安全快讯Top News

美国政府警告:朝鲜的 ELECTRICFISH 恶意软件试图窃取数据

据外媒报道,美国联邦调查局(FBI)和美国国土安全部(DHS)发布了一份关于ELECTRICFISH恶意软件的联合分析报告。 根据美国CERT网站上发布的报告,在追踪朝鲜黑客时发现了恶意软件ELECTRICFISH,其被朝鲜黑客组织Lazarus用来窃取数据。该恶意软件实现了一种自定义协议,允许在源IP和目标IP之间传输流量。 它不断尝试联系源系统和指定系统,并使得双方都可以发起会话。 因为该恶意软件由黑客组织Lazarus“使用代理服务器或端口和代理用户名和密码”进行配置,所以能够“连接位于代理服务器内的系统”,从而规避受感染系统的身份验证。绕过身份验证后,ELECTRICFISH将与目标IP建立会话,其位于目标网络及源IP之外。一旦在源IP地址和目标IP之间建立连接,ELECTRICFISH就可以在两台机器之间汇集网络流量,允许黑客把从受感染的计算机里收集的信息汇集到他们所控制的服务器。   消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

加拿大 Freedom Mobile 移动运营商数据泄露:影响超过 1.5 万客户

据外媒报道,加拿大Freedom Mobile移动运营商泄露了其许多客户的详细信息,包括他们的银行卡数据。 Freedom Mobile是加拿大第四大移动网络运营商。其未受保护的数据库至少储存了150万个用户的500万条记录。泄露的记录包括电子邮件地址,电话号码,家庭住址,出生日期,与付款方式相关的IP地址,信用评分(来自Equifax和其他公司),带有CVV代码的未加密支付卡数据,位置和其他客户服务记录,以及账户详细资料。根据加拿大环球邮报报道,这次数据泄露是由第三方公司Apptium Technologies引起的。 根据国外博客vpnMentor报道,Freedom Mobile的数据库完全处于未加密状态。账号,订阅日期,结算周期日期和包括位置在内的客户服务记录也可以访问。而Freedom Mobile试图淡化这一事件,称未保护数据库中存储的总记录仅与1.5万位客户有关。 Freedom Mobile向加拿大隐私专员办公室(OPC)报告了这一事件。   消息来源:Securityaffaris, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客利用 Jenkins 漏洞传播 Kerberods 恶意软件

HackerNews.cc 5 月 9日消息,黑客正利用2018年揭露的Jenkins漏洞(CVE-2018-1000861 )来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器,它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装,拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动,来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称,攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞,其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐,且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后,他创建了下图所示的图表(可以按照蓝色数字来理解每一步)。 Kerberods包含自定义版本的UPX打包程序,它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后,Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件,有许多方法可以修改UPX,使得用常规UPX版本解压缩文件很难。幸运的是,在本例中,UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此,将二进制文件的不同部分还原为UPX,可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限,Kerberods会将一个库加载到操作系统中,该操作系统挂钩Glibc的不同功能,就像一个木马一样。在没有root权限的情况下,恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器,它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源:Securityaffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

调查显示美国人对网络安全过于自信

一项来自webroot的新研究调查了1万名美国人(每个州200人)的网络安全习惯,发现88%的人认为他们采取了正确的措施来保护自己免受网络攻击。然而,只有10%的受访者在网络安全测试中得分达到90%或更高,平均只有60%。 深入调查发现,79%的美国人说他们听说过恶意软件,但只有28%的人能解释它是什么。同样,70%的人听说过网络钓鱼,但只有33%的人能解释它是什么,49%的人听说过勒索软件,但只有21%的人能解释它是什么。 调查也发现美国人缺乏最佳安全实践。64%的被调查者不将他们的社交媒体帐户加密,63%的被调查者在多个帐户中使用相同的密码,62%的参与者依赖免费的防病毒软件。 从不同的州来看,新罕布什尔州拥有最好网络安全习惯的用户数量最多,其次是北达科他州和俄亥俄州。 网络上行为最危险的用户分布在密西西比州,路易斯安那州和加利福尼亚州。   (稿源:cnBeta,封面源自网络。)

三星多个项目代码泄露 包括SmartThings源代码和密钥

北京时间5月9日早间消息,据美国科技媒体TechCrunch报道,一名信息安全研究员近期发现,三星工程师使用的一个开发平台泄露了多个内部项目,包括三星SmartThings敏感的源代码、证书和密钥。 三星数十个自主编码项目出现在旗下Vandev Lab的GitLab实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”,同时没有受到密码的保护,因此任何人都可以查看项目,获取并下载源代码。 迪拜信息安全公司SpiderSilk的安全研究员莫撒布·胡赛因(Mossab Hussein)发现了这些泄露的文件。他表示,某个项目包含的证书允许访问正在使用的整个AWS帐号,包括100多个S3存储单元,其中保存了日志和分析数据。 部分泄露代码截图 他指出,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,以及几名员工以明文保存的私有GitLab令牌。这使得他可以额外获得42个公开项目,以及多个私有项目的访问权限。 三星回应称,其中一些文件是用于测试的,但胡赛因对此提出质疑。他表示,在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的Android应用包含的代码相同。这款应用随后又有过升级,到目前为止的安装量已经超过1亿多次。 胡赛因说:“我获得了一名用户的私有令牌,该用户可以完全访问GitLab上的所有135个项目。”因此,他可以使用该员工的帐号去修改代码。 胡赛因还提供了多张屏幕截图和视频作为证据。泄露的GitLab实例中还包括三星SmartThings的iOS和Android应用的私有证书。(维金) (稿源:新浪科技,封面源自网络。)

MongoDB 数据库: 泄露超 2.75 亿条印度公民信息记录

据外媒报道,大型MongoDB数据库泄露了约2.75亿条包含印度公民详细个人信息(PII)的记录,该数据库两个多星期没有受到网络保护。 安全研究人员Bob Diachenko经过调查发现,泄露的数据包含了姓名、性别、出生日期、电子邮件、手机号码、教育程度、专业信息(雇主、工作经历、技能、职能领域)、现有工资等信息。但是,还没有找到任何与所有者相关的信息。此外,存储在数据库中的数据集合的名称表明,收集整个简历缓存是“大规模抓取操作的一部分”,其目的不明。 Diachenko立即通知了印度CERT(计算机安全应急响应组)团队,但是目前该数据库仍保持开放和可搜索状态。该数据库是被名为“Unistellar”的黑客组织抛弃的,且Diachenko发现了以下留言: MongoDB之前也发生过类似的数据泄露事件。究其原因,是因为其很多数据库都由所有者公开访问,并且没有得到适当的保护。这意味着可以通过保护数据库实例来阻止它们。MongoDB在Documentation网站上提供了一个安全(Security)版块,其中显示了如何正确保护MongoDB数据库,以及MongoDB管理员的安全检查表。   消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Binance 遭黑客入侵 损失价值超 4000 万美元的比特币

HackerNews.cc 5 月 8 日消息,全球最大的加密交易货币场所之一Binance,今日确认公司损失了近4100万美元的比特币。这似乎是该公司迄今为止遭受的最大黑客攻击。 Binance的CEO赵长鹏发声明说公司早在5月7号前就已发现大规模的安全漏洞。黑客因此窃取了大约7000个比特币,价值4060万美元。 据该公司称,恶意攻击者使用了各种攻击技术,包括网络钓鱼和计算机病毒,实施了这一入侵,并侵入了一个BTC热钱包(一个连接到互联网的加密货币钱包)。该钱包约占公司比特币持有总量的2%,并在一次交易中提取了被盗的比特币。更令人不安的是,该公司承认,黑客设法获取了用户的关键信息,如API密钥、双因素身份验证码,以及其他潜在的信息。这些信息是登录Binance帐户所必需的。但幸运的是,用来储存大部分资金的线下钱包即Binance的冷库仍然是安全的。此外,联网的个人用户钱包没有受到直接影响。 Binance已经将其平台上的所有存款和取款业务暂停了大约一周,同时全面审查了安全性并调查了这起事件。CEO表示,该公司去年建立了一个名为“用户安全资产基金(SAFU)”的内部保险机制,该机制将覆盖黑客攻击的全部金额,不会影响用户。   消息来源:Thehackernews, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2019 年 5 月 Android 安全补丁发布:共计修复 30 处漏洞

谷歌于今天发布了2019年5月的Android安全补丁,修复了最新发现的诸多重要安全漏洞以及各种Android组件中发现的其他问题。本月的Android安全补丁包含2019-05-01和2019-05-05两个安全级别,共计修复了30处漏洞,涉及Android Framework、Media framework、Android System、Kernel以及Nvidia、Broadcom和高通在内的诸多组件。 在本次安全补丁中修复的最重要漏洞会影响Media framework,允许远程攻击者执行任意代码。在安全公告中写道:“修复的这些问题中最严重的就是Media framework中的关键级安全漏洞,能够让远程攻击者使用特制的文件进行提权,并执行任意代码。这个漏洞的危险等级评估是基于该漏洞对受影响设备的影响而决定的。” 2019年5月的Android安全补丁目前已经面向所有处于支持状态的设备提供,包括Google Pixel,Google Pixel XL,Google Pixel 2,Google Pixel 2 XL,Google Pixel 3和Google Pixel 3 XL。Essential Phone用户应该是第一批获得2019年5月Android安全补丁的用户,通过OTA(无线)方式更新安装。 如果用户想要体验更安全,更安全的Android移动操作系统,我们建议所有Android用户尽快将他们的设备更新2019年5月的Android安全补丁。 访问:https://source.android.com/security/bulletin/2019-05-01   (稿源:cnBeta,封面源自网络。)

黑客集团内部是如何运作的?它们也有CEO和项目经理

网络犯罪组织会为了争夺客户而相互竞争,会花重金招募最优秀的项目经理,甚至会寻找合适的人才来担任类似于首席执行官的角色,在规范管理人员配置和攻击事务之外负责如何帮助牟取更多的资金。来自IBM和谷歌的安全研究人员描述了网络犯罪组织内部是如何运作的,并且称它们经常会公司化运作。 IBM Security威胁情报主管Caleb Barlow表示:“我们观察到他们也有比较严明的纪律,在办公时间里很活跃,他们也会在周末休息,他们也会定时工作,他们也会休假。它们会以公司化进行运作,会有一个老板全权管理所有攻击行为。它们就像是你雇佣装修公司一样,它们有着很多的分包商,就像是水电工、木工和油漆工一样,它们也和你一样正常上下班。” Barlow表示了解恶意黑客如何构建和运营其业务非常重要,而公司化可以更好地掌握他们正在攻击的任务。虽然并非所有网络犯罪组织都完全相同,但大体结构应该是这样的:领导者,例如CEO,会监督整个组织的更广泛目标。而他或者她会雇佣和领导诸多“项目经理”,而每个项目经理负责每次网络攻击的不同部分。 恶意软件的攻击者可能首先购买或创建有针对性的攻击工具,以窃取集团所需的确切信息。另一位攻击者可能会发送欺诈性电子邮件,将恶意软件发送给目标公司。一旦软件成功交付,第三位攻击者可能会努力扩大集团在目标公司内的访问权限,并寻求可以在暗网上进行销售的相关信息。 IBM还提供了一张信息图,展示了从犯罪集团的角度,如何发起为期120天针对一家财富500强公司的真实案例。负责IBM X-Force业务安全事件响应的Christopher Scott表示称在这种情况下,对财富500强企业的攻击意味着窃取和破坏数据,不同的颜色大致代表不同的工作职能。 在图形的左侧,专门破坏公司网络的攻击者以自己的方式进入业务以获得立足点。其他“项目经理”通过窃取他们的凭证来破坏各种员工帐户,并使用这些帐户执行该计划中的不同任务,从访问敏感区域或收集信息。时间线上的差距代表了黑客停止进行某些活动的时期,因此他们不会将公司用来检测犯罪活动的传感器干扰。 在120天周期尾声的时候,以鲜红色为代表的黑客专家最终画上句号,使用不同的恶意代码来破坏公司的各种数据。隶属于Alphabet集团“Other Bet”下方,专门从事网络安全的Chronicle公司研究主任Juan Andres Guerrero-Saade解释称:“如果我是一名优秀的开发人员,那么我会选择创建勒索软件并将其出售,或者将其像那些提供software-as-a-service的公司一样作为服务出售。然后我会不断维护这款恶意软件,如果你找到受害者并让他们受到感染支付赎金,那么我将收取10%或20%的分成。”   (稿源:cnBeta,封面源自网络。)

以色列国防军首次以空袭方式成功阻止激进组织哈马斯的网络攻击

以色列国防军(IDF)近日表示已经成功阻止了加沙地带的激进组织哈马斯(Hamas)上周末发起的网络攻击,并对该建筑进行了空袭。这也是IDF首次通过物理攻击方式来打击网络攻击。由于哈马斯和ID在过去三天内发生了多次互相攻击,从而导致了严重的暴力事件。 来自于 IDF 据悉哈马斯向以色列发射了600多枚火箭弹,而以色列国防军则对其数百枚军事目标进行了自己的罢工。到目前为止,至少有27名巴勒斯坦人和4名以色列平民被杀,其中有100多人受伤。以色列和哈马斯之间的紧张局势在去年有所增加,抗议和暴力事件仍时有爆发。 在上周六的战斗中,IDF表示哈马斯发起了针对以色列的网络攻击,但是并没有透露具体的攻击目标。但以色列时报称,哈马斯的目的是“[破坏]以色列公民的生活质量”。IDF表示这次网络攻击并不复杂,而且在进行物理打击之后哈马斯将不再具备网络能力。     (稿源:cnBeta,封面源自网络。)