标签: 黑客

ZoneAlarm论坛遭遇黑客攻击,暴露成千上万用户数据

Check Point Technologies拥有的流行安全软件公司ZonaAlar 遭遇了数据泄露,安全漏洞暴露了ZonaAlarm论坛用户的数据。 ZoneAlarm套件包括面向用户和小型组织的防病毒软件和防火墙解决方案,下载量接近1亿。 虽然ZoneAlarm或者其母公司Check Point都还没有公开这次的事件,但该公司本周末悄悄地通过电子邮件警告了所有用户。 尚不清楚攻击者何时破坏了ZoneAlarm论坛。消息表明,攻击者获得了对论坛成员数据的未经授权的访问,包括姓名,电子邮件地址,哈希密码和生日。 好消息是,受影响的用户数量不大,此事件仅影响了“ forums.zonealarm.com”域,该域名下大约有4,500个订阅者。 “该论坛与公司的其他网站不同,只有少数的用户注册使用,”公司在通知邮件中解释道,“目前该网站为了解决问题而处于非活动状态,并将在修复后立即恢复。登录论坛后,系统将要求您重置密码。” 此次事件是由于缺少补丁程序管理所致。公司发言人解释说,攻击者利用了vBulletin论坛软件中的CVE-2019-16759远程执行代码漏洞。 9月,一位匿名黑客披露了技术细节和概念验证漏洞利用代码,以解决该漏洞中一个严重的零日远程代码执行漏洞。黑客可以远程利用此漏洞。黑客发布 的PoC对于5.0.0至5.5.4版本都有效,ZoneAlarm论坛正在运行5.4.4版本。 论坛软件的小部件文件在通过URL参数接受配置的方式中产生了零日漏洞。专家发现该软件包无法验证参数,攻击者可以利用该软件包注入命令,并在易受攻击的安装上远程执行代码。 此事件发生后,ZoneAlarm 关闭了论坛网站并开始对事件进行调查。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

墨西哥国有石油公司 Pemex 遭遇勒索软件打击

周日,DoppelPaymer勒索软件感染并破坏了墨西哥国有石油公司 PetróleosMexicanos(Pemex)的系统。 黑客向Pemex提出的金额为565 比特币。 此外,DoppelPaymer的TOR网站更新后的文字如下: “我们还收集了所有的私人敏感数据。如果你拒绝付款,我们会将这些数据传播给其他人,这可能会损害您的商誉。” pic.twitter.com/BoHi1lVigF — MalwareHunterTeam(@malwrhunterteam),2019年11月12日 据该公司称,公司只有不到5%的计算机感染了勒索软件。 图片来自BleepingComputer “和其他国际政府以及金融公司和机构一样,Pemex 经常收到威胁和网络攻击。” 该公司发布的安全公告中写道。“11月10日星期日,这家国有生产公司遭遇了网络攻击,这些攻击最终被及时消除,并且只影响了不到5%的个人计算机设备的运行。此次事件过后,Pemex重申其燃料生产,供应和库存是有安全保障的。” Petróleos Mexicanos 声称它迅速解决了此事件,同时强调其运营和生产系统没有受到影响。 Pemex确认其基础设施与所有主要的国家和国际政府以及金融组织一样,正不断面对来自黑客的攻击,因此公司正在持续加强安全措施。 DoppelPaymer勒索软件是BitPaymer勒索软件的 forked 版本,它可能是由某些网络犯罪团伙以TA505身份开发的。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

托管提供商 SmarterASP.NET 承认遭到勒索软件攻击 客户数据被加密

SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称,遭到勒索软件的攻击,这也是2019年遭到攻击而下线的第三家大型网络托管公司,黑客不仅破坏了该公司的托管业务而且还对客户服务器上的数据进行了加密。   SmarterASP.NET官方表示正在努力恢复客户数据,但尚不清楚该公司是支付了赎金,还是从备份中进行了恢复。目前该公司并没有回复外媒的评论请求。 根据其官网显示的信息,该公司承认遭到了黑客攻击。该消息说:“您的托管帐户受到攻击,黑客已经加密了您的所有数据。我们现在正在与安全专家合作,尝试解密您的数据,并确保不会再发生这种情况。” 本次网络攻击不仅对客户数据进行了加密,SmarterASP.NET官网也被迫下线。在周六全天下线之后,在周日上午恢复重新上线。服务器恢复工作进展缓慢。许多客户仍然无法访问其帐户和数据,这些被加密的客户数据包括网站文件和后台数据库。   (稿源:cnBeta,封面源自网络。)

思科Talos发现LEADTOOLS工具包中存在多个漏洞,可能导致远程代码执行

Cisco Talos的安全专家在LEADTOOLS imaging工具箱中发现了四个严重漏洞,黑客可利用这些漏洞在目标系统上执行任意代码。 LEADTOOLS是一个综合的工具包,可以将医疗,多媒体和影像技术应用到台式机,服务器,平板电脑和移动应用程序中。 专家们发现,黑客可能会利用这些漏洞发起DoS攻击,并在易受攻击的系统上执行任意代码。  Talos在其发布的安全公告中称:“ LEADTOOLS 20的TIF解析功能中存在一个可利用的堆越界写入漏洞。特制的TIF图像可能导致超出堆边界的偏移量,攻击者可以专门制作TIF图像来触发此漏洞。” 第二个漏洞是LEADTOOLS 20的CMP分析功能中存在的可利用的整数下溢问题(CVE-2019-5099)。黑客可以使用特制的CMP映像文件来利用此漏洞。 专家还发现,LEADTOOLS 20的BMP标头解析功能中出现整数溢出问题,有可能导致远程代码执行(CVE-2019-5100)。 Cisco Talos发现的最后一个问题是可利用的堆溢出漏洞(CVE-2019-5125), 该漏洞产生于LEADTOOLS 20的JPEG2000解析功能中包含的代码,可能导致对堆缓冲区的写越界。 与前两个漏洞相同,黑客将需要特制的BMP和J2K图像文件才能触发漏洞。 LEADTOOLS 20.0.2019.3.15 版本受这些漏洞的影响,这些漏洞的CVSS评分为8.8。这些漏洞在9月10日被发现,并报告给了 LEAD 公司。该公司于几天前通过补丁解决了这些问题。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件攻击加拿大Nunavut地区 当地政府所有电子信息服务瘫痪

勒索软件攻击了加拿大Nunavut地区,政府的所有联网服务都受到了影响。Nunavut地区面积超过190万平方公里,人口约36,000。 当地政府称:“在2019年11月2日(星期六),一种新型的勒索软件影响了整个城市。勒索软件会加密各种服务器和工作站上的单个文件。除了Qulliq能源公司以外,所有需要访问GN网络上存储的电子信息的政府服务都受到了影响。” 特区区长乔·萨维卡塔克(Joe Savikataaq)说:“我向Nunavut保证,我们正在尽全力解决这个问题。基本服务将不会受到影响,并且在此期间GN将继续运行。重新上线时可能会导致些许延迟,我感谢大家的耐心和理解。” 一半的GN IT系统今天清晨被针对公共服务的病毒入侵。我们会全天候工作,排查问题并让电脑恢复上网功能。在问题获得全面解决之前,您将无法访问您的GN帐户。 据CBC报道,勒索信息具体内容如下: “您的网络已被渗透,全部文件已被强大的算法进行了加密。我们可以为您提供解密软件。如果您一直未进入链接取得密钥,您的数据将被完全删除。” 专家注意到,勒索信息要求受害者下载加密的浏览器并在21天内访问指定的URL,专家注意到勒索信息是用生硬的英语书写的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

窃取 Capital One 约1亿数据的黑客暂被释放

Capital One黑客Paige Thompson在等待审判期间于周二从联邦拘留所释放。 Thompson 从Capital One盗窃1.06亿张记录,此前曾在8月份要求释放联邦拘留所,但最初由于当时法官认为她有飞行危险而被拒绝。 但是,在本周一,主审法官援引汤普森的观点,认为Thompson没有对社区或她本人构成足够的威胁,所以她不应该在等待审判期间受到监禁。Thompson希望获得释放,因为她认为作为一个被关押在男子监狱的变性人,她可能会患上抑郁症或伤害自己。 作为释放条件的一部分,美国地方法院法官Robert Lasnik命令Thompson移居到联邦中途房屋。在那里,Thompson 将一直受到GPS监控,将被禁止访问互联网或使用计算机,手机或任何其他电子设备,除非获得法院许可。 Thompson引起的数据泄露事件影响了美国1亿人和加拿大600万人。据Capital One称被盗取的是2005年至2019年之间的数据,与消费者向银行申请信用卡时所提供的信息有关。其中包括大约一百万个加拿大社会保险号,14万个美国社会保险号和8万个银行帐号。 美国检察官还指控Thompson窃取了其他30多家公司的数据。 据美国检察官说:“服务器是在Thompson的卧室中查获的,其中不仅包括从首都一号偷走的数据,还包括从其他30多家公司,教育机构和其他产业盗取的多达几TB的数据。” Thompson于7月被捕,目前正面临有关电汇欺诈和网络欺诈等起诉。 她的审判定于明年三月进行。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

西班牙两家公司同天遭勒索软件攻击,引发 WannaCry 级恐慌

近日,西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis,这是NTT Data Group旗下的IT咨询公司,其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER,其在官网发表了声明,确认公司遭遇了攻击。 两家公司都要求员工关闭计算机,并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工,是受影响最大的公司之一。该公司其他分支也受到了影响,勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图,显示勒索软件 BitPaymer 攻击了 IT 公司,该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片:Alex Barredo(Twitter@somospostpc) 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一,因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议,敦促公司改善网络安全措施,并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象,但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动,有人担心自己被感染,选择关闭程序来检查系统。 网上还出现了谣言,有人猜测除了Everis之外,其他IT公司也受到了影响。金融咨询公司毕马威(KPMG)的西班牙支部和软件巨头埃森哲(Accenture)今天早些时候在Twitter上发布声明,告诉用户他们没有受到感染,并且一切正常。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

警惕来自节假日的祝福:APT 攻击组织”黑格莎(Higaisa)”攻击活动披露

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw   一、概述 腾讯安全御见威胁情报中心曾经在2019年年初捕获到一次有意思的攻击活动,该攻击活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判,我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT攻击组织。 根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到2016年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。 此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 对于该组织的归属,腾讯安全分析了大量样本,我们确信其来自于朝鲜半岛。对攻击背景分析后,我们认为该组织为来自韩国的一个攻击组织。从样本的技术细节、基础设施等经过详细分析后,我们尚无证据证明该组织跟韩国的另一攻击组织DarkHotel(黑店)有关联,即便是攻击对象、某些攻击手法跟DarkHotel(黑店)有一些类似。 我们决定把该组织列为来自韩国的又一独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。 “黑格莎(Higaisa)”组织攻击流程图: 目前尚不排除该组织为DarkHotel的某一分支。由于受限于样本、受控机、基础设施等等客观情况,可能在组织归属上存在一些细节的误判和遗漏,我们希望安全社区同仁来共同完善该组织的一些细节。 值得注意的是,我们曾在腾讯安全2019年上半年APT总结报告中有提及该组织的攻击活动,当时我们错误的把该组织归属到了Group123。因此也借本文对该错误归属进行勘误和致歉,同时本文也对该活动进行更为详细的活动披露。若存在错误,望安全同仁一起来指正。 “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf 二、攻击过程 最初始的攻击,从邮件钓鱼开始,邮件内容如下: 邮件内容为韩语的元旦祝福: 而从后面的分析可知,在节假日发祝福邮件投递恶意文件,是该组织的惯用伎俩。 邮件的附件为一个压缩包,解压后为一个可执行文件,该可执行文件其实为一个dropper木马: 执行后,会释放并打开诱饵,以及释放恶意文件carsrvdx.sed到系统目录并通过设置注册表创建服务使得该dll以系统服务的方式开机自启动实现持久化: 其中,payload文件加密存储在资源中,释放的过程涉及简单的RC4解密,密钥为ssove0117: 释放的carsrvdx.sed实际为一个downloader,该文件首先会构造url,从http://info.hangro.net/file/start?session=[8位随机数字]&imsi=0获取要下载的文件名: 得到文件名avp.exe、avpif.exe后再构造以下URL进行下载后再构造以下URL进行下载: http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avp.exe http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avpif.exe 下载回来的文件同样需要经过简单的RC4解密,密钥为Higaisakora.0。下载回来的文件avp.exe(fca3260cff04a9c89e6e5d23a318992c),是一个基于gh0st开源远控框架修改而来远程控制木马,除了命令分发和数据包压缩算法弃用原来的之外,其他内容未发现重大改动,基本保留的原来的框架。 而命令分发部分改动较大,删除了绝大部分的命令处理函数,只保留了插件管理功能,木马的所有功能都将通过插件完成,成功下载了回来的插件为FileManager.dll(dd99d917eb17ddca2fb4460ecf6304b6,注:内存加载不落地),为文件管理插件,其命令分发与gh0st源码相似性达90%以上: 下载回来的另外一个文件为avpif.exe (77100e638dd8ef8db4b3370d066984a9),该文件的功能主要是收集系统信息,并回传。 收集的信息包括: 系统信息:计算机硬件、系统版本、用户信息、系统补丁、网卡信息等 网络信息:本地网络信息 进程列表 显示域、计算机、等共享资源的列表 C盘文件列表 D盘文件列表 E盘文件列表 收集完成后加密上传到服务器中,上传url为:http://180.150.227.24/do/index.php?id=ssss 三、关联分析 通过腾讯安全御见威胁情报中心的大数据分析和挖掘,我们发现大量跟该攻击相关的样本。我们对该组织的攻击活动进行梳理,使我们对该组织的攻击活动有更深入的了解。 1、初始攻击 通过监测发现,攻击活动均为使用鱼叉邮件攻击的方式。而攻击的时间窗口基本都在重要节假日。通过发送节日祝福,附带恶意文件的方式进行攻击。 我们根据payload解密的密码” Higaisakora.0″进行搜索,搜索到了另一篇分析文章:https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 虽然无法获取该报告中的样本,但根据报告中的截图和描述,可以确定为同一木马的不同变种。而根据该文章的披露,攻击方式同样为通过在节假日发送祝福邮件,并附带恶意文件的方式: 此外,有意思的是,我们发现该邮件的发送邮箱为gov.cn的邮箱,我们猜测攻击者可能首先攻破了某gov.cn的邮箱,然后利用该邮箱继续进行钓鱼工作。同样我们发现发件人邮箱同样存在china字眼,因此我们猜测,该组织习惯利用跟中国有关的邮箱做为跳板来进行下一步的攻击。 2、攻击诱饵 诱饵的类型根据文件种类分为两类,一类为可执行文件,另一类为恶意文档类。 1)可执行文件类诱饵: 可执行文件类又分为两个类型: 类型一:伪装为图像文件或文档文件,运行后会释放相关的图片或文档 该类型的可执行文件的图标一般要么伪装成word、excel、pdf、txt、邮件等软件的图标,要么直接是图片的内容图标: 内容主要分为: (1)传统节假日问候,如新年、元宵节、端午节、圣诞节等: (2)朝鲜国庆、领导人纪念日等相关: (3)新闻: (4)其他(包括色情图片或文本): 类型一诱饵的技术特点 将payload及伪装文件存放在PE资源中; 伪装文件未加密无需解密,payload需使用RC4解密后释放; 字符串以局部数组的形式存储,绝大部分API函数使用动态调用; 释放payload后,创建系统服务将其加载执行。 此外,我们发现这些诱饵内容都非常的及时,如某一诱饵为一个新闻,讲的是牡丹峰团长玄松月在平昌冬奥会前访问韩国: 通过搜索,该新闻是2018年1月22日: 而发现的利用该诱饵攻击的另一攻击样本(fa8c53431746d9ccc550f75f15b14b97),其编译日期为1月26日: 可以发现该组织非常擅长利用最新热点新闻。 类型二:伪装成Winrar、Teamview、播放器等常用软件 如运行后,除了释放原本的安装文件外,还会释放gh0st木马: 释放文件路径:C:\WINDOWS\system32\dilmtxce32.dll,而释放的文件同样需要通过解密,密钥为HXvsEoal_s。 2)恶意文档型诱饵: 我们发现的另一个攻击母体为(a5a0bc689c1ea4b1c1336c1cde9990a4),其路径为\AppData\Roaming\Microsoft\Word\STARTUP\winhelp.wll,而该目录为word的启动文件夹,当word启动的时候,会自动加载该目录下的模块文件。因此该手法常做为office后门加载方式的重要手法。 遗憾的是,我们并未获取到相关的文档文件,因此尚不知该启动文件是执行了某一恶意文档释放的(因为有很多攻击诱饵会利用漏洞等方式释放相关恶意文件到word启动目录),还是其他的母体释放到该目录的。不过我们认为由某一恶意文档通过漏洞释放的可能性更大。 该wll文件加载后,会释放文件在%USERPROFILE%\PolicyDefinitions\MMCSnapins.exe,该文件是个downloader,下载回来的文件有3个,分别为infostealer木马,用于窃取文件目录结构;gh0st RAT插件版;另一个未知的完整功能的RAT木马。 3、解密密码 我们发现该组织非常喜欢使用RC4加密算法,如解密释放的payload,解密下载回来的文件等。我们发现他的payload的解密密码跟随着时间而进行变化,但是downloader下载回来的文件解密木马始终都为Higaisakora.0。目前其解密payload的最新使用的密码为XsDAe0601。我们整理了一份时间和密码的对应表如下(相同的密码只取了一个): 可以看到,随着时间的变化,密码也相应的进行了变化。虽然密码上并未有相应的规律可以获取,但是至少也说明了作者一直在进行更新。 4、其他文件分析 我们还在相关受控机上发现大量其他文件,相信是该组织下发用来进行持续渗透和横向移动的工具。具体如下: 1)键盘记录器 文件BioCredProv.exe(6e95c5c01f94ef7154e30b4b23e81b36) 用于记录按键、窗口信息。 2)邮件相关 out1 .exe (901e131af1ee9e7fb618fc9f13e460a7),pdb为:E:\code\PasswordRecover\do_ok\OutlookPassRecover\Release\OutlookPassRecover.pdb 该文件的功能是outlook密码窃取,窃取的outlook账号密码保存到c:\users\public\result.dat。 文件out12.exe (08993d75bee06fc44c0396b4e643593c),pdb路径为: E:\code\PasswordRecover\outlook\OutlookPasswordRecovery-master\OutlookPasswordRecovery\obj\Release\OutlookPasswordRecovery.pdb 该文件的功能同样为窃取outlook账号密码,窃取的信息保存为Module.log。 根据pdb的路径在github上搜索,发现了该工程: https://github.com/0Fdemir/OutlookPasswordRecovery 跟文件里的完全一致: 3)非插件版的Gh0st RAT 之前发现的gh0st RAT均为插件版的gh0st RAT,也就是说所有功能通过插件来完成,但是我们在某台受控机上还发现一个非插件版的gh0st RAT,并且通过Installer解密数据文件.vnd后执行。 安装器的文件路径为:E:\360Rec\sun.exe(cc63f5420e61f2ee2e0d791e13e963f1) 最后解密后生成的文件C:\\Windows\\system32\\PRT\\WinDef32.dll(c5f0336b18a1929d7bd17d09777bdc6c)就为非插件版的gh0st。 其中主命令分发,只保留了部分gh0st功能,包括文件管理、屏幕监控、键盘记录、远程Shell等,而文件管理功能,保留了gh0st RAT文件管理的全部指令,并增加了获取和设置文件时间的功能。 5、移动端木马分析 通过拓展分析,我们还发现了几个安卓木马,如검찰청(翻译:监察厅).apk(8d3af3fea7cd5f93823562c1a62e598a): 该apk执行后界面如下: 伪装韩国检察厅APP,主要为访问网站http://www.spo.go.kr/spo/index.jsp。 实际上该app为一个远控木马,能够实现手机截屏、GPS位置信息获取、SMS短信获取、通话录音、通讯录获取、下载木马、上传文件等功能。 6、攻击归属分析 1)攻击样本中的地域分析 我们抽取了部分样本对编译的时间戳进行了分析(不包含被篡改的): 可以发现编译的时间主要发生在上午8点后,大部分时间都在晚上23点前。按照普通人的生活习惯,我们认为可能是在东9区的攻击者。正好覆盖朝鲜半岛。 其次我们发现样本中出现的naver.com字符: naver为韩国最大的搜索引擎和门户网站。 2)攻击对象分析: 因为诱饵内容几乎都跟朝鲜有一定的关系,包括朝鲜的国庆、朝鲜的联系人名单等;从钓鱼目标对象来看,基本都为朝鲜的外交官、海外居民、和朝有贸易往来人员等等;从受控机属性来看也几乎都为中朝贸易人员。 因此我们判断攻击的对象为与朝鲜相关的人员。 3)攻击手法 攻击手法包括钓鱼、伪装常用软件、下载插件等等,并且还具有多平台的攻击能力。 4)结论 从上述分析我们认为,攻击者可能来自朝鲜半岛,由于攻击目标为跟朝鲜相关,我们判断攻击者可能来自韩国。其次,从攻击手法、对象来看,跟韩国的另外一个APT攻击组织DarkHotel(黑店)比较类似。但是,从样本、基础设施等分析来看,我们并未发现有跟DarkHotel重叠的部分,也未有明确证据证明跟DarkHotel相关。但我们并不排除该组织或为DarkHotel的分支。 鉴于此,我们决定暂时把该攻击小组列为一个独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。归属过程可能因信息有限,或存在错误,我们希望安全同仁一起来完善该组织的更多信息。 四、总结 当节假日来临,我们往往会收到来自各地的祝福信息,尤其是单位的邮箱。但是一些别有用心的攻击者往往利用此机会,附带恶意文件进行攻击。而本次攻击主要是针对朝鲜相关的一些政治实体、人权组织、商贸等关系单位和人员,因此也有波及中国境内和朝鲜进行贸易的一些人员。 此外,该攻击组织的攻击武器库也一直在进行更新,而且除了pc端,也具有移动端攻击的能力。我们判断,该攻击活动必然还会继续进行下去,因此我们提醒相关人员,一定要提高安全意识,避免遭受不必要的损失。 五、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 1、通过官方渠道或者正规的软件分发渠道下载相关软件; 2、谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3、不要打开不明来源的邮件附件、即使查看可疑文档也切勿启用宏代码; 4、及时安装操作系统补丁和Office等重要软件的补丁; 5、使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击; 6、推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 1、IOCs MD5: 7c94a0e412cc46db5904080980d993c3 6febd1729c49f434b6b062edf8d3e7f3 fca3260cff04a9c89e6e5d23a318992c 77100e638dd8ef8db4b3370d066984a9 dd99d917eb17ddca2fb4460ecf6304b6 7d6f2cd3b7984d112b26ac744af8428d 8d3af3fea7cd5f93823562c1a62e598a C2: info.hangro.net console.hangro.net register.welehope.com www.phpvlan.com wiki.xxxx.com 180.150.227.24 39.109.4.143 103.81.171.157 2、参考文章 1)https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 2)https://s.tencent.com/research/report/762.html “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf

恶意软件将路由器捆绑至僵尸网络 黑客可以借此发动DDoS攻击

成千上万的Wi-Fi路由器可能遭到恶意软件的新型攻击,恶意软件将设备捆绑到僵尸网络中,使其具有分布式拒绝服务(DDoS)攻击功能,并以此向黑客出售。 Gafgyt恶意软件可以通过小型办公室和家庭路由器的漏洞访问到这些设备。 最近Gafgyt(也称为Bashlite)进行了更新,华为HG532和Realtek RTL81XX一直是Gafgyt的目标,现在还将Zyxel P660HN-T1A列入了攻击目标。 一般情况下,恶意软件都通过扫描程序来查找公网节点,然后利用漏洞实现入侵。专家称,为了在攻击时获得充分资源,新版本的Gafgyt会杀死JenX之类的其他恶意软件,从而使其可以充分利用设备发起攻击。Gafgyt僵尸网络似乎正在直接与另一个僵尸网络JenX竞争,后者的攻击目标正是华为和Realtek路由器。 黑客除了利用 Gafgyt 发起DDoS攻击,还主要将其用于攻击游戏服务器,尤其是那些使用Valve Source Engine的游戏,包括热门游戏《反恐精英》和《军团要塞2》。目标服务器不是由Valve部署的,而是由玩家部署的私有服务器。 很多年轻玩家出于报复对手的心态而选择攻击对方。玩家甚至不需要访问地下论坛就可以使用这些恶意服务。专家指出,僵尸网络租用服务在Instagram上使用伪造的个人资料做广告,租用费用仅为8美元。 专家介绍说:“显然,他们可以通过该平台接触到大量年轻人,所有人都可以使用这些服务,而且比地下站点更容易访问。” 随着越来越多的物联网产品连接到互联网,如果设备没有保持最新状态,将设备捆绑到僵尸网络和其他恶意活动中将会变得更加容易。 新版Gafgyt主要针对的是旧路由器,其中一些已经投放市场长达五年以上。专家建议用户将路由器升级到较新的型号,并应定期应用软件更新以确保设备受到保护,尽可能地抵抗攻击。 Davila说道:“总的来说,用户可以养成习惯,例如更新路由器,安装最新补丁程序,并设置复杂的密码,从而抵御僵尸网络的攻击。”   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客就数据泄露表示认罪 曾威胁 Uber 和 Lynda 支付巨额赎金

Brandon Charles Glover 和 Vasile Mereacre 是两名黑客,他们对在2016年攻击并勒索 Uber 和Lynda.com 一事认罪。 2017年11月,Uber首席执行官 Dara Khosrowshahi 承认黑客曾闯入公司数据库并盗取了5700万用户的个人数据,但公司在过去的一年里没有公开此事。 根据彭博社的报告,黑客通过 Uber 开发团队的 GitHub 获得了访问权限,并且要求Uber支付10万美元,否则将公开这些被盗数据。Uber 将付款伪造成漏洞赏金,派  Glover 和 Mereacre 分两次支付了 50,000 比特币并与他们签署了保密协议。 2018年9月,Uber同意就此事件美国各州和哥伦比亚特区支付1.48亿美元的和解金。 Lynda.com 是一个在线学习平台,其于2015 年被 LinkedIn 收购。2016 年,该公司提醒其 950 万客户声称公司遭到了黑客攻击,尽管只有 55,000 个帐户受到影响。与 Uber 不同,LinkedIn 拒绝向黑客付款,并试图找出他们。 本周,Glover 和 Mereacre 在美国地方法院出庭。两人都承认于2016年10月至2017年1月期间从部署在 Amazon Web Services 的公司窃取用户数据,并向他们索取费用。 两人现在面临最高五年的监禁和25万美元的罚款。下次听证会定于3月18日在美国地方法院举行。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接