安全快讯Top News

OpBlueRaven:揭露APT组织 Fin7 / Carbanak之BadUSB攻击

本文旨在为读者提供有关PRODAFT&INVICTUS威胁情报(PTI)团队针对不同威胁者的最新详细信息,以及发现与臭名昭著的Fin7 APT组织合作的人是谁。 感谢您曾阅读在本系列文章的第一部分。在公开Fin7和REvil组织关系之前,我们试图与勒索软件的受害者联系,同时,我们将继续发布有关Fin7攻击者工具的文章。 在第一篇文章中,我们检查了Carbank后门控制面板的版本更改,并公开了以前未知的Tirion Loader。我们希望Fin7组织在未来使用该装载机取代Carbanak后门。 在本系列的这一部分中,我们将深入研究Fin7攻击者进行的BadUSB攻击。 我们将分以下几部分来介绍整篇文章: BadUSB攻击概述 macOS针对BadUSB攻击 攻击者收集的AV检测统计信息 受害者统计     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1336/ 消息与封面来源:threatinte  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基:针对 Linux 的黑客攻击行为日益猖獗

根据卡巴斯基公布的最新报告,黑客已经将攻击的目标逐渐迁移到 Linux 服务器和工作站上。虽然 Windows 系统一直是黑客的攻击目标,但是高级持久性威胁(APTs)现在已经成为 Linux 世界的一个严重问题。 尽管像 TwoSail Junk、Sofacy 和 Equation 这样的著名例子已经不胜枚举,但是在大多数用户的认知里,Linux 系统很少甚至从不成为攻击目标。 事实上有许多专门为 Linux 设计的 webshell、后门和 rootkits。最近的一个例子,就是俄罗斯黑客组织 Turla 开发的 Penguin_x64 Linux 后门程序。韩国恶意软件组织 Lazarus 也增加了其Linux恶意软件库,各种工具被用于间谍和金融攻击。 卡巴斯基全球研究和分析团队(GReAT)负责人 Yury Namestnikov 表示: 我们的专家在过去多次发现了加强APT工具集的趋势,以Linux为中心的工具也不例外。为了保证系统的安全,IT和安全部门比以前更频繁地使用Linux。威胁行为者正在通过创建能够渗透此类系统的复杂工具来应对这一问题。我们建议网络安全专家考虑到这一趋势,实施额外的措施来保护他们的服务器和工作站。     (稿源:cnBeta,封面源自网络。)

OpBlueRaven:揭露 APT 组织 Fin7 / Carbanak 之 Tirion 恶意软件

本文旨在为读者提供有关PRODAFT&INVICTUS威胁情报(PTI)团队针对不同威胁者的最新详细信息,以及发现与臭名昭著的Fin7 APT组织合作的人是谁。 所有这些都源自威胁者方面的一次OPSEC故障,我们将尝试逐步扩展主题,类似于我们在不断发现的基础上扩大范围。 关于Fin7和Carbanak的前所未有的事实:第1部分 在5月至2020年7月之间;PRODAFT威胁情报团队的四名成员进行了BlueRaven行动。案例研究源于发现一组看似不重要的轻微OpSec故障。当然,后来发现这些威胁因素与臭名昭著的Fin7 / Carbanak威胁因素有联系。 PTI的OP源于攻击者一方的OPSEC故障。与以前发现和发布的数据不同,使此OP如此与众不同的是,我们设法发现了大量有关攻击者工具集的未发布信息,这些信息揭示了攻击者的TTP。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1335/ 消息与封面来源:threatinte  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

乔·拜登竞选应用现漏洞:选民敏感信息可被轻易查询

据外媒TechCrunch报道,一名安全研究人员发现,美民主党总统候选人乔·拜登的官方竞选应用存在隐私漏洞–任何人都可以查询数百万美国人的敏感选民信息。这款名为Vote Joe的竞选应用允许拜登的支持者在即将到来的美国总统大选中鼓励朋友和家人投票,方法是上传他们的手机联系人列表然后看看他们的朋友和家人是否已经注册投票。 据悉,这款应用将用户上传的联系人跟TargetSmart提供的选民数据进行匹配。TargetSmart是一家政治营销公司,声称拥有超1.91亿美国人的个人文件。 当完成匹配后,该应用就会显示选民的姓名、年龄和生日以及他们在最近的选举中投了票。该应用还称,这将被有助于用户找到自己认识的人并鼓励他们参与进来。 虽然大部分数据都已经可以公开,但这个漏洞可以让任何人都通过这个应用轻松访问任何一位选民的信息。 移动专家App Analyst在以自己的名字命名的博客上详细介绍了自己的发现。他指出,其可以通过在自己的手机上创建一个以选民名字命名的联系人名单来欺骗该应用获取任何人的信息。 他告诉TechCrunch,更糟糕的是,该应用吸收的数据比实际显示的要多得多。通过拦截进出设备的数据,他可以看到更详细、更私密的信息,其中包括选民的家庭住址、出生日期、性别、种族和支持的政党。 拜登的竞选团队修复了这个漏洞并在周五发布了一个应用更新。 拜登竞选团队发言人Matt Hill告诉TechCrunch:“我们被告知,我们的第三方应用开发商从商业数据中提供了不需要的额外信息。于是我们迅速跟供应商合作解决了这个问题并删除了这些信息。我们致力于保护我们的员工、志愿者和支持者的隐私,我们将一直跟供应商合作来做到这一点。” TargetSmart的一名发言人表示,其他用户可以访问有限数量的公开或商业可用数据。 实际上在政治竞选活动中,交易和共享大量选民信息的情况并不少见,这些信息被称为选民档案,其中包括选民的姓名、家庭住址、联系方式以及他们登记的政党等基本信息。每个州的选民档案都有着很大的不同。 虽然这些数据中有很多是可以公开获得的,但政治公司也试图从其他来源获取更多的数据来丰富他们的数据库进而帮助政治竞选活动识别和锁定关键的摇摆选民。     (稿源:cnBeta,封面源自网络。)

YouTube 在英面临 30 亿美元诉讼:被指非法收集儿童数据

据外媒报道,英国一项新的诉讼称,谷歌的YouTube在知情的情况下在追踪儿童的网络踪迹,这种行为违反了英国的隐私法。据悉,该诉讼代表了超500万名13岁以下的英国儿童及其父母,他们要求赔偿20亿英镑的损失。诉讼则由研究人员和隐私倡导者Duncan McCann向英国高等法院提出的。技术倡导组织Foxglove则对其提供了支持。 起诉书称,YouTube系统性地违反了英国《数据保护法》和欧盟的《GDPR》中有关未成年用户隐私的规定和数据规定,该平台非法收集了数百万名儿童的数据用于广告投放。 Foxglove写道:“我们认为这是非法的,因为YouTube处理了使用该服务的每个孩子的数据–包括13岁以下的孩子。他们从这些数据中获利,因为广告商向他们支付在YouTube网站上投放定向广告的费用。他们做这些都是没有得到孩子父母的明确同意。” 当地时间周一,YouTube的一位发言人拒绝对彭博社发表评论,但表示该视频分享平台不适用于13岁以下的用户。 然而这已经不是谷歌第一次受到跟隐私相关的诉讼了。今年6月,一项50亿美元的集体诉讼在加州法院提起,谷歌被控在用户隐身状态下跟踪用户的浏览器习惯。2019年10月,一桩价值10亿英镑的集体诉讼在英国上诉法院被重新提起。该投诉称,谷歌故意绕过Safari浏览器的安全设置来跟踪iPhone用户。     (稿源:cnBeta,封面源自网络。)

近 2000 家 Magento 1 店遭到黑客攻击

2020年9月12日至13日,全球近2000家Magento 1店遭到黑客攻击,这是迄今为止规模最大的一次有记录的活动。这是一个典型的Magecart攻击:注入的恶意代码将截获不受怀疑的商店客户的付款信息。被检查的商店发现运行Magento版本1,该版本于去年6月宣布停止使用。 Sansec早期漏洞检测系统监控全球电子商务领域的安全威胁,检测到1904个不同的Magento商店,在结账页面上有一个独特的键盘记录(skimmer)。9月11日,有10家商店被感染,12日是1058家,13日是603家,14日是233家。 另请阅读:Adobe与Sansec合作,以提高Magento平台的安全性。 这项自动化活动是Sansec自2015年开始监测以来发现的最大规模的活动。此前的纪录是去年7月一天内有962家店铺被黑客入侵。本周末事件的规模之大说明了网络浏览的复杂性和盈利能力的提高。犯罪分子已经越来越自动化他们的黑客操作,以运行网络掠取计划在尽可能多的商店。 据Sansec估计,上周末,数万名顾客的私人信息通过其中一家受损商店被盗。 Magento exploit $ 5000 在此之前,许多受害商店没有发生过类似的安全事故。这表明攻击者使用了一种新的攻击方法来获得这些存储的服务器(写)访问权限。虽然我们仍在调查确切的原因,但这次活动可能与最近几周前上市的Magento 10天(漏洞利用)有关。 用户z3r0day在一个黑客论坛上宣布以5000美元的价格出售Magento 1“远程代码执行”攻击方法,包括指令视频。据称,不需要事先的Magento管理员帐户。z3r0day强调,由于Magento 1已经过时,Adobe不会提供官方补丁来修复这个漏洞,这使得这个漏洞对使用传统平台的店主造成了额外的伤害。 为了使交易更加顺利,z3r0day承诺只出售10份危险漏洞利用程序。 根据Sansec的实时数据,截至今天,仍有大约9.5 万家Magento 1商店仍在营业。 官方PCI要求在服务器上使用恶意软件和漏洞扫描程序,如Sansec的eComscan。Sansec还建议订阅替代的Magento 1补丁程序支持,例如Mage One提供的支持。 更新:攻击方法 截至周一,Sansec正在对两台受感染的服务器进行调查。攻击者使用IP 92.242.62.210(美国)和91.121.94.121(OVH,FR)与Magento管理面板进行交互,并使用“Magento Connect”功能下载和安装各种文件,包括名为的恶意软件mysql.php。将恶意代码添加到后,该文件已自动删除prototype.js。 2020-09-14T09:57:06  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  POST /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  GET /index.php/admin/?SID=XXXX HTTP/1.1 2020-09-14T09:57:10  92.242.62.210  GET /index.php/admin/dashboard/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:13  92.242.62.210  GET /index.php/admin/system_config/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:15  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:19  92.242.62.210  POST /index.php/admin/system_config/save/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:20  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:22  92.242.62.210  GET /index.php/admin/import/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  POST /index.php/admin/import/validate/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:28  92.242.62.210  POST /downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name= HTTP/1.1 2020-09-14T09:57:29  92.242.62.210  GET /downloader/index.php?A=cleanCache HTTP/1.1 2020-09-14T09:57:31  92.242.62.210  GET /mysql.php HTTP/1.1 WEB服务器的日志显示,周末有很多人试图安装文件,可能是为了安装改进版的skimmer。 撇渣器分析:mcdnn.net 对于受影响的Magento 1商店,已将加载的撇渣器添加到文件prototype.js中,这是标准Magento安装的一部分。 该//mcdnn.net/122002/assets/js/widget.js服务根据其包含在哪个页面上来提供动态内容。仅当从结帐页面中引用时,它才会提供恶意的按键记录日志代码: 实际付款将被泄露到莫斯科托管的站点https://imags.pw/502.jsp,该站点与mcdnn.net域在同一网络上。     稿件与封面来源:Sansec,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

雷蛇意外泄露了超 10 万用户的个人信息

安全研究员 Volodymyr Diachenko 发现,由于服务器配置错误,Razer 网站于 8 月 18 日公开了超 10 万游戏玩家的个人信息。虽然不包括信用卡付款信息,但截图表明该公司的数字商店订单记录被意外曝光,其中包括消费者的电子邮件、邮寄地址、订购的产品类型、以及电话号码等在内的个人信息。 此事耗费了将近一个月来沟通反馈 在网上发现了这一问题后,Volodymyr Diachenko 在三周内与 RAZER 进行了多次接触,最终收到了一份答复。 这家游戏硬件制造商承认服务器存在配置错误,且用户的个人信息可能已被泄露,包括消费者全名、电话号码、以及送货地址等。 不过 Razer 还是辩称,并没有其它铭感数据(例如付款方式)被泄露,且其已于 9 月 9 日修复了错误的配置。 在致外媒 TheVerge 的电子邮件中,该公司同样确认了该问题,并表示任何有疑问的客户,都可以通过 DPO@razer.com 这个邮箱与他们取得联系。 即便如此,Razer 用户仍需警惕这部分泄露信息被用于网络钓鱼活动,因此还请妥善保管线上账户的密码与付款明细。     (稿源:cnBeta,封面源自网络。)

新的 Linux 恶意软件从 VoIP 软交换系统窃取通话详细信息

网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件,该恶意软件针对IP语音(VoIP)软交换,旨在窃取电话元数据。ESET研究人员在周四的分析中说:“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据,包括呼叫详细记录(CDR)。” “要窃取此元数据,恶意软件会查询软交换使用的内部MySQL数据库。因此,攻击者充分了解了目标平台的内部体系结构。” 软交换(软件交换机的缩写)通常是VoIP服务器,允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。 ESET的研究发现cdrreiver针对的是一个特定的Linux VoIP平台,即来自中国Linknat公司的VOS2009和3000软交换,并对其恶意功能进行加密,以逃避静态分析。 恶意软件首先试图从预先确定的目录列表中找到软交换配置文件,目的是访问MySQL数据库凭据,然后对其进行解密以查询数据库。 ESET的研究人员说,攻击者必须对平台二进制文件进行反向工程,以分析加密过程,并检索用于解密数据库密码的AES密钥,这表明作者对VoIP体系结构有“深入的了解”。 除了收集有关被破坏的Linknat系统的基本信息外,CDRthicker还过滤数据库的详细信息(用户名、加密密码、IP地址),并直接对MySQL数据库执行SQL查询,以便捕获与系统事件、VoIP网关和呼叫元数据相关的信息。 ESET说:“从e_syslog,e_gatewaymapping和e_cdr表中渗出的数据经过压缩,然后在渗出之前使用硬编码的RSA-1024公钥加密。因此,只有攻击者或操作员才能解密渗入的数据。” 从当前版本的ESET中可以很容易地将恶意软件的更新形式引入到其更新版本中,但这种恶意软件可能只会导致当前版本的数据更新。 也就是说,攻击者的最终目标或有关行动背后的攻击者的信息仍然不清楚。 “在撰写本文时,我们还不知道这些恶意软件是如何部署到被破坏的设备上的,”ESET的安东·切雷帕诺夫说我们推测攻击者可能会使用暴力攻击或利用漏洞来访问设备。” “这似乎是合理的假设,恶意软件是用于网络间谍活动。使用此恶意软件的攻击者的另一个可能目标是VoIP欺诈。由于攻击者获取有关VoIP软交换及其网关的活动信息,这些信息可用于执行国际收入分成欺诈(IRSF)。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

TikTok 已修复 Android 版应用中可能会导致账号被劫持的安全漏洞

据外媒TechCrunch报道,TikTok已经修复了其Android应用中的四个安全漏洞,这些漏洞可能会导致用户账号被劫持。应用安全启动公司Oversecure发现了这些漏洞,这些漏洞可能会让同一设备上的恶意应用从TikTok应用内部窃取敏感文件如会话令牌。会话令牌是一种可让用户登录而无需再输入密码的小文件,如果被盗,这些令牌可以让攻击者在不需要密码的情况下访问用户的账户。 恶意应用将利用这个漏洞向TikTok应用注入一个恶意文件。一旦用户打开应用,恶意文件就会被触发,从而让恶意应用访问并在后台无声地向攻击者的服务器发送偷来的会话令牌。 Oversecure创始人Sergey Toshin告诉TechCrunch,这款恶意应用还可以劫持TikTok的应用权限、允许它访问Android设备的摄像头、麦克风和设备上的私人数据如照片和视频。该公司在其网站上公布了有关漏洞的技术细节。 TikTok表示,在Oversecure报告了这些漏洞后,他们已于今年早些时候修复了它们。     (稿源:cnBeta,封面源自网络。)

微软发布美国大选安全报告 黑客组织活动明显增加

美国总统大选在即,施加给科技公司的压力也越来越大,如何防止恶意组织的干扰是摆在他们面前的难题。在近日更新的官方博文中,微软表示外国黑客组织针对美国总统大选的活动明显增加。 博文中表示,在过去几周时间里对特朗普和拜登的网络攻击明显增加,这些攻击主要来自于三个黑客组织,分别为 Strontium, Zirconium 和 Phosphorus。 2019年9月至今,Strontium 已经影响了超过 200 多家组织,其中包括协助共和党和民主党的美国顾问,以及国内的国家和州党组织等。Strontium 的作案手法包括收割登录凭证以破坏账户。 而 Zirconium 在过去数月里发动了数千次攻击,其中有 150 次成功。微软报道称,Zirconium 在网络犯罪中采取了双管齐下的方式。其中之一是针对与总统竞选活动直接相关的人:拜登竞选活动一直是主要目标,还有至少一名此前参与特朗普政府的个人。该组织策略的第二项是针对参与国际事务的有影响力的人。Zirconium 使用 “网络信标 “来确定目标用户是否有有效的网络存在,并将其用于侦察活动。 去年微软已经对 Phosphorus 该组织进行了打击,在法院的帮助下即将积极努力控制这个组织正在使用的网络域名。在报告中称,Phosphorus曾多次尝试登录特朗普总统工作人员的账户,但都没有成功。 尽管这些黑客组织的活动有所增加,但微软表示,它已经挫败了大多数针对美国大选的企图,并积极通知那些被针对的人。该公司表示。     (稿源:cnBeta,封面源自网络。)