标签: 网络攻击

Malwarebytes 成为第四家遭受 SolarWinds 黑客入侵的安全公司

美国网络安全企业 Malwarebytes 今日表示,该公司于去年遭受了针对 SolarWinds 的同一黑客组织(UNC2452 / Dark Halo)的入侵。虽然本次入侵无关于 SolarWinds 被恶意软件感染的 IT 管理工具,但黑客还是利用 Azure 活动目录漏洞和恶意的 Office 365 应用程序,对 Malwarebytes 的内部系统造成了破坏。 Malwarebytes 表示,在 2020 年 12 月 15 日接到了微软安全响应中心(MSRC)的通报后,该公司才获悉自家网络被入侵。 当时微软正对其 Office 365 / Azure 基础架构展开搜查,以查找由 SolarWinds 黑客(UNC2452 / Dark Halo)创建的恶意应用程序的蛛丝马迹。 Malwarebytes 联合创始人兼首席执行官 Marcin Kleczynski 表示,在得知此事的第一时间,他们就立即对该漏洞展开了内部调查,以确定被黑客染指了哪些内容。 此前由于 SolarWinds 的应用程序封包服务器被 Sunburst 恶意软件感染,导致 SolarWinds 的数万客户都被感染后的 Orion IT 管理软件所影响。 经过广泛调查,其确定攻击者仅访问了公司内部电子邮件的一部分。此外在对所有产品及源码展开彻底审查后,Malwarebytes 确定旗下产品并未受到影响。 Kleczynski 补充道:“没有任何证据表明我司内部系统有遭受任何本地或生产环境的未经授权访问或损害,Malwarebytes 的软件仍可被安全使用”。 据悉,在 Malwarebytes 之前,FireEye、微软和 CrowdStrike 也都表示遭到了 SolarWinds 入侵事件幕后黑手的网络攻击。             (消息及封面来源:cnBeta)

FireEye 发布审计 SolarWinds 黑客攻击技术的网络调查工具

在今日发布的一份报告中,网络安全公司 FireEye 详细披露了 SolarWinds 黑客网络攻击事件所使用的相关技术。与此同时,FireEye 还在 GitHub 上分享了一款名为《Azure AD Investigator》的免费工具,以便企业能够确定 SolarWinds 黑客在其网络中部署了哪几道后门。 在今日的报告发布之前,FireEye 已协同微软和 CrowdStrike 对 SolarWinds 的供应链危害展开了全面的调查。 在 2020 年 12 月 13 日初次曝光时,FireEye 和微软首先确认黑客攻入了 IT 管理软件提供商 SolarWinds 的网络,并用恶意软件感染了 Orion 应用程序的封包服务器。 这款名叫 Sunburst(或 Solorigate)的恶意软件,被用于收集受害企业的内部信息。遗憾的是,部署 Orion 应用程序的 1.8 万个 SolarWinds 客户,其中大多数人都忽略了木马的存在。 在初步得逞后,攻击者部署了第二款名叫 Teardrop 的恶意软件,然后利用多种技术手段,将黑手延伸到了企业内网和云端(尤其是 Microsoft 365 基础设施)。 在今日长达 35 页的报告中,FireEye 更详细、深入地介绍了这些后期攻击手段,以及企业能够实施的检测、修复和增强策略。 (1)窃取活跃目录的 AD FS 签名证书,使用该令牌伪造任意用户(Golden SAML),使得攻击者无需密码或多因素身份认证(MFA),即可染指 Microsoft 365 等资源。 (2)在 Azure AD 中修改或添加受信任的域,使得攻击者控制的新身份(IdP),进而伪造任意用户的令牌(又称 Azure AD 后门)。 (3)染指高特权用户账户(比如全局或应用程序管理员的 Microsoft 365 资源),接着同步本地用户账户的登录凭据。 (4)通过添加恶意凭证来劫持现有 Microsoft 365 应用程序,以使用分配给该应用程序的合法权限 —— 比如可绕过 MFA 多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。 FireEye 指出,尽管 SolarWinds 黑客(又称 UNC2452)采取了各种复杂的手段来掩饰自己,但相关技术仍可被检测和阻挡在外。 事实上,FireEye 也在自己的内网中检测到了相关技术,然后分析了其它企业的内部漏洞,最终揭开了更广泛的 SolarWinds 黑客攻击事件。           (消息来源:cnBeta;封面源自网络)

俄罗斯加密交易所 Livecoin 遭黑客攻击后关闭

在12月底突然停止运营后,俄罗斯加密货币交易所Livecoin宣布关闭。据Livecoin主页显示,由于2020年底其服务器遭到攻击,造成财务和技术损失,该交易所无法继续运营。Livecoin于1月16日在Twitter上宣布关闭,其新域名liveco.newsLivecoin和旧域名Livecoin. net已不可用。 Livecoin表示,公司正在努力“将剩余资金”支付给客户,用户需通过电子邮件与该交易所联系,以完成核实工作,必须在平台上发送他们的用户名和注册日期。交易所承诺将在回件中提供详细指示,2021年3月17日之前均有效。但没有具体说明何时偿还客户资金。 Livecoin还警告用户注意非官方的Livecoin聊天群组可能传播虚假信息,并试图欺骗用户。Livecoin 写道: “参加此类群聊的风险很高,因为我们没有任何官方组织。” Livecoin声称其网站是官方信息的唯一来源。该公司还表示,正在进行调查。 Livecoin在12月24日停止了运营,声称交易所遭受了“精心策划的攻击” ,导致其失去了对所有服务器的控制。黑客们设法接管了Livecoin的基础设施,并将交易所的价格调整到异常高的水平。据报道,Livecoin 的比特币交易价格超过30万美元,而当时的市场价格约为2.4万美元。一些用户随后暗示 Livecoin 的“黑客”可能是一个退出骗局。 一些报道称用户猜测Livecoin的最新声明可能是由黑客发布的,而其他用户正向当地执法部门投诉。一些用户出于隐私考虑拒绝向Livecoin发送个人数据。一位据称是平台用户的人提供了Livecoin报销程序所需的数据清单,包括护照扫描、居住信息、高分辨率自拍、关于交易所第一笔交易的数据等等。           (消息及封面来源:cnBeta)

外媒详解 Jabber 统治俄罗斯地下黑客组织原因

据外媒CyberScoop报道,虽然俄罗斯网络犯罪黑社会的大部分是一个谜团,但有一种技术却充当了贯穿整个谜团的关键共同链接,它就是Jabber。根据安全公司Flashpoint的最新研究,在一个尖端技术、创意和犯罪的领域,这个已有18年历史的即时通讯工具是讲俄语的网络罪犯最流行的交流工具。 虽然Jabber已经在俄罗斯社区占据了主导地位,但与此同时,它在世界各地的网络罪犯中也变得越来越受欢迎。 这不仅是对技术质量的证明也是对俄罗斯黑客趋势的影响的证明。 “在网络犯罪经济中,Jabber被视为沟通的黄金标准,”安全公司Flashpoint高级研究员Leroy Terrelonge III告诉CyberScoop。 Jabber(同时也被叫XMPP或Extensible Messaging and Presence Protocol)是一个开源的联合即时通讯工具,拥有数千个独立服务器和遍布全球的1000多万名用户。该技术运行在HipChat、索尼PS视频聊天应用和Electronic Arts的Origin等主流产品的幕后。而拥有超10亿用户的WhatsApp使用的则是XMPP的一个变体。记者和隐私保护积极分子在该平台上通常都会有属于自己的账号。 Terrelonge说指出,有俄罗斯人作为先锋,“Jabber在网络犯罪社区有着光明的未来。” Jabber对企业来说有用的诸多因素也是使其成为犯罪分子的理想选择的原因之一。该技术支持强大的加密和一系列高安全特性,再加上其开放性从而提高了它在后斯诺登时代的吸引力。 Jabber创建于1999年,经过十多年的发展拥有了数百万名用户。然而从2013年开始,随着世界越来越强烈地意识到网络上的大规模黑客攻击和监视活动,采用这种技术的人越来越多。在俄罗斯,用户最终开始放弃20世纪60年代的即时通讯工具ICQ转而使用Jabber提供的高级安全功能。据悉,ICQ主导了俄罗斯的在线交流近20年时间。在那里,下载并安全地使用带有非公开加密的信息并不是什么大问题。 对于不太成熟的网络罪犯,微软的通讯应用Skype通常就足够了。但即使是在Skype占主导地位的网络犯罪社区,Jabber也已经取得了进展,更老练的黑客则将其整合到Skype中。 Jabber的联盟意味着任何人都可以打开服务器并按照自己认为合适的方式运行。这对那些担心公司跟政府密切合作的罪犯来说极具吸引力,尤其在美国。一些Jabber服务器甚至就是专门为罪犯设置的。 最近被逮捕的Kelihos僵尸网络幕后主使Pyotr Levashov就是一位典型的俄语高级用户。为了运营他的全球业务,Levashov使用了一个加密的非官方Jabber服务器和账号。 然而,大多数黑客并不运行自己的Jabber服务器而是依赖他人运行的服务器。在地下信徒中,Exploit.im Jabber服务器是执法部门的首要目标。 据悉,Exploit.im是由Exploit社区运行的。这是一个半排外的俄语网络犯罪论坛,具有悠久的相对信任和真实性血统。若想要加入社区则需要进行一定程度的审查或支付。Exploit.im账号只提供给认证成员有效地证明了其用户的威望和信心。最重要的是,服务器的管理员承诺用户不会有日志记录并提供强大的隐私和可靠服务。         (消息及封面来源:cnBeta)

欧洲药品管理局称黑客泄露了其所窃取的 COVID-19 疫苗数据

欧洲药品管理局(EMA)周二宣布,黑客泄露了去年年底发现的网络入侵行为中被盗的COVID-19疫苗信息。”正在进行的对EMA的网络攻击的调查显示,一些与COVID-19药品和属于第三方的疫苗有关的非法访问文件已经在互联网上泄露,”EMA在一份声明中报道。”执法部门正在采取必要的行动。” 最新情况是在辉瑞-BioNTech以及Moderna都表示,EMA已经通知这些公司,一些评估文件在对该机构的网络攻击中被获取。这次网络攻击发生在这两家公司向EMA提交了各自的COVID-19疫苗并要求批准在欧盟成员国紧急使用之后。 EMA总部设在阿姆斯特丹,是欧盟的一个主管卫生健康的机构,负责监督和评估人类和动物使用各种药品的情况。EMA于12月批准了辉瑞公司和BioNTech公司的疫苗,并在本月早些时候批准了Moderna COVID-19疫苗。 “该机构继续全力支持对数据泄露事件的刑事调查,并通知任何其他实体和个人,他们的文件和个人数据可能已经受到未经授权的访问,”该机构周二写道。 “该机构和欧洲药品监管网络仍在充分运作,与COVID-19药品和疫苗的评估和批准相关的时间表不受影响,”EMA指出。 EMA远不是COVID-19大流行期间第一个被黑客攻击的政府机构。世界卫生组织和美国卫生与人类服务部去年都是网络攻击的受害者,同时美国和世界各地的医院也成为勒索软件攻击的受害者,在某些情况下对服务产生了负面影响。         (消息及封面来源:cnBeta)

SolarWinds 事件持续发酵:黑客以 60 万美元出售 Windows 10 源代码

在对 SolarWinds 事件的深入调查中,微软发现部分内部帐号被黑客获取,并访问了公司的部分源代码。而现在,有一名黑客以 60 万美元的价格出售 Windows 10 源代码,但是无法确定真实性。 来自 Rendition Infosec 的安全研究人员 Jake Williams 报道了这一消息,他警告称这些黑客似乎来自俄罗斯知名黑客组织 Shadow Brokers。但他们可能是为了混淆视听,并非真正有这些源代码访问。 微软证实,黑客能够查看,但不能改变部分产品的源代码,并表示没有证据表明这一活动将微软服务的安全性或任何客户数据置于风险之中。微软表示,查看源代码并不会增加风险,因为该公司并不依赖源代码的保密性来保证产品的安全。         (消息来源:cnBeta;封面来自网络)

新西兰央行称遭黑客攻击

据外媒报道,新西兰央行周日表示,该行的一个数据系统已被一名身份不明的黑客入侵,该黑客有可能已经获取商业和个人敏感信息。这家总部位于惠灵顿的银行在一份声明中说,新西兰储备银行用于共享和存储敏感信息的第三方文件共享服务已被非法访问。 行长Adrian Orr表示,漏洞已经得到控制。该银行的核心功能 “仍然健全和运作。”Orr表示:“我们正在与国内和国际网络安全专家和其他相关部门密切合作,作为我们调查和应对这次恶意攻击的一部分。” “潜在被访问的信息的性质和范围仍在确定中,但可能包括一些商业和个人敏感信息,”Orr补充道。 在银行完成初步调查之前,该系统已经被保护并下线。“了解此次数据泄露事件的全部影响需要时间,我们正在与信息可能被访问的系统用户合作,”Orr说。 该银行拒绝回答寻求更多细节的电子邮件问题。目前还不清楚黑客入侵事件发生的时间,也不清楚是否有任何迹象表明谁是责任人,以及文件共享服务是在哪个国家。 在过去的一年里,新西兰的几个主要机构都成为了网络干扰的目标,其中包括新西兰证券交易所,该交易所的服务器在8月份遭网络黑客攻击,连续崩溃近一周时间。 奥克兰大学计算机科学教授Dave Parry告诉新西兰电台,银行数据泄露事件背后的“罪魁祸首”很可能是另一个政府。“最终如果你是从一种类似于犯罪的角度来的,政府机构是不会支付你的赎金或其他什么的,所以你更感兴趣的可能是从政府对政府的层面来的,”Parry说。           (消息来源:cnBeta;封面来自网络)

Solarwinds 受害者规模扩大 美国司法部承认电子邮件系统被入侵

Solarwinds 大规模黑客攻击要比预想的要糟糕,近日美国司法部承认由 Microsoft 365 提供的电子邮件服务被入侵。在一份声明中,美国司法部承认有 3% 的邮箱被黑客入侵。不过本周三,司法部发言人 Marc Raimondi 表示:“目前我们没有迹象表明任何机密系统受到影响”。 根据目前的统计数据,已经有超过 1.8 万家企业因 Solarwinds 而被黑客入侵,美国联邦调查局和美国国家安全局都将此次攻击归咎于高级持续性威胁(APT)行为者,很可能是俄罗斯。司法部已根据《联邦信息安全现代化法案》宣布此次黑客攻击为重大事件,并表示将根据联邦机构,国会和公众的需要继续公开相关内容。         (消息来源:cnBeta;封面来自网络)

因担心受 SolarWinds 黑客攻击影响 美联邦法院要求亲自送达敏感文件

外媒The Verge援引《华尔街日报》报道称,发现自己受到SolarWinds黑客攻击影响的美国公司和机构名单还在不断增加,他们正在努力应对黑客入侵的一个巨大未知数:攻击程度有多严重。联邦司法系统现在很可能是其中之一,它不会冒任何风险。该机构对此十分担心,尽管目前疫情严重,但法院工作人员现在必须亲自送达敏感文件。 “根据今天宣布的新程序,向联邦法院提交的高度敏感的法院文件(HSDs)将以纸质形式或通过安全的电子设备被接受,并存储在一个安全的独立计算机系统中。这些密封的HSDs将不会上传到CM/ECF。” 这里的信息很清楚:在弄清楚黑客对系统做了什么之前,司法机构不希望其最敏感的文件出现在系统上,并且愿意在提交文件的过程中增加不少摩擦。他们不能再仅仅通过互联网发送,他们必须亲手递送实际的纸张或U盘。 “我们完全理解采取这些措施的实际影响,以及这些措施将给法院带来的行政负担,但是,任何这种负担都比保护有可能被泄露的密封文件的机密性的需要更重要。” 有关文件不一定是日常法庭诉讼的常规密封记录。《华尔街日报》的文章指出,HSDs可能包含调查人员如何处理案件的详细解释,以及目前可能被监视的人的信息。了解这些信息可以帮助某人避免被发现或调查,这就是为什么要保证这些信息的安全。 虽然这些措施表明,司法机构认为不能信任其现有的网络,但公众对法庭记录的访问不会改变。任何本来可以公开的记录仍然会被上传到案件管理和电子案卷系统中。         (消息来源:cnBeta;封面来自网络)

黑客利用特朗普丑闻假视频传播恶意软件

Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动,该活动通过发布美国总统唐纳德·特朗普(Donald Trump)的丑闻假视频来传播远程访问木马(RAT)。 电子邮件的主题为“ GOOD LOAN OFFER !!”,附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档(JAR)文件,一旦被下载,该文件会将Qua或Quaverse RAT(QRAT)安装到系统中。 Trustwave高级安全研究员戴安娜·洛帕(Diana Lopera)在文章中说:“我们怀疑,黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。” 最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。 感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始,它们均会检索使用Allatori Java混淆器加扰的JAR文件(“ Spec#0034.jar”)。 第一阶段下载程序将Node.Js平台设置到系统上,下载并执行称为“ wizard.js”的第二阶段下载程序,该程序负责持久获取并运行Qnode RAT(“ qnode-win32-ia32。 js”)。 QRAT是典型的远程访问木马,具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。 这次恶意活动的变化是包含了一个新的弹出警报,该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着,一旦用户单击“确定”按钮,该样本的恶意行为就会开始显现。 此外,JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。 其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序,更新的恶意软件链可立即获取QRAT有效负载(现称为“ boot.js”)。 就其本身而言,RAT除了通过VBS脚本负责保持在目标系统上的持久性外,还使用了base64编码对代码进行了加密。 Topera总结说:“自我们首次检查以来,该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。         消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c