标签: 黑客攻击

黑客劫持路由器 DNS:以 COVID-19 之名重定向至恶意网站

根据安全公司Bitdefender研究人员本周三发布的博文,发现了通过DNS劫持将用户重定向到新冠病毒(COVID-19)信息APP的下载页面。用户访问页面之后并不会下载任何APP文件,会直接被恶意程序感染,并会获取诸如加密钱包凭证和其他私人敏感信息。 Bitdefender研究人员表示,黑客向存在漏洞的路由器发起攻击,并使用暴力破解的方式来猜测控制面板的密码。(这并不难做到,因为很多用户的帐号凭证均为默认设置,为admin和password)。一旦攻击者获得了路由器的控制权限,更改DNS设置就变得非常简单。 Bitdefender在博文中解释道: DNS设置非常重要,因为它们就像电话簿一样工作。每当用户键入网站名称时,DNS服务都可以将其发送到提供该特定域名的相应IP地址。 简而言之,DNS的工作原理几乎与智能手机的日程安排相同:每当您要呼叫某人时,您只需查找其姓名,而不必记住他们的电话号码。 而一旦黑客更改了DNS IP地址,他们就可以将用户的请求重定向到攻击者控制的网页。而且这些链接均使用了短链接方式提供,恶意重定向的目标域包括goo.gl,bit.ly,washington.edu,cox.net和aws.amazon.com。 Bitdefender研究人员认为,大约有1200人受到此攻击的影响,并且该团队到目前为止已找到四个单独的恶意Bitbucket存储库。从地理上来讲,大多数受害者似乎来自美国,德国和法国。 如果您担心这种攻击,Bitdefender建议您更改路由器控制面板的登录凭据,更新路由器固件,当然如果可以的话请下载功能强大的防病毒软件套件。     (稿源:cnBeta,封面源自网络。)

近期使用”新冠疫情(COVID-19)”为诱饵的 APT 攻击活动汇总

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/UXbsJsCbz6FsQ-ztbk6CaQ   一、概述 目前,由新型冠状病毒引起的肺炎疫情(COVID-19)在全球蔓延,已有190个国家存在确诊病例,全球确诊人数已经超过43万人,死亡病例超过1.9万。中国大陆已基本控制住疫情,但在意大利、西班牙、美国等发达国家疫情仍处于爆发期,世界卫生组织已将疫情的全球风险级别确定为“非常高”。 而随着新冠病毒疫情(COVID-19)在全球蔓延,以此为主题的网络攻击事件骤然增长。其中中国大陆、意大利、韩国等国家成为黑客网络攻击的高风险地区。腾讯安全威胁情报中心自疫情爆发后,已检测到多起以新冠病毒疫情为主题的攻击活动。 攻击者大多以投递邮件的方式,构造诱饵文件欺骗用户点击,恶意文件类型多种多样,覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击的背景也包括具有国家背景的专业APT组织和普通黑产组织。 本文对近期发现的以新冠病毒疫情为诱饵的攻击活动加以汇总,供大家参考。在此提醒广大政企单位和个人用户,在做好疫情防控的同时,也要做好网络安全的防护工作。 二、近期活跃的APT攻击及黑产 01 具有国家背景的APT攻击活动 1)海莲花(APT32)组织 海莲花,又称APT32、OceanLotus,被认为是具有越南国家背景的攻击组织。该组织自发现以来,一直针对中国的政府部门、国企等目标进行攻击活动,为近年来对中国大陆进行网络攻击活动最频繁的APT组织。腾讯安全威胁情报中心在2019年也多次曝光了该组织的攻击活动。 自新冠疫情爆发以来,该组织正变本加厉对中国大陆相关目标进行网络攻击活动。攻击方式依然采用鱼叉邮件攻击,钓鱼邮件同样使用跟新冠病毒疫情相关的诱饵文档。如: 攻击诱饵包括lnk文件、白加黑攻击方式等: 技术细节跟之前曝光的变化不大,本文不再过多描述。 除了投递恶意木马外,海莲花还是用无附件攻击,用来探查用户的一些信息: 也有附件和探针一起的: 2)蔓灵花(BITTER)组织 蔓灵花也是对中国大陆进行攻击的比较频繁的一个攻击组织,其目标包括外交部门,军工、核能等重点企业。 在疫情爆发后,该组织同样采用了跟疫情相关的诱饵来对一些目标进行攻击: 最终释放的特种木马为2019年才开始采用的C#木马: 3)Kimsuky组织 Kimsuky组织被认为是来自东亚某国的攻击组织,该组织一直针对韩国政府部门、大学教授等目标进行攻击活动。Kimsuky组织为韩国安全厂商命名,腾讯安全威胁情报中心在2018、2019均披露过的Hermit(隐士)同属该攻击组织。 在2020年2月底到3月初期,韩国是除中国大陆外受疫情影响最严重的国家。于是Kimsuky十分活跃,开始利用疫情相关的诱饵,对韩国目标进行攻击活动。同时我们发现,该组织还同时具备多平台的攻击能力。 此外,该组织还针对MacOS进行攻击: 最终的恶意文件使用python编写,用来收集用户信息,和C&C进行通信来获取命令等: 4)TransprentTribe组织 TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要目标是针对印度政府、军事目标等。腾讯安全威胁情报在2019年也多次曝光该组织的一些攻击活动。 虽然新冠病毒疫情暂时还未在印度爆发,但是印度也已经在进行一些疫情相关的防控举措,包括关闭国门,加强检疫等等。但是网络攻击不会因此而停止,攻击者同样借助疫情相关资讯进行攻击活动。如: 执行后的宏代码为: 执行后的宏代码为: 02 其他网络黑产活动 包括白象、毒云藤、gamaredon等攻击组织均使用新冠疫情相关诱饵对特定目标进行攻击。由于已经有大量报告针对该些活动的分析,本文就不再罗列。 1)网络诈骗 网络诈骗也是网络攻击活动中的一种,在疫情爆发之后,腾讯安全威胁情报中心检测到多次使用疫情有关的内容进行恶意诈骗的案例。如: 在该案例中,借口让人捐款来研发疫苗,诱使收件人进行比特币转账。所幸,该诈骗活动并未有人上当: 2)投递窃密木马 群发垃圾邮件投递窃密木马也是近期黑产惯用的一些手法,如下: Hancitor木马 假冒保险发票信息 TA505 假冒COVID-19 FAQ的诱饵文档,欺骗目标用户启用宏代码。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 最终释放的窃密木马功能包括cookie窃取、键盘记录、上传下载文件等。 4)勒索病毒 近期检测到勒索病毒主要为两种: 一种为使用新冠疫情为诱饵传播勒索病毒,如CORONAVIRUS_COVID-19.vbs ,最终释放Netwalker勒索病毒 另外一种勒索病毒直接将自己命名为新冠病毒: 三、总结和建议 从本文罗列的以新冠疫情(COVID-19)有关的攻击活动可以看到,网络攻击会紧跟社会热点,精心构造跟时事、热点有关的资讯作攻击诱饵,诱使目标用户点击再植入恶意文件或者进行网络诈骗活动。 在全球新冠疫情全球大爆发的时候,利用新冠疫情相关诱饵进行的网络攻击,其中有些攻击对象还包括医疗机构,手段可谓卑劣至极!因此我们提醒政企机关单位和个人,务必提高警惕,勿轻易信任何与疫情有关的资讯邮件,勿轻易启用Office的宏代码查看文档。 我们建议政企机构使用腾讯安全推荐的方案进行防御,个人用户推荐使用腾讯电脑管家,保持实时防护功能为开启状态。 腾讯安全解决方案部署示意图 IOCs MD5 f6fe2b2ce809c317c6b01dfbde4a16c7 0e5f284a3cad8da4e4a0c3ae8c9faa9d aa5c9ab5a35ec7337cab41b202267ab5 d739f10933c11bd6bd9677f91893986c d9ce6de8b282b105145a13fbcea24d87 a9dac36efd7c99dc5ef8e1bf24c2d747 a4388c4d0588cd3d8a607594347663e0 1b6d8837c21093e4b1c92d5d98a40ed4 31f654dfaa11732a10e774085466c2f6 0573214d694922449342c48810dabb5a 501b86caaa8399d508a30cdb07c78453 e96d9367ea326fdf6e6e65a5256e3e54 da44fd9c13eb1e856b54e0c4fdb44cc7 e074c234858d890502c7bb6905f0716e e262407a5502fa5607ad3b709a73a2e0 ce15cae61c8da275dba979e407802dad b7790bf4bcb84ddb08515f3a78136c84 379f25610116f44c8baa7cb9491a510d 7a1288c7be386c99fad964dbd068964f 258ed03a6e4d9012f8102c635a5e3dcd f272b1b21a74f74d5455dd792baa87e1 域名 m.topiccore.com libjs.inquirerjs.com vitlescaux.com vnext.mireene.com crphone.mireene.com new.915yzt.cn primecaviar.com bralibuda.com dysoool.com m0bile.net fuly-lucky.com IP 63.250.38.240 107.175.64.209  

安全专家表示随着冠状病毒危机恶化黑客攻击正在增加

当用户尝试避免感染真正的病毒时,黑客正在尝试使用恶意软件感染用户设备或获取用户个人信息。安全专家说,一般而言,黑客攻击的企图越来越频繁,而发展最快的策略之一就是利用冠状病毒危机作为诡计。 安全公司Zscaler表示,自今年年初以来,针对其监控系统的黑客威胁每月增加15%,而到今年3月为止,这一数字已跃升20%。越来越多的黑客通过承诺提供信息或保护来引诱受害者免受COVID-19病毒的侵害。COVID-19是一种新型冠状病毒引起的疾病,现已演变成全球大流行,全球有214000多起病例,8700人死亡。 Zscaler表示:攻击的两个主要类别使用“冠状病毒”或“ COVID-19”一词来吸引大量目标。 3月份,该公司发现了近2万起网络钓鱼攻击事件,这些攻击将用户引导到欺诈性网站,并试图诱骗用户输入敏感信息,例如密码或信用卡号。它还发现了7000多个事件,诱骗受害者下载恶意软件,所有这些事件都提到了这次健康危机。 美国国家网络安全联盟(National Cyber Security Alliance)敦促互联网用户在访问网站或下载与COVID-19相关的应用时要谨慎。用户应该始终警惕要求用户提供个人信息的不请自来的电子邮件。   (稿源:cnBeta,封面源自网络。)

调查发现医院很多设备采用过时操作系统 易受黑客攻击

根据网络安全公司Palo Alto Networks周二发布的一项研究显示,医院中连接互联网的成像设备有很大一部分运行过时的操作系统。该公司发现,83%的这些设备运行在过时的软件上,即使这些软件包含黑客可以利用的已知漏洞,也无法更新。 与2018年相比,该数字显着增加,这与微软今年早些时候终止对Windows 7的支持相吻合。相当多的电脑都运行甚至更老的操作系统,包括Windows XP,微软于2014年停止了对Windows XP的支持。成像设备包括进行X射线,MRI,乳房X线照片和CAT扫描,它们都需要电脑提供支持和控制。 安全专家表示,保持操作系统更新是使黑客远离设备的最重要步骤之一。但是,更新停止发布时,黑客却不会停止寻找可利用的漏洞。当最终黑客找到了可以破坏过时操作系统的漏洞时,制造商有时仍会提供更新,但不能保证一定会提供更新。 黑客可能有多种动机将医院中的设备作为目标。其中,成像和其他医疗设备(例如输液泵和患者监控系统)都可能容易受到勒索软件攻击,并指出医院已经遭受了勒索软件攻击,他们锁定了系统并要求付费才能重新拿回控制权。他们还可以利用医院电脑的计算能力来挖掘加密货币,这种攻击称为“加密劫持”。这可能会导致设备过热或故障。 这项研究调查了医院和其他企业中总共有120万个互联网连接设备。商业分析公司Gartner表示,这是48亿个互联网连接设备中的一小部分。该研究没有提及成像设备的特定品牌。研究人员表示,医院可能难以更新其成像设备,因它们无法直接从像微软这样的软件制造商那里购买。相反,他们必须依靠向第三方出售设备的供应商来提供补丁,这是一个需要改进的过程。   (稿源:cnBeta,封面源自网络。)

外媒评俄罗斯攻击 Burisma 一事:证据不完全可靠

据外媒报道,2016年美国民主党全国委员会灾难性的黑客攻击给所有担心国际混乱竞选的人敲响了警钟。当地时间周一晚,美国人又有了一个担心2020年大选的新理由。《纽约时报》和网络安全公司Area1报道了俄罗斯情报机构针对乌克兰天然气公司Burisma发起的新一轮黑客攻击。 几个月来,共和党方面一直在暗示该公司内部存在一些可怕的腐败行为,如果俄罗斯间谍真的侵入了这家公司的网络那么可能就会带来非常可怕的后果。 一些国会议员则已经在预测2016年大选将会重演,民主党众议员Adam Schiff评论道:“看起来他们又想帮助这位总统(特朗普)。这是一个令人担忧的想法,考虑到特朗普上次拒绝承认俄罗斯的黑客行为,没有迹象表明白宫会采取任何措施来阻止它。” 尽管报告描绘了一幅可怕的画面,但证据并不像看上去那么确凿。虽然已经有强有力的证据表明Burisma成功地成为了网络钓鱼活动的目标,但很难确定是谁在背后支持这个活动。确实有迹象表明,俄罗斯的GRU情报机构可能参与其中,但证据大多是间接的。 据了解,大部分证据都在一份跟《纽约时报》文章一起发布的八页报告中。核心证据是以前针对Hudson Institute和George Soros的攻击模式。最糟糕的是,这些钓鱼活动都使用了相同的SSL供应商和相同URL的不同版本然后伪装成一个名为“My Sharepoint”的服务。在Area1看来,这是GRU的战术,Burisma只是众多目标中最新的一个。 但并不是所有人都认为基于域名属性的推断就是十拿九稳的。当Kyle Ehmke检查ThreatConnect相同模式的早期迭代时,他得出了一个更为慎重的结论,即“适度自信”地评估这些域名跟APT28有关–APT28是俄罗斯GRU的缩写。“我们看到了一致性,但在某些情况下,这些一致性并不适用于单个演员,”Ehmke告诉TheVerge。这种注册和网络钓鱼攻击的模式确实像是GRU的剧本,但它不是唯一的剧本也不是其利用的唯一剧本。 实际上,这意味着网络运营商应该在任何时候发现符合这种情况的攻击时发出警报,但要对单个事件做出明确的裁决就显得困难得多。竞选活动中使用的网络基础设施都是公开的,而且还被其他很多政党使用,所以这些都不能算是确凿的证据。而最显著的特征是术语“sharepoint”,研究人员只在跟GRU紧密相连的url中看到过这个词。但任何人都可以注册一个带有“sharepoint”的URL,所以这种连接只是间接的。 Ehmke指出:“这是一组值得注意的一致性,它可以用来寻找和识别他们的基础设施。但这并不是说所有具有这些一致性的东西都已经是而且将会是APT28。” 在缺乏一个特定机构的战略和目标的具体信息的情况下很难做出更强的归因。走向相反的方向–从一个弱归因到一个意图的假设–可能是危险的。 令人沮丧的是,这种弱归因在网络安全世界中非常常见,当各国努力搞清楚网络战的国际外交时它可能会引发真正的问题。乔治亚理工学院Internet Governance Project前执行董事Farzaneh Badii把原因不明归为“可以在技术上受到质疑的间接证据”。她认为这是一个全球性的问题,并主张成立国际归因小组来解决这种僵局,这样观察员就不必依赖私营公司或政府情报机构。如果没有这个信任问题就很难解决。   (稿源:cnBeta,封面源自网络。)

科威特国家新闻社 Twitter 账号遭黑客攻击 被用来传播有关美军从该国撤离的虚假消息

据外媒The Verge报道,科威特国家新闻社(KUNA)周三表示,其Twitter帐户遭到黑客攻击,并被用来散布有关美军撤出该国的虚假信息。据路透社报道,现已删除的报告指出,科威特国防部长已收到美国的一封信,信中称驻科威特美军将在三天内离开该国。 该新闻社在后续的推文中说,其“绝对否认”在其社交媒体账户上发布的报道,科威特新闻部正在调查这一问题。 在伊朗将军苏莱曼尼被杀之后,有消息称美国发出了一封信,暗示该国将撤离伊拉克,但随后五角大楼官员迅速澄清该文件是错误发送的草稿信件。 目前尚不清楚谁是制造这起黑客入侵事件的罪魁祸首。   (稿源:cnBeta,封面源自网络。)

黑客攻破美国一政府网站 贴出特朗普被打流血图片

据外媒报道,黑客成功侵入美国一个政府网站,并在上面发布了一张美国总统唐纳德·特朗普脸被打嘴里流着血的图片。美国土安全局的一名官员证实,该网站隶属于联邦存储图书馆计划(FLDP),不过该图片现在已被撤下。 这个被攻击的网站向用户展示了一个黑色页面,其中包括特朗普被打的照片以及一条声称黑客组织是代表“伊朗伊斯兰共和国”行事的信息。 “我们不会停止支持我们在该地区的朋友:巴勒斯坦被压迫的人民、也门被压迫的人民、叙利亚人民和政府、伊拉克人民和政府、巴林被压迫的人民、黎巴嫩和巴勒斯坦真正的圣战者抵抗;(他们)总是得到我们的支持。”信息写道。 据了解,网站上的特朗普流血图跟最近导致Qassem Soleimani少将死亡的美国空袭有着直接的关系。 尽管该信息表明伊朗黑客是幕后黑手,但美国官员称在这方面还没有明确证据。“我们知道联邦存储图书馆计划(FDLP)的网站被亲伊朗、反美国的信息所破坏。目前还没有证据表明这是伊朗国家支持的行动者所为。(目前)该网站已被关闭,无法访问。CISA正在跟FDLP以及我们的联邦伙伴一起监控情况。”   (稿源:cnBeta,封面源自网络。)

Sodinokibi 攻击了加州 IT 服务提供商 Synoptek 并获得赎金

Synoptek 是一家总部位于美国加利福尼亚州的IT管理和云托管服务提供商,其在前段时间遭遇了Sodinokibi勒索软件攻击,并向其支付了赎金以解密其文件。 最近几周,Sodinokibi 勒索软件在美国的攻击行动异常活跃,去年12月,美国主要数据中心提供商之一CyrusOne也遭到了该勒索软件的打击。 Synoptek 拥有的客户超过1100个,包括地方政府,金融服务,医疗保健,制造业,媒体,零售和软件。 感染时间发生在12月23日,黑客首先入侵了公司网络,然后安装了勒索软件。 该公司证实了此次攻击,但没有说明是否会向黑客支付赎金。 “12月23日发生了勒索事件,但我们对此采取了应对措施。” Synoptek在周五美国东部时间下午6点之前在推文中写道,“我们立即采取了行动,并正在与客户一起努力解决这个问题。” Synoptek首席执行官蒂姆·布里特(Tim Britt)在一封电子邮件中告诉 CRN,此次攻击仅影响到了Synoptek的部分客户。Britt 称其员工在26号圣诞假期结束之前已经解决了大多数客户的问题。 Sodiniokibi团伙似乎专注于针对美国IT提供商。该恶意软件于2019年8月感染了PercSoft公司,并于12月感染了Complete Technology Solutions的系统。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

马斯特里赫特大学遭勒索攻击:几乎所有 Windows 系统都瘫痪

马斯特里赫特大学(Maastricht University)成为了勒索软件的最新受害者,黑客于圣诞节前夕(12月23日)入侵并破坏了该大学的Windows系统。这家位于荷兰的大学在12月24日发布的公告中表示,几乎所有Windows系统都感染了勒索软件,电子邮件系统影响尤为严重。 在12月27日发布的后续更新中,该大学工作人员日夜不停地进行恢复工作。并解释称团队已经付出最大努力,希望最大程度地减少对教育、科研人员以及学生的影响。在公告中并未提及黑客部署的勒索软件类型,也不确定黑客是否已经获得了数据访问权限,并且在被勒索软件感染之前提取了相关信息。 在最初的公告中写道:“马斯特里赫特大学(UM)正在研究解决方案。UM正在调查网络攻击者是否有权访问此数据。目前尚不清楚UM需要多少时间来找到解决方案,但是,要使这些系统再次完全投入运行,肯定会需要一段时间。” 马斯特里赫特大学解释说,它已经向执法部门提交了一份报告,目前正在与专家合作进行进一步调查,并在袭击发生后进行康复。“自发现攻击以来,UM的IT人员以及该领域的外部专家一直在全力以赴。当前阶段主要是进行相关调查和维护工作。而且团队正在开发解决方案,确保大学未来能够收到更全面的保护,免受此类攻击。” 团队表示:“为了尽可能安全地工作,UM暂时将所有系统脱机处理。一切目的都是为了让学生和员工尽快(可能分阶段)访问系统。考虑到攻击的规模和程度,尚无法指出何时可以准确地做到。目前也无法确认哪些系统受到影响那些没有,这需要进一步的调查。”   (稿源:cnBeta,封面源自网络。)

泰国一监狱闭路系统遭黑客攻击 被放上网络进行直播

援引外媒报道,泰国南部春蓬府一所监狱的闭路监控电视系统遭到黑客攻击,随后在YouTube网站上进行现场直播。目前官方并未公布有关黑客入侵的具体细节,不过当地警方表示是因为收到曾在直播视频中出镜的记者报告才发现的。 根据美联社报道,黑客以BigBrother’s Gaze的名字在YouTube上进行视频直播,持续了数小时时间。在直播视频中显示了多个安全监控摄像头,由此可以相信黑客可以访问整个监控系统。 泰国当局在随后发表的声明中表示,南部春蓬府Lang Suan监狱所属的摄像头系统受到境外黑客攻击而受到损害,但是并没有提供本次黑客攻击行为的更多信息,尚不清楚是谁发起了本次攻击,以及是如何攻入该监狱系统的。 泰国惩教署总干事纳拉特·萨瓦塔南上校表示,在监狱相关官员意识到这个问题之后立即采取了行动,关闭了整个监控系统。目前当地警方已经在调查中。美联社表示,在YouTube直播频道中错误的表示这些视频来自于曼谷监狱,但圣诞节当天已经被YouTube清理掉了。在撰写本文时,该YouTube频道没有任何录像,很可能是帐户所有者删除了该录像。 该频道写道:“我想向那些可能因我的直播而冒犯的人致歉。事实上这并没有入侵行为,所有摄像头机位均来自于公共领域。附言:可能让你失望的是,该频道可能不会再次出现此类内容。再附言:在安装视频监控器时,请更改标准密码。”   (稿源:cnBeta,封面源自网络。)