标签: 黑客入侵

黑客攻破美一女孩房间安全摄像头并称自己是圣诞老人

据外媒报道,有人黑进了美国密西西比一户人家的环形安全摄像头,并且还用扬声器骚扰这家的8岁女孩。这名黑客告诉她自己是圣诞老人并还怂恿她破坏房间。这是近期发生的几起黑客在用户不知情的情况下登陆其Ring账号的攻击事件之一。 Ashley LeMay近日告诉媒体,她在自己女儿房间里安装了摄像头,这样她就可以在上夜班时照看她们。“在我买到它们之前做了很多研究。你知道,我真的觉得它是安全的。” 然而这次入侵就发生在她安装这款摄像头四天后,当时她正在出差,她的丈夫在家带孩子。 当她的女儿Alyssa听到自己卧室传出来声音后于是走进去看看究竟是什么。 从当事人分享的视频可以看到,Alyssa非常紧张地站在自己的房间里,黑客则远程播放了来自恐怖片《潜伏》里的歌曲《Tiptoe through the Tulips》。 “谁在那里,”Alyssa问道。 “我是你最好的朋友。我是圣诞老人。我是圣诞老人。难道你不想成为我最好的朋友吗?”黑客说道。 之后,这个匿名黑客继续骚扰Alyssa、嘲笑她并怂恿她破坏房间。 对此,这款摄像头厂商Ring在提供给媒体的声明中指出,黑客并不是通过数据泄露或破坏Ring的安全获取信息的,相反,这个人可能利用了这户人家账户的安全性。 根据声明,Ring用户经常会使用相同的用户名和密码来注册不同账户和订阅服务。“作为预防措施,我们强烈并公开鼓励所有Ring用户在其Ring账户上启用双重认证、添加共享用户(而不是共享登录凭证)、使用高安全性密码并定期更换密码。” Ashley表示,她还没有在她的设备上设置双重认证。   (稿源:cnBeta,封面源自网络。)

微软警告 GALLIUM 黑客组织瞄准全球电信供应商

微软专家指出:GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。 “目前微软威胁情报中心(MSTIC)在对GALLIUM黑客组织行为逐步了解中发现,其目标是电信供应商,为了破坏其目标网络,GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。” GALLIUM 的行为表现活跃,尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络,他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。 专家指出,目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具,这工具只需稍作改动,就可以逃避检测。运营商利用低成本和易于替换的基础设施,使用动态DNS域和定期重用的跃点。 MSTIC分析指出:使用动态DNS提供商而不是符合条件的注册域名,GALLIUM的低成本、低投入成为运营趋势。 在中国大陆、中国香港和中国台湾的基础设施中,且已观察到GALLIUM基础设施建设。 威胁行为很大程度上依赖于网络shell,通过此shell获得持久网络稳定,然后进行恶意软件传输。在这个阶段中,恶意软件的有效负载将会被舍弃,且不会通过稳定网络进行程序安装。 除了标准的 China Chopper外,该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器,并进行基本的文件操作如查找、读取、写入、删除和复制,设置文件属性,渗透文件,并使用参数运行cmd.exe。 该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本,这两个版本都会修改软件使用通信方法。黑客还将QuarkBandit作为第二级恶意软件,专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前,研究人员还通过观察发现 GALLIUM使用VPN来进行网络持久的访问。 针对此问题,微软在报告中还公布了一份IOC指标列表。   消息来源:SecurityAffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄勒冈 FBI 警告:智能电视易被黑客入侵 危及用户隐私

随着假日购物季的到来,许多消费者可能正在考虑为自家升级一些智能设备,比如 Google Nest Home、Amazon Alexa 等智能扬声器,或者集成了语音助理的智能电视。然而美国俄勒冈州联邦调查局办公室指出,随着智能电视扮演着越来越多的娱乐和控制中心角色,网络犯罪分子已经将黑手伸向了这一领域,或对用户隐私造成严重的侵害。 FBI 的这一警告,本身是一种相当常识性的建议,资深网民早已对此见怪不怪。问题在于,除了麦克风之外,还有越来越多的智能电视集成了摄像头组件。 传统麦克风仅用于识别语音命令,而相机则能够用于用户识别和视频聊天。一些厂商或基于此,提供个性化的内容推荐。 然而在连上互联网之后,设备的隐私安全就被提上了重要的议程,因为有无数看不见的黑手向沾染用户的终端设备。 尽管带有这类功能的智能电视的普及率还较低,但黑客攻击事件确实存在、且并不罕见。显然,FBI 希望在引发大事件之前,尽早地培育消费者的忧患意识。 目前目前最常见的隐私风险,就是数据收集。在注册每一款网络服务的时候,几乎都逃不开这个话题。 遗憾的是,无论在智能电视、或其它物联网产品上,人们几乎没有仔细阅读相关提示的习惯。   (稿源:cnBeta,封面源自网络)

750 万 Adobe Creative Cloud 用户记录遭到泄露

由于配置错误,Adobe使用的 Elasticsearch 数据库无需密码就能连接。这一故障导致近 750 万 Adobe Creative Cloud 用户的基本信息暴露在互联网上。 这些信息主要包括帐户信息,涵盖用户 ID、国家、电子邮件地址、以及用户使用的Adobe 产品,还有帐户创建日期、最后登录日期,用户是否是 Adobe 员工以及订阅和付款状态。不包括密码或财务信息。 10月19日,Security Discovery 的专家 Bob Diachenko 和 CompariTech 的技术记者Paul Bischoff 发现了这些被泄露的数据。两人通知了Adobe的安全团队,后者在当天对服务器进行了维护。 这一次的数据泄漏不像过去在其他公司发现的那样严重,因为它不包含密码,付款数据,甚至没有用户的真实姓名。 但是,尚不清楚其他人是否也访问了该数据库并下载了其内容。黑客有可能向那些暴露了电子邮件地址的用户发送钓鱼邮件,并盗取用户的 Creative Cloud 帐户拿去暗网销售。 Adobe 于10月25日在一篇博客文章中对这场事故作出了回应,并表示此次事故是因为配置错误,使得服务器被暴露在互联网上。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客盗取 BriansClub 超过 2600 万张信用卡信息

BriansClub 通过贩卖信用卡中的个人信息而盈利,是世界最大的黑市网站之一,却与于不久前遭到了黑客的攻击。最先报告数据泄露事件的 Brian Krebs 表示,黑客窃取了超过2600万张信用卡的信息。 专家估计,从 BriansClub 泄漏的被盗卡总数约占黑市上可用卡的30%。 BriansClub 的管理员确认,网站的数据中心已于今年早些时候被黑客入侵,并且声称被盗数据已经删除,但有多个消息确认这些数据仍在BriansClub上销售。 Krebs 还是俄罗斯黑客论坛 Verified 的管理员。据他所说,BriansClub 的攻击者的昵称为 “ MrGreen” ,并且他还经营着一家与自己同名的信用卡店。 目前这名 “ MrGreen” 已经被 Verified 拉黑。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客伪造 WordPress 插件并植入后门

伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件,如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户,并且会定期发布更新。 恶意插件隐藏在 WordPress 首页,只有使用具有特定User-Agent字符串(随插件而异)的浏览器才能看到它们。 即使原始感染源被删除,黑客也仍然可以在用户的电脑上建立后门,并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求,将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ,以及将在受感染服务器上创建的文件的路径和名称。 到目前为止,这些 POST 参数对于每个插件都是唯一的。 黑客利用插件,将文件(即5d9196744f88d5d9196744f893.php) 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外,受感染的网站可能会遭到恶意攻击,包括 DDoS 和暴力攻击,发送垃圾邮件或被用于挖矿。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

最新报告称黑客正利用 WAV 音频文件隐藏挖矿恶意代码

根据最近几个月连续发布的两个安全报告,黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术(steganography),是一种将信息隐藏在另一种数据介质中的技术。 在软件领域,steganography也简称为“stego”,用于描述将文件或文本隐藏在其他格式的文件中的过程。例如,将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了,通常不会用来破坏或者感染设备,而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式(例如多媒体文件)列入白名单的安全软件。 以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式(例如PNG或JEPG)展开。最近发布的两份报告中的新颖之处在于发现黑客开始使用WAV音频文件,在今年开始被广泛使用。 早在今年6月份,就有报告检测到隐藏在WAV音频文件中的恶意程序活动。赛门铁克安全研究人员表示,他们发现了一个名为Waterbug(或Turla)的俄罗斯网络间谍组织,该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。 BlackBerry Cylance在本月发现了第二个恶意软件活动。在今天发布并上周与ZDNet共享的报告中,Cylance说它看到了与赛门铁克几个月前类似的东西。 但是,尽管赛门铁克报告描述了一个国家级的网络间谍活动,但Cylance表示,他们看到WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。Cylance说,这个特殊的威胁参与者正在将WAV音频文件中的隐藏DLL。 该黑客的使用WAV隐写技术用于挖矿,调用系统资源来挖掘加密货币。Lemos告诉ZDNet:“使用隐秘技术需要对目标文件格式有深入的了解。通常,复杂的威胁参与者希望长时间不被发现。 隐写术可以与任何文件格式一起使用,只要攻击者遵守该格式的结构和约束,这样对目标文件进行的任何修改都不会破坏其完整性。 换句话说,通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案,因为这样最后的结果是许多流行格式都下载不了,例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。   (稿源:cnBeta,封面源自网络。)

俄罗斯黑客修改 Chrome 和 Firefox 浏览器安装程序以追踪用户

浏览器制造商正在实施一些功能,如HTTPS和TLS加密,以防止站点通过各种技术来跟踪用户。但是,世界各地黑客喜欢与安全专家和软件开发人员一起玩猫捉老鼠的游戏。来自俄罗斯一个特别臭名昭著的团体将计就计,他们在用户安装Web浏览器同时,即时修改这些Web浏览器,为加密流量添加所谓“指纹”功能,以实时跟踪用户和其使用的电脑。 卡巴斯基实验室(Kaspersky Labs)对这种秘密攻击的调查报告显示,黑客设法找到了一种修改Web浏览器的方法,从而使被设计为安全且私有的TLS流量将带有唯一的指纹,以识别用户及其使用的电脑。 这些黑客能够做到这一点的方法几乎令人恐惧。黑客修补了Google Chrome和Mozilla Firefox的安装程序,让浏览器运行时包括该特殊的指纹功能。卡巴斯基无法确定黑客如何以及何时进行修改,但是黑客可能会在用户从合法来源下载安装程序时立即进行修改。 对于某些黑客来说,这是一个相当高的技术要求,因为这意味着黑客需要黑入Internet服务提供商和其网络。但是,对于一个名为Tulsa的黑客组织而言,这可能并不那么困难。Tulsa组织因与俄罗斯政府有联系而闻名,并参与了几起针对ISP的黑客事件。奇怪的是,这种被称为Reductor的恶意软件并未真正用于解密用户的加密流量,因此,这可能是一种隐蔽地跟踪用户网络活动的方法。     (稿源:cnBeta,封面源自网络。)

勒索软件攻击影响了美国数百家牙科诊所

据外媒Techspot报道,一个黑客组织本周设法渗透到美国数百家牙科诊所办公室的网络中,并用勒索软件加载他们的系统。正如Krebs on Security所强调的那样,PerCSoft是一家位于威斯康星州的数字牙科记录云管理提供商,该公司运营著名的DDS Safe在线数据备份服务。该服务为全国数百家牙科诊所提供牙科记录、图表、保险信息等。 黑客们使用Evil (Sodinokibi) 勒索软件攻击PerCSof,锁定约400牙科诊所的文件。多个消息来源报告说,PerCSoft支付了赎金,并获得了一个解密密钥,其正在积极地分发给受影响的牙科诊所,以帮助他们恢复他们的文件。 Krebs表示,目前尚不清楚PerCSoft是否直接支付了赎金,或者资金是否由保险公司提供。向付费受害者提供解密密钥符合黑客的最佳利益。如果他们声称不提供钥匙,那么人们就会放弃支付赎金,并且没有经济激励黑客继续这样做。 根据ProPublica的说法,提交保险索赔和支付免赔额通常比赎金赎金的全部成本要便宜得多。不幸的是,这鼓励黑客专门针对那些他们知道拥有网络保险的公司。   (稿源:cnBeta,封面源自网络。)

11 个 Ruby 库被植入挖矿后门代码 删除前已被下载 3584 次

RubyGems 工作人员表示,他们已经移除了 18 个包含后门机制的恶意版本 Ruby 库。自 7 月 8 日以来,其已被下载 3584 次。如剔除同一库的不同版本,则有 11 个 Ruby 库被污染。这些 Ruby 库被软件包存储库的恶意维护者破解并植入了后门代码,可在其他人启用的 Ruby 项目中开展隐匿的加密货币挖掘任务。 (图自:GitHub,via ZDNet) 昨天,人们在四个版本的 rest-client 中首次发现。作为一个相当流行的 Ruby 库,荷兰开发人者 Jan DIntel分析称: 恶意代码会收集受感染系统的 URL 和环境变量,并将之发送到位于乌克兰的远程服务器。 根据用户的设置,这可能包括当前使用的服务凭证,数据库和支付服务提供商都该倍加小心。 此外,代码包含了一个后门机制,允许攻击者将 cookie 文件发送回受感染的项目中,并执行恶意命令。 RubyGems 工作人员在后续的一次调查中发现,这种机制被滥用并植入了加密货币的挖矿代码,然后又在另外 10 个项目中发现了类似的代码。 据悉,除了 rest-clint 之外的所有库,都调用了另一个功能齐全的库来添加恶意代码,然后以新名称在 RubyGems 重新上传以实现创建。 受影响的 11 个库名如下(具体版本号请移步至官网公告查看 / GitHub 传送门): rest-clint、bitcoin_canity、lita_coin、coming-soon、omniauth_amazon、cron_parser、coin_base、blockchain_wallet、awesome-bot、doge-coin、以及 capistrano-colors 。 遗憾的是,这个隐匿的计划已经活跃了一个多月,结果期间一直未被他人发现。 直到黑客设法访问其中一位客户端开发人员的 RubyGems 账户时,人们才惊觉其在 RubyGems 上推送了四个恶意版本的 rest-clint 。 最终,在所有 18 个恶意库版本被 RubyGems 删除之前,其已经累积了 3584 次下载。 在此,官方建议在关系树中对这些库有依赖的项目开发者,务必采取相应的升级或降级措施,以用上相对安全的版本。   (稿源:cnBeta,封面源自网络。)