标签: 黑客入侵

黑客攻击联网情趣用品以勒索赎金

一名黑客控制了连接到互联网的智能情趣用品:男性远程贞操笼,并要求用比特币支付赎金来解锁。“你的丁丁已经被我锁定。”根据一名安全研究人员获得的对话截图,黑客对其中一名受害者说。这位研究人员的名字叫Smelly,是收集恶意软件样本的网站vx-underground的创始人。 去年10月,安全研究人员发现,一款物联网情趣用品贞操笼,一种主要在BDSM社区中使用的放置并锁定在阴茎周围并可以联网远程上锁和解锁的性玩具制造商留下了一个API暴露,给了恶意黑客控制设备的机会。根据一位安全研究人员获得的黑客和几位受害者之间的对话截图,非常糟糕的事情就这样发生了。 不过万幸的是,”这件事发生的时候,我并没有锁上这个东西。”Robert在一次在线聊天中说,不然后果真的不堪设想。 受害者Robert表示,他收到了黑客的信息,要求支付0.02比特币(约合今天750美元)来解锁设备。他意识到自己的笼子肯定被 “锁住了”以至于无法使用。 “我现在已经不是笼子的主人了,所以我在任何时候都不能完全控制笼子。”另一位名叫RJ的受害者在一次在线聊天中表示。他收到了黑客发来的信息,黑客说他们已经控制了笼子,并希望支付一笔钱来解锁笼子。 这些黑客再次表明,仅仅因为你可以将某样东西连接到互联网上,并不意味着你必须这样做,尤其是如果你随后不注意保护设备或其连接的安全。 这款设备的中国制造商Qiui没有回应置评请求,这款设备的名字很贴切,叫做Cellmate。 对Cellmate设备进行安全查验的Pentest Partners安全研究员亚历克斯-洛马斯(Alex Lomas)证实,一些用户确实收到了勒索信息,并表示这凸显了这些设备制造商改进安全实践的必要性。           (消息及封面来源:cnBeta)

SolarWinds 新漏洞可使黑客安装 SUPERNOVA 恶意软件

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞,在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示,用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞(CVE-2020-10148),该漏洞可能允许黑客执行未经身份验证的攻击API命令,从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示,黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止,我们仍不清楚相关漏洞的细节。 在过去的一周中,Microsoft透露黑客可能正在滥用SolarWinds的Orion软件,在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点,他们都将其描述为.NET Web Shell:一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件,但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出:“SUPERNOVA的新颖之处在于:在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果,并汇总全球入侵活动。 为了修复身份验证绕过漏洞,安全专家建议用户将SolarWinds Orion Platform更新至最新版本: 2019.4 HF 6(2020年12月14日发布) 2020.2.1 HF 2(2020年12月15日发布) 2019.2 SUPERNOVA补丁(2020年12月23日发布) 2018.4 SUPERNOVA补丁(2020年12月23日发布) 2018.2 SUPERNOVA补丁(2020年12月23日发布)       消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

英国一大型整容连锁医院遭黑客攻击勒索

据外媒体报道,近日,有黑客窃取了英国一家大型整容连锁店– Hospital Group的数据并威胁要公布患者手术前后的照片和其他细节。Hospital Group目前已经证实遭到了勒索软件的攻击。该公司表示,其已将此事告知信息专员(Information Commissioner)。 黑客组织REvil在其暗网网页上表示,顾客的照片并不完全是令人愉快的景象。它声称已经获得了超过900G的病人照片。 遭到网络攻击的Hospital Group–也被称为Transform Hospital Group–声称是英国减肥和美容手术的领先者。 据悉,它拥有11家专门从事减肥手术、隆胸、乳头矫正和鼻子调整的诊所。 该公司此前曾通过名人代言来宣传自己,不过已经有好几年没有这样做了。 前Big Brother选手Aisleyne Horgan-Wallace 2009年曾向Zoo杂志透露了她在Hospital Group做过丰胸手术。Atomic Kitten歌手Kerry Katona、《无耻之徒》女演员Tina Malone和真人秀《The Only Way is Essex》明星Joey Essex也都曾是该诊所的病人。 Hospital Group在一份声明中说道:“我们可以证实我们的IT系统已经遭遇了数据安全漏洞。虽然我们所有病人的支付卡信息都未被泄露,但在现阶段,我们了解到一些病人的个人数据可能已被访问。” 该公司表示,他们已经向所有客户发送了有关此次网络攻击的电子邮件并将联系可能有更多个人信息被泄露的个人。 勒索软件是最常见的网络攻击形式之一。它通常涉及黑客进入计算机网络、对文件进行加密或将用户锁定在系统之外直到被攻击一方支付赎金。 针对这种现象,执法机构不鼓励受害者支付赎金,因为这样做会助长犯罪团伙的犯罪火焰。 网络安全公司EMSIsoft估计,在2020年,这种迅速发展的网络犯罪形式为犯罪分子带来了250亿美元的收入。 REvil–也被称为Sodinokibi–是最多产的勒索软件组织之一。备受瞩目的受害者包括货币交易所Travelex和娱乐律师事务所Grubman Shire Meiselas & Sacks。       (消息来源:cnBeta;封面来自网络)

黑客组织找到一种巧妙的方法绕过目标网络的多因素身份认证

一伙为不法分子提供攻击工具的黑客找到了一种非常巧妙的方法,能够绕过目标网络的多因素身份验证(MFA)系统。根据安全公司 Volexity 本周一发布的博文,他们在 2019 年年末和 2020 年年初发现了这些攻击者的踪迹,并不少于 3 次利用该方法潜入某些机构内部。 在一次入侵期间,Volexity 的研究人员注意到黑客使用一种新颖技术绕过了 Duo 提供的 MFA 保护。在受感染的网络上获得管理员特权后,黑客使用这些不受束缚的权限从运行 Outlook Web App 的服务器上窃取了名为 akey (企业为各种网络服务提供帐号身份验证)的 Duo 机密。 然后,黑客使用 akey 生成 cookies。因此,当拥有正确用户名和密码的用户登录之后,黑客就能通过 cookies 接管账户。Volexity 认为该方法是由黑客集团  Dark Halo 提供的。研究人员 Damien Cash,Matthew Meltzer,Sean Koessel,Steven Adair 和 Thomas Lancaster 写道: “在 Volexity 对 Dark Halo 的第二次调查进入尾声的时候,研究人员观察到黑客通过 Outlook Web App 访问了用户的电子邮件账户。出于某些原因,这是完全意外的,最重要的原因是目标邮箱是受到 MFA 保护的。 来自Exchange服务器的日志显示,攻击者提供的用户名和密码身份验证正常,但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明,未尝试登录到该帐户。 Volexity能够确认不涉及会话劫持,并且通过OWA服务器的内存转储,还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。 Volexity对这一事件的调查确定,攻击者已从OWA服务器访问了Duo集成密钥(akey)。然后,该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后,服务器评估了duo-sid cookie并确定其有效。 这使攻击者知道用户帐户和密码,然后完全绕过帐户上设置的MFA。此事件强调了确保与密钥集成关联的所有机密(例如与MFA提供者的机密)在发生泄露后应进行更改的必要性。此外,重要的是,不仅要在违规后更改密码,而且不要将密码设置为与以前的密码类似的内容(例如,Summer2020!vs Spring2020!或SillyGoo $ e3 vs SillyGoo $ e2)。”         (消息及封面来源:cnBeta)

黑客组织 Turla 被曝利用 Dropbox 存储恶意软件窃取来的数据

ESET 安全研究人员指出,疑似有俄方背景的黑客组织 Turla,正在利用前所未有的方式,存储恶意软件窃取来的相关数据。此前有研究称 Turla 涉嫌在欧盟外交机构部署了后门程序,并窃取了敏感文件。此外在 2015 到 2020 年初的活动中,该组织还利用了此前未知的 Crutch 恶意软件框架。 Crutch 恶意软件架构图(来自:ESET) ESET 安全研究人员 Matthieu Faou 在今日公布的一份报告中称:“攻击的复杂性和已发现的技术细节,进一步增强了我们对 Turla 组织拥有大量资源来运营如此庞大而多样化的网络攻击武器库的看法”。 此外 Crutch 甚至能够滥用合法的基础架构(本文以 Dropbox 网盘为例)来绕过某些安全层,以便将自身隐于正常的网络流量,从操作者手上接收命令并窃取机密文档。 之所以怀疑 Turla 有俄方背景,是因为 ESET 研究人员发现 Crutch 与 2016~2017 年间的 Gazer 网络安全威胁有相似之处。 其使用了相同的 RC4 密钥来解密有效负载,且应用了与 2017 年 9 月的一台受感染的计算机上几乎相同的 PDB 路径和文件名。 基于此,Matthieu Faou 认为 Crutch 只是 Turla 网络攻击武器库家族的其中一部分。 此外根据 2018 年 10 月 ~ 2019 年 7 月间 500 多个被盗上传至 Dropbox 账户的 ZIP 存档文件时间戳,Crutch 幕后操作者的工作时间,也与俄罗斯地区的 UTC +3 时区保持一致。       (消息及封面来源:cnBeta)

Check Point:今年 11 月包裹投递钓鱼诈骗案上升 400%

Check Point的研究人员发现,利用DHL、亚马逊和联邦快递的品牌,试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前,Check Point的研究人员记录了针对网上购物者的 “特别优惠”的恶意网络钓鱼活动增加了80%,最新的峰值出现在使用 “跟踪您的货物”和 “交付问题”等主题词。 DHL是全球被模仿最多的品牌,占到与运输相关的钓鱼邮件总量的56%,其次是亚马逊的37%和联邦快递的7%。 虽然美国和欧洲的增幅最大,但其他地区的增幅也很大。在欧洲,运费钓鱼邮件增加了401%,其中77%是假冒的DHL。美国的航运钓鱼邮件增加了427%,其中亚马逊是被冒充最多的品牌,65%是假冒的亚马逊送货邮件。在亚太地区,送货钓鱼邮件增加了185%,其中65%是与DHL品牌有关。 “黑客正在追寻整个在线购物体验,在人们购物之前和之后,”Check Point的数据情报经理Omer Dembinsky说。“首先,黑客会从他们最喜欢的品牌向人们的收件箱发送’特别优惠’。然后,黑客会发送一封关于交付购买的电子邮件,即使你是从一个值得信赖的来源购买的。” “现在 “黑色星期五 “和 “网络星期一 “已经结束,我们正在转向等式的另一边,也就是送货。当你在这个假日季节打开任何购买后的电子邮件时,请三思。这封邮件可能来自黑客。仔细查看任何声称自己来自亚马逊、DHL或联邦快递的电子邮件。我们很清楚,黑客在网上购物体验的每一步都在瞄准网上购物者,在你购物前后,危险是非常真实的。” 诈骗范例:     (消息及封面来源:cnBeta)

黑客组织利用黑匣子攻击技术从意大利 ATM 机中盗走了 80 万欧元

黑客组织利用黑匣子攻击技术从至少35台意大利ATM机中盗窃了80万欧元。 意大利人Carabinieri证实该黑客组织有12人,其中6人已经被捕,3人目前在波兰被押制,1人在被逮捕之前返回摩尔多瓦,还有2人可能已离开意大利。 据当地媒体报道,该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省设有众多后勤基地。 黑匣子 攻击技术旨在通过“黑匣子”设备发送命令强制ATM分配现金。在此攻击中,黑匣子设备(移动设备或Raspberry)物理连接到ATM以向计算机发送命令。 没有采取良好保护措施的ATM更容易遭受此类攻击,因为黑客很容易就连接上移动设备。 7月,ATM机领先制造商Diebold Nixdorf向客户发出了警报:黑匣子攻击产生了新变种。比利时的Agenta银行在被攻击后被迫关闭143台ATM。 比利时当局观察到,所有受感染的机器都是 Diebold Nixdorf ProCash 2050xe 设备。 根据 Diebold Nixdorf发布在ZDNet上的安全警报描述:黑匣子攻击的新变种已在欧洲的某些国家/地区被黑客利用。           消息及封面来源:securityaffairs;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

恶意软件 WAPDropper 滥用 Android 设备进行 WAP 欺诈

安全研究人员发现,目前有一种新的Android恶意软件正在广泛传播,主要针对东南亚的用户。该新恶意软件名为 WAPDropper  ,目前通过第三方应用商店上托管的恶意应用进行传播。 Check Point表示,一旦恶意软件感染了用户,它就会开始为他们注册高级电话号码,从而为各种类型的服务收取高额费用。 最终结果是,所有被感染的用户每个月都会收到大笔电话账单,直到他们取消订阅保费号码或向其移动提供商报告问题为止。 这种策略被称为“ WAP欺诈”,在2000年代末和2010年代初非常流行,随着智能手机的兴起而逐渐消失,但 在2010年代后期卷土重来, 因为恶黑客意识到许多现代电话和电信公司仍然支持较早的WAP标准。 WAPDROPPER黑客组织最有可能位于东南亚 Check Point表示,基于此计划中使用的高级电话号码,黑客很可能位于泰国或马来西亚的某个人或与其合作。 报告说:“在这种计划和类似的计划中,黑客和溢价率数字的所有者正在合作,甚至可能是同一群人 。”“这简直是一场数字游戏:使用优质服务拨打的电话越多,为那些服务背后的人带来的收入就越多。每个人都赢了,除了不幸的骗局受害者。” 至于恶意软件本身,Check Point表示WAPDropper使用两个不同的模块进行操作。第一个模块被称为Dropper,第二个模块是执行实际WAP欺诈的组件。 第一个模块是恶意应用程序内部仅有的一个模块,主要是为了减少其中的任何恶意代码的大小和指纹。一旦将应用程序下载并安装到设备上,此模块将下载第二个组件并开始对受害者进行欺诈。 但是Check Point还希望引起对该特定恶意软件的警报迹象。Check Point移动研究经理Aviran Hazum对ZDNet表示: “目前,该恶意软件丢弃了高级拨号程序,但将来,有效载荷可能会更改为丢弃 。”“这种类型的多功能“滴管”会秘密安装到用户的手机上,然后再下载其他恶意软件,这已成为我们在2020年看到的主要移动感染趋势。这些“滴管”木马占所有移动恶意软件的近一半在2020年1月至2020年7月之间发生了袭击,全球感染总数达数亿。Hazum补充说:“预计这一趋势将继续下去。” Check Point研究人员鼓励用户仅从官方Google Play商店下载应用。Check Point团队还告诉ZDNet,他们暂时在名为“ af ”,“ dolok ”,名为“ Email ”的电子邮件应用程序和名为“ Awesome Polar Fishing ”的儿童游戏中发现了WAPDropper恶意软件。建议从Play商店外部安装任何这些应用的用户尽快将其从其设备中删除。     消息来源:zdnet ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客组织 BigBlueBox 宣布成功 Dump 了两款 PS5 游戏镜像

每当新游戏主机上市,除了玩家迫不及待入手游玩自己期待的游戏之外,摩拳擦掌的还有全球各地的技术大牛和黑客们,能够在第一时间攻破新主机的防线,完成主机软件系统到硬件的全方位的破解是对技术能力最好的证明。在PS5全球发售不足半月的今天,已经有团队取得了PS5破解的初步胜利。 近日,知名黑客组织BigBlueBox宣布成功Dump了两款PS5游戏镜像,这两款游戏其中包括上市初期销量最高的《漫威蜘蛛侠:迈尔斯·莫拉莱斯》,这款游戏Dump出的镜像文件达到49.78GB,另一款游戏是《过山车之星主机版》,容量11.8GB。 虽然PS5游戏在上市短短一周多就被成功Dump,不过就目前PS5的破解工作开展进度来说,游戏镜像完全没有办法派上用场。最早成功Dump出Switch游戏的组织也是BigBlueBox,距离通过破解手段运行这些游戏镜像则用了一年到两年多的时间。 值得一提的是,在被Dump出的PS5游戏镜像的nfo文件中,BigBlueBox还写下了两行以Mariko开头的密钥,疑似与续航版Switch和Lite的破解工作新进展有关。       (消息及封面来源:cnBeta)

特斯拉 Model X 遭遇黑客中继攻击 3 分钟可开走汽车

一名黑客成功地为特斯拉汽车开发了一种新的密钥克隆“中继攻击”(Relay Attack),并在特斯拉Model X电动汽车上进行了演示。报道称,特斯拉被告知了这一新的攻击,目前准备为其推出新的补丁。 在北美,特斯拉汽车被盗相当罕见。但在欧洲,有一些老练的窃贼,他们通过“中继攻击”,盗窃了不少特斯拉汽车,其中大多数都没有被找回。 为了应对这些攻击,特斯拉之前已经推出了额外的安全保护措施,配备了改进的密钥卡和可选的“PIN to Drive”功能。 但如今,比利时鲁汶大学(Belgian university KU Leuven)安全研究员列纳特·沃特斯(Lennert Wouters)声称,他组织了一系列新的攻击,可以绕过密钥卡中新改进的加密技术。 沃特斯表示,他只需大约90秒的时间,即可进入特斯拉汽车。一旦进入车内,为了能开走汽车,还需要进行第二步攻击。大概1分钟左右的时间,他就可以注册自己的汽车钥匙,然后把车开走。 目前还不清楚,“PIN-to-Drive”功能能否让沃特斯的第二步攻击失效,该功能要求司机输入PIN后,才能让车辆进入驾驶状态,而不管密钥卡是什么。 不管怎样,特斯拉还是看到了沃特斯攻击的一些价值。沃特斯表示,他们早在8月份就告知了特斯拉。       (消息来源:cnBeta;封面来自网络)