安全快讯Top News

Zerodium 正在搜集 Windows VPN 客户端零日漏洞

在今天的一条短推文中,漏洞悬赏公司Zerodium表示,他们正在征集零日漏洞,针对市场上三家流行的虚拟专用网(VPN)服务提供商。 VPN服务通过提供商的服务器运行连接,允许用户隐藏其IP地址访问互联网上的资源, 这种路径使第三方更难跟踪用户的在线活动,保护了互联网上的隐私。 针对Windows的VPN客户端 Zerodium目前关注的是影响Windows客户端NordVPN、ExpressVPN和SurfShark VPN服务的漏洞。它们共同服务着数百万用户,据报道,前两家公司声称全球至少有1700万用户。 根据这三家公司网站上的数据,它们管理着分布在数十个国家的1.1万多台服务器。 Zerodium今天发布的公告呼吁找出可能泄露用户信息、IP地址和可用于实现远程代码执行的漏洞。Zerodium不想要的是本地权限升级漏洞。 BleepingComputer联系了这三家VPN服务提供商,希望就Zerodium的声明发表评论,但在发布时没有收到回复。 Zerodium的客户群体由政府机构组成,主要来自欧洲和北美,这些机构需要先进的零日漏洞和网络安全能力。 Zerodium声明背后的原因尚不清楚,但其中一个动机可能是,政府客户需要一种方法来识别隐藏在VPN服务背后的网络犯罪活动。 NordVPN和Surfshark过去曾被攻击者使用。 去年,美国联邦调查局(FBI)警告说,伊朗黑客利用NordVPN服务进行虚假的骄傲男孩(ProudBoy)行动。 最近的一个例子是美国国家安全局(NSA)今年警告说,俄罗斯黑客通过TOR和VPN服务(其中包括Surfshark和NordVPN)对Kubernetes服务器发起了暴力破解攻击。 Zerodium公司表示,其业务遵循道德规范,根据严格的标准和审查程序选择客户;而且只有一小部分政府客户能够获得已有的零日研究。 今年早些时候,Zerodium宣布暂时增加对Chrome漏洞的悬赏。Zerodium提供了100万美元,用在可将RCE与SBX链接起来的漏洞。 在Chrome有关的漏洞中,RCE和SBX的奖金分别增加到40万美元。在撰写本文时,这些悬赏仍在进行中。 Zerodium为移动端和电脑端的任何操作系统都提供付费服务。最主要适用于Windows、macOS、LinuxBSD、iOS和Android。 BleepingComputer联系了Zerodium公司,希望获得更多关于Windows的VPN客户端开发的信息,但在发布时没有得到回复。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

与勒索软件有关的比特币交易价值达52亿美元

美国政府的一份报告发现,攻击者越来越频繁地使用先进的战术来模糊和清洗他们的非法所得。 根据美国财政部金融犯罪执法网络(FinCEN)的一份报告,价值高达52亿美元的比特币交易可能与勒索软件支付挂钩,涉及最常见的10种勒索软件变体。 该报告还研究了今年上半年与勒索软件有关的可疑活动报告(SARs),即金融机构制作的关于可疑勒索软件付款的报告。该机构表示:“上述报告显示,2021年上半年,可疑活动涉及总价值为5.9亿美元,超过了2020年全年报告的总值(4.16亿美元)。”毫不奇怪,机构分析后发现勒索软件对政府、企业和公众的威胁越来越大。 与勒索软件有关的可疑交易的平均总额为每月6600万美元;与此同时,中位平均数为每月4500万美元。根据从这些交易中获得的数据,比特币是网络犯罪分子的首选支付方式。然而,这并不是唯一的一种,因为FinCEN指出,犯罪分子越来越多地要求用门罗币(Monero)支付赎金(Monero是一种匿名加密货币)。 总共有17起与勒索软件有关的SARs涉及勒索要求使用门罗币。在某些情况下,网络罪犯同时提供比特币和门罗币地址,但是,如果使用比特币付款,他们要求额外付费。在其他情况下,攻击者最初只会要求Monero支付赎金,但经过协商后也接受比特币。 网络犯罪分子利用各种洗钱策略,包括越来越多地要求以注重隐私的加密货币付款,避免将钱包地址用于新的攻击,或单独清洗每次勒索软件攻击的收益。报告还发现,外国中央CVC交易所是攻击者兑现非法所得的首选方式。 为了掩盖数字硬币的出处,网络犯罪分子还使用了“跳链”,这一过程包括将收入转移到其他服务之前,将一个CVC与另一个CVC至少交换一次。2021年,混合服务的使用也有所增加,这些平台用于隐藏或掩盖CVC的来源或所有者。有趣的是,FinCEN观察到混合服务的使用因勒索软件的不同而不同。 勒索软件的非法收益也可以通过分散的交易所和各种其他分散的金融应用程序获得,通过将付款转换为其他形式的CVC进行洗钱。“一些DeFi应用程序允许自动对等交易,不需要账户或保管关系。FinCEN对BTC区块链上交易的分析证实,资金是间接发送到与开放协议相关的地址的勒索软件,用于DeFi应用程序。”FinCEN在描述过程时如是说。   消息来源:WeLiveSecurity,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

80% 的勒索软件受害者会考虑支付赎金来恢复数据

一项针对250多名勒索软件受害者的新调查显示,超过一半的人在过去一年中被勒索软件攻击过,69%的人说他们很可能在未来一年中至少被成功攻击一次。那些被勒索软件成功击中的人更倾向于支付费用,65%的人确实这样做了,然而,完全恢复数据的情况只占55%。当被问及支付意愿时,13%的人说他们肯定会,但只有20%的人说他们肯定不会。 这项研究是由CISOs Connect、AimPoint Group和W2 Communications进行的。 虽然支付赎金息事宁人的行为仍然是有争议的,并且是许多辩论的主题,但抛开道德和法律的争议而言,同样需要关注恢复业务运营的财务影响。这是可以理解的,因为一次攻击的总成本,包括缓解危害、恢复业务和可能的指出,数额大的可能达到数百万美元。据受访者称,勒索软件受害者有20%的机会支付超过500万美元,有5%的机会影响可能超过5000万美元。 调查中只有55个组织采取了购买勒索软件保险的措施,而且其中大多数是在较大的组织,这意味着小企业更容易受到勒索软件影响。 “我们的数据显示,虽然勒索软件的肆虐正在推动一些有关预防与应对的倡议和规划,但许多努力可能仍然是孤立的,”CISOs Connect的首席执行官兼创始人Aimee Rhodes说。”这就造成了某些领域的暴露,随着这些攻击的继续加速,可能会造成问题。根据CISO的反馈,许多人将受益于一种更全面的方法,使他们不仅为预防和检测勒索软件做好准备,而且还为可能的财务影响做好准备。” 你可以在下面的信息图中看到更多的发现。   (消息及封面来源:cnBeta)

实验发现被盗数据在暗网的传播速度比以往任何时候都快

根据Bitglass的最新研究,今天暗网被盗数据的传播速度是六年前的11倍。2021年,漏洞数据的浏览量超过13200次,而2015年的浏览量为1100次,增长了1100%。在2015年,达到1100个链接浏览量需要12天 — 在2021年,通过这个里程碑需要不到24小时。 Bitglass威胁研究小组的领导人Mike Schuricht说:”我们预计,数据泄露的数量不断增加,以及网络犯罪分子有更多的渠道将渗出的数据货币化,导致人们对暗网被盗数据的兴趣和活动增加。” 在其他发现中,2021年暗网上的匿名用户数量(93%)超过了2015年(67%)。今年的实验还表明,匿名观众对零售和政府数据特别感兴趣,分别占36%和31%。在Bitglass研究人员在暗网上故意播种的所有实验用数据类型中,访问零售商和美国政府网络的数据获得的点击率最高,分别为37%和32%。 “在将这次最新的实验结果与2015年的实验结果相比较,很明显,暗网的数据传播得更远、更快,”Schuricht补充说。”不仅如此,网络犯罪分子越来越善于掩盖他们的踪迹,并采取措施来逃避起诉网络犯罪的执法工作。不幸的是,企业保护数据的网络安全工作没有跟上步伐,关于最新数据泄露事件的头条新闻不断涌现就是证明。正如我们六年前建议各组织,他们必须使用最佳做法和新技术来保护他们的数据。”   (消息及封面来源:cnBeta)

宏碁印度售后服务系统再遭网络攻击 多达 60 GB 数据正在被出售

电子科技巨头宏碁(Acer)披露了其在印度的售后服务系统在一次孤立攻击后遭受的安全漏洞,这是今年该公司主动披露的第二次网络安全事件,公司透露,其在印度的售后服务系统遭到孤立攻击。该事件是在威胁行为者在一个地下网络犯罪论坛上发布销售超过60 GB数据的广告后披露的。 以下是该公司与媒体分享的声明: “我们最近检测到我们在印度当地的售后服务系统受到孤立攻击。此事一经发现后,我们立即启动了安全预案并对我们的系统进行了全面扫描。我们正在通知印度所有可能受影响的客户。该事件已报告给当地执法部门和印度计算机应急响应小组,对我们的运营和业务连续性没有重大影响。” 宏碁企业传播部的 Steven Chung 告诉媒体。 攻击者分享了一个指向被盗文件和数据库的链接,被盗信息包括来自印度的宏碁零售商和分销商的客户数据、财务信息、登录详细信息。攻击者还在地下交易论坛发布了一段视频,展示了被盗文件的数据库。 这是Acer今年第二次遭遇网络安全问题,今年3月,这家计算机巨头遭到 REvil 勒索软件运营商的攻击,该运营商破坏了其系统并要求支付创纪录的 50000000 美元赎金。   (消息及封面来源:cnBeta)

Symantec 发现新黑客组织 Harvester

一个不为人知的国家支持的攻击者正在部署一套新的工具,以攻击南亚的电信供应商和IT公司。 Symantec的研究人员发现了这一组织,并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。 Harvester的恶意工具以前从未发现过,这表明这是一个新出现的攻击者。 “Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具,该攻击始于2021年6月,最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。 “这些工具的能力,它们的定制开发,以及目标受害者,都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。 以下是Harvester在攻击中使用的工具: Backdoor.Graphon ——自定义后门,它使用微软的基础设施进行C&C活动 自定义下载程序——使用微软的基础设施为其C&C活动服务 自定义屏幕快照——定期记录屏幕截图到一个文件 Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件) Metasploit——一个现成的模块化框架,可用于完成感染机器上的各种恶意目的,包括特权升级、屏幕捕获、设置持久后门等。 巧妙的技巧和安全的通讯 虽然Symantec的分析师无法找出最初的感染载体,但有一些证据表明,有人使用了恶意URL。 Graphon为攻击者提供了对网络的远程访问,它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。 一个有趣的地方是自定义下载器的工作方式,它在系统上创建必要的文件,为新的加载点添加注册表值,最终在hxxps://usedust[.]com打开嵌入式web浏览器。 虽然这似乎是获取Backdoor.Graphon的地方,参与者只是使用URL作为诱饵,来制造混淆。 自定义截图工具从桌面捕获照片,并将它们保存到一个密码保护的ZIP档案,通过Graphon导出。每个ZIP保存一周,任何比这个时间更久的文件都会被自动删除。 Symantec警告说,Harvester仍然活跃,目前主要针对阿富汗的组织。 尽管研究人员能够对这个新群体的工具进行取样,但他们还没有足够的证据将这种活动归因于某个特定的国家。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基称 Lyceum 再次现身

Lyceum是一个已为人知的黑客组织,与针对中东组织的攻击有关,如今它带着新的恶意软件和策略重新露面,而这个策略与一个在伊朗运作的危险的APT组织所使用的相似。 卡巴斯基的安全研究人员表示,他们观察到新的Lyceum活动集中在突尼斯的两个实体。卡巴斯基对攻击的分析显示,Lyceum的恶意软件已经从以前的PowerShell脚本和基于.NET的远程管理工具DanBot演变为用c++编写的新恶意软件。 卡巴斯基根据他们在这个恶意代码中经常遇到的名字,将这种新的恶意软件分成了两组变种,一组叫詹姆斯,另一组叫凯文。这两种新的变种——像DanBot那样——都被设计成通过安全的DNS和HTTP隧道与它们的命令和控制服务器通信,这使得恶意活动难以被检测。 除了新的詹姆斯和凯文恶意软件变种,卡巴斯基还观察到Lyceum在其最近的攻击中使用了另一个工具,该工具似乎不包含任何网络通信机制。该公司推测,恶意软件可能是设计用来代理一个已经被泄露的网络内部系统之间的流量。Lyceum的工具包中还新增了一个PowerShell脚本,用于从浏览器中窃取用户凭证,以及一个自定义键盘记录器,看起来似乎是为相同目的设计的。 卡巴斯基在一份总结本周Lyceum活动的报告中表示,“我们对Lyceum的调查显示,该组织多年来已经发展了自己的武器库,并将其使用在新的工具上。” Lyceum首次出现被发现是在2019年8月,当时Secureworks报告称,观察到该集团针对中东石油、天然气和电信行业的组织。Secureworks称,该威胁组织可能至少从2018年4月开始就活跃了,与Lyceum相关的攻击是基于域名注册,专注南非目标。 Secureworks表示,其调查显示,Lyceum通常利用之前通过密码喷溅或暴力破解获得的账户凭证,获得进入目标网络的初始权限。该组织的战术、技术和程序(TTPs)与其他组织的战术、技术和程序相似,那些组织专注于具有重要战略意义的中东目标,如OilRig (APT34)和Cobalt Trinity (APT33和Elfin)。然而,Secureworks指出,这些相似之处还不足以证明Lyceum与其他威胁组织之间存在直接联系。 卡巴斯基本周重申了这些相似之处,但与Secureworks一样,他没有将Lyceum的活动与此前已知的伊朗威胁分子的活动直接联系起来。据该公司分析,Lyceum的活动与另一个名为DNSpionage的威胁行为者的活动在高层次上有某些相似之处,该威胁行为者在2018年被观察到使用DNS重定向攻击黎巴嫩和阿拉伯联合酋长国的目标。卡巴斯基说,DNSpionage与OilRig的活动有关。Lyceum和DNSpionage的相似之处包括:目标位于相同区域、利用DNS和假网站来隧道指挥和控制流量、以及相似的用来引诱受害者点击恶意附件的文件。 除了对调查结果的总结外,卡巴斯基本周还发布了一份来自最近一次会议的报告,提供了关于Lyceum新活动的技术细节。   消息来源:DarkReading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

阿根廷全国人口身份证信息遭黑客盗取并正在对外兜售

据外媒The Record报道,一名黑客入侵了阿根廷政府的IT网络并盗取了该国全部人口的身份证信息,这些数据现在正在私人圈子里出售。上月发生的黑客攻击目标是RENAPER,即Registro Nacional de las Personas,翻译过来就是国家人员登记处。 该机构是阿根廷内政部的一个关键部门,它的任务是向所有公民发放国家身份证,另外它还以数字格式存储数据以作为其他政府机构可以访问的数据库并成为大多数政府查询公民个人信息的骨干。 足球运动员梅西和塞尔希奥·阿圭罗的数据在Twitter上被泄露 本月初,一个名为@AnibalLeaks的新注册账号在Twitter上公布了44位阿根廷名人的身份证照片和个人详细资料,这是有人入侵RENAPER的第一个证据。 这包括该国总统阿尔贝托·费尔南德斯、多名记者和政治人物的详细信息,甚至包括足球巨星梅西和塞尔希奥·阿圭罗的数据。 该名黑客在图片和个人信息在Twitter上公布一天后还在一个知名的黑客论坛上发布广告以提供查询任何阿根廷用户的个人信息的服务。 面对Twitter泄密事件后媒体的退缩,阿根廷政府在三天后确认了安全漏洞。 该国内政部在10月13日的一份新闻稿中指出,其安全团队发现,分配给卫生部的一个VPN账户被用来查询RENAPER数据库的19张照片,就发生在这些照片在社交网络Twitter上发布的那一刻。 官员们还补充称,“(RENAPER)数据库没有遭受任何数据泄露或泄漏,当局目前正在调查8名政府雇员在泄漏事件中可能扮演的角色。 黑客拥有一份数据副本并计划出售和泄露数据 The Record在联系了在黑客论坛上租借RENAPER数据库的个人后了解到,黑客他们还拥有一份RENAPER数据的副本,这跟阿根廷政府的官方声明相矛盾。 这个人通过提供The Record选择的一位阿根廷公民的个人资料–包括高度敏感的Trámite号码–证明了他们的声明。 “也许几天后我就会公布100万或200万人口的(数据),”RENAPER黑客于今天早些时候告诉这家媒体。另外他们还表示,他们计划继续向所有感兴趣的买家出售这些数据的访问权。 当The Record分享了政府新闻稿的链接–其中官员将入侵归咎于可能受到损害的VPN账户时,黑客只是回答称“是粗心的员工所为”,这间接确认了进入点。 根据黑客在网上提供的样本,他们现在能接触到的信息包括全名、家庭住址、出生日期、性别信息、身份证签发和到期日期、劳工识别码、Trámite号码、公民号码和政府的身份证照片。 阿根廷目前估计有超过4500万人口,但目前还不清楚数据库中有多少条目。不过黑客称拥有一切。 这是继2017年和2019年Gorra泄密事件后该国历史上遭遇的第二次重大安全漏洞,当时黑客分子泄露了阿根廷政治家和警察部队的个人信息。   (消息及封面来源:cnBeta)

英国学校使用面部识别技术验证与收取学生的午餐费

英国的九所学校已经开始使用面部识别来验证儿童的校餐付款,苏格兰北艾尔郡的学校声称,使用该技术比使用卡片或指纹扫描仪付款更快、更卫生,但隐私倡导者警告说,此举正在使得生物识别监控正常化。 “有了面部识别技术,学生只需选择他们的饭菜,看着摄像头就可以走了,这使得午餐服务更快,同时消除了在销售点的任何接触,”学校发给家长的传单上写道。一份常见问题解答说,儿童的生物识别数据是以加密形式存储的,并在儿童离开学校时删除。不过,家长可以选择让孩子使用该技术,也可以使用密码来验证付款。 负责安装该技术的公司CRB Cunninghams的总经理大卫-斯旺斯顿告诉《金融时报》,面部识别将每个学生的付款时间平均缩短到5秒。斯旺斯顿说,该系统的试点已于2020年开始,还有65所学校已签约引进该技术。 据英国《金融时报》报道,北艾尔郡议会声称,97%的儿童或家长都同意加入。但一些家长表示,他们不确定孩子们是否完全理解他们所签署的内容,并受到同伴压力的影响。 在报名前,学校向家长分发了一份解释该技术的传单 各种类型的面部识别系统在世界各地越来越普遍。美国的学校多年来一直在安装这种系统,不过通常是作为一种安全措施。上周,莫斯科在其地铁系统中引入了面部识别支付,活动人士警告说,该技术可能被用来追踪和识别抗议者。美国的多个州和城市已经禁止面部识别,认为该技术经常在种族或性别方面存在偏见。在欧盟,政治家和宣传团体也在呼吁禁止这项技术,认为引进这项技术的弊端超过了潜在的好处。 英国运动团体Big Brother Watch的Silkie Carlo告诉《金融时报》,北艾尔郡学校的计划是不必要的。卡洛说:”这是将生物识别身份检查常态化,以用于一些平凡的事情。你不需要借助机场式的[技术]来让孩子们获得他们的午餐。”   (消息及封面来源:cnBeta)

Tor 网站被劫持,REvil勒索软件再次关闭

在一个不明身份的人劫持了他们的Tor支付门户网站和数据泄露博客后,REvil勒索软件可能再次关闭。 17日早些时候, Tor网站下线了,一名与REvil勒索软件有关的威胁行为者在XSS黑客论坛上发帖称有人劫持了REvil团伙的域名。 这个帖子最先是被Recorded Future的Dmitry Smilyanets发现的,并声称一个未知的人劫持了Tor隐藏服务(洋葱域),他们使用的私钥与REvil的Tor网站相同,并且很可能有这些网站的备份。 “今天莫斯科时间中午12点10分,有人使用与我们相同的密钥,打开了隐藏的着陆服务和一个博客,我的担心得到了证实——第三方有洋葱服务密钥备份。一个名为“0_neday”的威胁行为者在黑客论坛上发帖。 此人还说,他们没有发现他们的服务器受到威胁的迹象,但仍将关闭操作。 然后,此人让组织通过Tox联系他,获取活动解密密钥,可能是为了让组织继续勒索受害者,并继续沿用赎金换取解密器的模式。 XSS论坛话题:关于REvil网站被劫持 要启动Tor隐藏服务(一个洋葱域),需要生成一个私有和公共密钥对,用于初始化服务。 私钥必须是安全的,并且只有受信任的管理员可以访问,因为任何访问此私钥的人都可以使用它在自己的服务器上启动相同的洋葱服务。 由于第三方能够劫持域名,这意味着他们也可以访问隐藏服务的私钥。 17日晚上,0_neday再次发布了黑客论坛的话题,但这次说他们的服务器被入侵了,做这件事的人的目标是REvil组织。 论坛上的帖子说REvil服务器遭到破坏 目前还不知道是谁泄露了他们的服务器。 由于Bitdefender和执法部门获得了REvil主解密密钥的访问权,并发布了一个免费的解密器,一些威胁行为者认为,自从这些服务器重新启动以来,FBI或其他执法部门已经可以访问这些服务器。 由于没有人知道Unknown(REvil公开代表)身上发生了什么,有可能是威胁行为者试图重新控制操作。 在REvil通过Kaseya MSP平台上的一个零日漏洞对企业进行大规模攻击后,REvil的业务突然关闭,其面向公众的代表Unknown也消失了。 之后,Unknown没有再次出现,其余的REvil运营商使用备份在9月再次启动了该操作和网站。 从那时起,勒索软件就一直在努力招募用户,甚至将附属公司的佣金提高到90%,以吸引其他威胁行为者与他们合作。 由于这次最新的不幸事件,该论坛的运作可能会永远消失。 然而,对于勒索软件而言,它可能并不会如人们所愿,我们可能很快就会看到它们套上新马甲再次登场。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接