标签: 黑客攻击

近 2000 家 Magento 1 店遭到黑客攻击

2020年9月12日至13日,全球近2000家Magento 1店遭到黑客攻击,这是迄今为止规模最大的一次有记录的活动。这是一个典型的Magecart攻击:注入的恶意代码将截获不受怀疑的商店客户的付款信息。被检查的商店发现运行Magento版本1,该版本于去年6月宣布停止使用。 Sansec早期漏洞检测系统监控全球电子商务领域的安全威胁,检测到1904个不同的Magento商店,在结账页面上有一个独特的键盘记录(skimmer)。9月11日,有10家商店被感染,12日是1058家,13日是603家,14日是233家。 另请阅读:Adobe与Sansec合作,以提高Magento平台的安全性。 这项自动化活动是Sansec自2015年开始监测以来发现的最大规模的活动。此前的纪录是去年7月一天内有962家店铺被黑客入侵。本周末事件的规模之大说明了网络浏览的复杂性和盈利能力的提高。犯罪分子已经越来越自动化他们的黑客操作,以运行网络掠取计划在尽可能多的商店。 据Sansec估计,上周末,数万名顾客的私人信息通过其中一家受损商店被盗。 Magento exploit $ 5000 在此之前,许多受害商店没有发生过类似的安全事故。这表明攻击者使用了一种新的攻击方法来获得这些存储的服务器(写)访问权限。虽然我们仍在调查确切的原因,但这次活动可能与最近几周前上市的Magento 10天(漏洞利用)有关。 用户z3r0day在一个黑客论坛上宣布以5000美元的价格出售Magento 1“远程代码执行”攻击方法,包括指令视频。据称,不需要事先的Magento管理员帐户。z3r0day强调,由于Magento 1已经过时,Adobe不会提供官方补丁来修复这个漏洞,这使得这个漏洞对使用传统平台的店主造成了额外的伤害。 为了使交易更加顺利,z3r0day承诺只出售10份危险漏洞利用程序。 根据Sansec的实时数据,截至今天,仍有大约9.5 万家Magento 1商店仍在营业。 官方PCI要求在服务器上使用恶意软件和漏洞扫描程序,如Sansec的eComscan。Sansec还建议订阅替代的Magento 1补丁程序支持,例如Mage One提供的支持。 更新:攻击方法 截至周一,Sansec正在对两台受感染的服务器进行调查。攻击者使用IP 92.242.62.210(美国)和91.121.94.121(OVH,FR)与Magento管理面板进行交互,并使用“Magento Connect”功能下载和安装各种文件,包括名为的恶意软件mysql.php。将恶意代码添加到后,该文件已自动删除prototype.js。 2020-09-14T09:57:06  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  POST /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  GET /index.php/admin/?SID=XXXX HTTP/1.1 2020-09-14T09:57:10  92.242.62.210  GET /index.php/admin/dashboard/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:13  92.242.62.210  GET /index.php/admin/system_config/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:15  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:19  92.242.62.210  POST /index.php/admin/system_config/save/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:20  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:22  92.242.62.210  GET /index.php/admin/import/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  POST /index.php/admin/import/validate/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:28  92.242.62.210  POST /downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name= HTTP/1.1 2020-09-14T09:57:29  92.242.62.210  GET /downloader/index.php?A=cleanCache HTTP/1.1 2020-09-14T09:57:31  92.242.62.210  GET /mysql.php HTTP/1.1 WEB服务器的日志显示,周末有很多人试图安装文件,可能是为了安装改进版的skimmer。 撇渣器分析:mcdnn.net 对于受影响的Magento 1商店,已将加载的撇渣器添加到文件prototype.js中,这是标准Magento安装的一部分。 该//mcdnn.net/122002/assets/js/widget.js服务根据其包含在哪个页面上来提供动态内容。仅当从结帐页面中引用时,它才会提供恶意的按键记录日志代码: 实际付款将被泄露到莫斯科托管的站点https://imags.pw/502.jsp,该站点与mcdnn.net域在同一网络上。     稿件与封面来源:Sansec,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Evilnum 黑客使用新的基于Python的木马攻击金融公司

至少自2018年以来,一家以金融科技行业为目标的攻击者改变了策略,加入了一种新的基于Python的远程访问特洛伊木马(RAT),该木马可以窃取密码、文档、浏览器cookie、电子邮件凭据和其他敏感信息。 在Cyber eason研究人员昨天发表的一项分析中,Evilnum不仅调整了其感染链,而且还部署了一个名为“ PyVil RAT”的Python RAT,它具有收集信息,截屏,捕获击键数据,打开SSH shell的功能,并且部署了新工具。 网络安全公司表示:“从2018年的第一份报告到今天,该集团的TTP已经随着不同的工具而发展,而集团继续专注于金融科技目标。”。 “这些变化包括感染链和持久性的改变,随着时间的推移正在扩展的新基础设施,以及使用新的Python脚本远程访问木马(RAT)”来监视其受感染的目标。 在过去的两年中,Evilnum与针对英国和欧盟范围内的公司的几次恶意软件攻击活动有关,这些恶意软件攻击活动涉及使用JavaScript和C#编写的后门程序,以及通过从恶意软件服务提供商Golden Chickens购买的工具。 早在7月,APT小组就被定位为使用鱼叉式网络钓鱼电子邮件的公司,这些电子邮件包含指向托管在Google云端硬盘上的ZIP文件的链接,以窃取软件许可证,客户信用卡信息以及投资和交易文件。 虽然他们在受感染系统中获得最初立足点的作案手法保持不变,但感染程序已发生重大变化。 除了使用带有假冒的鱼叉式网络钓鱼电子邮件(KYC)来诱骗金融业员工触发恶意软件外,攻击还从使用具有后门功能的基于JavaScript的特洛伊木马转移到了能够提供隐藏在合法可执行文件的修改版本中的恶意有效载荷,旨在逃避检测。 研究人员说:“JavaScript是这个新感染链的第一步,最终以有效载荷的传递为最终结果,该载荷是用py2exe编译的Python编写的RAT,Nocturnus研究人员称其为PyVil RAT。” 多进程传递过程(“ ddpp.exe”)在执行时,解压缩shellcode以便与攻击者控制的服务器建立通信,并接收第二个加密的可执行文件(“ fplayer.exe”),该文件用作下一阶段的下载程序以进行提取Python RAT。 研究人员指出:“在该小组的先前活动中,Evilnum的工具避免使用域与C2进行通信,而仅使用IP地址。” “虽然C2 IP地址每隔几周更改一次,但与此IP地址关联的域列表却在不断增长。” 随着APT技术的不断发展,企业必须保持警惕,员工要警惕他们的电子邮件是否存在网络钓鱼企图,并在打开来自未知发件人的电子邮件和附件时保持谨慎。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

跨平台挖矿木马 MrbMiner 已控制上千台服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 一、背景 腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner,黑客通过SQL Server服务器弱口令爆破入侵,爆破成功后在目标系统释放C#语言编写的木马assm.exe,进一步通过该木马与C2服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。挖矿木马文件通过ZIP解压缩得到,并且会伪装成各类Windows系统服务。由于该挖矿木马的C2地址、矿池账号和文件信息均包含特征字符“MRB”,腾讯安全威胁情报中心将其命名为“MrbMiner“。 MrbMiner入侵后会释放另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载器会将挖矿木马安装为系统服务以实现持久化运行,同时会搜集中招系统信息(包括CPU型号、CPU数量、.NET版本信息),关闭Windows升级服务以及在Windows系统中添加后门账号以方便继续入侵控制。 MrbMiner挖矿木马会小心隐藏自身,避免被管理员发现。木马会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件。 腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件,推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据,MrbMiner挖矿木马已控制上千台服务器组网挖矿。 腾讯安全系列产品已支持检测、清除MrbMiner挖矿木马,详细响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)MrbMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)MrbMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)MrbMiner挖矿木马关联的IOCs已支持识别检测; 2)SQL Server弱口令爆破登陆预警。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀MrbMiner相关木马程序; 2)SQL Server弱口令爆破登陆预警。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测MrbMiner挖矿木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀MrbMiner入侵释放的木马程序。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 黑客通过批量扫描和爆破SQL Server服务,执行shellcode下载assm.exe到服务器一下位置,并启动assm.exe: c:/program files/microsoft sql server/mssql**.mssqlserver/mssql/data/sqlmanagement/assm.exe c:/windows/temp/sqlmanagement/assm.exe assm.exe采用C#编写,执行后首先杀死已有挖矿进程,并删除文件。 然后向服务器vihansoft.ir:3341发送上线信息“    StartProgram    ok”。 从服务器mrbfile[.]xyz下载门罗币挖矿木马压缩包文件sqlServer.dll。 对下载得到的文件进行Zip解压缩。 挖矿木马文件名伪装成与Windows正常服务相似的文件名: Microsoft Media Service.exe Microsoft Agent System.exe WindowsSecurityService.exe WindowsAgentService.exe WindowsHostService.exe Windows Desktop Service.exe Windows Host Management.exe Windows Update Service.exe SecurityService.exe InstallWindowsHost.exe SystemManagement.exe 文件描述也使用类似的伪装手法: Services Service-Mrb WindowsSecurityService MrbMngService SetAllconfig()设置挖矿配置文件,首先向服务器发送消息“getConfig”获取配置文件,然后将得到的配置文件中的“rig-id”由“MRB_ADMIN”替换为“MrbAdmin-ProcessorCount”,ProcessorCount为当前机器CPU数量。 同时根据环境下不同的CPU数量设置不同的挖矿端口,默认端口为3333: CPU:1,port:3331 CPU:2,port:3332 CPU:4,port:3334 CPU:8,port:3338 默认挖矿配置参数: 一旦检测到挖矿进程退出,则重新启动。 一旦检测到“taskmgr”进程存在,则退出挖矿进程,并删除相关文件。(非常狡猾的设计,如果用户发现系统异常,准备打开任务管理器检查时,挖矿进程就结束,并删除文件) 私有矿池:mrbpool.xyz:443 公有矿池:pool.supportxmr.com:3333 门罗币钱包: 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 目前该钱包的收益为7个XMR,其私有矿池收益无法查询,而挖矿木马收益主要来源于私有矿池,因此该挖矿木马的实际收益会远远超过当前数额。 分析发现,黑客入侵后释放的另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载门罗币挖矿木马之后,还会将其安装服务进行持久化,服务名为”Microsoft Agent Service”、”Windows Host Service”。 添加Windows账号”Default”,密码:”@fg125kjnhn987″,以便后续入侵系统。 执行Powershell命令,关闭系统升级服务: 获取系统内存信息: 获取IP地址: 获取CPU名称: 获取CPU数量: 获取.NET Framework版本信息: 此外,腾讯安全专家在攻击者的FTP服务器ftp[:]//145.239.225.15上,还发现了基于Linux平台和ARM平台的挖矿木马: Linux和ARM平台挖矿使用矿池:pool.supportxmr.com:80 钱包: 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh 该钱包目前收益3.38个XMR。 IOCs IP 145.239.225.15 145.239.225.18 Domain mrbfile.xyz vihansoft.ir C&C vihansoft.ir:3341 URL http[:]//mrbfile.xyz/Hostz.zip http[:]//mrbfile.xyz/PowerShellInstaller.exe http[:]//mrbfile.xyz/sql/SqlServer.dll http[:]//mrbfile.xyz/Agentz.zip http[:]//mrbfile.xyz/Agenty.zip http[:]//mrbfile.xyz/sql/syslib.dll http[:]//mrbfile.xyz/sys.dll http[:]//mrbfile.xyz/35/sys.dll http[:]//mrbfile.xyz/Hosty.zip http[:]//vihansoft.ir/sys.dll https[:]//vihansoft.ir/Sys.dll http[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/d.zip http[:]//vihansoft.ir/k.exe http[:]//vihansoft.ir/d.zip https[:]//vihansoft.ir/Hostx.zip http[:]//vihansoft.ir/p.zip https[:]//vihansoft.ir/k.exe https[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/vhost.tar.gz https[:]//vihansoft.ir/P.zip https[:]//github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true https[:]//vihanSoft.ir/Agent.zip https[:]//vihanSoft.ir/host.zip ftp[:]//145.239.225.15/armv.tar.gz ftp[:]//145.239.225.15/linux-os.tar.gz ftp[:]//145.239.225.15/linuxservice.tar.gz ftp[:]//145.239.225.15/osx.tar.gz ftp[:]//145.239.225.15/vhost.tar.gz ftp[:]//145.239.225.15/xmr.tar.gz ftp[:]//145.239.225.15/arm.tar.gz Md5 c79d08c7a122f208edefdc3bea807d64 6bcc710ba30f233000dcf6e0df2b4e91 ac72e18ad3d55592340d7b6c90732a2e 6c929565185c42e2e635a09e7e18fcc8 04612ddd71bb11069dd804048ef63ebf 68206d23f963e61814e9a0bd18a6ceaa a5adecd40a98d67027af348b1eee4c45 c417197bcd1de05c8f6fcdbfeb6028eb 76c266d1b1406e8a5e45cfe279d5da6a 605b858b0b16d4952b2a24af3f9e8c8e c3b16228717983e1548570848d51a23b c10b1c31cf7f1fcf1aa7c79a5529381c 391694fe38d9fb229e158d2731c8ad7c 5d457156ea13de71c4eca7c46207890d f1cd388489270031e659c89233f78ce9 54b14b1aa92f8c7e33a1fa75dc9ba63d f9e91a21d4f400957a8ae7776954bd17 61a17390c68ec9e745339c1287206fdb f13540e6e874b759cc3b51b531149003 2915f1f58ea658172472b011667053df 3cb03c04a402a57ef7bb61c899577ba4 f2d0b646b96cba582d53b788a32f6db2 5eaa3c2b187a4fa71718be57b0e704c9 8cf543527e0af3b0ec11f4a5b5970810 36254048a516eda1a13fab81b6123119 0a8aac558c77f9f49b64818d7ab12000 59beb43a9319cbc2b3f3c59303989111 ce8fdec586e258ef340428025e4e44fa e4284f80b9066adc55079e8e564f448c 2f402cde33437d335f312a98b366c3c8 25a579dcc0cd6a70a56c7a4a0b8a1198 2d1159d7dc145192e55cd05a13408e9b 2dd8a0213893a26f69e6ae56d2b58d9d 0d8838116a25b6987bf83214c1058aad 0c883e5bbbbb01c4b32121cfa876d9d6 2d26ecc1fdcdad62e608a9de2542a1a6 27c91887f44bd92fb5538bc249d0e024 96b0f85c37c1523f054c269131755808 028f24eb796b1bb20b85c7c708efa497 门罗币钱包: 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh

Garmin 被要求支付 1 千万美元赎金 俄罗斯黑客可能是幕后黑手

Garmin在上周四遭遇勒索软件攻击,导致其服务中断,Garmin目前仍在努力恢复服务。现在更多的信息已经显示出谁应该对整个事件负责。Garmin在五天前承认了遭遇黑客袭击,Garmin在Twitter上的一个模糊的公告中解释说,它正在经历一次服务中断,公司正在努力修复它。 Garmin表示,目前正在经历一次故障,影响Garmin.com和Garmin Connect。这次中断也影响了呼叫中心,服务人员目前无法接收任何电话、电子邮件或在线聊天服务。Garmin正在努力尽快解决这个问题,并对由此带来的不便表示歉意。根据各种报道,Garmin内部宣布在部分工厂进行两天的维护,可能是为了在攻击后恢复。该公司从未证实勒索软件攻击是造成此次故障的原因。不过,来自《每日邮报》的报道显示,Garmin被要求支付1000万美元的赎金来解锁电脑,勒索软件感染会对设备上的所有文件进行加密,受害者需要支付赎金才能解密。 不用说,Garmin表示拒绝,据信该公司现在正在努力恢复备份,使所有服务重新上线。但事实证明,即使Garmin同意支付,这种事情也是不可能的,这是因为这次攻击背后的黑客组织据信是Evil Corp,这是一个俄罗斯组织,此前曾与多个针对美国银行系统的恶意行动有关。去年,美国财政部正式宣布了对Evil Corp的一系列制裁,所以在法律上,Garmin是不允许向该组织支付任何款项的。 Evil Corp的幕后黑手是Maksim Yakubets,他是一名33岁的黑客,FBI悬赏500万美元,据信他最近还对其他数十家美国公司发动了大规模攻击。据相关消息人士透露,Yakubets目前仍居住在俄罗斯,他通过恶意活动发家致富,他是著名的兰博基尼Huracan车主。他此前购买了一只老虎作为自己的宠物,并在车上使用了一个写着 “小偷 “的定制号牌。截至目前,Garmin服务仍处于瘫痪状态,该公司拒绝对任何有关勒索软件攻击的说法发表评论。     (稿源:cnBeta,封面源自网络。)

Garmin Connect 服务在遭受勒索软件攻击后下线

Garmin地图和导航服务所在的公司遭到了勒索软件的攻击,攻击者加密了这家智能手表制造商的内部服务器,迫使其关闭了呼叫中心、网站和Garmin Connect服务,而所有的Garmin地图用户几乎都依靠该服务通过移动应用同步他们的活动。 在Twitter上分享的消息中,该公司向用户道歉,并详细介绍了不同服务被迫关闭的严重程度。 据ZDNet报道,此次攻击还影响到了Garmin的航空数据库服务,即支持航空导航设备的flyGarmin,甚至是位于亚洲的一些生产线。 Garmin官方并未将此次故障归结为勒索软件攻击所致,但公司员工此后在Twitter上将其描述为勒索软件攻击。 台湾科技新闻网站IThome公布了一份Garmin的IT部门给其台湾工厂的内部备忘录,宣布周五和周六两天进行维护,消息人士告诉网站,这是由于 “病毒”造成的。     (稿源:cnBeta,封面源自网络。)  

Twitter 怕再遭调查 主动向欧盟报备黑客攻击事件

新浪科技讯 北京时间7月22晚间消息,据国外媒体报道,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向欧盟数据保护机构报备该事件。 欧盟数据保护机构“爱尔兰数据保护委员会”(DPC)发言人格雷厄姆·多伊尔(Graham Doyle)今日称,该监管机构已收到关于这一事件的通报。DPC是Twitter和其他美国科技公司在欧盟的主要监管机构,因为这些公司的欧洲总部都设在爱尔兰。 当前,Twitter正在努力应对这一最严重的安全事故。Twitter上周三晚间宣布,黑客通过获得Twitter员工凭证的控制权,劫持了包括民主党总统候选人乔·拜登(Joe Biden)、前总统巴拉克·奥巴马(Barack Obama)、真人秀明星金·卡戴珊(Kim Kardashian)和科技亿万富豪兼特斯拉创始人埃隆·马斯克(Elon Musk)在内的账户。 Twitter随后又表示,黑客此次共锁定130个帐号,通过重置密码控制了其中的45个账号,并通过它们发布了“推文”(Twitter消息)。另外,Twitter还证实,攻击者成功地操纵了一小部分内部员工,并利用他们的凭证访问Twitter的内部系统。 2018年5月,欧盟新的数据隐私法规《通用数据保护条例》(GDPR)正式生效。同年10月,Twitter就在欧洲遭到了有关用户数据跟踪的调查。这也是GDPR生效之后,Twitter首次遭遇调查。(李明)     (稿源:新浪科技,封面源自网络。)

Twitter 公布最新调查进展:大约有 130 个账号遭到攻击

针对本周较早时候发生的大规模黑客入侵事件,推特在最新推文中持续更新了调查情况。在推文中表示大约有 130 个账号遭到攻击,而且这些被攻击的账号中有少部分账号被攻击者完全控制,然后通过这些账号发送推文。 推特表示目前正和受影响的账户进行交流的同时,在接下来几天中还将会继续展开本次事件的调查工作。推特将继续评估与这些帐户相关的非公开数据是否遭到破坏,如果确定发生了非公开数据,则会提供更新。 在调查期间,所有账号的下载推特数据选项依然是禁用的。此外推特还采取了多项积极措施来保护推特用户的账号安全。目前推特正在评估可能采取的长期措施,并会尽快分享更多细节。 美国中部时间 2020 年 7 月 15 日 14:00 左右,多个大 V 的推特账户出人意料地发布了有关比特币的消息,此事很快引发了许多网友和 Twitter 官方安全团队的警惕。 这些疑似被劫持的账号不约而同地宣称将以品牌或个人的名义向网友赠送比特币以“回馈社区”,但前提是先让网友将特定数量的比特币发送到给定的钱包地址,然后他们才会“双倍奉还”。 在一段相当混乱的时间内(半小时或更长时间),多个大 V 账号都被卷入了这场突如其来的比特币骗局。美国中部时间 16:45 左右,Twitter 官方支持账号终于对此事给予了回应。     (稿源:cnBeta,封面源自网络。)

Twitter 在黑客攻击前加紧寻找填补最高安全职位的人选

据路透社消息,Twitter公司最近几周加大了寻找首席信息安全官的力度,两位知情人士告诉路透社记者,周三发生的名人账户被入侵事件引起了人们对该平台安全性的警惕。美国联邦调查局旧金山分部正在领导对Twitter黑客事件的调查,它在一份声明中说,更多的华盛顿立法者要求对事件的发生进行说明。 执法机构表示,黑客在夺取了包括乔·拜登、金·卡戴珊、贝拉克·奥巴马和埃隆·马斯克在内的名人和政治人物的Twitter账户控制权后,实施了加密货币欺诈。漏洞发生一天后,虽然Twitter表示没有证据表明攻击者能够获取密码,但尚不清楚黑客是否能够看到账户持有人发送的私人信息。 该公司在一份声明中表示,正在继续锁定过去一个月内更改过密码的账户,但表示 “我们相信这些被锁定的账户中只有一小部分被泄露。” Twitter拒绝对寻找首席信息安全官人选一事发表评论。 为了表明这次攻击事件让美国立法者多么不安,民主党和共和党都表现出罕见的两党共识,即Twitter必须更好地解释安全漏洞是如何发生的,以及它正在采取什么措施来防止未来的攻击。“这次黑客攻击对11月的投票来说是个不祥之兆,”美国民主党参议员Richard Blumenthal在一份声明中说,他斥责Twitter “屡次出现安全漏洞,未能保障账户安全”。 众议院司法委员会的共和党议员Jim Jordan也有类似的看法,他问道,如果Twitter允许类似事件在11月2日,即美国总统大选前一天发生,会发生什么情况。 Jordan说,截至周四下午,他的推特账号仍被锁定。 白宫发言人Kayleigh McEnany表示,美国总统特朗普是一位经常发布推文的Twitter用户,他计划继续发推文,他的账户在攻击期间没有受到危害。她表示,白宫“在过去18小时内一直与Twitter保持联系”,以保证特朗普Twitter账号的安全。 Twitter表示,黑客的目标是能够进入其内部系统的员工,并 “利用这一权限控制了许多备受瞩目的(包括经过验证的)账户”。 其他被黑客攻击的名人账户包括说唱歌手“侃爷”坎耶·韦斯特、亚马逊公司创始人杰夫·贝佐斯、投资人沃伦·巴菲特、微软公司联合创始人比尔·盖茨(Bill Gates),以及Uber和苹果公司的企业账户。 这家自12月以来一直没有安全主管的公司表示,黑客对其员工进行了 “协调的社会工程攻击”。一些从外部研究此次黑客攻击的安全专家认为,可能有多个参与者参与其中。他们的理论是,对员工工具的访问,本应受到更严密的监控,但却在为了炫耀权利或金钱而对声望账户感兴趣的人中传播。它可能会进一步传播。 在调查此次事件的过程中,Twitter采取了一项非常措施,暂时阻止了许多经过验证的账号发布消息。这些被劫持的账户在Twitter上发布消息,告诉用户发送比特币。公开的区块链记录显示,明显的诈骗者收到了价值超过10万美元的加密货币。 截至周四,Twitter仍在继续屏蔽包含骗子所使用的比特币地址的推文。Facebook公司周三似乎在其Messenger服务上临时启用了类似的安全功能,但没有回应关于其是否也成为攻击目标的询问。 Twitter首席执行官杰克·多西周三表示,这对Twitter的每个人来说都是“艰难的一天”,并承诺 “当我们对具体发生的事情有了更全面的了解后,我们将分享一切”。多西的保证并没有缓解华盛顿对社交媒体公司的担忧,这些公司的政策受到了左派和右派批评者的审查。 担任众议院能源和商务委员会主席的民主党人Frank Pallone表示,该公司需要解释黑客事件是如何发生的。而美国众议院情报委员会就黑客事件与Twitter进行了接触。   (稿源:cnBeta,封面源自网络。)

Twitter 大规模黑客攻击或将演变成全球安全危机

新浪科技讯 北京时间7月16日午间消息,据外媒报道,比特币骗子不会是最后一个盗取认证账户的人——我们应该保持警惕,因为还会有其他人来盗取我们的账户。 一切皆在意料之中。 2020年7月15日的黑客攻击事件,是Twitter公司历史上最严重的一次安全破坏事件。无论公司最终怎么讲述这次事件,有一点必须承认,危机早在几年前就已经开始酝酿。 从2018年春季开始,骗子已经在冒充知名加密货币爱好者伊隆·马斯克(Elon Musk)。他们使用马斯克的头像,选择一个相似的用户名,然后发布一条仿佛天上掉馅饼一般的有效邀请:借给他一些加密货币,他会还你更多。有时候,诈骗者会回复一个已经连接且经过认证的账户(例如马斯克的SpaceX),好让假账户看上去更真实。骗子还会通过僵尸网络散播虚假推文,也是为了增加真实性。 2018年的事件让我们看到三件事。第一,总会有人上当受骗,每一次有人上当受骗,都足以激发进一步诈骗;第二,Twitter对这种威胁的处理缓慢,远不及该公司一早许下的会严肃对待这些问题的承诺;第三,诈骗者的需求与Twitter最初采取的反击措施形成一场猫捉老鼠游戏,进而鼓动不法分子采取更激进的行动来制造破坏。 于是就有了今天的最大规模攻击事件。尼克·斯塔特(Nick Statt)报道说: “大型公司和个人的Twitter账户最近遭遇该平台上有史以来最大规模的黑客攻击。所有攻击都是为了推广比特币骗局,而且始作俑者似乎还从中赚到了一小笔钱。我们不知道攻击是如何发生的,也不知道Twitter自己的系统受到多大程度的损害。黑客似乎已经消停,但认证账号从东部时间下午四点开始陆续发布新的诈骗推文,一直持续两个多小时。沉默了一个多小时候,Twitter终于承认了黑客攻击时间,东部时间5点45分的时候在公司的用户支持账户上写道:‘我们已经获悉影响我们平台用户的安全事件。我们正在调查并积极采取措施应对攻击。我们会尽快向大家提供最新信息。’” 包括前总统巴拉克·奥巴马(Barack Obama),乔·拜登(Joe Biden),亚马逊首席执行官杰夫·贝佐斯(Jeff Bezos),比尔·盖茨(Bill Gates)和流行歌手坎耶·韦斯特(Kanye West)等人以及苹果和优步等科技公司的认证帐户受到黑客攻击。 但他们都是后来的事情。最早受到攻击的名人账户,是谁呢?伊隆·马斯克,毫无疑问。 黑客攻击的前几个小时内,上当受骗的人们一共向黑客送上了11.8万多美元。另外,黑客可能还访问了大量的个人直接消息。更令人不安的是,黑客攻击展开的速度和规模,还有更深层次的国家安全问题。 当然,最首要也是最显著的一个问题是,攻击的始作俑者是谁,他们是如何做到的?截至发稿时,我们还没有答案。根据安全记者约瑟夫·考克斯(Joseph Cox)的报道,地下黑客社区的成员之间分享的屏幕截图显示,有人可以访问Twitter内部用于管理账户的工具。考克斯写道:   “两名地下黑客社区的信源向媒体提供了一个内部控制面板的屏幕截图,据称Twitter的员工就是使用这个内部控制面板管理用户账户。一名消息人士称,Twitter的这个控制面板也用来更改某些所谓OG账户的所有权。Twitter已经删除了这些控制面板的截图,并暂停了发布这些截图的用户账户,称内容违反社区规则。” 继续揣测难免显得不负责任,但考克斯的报告至少已经说明这不是一起简单普通的黑客攻击事件。一种可能的情况是,黑客攻破了Twitter的内部工具;考克斯还提出了另一种可能,Twitter员工中有内鬼,参与了这次攻击——若果真如此,那Twitter真是年内中彩两次了。 但不管是哪种情况,Twitter对这次事件的回应带来进一步的困扰。该公司最早就此事而发布的推文基本没提到任何实质性内容,两小时后Twitter简单地表示:公司已经禁用了认证账户的发推功能,或者已经重置了他们的密码,同时公司正在努力调查攻击的根本原因。但是就在Twitter说明情况之前,许多用户已经被迫发现,他们发不出推文了。 政客、名人和国家新闻媒体这会都发不了推文倒是给Twitter省了些公关麻烦,虽然普通用户的调侃挺欢乐,但细想一下更严重的问题还在后头。Twitter,无论好坏,始终是全球最重要的通信系统之一,它的用户中有很多与紧急医疗服务机构相关。例如,伊利诺伊州林肯国家气象局在认证账户被禁言前,刚刚发布了一条龙卷风警告。那些依赖这个账号了解龙卷风后续情况的用户们,这下可能要倒霉了。 当然,Twitter禁止认证账户发言也是不得已为之。人们大概宁愿国家气象服务发不了推,也不会希望黑客把账户卖给不法分子然后后者乘机登录账户发布一些虚假信息,比如谎称龙卷费席卷了美国各大城市等等。但是用这种笨拙的方法来解决问题——禁止35.9万个认证账户中的大部分账户发布消息——反映出这次事件的影响范围之广。 然后你不由得会想,如果下一次这么干的不是贪婪的比特币骗子,而是国家级别的人物或者精神病患者,公司会采取什么样的应急措施。这次事件后,不难想象,如果有人控制了某个世界领导人的账户然后试图发动核战争,也未尝没有可能。 在这一点上,密苏里州共和党参议员乔什·霍利(Josh Hawley)在写给Twitter首席执行官杰克·多西的信中提到的内容,十分能引起共鸣。霍利说: “我担心该事件不仅仅是一系列有计划有预谋的独立黑客攻击事件,更是对Twitter自身安全性的一次成功攻击。正如你所知,你的数百万用户不仅依赖你的服务公开发布推文,也使用你的直接消息服务私下里互相交流。对你系统服务器的成功攻击将对所有用户的隐私与数据安全构成威胁。” 不过,霍利也没有说全面。这里,不仅是用户隐私和数据安全面临威胁。更重要的是,Twitter上的冒名顶替和欺诈极有可能引起现实世界中的动乱。直到今天,我们已经看到这种假设已真实发生。随着距离2020年大选只剩不到四个月时间,天知道到底会发生什么。 接下来几天,Twitter可能会调查安全事件的起因。该公司可能无法给出完全令人满意的解释。但重要的是,Twitter及时与公众分享它对这次事件所了解到的一切——以及公司日后会采取哪些措施避免这样的事情再次发生。(小白)     (稿源:新浪科技,封面源自网络。)

攻击 Twitter 的黑客骗到 12 万美元比特币 一半已转移

新浪科技讯 北京时间7月16日上午消息,当地时间15日,Twitter遭遇史上最大规模的网络攻击,数十位政商界知名人士账号被盗,黑客在他们的账户上发布了骗取比特币的推文。一家比特币追踪公司称,黑客骗取了价值至少12万美元的比特币,这些资产中超过一半已经被转移到其他账户中。 这起骗局的幕后黑手侵入了包括亚马逊首席执行官杰夫·贝索斯和特斯拉创始人埃隆·马斯克在内的部分企业高管的Twitter账号,并在这些账号上发布信息,要求Twitter用户将比特币直接转到三个账号中的其中一个上。黑客还承诺会对汇入的比特币加倍返还。在汇入账号的12万美元中,大约6.5万美元已经被转移到了其他比特币账号地址,其中一个账号在过去一直保持活跃,并在美国一家交易所注册。黑客在这起诈骗案中获得的资金约有一半来自美国,四分之一来自欧洲,其余则来自亚洲。 对资金进行追踪将帮助到调查人员,因为美国交易所通常都会对用户进行严格的身份验证,因此很可能会有账号的姓名信息。但搜寻嫌犯需要时间,并且具有挑战性,这取决于黑客们下一步如何做,也取决于他们如何套现。如果他们试图利用一个受到监管的美国交易所,那么找到他们将很容易。但如果这些嫌犯试图通过不受监管的小型交易所来套现,那么找到他们将会变得非常困难。 虽然比特币很难追踪,但已经有一些追踪公司在从事这项业务,以帮助执法部门。交易所和其他供应商也已经开始收集更多的客户信息。执法机构在过去已经多次对被盗比特币进行过成功追踪。 除了一些著名政商领袖,本次黑客还成功侵入了许多加密公司,比如双子星交易所(Gemini exchange)。 美国最大的比特币交易所Coinbase已经开始阻止用户向黑客账户汇款。Coinbase发言人埃利奥特·萨瑟斯(Elliott Suthers)说:“我们已将黑客账号列入了黑名单。“ 双子星交易所的发言人说,他们也封锁了黑客的账户。目前,随着有关这起诈骗事件的消息开始成为头条新闻,向诈骗账号汇款的速度已经放慢。 比特币是一个对诈骗犯很有吸引力的标的物,因为它可以在全球范围内使用。虽然比特币的价格在新冠病毒爆发之初有所下降,但此后又开始回升,自年初以来已上涨约30%。(樵风)     (稿源:新浪科技,封面源自网络。)