安全快讯Top News

卡巴斯基安全报告:APT 组织 Spring Dragon 滥用恶意软件逾 600 款

据外媒 7 月 24 日报道,卡巴斯基实验室近期发布最新报告,指出 APT 组织 Spring Dragon 于过去数年内大规模开发与更新黑客工具,并在不同攻击活动中滥用恶意软件样本逾 600 款,其攻击目标主要集中在台湾、印度尼西亚、越南、菲律宾等东南亚周边国家与地区。 APT 组织 Spring Dragon(又名:Lotus Blossom)自 2012 年以来一直在国家资助下实施网络攻击活动,其主要袭击东南亚地区的军事与政府机构。相关证据显示,该组织最早活跃状态可追溯至 2007 年。 近期,台湾研究人员发现 Spring Dragon 组织开展新一轮攻击活动。卡巴斯基得到消息后当即决定调查该组织采用的恶意工具、技术手段与活动细节。目前,研究人员通过遥测数据检测发现中国南海地区重要组织机构成为主要攻击目标。此外,相关国家政党、教育机构及电信企业也受到不同程度影响。 Spring Dragon 以鱼叉式网络钓鱼与水洞攻击闻名,拥有庞大的网络武器库,管理包含 200 多个唯一 IP 地址与 C&C 域在内的大型基础设施。数年来从未停止开发与更新各种恶意工具,其中不乏具有独特功能的后门模块。另外,APT 工具包中的所有后门模块不仅能下载更多文件至受害者设备、上传文件至攻击者服务器,还可在受害者设备上执行任何代码。据悉,Spring Dragon使用的多数C&C服务器位于香港与美国,少数位于德国、中国与日本。 值得注意的是,研究人员还分析了恶意软件编译时间戳。结果表明,攻击者可能位于GMT + 8时区,例如中国、印度尼西亚、马来西亚等国家。此外,分析报告还透露出一个有趣的信息:恶意软件由两个不同组织编译,其中一个可能位于欧洲。 目前,研究人员已成功采集超过 600 款恶意软件样本,并推测这将是一起大规模操作,其恶意软件工具包极有可能在公共或私人论坛出售,尽管目前为尚无确凿证据。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google Groups 配置错误导致数百家企业机密数据在线曝光

HackerNews.cc 24 日消息,安全公司 RedLock 研究人员发现 Google Groups 在线服务出现配置错误,导致 IBM’s Weather Company 、Fusion Media Group、协助桌面支持服务提供商 Freshworks 与视频广告平台 SpotX 等数百家企业机密数据在线曝光。 Google Groups 作为企业协作工具与交流平台,负责团队通信维护与邮件管理。当这些电子邮件组被设置为公开状态而非内部共享时,无需成为内部成员即可公开查看成员之间发送的内部消息。 RedLock 研究人员发现,此次事件致使受害企业员工电子邮件地址与内容,以及员工薪酬补偿、销售渠道数据、客户密码、姓名与家庭地址等个人身份信息在线泄露,可供全球用户任意查看。 值得深思的是,引发这起数据泄露事件并非安全漏洞,仅是 Google Groups 功能设置。但这一事件表明,任何一次操作疏忽都将对企业产生毁灭性影响。一旦网络犯罪分子获取这些企业信息,就可用来劫持企业帐户、开展网络钓鱼攻击以及在线泄露敏感谈话内容等。 目前,为防止数据信息再次泄露,研究人员建议各企业立即检查 Google Groups 设置,以确保域名访问权限切换至内部成员使用。 原作者:Charlie Osborne,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

部分 Mac 设备感染 FruitFly 恶意监控软件

据福布斯报道,针对 Mac 设备的恶意软件爆发现象不常见。然而,一旦出现,便会立即引起人们关注。前美国国家安全局员工、现就职于网络安全公司 Synack 研究人员 Patrick Wardle 表示,部分 Mac 用户遭到 FruitFly 恶意监控软件入侵。 据统计,约有 400 台左右的设备感染这一恶意软件,但由于他只找出部分用于控制恶意软件服务器,因此这一数字还将继续上升。通过追查黑客曾利用过的域名备案,Patrick Wardle 发现了 FruitFly 的受害者,而这些域名都是被黑客盗用的。他可以由此查出受害者 IP 地址,据透露其中 90% 的设备位于美国境内,而他也可以看到受害者 Mac 设备的电脑名称,所以甚至可以具体指出是哪一台 Mac 设备感染了 FruitFly。 Patrick Wardle 认为,监视是 FruitFly 的主要目的,通过入侵用户的网络摄像头来进行窥视并截图。与普通网络犯罪类型不同,它没有弹出广告、键盘记录器或是勒索软件。当用户在 Mac 设备上活动时会提醒黑客,并且它也可以模拟鼠标点击和键盘事件。 此外,这似乎是一款老式的恶意软件,因为在其代码中有对 Mac OS X Yosemite 更新的引用,而这一系统最初发布于 2014 年。这也意味着在此之前这一恶意软件就已经存在了。目前,苹果尚未就这一报道做出回应。 稿源:cnBeta,封面源自网络

研究人员通过钓鱼方式欺骗赛门铁克吊销合法证书

谷歌研究人员近期仍在调查赛门铁克旗下证书颁发机构在过去几年里错误和违规签发数字证书的问题。不过在这个时候却有其他安全研究人员通过钓鱼的方式发现赛门铁克公司在吊销证书时并未按照规定操作。 该研究人员注册新域名后向赛门铁克和科莫多申请证书,在此过程中两家公司都给签发了数字证书。紧接着这名研究人员伪造对应证书的伪造私钥上传 Pastebin 网站,然后开始向赛门铁克和科莫多申请撤销证书。 正常情况下如果数字证书的私钥泄露了那么应该立刻联系证书颁发机构将对应的数字证书吊销防止出现问题。因此赛门铁克在收到这名研究人员的申请后立刻吊销证书,而科莫多在收到申请后却没有将对应证书吊销。但别忘了本身研究人员发给赛门铁克的就是伪造私钥, 赛门铁克直接吊销了证书说明该公司并没有去验证私钥。 按照既定流程颁发机构只有在验证申请者身份或者其他资料后才可以将对应的数字证书加入到证书吊销列表。但是赛门铁克在未经验证的情况下直接将证书吊销, 这个操作不但不符合要求而且还可能造成极大的危害。例如研究人员直接伪造私钥后向赛门铁克申请吊销搜狗的证书, 赛门铁克就会直接吊销。随后,大家在访问搜狗时就会直接出现拦截提醒, 因为搜狗证书已被作废并不再被任何浏览器信任。 当然如果真的去申请吊销大公司的证书不大可能实现, 但是如果去申请吊销中小网站的搞不好就真的会成功。谷歌和 Mozilla 要求赛门铁克改善基础设施提高安全,同时谷歌也提出需要对赛门铁克执行惩罚性措施。目前,惩罚性措施主要包括缩短赛门铁克签发证书的有效期, 同时还包括暂停信任赛门铁克的 EV 扩展验证证书。 稿源:蓝点网,封面源自网络  

第四家以太坊平台被黑,黑客盗取 840 万美元

Veritaseum 证实一名黑客从该公司的首次代币发行中窃取 840 万美元。它是本月第四家被黑的以太坊平台和第二家遭到黑客攻击的首次代币发行。 首次代币发行类似首次公开发行股票,但买家购买到的不是股票而是令牌,买家可以保留令牌直至公司赎回,或者也可以将令牌出售给其他用户换取以太坊。 Veritaseum 上周日( 7 月 23 日 )首次代币发行发售 VERI 令牌,黑客入侵系统,窃取 VERI 令牌并迅速将其挂到市场销售,从中获得 840 万美元。 稿源:solidot奇客,封面源自网络

黑客连接美国赌场智能鱼缸,以致渗透内网窃取数据

美国一家赌场日前遭受黑客袭击,其黑客设法通过连接互联网智能鱼缸渗透到赌场内部网络,并窃取未披露的数据。如果你想知道为什么一个鱼缸需要连接到互联网,那是因为赌场想要远程完成所有工作,员工使用远程连接喂鱼,并立即获取所有信息,例如水温等信息。 但是,正是这种连接到互联网的鱼缸最终将整个赌场网络暴露给黑客,一群未知攻击者成功渗透网络并在芬兰服务器上上传数据。目前,黑客行为最终被发现,漏洞已被修复。安全公司 Darktrace 表示,黑客通常能在生产产品公司之前发现漏洞,这意味着他们有一个时间窗口攻击目标。一旦他们通过鱼缸进入赌场内网,就可通过扫描发现其他漏洞,以致横向移动到网络中的其他地方。 虽然赌场名称和被泄露的信息的细节没有透露,但是没有访问敏感数据的机会不大。否则,赌场将被迫通知客户。 稿源:cnBeta,封面源自网络

流行开源项目被企业接手,插入广告和间谍软件

创业公司 Kite 悄悄接手多个流行开源项目,然后在代码中插入广告和间谍软件。据悉,这家创业公司由 Adam Smith 创办,其雇佣了流行 Atom 编辑器扩展 Minimap 的作者 @abe33(真名叫 Cédric Néhémie)。 Minimap 的下载量超过 350 万,在被 Kite 雇佣后,@abe33 更新程序并添加了新功能,通过观察用户代码然后插入 Kite 的网页链接。Kite 声称这是一项有用的功能,但程序员认为这是不相关服务的广告。Minimap 的情况并非唯一。 此外,Kite 还被发现接管并更新了另一个下载量接近一百万的开源项目 autocomplete-python,社区开发者仔细检查了新版 autocomplete-python 的源代码,发现它默认启用了 Kite 的引擎,Kite 的引擎要求代码使用 Kite 的云服务处理,这意味着需要将数据发送给 Kite。 稿源:solidot奇客,封面源自网络

瑞典政府机密数据泄露揭开迷雾,或将危及国家安全

据外媒报道,瑞典交通运输局于 2015 年 9 月将所有数据库上传至 IBM 与 NCR 管理的云服务器后发生数据泄露。直至 2016 年 3 月,瑞典相关机构才察觉并展开调查。时隔两年,瑞典政府于近期曝光该起事件缘由。 瑞典政府发表声明,指出由于瑞典交通运输局并未雇用技术人员维护服务器管理系统,导致 IBM 与 NCR 两家公司的任何员工均能访问所有数据信息。其泄露数据包括政府军事机密单位成员照片、姓名与家庭地址等敏感信息。 知名媒体 PrivacyNewsOnline 透露,虽然瑞典交通运输局局长 MariaÅgren 在数据泄露事件后引咎离职,但政府当即进行起诉。2017 年 7 月,瑞典法院受理此案并判定 MariaÅgren 未承担监管国家机密信息的责任。可笑的是,据称此次案件处罚是瑞典史上最为 “ 严重 ” 的惩罚:要求 MariaÅgren 支付 8500 美元(这仅仅相当于 MariaÅgren 半个月薪水)。 PrivacyNewsOnline 证实,该起事件的泄露信息可能仍然遭受境外国家操控使用,这意味着无论是瑞典安全局( SÄPO )还是交通运输局,都无法制止更多操作人员窃取信息,而这些泄露信息或将危及瑞典国家安全。目前,瑞典相关部门还在继续展开调查并初步表示,可能今年秋天才能妥善解决这个问题。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全专家验证 PayPal 服务器存在无限制文件上传漏洞过程

据外媒 7 月 23 日报道,安全专家 Vikas Anil Sharma 发现 PayPal 服务器存在文件上传漏洞,允许攻击者远程执行恶意代码。以下是 Vikas 验证漏洞过程: 安全专家 Vikas 利用 Burp 软件访问 PayPal Bug Bounty 页面 http://paypal.com/bugbounty/ ,跳出如下响应。 随后,专家集中分析 PayPal 域名列表中所提及的安全内容策略:域名标头 。尤其是https://*.paypalcorp.com。此外,Vikas 通过复制本地子域名列表并运行 “ dig -f paypal +noall +answer ” 后发现,所有子域名实际采用某种简单方式指向多个域名。例如,子域名 “ brandpermission.paypalcorp.com ” 指向 “  https://www.paypal-brandcentral.com/  ”,这是一家托管 PayPal 的供应商网站,其供应商与合作伙伴在线支持 PayPal 系统网站并请求获取更多授权。 据称,该网站允许用户上传标识图样以及品牌相关图形设计。因此,专家首先通过上传简单图像 finished.jpg 分析目标图片文件夹、创建工单(网络软件管理系统)并被存储于目录 “ /content/helpdesk/368/867/finishedthumb.jpg ” 中。Vikas 发现工单编号与文件编号是以串行方式生成。 此外,Vikas 还上传了 .php 格式扩展文件而并非图像,发现应用程序无需验证文件类型与内容。不同的是,Vikas 从上传图像文件中注意到多数情况下不会发现上传路径。然而,Vikas 在上传文件 success.php 时,跟上传图片类似,假设这个文件会存储为 success_thumb.php 并决定爆破文件所在目录。 一旦发现文件所在目录,专家将远程执行恶意代码: https: //www.paypal-brandcentral.com/content/_helpdesk/366/865/success.php?cmd=uname-a;whoami   目前,安全专家虽然已修复该漏洞,但他们又在 PayPal 服务器中发现另一漏洞。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国银行客户被钓鱼,黑客利用俄国服务器发起攻击

HackRead 近日报告了一项针对美国银行(Bank of America)用户的大型网络钓鱼攻击,黑客们利用一台架设在俄国的服务器,进行邮件钓鱼攻击,旨在获取美国银行客户的的信用卡账号、个人信息等数据。 当然由于仅仅是服务器架设在俄国,并未有任何确凿的证据指向是由俄国黑客团体或者与政府相关。钓鱼攻击依赖于传统的信件欺诈钓鱼,伪造的银行邮件会谎称需要一些额外的步骤或者确认信息来解除某些使用限制,向客户骗取个人信息或者信用卡账号细节等。 信用卡账号的细节和个人信息是这起网络钓鱼攻击的主要目的,包括用户名称、地址、手机号码、卡号、有效日期和CVV码等。关于这起大型钓鱼攻击的细节有待进一步披露。 稿源:cnBeta,封面源自网络