标签: 朝鲜黑客

为拿回被朝鲜黑客盗走的加密货币 美政府提起诉讼

据外媒报道,美国政府日前提起诉讼以此来控制280个比特币和以太坊账户,据悉这些账户持有朝鲜黑客从两家加密货币交易所窃取的资金。法庭文件没有指明被黑的交易所,但官员表示,这两次黑客攻击分别发生在2019年7月1日和2019年9月25日。 在第一次事件中,朝鲜黑客窃取了价值27.2万美元的加密货币和代币,包括Proton代币、PlayGame代币和IHT Real Estate代币。而在第二次事件中,黑客窃取了多个虚拟货币,总价值超过250万美元。 美国官员表示,他们使用区块链分析追踪到两家被黑交易所门户网站被盗资金进入了280个账户中。 根据法庭文件,美国政府表示,朝鲜黑客使用了一种名为chain hopping的技术来洗黑钱。这种技术也被称为blockchain hopping,指的是从一种加密货币中获取资金并将其转换为另一种加密货币。 美司法部表示,朝鲜黑客通常会从一家交易所窃取资金然后将资金转移到另一家交易所,在那里他们会进行数次连锁交易,最终则将所有资金汇入他们追踪到的280个BTC和ETH账户中。 根据法庭文件了解到,这280个地址中的许多地址目前都被冻结在了它们建立的加密货币门户上。由于加密货币交易门户网站之间有着合作关系,它们会在遭到黑客攻击后立即冻结问题账户。 现在,美国政府想要正式控制这些账户以便将资金返还给被黑客攻击的交易所或用户。 美国司法部表示,这两起黑客攻击跟他们在2019年3月曝光的其他朝鲜黑客攻击和洗钱活动有关。 2019年9月,美国财政部曾制裁了三家朝鲜黑客组织,并冻结了跟其空壳公司相关的金融资产。美财政部官员表示,这三家组织参与了对加密货币交易所的黑客攻击,其目的是窃取资金然后转移给平壤政权手中。     (稿源:cnBeta,封面源自网络。)

朝鲜黑客正在从网上购物者那里掠夺信用卡细节

与臭名昭著的朝鲜Lazarus集团有关的黑客正在闯入在线商店,并在客户访问结账页面时窃取客户信用卡细节。这些被称为 “网页掠夺 “或 “Magecart攻击”的攻击自2019年5月以来一直在进行,并袭击了国际时尚连锁店Claire’s等大型零售商。 荷兰网络安全公司SanSec报告了这些攻击。它写道,自2015年以来,数字掠夺技术一直在增长,虽然传统上是由俄罗斯和印度尼西亚语的黑客组织使用,但政府支持的朝鲜犯罪分子现在正在拦截在线商店的信用卡细节。 攻击涉及获取网店后端服务器的访问权限,通常是通过向员工发送诱杀邮件来获取他们的密码来实现。黑客在4月和6月潜入了饰品店Claire’s的网站。一旦网站被入侵,恶意脚本就会在结账页面上加载,在信用卡细节被输入表格时窃取。一旦交易完成,被截获的数据就会被发送到黑客组织控制的收集服务器,并在暗网上出售。 该集团建立了一个全球渗透网络,以使掠夺行动获利。这包括劫持和重新利用合法网站,作为犯罪活动的伪装,并输送被盗资产。米兰的一家模特经纪公司、德黑兰的一家古董音乐商店和新泽西的一家家庭经营的书店都是该网络的一部分。 Sansec的研究人员发现,活动与之前的朝鲜黑客行动之间存在联系。证据指向Hidden Cobra,又名Lazarus集团,该集团是2014年索尼影业黑客攻击、2016年孟加拉国银行抢劫案的幕后黑手,并被广泛认为是WannaCry恶意软件的始作俑者。     (稿源:cnBeta,封面源自网络。)  

美国安全专家授权调查曾被朝鲜黑客组织使用的命令服务器

援引外媒TechCrunch报道,美国政府官员近期向安全专家提供了被认为曾在去年被朝鲜黑客用于发动数十次有针对性网络攻击而扣押的服务器,而这种举动非常的罕见。这批被扣押的服务器叫做Operation Sharpshooter(神枪手),于去年12月首次发现,用于专门针对政府、电信公司和国防承包商传播恶意软件。 黑客通过电子邮件发送恶意Word文档,一旦这些文档被打开就会运行宏代码下载第二阶段的植入代码–Rising Sun,黑客然后利用它进行侦查和窃取用户数据。Operation sharpshot,所涉及到的行业包括核能、防御、能源、金融等。 根据McAfee高级威胁研究团队和McAfee Labs恶意软件研究团队的深入研究,发现Rising sun植入中使用了朝鲜黑客组织Lazarus Group在2015年使用的Backdoor.Duuzer木马的源码,因此有理由相信操纵这些服务器的就是Lazarus Group,但是目前始终没有直接证据。 在安全专家对这些服务器代码进行检查之后,发现Operation Sharpshooter的运营时间比最初认为的还要长,最远可追溯到2017年9月。而且调查结果显示针对的行业和国家很多,包括金融服务,以及欧洲,英国和美国的关键基础设施。 研究表明这些服务器以恶意程序的命令和控制的基础设施进行运作,使用PHP和ASP网页语言创建和编写网页端应用程序,使其易于部署和高度可扩展。服务器后端的诸多组件可以方便黑客向目标发动攻击,每个组件都扮演特定的角色,例如植入下载器(implant downloader):从另一个下载器托管和备份植入代码和命令注释器(command interpreter):通过中间黑客服务器操作Rising Sun植入物,以帮助隐藏更广泛的命令结构。 尽管有证据表明Lazarus集团,但日志文件中的证据显示据称来自纳米比亚的一批IP地址,研究人员无法解释。   (稿源:cnBeta,封面源自网络。)

知名杀毒巨头迈克菲:朝鲜加密货币黑客攻击范围蔓延到传统金融系统,土耳其首当其冲

近日,杀毒巨头迈克菲(McAfee)发布了一份报告,其中发现土耳其金融行业最近遭受的网络攻击可能和朝鲜黑客有关,不仅如此,迈克菲安全威胁高级研究小组还发现,本次企图破坏土耳其政府支持的金融机构的非法组织,可能是朝鲜加密货币黑客集团 Hidden Cobra (又名 Lazarus)。 虽然迈克菲没有给出明确指出黑客名称,但他们在报告中提到,本次攻击土耳其金融机构的黑客代码与朝鲜加密货币黑客手中的代码非常相似。 据悉,黑客使用的是一个被称为“ Bankshot ”的修改版恶意软件,利用了最近 Adobe Flash 软件中发现的漏洞,攻击者尝试使用一个感染了病毒的 “ Agreement.docx ”微软Word 文件,然后包含在一封钓鱼电子邮件中引诱受害者。 Bankshot 恶意软件代码所来自的域名,和加密货币借贷平台 Falcon Coin 很相似,不过恶意网站域名 falcancoin.io 是在 2017 年 12 月 27 日窗帘的,因此从法律角度上,其实和原平台没有关联。 截至目前,本次攻击还没有被披露有任何资金损失。不过迈克菲安全威胁高级研究小组认为,这次黑客袭击的主要目的是为了远程访问政府控制的金融机构内部系统,但他们也没有对外披露哪些政府机构受到本次攻击的影响。 不仅如此,迈克菲安全威胁高级研究小组在恶意软件中还发现了两份用韩语编写的文件,虽然攻击的目标不一样,但或许能够从中看出是同一黑客所做。 回到 2017 年 12 月,美国政府在那时就已经针对 Bankshot 恶意软件发布了风险经过,而且指出该恶意软件和黑客组织 Hidden Cobra 有关。当时,美国政府表示该黑客组织是为朝鲜政府工作的。韩国曾多次指责朝鲜黑客攻击该国的加密货币交易所,目前针对朝鲜的国际制裁也已经超过了一年时间。 稿源:转载自 36Kr,原文翻译自 coindesk.com,译者:36cup。封面源自网络。

Adobe Flash曝零日漏洞 微软紧急发补丁

Adobe Flash 曾经是互联网的功臣,但不适应时代发展的它正在被放弃,只不过安全问题依然很严重,无论 Adobe 还是微软都不得不随时为它更新维护。今天,微软发布了一个编号 KB4074595 的新补丁,专门用于修复 Adobe Flash Player 中的最新 0-day 零日漏洞。 该漏洞存在于 Adobe Flash Player 28.0.0.161 之前的版本中,能让攻击者通过网络或邮件传播包含恶意Flash内容的Office文档,获得系统控制权、执行任意代码。 操作系统方面,除了 Windows 7 之外所有版本都受影响。 据韩国计算机紧急响应团队披露,这个漏洞至少从 2017 年 11 月中旬就被发现了,而且韩国已有人利用此漏洞发起攻击,主要针对与韩国与朝鲜合作的研究部门。 Adobe 也确认已经知晓此漏洞攻击,并建议用户立即升级最新版本 Flash Player 或者更新补丁。 稿源:cnBeta、快科技,封面源自网络

朝鲜被指控窃取价值 2 万 5 千美元的加密货币

韩国金融安全研究所说,黑客正在挖掘加密货币来资助金正恩政权。彭博社援引韩国政府的分析报导,朝鲜黑客安达列尔( Andariel )今年夏天入侵韩国一家公司的服务器窃取 70 枚莫罗硬币。由 Mariah Carey 和 Fall Out Boy 等音乐人支持的这些电子货币价值总共为 25,000 美元( 18,440 英镑或 31,880 澳元)。 这个消息显示国际上对于朝鲜的制裁正在收紧,朝鲜转向加密货币作为政府资金来源。美国上个月指责朝鲜5月份在全球范围发动 WannaCry 网络攻击事件,瘫痪了超过 30 万台服务器,但是朝鲜否认有任何参与。袭击的受害者发现他们的电脑被锁定,必须支付比特币赎金才能解锁他们的文件。 比特币被朝鲜用作“经济武器”的潜力也被认为是韩国政府想要对加密货币进行打击的一个原因。这次曝光莫罗硬币是专为那些偏爱隐私的人而设计,因为比起比特币和以太坊这样的竞争对手来说,追踪莫罗硬币更加困难。据彭博社报道,韩国政府金融安全研究所所长郭永举(Kwak Kyoung-ju)表示,因为这个原因,莫罗硬币是一个更容易洗钱的货币。 稿源:cnBeta.com, 封面源自网络;

来自金钱的诱惑:Lazarus APT 魔爪逐渐伸向加密货币

安全公司 Proofpoint 近日发现 Lazarus APT 组织对加密货币极为关注, 并试图利用公众、媒体对加密货币价格暴涨的浓厚兴趣展开攻击。因此 Proofpoint 推断 Lazarus 的攻击行动可能与经济利益挂钩。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。(编者注) Proofpoint 发现 Lazarus 的攻击行动有一些共同特性: 第一、朝鲜黑客发起的几个多阶段的攻击都使用了与加密货币有关联的恶意软件来感染用户。 第二,包括 Gh0st RAT 在内的其他恶意软件,都旨在窃取加密货币钱包和交易的凭证,使 Lazarus 组织能够利用比特币和其他加密货币进行有利可图的操作。 因此 Proofpoint 推测 Lazarus 所进行的间谍活动极有可能是出于经济原因(这些行动或是朝鲜特有的),但此前已有多家安全公司认定 Lazarus APT是由国家资助的间谍组织,而国家支持的组织通常又会进行间谍活动和制造混乱。因此研究 Lazarus 的这些行动变得具有探索意义,有趣的地方在于: ○ Lazarus  APT 似乎是被公开的由国家资助以获取经济利益的第一个黑客组织组织 ○ 这些针对加密货币的攻击行动也有利于研究人员记录 Lazarus APT 所使用的定制工具和程序。 ○ 通过这些行动可以推断 Lazarus 并不是一个针对个体的单纯组织。 ○ 可以更好地了解 Lazarus 的行动和其所代表的全球威胁 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

赛门铁克公布 WannaCry 与朝鲜黑客组织关联的最新证据

Google、赛门铁克和卡巴斯基的安全研究人员上周报告了勒索软件 WannaCry 可能与朝鲜黑客组织 Lazarus Group 有关联的证据。现在,赛门铁克通过最新的官方博客报告了更多的证据。 在 5 月 12 日WannaCry 全球性爆发前,其早期版本曾在二月、三月和四月份用以执行少量目标性攻击。早期版本的 WannaCry 和 2017 年 5 月的版本基本相同,只是传播方式有所差别,区别是后者整合了 NSA 的代码。攻击者所使用的工具、技术和基础设施与之前 Lazarus 攻击事件有大量共同点: 在 WannaCry 于二月份的首次攻击之后,受害者网络上发现了与 Lazarus 有关恶意软件的三个组成部分—— Trojan.Volgmer 和 Backdoor.Destover 的两个变体,后者是索尼影业公司攻击事件中所使用的磁盘数据清除工具; Trojan.Alphanc 用以在三月和四月份中传播 WannaCry,该病毒是 Backdoor.Duuzer 的修正版,而 Backdoor.Duuzer 之前与 Lazarus 有所关联; Trojan.Bravonc 与 Backdoor.Duuzer 和 Backdoor.Destover 使用相同的 IP 地址以进行命令和控制,而后两者均与 Lazarus 有所关联;Backdoor.Bravonc 的代码混淆方法和 WannaCry 与 Infostealer.Fakepude(与 Lazarus 有所关联)相似。 稿源:solidot奇客,封面源自网络

韩国 2100 亿美元防御新计划:强调网络安全和军事间谍卫星

据防务世界网站报道,韩国从其修订的 5 年中期网络安全防务计划中储备 2465 亿韩元( 2.18 亿美元),以应对来自朝鲜黑客日益增长的威胁。 国防部表示,部分资金也将用于价值 1 万亿韩元的 “ 425项目 ”,其 2022 年从外国采购 5 颗军事卫星,以提高歼灭边境重要军事设施的突破能力。此外,韩国首尔于本周五宣布 238.2 万亿韩元( 2100 亿美元)的中期防御蓝图,覆盖韩国空军和导弹防御的 “ 三轴系统 ” 。据韩国联合通讯社引用军方声明报道,他们计划改进整个朝鲜地区的监视和打击能力,扩大核心设施的防御能力,开发独立的、大规模报复能力。 据国民议会报道,首尔将于 2020 年早期实现建立三轴系统的军事计划。据悉,军方还将采取新打击手段摧毁北方重要的军事设施。除了短程弹道导弹和 1000 公里射程的 Hyunmoo-3 巡航导弹以外,他们正开发 800 公里射程的导弹。 稿源:网易新闻  内容节选;封面源自网络

朝鲜黑客袭击韩国内网,曾导致美韩秘密作战计划曝光

据外媒报道,朝鲜黑客窃取美韩两国秘密作战计划 ,曾导致美韩联合部队瞄准朝鲜发动战争的计划全面曝光,该计划主要包括首次攻击目标与军队部署策略。 OPlan 5027 于 20 世纪 70 年代后期制定,自 1994 年以来每两年更新一次。最新 OPlan 5015 作战计划于 2015 年拟定,其中包括美韩针对潜在核运载系统的进攻性立场。 2016 年中旬,朝鲜黑客入侵韩国防御系统国防综合数据中心( Defense Integrated Data Centre ),导致“ OPlan 5027 ”作战计划泄漏。国防官员承认部分资料被盗,低调处理此次事件。一位政府知情人士表示,黑客组织仅仅访问了该计划的部分内容,并未窃取完整文件。 据《 朝鲜日报 》报道,朝鲜在过去几个月内发射导弹的频率持续飙升,基于朝鲜已访问 OPlan 5015 作战计划,韩国时刻保持警惕并正在商讨是否修改作战计划。 2016 年,韩国国防官员承认,朝鲜恶意软件入侵并感染韩国约 2000 台互联网电脑与 700 台内网计算机。政府官员表示,他们已经在韩美联合部队司令部和参谋长联席会议的计算机网络中检测到渗透迹象,但难以衡量该黑客组织窃取了哪些机密信息。 2009 年,韩国政府官员使用不安全 USB 存储器下载 “ OPlan 5027 ”作战计划时,也发生过类似事件。据悉,朝鲜黑客当时就已访问了该机密信息,这或许与韩国军事安全管理欠缺有关。 据悉,朝鲜和美国的紧张局势在今年持续升温,特朗普对于北方的军事行动也越来越明显。与此同时,网络安全公司卡巴斯基于 4 日发布报告并提供证据,证明朝鲜黑客攻击全球金融公司,其中包括去年孟加拉国中央银行 8100 万美元被盗事件。 原作者:Jason Murdock, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接