安全快讯Top News

去中心化金融平台 BadgerDAO 遭黑客攻击 损失超过 1.2 亿美元

周三晚间,有黑客从连接到去中心化金融平台 BadgerDAO 的多个加密货币钱包中窃取了价值 1.2 亿美元的各种代币。目前 Badger 已经和区块链安全和数据分析公司 Peckshield 合作调查本次事件。 目前相关的调查仍在进行中,不过 Badger 团队基于初期的调查结果告诉用户,这个问题来自于有人在其网站的用户界面中插入了一个恶意脚本。对于任何在脚本激活时与网站互动的用户,它将拦截 Web3 交易并插入一个请求,将受害者的代币转移到攻击者选择的地址。 由于交易的透明性,我们可以看到一旦攻击者扑空后发生了什么。PeckShield 指出,有一次转账将 896 个比特币拖入攻击者的库房,价值超过 5000 万美元。根据该团队的说法,恶意代码早在 11 月 10 日就出现了,因为攻击者在看似随机的时间间隔内运行它以避免被发现。 去中心化金融(DeFi)系统依靠区块链技术,让加密货币所有者进行更典型的金融操作,如通过借贷赚取利息。BadgerDAO 向用户承诺,他们可以“高枕无忧地知道你永远不必放弃你的加密货币的私钥,你可以随时提款,而且我们的战略家正在日夜工作,让你的资产发挥作用”。其协议允许拥有比特币的人通过其代币将他们的加密货币”桥接”到以太坊平台上,并利用他们可能无法获得的DeFi机会。 Badger 在发现这些未经授权的转移之后,它就暂停了所有的智能合约,基本上冻结了它的平台,并建议用户拒绝向攻击者的地址进行所有交易。周四晚上,该公司表示,它已经“聘请了数据取证专家 Chainalysis 来探索事件的全部规模,美国和加拿大的当局已经被告知,Badger 正在与外部调查充分合作,并继续进行自己的调查”。   (消息及封面来源:cnBeta)

洛杉矶计划生育协会遭勒索攻击 数十万患者个人信息被泄露

援引《华盛顿邮报》报道,发生于今年 10 月的勒索软件攻击中,黑客获取了包含数十万名洛杉矶计划生育协会患者个人信息的文件。在致受影响患者的致歉信中,计划生育协会表示该文件包含患者的姓名、地址、保险信息、出生日期和临床信息,如诊断、手术和/或处方信息。 计划生育协会表示,该机构网络是在 10 月 9-17 日之间感染勒索软件的。17日,该组织注意到了这一入侵,将其系统下线,并联系了执法部门和网络安全调查人员。据 CNN 报道,到 11 月初,该组织已经确定了黑客访问的内容,但对攻击的实施者仍然一无所知。 洛杉矶计划生育协会的一位发言人告诉《华盛顿邮报》,这些信息似乎没有被“用于欺诈目的”,并告诉 CNN,这似乎不是一次有针对性的攻击。但是,如果黑客选择出售这些数据,鉴于其极其敏感的性质,这些数据可能很有价值–计划生育协会不仅提供堕胎服务,还提供生育控制、性病检测和对变性患者的激素治疗,以及其他一系列医疗服务。据 CNN 报道,这些数据只限于洛杉矶的计划生育协会。   (消息及封面来源:cnBeta)

MonoX 宣布因漏洞导致被黑客窃取 3100 万美元

区块链初创公司 MonoX Finance 周三表示,由于软件中用于起草智能合约部分存在漏洞,已经被黑客已经成功窃取了 3100 万美元。该公司使用一种被称为 MonoX 的去中心化金融协议,让用户在没有传统交易所的一些要求的情况下交易数字货币代币。 MonoX 公司代表表示:“项目所有者可以在没有资本要求负担的情况下列出他们的代币,并专注于将资金用于建设项目,而不是提供流动性。它的工作原理是将存入的代币与vCASH组合成一个虚拟对,以提供一个单一的代币池设计”。 MonoX Finance 在一篇文章中透露,该公司软件中的一个会计错误让攻击者抬高了 MONO 代币的价格,然后用它来兑现所有其他存放的代币。这笔交易相当于以太坊或 Polygon 区块链上价值 3100 万美元的代币,这两个区块链都是由 MonoX 协议支持的。 具体来说,黑客使用相同的代币作为tokenIn和tokenOut,这是用一种代币的价值交换另一种的方法。MonoX在每次交换后通过计算两个代币的新价格来更新价格。当交换完成后,tokenIn的价格–即用户发送的代币–减少,tokenOut的价格–或用户收到的代币–增加。 通过在tokenIn和tokenOut中使用相同的令牌,黑客大大抬高了MONO令牌的价格,因为tokenOut的更新覆盖了tokenIn的价格更新。然后黑客在以太坊和Polygon区块链上用该代币兑换了价值3100万美元的代币。   (消息及封面来源:cnBeta)

研究发现 17 种恶意框架用于攻击空隙网络

Hackernews 编译,转载请注明出处:消息来源: 仅在2020年上半年就发现了四种不同的用于攻击实体隔离(air-gapped)网络的恶意框架,此类工具包的总数达到17个,并为黑客提供了网络间谍和机密信息外泄的可乘之机。 “所有的框架都被设计成执行某种形式的间谍活动,所有的框架都使用 USB 驱动器作为物理介质,在目标实体隔离网络中传输数据,”ESET 研究人员 Alexis Dorais-Joncas 和 Facundo Muñoz 在一份对这些框架的综合研究报告中说。 实体隔离是一种网络安全措施,旨在通过物理隔离系统与其他不安全的网络,包括局域网和公共互联网,防止未经授权访问系统。这也意味着传输数据的唯一方法是使用物理设备连接,例如 USB 驱动器或外部硬盘。 鉴于该机制是 SCADA 和工业控制系统(ICS)采取防御的最常见方式之一,受到机构支持或参与国家行动的 APT 组织越来越多地将目光投向关键基础设施,希望利用恶意软件渗透实体隔离的网络,以监视有价值的目标。 这家斯洛伐克网络安全公司表示,不少于75% 的框架是利用 USB 驱动器上的恶意 LNK 或 AutoRun 文件对实体隔离系统的初步破坏,或者在实体隔离网络中横向移动。 Some frameworks that have been attributed to well-known threat actors are as follows — 以下是一些众所周知的攻击者的框架: Retro ( DarkHotel 又名 apt-c-06或 Dubnium) Ramsay  (DarkHotel) USBStealer ( APT28 ,又名 sedinit,Sofacy,或 Fancy Bear) USBFerry ( Tropic Trooper ,又名 apt23或Pirate Panda) Fanny  ( Equation Group  ) USBCulprit  ( Goblin Panda ,又名 Hellsing 或 cycdek) PlugX  ( Mustang Panda ) ,以及 Agent.BTZ ( Turla Group ) 研究人员解释说: “所有的框架都设计了自己的方式,但它们都有一个共同点: 毫无例外,它们都使用了武器化的 USB 驱动器。”。“连接框架和离线框架之间的主要区别在于驱动器是否是武器化的。” 连接框架通过在连接系统中部署恶意组件来工作,该系统监视新 USB 驱动器的插入,并自动将攻击代码放置在气隙系统中,而像 Brutal Kangaroo、 EZCheese 和 ProjectSauron 这样的离线框架则依靠攻击者先感染自己的 USB 驱动器来从后门攻击目标机器。 作为预防措施,携带关键信息系统和敏感信息的组织应该谨防对连接系统的直接电子邮件访问,禁用 USB 端口和清理 USB 驱动器,限制可移动驱动器上的文件执行,并定期分析气隙系统中是否有任何可疑活动的迹象。 “保持一个完全实体隔离系统可以提供了额外的保护,” Brutal Kangaroo说。“但是,就像所有其它安全机制一样,实体隔离不是一种万灵药,也不能防止黑客利用系统更新不及时或员工不良操作导致的漏洞。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Endicott 被判 10 个月监禁 曾参与 SIM 卡劫持活动

美国司法部本周宣布,伴随着现年 22 岁的密苏里州居民加勒特·恩迪科特(Garrett Endicott)被判刑,知名国际黑客组织“The Community”所有 6 名成员均已落网并判刑。他们此前曾施行了 SIM 卡劫持活动,从受害者手中窃取了价值数百万美元的加密货币。 图片来自于 publicdomainpictures Endicott 因参与该活动被判处 10 个月监禁,并被命令支付 121549 美元的赔偿金。SIM 劫持,也被称为 SIM 交换,是一种攻击者控制目标电话号码的技术,允许他们接收短信和其他形式的双因素认证(2FA)代码,然后可以用来登录受害者的电子邮件,云存储,并最终登录他们的加密货币交易所账户。 据检察官称,在 The Community 的案件中,SIM 卡劫持活动“通常是通过贿赂移动电话供应商的员工来促成的”。其他时候,SIM卡劫持是通过社区成员联系移动电话供应商的客户服务–冒充受害者–并要求将受害者的电话号码换成社区控制的SIM卡(从而控制移动设备)来完成的。 该计划导致数千万美元的加密货币被盗。来自美国各地的个人,包括加利福尼亚州、密苏里州、密歇根州、犹他州、德克萨斯州、纽约州和伊利诺伊州,损失的加密货币价值(在被盗时)从2000美元以下到500万美元以上。司法部表示,被判刑的被告人涉及的盗窃总额从大约5万美元到超过900万美元不等。 Endicott 被判处的刑罚比社区的其他成员要轻。佛罗里达州居民Ricky Handschumacher被判处四年监禁,并被罚款760多万美元;爱荷华州居民Colton Jurisic被判处42个月监禁,并被命令支付950多万美元;南卡罗来纳州居民Reyad Gafar Abbas被判处两年监禁并被罚款31万多美元。 爱尔兰公民康纳-弗里德曼(Conor Freedman)此前被爱尔兰法院判处三年监禁,而康涅狄格州居民瑞安-史蒂文森(Ryan Stevenson)被判处缓刑。两人都被命令支付某种形式的赔偿金。   (消息及封面来源:cnBeta)

Bazar 勒索软件深度分析

八月份,我们发现了一起由BazarLoader 感染开始的入侵事件。传递来源可能是一场网络钓鱼运动,该运动向受害者分发有密码保护的 zip 文件和改装化文件。word文档中的宏提取并执行了恶意的.HTA文档,该文档下载并加载了内存中的BazarLoader DLL。 对信息安全界有一个认知是很明显的,即从BazarLoader开始的入侵常常以Conti勒索软件结束。本次事件也得出了这样的结论。在涉及Conti勒索软件的事件中有一些明显的相似之处。勒索软件操作者的工具和执行的总体目的在整个集群中趋于匹配。当我们看我们之前的Conti 事件,这一点变得显而易见。这可能是由于一家分支机构泄露的Conti手册广泛传播。在本例中,我们看到了相同的事件模式,工具包括net、nltest、用于discovery的ShareFinder、用于C2的Cobalt Strike 和WMIC远程进程创建,以便扩展其在网络中的访问。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1774/ 消息来源:THE DFIR REPORT,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

一批 Android 网银木马躲过官方应用商店检测 清理前下载量已达 30 万

Threat Fabric 安全研究人员刚刚公布了一批 Android 网银木马,而且在被 Google Play 清理之前,其下载量就已经超过了 30 万次。在二维码扫描仪、PDF 扫描仪、加密货币钱包等表象的掩饰下,这些恶意应用会在暗中窃取用户登录凭证、双因素身份验证码、记录按键、以及屏幕截图。 (来自:Threat Fabric) 通过持续四个月的追踪,Threat Fabric 发现了四个独立的 Android 恶意软件系列。可知其利用了多种技巧,来规避 Google Play 应用商店的检测机制 安全研究人员指出,之所以从 Google Play 的自动化(安全沙箱)和机器学习审核流程中逃逸,正是该平台试试权限限制的直接后果。 通常情况下,这些恶意软件会先以一款良性 App 的面目示人。所以在早期的 VirusTotal 恶意软件检测过程中,它们并不会在第一时间被揪出。 但在用户安装后,它们就会开始诱骗用户下载并安装带有“附加功能”的更新包。此时这些恶意应用会通过第三方来源来获取,但此时它们已经骗取了用户的普遍信任。 为了躲避雷达追踪,这些恶意程序还利用了其它手段。在许多情况下,幕后操纵者只有在检查受感染的设备的地理位置、或通过增量更新后,才会手动部署恶意内容。 这种致力于躲过不必要关注的手段,实在让人难以置信。然而现实表明,基于自动化流程的传统恶意软件检测方案,正在变得不那么可靠。 在近日发表的一篇博客文章中,Threat Fabric 详细阐述了被调查的 9 款 dropper 恶意软件。其中造成最多感染的,被称作 Anatsa 家族。 这款“相当先进”的 Android 网银木马内置了许多功能,包括远程访问和自动转账系统。受害者将被无情地清空账户,将资金转移到幕后黑手控制的账户中。 感染 Anatsa 恶意软件的过程,是从 Google Play 下载看似人畜无害的初始安装包后开始的。之后相关 App 会强制用户更新,以继续使用该应用程序。 但现实是,幕后黑手在远程更新服务器上托管了夹带私货的恶意内容,并通过骗取信任的方式,将之安装在了毫无戒备的受害者设备上。 为了装得更像一些,幕后团伙甚至会雇人在 Google Play 应用商店刷好评,以引诱更多无辜者上当受骗。 最后,研究人员还发现了另外三大恶意软件家族(分别称之为 Alien、Hydra 和 Ermac)。 其特点是植入了 Gymdrop 恶意负载,并利用基于受感染设备模型的过滤规则,来躲过安全研究人员的搜捕。   (消息及封面来源:cnBeta)

暗网市场 Cannazon 遭受大规模 DDoS 攻击后关闭

Hackernews编译,转载请注明出处: Cannazon是最大的大麻购买暗网交易市场之一,在上周遭受了 DDoS攻击后关闭。 正如管理员在一条签有 PGP 密钥的消息中解释的那样,他们正式下线了,并声称没有对他们的供应商进行退出诈骗。 管理员在2021年11月23日发布了这条消息,29日,Cannazon下线了,据说是永远下线了。   一次DDoS攻击导致网站关闭   本月初,该网站遭到了大规模的分布式拒绝服务攻击,这在暗网市场并不少见。 管理员减少了订单数量,并让市场部分下线一段时间暂缓情况,但这在社区中引起了轰动,用户担心即将到来的退出骗局。 因为管理员处理事件的方式缺乏透明度,网站关闭声明给用户道歉,声明如下: “我们非常抱歉,最后几天我们不得不隐瞒事实。在我们看来,这是防止一些供应商跑路、伤害各位和社区的最佳方式。”网站管理员的关闭声明如是说。 “如果某个供应商未能成功获得所有签名的比特币多重信息交易,他可以通过一条加密信息获得这些信息,这条信息将于本周晚些时候发布在 Dread 上。” 公告由Cannazon管理员发布 随着 Cannazon 的关闭,其他网站使用 Cannazon 的名字再创建在一个新的 Tor 地址也不足为奇。然而,新建的网站很可能目的是想要欺骗原网站的会员。 当一个知名的大型暗网平台下线时,虚假克隆网站的出现再正常不过了。   为什么这是个坏主意   如果你认为借助 vpn 或 Tor 保持匿名,并从暗网购买大麻是规避你们国家毒品法律的一种简单方法,那么你就忽略了其中涉及的大量风险。 首先,包括 Cannazon 和 CannahHome 在内的大多数平台都是会员制的。因此,所有用户在注册时都会给出一些部分信息。如果他们的服务器最终落入执法部门手中,买家就会被识别出来。 其次,即使在管理员承诺高水平交易安全的市场中,下订单时被骗的可能性总是很高。 第三,运送给你的任何毒品都可能含有危险的有毒物质,或者货品与你购买的完全不同。因此,食用它们可能会对你的健康造成严重的风险。 最后,在网上购买毒品在许多国家是非法的,并可能导致罚款和牢狱之灾。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

使用 ProxyShell 和 ProxyLogon 劫持邮件链

Squirrelwaffle的常规操作是发送恶意垃圾邮件回复现有电子邮件链,今天我们要调查它利用 Microsoft Exchange Server 漏洞(ProxyLogon 和 ProxyShell)的策略。 9月,Squirrelwaffle 作为一种新的加载器出现,并通过垃圾邮件攻击传播。它向已存在的电子邮件链回复恶意邮件,这种策略可以降低受害者对恶意行为的防范能力。为了实现这一点,我们认为它使用了 ProxyLogon 和 ProxyShell 的开发链。 Trend Micro 应急响应团队调查了发生在中东的几起与 Squirrelwaffle 有关的入侵事件。我们对这些攻击的最初访问做了更深入的调查,看看这些攻击是否涉及上述漏洞。 我们发现的所有入侵都来自于内部微软 Exchange 服务器,这些服务器似乎很容易受到 ProxyLogon 和 ProxyShell 的攻击。在这篇博客中,我们将对这些观察到的初始访问技术和 Squirrelwaffle 攻击的早期阶段进行更多的阐述。       更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1764/ 消息来源:Trendmicro,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安卓 APT 间谍软件 GnatSpy 分析

一个名为C-23(也被称为 GnatSpy,FrozenCell,或 VAMP)的APT组织在他们的恶意应用程序中加入了新的特性,这些特性使得它们对用户的行为更具适应力,用户可能会试图手动删除它们,安全和网络托管公司可能会试图阻止访问或关闭其C2服务器域名,但这些恶意应用程序也能应对。 这款间谍软件做了以下事情: 收集短信,联系人,通话记录 收集图片和文档 记录音频,呼入和呼出电话,包括 WhatsApp 的通话 截屏和录制屏幕视频 用相机拍照 隐藏自己的图标 阅读 WhatsApp、 Facebook、 Facebook Messenger、 Telegram、 Skype、 IMO Messenger 或 Signal 的通知 取消内置安全应用程序(如三星安全代理、小米 MIUI 安全中心、华为系统管理器)以及安卓系统应用程序、包安装程序和自身的通知     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1771/ 消息来源:SophosNews,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。