安全快讯Top News

Sodinokibi 攻击了加州 IT 服务提供商 Synoptek 并获得赎金

Synoptek 是一家总部位于美国加利福尼亚州的IT管理和云托管服务提供商,其在前段时间遭遇了Sodinokibi勒索软件攻击,并向其支付了赎金以解密其文件。 最近几周,Sodinokibi 勒索软件在美国的攻击行动异常活跃,去年12月,美国主要数据中心提供商之一CyrusOne也遭到了该勒索软件的打击。 Synoptek 拥有的客户超过1100个,包括地方政府,金融服务,医疗保健,制造业,媒体,零售和软件。 感染时间发生在12月23日,黑客首先入侵了公司网络,然后安装了勒索软件。 该公司证实了此次攻击,但没有说明是否会向黑客支付赎金。 “12月23日发生了勒索事件,但我们对此采取了应对措施。” Synoptek在周五美国东部时间下午6点之前在推文中写道,“我们立即采取了行动,并正在与客户一起努力解决这个问题。” Synoptek首席执行官蒂姆·布里特(Tim Britt)在一封电子邮件中告诉 CRN,此次攻击仅影响到了Synoptek的部分客户。Britt 称其员工在26号圣诞假期结束之前已经解决了大多数客户的问题。 Sodiniokibi团伙似乎专注于针对美国IT提供商。该恶意软件于2019年8月感染了PercSoft公司,并于12月感染了Complete Technology Solutions的系统。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英国外汇兑换公司 Travelex 因遭到恶意软件攻击暂停服务

据外媒报道,一家大型国际外汇兑换公司证实在12月31日的时候遭到了恶意软件攻击并由此暂停了一些服务。据悉,这家总部位于伦敦的公司在全球经营着1500多家门店。该公司表示,为了保护数据以及阻止恶意软件的进一步传播,作为预防他们将对系统做下线处理。 目前,这家公司的英国网站处于离线状态,当用户登入后会看到“服务器错误”的提示。这家公司网站表示,他们正在升级过程中所以处于离线状态。Travelex通过官推表示,员工现无法在网站上或通过应用进行交易。据称,一些门店甚至采取手动操作的方式来处理客户的请求。 而像Tesco Bank等需要依赖Travelex的公司也因此陷入宕机状态。 不过Travelex指出,截止到目前还没有发现有客户数据遭到泄露,但其并没有就此做详细说明或提供相关证据。   (稿源:cnBeta,封面源自网络。)

小米米家摄像头被爆安全漏洞:谷歌已紧急禁止集成功能

近期,不时有报道称“智能”安全摄像头出现了一些愚蠢的安全问题,而绑定谷歌账号的小米米家安全摄像头发现的严重漏洞更令人担忧。援引外媒Android Police报道,由于小米米家摄像头存在的风险隐患,目前谷歌官方已经宣布在Google Home、Google Assistant设备上禁止绑定小米的集成功能。 谷歌阻止小米访问Assistant: https://www.bilibili.com/video/av81851575?zw 据悉,这个问题最初是由Reddit社区用户/r/Dio-V发现并分享的,他表示他自家的小米米家1080P Smart IP安全摄像头,会通过小米的Mi Home应用/服务连接绑定谷歌账号从而使用Google /Nest设备。Dio-V表示Nest Hub和米家摄像头都是从AliExpress新购买的,摄像头正在运行固件版本3.5.1_00.66。 在尝试访问小米米家摄像头的监控视频时候, 他并没有看到摄像头拍摄的监控视频流,而是显示来自家中其他房间的静态图片。在上传到Reddit社区的8张静态照片中,包括熟睡婴儿、封闭的门廊以及男子在椅子上睡觉的画面。 Dio-V表示反馈回到Google Nest Hub展示的随机静止图像中,还包括Xiaomi/Mijia品牌的日期和时间戳的,而且所显示的时区和他当前所处的时区也不同。从技术上讲,这可能是一场精心策划的恶作剧,但Dio-V提供的证据却相当可信。另外,这些图片也有可能是测试图像,Dio-V无意中访问了调试模式。当然也存在其他可能的解释。 随后谷歌非常重视这个问题,表示:“我们已经意识到了这个问题,并正在与小米联系以进行修复。同时,我们正在禁用设备上的小米集成。”随后外媒Android Police进行了实测,确实发现在Google Home等设备上已经禁用了米家所有产品的集成。     (稿源:cnBeta,封面源自网络。)

受加州新隐私法推动 Firefox 将允许用户删除其收集的数据

据外媒CNET报道,Firefox 浏览器制造商Mozilla表示,它使所有用户都可以更好地控制自己的数据。这项改变是由《加州消费者隐私法案》(CCPA)推动的,该法案于周三正式生效。新的数据隐私法赋予加州居民了解科技公司收集哪些个人数据的权利。它还使人们可以要求公司删除其数据,而不是将其出售。Mozilla表示,根据CCPA进行的更改将适用于每个Firefox用户,而不仅限于加州的用户。 Mozilla在周二发布的一篇博文中表示,它将使Firefox用户可以选择删除该公司在下一版浏览器(该版本将于1月7日发布)中收集的数据。Firefox不会在浏览网站或进行搜索查询时收集数据。Mozilla表示,它将允许用户选择删除遥测数据,其中包括打开了多少标签或会话持续了多长时间。Mozilla称,它使用这些数据来改善Firefox的性能和安全性。 包括微软在内的其他公司也表示,将把新法律要求的权利扩展到加州以外的用户。该公司表示,法律的要求符合其认为隐私是一项基本人权的信念。 出于意识形态或实践原因,可能会有更多公司效仿。一些法律观察家表示,一些公司可能认为为两个州的用户创建两个不同的界面,或者确定哪些用户符合法律规定的加州居民资格是不值得的。此外,其他州也考虑了类似的隐私法,因此未来的要求可能会超出加州。 CCPA还禁止公司歧视依法行使权利的用户,并允许用户起诉公司因疏忽造成的数据泄露。CCPA与欧洲的《通用数据保护条例》相似,该条例于2018年生效。     (稿源:cnBeta,封面源自网络。)

Chrome 扩展程序包含恶意代码,窃取加密钱包私钥

一个 Google Chrome 扩展程序被发现在网页上注入了 JavaScript 代码,以从加密货币钱包和加密货币门户网站窃取密码和私钥。 该扩展名为 Shitcoin Wallet(Chrome 扩展 ID:ckkgmccefffnbbalkmbbgebbojjogffn),于 12 月 9 日启动。 据介绍,Shitcoin Wallet 允许用户管理以太(ETH)币,也可以管理基于以太坊 ERC20 的代币-通常为 ICO 发行的代币(初始代币发行)。用户可以从浏览器中安装 Chrome 扩展程序并管理 ETH coins 和 ERC20 tokens;同时,如果用户想从浏览器的高风险环境之外管理资金,则可以安装 Windows桌面应用。 然而,MyCrypto 平台的安全总监 Harry Denley 则在近日发现了该扩展程序包含恶意代码。 根据 Denley 的说法,对用户而言,该扩展存在有两种风险。首先,直接在扩展内管理的任何资金(ETH coins 和基于 ERC0 的代币)都处于风险中。Denley表示,该扩展会将通过其接口创建或管理的所有钱包的私钥发送到位于 erc20wallet[.]tk 的第三方网站。 其次,当用户导航到五个著名和流行的加密货币管理平台时,该扩展还可以主动注入恶意 JavaScript 代码。此代码将窃取登录凭据和私钥,将数据发送到同一 erc20wallet[.]tk 第三方网站。 根据对恶意代码的分析,该过程如下: 用户安装 Chrome 扩展程序 Chrome 扩展程序请求在 77 个网站上注入 JavaScript(JS)代码的权限 [listed here] 当用户导航到这77个站点中的任何一个时,扩展程序都会从以下位置加载并注入一个附加的 JS 文件:https://erc20wallet[.]tk/js/content_.js 此 JS 文件包含混淆的代码 [deobfuscated here] 该代码在五个网站上激活:MyEtherWallet.com,Idex.Market,Binance.org,NeoTracker.io,和 Switcheo.exchange 一旦激活,恶意 JS 代码就会记录用户的登录凭据,搜索存储在五个服务的 dashboards 中的私钥,最后将数据发送到 erc20wallet[.]tk 目前尚不清楚 Shitcoin Wallet 团队是否应对恶意代码负责,或者 Chrome 扩展是否受到第三方的破坏。 参考消息:https://www.zdnet.com/article/chrome-extension-caught-stealing-crypto-wallet-private-keys/   (稿源:开源中国,封面源自网络。)

Mozilla 宣布将在全球范围内遵守美国加州隐私规定

据外媒报道,Mozilla日前宣布,它计划在新的一年里在全球范围内遵守新的《加州消费者隐私法(CCPA)》,而不只是针对美国西部各州的用户。《CCPA》是一项给加州人更多隐私保护的新法律,类似于欧盟推行的《GDPR》。据悉,CCPA将于当地时间1月1日正式实行。 有了《CCPA》,加州的总检察长将可以加强隐私保护、那些在加州的人也可以起诉那些没有按照该法处理数据的公司。根据《CCPA》,加州用户可以询问公司收集了哪些个人信息、获得访问权限、更新和更正信息、删除信息、了解其跟谁共享这些信息并选择不向第三方出售这些信息等。 Mozilla在声明中指出,它已经收集的用户数据非常少,然而,在即将到来的更新中,Mozilla计划让用户能从Mozilla的服务器上删除他们的遥测数据。在Firefox中,遥测只能提供Mozilla一般信息,比如打开了多少个标签页、打开了多长时间,但其无法知道用户在浏览的具体网站也不会在用户处于私密浏览模式时收集任何数据。 等到1月7日的浏览器更新中,用户将能找到一个可以删除其遥测数据的控件。   (稿源:cnBeta,封面源自网络。)

微软成功清理与朝鲜黑客攻击有关的 50 个域名

外媒报道称,微软刚刚清理了由朝鲜网络黑客组织 APT37 运营的 50 个域名。软件巨头称,这些域名一直被 Thallium(亦称作 PT37)组织用于发动网络攻击。通过持续数月的关注、监视和追踪,该公司数字犯罪部门(DCU)和威胁情报中心(MSTIC)团队得以厘清 Thallium 的基础架构。 12 月 18 日,总部位于雷德蒙德的微软,在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久,美当局即批准了法院命令,允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。 此前,这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点,窃取凭证,从而获得对内部网络的访问权限,并执行后续针对内网的升级攻击。 微软表示,除了追踪该组织的网络攻击,该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示: “攻击主要集中在美、日、韩三国的目标,受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。 在诸多案例中,黑客的最终目标是感染受害机器,并引入 KimJongRAT 和 BabyShark 两个远程访问木马(RAT)。 Tom Burt 补充道:“一旦将恶意软件安装在受害者计算机删,它就会从中窃取信息,保持潜伏并等待进一步的指示”。 当然,这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。 此前,微软曾对有俄方背景的 Strontium(又名 APT28 或 Fancy Bear)黑客组织发起过 12 次行动(上一次是 2018 年 8 月)、并成功撤下了 84 个域名。 以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus(APT35)运营的 99 个域名。   (稿源:cnBeta,封面源自网络。)

继美国之后 韩国也对 TikTok 展开安全调查

据外媒报道,在美国政府封杀并被标记为网络安全威胁之后,TikTok(抖音国际版)现在韩国也面临着类似的问题,出于安全考虑,韩国地方当局宣布调查这款应用。日前, 韩国通信委员会(KCC)宣布对TikTok展开调查,此前自由韩国党众议员Song Hee-kyeoung曾在10月发布警告称,这家中国公司可能对个人信息处理不当。 Song指出,TikTok收集的某些用户信息可能会跟中国政府共享。 根据KoreaTimes的一份报告,TikTok在韩国拥有400万用户,不过目前韩国当局并没有对该应用或其母公司字节跳动(ByteDance)实施制裁。 字节跳动曾在最近的一份声明中表示,该应用必须在多国需要处理的法律问题并不意味着他们会把TikTok卖掉。 有知情人士在本月早些时候表示,字节跳动正在考虑出售TikTok的可能性,原因是越来越多的政府表达了对该应用存在的安全问题的担忧。 字节跳动尚未就韩国发起的调查发表声明。   (稿源:cnBeta,封面源自网络。)

物联网供应商 Wyze 确认服务器发生泄露

据外媒ZDNet报道,Wyze是一家销售安全设备(如安全摄像头、智能插头,智能灯泡和智能门锁)的公司,该公司周日证实发生了服务器泄露,大约240万客户的详细信息遭泄露。Wyze联合创始人在圣诞节期间发表的论坛帖子中说,泄露是在内部数据库意外在线暴露之后发生的。 该公司表示,公开的数据库-一个Elasticsearch系统-不是生产系统;但是,服务器正在存储有效的用户数据。Elasticsearch服务器是一种用于支持超快速搜索查询的技术,旨在帮助该公司对大量用户数据进行分类。该公司表示:  ‘’为了帮助管理Wyze的快速增长,我们最近启动了一个新的内部项目,以寻找更好的方法来衡量基本的业务指标,例如设备激活,连接失败率等。 我们从主要生产服务器复制了一些数据,并将其放入更灵活的数据库中,以便于查询。最初创建此新数据表时,该表受到了保护。但是,Wyze员工在12月4日使用此数据库时犯了一个错误,并且该数据的先前安全协议已删除。我们仍在调查此事件,以找出原因和发生方式。” 泄露的服务器是由网络安全咨询公司Twelve Security发现并记录的,并由IPVM(一个致力于视频监控产品的博客)的记者进行了独立验证。 Wyze公司对Twelve Security和IPVM如何处理数据泄漏公开表示不满,在公开调查结果之前,Wyze仅用了14分钟的时间解决了泄露问题。 “我们是12月26日上午9:21通过IPVM.com的记者通过支持票与我们联系的。该文章几乎是在紧随其后发布的(上午9:35发布到Twitter)。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10:00时已从阅读该文章的社区成员那里获悉了这篇文章。” Wyze确认泄露的服务器暴露了详细信息,例如用于创建Wyze帐户的客户电子邮件地址,分配给Wyze安全摄像机的昵称用户,WiFi网络SSID标识符以及对于24000位用户而言的Alexa令牌,这些令牌将Wyze设备连接到Alexa设备。 Wyze高管否认Wyze API令牌是通过服务器公开的。Twelve Security在其博客文章中声称,他们找到了API令牌,他们说这些令牌可以使黑客从任何iOS或Android设备访问Wyze帐户。不过Wyze否认了Twelve Security的说法,即他们正在将用户数据发送回阿里云服务器。 第三,Wyze还澄清了Twelve Security声称Wyze正在收集健康信息的说法。该公司表示,他们只从140个正在对新的智能秤产品进行Beta测试的用户中收集健康数据。 Wyze没有否认其收集的身高,体重和性别信息。但是,他确实否认了其他方面。 “我们从未收集过骨密度和每日蛋白质摄入量。我们希望我们的规模如此之大。” 就目前而言,涉及此泄露的披露三方在此特定泄露事件的细节方面似乎不一致。无论哪种方式,Wyze都表示决定从所有帐户中强制注销所有Wyze用户,并且与所有第三方应用程序集成不同,这两个步骤将在用户重新登录并重新链接Alexa设备到Wyze帐户后生成新的Wyze API令牌和Alexa令牌。   (稿源:cnBeta,封面源自网络。)

新发现!FIN7 的新型装载程序应用在 Carbanak 后门

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序,该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现,被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃,活动目标是窃取全球范围内的企业支付卡信息,目前疑似已经袭击了100多家美国公司,袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月,臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉,并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外,BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看,BOOSTWRITE也是一个与FIN7组织相关联的加载程序,它也能够将恶意软件直接放入内存,但BIOLOAD通过二进制植入技术,采用dll的劫持方法,将恶意代码加载到合法程序中。 在研究过程中,Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库,这个链接库从windows 10 1803中开始清理安装Windows OS.此外,研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看,BIOLOAD装载机样本于分别2019年3月和7月进行了编制,而BOOSTWRITE样本于5月编制。在加载器上,BIOLOAD不支持多个有效载荷,而使用XOR来解密有效载荷,并不是ChaCha密码。在秘钥连接上,BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示,BIOLOAD加载器主要被用来进行程序攻击,并进行Carbank病毒传输。专家发现,这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明:BIOLOAD是由FIN7网络犯罪集团开发的,很可能是BOOSTWRITE的前身。 Fortinet因此得出结论:“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件,Fin7拥有最新工具的共享代码库,以及同样的技术和后门,导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议:由于加载程序是专门为每台目标计算机构建的,需要管理权限才能部署,因此建议相关部门要注意收集有关目标网络的信息。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文