安全快讯Top News

TroubleGrabber 恶意软件通过 Discord 窃取凭证

TroubleGrabber是一种新的凭证窃取恶意软件,它通过Discord的附件传播,并使用Discord消息将窃取的凭证传回给攻击者。虽然它在功能上与AnarchyGrabber有一些相似之处,但实现方式不同。TroubleGrabber是一个名叫“Itroublve”的人写的,目前被多个攻击者用来针对Discord的受害者。 该恶意软件主要通过drive-by下载,窃取web浏览器令牌、Discord webhook令牌、web浏览器密码和系统信息。此信息通过webhook作为聊天消息发送到攻击者的Discord服务器。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1399/       消息来源:netskope,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

SAD DNS——新的缺陷重新启用 DNS 缓存中毒攻击

来自加利福尼亚大学和清华大学的一群学者发现了一系列严重的安全漏洞,这些漏洞可能导致DNS缓存中毒攻击死灰复燃。 这种技术被称为“SAD DNS攻击”(Side-channel AttackeD DNS的缩写),该技术使攻击者可以进行路径外攻击,将最初发往特定域的所有流量重新路由到其控制下的服务器,从而允许他们窃听和篡改通信。 研究人员表示:“这是一个重要的里程碑,这是第一个可武器化的网络侧通道攻击,具有严重的安全影响。”“这使攻击者可以将恶意DNS记录注入DNS缓存中。” 这一发现被追踪为CVE-2020-25705。该漏洞影响操作系统Linux 3.18-5.10,Windows Server 2019(版本1809)和更高版本,macOS 10.15和更高版本以及FreeBSD 12.1.0和更高版本。   DNS转发器成为新的攻击面 DNS解析器通常将对IP地址查询的响应缓存特定时间段,以提高网络中响应性能。但可以利用这种机制来毒化缓存,方法是为给定网站模拟IP地址DNS条目,并将尝试访问该网站的用户重定向到攻击者选择的其他站点。 但是,此类攻击的有效性受到了一定程度的影响,因为诸如DNSSEC(域名系统安全扩展)之类的协议通过在现有DNS记录中添加加密签名和允许DNS的基于随机化的防御来创建安全的域名系统解析程序为每个查询使用不同的源端口和事务ID(TxID)。   一种新颖的Side-Channel攻击 研究人员指出,由于“激励和兼容性”的原因,这两种缓解措施还远未得到广泛应用,因此他们设计了一种Side-Channel攻击,可以成功地用于最流行的DNS软件堆栈。所以,像Cloudflare的1.1.1.1和Google的8.8.8.8这样的公共DNS解析程序易受攻击。 SAD DNS攻击的工作原理是利用任何网络中的一台受损机器,该网络能够触发DNS转发器或解析器的请求,例如咖啡馆、购物中心或机场中由无线路由器管理的公共无线网络。 然后,它利用网络协议栈中的一个侧信道来扫描并发现哪些源端口用于启动DNS查询,随后通过暴力强制TxIDs注入大量伪造的DNS应答。 更具体地说,研究人员使用域名请求中使用的一个通道,通过向受害者服务器发送每个具有不同IP地址的伪造UDP数据包来缩小确切的源端口号,并根据收到的ICMP响应(或没有响应)来推断是否已命中正确的源端口。 这种端口扫描方法达到每秒1000个端口的扫描速度,累计需要60秒多一点的时间来枚举由65536个端口组成的整个端口范围。然后,攻击者所要做的就是插入一个恶意IP地址来重定向网站流量,并成功地完成DNS缓存中毒攻击。   减轻SAD DNS攻击 除了演示如何扩展攻击窗口(允许攻击者扫描更多端口并注入额外的恶意录来攻击DNS缓存)外,该研究还发现,互联网上超过34%的开放解析程序易受攻击,其中85%由流行的DNS服务(如Google和Cloudflare)组成。 为了应对SAD DNS,研究人员建议禁用传出的ICMP响应,并更积极地设置DNS查询的超时。 研究人员还提供了一种工具来检查容易受到此攻击的DNS服务器。此外,该小组与Linux内核安全团队合作开发了一个补丁,该补丁随机化ICMP全局速率限制,从而将噪声引入旁通道。 研究人员得出结论:“这项研究提出了一种基于全球ICMP速率限制的侧通道,所有现代操作系统都普遍采用这种限制。”“这可以有效扫描DNS查询中的UDP源端口。结合扩展攻击窗口的技术,可以导致DNS缓存中毒攻击死灰复燃。”       消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软称 COVID-19 疫苗制造商遭到了境外机构支持的黑客攻击

外媒报道称,疑似受到俄朝支持的黑客,已将参与 COVID-19 疫苗研发的制造公司视作攻击目标。科技巨头微软周五表示,其发现了针对美国、加拿大、法国、印度、韩国七家企业的此类攻击。遗憾的是,尽管其已设法阻止了“大多数”攻击,但微软还是承认其中有些已经得逞。 截图(来自:Microsoft Blog) 目前微软已经向受影响的公司发去了通知,但拒绝披露确切的名字。微软客户安全与信任负责人 Tom Burt 在博客中写道:“我们认为这些攻击是不合情理的,应该受到所有文明社会的谴责”。 据悉,这些攻击源于三个不同的黑客组织,其中就包括与俄方有说不清道不明关系的 Strontium(又名 APT28 或 Fancy Bear)。 Strontium 利用密码喷洒(Password Spraying)来针对受害者,通常涉及循环重用密码。 上一次闹出大动静,还是 2016 年美国总统大选期间的虚假信息传播与黑客行动,同时该组织也因针对媒体和企业的一系列其它高调攻击而遭到指责。 第二个黑客团体被微软称作 Zinc(又名 Lazarus Group),其疑似与朝方有联系,擅长通过钓鱼邮件骗取受害者的密码凭证。 据说 2016 年的索尼黑客攻击,2017 年的 WannaCry 勒索软件等事件,幕后都有着 Lazarus 的身影。 第三个黑客团体,则是知名度相对较低的 Cerium 。微软对这个疑似与朝方有关的组织知之甚少,但指责其利用伪装成世卫组织代表的钓鱼邮件来破坏全球抗击 COVID-19 大流行所做出的共同努力。 Tom Burt 呼吁,世界各地的领导人应拿起法律武器,参与到医疗机构的保护中去。以及在允许的范围内,对相关网络犯罪团体采取制裁行动。         (消息来源:cnBeta;封面来源于网络)

2800 多家电子商店因运行过时的 Magento 软件受到信用卡黑客的攻击

最新研究显示,今年9月初,针对运行Magento 1.x电子商务平台零售商的网络攻击是由一个攻击组织发起的。 RiskIQ在11月11日发表的一份报告中说:“这个组织实施了大量不同种类的Magecart攻击,这些攻击通常通过供应链攻击(如Adverline事件)或利用漏洞(如9月Magento 1事件)危害大量网站。” 这些攻击被统称为CardBleude,针对至少2806多家Magento 1.x的在线商店,这些商店在2020年6月30日已经停止使用。 Magecart是针对在线购物系统的不同黑客团体的联合体,在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart已实践过的作案手法。 其攻击被称为formjacking攻击,攻击者通常会在支付页面上偷偷将JavaScript代码插入到电子商务网站中,以实时捕获客户卡的详细信息并将其传输到远程攻击者控制的服务器。 但在最近几个月中,Magecart组织加大了攻击,他们将代码隐藏在图像元数据中,甚至进行了IDN同形攻击,以隐藏在网站的favicon文件中的网络浏览器。 Cardbleed(最初由Sansec记录)通过使用特定域与Magento管理面板进行交互,然后利用“Magento Connect”功能下载并安装一个名为“mysql.php”的恶意软件。在skimmer代码被添加到“prototype.js”后,它会自动删除。 现在,根据RiskIQ的说法,这些攻击具有Magecart group 12组织的所有特征。 此外,刚刚提到的skimmer是Ant和Cockroach在2019年8月首次观测到的skimmer的变体。 有趣的是,研究人员观察到的其中一个域名(myicons[.]net)也与5月份的另一个活动有关,在那个活动中,一个Magento favicon文件被用来把skimmer隐藏在支付页面上,并加载一个假的支付表单来窃取捕获的信息。 但就在恶意域名被识别时,Magecart group 12已经熟练地换入了新的域名,以继续进行攻击。 RiskIQ的研究人员表示:“自从Cardbleed行动被公开以来,攻击者已经重组了他们的基础设施。”“他们开始从ajaxcloudflare[.]com装载skimmer,并将渗透转移到最近注册的域console..in中。” RiskIQ威胁研究人员Jordan Herman表示,“升级到Magento 2是一种特别的缓解措施,尽管升级的成本可能会让较小的供应商望而却步。” 他补充说,“还有一家名为Mage One的公司也在继续支持和修补Magento 1。他们发布了一个补丁来缓解攻击者在10月底利用的特殊漏洞。所以,防止这类攻击的最好方法是让电子商店在其网站上运行完整的代码清单,这样他们就可以识别出软件的弃用版本,以及任何其他可能引发Magecart攻击的漏洞”。       消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新的 ModPipe 销售点(POS)恶意软件针对餐馆、酒店进行攻击

11月12日,网络安全研究人员披露了一种新型的模块化后门,该后门针对Oracle的销售点(POS)餐馆管理软件,以试图窃取存储在设备中的敏感支付信息。 这个被称为“ModPipe”的后门影响了Oracle MICROS餐厅企业系列(RES)3700 POS系统,这是一个在餐厅和酒店业中广泛使用的软件套件,可以有效地处理POS、库存和人工管理。大多数已经确定的目标主要位于美国。 ESET的研究人员在报告中说:“后门的与众不同之处在于它的可下载模块及其功能,因为它包含一个自定义算法,该算法通过从Windows注册表值中解密来收集RES 3700 POS数据库密码。” “经过筛选的凭据使ModPipe的操作者可以访问数据库内容,包括各种定义和配置,状态表以及有关POS交易的信息。” 值得注意的是,在RES 3700中,诸如信用卡号和有效期之类的详细信息受到加密屏障的保护,从而限制了可能被进一步滥用的有价值的信息量,尽管研究人员认为,攻击者可能拥有第二个可下载模块解密数据库的内容。 ModPipe基础结构由一个初始删除程序组成,该删除程序用于安装持久性加载程序,然后将其解压缩并加载下一阶段的有效负载,该有效负载是主要的恶意软件模块,用于与其他“downloadable”模块以及命令和控制( C2)服务器建立通信。 可下载模块中的主要组件包括“GetMicInfo”,该组件可以使用特殊算法来拦截和解密数据库密码,ESET研究人员认为,可以通过对密码库进行反向工程或利用所获得的加密实现细节来实现该功能。 第二个模块为“ModScan 2.20”,用于收集有关已安装POS系统的额外信息(如版本、数据库服务器数据),而另一个模块名为“Proclist”,收集当前运行进程的详细信息。 研究人员表示:“ModPipe的架构、模块及其功能也表明,它的作者对目标RES 3700pos软件有广泛的了解。”“运营商的熟练可能源于多种情况,包括窃取和逆向工程专有软件产品,滥用泄露的部件,或从地下市场购买代码。” 建议使用RES 3700 POS的酒店企业升级到软件的最新版本,并使用运行底层操作系统更新版本的设备。     消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

揭露:APT 组织“黑客雇用”活动的目标是金融、娱乐公司

该活动被Blackberry研究人员称为“CostaRicto”,这场运动似乎是APT组织的杰作,他们拥有定制的恶意软件工具和复杂的VPN代理和SSH隧道。 研究人员表示,“CostaRicto的目标分散在欧洲、美洲、亚洲、澳大利亚和非洲的不同国家,但最大的集中似乎在南亚(特别是印度、孟加拉国、新加坡和中国),这表明攻击者可能驻扎在该地区。但是,他们从不同的客户那里获得了广泛的佣金。” 攻击者通过被盗凭证在目标环境中获得了立足之地后,便开始建立SSH隧道以下载后门和称为CostaBricks的有效负载加载器,该负载实现了C ++虚拟机机制来解码并将字节码有效负载注入内存。 除了DNS隧道管理命令与控制(C2)服务器,上述加载器提供的后门是一个名为SombRAT的c++编译可执行文件。 后门配备了50个不同的命令来执行特定任务(可分为core、taskman、config、storage、debug、network函数),从将恶意dll注入内存到枚举存储中的文件,再到将捕获的数据泄漏到攻击者控制的服务器。 总共已经确定了6个版本的SombRAT,第一个版本可以追溯到2019年10月,最新的版本在今年8月初观测到,这意味着后门正在积极开发中。 虽然攻击者的身份仍不清楚,但其中一个注册了后门域名的IP地址与早前一次网络钓鱼活动有关,该网络钓鱼活动是由与俄罗斯有关的APT28黑客组织发起的,暗示着网络钓鱼活动有可能被外包给代表攻击者的雇佣兵。 这是Blackberry发现的第二起黑客雇佣行动,第一起是由一个名为Bahamut的组织发起的一系列行动,他们利用零日漏洞、恶意软件和虚假信息来跟踪中东和南亚的目标。 Blackberry研究人员表示:“勒索软件即服务(RaaS)取得了不可否认的成功,因此网络犯罪市场扩大其业务范围,将专门的网络钓鱼和间谍活动添加到服务列表中也就不足为奇了。” “将攻击或攻击链的某些部分外包给独立的佣兵组织,对攻击者有很多好处——它可以节省自己的时间和资源,简化程序,最重要的是,它利于保护自己的真实身份。”       消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌发布 Chrome 86.0.4240.198 修复两个零日漏洞

ZDNet 报道称,谷歌在过去三周时间内,修复了影响 Chrome 浏览器的五个凌日漏洞。在今日发布的 Chrome 86.0.4240.198 版本中,就包括了最新的两个。据悉,此前的三个零日漏洞,是谷歌内部安全研究人员发现的。而这次紧急修复的两个,则来自于不愿透露姓名的消息人士。 截止发稿时,谷歌尚未披露两个零日漏洞攻击的详情。但在 Chrome 86.0.4240.198 的变更日志中,该公司还是提到了两个通用漏洞披露编号。 首先是 CVE-2020-16013,其描述涉及 Chrome 组件中处理 JavaScript 代码的 V8 引擎的不当实现。 其次是 CVE-2020-16017,其描述涉及 Chrome 组件中负责隔离不同站点数据的‘释放后使用’内存泄露 bug 。 两个 CVE 的披露时间分别为周一和周三,不过遗憾的是,目前尚不清楚这两个漏洞是否需要被结合在一起使用,但是可以单独发挥一定的破坏力。 在此之前,Google 还修补了以下三个零日漏洞: ● CVE-2020-15999:Chrome 浏览器的 FreeType 字体渲染库问题,谷歌在 10 月 20 日完成了与 Windows 零日漏洞(CVE-2020-17087)的修补,但拖到了本周。 ● CVE-2020-16009:同样涉及 Chrome 的 JavaScript V8 引擎,谷歌在 11 月 2 日完成了修复。 ● CVE-2020-16010:这次主要与 Chrome for Android 有关,主要影响浏览器的用户界面(UI)组件。 目前尚不清楚上述漏洞的严重程度,但谷歌还是建议大家尽快更新至 86.0.4240.198 。不过鉴于大多数零日漏洞攻击仅会瞄向少数极具针对性的目标,普通用户其实没必要太过恐慌。       (消息来源:cnBeta;封面来自网络)

警告!新的 Android 银行木马从 112 个金融APP中窃取数据

安全研究人员发现了针对巴西,拉丁美洲和欧洲金融机构的银行木马“Tetrade”,四个月后,调查表明,攻击者扩大了策略,利用间谍软件感染移动设备。 根据卡巴斯基的全球研究和分析团队(GReAT)的说法,总部位于巴西的威胁集团Guildma部署了“Ghimob”,这是一种Android银行木马,针对的是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所和加密货币的金融应用程序。 网络安全公司在报告中表示,“Ghimob是您一种成熟间谍:一旦感染完成,黑客就可以远程访问受感染的设备,用受害者的智能手机完成欺诈交易,从而避免被识别、金融机构采取的安全措施以及所有他们的反欺诈行为系统。” 除了共享与Guildma相同的基础结构外,Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制,从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。 该木马一旦安装在设备上,其功能与其他移动RAT十分相似,它通过隐藏应用程序中的图标来掩饰自己的存在,并滥用Android的辅助功能来获得持久性,禁用手动卸载并允许银行木马捕获击键信息,操纵屏幕内容并向攻击者提供完全的远程控制。 研究人员表示:“即使用户有适当的屏幕锁定模式,Ghimob也能够记录下来,然后再解锁设备。” “当攻击者准备执行交易时,他们可以插入黑屏作为覆盖或以全屏方式打开某些网站,因此当用户查看该屏幕时,攻击者通过受害者运行的金融应用程序在后台执行交易。” 此外,Ghimob的目标多达153个移动应用程序,其中112个是巴西的金融机构,其余的是德国,葡萄牙,秘鲁,巴拉圭,安哥拉和莫桑比克的加密货币和银行应用程序。 卡巴斯基研究人员总结说:“Ghimob是巴西第一家准备扩展并瞄准居住在其他国家的金融机构及其客户的移动银行木马。” “该木马可以从许多国家/地区窃取银行、金融科技、交易所、加密货币交易所和信用卡数据。”         消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

疫情期间 美国医院成为黑客攻击的重灾区

网络安全咨询公司 CynergisTek 的首席执行官 Caleb Barlow 表示:“我们从未见过如此大规模的攻击事件,实际上它已经对人产生了危害,甚至已经导致某些人死亡。这些攻击已经越过了整个安全业内对此类攻击的安全线”。 在过去几年中,针对医院的大规模网络攻击都是偶然的。通常情况下,是某款勒索软件在传播过程中恰好进入医院。2017年春天,英国国家卫生服务(NHS)就发生了这样的事情,当时WannaCry网络攻击袭击了全球的组织。但最近的两次攻击是故意对医院进行的。在COVID-19大流行期间,它们是一个吸引人的目标,因为它们是如此重要。 计算机安全专家、英国萨里大学教授 Alan Woodward 表示,之所以医院成为目标,还因为有些人支付了赎金来让他们的系统解锁。Woodward 表示:“已经有不少高调的案例,因为有医院已经支付赎款了。而如果你问任何执法机构,他们会说,请不要付钱。这只会继续成为黑客攻击的靶子”。 一些网络犯罪组织承诺在COVID-19大流行期间不针对医院,但今年下半年对医疗机构的攻击增加了一倍。Barlow 说,大多数医疗机构对网络攻击毫无准备,而这场大流行可能会让情况变得更糟。       (消息及封面来源:cnBeta)

卡普空泄密事件新进展:未达成交易黑客已公开部分数据

卡普空在11月4日发布官方公告,称该公司服务器11月2日遭到第三方未授权访问。随后自称为“RAGNAR LOCKER”的黑客组织发布了犯罪声明,表示获取了卡普空超过1TB容量的隐私敏感数据,要求卡普空在日本时间11日上午8点之前与之联系,并达成交易(以比特币形式支付1100万美元)。 而据日媒的最新报道,因为卡普空在11日并未与“RAGNAR LOCKER”进行交易,“RAGNAR LOCKER”已经在“暗网”上公开了卡普空内部信息的一部分(日媒报道为67000MB字节的数据)。目前日本大阪警方已经介入了这起事件,正在进行情报收集工作。 日媒报道称这一次公开的数据主要是公司的销售业绩与薪酬记录,此外还有相关人员的护照及公司内部邮箱等内容。“RAGNAR LOCKER”还发表了“卡普空没有做出正确决定”等声明,他们表示此次公开的数据只是一部分,并威胁“如果想避免数据泄露和巨额诉讼费用等损失,就进行交易”。 卡普空方面在接受采访时解释说:“目前事件还在调查中,还没有确认顾客信息的泄露。关于未授权访问,正在与府警商讨。”       (消息及封面来源:cnBeta)