标签: 黑客入侵

11 个 Ruby 库被植入挖矿后门代码 删除前已被下载 3584 次

RubyGems 工作人员表示,他们已经移除了 18 个包含后门机制的恶意版本 Ruby 库。自 7 月 8 日以来,其已被下载 3584 次。如剔除同一库的不同版本,则有 11 个 Ruby 库被污染。这些 Ruby 库被软件包存储库的恶意维护者破解并植入了后门代码,可在其他人启用的 Ruby 项目中开展隐匿的加密货币挖掘任务。 (图自:GitHub,via ZDNet) 昨天,人们在四个版本的 rest-client 中首次发现。作为一个相当流行的 Ruby 库,荷兰开发人者 Jan DIntel分析称: 恶意代码会收集受感染系统的 URL 和环境变量,并将之发送到位于乌克兰的远程服务器。 根据用户的设置,这可能包括当前使用的服务凭证,数据库和支付服务提供商都该倍加小心。 此外,代码包含了一个后门机制,允许攻击者将 cookie 文件发送回受感染的项目中,并执行恶意命令。 RubyGems 工作人员在后续的一次调查中发现,这种机制被滥用并植入了加密货币的挖矿代码,然后又在另外 10 个项目中发现了类似的代码。 据悉,除了 rest-clint 之外的所有库,都调用了另一个功能齐全的库来添加恶意代码,然后以新名称在 RubyGems 重新上传以实现创建。 受影响的 11 个库名如下(具体版本号请移步至官网公告查看 / GitHub 传送门): rest-clint、bitcoin_canity、lita_coin、coming-soon、omniauth_amazon、cron_parser、coin_base、blockchain_wallet、awesome-bot、doge-coin、以及 capistrano-colors 。 遗憾的是,这个隐匿的计划已经活跃了一个多月,结果期间一直未被他人发现。 直到黑客设法访问其中一位客户端开发人员的 RubyGems 账户时,人们才惊觉其在 RubyGems 上推送了四个恶意版本的 rest-clint 。 最终,在所有 18 个恶意库版本被 RubyGems 删除之前,其已经累积了 3584 次下载。 在此,官方建议在关系树中对这些库有依赖的项目开发者,务必采取相应的升级或降级措施,以用上相对安全的版本。   (稿源:cnBeta,封面源自网络。)

黑客使用虚假网站 NordVPN 散播银行木马病毒

黑客们曾经通过破坏和滥用免费多媒体编辑网站 VSDC 散播 Win32.Bolik.2 银行木马,但现在他们改变了攻击策略。 黑客之前的做法是黑入正规网站,并将恶意软件捆绑在下载链接中。但现在黑客使用网站克隆,将银行木马散播到毫无防备的受害者的计算机上。 这使他们可以专注于为恶意工具添加功能,而无需再为渗透企业的服务器和网站而浪费时间。 更重要的是,他们创建的 nord-vpn.club 网站几乎完美克隆了流行的VPN 服务 NordVPN 的官方网站 nordvpn.com,这使得他们可以大范围传播 Win32.Bolik.2 银行木马。   成千上万的潜在受害者 克隆的网站还拥有由开放证书颁发机构 Let’s Encrypt 于 8 月 3 日颁发的有效 SSL 证书,有效期为 11 月 1 日。 Doctor Web 研究人员称:“Win32.Bolik.2 木马是 Win32.Bolik.1 的改进版本,具有多组分多态文件病毒的特性,” 。 “使用这种恶意软件,黑客可以进行网络注入、流量拦截,键盘记录和窃取多个 bank-client 系统的信息。” 这个恶意活动已于 8 月 8 日发起,他们主要攻击使用英语的网民,据研究人员称,已经有数千人为了下载 NordVPN 客户端而访问了 nord-vpn.club 网站。 制造 Bolik 蠕虫的黑客又回来了。他通过伪造 NordVPN,Invoicesoftware360 和 Clipoffice 等网站传播恶意软件 。 Arcticle:https://t.co/1ZJK5BdV4F  IOCs:https://t.co/Q9b9ECrZxu – Ivan Korolev(@ fe7ch)2019年8月19日 恶意软件分析师 Ivan Korolev 称,在感染用户的计算机之后,黑客使用恶意软件“主要用于网络注入/流量监控器/后门”。   通过克隆网站传播恶意软件 Win32.Bolik.2 和 Trojan.PWS.Stealer.26645 也是由同一个黑客组织于 2019 年 6 月下旬通过下面这两个虚假网站传播出去的: •invoicesoftware360.xyz(原为 invoicesoftware360. com) •clipoffice.xyz(原为 crystaloffice.com) 早在四月,免费多媒体编辑网站 VSDC 就遭遇了黑客攻击,这实际上是两年来的第二起事件。下载链接被用来散播 Win32.Bolik.2 银行木马和Trojan.PWS.Stealer( KPOT stealer)。 下载并安装受感染的 VSDC 安装程序的用户的计算机可能会被使用多组件多态的木马感染,病毒还有可能从浏览器,他们的Microsoft帐户,各种聊天应用程序等程序中窃取了敏感信息。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

入侵 Capital One 的黑客还涉嫌入侵其他 30 多家公司

联邦检察官透露,在 Capital One 数据泄露事件发生后被捕的 Paige Thompson 可能还攻击了其他 30 多个组织。 今年7月,美国最大的发卡机构和金融公司之一 Capital One 遭遇黑客攻击,1.06 亿信用申请信息被泄露。 一个网名为 “erratic” 的黑客攻击了 Capital One 的系统,并获得了大量的个人信息。 执法部门逮捕了嫌疑人 Paige A. Thompson(33),她将要对此次数据泄露事件负责。 根据 DoJ 报道,美国司法部长 Brian T. Moran 宣布,“一名前 Seattle 科技公司的软件工程师今天被捕,此人涉嫌网络欺诈以及窃取 Capital One 金融公司的数据。PAIGE A. THOMPSON,网名 erratic,33 岁,她今天在西雅图地方法院出庭,并将于 2019 年 8 月 1 日出席听证会。” 执法部门无法获知数据是否已被出售或分发给其他黑客。 西雅图的美国检察官办公室证实,在 Thompson 家的卧室里查获的服务器中存有 30 多家公司和教育机构的数据,但他们尚不清楚这些受影响组织的名字。 检察官称,绝大多数数据都没有涉及个人信息。他们仍在调查受影响组织的名字。 汤普森的律师没有立即回应要求发表评论的电子邮件。     消息来源:SecurityAffairs,译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客制作免费游戏诈骗网站窃取 Steam 账号

这是一个精心设计的诈骗。玩家看似进入的是一个免费游戏网站,实际上黑客将会盗取他们的 Steam 帐户,然后利用此帐号再去攻击新的玩家。 黑客向受害者的朋友发送消息,告诉他们在给出的网站输入优惠码就能获得免费的 Steam 游戏。 用户点击消息中的链接后会进入 http://steamsafe.fun/?ref=freegame,他们随后将被重定向到黑客建立的诈骗网站。 当用户点击“抽奖”按钮时,该网站将假装从热门游戏列表中随机选出一个游戏,如 PUBG,CSGO,Tropico 4,ARK:Survival Evolved,Assassin’s Creed 等等。 然后它将显示一个 Steam 优惠码,并提醒用户需要登录 Steam 才能获取该游戏。 当用户点击登录按钮时,它将显示一个伪造的 Steam 单点登录(SSO)登录页面,它看起来和 Steam 登录网站一模一样,但实际上是一个诈骗网站。 如果用户输入他们的帐号和密码,该网站将自动在后台登录他们的帐户,更改密码,更改关联的电子邮件地址,以及更改相关的电话号码。 如下图所示,在我们登录 Steam 网站时,您必须检查当前网页是否是https://steamcommunity.com 。     消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

德克萨斯州 20 个地方政府机构网络遭勒索软件攻击

据外媒报道,五年前勒索软件可能还只是网络犯罪领域的一个小角色,但现在它是困扰IT系统的最昂贵的问题之一。德克萨斯州已成为最新遭勒索软件攻击的州,该州20个地方政府实体受到影响。 此前美国佛罗里达州、马里兰州等州政府机构的网络也曾遭遇勒索软件攻击,并导致了数千万美元的损失。 本周,德克萨斯州已加入目标清单。据德克萨斯州信息资源部(DIR)称,20多个地方政府实体受到“ 协调的勒索软件攻击 ”的影响。DIR表示,“德克萨斯军事部和德克萨斯A&M大学系统的网络响应和安全运营中心团队正在为受影响最严重的司法管辖区部署资源。” 虽然最近针对其他州的攻击可能令人费解,但没有披露要求具体支付多少款项。目前缺少“地方政府实体”受影响的任何信息。 美国公共部门和地方政府机构似乎警察受到这种袭击的的影响。一种可能的解释是,预算紧张和昂贵的升级程序会阻止许多组织更新旧软件,从而变得不安全。德克萨斯州将如何应对这场危机还有待观察。德克萨斯州官员可能希望像美国国家安全局这样的联邦机构帮助恢复秩序 – 因为据称 NSA自己的EternalBlue程序是许多现代版勒索软件的基础。   (稿源:cnBeta,封面源自网络。)

这款 MOD 能将特斯拉 Model S 变成移动的监控设备

为了能够让自动驾驶汽车根据路况做出自主决策,开发团队往往需要为其装备复杂的计算机大脑和丰富的传感器。上周末在拉斯维加斯举办的Defcon 27黑客大会上,安全研究人员Truman Kain通过研制的MOD将特斯拉Model S转换成为移动的监控设备。 这款MOD的组成基本上就是一台NVIDIA Jetson Xavier迷你电脑,通过汽车的USB端口进行连接,能够收集汽车周围看到的所有东西。利用Model S现有的Autopilot和哨兵模式(Sentry Mode),以及开源框架该MOD能够识别车辆型号,甚至能够收集和记录车牌信息。 或许很多人认为这个MOD并没有太大的杀伤力,不过安全研究专家Kain并不这么认为,他在Defcon 27黑客大会上现场演示了已经改装好的Model S,不仅能够识别车辆型号,识别重复出现的目标,标记看到对方所在的位置,从而了解更多有关车主的相关信息。   (稿源:cnBeta,封面源自网络。)

微软警告黑客组织 Fancy Bear 正试图利用物联网设备漏洞

微软威胁情报中心报道称,俄罗斯黑客组织 Fancy Bear 一直试图利用 VoIP 电话和打印机等物联网设备,对企业网络展开渗透。外界普遍猜测,该组织拥有俄罗斯官方背景,又名 Strontium Group 或 APT 28 。该组织已成功地在 50 多个不同的国家 / 地区,感染了超过 50 万台消费级路由器。 (题图 via MSPU) 今年 4 月,黑客试图将企业的物联网设备作为目标,借助这些“跳板”来渗透规格更大、安全措施更严格的企业网络。 三起事件中的两件,归咎于物联网设备使用了默认的出厂设置。另一件则是设备使用了过时的固件,其中包含了已知的漏洞。 获得物联网设备的访问权限后,攻击者会进一步破坏网络上其它易受攻击的设备和节点。 通过简单的扫描,该组织可在企业内网畅通无阻地移动,寻找获得更高级别账户的访问权限,以窃取高价值的数据。 此外,黑客可执行“tcpdump”,以发现本地子网上的网络流量。幸运的是,袭击事件被迅速扼杀在了萌芽状态。 在调查结束后,我们已于所涉特定设备的制造商分享了这些信息,希望它们能够借此来探索其产品的全新保护措施。   物联网设备制造商需要对安全威胁保持更广泛的关注,了解此类威胁类型的组织和安全团队,以提供更好的企业支持和监控功能,让技术团队更轻松地保障网络安全。 据悉,同一黑客组织还与针对民主党全国委员会(DNC)、法国 TV5 Monde 电视台、以及德国外交部等机构的攻击事件有关。 安全研究人员指出,该组织还攻击了正在调查与俄方有关的网络犯罪事件的调查人员的电子邮件账户,比如 Skripal 中毒和马航 MH17 空难事件的调查者。 显然,这些未遂攻击的揭露,是微软对行业需加强物联网设备安全性的最新警告,否则后续攻击事件还会接踵而至。   (稿源:cnBeta,封面源自网络。)

IBM X-Force Red 发现新型网络风险:用邮寄方式入侵 WiFi 网络

IBM X-Force Red是隶属于IBM Security的一个资深安全团队,主要目的是发现和防范网络中存在的潜在漏洞。今天该团队发现黑客可以利用网络安全的潜在漏洞渗透网络,实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”,黑客会在包裹内部署一个名为“战舰”(WarShip)的巴掌大小计算机,并通过快递方式将其运输到指定机构,随后入侵这些机构的WiFi内部网络。 和Wardialing或者Wardriving这样的传统方式不同,Warshipping是一种支持3G网络的设备,因此避免了传统方式必须要在黑客设备范围内的局限性,能够更加灵活的进行远程和现场控制。 一旦到达目标站点,设备就会留意可用于探测网络的潜在数据包。 IBM X-Force Red的全球管理合伙人Charles Henderson记录了该团队进行被动无线攻击的过程: 举个例子我们听到了一次握手,一个信令表明设备建立了网络连接。其中一个WarShip设备将捕获的哈希传送到我们的服务器,然后我们利用后端进行破解,基本上就是用户的无线密码,然后获得WiFi的掌控权。 一旦WarShip成功入侵机构的WiFi,并且随后对所有与其连接的设备进行访问。该WarShip设备还会创建自己的流氓WiFi网络,迫使目标设备连接到该网络。自此该机构的关键信息,例如用户名和密码都会发送给黑客,以便于黑客进行后续的网络攻击。 查尔斯通过总结了该团队的调查结果:在这个warshipping项目中,遗憾的是,我们能够建立持久的网络连接并获得对目标系统的完全访问权限。 需要部署到站点的设备基本上由单板计算机(SBC)组成,该计算机在传统的手机可充电电池上运行。此外,使用现成的组件,制作成本仅约100美元,而且它看起来就像是用于学校展示的DIY项目,而不是用于入侵网络的设备。   (稿源:cnBeta,封面源自网络。)

错误的 JIRA 配置导致数百家财富 500 强公司的数据泄露

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。 以下是 Jain 文章的内容: 几个月前,我发表了一篇关于“JIRA 泄露 NASA 员工和项目数据”的文章,我能够在这些泄露的数据中找到NASA员工的详细信息,包括用户名、电子邮件、ID 以及他们的内部项目详细信息。他们用的就是 Atlassian 的 JIRA 工具 – 一个独立任务跟踪系统/项目管理软件,全球约有135,000家公司和组织在使用。 而这次数据泄漏的根本原因是 JIRA 中存在的疯狂错误配置。 为什么使用“狂野”一词,是因为如果你的公司也在使用相同的错误配置,那么我也可以访问你们内部的用户数据和内部项目详细信息。 受影响的客户包括 NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的许多部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输门户网站,加拿大政府财政门户网站之一等。 接下来我将分享我在Jira(Atlassian任务跟踪系统/项目管理软件)中发现的那个关键漏洞,或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。 让我们看看究竟是什么问题! 在 JIRA 中创建过滤器或仪表板时,它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时,默认情况下,可见性分别设置为“所有用户”和“所有人”,而不是与组织中的每个人共享,所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能,它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误,以下内部信息容易受到攻击: 所有账号的雇员姓名和邮箱地址 雇员的角色 项目信息、里程碑等 任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息,由于这些链接可能被所有搜索引擎编入索引,因此任何人都可以通过一些简单的搜索查询轻松找到它们。 来看看一些泄露的数据: 1. NASA员工数据 2. JIRA 过滤器公开访问 3. NASA 项目详情 如上所示,由于这些配置错误的JIRA设置,它会公开员工姓名,员工角色,即将到来的里程碑,秘密项目以及各种其他信息。 现在,我来介绍一下如何通过 来自“Google dorks”(搜索查询)找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的链接/URL。 我通过 Google 的搜索如下: inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log 然后结果就出来了: 此查询列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能。 谷歌收购Apigee员工数据公开曝光 Go-jek 员工数据公开曝光 还有前面提到的 NASA 泄露的数据。 对于过滤器和仪表板,我们可以看到这些过滤器和仪表板的URL包含“Managefilters”和“ConfigurePortal”作为一部分。 我继续创建搜索查询 – inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public ) 此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL,以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。 结果如下: inurl:/ConfigurePortalPages!default.jspa?view=popular 此查询列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公开公开的所有JIRA仪表板。 在进一步侦察(信息收集)时,我发现各公司都有“company.atlassian.net”格式的JIRA URL,因此如果您想检查任何配置错误的过滤器,仪表板或用户选择器功能的公司,您需要 只需将他们的名字放在URL中 – https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular 数以千计的公司过滤器,仪表板和员工数据被公开曝光。 这是因为设置为过滤器和仪表板的错误权限方案因此甚至提供了对未登录用户的访问权限,从而导致敏感数据泄漏。 我在数百家公司中发现了几个错误配置的JIRA帐户。 一些公司来自Alexa和Fortune的顶级名单,包括像NASA,谷歌,雅虎等大型巨头和政府网站,以及 – 巴西政府对Jira过滤器错误配置了他们的道路和运输系统,因此暴露了他们的一些项目细节,员工姓名等,这些都是在与他们联系后修复的。 同样,联合国意外地将他们的Jira过滤器和Jira仪表板公开,因此暴露了他们的内部项目细节,秘密里程碑等,在我报告之后由他们修复并且在他们的名人堂名单中得到奖励。 当他们的商业金融软件系统和解决方案具有相同的Jira错误配置并暴露其内部敏感项目和员工细节时,甚至欧洲政府也遭受了同样的风险。 在我向他们发送报告后,他们也对其进行了修复,并在其名人堂名单中得到了认可。 这些公开可用的过滤器和仪表板提供了详细信息,例如员工角色,员工姓名,邮件ID,即将到来的里程碑,秘密项目和功能。 而用户选择器功能公开了内部用户数据。 竞争对手公司有用的信息,可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。 即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。 显然,它不应该是公开的,这不是安全问题,而是隐私问题。 我向不同的公司报告了这个问题,一些人给了我一些奖励,一些人修复了它,而另一些人仍在使用它。 虽然这是一个错误配置问题,Atlassian(JIRA)必须处理并更明确地明确“任何登录用户”的含义,无论是JIRA的任何登录用户还是仅登录属于特定 JIRA 公司帐户的用户。   (稿源:开源中国,封面源自网络。)

Stack Overflow 安全事件新进展:部分用户私人信息遭窃

Stack Overflow 遭黑客入侵一事仍在调查中,官方博客披露了调查最新进展。 入侵实际发生在5月5日,当时部署到 stackoverflow.com 的开发层的构建包含一个错误,该错误允许攻击者登录到开发层,并在网站的生产版本上升级他们的访问权限。 黑客潜入系统并探索了至少5天都未被发现,直到5月11日,“入侵者对我们的系统进行了更改,以便为自己提供访问特权。这一变化很快被发现,我们撤销了他们在整个网络的访问,开始调查入侵,并采取修复措施。” 调查显示整体用户数据库没有受到损害,攻击者提出的特权 Web 请求已经确定,这些请求返回了约 250 位 Stack Exchange 用户的 IP 地址、名称或电子邮件。受影响用户将很快接到官方的通知。 Stack Overflow 团队表示会针对此次安全事件采取以下措施:  终止对系统的未授权访问  对所有日志和数据库进行广泛而详细的审查  修复导致未经授权访问和升级的原始问题,以及在调查期间发现的任何其他潜在问题载体  主动发表公开声明  聘请第三方取证和事件响应公司协助进行补救  采取预防措施,如重置公司密码、评估系统和安全级别等 此次事件调查仍未结束,官方将持续公布更多信息。   (稿源:开源中国,封面源自网络。)