为,朝鲜网络能力不断提升可对美国军方和关键基础设施造成大规模破坏。 韩国国防技术质量研究院( DATQ )的报告称,美国五角大楼近期进行了一次模拟推演并表明朝鲜黑客有能力发动网络攻击使“太平洋司令部”瘫痪,同时也可以对美国电网造成严重损坏。韩国国防部估计,朝鲜有一支 6800 人组成的具有高度战斗力的网络作战部队,具体从事黑客工作的人员可能高达 3 万。 朝鲜的网络攻击能力是非常强的,早在 2013 年韩国三家大型银行和电视广播公司遭到大规模网络楼攻击,近 48000 台电脑感染了恶意软件。最近,韩国国防部指责朝鲜黑客入侵 军方网络,朝鲜则回应称指控系“无稽之谈”、旨在转移民众视线。报告表示,韩国必须要建立一个不对称的网络作战能力,压制朝鲜的网络攻击能力。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。