安全快讯Top News

外媒还原 Twitter 攻击事件经过:FBI 是如何锁定三名黑客的

就上月中旬发生的 Twitter 攻击事件,今天美国执法部门对三名嫌犯发起公诉。根据美国司法部披露的法庭文件,外媒 ZDNet 拼凑出了本次攻击事件的时间线,以及美国调查人员是如何追踪到这三名黑客的。 根据美国司法部今天公布的三份起诉书,本案涉及的三名嫌犯分别包括: Mason Sheppard:网名 Chaewon,现年 19 岁,来自英国 Bognor Regis [起诉书] Nima Fazeli:网名 Rolex,现年 22 岁,来自美国佛罗里达州奥兰多市[起诉书] Graham Ivan Clark:网名 Kirk,现年 17 岁,来自美国佛罗里达州坦帕市[起诉书] 根据法庭文件,整个黑客攻击事件始于今年5月3日,当时居住在美国加州的 Graham Ivan Clark 获得了 Twitter 部分网络的访问权限。不过目前并不清楚5月3日至7月15日(黑客实际发起攻击的当天)之间发生了什么事情,但 Clark 在获得权限之后似乎并没有立即采取攻击行动。 根据纽约时报的跟踪报道,Clark 最初获得的是 Twitter 内部 Slack 工作空间之一的访问权限,而不是 Twitter 本身。 纽约时报在报道中称,该黑客发现了 Twitter 的一个技术支持工具的凭证被固定在该公司的 Slack 频道上。 这个工具的图片在黑客入侵当天在网络上曝光,该工具允许 Twitter 员工控制 Twitter 账户的所有方面。不过这个工具的凭证并不足以访问 Twitter 后台,在 Twitter 官方博客中表示,这个管理后台的账户受到了双因素认证(2FA)的保护。 目前还不清楚 Clark 花了多少时间来做这件事,不过在同一篇调查报告中称黑客利用 “电话鱼叉式网络钓鱼攻击 “欺骗了部分员工,并获得了他们账户的访问权限,而且 “通过了[Twitter]的双因素保护”。根据 Twitter 的说法,这发生在7月15日,也就是黑客攻击的当天。 在攻击事件发生之后,美国 FBI 发现 Clark 在 Discord 上的网名称之为“Kirk#5270”。当时,他联系了另外两个人,帮助将牟取的比特币换成现金。 法庭文件中包含的聊天记录显示,克拉克(Discord 用户 “Kirk#5270”)与 OGUsers 的 Discord 频道的另外两名用户接触,OGUsers 是一个专门为黑客出售和购买社交媒体账号的论坛。 在聊天记录中,克拉克接近了另外两名黑客(Fazeli为Discord用户 “Rolex#037″,Sheppard为Discord用户 “ever so anxious#0001″),并声称自己在Twitter工作。 他通过修改 Fazeli(Rolex#037)拥有的一个账号的设置来证明自己的说法,还向Fazeli出售了@foreign Twitter账号的访问权限。 此外,Clark 还向 Sheppard 出售了多个短 Twitter 账号的使用权,包括 @xx, @dark, @vampire, @obinna 和 @drug。 由于 Clark 让另外两人相信了他的权限级别,三人达成协议,在OGUsers论坛上发布广告,宣传克拉克劫持Twitter账号的能力。 在发布这些广告后,据信有多人购买了 Twitter 账户的访问权限。在美国检察官执行办公室发布在 YouTube 上的录音信息中,调查人员表示,他们仍在调查多名参与黑客攻击的用户。 据信,其中一名当事人负责在7月15日购买名人验证Twitter账户的访问权限,并发布了一条加密货币诈骗信息。 Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg等人的账户上随后被发现,要求用户向几个地址发送比特币。 法庭文件称,操作此次骗局中使用的钱包的黑客获得了12.83个比特币,约合11.7万美元。随后的调查还显示,加密货币交易所 Coinbase 在黑客入侵当天就阻止了向诈骗地址的交易,最终阻止了另外 28 万美元被送到骗子手中。     (稿源:cnBeta,封面源自网络。)

加拿大 MSP 披露数据泄露,勒索软件攻击失败

TrickBot的Anchor恶意软件平台已被移植为Linux感染设备,并使用秘密渠道破坏了更多具有高影响力和高价值的目标。 TrickBot是一个多功能的Windows恶意软件平台,该平台使用不同的模块执行各种恶意活动,包括信息窃取、密码窃取、Windows域渗透和恶意软件传递。 TrickBot由威胁参与者租用,他们利用威胁渗透网络并收获任何有价值的东西。然后将其用于部署Ryuk和Conti等勒索软件,以加密网络设备,作为最终攻击。 在2019年底,SentinelOne和NTT都报告了一个名为Anchor的新TrickBot框架,该框架利用DNS与命令和控制服务器进行通信。 TrickBot的Anchor框架 来源:SentinelOne   该恶意软件名为Anchor_DNS,可用于具有有价值财务信息的高价值,高影响力目标。 除了通过Anchor感染进行勒索软件部署外,TrickBot Anchor参与者还将其用作针对APT的,针对销售点和财务系统的活动的后门程序。   TrickBot的Anchor后门恶意软件已移植到Linux 从历史上看,Anchor一直是Windows的恶意软件。最近,第二阶段安全研究人员  Waylon Grange发现了一个新样本,该样本  表明Anchor_DNS已被  移植到  名为’Anchor_Linux’ 的新Linux后门版本中。 在x64 Linux可执行文件中找到Anchor_Linux字符串 来源:Waylon Grange   先进的英特尔公司的Vitali Kremez  分析了Intezer Labs发现的新型Anchor_Linux恶意软件的样本。 Kremez告诉BleepingComputer,安装后,Anchor_Linux将使用以下crontab条目将自身配置为每分钟运行: */1 * * * * root [filename] 通过CRON设置持久性 来源:Vitali Kremez   除了充当可以将恶意软件拖放到Linux设备上并执行它的后门程序之外,该恶意软件还包含嵌入式Windows TrickBot可执行文件。 嵌入式Windows可执行文件 来源:Vitali Kremez 根据Intezer的说法,此嵌入式二进制文件是一种新的轻量级TrickBot恶意软件,“具有与旧版TrickBot工具的代码连接”,用于感染同一网络上的Windows计算机。 为了感染Windows设备,Anchor_Linux将使用SMB和$ IPC将嵌入式TrickBot恶意软件复制到同一网络上的Windows主机。 成功复制到Windows设备后,Anchor_Linux将使用服务控制管理器远程协议  和名为pipe的  SMB SVCCTL将其配置为Windows服务  。 通过SMB复制文件 来源:Waylon Grange   配置服务后,恶意软件将在Windows主机上启动,并重新连接到命令和控制服务器以执行命令。 此Linux版本允许威胁参与者使用后门将非Windows环境作为目标,从而使攻击者秘密地转向同一网络上的Windows设备。 “该恶意软件在UNIX环境中充当隐蔽的后门持久性工具,被用作Windows利用的枢纽,并在电子邮件网络钓鱼之外用作非正统的初始攻击媒介。它使该组织可以定位和感染UNIX环境中的服务器(例如路由器) )并将其用于企业网络。”在与该恶意软件的对话中,Kremez告诉BleepingComputer。 更糟糕的是,许多物联网设备(例如路由器,VPN设备和NAS设备)运行在Linux操作系统上,这可能成为Anchor_Linux的目标。 随着TrickBot恶意软件的这种发展,Linux系统和IoT设备具有足够的保护和监视以检测诸如Anchor_Linux之类的威胁变得越来越重要。 对于相关的Linux用户,他们可能已被感染,Anchor_Linux将在创建日志文件/tmp/anchor.log。如果存在此文件,则应针对Anchor_Linux恶意软件的存在对系统执行完整的审核。 Kremez告诉BleepingComputer,他相信Anchor_Linux仍在开发中,这是因为要测试Linux可执行文件中的功能。 预计TrickBot将继续发展,使其成为Anchor框架的全功能成员。   消息来源:Bleepingcomputer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

推特公布泄漏事件最新进展:黑客伪装成同事骗取员工凭证

本周四,推特官方支持账号公布了有关于7月15日攻击事件的最新调查进展。推特表示,部分员工遭到了鱼叉式网络钓鱼攻击。虽然推特并未公布更多细节,但外媒推测应该是黑客伪装成同事或者安全团队成员,然后给推特员工打电话,然后诱导他们透露访问内部系统的凭证。 推特此前表示,公司内部的管理工具在本次攻击中遭到泄漏,但并没有明确说明是如何发生的。Twitter Support 官方账号表示:“本次攻击依靠的是一个重要、一致性的方式,误导某些员工,并利用人为的漏洞来获得对我们内部系统的访问权。” 该账号表示:“在获取员工的用户凭证之后,黑客使用了仅为特定内部员工使用的工具发起攻击。他们随后锁定了 130 个 Twitter 账号,并通过 45 个账号发布推文,访问了 36 个私信收件箱,并下载了 7 个账号的数据。” 目前,推特已经限制了对内部工具和系统的访问。在安全得恢复正常操作之前,可能会导致推特支持的响应时间变慢。此外,推特正在加快一些现有的安全工作流程并改进我们的工具。我们还在改进我们的方法,以检测和防止对内部系统的不当访问,并优先处理我们许多团队中的安全工作。     (稿源:cnBeta,封面源自网络。)

潜伏十年“黑客雇佣军团”现身,盯上欧洲律师事务所

今年继Dark Basin黑客雇佣组织曝光后,卡巴斯基发现第二个黑客雇佣组织Deceptikons。 俄罗斯网络安全公司卡巴斯基在一场网络研讨会中表示,发现了一个新的黑客雇佣组织,该组织已经活跃了近十年。 据卡巴斯基恶意软件分析师Vicente Diaz透露,卡巴斯基将这个组织命名为“Deceptikons”,其针对行业主要四律师事务所、金融科技公司开展攻击,窃取企业的机密数据,主要分布在欧洲,偶尔出现在中东国家,比如以色列、约旦和埃及。 该组织最近一次攻击是在2019年的一次鱼叉式网络钓鱼活动,一系列欧洲律师事务所中招,在这场活动中,该组织在目标企业主机中部署了恶意PowerShell脚本。 尚未利用0day漏洞 俄罗斯安全企业在网络研讨会中的一份书面报告中提及,“该租住在攻击技术上的发展目前还不成熟,就我们所了解到的尚未利用0day开展攻击。” 就该黑客组织的基础设施和恶意软件而言,“巧妙但不算先进”,对感染主机最大的优势在于持久性。 观察其大多数攻击事件可以发现它们具有相似的模式,始于鱼叉式网络钓鱼邮件,邮件携带更改过的恶意LINK(快捷)文件。 如果受害者下载或和邮件互动(比如点击它),这个快捷文件就会自动下载并运行PowerShell后门木马。 卡巴斯基在接下来的几周时间内将会就该组织的活动公布一些更全面的攻击技术报告。 今年第二个黑客雇佣军团 Deceptikons是今年继Dark Basin APT组织之后发现的第二个黑客雇佣军团。卡巴斯基目前暂时尚未发现该组织受命于哪家实体企业。 今年发现的第一个黑客雇佣军团Dark Basin攻击对象主要是记者、右翼团体、政府官员、金融机构等,幕后指示者似乎是一家来自印度的科技公司。 Dark Basin是一个雇佣黑客组织,目标是六大洲的数千名个人(如高级政客、政府检察官、企业 CEO、新闻工作者和人权维护者)和数百家机构,包括非营利组织和对冲基金等行业,Citizen Lab 也将其定位为网络钓鱼幕后组织。 这家名为BellTroX的印度信息科技服务企业,7 年内监视了超过 1 万个电子邮件帐户,多国政要、行业大亨、社会团体和知名机构都成为其攻击对象。该组织在被曝光之后,这场监视活动也被称为是有史以来最大的雇佣间谍活动之一。     (稿源:Freebuf,封面源自网络。)

欧盟首次以网络攻击为由,制裁中国、朝鲜、俄罗斯

周四,欧盟宣布,对来自俄罗斯和中国的开展或参与各种所谓“网络攻击”的6名个人和3个实体实施制裁,此外,欧盟还表示已锁定俄罗斯军事情报的特殊技术部门,也就是俄罗斯联邦武装力量总参谋部情报总局GRU。 此次受制裁的3个组织分别是俄罗斯的GRU、朝鲜的Chosun Expo公司以及中国的海泰科技发展有限公司。 这是欧盟首次进行与网络攻击相关的制裁活动。制裁措施包括实施旅行禁令、冻结资产,同时禁止欧盟人员和实体向被制裁对象提供资金。 事实上,此前欧盟就因“中国对待香港的方式”而对中国实施制裁,以此向特朗普政府相对强硬的对华立场进一步靠拢。 而欧盟外交与安全政策高级代表博雷利曾发声,认为美国越来越多地针对欧洲企业使用制裁手段或以制裁相威胁的做法会损害欧洲利益。“欧盟反对第三国对欧洲公司合法经营实施制裁,这种’域外制裁’违反国际法。”但显然,时隔仅半个月,欧盟也选择了网络制裁工具。 此外,对于此次部分中国的个人和实体被制裁,驻欧盟使团发言人坚定发声:中国是网络安全的坚定维护者,也是黑客攻击的最大受害国之一,始终依法打击一切形式的网络黑客攻击行为。我们也一贯主张,国际社会应当在相互尊重、平等互利的基础上,通过对话合作共同维护网络空间的安全,反对动辄诉诸单边制裁措施。(来自新京报)     (稿源:Freebuf,封面源自网络。)

卡巴斯基报告:Lazarus APT 组织的大型狩猎游戏

毫无疑问,2020 年将成为历史上令人不愉快的一年。在网络安全领域,针对目标的勒索软件攻击日益增加,集体的伤害就更加明显。通过调查许多此类事件,并通过与一些值得信赖的行业合作伙伴讨论,我们认为我们现在对勒索软件生态系统的结构有了很好的了解。 勒索软件生态系统的结构犯罪分子利用广泛传播的僵尸网络感染(例如,臭名昭著的 Emotet 和 Trickbot 恶意软件家族)传播到受害者和第三方开发者的勒索软件“产品”的网络中。当攻击者对目标的财务状况和IT流程有充分了解后,他们就会在公司的所有资产上部署勒索软件,并进入谈判阶段。 这个生态系统在独立、高度专业化的集群中运行,在大多数情况下,除了业务联系之外,这些集群彼此之间没有联系。这就是威胁行为者的概念变得模糊的原因:负责最初破坏的组织不太可能是破坏受害者的 Active Directory 服务器的一方,而该服务器又不是事件中实际使用的勒索软件代码的一方。更重要的是,在两起事件中,同一罪犯可能会交换业务伙伴,并且可能利用不同的僵尸网络或勒索软件家族。 当然,没有一个复杂的生态系统可以用一套单一的、严格的规则来描述。在本文中,我们描述了2020年3月至2020年5月之间进行的两次调查中出现的异常之处。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1279/     消息来源:kaspersky,译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

注意容器安全:Doki 感染云中的 Docker 服务器

主要发现 Ngrok Mining Botnet是一个活跃的活动,目标是AWS、Azure和其他云平台中公开的Docker服务器,它已经活跃了至少两年。 我们检测到了最近的一次攻击,其中包括使用区块链钱包生成C&C域名的完全未检测到的Linux恶意软件和以前未记录的技术。 任何具有公开开放的Docker API访问权限的人都有可能在短短几个小时内被黑客入侵。这很可能是由于黑客对脆弱的受害者进行了自动且连续的全互联网扫描所致。 自2020年1月14日首次分析以来,VirusTotal的60个恶意软件检测引擎中尚未检测到被称为“ Doki ”的新恶意软件。 攻击者正在使用受感染的受害者搜索其他易受攻击的云服务器。 介绍 Linux威胁变得越来越普遍。造成这种情况的一个因素是,对云环境的转移和依赖日益增加,而云环境主要基于Linux基础架构。因此,攻击者已经采用了专门为此基础结构设计的新工具和技术。 一种流行的技术是滥用配置错误的Docker API端口,攻击者在其中扫描可公开访问的Docker服务器,并利用它们来设置自己的容器并在受害者的基础设施上执行恶意软件。 Ngrok僵尸网络是利用Docker API端口进行的持续时间最长的攻击活动之一,之前由Netlab和Trend Micro的研究人员报道过。作为攻击的一部分,攻击者滥用Docker配置功能,以逃避标准容器限制并从主机执行各种恶意负载。他们还部署了网络扫描仪,并使用它扫描云提供商的IP范围,以查找其他潜在的易受攻击目标。我们的证据表明,从新配置错误的Docker服务器上线到感染此活动仅需几个小时。 最近,我们检测到一种新的恶意软件有效负载,该负载与通常在此攻击中部署的标准加密矿工不同。该恶意软件是一个完全未被发现的后门,我们将其命名为Doki。 Doki使用一种以前未记录的方法,以一种独特的方式滥用狗狗币加密货币区块链来联系其运营商,以便动态生成其C2域名地址。尽管VirusTotal公开提供了样本,但该恶意软件已成功躲藏了六个月以上。 在本文中,我们将介绍攻击并提供对未检测到的Doki后门实施的技术的详细分析。     … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1278/       消息来源:intezer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客大方放出 3.86 亿条用户凭证 称已经赚够钱了

涉及 18 家公司,超过 3.86 亿条用户信息被曝光。自7月21日以来,一个网名为 ShinyHunters 的卖家在一个专门出售和分享被盗数据的黑客论坛上分享了这些用户凭证,而且这些数据都是免费提供的。 在过去一年中,ShinyHunters 参与并表示对多起数据泄漏事件负责,其中包括 Wattpad、Dave、Chatbooks、Promo.com、Mathway、HomeChef 以及 微软 GitHub 仓库的泄露事件。 这些泄漏的数据通常会被私下出售,价格在 500 美元(Zoosk)到 10 万美元(Wattpad)之间。一旦这些用户凭证的价值大打折扣,那么数据卖家通常会选择免费发布来增加黑客论坛的声誉。 在7月21日以来发布的数据库中,其中 9 个数据库在过去已经以某种方式被披露。另外9个,包括 Havenly、Indaba Music、Ivoy、Proctoru、Rewards1、Scentbird 和 Vakinha,此前并未披露。18起数据泄露事件的完整名单如下: BleepingComputer 已经确认,这些曝光的电子邮件账号对应这些服务上的账户。合并后的数据库暴露了超过3.86亿条用户记录。虽然并不是每条记录中都包含密码,例如 promo.com ,但仍然有大量的信息被披露,威胁行为者可以使用。 在询问为何要免费分享这些数据的时候,ShinyHunters 表示:“我现在已经赚够了钱,所以这次我的泄漏是为了大家的利益。很明显,有些人有点不高兴,因为他们几天前向经销商支付了费用,但我不在乎”。 BleepingComputer 已经联系了 ShinyHunters 提供免费服务的每一家公司,但没有收到任何一家公司的回复。这种缺乏回应的情况在报告数据泄露时很常见,通常几周甚至几个月后,该公司会报告数据泄露。     (稿源:cnBeta,封面源自网络。)

安全启动功能曝出 BootHole 新漏洞 影响大量 Linux 与 Windows 系统

安全研究公司 Eclypsium 刚刚曝光了安全启动(Secure Boot)功能中的一个新漏洞,并将之命名为 BootHole 。其特别存在于 Secure Boot 的 GRUB2 文件中,攻击者可借此对受害者的系统实现“近乎完全的控制”。而且无论是 Linux、还是数量相当庞大的 Windows 操作系统,都会受到 UEFI 固件中的这个漏洞的影响。 (来自:Eclypsium) Eclypsium 指出,只要使用了标准的微软第三方 UEFI 证书授权,这些支持 Secure Boot 功能的 Windows 设备都会受到 BootHole 漏洞的影响,包括大量的 Windows 台式机、笔记本、工作站、服务器、以及其它相关技术领域。 鉴于 Secure Boot 对启动过程的把控非常重要,BootHole 漏洞的影响力也可见一斑。对于攻击者来说,其能够在操作系统加载之前执行任意的恶意代码,同时避开多个安全措施的管控,最终使其获得对目标系统近乎完全的控制权。 Eclypsium 补充道,攻击者还可对 GRUB 文件进行修改,因为该文件不像启动过程涉及的其它可执行文件那样经过签名加密。基于此,攻击者可在操作系统加载前恶意代码,并获得对设备的持久访问。 庆幸的是,在将 BootHole 漏洞公开前,Eclypsium 已经向操作系统供应商、PC 制造商、计算机应急响应小组(CERT)等行业实体和机构进行了通报披露。毕竟想要解决这个问题,还需要全行业的通力协作。 据悉,Eclypsium 将于 8 月 5 日举办一场网络研讨会。包括微软、UEFI 安全响应团队(USRT)、甲骨文、Canonical、Debian 等在内的相关方都会参与这场讨论,以期找到缓解该漏洞的方法。     (稿源:cnBeta,封面源自网络。)

Zoom 再爆安全漏洞:会议默认使用 6 位数字密码 能在几分钟内破解

受疫情影响越来越多的人开始在家远程办公,这也让 Zoom 这款在线视频会议水涨船高。在使用度、热度持续攀升的同时,不重视用户隐私、存在诸多安全漏洞等各种负面内容也接踵而至。迫使公司宣布冻结新功能发布 90 天,以修复当前软件中存在的各种漏洞。 今天,安全研究人员 Tom Anthony 公布了 Zoom 的一个关键安全漏洞。通过这个漏洞,任何人都可以加入受密码保护的 Zoom 会议。Zoom 会议默认由 6 位数字密码保护。所以,有可能出现 100 万个不同的密码。 Tom 发现,Zoom的网络客户端允许任何人检查会议的密码是否正确,没有任何尝试次数的限制。因此,攻击者可以写一个小的 Python 代码来尝试所有的 100 万个密码,并在几分钟内找到正确的密码。 在 Tom 向 Zoom 报告了这个问题之后,Zoom 的网络客户端就进行了离线维护。Zoom 要求用户在 web 客户端中登录加入会议,以及更新默认会议密码为非数字和更长的密码来缓解这个问题。 尽管这个问题现在已经被修复,但它引发了以下令人不安的问题—是否已经有攻击者利用这个漏洞来监听其他人的视频会议?例如政府会议?     (稿源:cnBeta,封面源自网络。)