安全快讯Top News

美特勤局证实有海外黑客团队骗取失业救助金 已损失数亿美元

新冠疫情期间,美国各州发放了失业救助金。不过根据美国特勤局(U.S. Secret Service)最新发布的警告,有海外诈骗团伙利用此前窃取的身份资料申请救助金,导致数百万美元的资金外流。 援引《纽约时报》本周六报道,美国特勤局认为有一伙来自尼日利亚的犯罪分子利用此前从网络攻击中窃取的个人信息,可能窃取了最高数亿美元的救济资金。 根据纽约时报披露的一份特勤局备忘录,该诈骗团伙的主要目标是华盛顿州的失业办公室,但也攻击了佛罗里达州、马萨诸塞州、北卡罗来纳州、俄克拉荷马州、罗得岛和怀俄明州。 美国特勤局本周六证实,确认存在针对多州失业保险计划资金的犯罪行为,但没有就细节发表评论。该机构表示,这些盗窃案通常涉及骗子利用身份盗窃来提交虚假的失业保险金,然后利用社会工程来清洗由此产生的钱,这样犯罪分子就无法被追踪到。 美国特勤局在一份声明中写道:“特勤局的主要调查重点是减轻犯罪分子针对公民身份盗窃和网络犯罪的所有企图,而这次与COVID-19有关。”   (稿源:cnBeta,封面源自网络。)

黑客通过多个交易所尝试洗白窃取的以太坊

去年 11 月 27 日,Upbit 交易所遭入侵,34.2 万以太坊被盗走。黑客之后在 12 月和 1 月通过多个数字货币交易所洗掉了超过 23.6 万以太坊。剩余的以太坊一直留在黑客的钱包里。跟踪数字货币交易的 Clain 报告,黑客最近开始尝试通过多个交易所洗掉剩余的以太坊。 黑客利用了多个知名的交易所,其中包括币安(Binance)、火币和 OKex。对窃取 Upbit 以太坊交易的跟踪显示,币安是利用率最高的交易所。 币安官方表示它已经阻止了黑客的交易,数据显示黑客使用的钱包地址活跃了很长时间,直到最近才被屏蔽。     (稿源:solidot,封面源自网络。)

欧洲多台超级计算机中毒 沦为挖矿肉鸡

本周,欧洲突然曝出多达十数台超级计算机感染恶意挖矿软件,沦为挖矿肉鸡。据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告,表示关闭ARCHER的系统进行调查,并且为了防止再次被攻击,重置了SSH(安全外壳协议)密码。 同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题,旗下5台超级计算机/高性能计算集群bwUniCluster 2.0、ForHLR II、bwForCluster JUSTUS、bwForCluster BinAC、Hawk现起关闭。 周三安全研究员Felix von Leitner在博客中称,位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响,因此被关闭。 周四更多被感染的超级计算机浮出水面,巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞,其管理的计算集群断开互联网连接。 当天晚些时候,德国朱利希研究中心紧接着表示由于发生“IT安全事件”,必须关闭旗下JURECA,JUDAC和JUWELS超级计算机。 就在昨天瑞士苏黎世的瑞士科学计算中心也表示在直到外部环境安全之前,将持续关闭其超级计算机的外部访问。 目前尚不清楚究竟是什么人或组织实施了这些攻击,但据安全公司分析,黑客是通过窃取SSH凭证获得了超级计算机的访问权限,而大学内部人士因为有权访问这些超级计算机而最有嫌疑。 实际上被劫持的SSH登录名分别属于加拿大、中国和波兰的大学。 而且虽然没有证据证明所有的攻击都是由同一组织实施的,但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。     (稿源:快科技,封面源自网络。)

Edison Mail 爆严重 BUG:同步后可全权访问他人帐号内容

Edison Mail是一款在iPhone、iPad和Mac上比较流行的第三方电子邮件应用,不过近日曝光的一个BUG引起了人们对隐私的极大关注。Edison Mail用户报告称,在该应用中开启新的账户同步功能后,他们可以完全访问其他Edison Mail用户的电子邮件账户。 Edison Mail在给外媒9to5Mac一份声明中表示这个BUG目前只影响iOS用户: 10小时前,我们向少部分iOS用户推出了一个软件更新。在收到这些更新的部分用户遇到了影响邮件账户的应用漏洞,今天早上我们已经注意到了这个漏洞。我们已经迅速回滚了该更新。我们正在联系受影响的Edison Mail用户(仅限于过去10小时内更新并打开应用的用户子集),通知他们。 目前来看,这似乎是一个BUG,而不是安全漏洞。这个问题似乎源于上周在Edison Mail客户端推出的新同步功能。 Zach Knox是Edison Mail的首批用户之一,他今天早上在Twitter上反馈存在这个问题。 我刚刚更新了@Edisonapps Mail,在启用了一个新的同步功能后,一个不是我的邮件账户出现在应用中,我似乎可以完全访问。这是一个重大的安全问题。在没有凭证的情况下访问他人的电子邮件! 我再也不会相信这个应用程序了。   (稿源:cnBeta,封面源自网络。)

Mikroceen 后门程序:对中亚地区政府机构和组织进行秘密间谍活动

ESET研究人员剖析了部署在针对亚洲两个重要基础设施领域的多个政府机构和主要组织的攻击中的后门程序。 在这篇与Avast研究员的联合博文中,我们提供了一项技术分析,介绍一种不断发展的RAT技术,自2017年末以来,它被用于各种针对公共和私人目标的间谍活动中。我们观察到该RAT的多起攻击实例,而且都发生在中亚地区。目标对象包括电信和天然气行业中的几家重要公司以及政府机构。 此外,我们把最新的间谍活动与之前发表的三篇报道联系起来:卡巴斯基(Kaspersky)对针对俄罗斯军事人员的Microcin的报道、Palo Alto Networks对针对白俄罗斯政府的BYEBY的报道,以及Checkpoint对针对蒙古公共部门的Vicious Panda的报道。此外,我们还讨论了通常是攻击者工具集中一部分的其他恶意软件。我们选择了“Mikroceen”这个名字来涵盖RAT的所有实例,以感谢卡巴斯基关于这个恶意软件家族的最初报告。这里的拼写错误是我们有意的,为了区别已有的微生物概念,同时也保持发音一致。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1206/   消息来源:welivesecurity, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

自 2016 年以来 Mandrake Android 恶意软件一直在窃取用户数据

比特梵德实验室的一支研究团队,刚刚曝光了一款名叫 Mandrake 的 Android 恶意软件。自 2016 年以来,它就一直在窃取用户的数据。Bitdefender 指出,其行为与大多数常见的威胁有所不同。Mandrake 并不致力于感染更多的设备,而是希望从用特定用户手上榨取更多的数据。从这一点来看,这款恶意软件在挑选受害者时,还算相当“挑剔”的。 与现实世界中的生物病毒一样,高传染性意味着更容易被发现。Mandrake 极力在隐藏自己,对特定受害设备的数据窃取利用到了极致。 实际上,根据 BitDefender 的深入分析,可知这款恶意软件被明确指定不得攻击某些地区的用户,包括前苏联、非洲和中东。澳大利亚被高度针对,美国、加拿大和某些欧洲国家也出现了很多感染案例。 Mandrake 于今年早些时候被首次发现,但其历史可追溯到 2016 年。据估计,当时该病毒已感染成千上万的设备,但最近一轮又扩散到了数十万人。 之所以谷歌 Play 商店迟迟未能揪出这款恶意软件,是因为 Mandrake 并未直接将这部分内容包含在程序本体。只有在接到指示之后,才会开启加载恶意行为的过程。 如此一来,它便能够避免被谷歌在早期筛查中发现。一旦将有效负载置于设备上,恶意软件便可立即窃取任何想要的数据,包括网站和应用的登陆凭据。 Mandrake 甚至可以重绘屏幕上的内容,意味着即使受害者看到了“完全正常”的页面、实际上却是在向恶意软件的幕后主使授予权限和相关数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 称之为“迄今为止最强大的 Android 恶意软件之一”,其最终目标是完全控制设备并染指用户账户。 为了不被发现,多年来 Mandrake 已经在谷歌 Play 商店里通过各种明目进行了传播,以及使用不同的开发者名称来打造诸多全新的应用。 此外为了给维持用户眼中“可信赖”的错误印象,开发者对“正经功能”的反馈响应也很是积极,甚至某些 App 还有与之关联的社交媒体活跃账号。 然而一旦恶意软件收集到了所有的数据,它便能够从设备上完全擦除自己的痕迹,导致用户根本不知道自己都经历了什么。 有鉴于此,我们还是建议大家尽量留意开发者的信誉是否良好,且不要通过不靠谱的平台去下载 App 。   (稿源:cnBeta,封面源自网络。)

微软向公众开放与新冠病毒相关的黑客攻击活动的威胁数据

据外媒报道,微软周四宣布,该公司正在将其收集的与新冠病毒相关的黑客攻击活动的威胁情报公开。“作为一个安全情报社区,当我们分享的信息能够提供更完整地了解攻击者的转移技术时,我们就会更强大,”微软威胁情报团队在一篇博文中说。“这种更完整的视图使我们都能更主动地保护、检测和防御攻击。” 微软决定开放其feed,以提高人们对攻击者在新冠大流行期间不断变化的技术的认识–尤其是对于那些可能不具备该公司所拥有的广泛可见性的人来说。该安全团队写道:“微软每天处理跨越身份、端点、云端、应用和电子邮件的数万亿个信号,这为我们提供了广泛的COVID-19主题攻击的可视性,使我们能够在整个安全栈中检测、保护和应对这些攻击。” 由26个成员组成的网络安全威胁共享非营利组织 “网络威胁联盟”(Cyber Threat Alliance)总裁兼首席执行官迈克尔-丹尼尔(Michael Daniel)表示,大流行期间犯罪活动的转变首次将目标锁定在使用新平台的人身上。 “总的来说,安全行业的恶意活动数量并没有增加;但是,我们看到这种犯罪活动的重点发生了迅速而急剧的转移,”前白宫网络安全协调员Daniel告诉CyberScoop。“坏人已经试图利用人们的恐惧、整体信息的匮乏以及许多在线平台的首次用户的增加等因素,将重点转移到了COVID-19的相关主题上。” 在网络犯罪分子和国家行为者开始用新冠病毒和医疗保健主题的鱼叉钓鱼邮件或虚假的移动应用程序在全球范围内瞄准受害者几个月后,微软进行了这一举动。微软正在提供的信息包括在大流行病相关的鱼叉钓鱼电子邮件活动中的恶意附件中使用的文件散列指标。其中包括的许多电子邮件诱饵都模仿了世界卫生组织和红十字会的品牌,而其他诱饵似乎是在与目标共享有关COVID-19的信息。 微软分享的283个威胁指标可以通过微软的Graph Security API或Azure Sentinel的GitHub页面获得。 Mandiant Threat Intelligence的高级首席分析师Sarah Jones告诉CyberScoop,这种公开的共享很可能会对致力于打击新冠病毒相关威胁的中小型企业有所帮助。“我们还没有机会观察到微软的这一功能,不过,拥有多种方式整合和查询外部的intel feeds,对于网络防御者来说总是有帮助的。”ones说。“此外,向客户发布高质量的和经过审核的‘Compromise指标’馈送,对于中小型企业来说,可以成为一种力量的倍增器。” Cofense首席技术官Aaron Higbee对这一举措表示欢迎,但他补充说,滥用微软Office 365的网络钓鱼邮件非常猖獗。 “我们赞扬所有的努力,以保护人们免受网络钓鱼攻击的攻击,这些攻击利用了人们对大流行病的恐惧和担忧。”Higbee告诉CyberScoop。“Cofense的客户对微软无法过滤掉网络钓鱼邮件表示出越来越多的不满。当他们得知钓鱼邮件来自于Office 365账户,并且钓鱼套件托管在Office 365上时,他们就会变得特别恼火。我很好奇,在微软选择分享的283个网络钓鱼指标中,有多少个是托管在Office 365内的。” 几个星期前,多个网络安全志愿者团体联合起来,帮助医疗机构在大流行期间应对突发的网络安全威胁。其他公司此前已经宣布,他们正在更广泛地提供服务。   (稿源:cnBeta,封面源自网络。)

库存充足 Zerodium 宣布暂停收买 iOS 漏洞利用

Zerodium 是一个漏洞利用获取平台,旨在向研究人员支付一定的费用来收买零日安全漏洞,然后转手卖给政府和执法机构等客户。然而本周,Zerodium 竟然宣布 —— 由于短期内提交的 iOS 漏洞利用程序太多,其计划在未来 2~3 个月内不再购买此类内容。据悉,Zerodium 专注于高风险的漏洞,通常每个功能完善的 iOS 漏洞利用会被给予 10 万到 200 万美元的奖励。 Zerodium 首席执行官 Chaouki Bekrar 在一条推文中表示,iOS 的安全状况并不如大家所想的那样良好,并指出持续有一些影响所有 iPhone 和 iPad 零日漏洞利用出现。当然,Bekrar 还是希望 iOS 14 能有所改善。 除了 Zerodium 等第三方,苹果也有自己的漏洞赏金计划。若发现 iOS、iPadOS、macOS、tvOS 或 watchOS 中的安全漏洞,将被给予 5000 到 100 万美元的奖励。   (稿源:cnBeta,封面源自网络。)

世界最大主权财富基金遭遇网络攻击:被骗走 1000 万美元

北京时间4月29日消息,作为全球最大的主权财富基金Norfund基金因网络诈骗,被骗子轻而易举的骗走1000万美元,而骗子是利用了所谓“泄露的付款数据”这一缺陷来作案的。 报道,挪威主权基金Norfund(也被称为挪威国家基金)的资金来源于著名的北海油田收益,目前市值超过1万亿美元。该基金表示,有黑客操纵了该组织的一笔交易,将一笔原本打算借给柬埔寨一家小额信贷机构的贷款转入受骗子控制的一个账户,结果导致该基金在3月份被骗1亿克朗(约为1000万美元)。该基金表示,这笔钱似乎已经从柬埔寨转移到了墨西哥,由于损失巨大,国际警方已经介入调查此事。 Norfund周三在谈到这起网络攻击诈骗案时表示:“在这段时间里,诈骗者以一种在结构、内容和语言使用上都非常巧妙的方式,操纵和伪造了Norfund与借款机构之间的信息交换。文件和付款明细都是伪造的。”骗子用一些伪造的发票或伪造的电子邮件把钱转移到了其他的账户,说明整个交易过程对票据的把关不过关。 其实这个骗局很简单,但却非常有效。骗子会先欺骗公司里的某个关键人物,然后欺骗公司里的其他人把钱转到一个新账户里,因为这些付款在计划中是合法和得到授权的,所以受害者通常要到最后才反应过来。 首席执行官Tellef Thorleifsson承诺,将迅速与国际警方采取行动,将骗子绳之以法,并防止该组织再次被骗。他表示:“这是一起严重的事件。这一网络诈骗行为清楚地表明,我们作为一个国际投资者和发展组织, 在利用数字渠道时很容易受到攻击。发生这种情况的事实表明,我们的系统和管理还不够好。我们必须立即采取严肃的行动来纠正这种情况。” 据悉,除警方介入外,挪威主权基金还表示,它正与挪威外交部及旗下的银行DNB合作,追踪这个骗子并取回赃款。普华永道也被要求对该基金的IT安全设置进行评估。虽然成为此类网络攻击的受害者令人尴尬,但Norfund并不是唯一一家。如果这件事的核心在于互联网交易中的商务邮件欺诈,那么说明这种网络欺诈已形成一个数十亿美元的产业,情况只会变得更糟。   (稿源:凤凰网科技,封面源自网络。)

针对南亚政府和军事组织的 BackConfig 恶意软件

Unit 42安全团队在过去4个月里观察到了Hangover组织(又名Neon, Viceroy Tiger, MONSOON)使用的BackConfig恶意软件的活动。该组织使用鱼叉式钓鱼攻击,目标包括南亚的政府和军事组织。 BackConfig定制木马具有灵活的插件架构,用于提供各种特性的组件,包括收集系统和键盘记录信息以及上传和执行额外payload的能力。 最初,感染是通过一个武器化的Microsoft Excel (XLS)文档发生的,该文档通过受感染的合法网站发布,url很可能是通过电子邮件共享的。这些文档使用Visual Basic for Applications (VBA)宏代码,如果受害者启用了这些宏代码,就会启动一个由多个组件组成的安装过程,从而导致插件加载程序payload被下载和执行。模块化的特性当然允许对单个组件进行更快的更改,而且对于攻击者来说可能更重要的是,能够阻止沙箱和动态分析系统的方式拆分恶意行为,尤其是在单独分析组件时。 我们基于WildFire的威胁预防平台可以检测到与此组织相关的活动,同时更新PAN-DB URL过滤解决方案中的“恶意软件”类别,用于已识别恶意的或受危害的域名。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1202/   消息来源:PaloAltoNetworks, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接