标签: 黑客攻击

红杉资本遭黑客攻击 数据或遭泄露

据报道,硅谷顶尖风险投资公司红杉资本周五对投资者表示,在它的一名雇员遭遇网络钓鱼攻击后,该公司的一些个人信息和财务信息可能已被第三方窃取。红杉对投资者表示,目前还没有迹象表明这些被窃信息在暗网上交易,或者遭到不法分子利用。 红杉资本发言人周六证实,该公司“最近经历了一起网络安全事件”,其安全团队正在调查的此事。该公司表示,他们已经上报给执法部门,并且在与外部网络安全专家合作处理此事。 红杉发言人说:“我们很遗憾这次事件已经发生,目前已经通知了受此影响的个人。我们已经大举投资加强安全性,今后仍将继续应对不断发展的网络威胁。” 红杉的投资者被称作有限合伙人,通常包括大型金融机构、大学捐赠基金、私人家族理财室或主权财富基金,但风险投资公司很少会公开分享投资者的信息。 根据Pitchbook的数据,红杉资本是硅谷最老牌、最成功的风险投资公司之一,管理的资产超过380亿美元。这家拥有49年历史的风险投资公司已经投资了Airbnb、DoorDash和23andMe等公司。根据官网信息,它还投资了FireEye和Carbon Black等网络安全公司。 此次黑客入侵似乎与Solarwinds攻击无关,后者对FireEye构成较为严重的破坏,并对政府机构和微软等大型科技公司产生了影响。         (消息及封面来源:cnBeta)

黑客攻击联网情趣用品以勒索赎金

一名黑客控制了连接到互联网的智能情趣用品:男性远程贞操笼,并要求用比特币支付赎金来解锁。“你的丁丁已经被我锁定。”根据一名安全研究人员获得的对话截图,黑客对其中一名受害者说。这位研究人员的名字叫Smelly,是收集恶意软件样本的网站vx-underground的创始人。 去年10月,安全研究人员发现,一款物联网情趣用品贞操笼,一种主要在BDSM社区中使用的放置并锁定在阴茎周围并可以联网远程上锁和解锁的性玩具制造商留下了一个API暴露,给了恶意黑客控制设备的机会。根据一位安全研究人员获得的黑客和几位受害者之间的对话截图,非常糟糕的事情就这样发生了。 不过万幸的是,”这件事发生的时候,我并没有锁上这个东西。”Robert在一次在线聊天中说,不然后果真的不堪设想。 受害者Robert表示,他收到了黑客的信息,要求支付0.02比特币(约合今天750美元)来解锁设备。他意识到自己的笼子肯定被 “锁住了”以至于无法使用。 “我现在已经不是笼子的主人了,所以我在任何时候都不能完全控制笼子。”另一位名叫RJ的受害者在一次在线聊天中表示。他收到了黑客发来的信息,黑客说他们已经控制了笼子,并希望支付一笔钱来解锁笼子。 这些黑客再次表明,仅仅因为你可以将某样东西连接到互联网上,并不意味着你必须这样做,尤其是如果你随后不注意保护设备或其连接的安全。 这款设备的中国制造商Qiui没有回应置评请求,这款设备的名字很贴切,叫做Cellmate。 对Cellmate设备进行安全查验的Pentest Partners安全研究员亚历克斯-洛马斯(Alex Lomas)证实,一些用户确实收到了勒索信息,并表示这凸显了这些设备制造商改进安全实践的必要性。           (消息及封面来源:cnBeta)

黑客窃取 250 万个人数据 意大利运营商提醒用户尽快更换 SIM 卡

12 月 28 日,沃达丰(Vodafone)旗下意大利运营商 Ho Mobile 被曝发生了用户数据泄露事件。当时一名安全分析师指出,其在某个暗网论坛上发现了有人在兜售电信公司的数据库。虽然一开始打算冷处理,但本周一的时候,Ho Mobile 最终还是证实了本次大规模个人数据泄露。据说受影响的用户数量大约为 250 万,目前 Ho Mobile 正督促用户尽快更换 SIM 卡。 本周一,Ho Mobile 在官网上发布了一则公告,同时以短信形式向所有受影响客户发送了消息。 早些时候,@Bank_Security 猜测黑客攻破了这家运营商的服务器,并且盗走了详尽的用户数据,包括全名、手机号码、社保号码、电子邮件地址、出生日期、国籍、以及家庭住址。 虽然 Ho Mobile 表示本次入侵不涉及任何财务数据或通话详情,但还是承认黑客已掌握用户 SIM 卡相关的详情。 为避免欺诈或 SIM 卡伪造攻击,Ho Mobile 敦促所有受影响的客户(如有必要)及时更换 SIM 卡,且运营商承诺不收取任何费用。 Ho Mobile 写道:“你可携带有效身份证件,前往任何一处授权门店,并要求免费更换 SIM 卡”。后续该运营商还将与当地执法机构一道,对本次黑客攻击事件的幕后展开进一步的调查。       (消息及封面来源:cnBeta)

美国和加拿大银行用户成为黑客目标

黑客正在分发一种新的以AutoHotkey(AHK)脚本语言编写的凭据窃取程序,这是自2020年初开始的攻击活动的一部分。 美国和加拿大银行用户是黑客的主要目标,特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。 AutoHotkey是Microsoft Windows的一种开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动执行重复的任务。 多阶段感染链始于一个嵌入了Visual Basic for Applications(VBA)AutoOpen宏的带有恶意软件的Excel文件,该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。 下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。 该恶意软件下载并执行AHK脚本以完成不同的任务,而不是直接从C&C服务器接收命令。 Trend Micro的研究人员表示:“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露,特别是向其他研究人员或沙盒披露。” 其中最主要的是针对各种浏览器(比如Google Chrome、Opera、Microsoft Edge等)的凭证窃取程序。一旦安装,窃取程序会尝试在受感染的机器上下载SQLite模块(“sqlite3.dll”),使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。 最后,窃取程序从浏览器收集并解密凭证,并通过HTTP POST请求以明文形式将信息导出到C&C服务器。 恶意软件组件“在代码级别上组织得很好”,其中包含的使用说明(用俄语编写)可能意味着攻击链的背后存在一个“雇佣黑客”组织。 研究人员总结:“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言,加载恶意组件并频繁更改C&C服务器,黑客就能隐藏其恶意意图。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

《赛博朋克2077》出手游了?小心,它是勒索软件

伪装成热门游戏进行勒索早已不再是什么新鲜事了,不过这次是热门游戏《赛博朋克2077》的手游版本。不过受害者可以在不支付赎金的情况下解锁设备。当然没有手游版本的《赛博朋克2077》,只不过是黑客利用对这款游戏了解不多的玩家下手而已。 正如卡巴斯基的 Android 恶意软件分析师 Tatyana Shishkova 所指出的那样,不法分子利用部分玩家对游戏的了解程度不够,创建了一个类似于 Google Play 的假网站,让不知情的访问者可以下载手游版《赛博朋克2077》。 该文件实际上是一个名为 CoderWare 的勒索软件,它是 BlackKingdom 勒索软件的变种。与其他恶意软件一样,它会加密设备的内容。受害者有 10 个小时的时间来支付价值 500 美元的比特币,然后才会永久删除所有内容。 不过庆幸的是,Shishkova 指出有种方法可以在不支付赎金的情况下进行解密,但并非 100% 确保你能够收到解密密钥。CoderWare 勒索软件中有一个硬编码密钥,允许解密者恢复文件。         (消息来源:cnBeta;封面来源于网络)

疑似遭俄黑客攻击后 美国国土安全部/数千家企业争分夺秒展开调查

据路透社报道,美国国土安全部和数千家企业周一争分夺秒地调查和应对一场大规模的黑客攻击活动,官员们怀疑该活动是由俄罗斯政府指挥的。三位知情人士周一告诉路透社记者,作为复杂的系列漏洞的一部分,负责边境安全和防御黑客攻击的国土安全部官员发送的电子邮件被黑客监控。周日首次披露的攻击事件还袭击了美国财政部和商务部。 科技公司SolarWinds是黑客使用的关键“踏脚石”,该公司表示,其多达1.8万名客户下载了一个被入侵的软件更新,使黑客能够在近9个月的时间里不被察觉地监视企业和机构。 美国周日发出紧急警告,命令政府用户断开SolarWinds软件的连接,称该软件已被“恶意行为者”入侵。 这一警告是在路透社报道疑似俄罗斯黑客利用劫持的SolarWinds软件更新侵入包括财政部和商务部在内的多个美国政府机构之后发出的。莫斯科否认与攻击有任何关系。其中一位熟悉黑客活动的人士表示,国土安全部网络安全部门用来保护基础设施的关键网络,包括最近的选举,都没有被攻破。 国土安全部表示知道这些报道,但没有直接证实这些报道,也没有说受影响有多严重。国土安全部是一个庞大的官僚机构,其中负责保障COVID-19疫苗的分发。在国土安全部(DHS)下属网络安全和基础设施安全局(CISA)局长克里斯托弗·克雷布斯(Christopher Krebs)称2020年总统选举是美国历史上最安全的选举后,美国总统特朗普解雇了负责人克雷布斯。他的副手和选举负责人也已经离开。 SolarWinds在一份监管披露中表示,它认为这次攻击是 “外部民族国家 “所为,他们在今年3月至6月间发布的Orion网络管理软件更新中插入了恶意代码。 “SolarWinds目前认为,可能安装了包含此漏洞的Orion产品的客户实际数量不到1.8万,”它说。 该公司没有回应有关受影响客户的确切数量或这些组织的任何违规程度的评论请求。该公司表示,它并不知道其其他产品存在漏洞,目前正在美国执法部门和外部网络安全专家的帮助下进行调查。 SolarWinds在全球拥有30万客户,其中包括美国财富500强企业的大部分,以及美国和英国政府的一些最敏感的部分–如白宫、国防部门和两国的信号情报机构。目前,世界各地的调查人员都在争分夺秒地寻找黑客。英国政府发言人表示,英国目前还不知道这次黑客攻击有什么影响,但仍在调查。 三位熟悉黑客调查的人士告诉路透社,任何运行Orion软件受损版本的机构都会被攻击者在其电脑系统中安装了“后门”。“在那之后,只是攻击者是否决定进一步利用这一权限的问题,”其中一位消息人士说。 据两位熟悉周一上午启动的企业网络安全调查浪潮的人士称,早期迹象表明,黑客在选择入侵对象时是有区别的。”我们看到的是远远少于所有的可能性,”一位人士说。”他们正在像使用手术刀一样使用这个。” 与此次事件有关的知名网络安全公司FireEye在此间的一篇博客中表示,其他目标包括 “北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘实体”。 “如果是网络间谍活动,那么这是我们在相当长一段时间内看到的最有效的网络间谍活动之一。”FireEye的情报分析总监John Hultquist说。 专家表示,由于攻击者可以利用SolarWinds进入网络内部,然后创建一个新的后门,因此仅仅断开网络管理程序还不足以将黑客引导出去。为此,成千上万的客户都在寻找黑客存在的迹象,并试图猎取并禁用这些额外的工具。         (消息来源:cnBeta;封面来源于网络)

黑客可利用漏洞攻击 D-Link VPN 路由器

研究发现,一些D-Link VPN路由器易受三个新的高危漏洞的攻击,这使得数百万的家庭和商业网络即使有强大的密码保护也容易受到网络攻击。 Digital Defense的研究人员发现了这些漏洞,并于8月11日向D-Link披露。如果漏洞被利用,远程攻击者可以通过特制请求在易受攻击的网络设备上执行任意命令,甚至发起拒绝服务攻击。 Link DSR-150、DSR-250、DSR-500和DSR-1000AC以及DSR系列中运行固件版本14和3.17的其他VPN路由器型号易受根命令注入漏洞的远程攻击。 这家台湾网络设备制造商在12月1日的一份咨询报告中证实了这些问题,并补充说,他们正在针对其中两个漏洞开发补丁。目前,这些补丁已发布。 Digital Defense在报告中表示:“从广域网和局域网接口来看,这些漏洞可以在网上被利用。” “因此,未经身份验证的远程攻击者可以通过访问路由器web界面,作为根用户执行任意命令,从而有效地获得对路由器的完全控制。” 易受攻击的组件“Lua-CGI”可以在不经过身份验证的情况下访问,并且缺少服务器端过滤,从而使得攻击者(无论是否经过身份验证)都有可能注入将以根用户权限执行的恶意命令。 Digital Defense报告的另一个漏洞涉及修改路由器配置文件,以根用户身份注入恶意CRON条目并执行任意命令。 然而,D-Link表示,它不会“在这一代产品上”修复这一漏洞,并表示这是预期的功能。 Digital defence警告说,由于COVID-19的流行,在家工作的人数空前增加,可能会有更多的员工使用受影响的设备连接到企业网络。 随着远程工作的增加,vpn中的漏洞成为攻击者进入企业内部网络的目标。 建议使用受影响产品的企业进行相关更新。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

富士康墨西哥工厂遭勒索软件攻击 黑客要求 3400 万美元赎金

感恩节的周末,富士康位于墨西哥的一家工厂遭受勒索软件攻击。攻击者在对设备加密之前已经窃取了大量未加密的文件。富士康是全球最大的电子制造公司之一,2019 年的营业收入达到了 1720 亿美元,在全球拥有超过 80 万名员工。富士康的子公司包括 Sharp Corporation,Innolux,FIH Mobile 和 Belkin。 援引外媒 Bleeping Computer 报道,位于墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,并在暗网上出售窃取的文件。据悉窃取的文件包括常规的业务文档和报告,但不包含任何财务信息或者员工的个人信息。 网络安全行业的消息来源证实,富士康于2020年11月29日左右在其位于墨西哥华雷斯城的富士康 CTBG MX 设施遭受了攻击。该工厂于2005年开业,富士康将其用于向南美洲和北美洲的所有地区组装和运输电子设备。 在对工厂设备进行加密之后,在页面上包含了一个指向 DoppelPaymer Tor 付款站点的链接,威胁要求支付 1804.0955 比特币,按照今天的比特币价值来计算,相当于 34686000 美元。作为此次攻击的一部分,威胁行动者声称已加密了约 1200 台服务器,窃取了100 GB的未加密文件,并删除了20-30 TB的备份。       (消息及封面来源:cnBeta)

黑客组织使用 Raccoon 信息窃取器来盗取数据

今年早些时候,一个以电子商务网站为目标的网络犯罪组织发起了一场“多阶段恶意活动”,目的是散布信息窃取器和基于JavaScript的支付窃取器。 新加坡网络安全公司Group-IB在今天发布的一份新报告中,将这一行动归因于同一个组织,该组织与另一次针对网商的攻击有关。该攻击使用窃取密码的恶意软件,用伪造的JavaScript-sniffers(JS-sniffers)感染他们的网站。 这项活动从2月开始到9月结束,共分四波进行。攻击者利用钓鱼网页和带有恶意宏的诱饵文件,将Vidar和Raccoon信息窃取器下载到受害者系统上。 研究人员指出,这次攻击的最终目的是通过几种攻击载体和工具窃取支付和用户数据,从而传播恶意软件。 这些假网页是使用Mephistophilus网络钓鱼工具包创建的,攻击者可以利用该工具创建和部署专为分发恶意软件而设计的网络钓鱼登录页面。 去年11月,IB集团的研究人员在对网络犯罪组织的策略进行分析时表示:“攻击者将伪造的页面链接发送给受害者,告知受害者缺少正确显示文档所需的插件。如果用户下载了该插件,则他们的计算机就感染了窃取密码的恶意软件。” 在今年2月和3月的第一波攻击中,Vidar密码窃取器可以拦截用户浏览器和各种应用程序的密码,但随后的迭代改用Raccoon窃取器和AveMaria RAT来实现目标。 去年Cybereason首次记录的Raccoon具有许多功能,可以与命令控制(C2)服务器进行通信,以窃取数据——包括截图、信用卡信息、加密货币钱包、存储的浏览器密码、电子邮件和系统详细信息。 Raccoon的独特之处在于,它通过向电报通道(“blintick”)发出请求以接收C2服务器的加密地址,从而绕过C2服务器的阻拦。此外,它还通过聊天服务为社区问题和评论提供24×7的客户支持。 同样,AveMaria RAT具有持久性,可以记录击键信息、注入恶意代码以及窃取敏感文件等。 Vidar和Raccoon都以恶意软件即服务(MaaS)的形式出售。Vidar窃取器的租金为每月250美元到300美元不等,Raccoon每月的租金为200美元。 除了上述四个阶段外,Group-IB还观察到了一个过渡阶段,即2020年5月至2020年9月。在此期间,20家网店感染了FakeSecurity系列改良版本的JS-sniffer。 有趣的是,用于分发Vidar和Raccoon窃取器的基础设施与用于存储sniffer代码和收集被盗银行卡数据的基础设施有相似之处。 今年1月初,国际刑警组织抓获了三名与“GetBilling”组织有关联的人。这三个人参与了代号为Night Fury的行动。他们在印度尼西亚开展了一个JS-sniffer活动。         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

不明身份的黑客盯上了 COVID-19 疫苗冷链

IBM安全团队X-Force的安全专家表示,目前黑客盯上了那些确保冠状病毒疫苗安全运输并储存在温控环境中的组织,这一过程被称为COVID-19冷链。攻击由一个跨越6个国家的钓鱼活动组成,虽然尚未确定责任集团,但之前的类似事件与相关政府有关。 鱼叉式钓鱼邮件使用海尔生物医药公司的一名业务主管的名字进行伪装,该公司是联合国官方冷链设备优化平台(CCEOP)项目的中国公司。这些钓鱼邮件发给 销售、采购、信息技术和财务岗位的高管,他们很可能参与了公司支持疫苗冷链的工作。它们看似要求CCEOP项目的报价,但实际上包含恶意的HTML附件,受害者需要下载并在本地打开。 该方法消除了设置在线钓鱼页面的要求,这些钓鱼页面可以被安全研究人员识别和删除。一旦接收者输入他们的凭证,攻击者就有可能进入公司的内部网络,让他们了解分发Covid-19疫苗的过程、方法和计划。国际刑警组织秘书长尤尔根-斯托克表示:”当各国政府准备推出疫苗时,犯罪组织正计划渗透或破坏供应链。”。 昨天,英国成为世界上第一个批准辉瑞/BioNTech疫苗的国家,该疫苗必须在-70C(-94F)左右的温度下保存。而阿斯利康的疫苗则要求在华氏36度到46度的温度下,要求不那么苛刻。据ZDNet报道,美国联邦调查局和网络安全与基础设施安全局已经发布了有关钓鱼活动的安全警报,而国际刑警组织则警告说,Covid-19疫苗受到了有组织犯罪的威胁。           (消息来源:cnBeta;封面来自网络)