内容转载

= ̄ω ̄= 内容转载

伊朗火车系统遭遇网络攻击 研究人员发现新威胁因素

据外媒报道,网络安全公司SentinelOne的研究人员在一份新报告中重建了最近对伊朗火车系统的网络攻击并发现了一种新的威胁因素–他们将其命名为MeteorExpress–这是一种以前从未见过的wiper。 7月9日,当地媒体开始报道针对伊朗火车系统的网络攻击,黑客在火车站的显示屏上涂鸦以要求乘客拨打伊朗最高领袖哈梅内伊办公室的电话号码“64411”。 火车服务中断仅一天之后,黑客就关闭了伊朗运输部的网站。据路透社报道,在网络攻击目标成为道路与城市发展部的电脑后,该部门的门户网站和副门户网站都发生了瘫痪。 SentinelOne首席威胁分析师Juan Andres Guerrero-Saade在他的调查中指出,袭击背后的人将这种从未见过的wiper称为Meteor并在过去三年开发了它。 Guerrero-Saade指出:“目前,我们还无法将这一活动跟先前确定的威胁组织或其他攻击联系起来。”他补充称,多亏了安全研究员Anton Cherepanov和一家伊朗反病毒公司,他们才得以重建这次攻击。“尽管缺乏具体指标的妥协,我们能恢复在帖子中描述的大部分攻击组件以及他们错过的额外组件。在这个关于火车停站和油嘴滑舌的网络巨魔的离奇故事背后,我们发现了一个陌生攻击者的指纹。” Guerrero-Saade表示,Padvish安全研究人员的早期分析是SentinelOne重建的关键,同时“恢复的攻击者伪造物包括更长的组件名称列表”。 “攻击者滥用Group Police来分发cab文件进行攻击。整个工具包由批处理文件组合而成,这些批处理文件协调了从RAR档案中删除的不同组件,”Guerrero-Saade解释道。 “档案用攻击者提供的Rar.exe解压,密码为’hackemall’。攻击组件是按功能划分的:Meteor基于加密配置加密文件系统,nti.exe破坏MBR,mssetup.exe则锁定系统。” SentinelOne发现,大多数攻击是通过一组批处理文件嵌套在各自的组件旁边并在连续执行中链接在一起。 该批文件通过伊朗铁路网共享的CAB文件复制了最初的部件。在那里,批处理文件使用自己的WinRAR副本从而从三个额外的档案文件解压额外的组件,这里使用了一个精灵宝可梦主题的密码“hackemall”,这也是在攻击期间在其他地方引用的。 “此时,执行开始分裂成其他脚本。第一个是’cache.bat’,它专注于使用Powershell清除障碍并为后续元素做好准备。”Guerrero-Saade说道,“’cache.bat’执行三个主要功能。首先,它将断开受感染设备跟网络的连接。然后它检查机器上是否安装了卡巴斯基杀毒软件,在这种情况下它会退出。最后,’cache.bat’将为其所有组件创建Windows Defender排除并有效地扫清了成功感染的障碍。” 报告解释称,这个特定的脚本对重建攻击链具有指导意义,因为它包括一个攻击组件列表,能让研究人员可以搜索特定的东西。 在部署了两个批处理文件,机器会进入无法引导并清除事件日志的状态。在一系列其他操作之后,update.bat将调用”msrun.bat”,它将”Meteor wiper executable as a parameter”。 Guerrero-Saade指出,另一个批处理文件msrun.bat在一个屏幕锁和Meteor wiper的加密配置中移动。名为”mstask”的脚本创建了一个计划任务,然后设置它在午夜前5分钟执行Meteor wiper。 “整个工具包存在一种奇怪的分裂程度。批处理文件生成其他批处理文件,不同的rar档案包含混杂的可执行文件,甚至预期的操作被分成三个有效载荷:Meteor清除文件系统、MSInstall .exe锁定用户、nti.exe可能破坏MBR,”Guerrero-Saade写道。 “这个复杂的攻击链的主要有效载荷是放在’env.exe’或’msapp.exe’下的可执行文件。在内部,程序员称它为“Meteor”。虽然Meteor的这个例子遭遇了严重的OPSEC故障,但它是一个具有广泛功能的外部可配置wiper。” 据报道,Meteor wiper只提供了一个参数,一个加密的JSON配置文件”msconf.conf”。 Meteor wiper删除文件时,它从加密配置删除阴影副本并采取一个机器出域复杂的补救。据报道,这些只是Meteor能力的冰山一角。 虽然在袭击伊朗火车站时没有使用,但wiper可以更改所有用户的密码、禁用屏幕保护程序、基于目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除影子副本、更改锁定屏幕图像和执行要求。 Guerrero-Saade指出,wiper的开发人员为该wiper创造了完成这些任务的多种方式。“然而,操作人员显然在编译带有大量用于内部测试的调试字符串的二进制文件时犯了一个重大错误。后者表明,尽管开发人员拥有先进的实践,但他们缺乏健壮的部署管道以确保此类错误不会发生。此外要注意的是,该样本是在部署前6个月编制的且没有发现错误。其次,这段代码是自定义代码的奇怪组合,其封装了开源组件(cppt . httplib v0.2)和几乎被滥用的软件(FSProLabs的Lock My PC 4)。这跟外部可配置的设计并列从而允许对不同操作的有效重用。” 当SentinelOne的研究人员深入研究Meteor时,他们发现,冗余证明wiper是由多个开发人员添加不同组件创建的。 报告还称,wiper的外部可配置特性表明它不是为这种特殊操作而设计的。他们还没有在其他地方看到任何其他攻击或变种Meteor wiper。 研究人员无法将攻击归咎于特定的威胁行为者,但他们指出,攻击者是一个中级水平的玩家。 Guerrero-Saade继续说道,SentinelOne“还不能在迷雾中辨认出这个对手的形态”并推断它是一个不道德的雇佣军组织或有各种动机的国家支持的行动者。 尽管他们无法确定攻击的原因,但他们指出,攻击者似乎熟悉伊朗铁路系统的总体设置以及目标使用的Veeam备份,这意味着威胁行为者在发动攻击之前在该系统中待过一段时间。 据路透社报道,袭击发生时,伊朗官员没有证实是否有人索要赎金也没有证实他们认为谁是袭击的幕后黑手。   (消息及封面来源:cnBeta)  

No More Ransom 在 5 年内为勒索软件受害者省下近 10 亿欧元

据外媒报道,根据欧洲刑警组织周一发布的声明,一项名为No More Ransom Repository的服务已经协助恢复了被黑客从600多万受害者身上窃取的宝贵信息,并防止近10亿欧元流入犯罪分子的口袋。 No More Ransom与五年前开始的一项合作倡议有关,其成员包括欧洲网络犯罪中心、卡巴斯基、McAfee、Barracuda、亚马逊网络服务等。其目的是防止受害者将钱转给勒索软件运营商,以资助他们的活动。 该组织鼓励勒索软件受害者拒绝付款要求。此外,项目成员解释说,向网络犯罪分子支付赎金,只是确认勒索软件正在运作,并不能保证会收到所需的解密密钥作为回报。 该组织选择了一种解决问题的方法,将勒索软件受害者引导到其网站上的Crypto Sheriff工具。在那里,受害者可以输入网络犯罪分子提供的用于支付赎金的比特币地址,以及“洋葱”地址,或一个URL。 该应用程序检查No More Ransom数据库,在那里他们可以从一些为解密152种赎金软件家族而设计的121种工具中进行选择。更好的是,这些服务是免费提供的,而且内容有37种语言。如果受害者找不到解密工具,建议再来看看,因为该资源库会不断地更新,有新的内容加入。 根据Cybereason在6月进行的研究,支付赎金的受害者很快就会把自己确定为容易的目标。事实上,80%支付了赎金的公司受到了二次攻击。即使其中一半的公司第二次被同一个团伙袭击,其中三分之一的公司引来了额外的威胁,这导致了轻松付款。除了资助犯罪活动外,支付赎金软件可能违反美国财政部的规定。 根据欧洲刑警组织的说法,频繁的备份仍然是防止勒索软件感染的最有效方法。该机构建议用户密切关注他们点击的链接,并定期更新他们的软件。欧洲刑警组织还强烈建议勒索软件受害者不要支付赎金。在这种情况下,首先要做的是报告犯罪情况,然后在No More Ransom资料库中搜索解密工具。   (消息及封面来源:cnBeta)

恶意软件开发者转向冷门编程语言 以躲避安全分析与检测

根据黑莓研究与情报团队周一发布的一份新报告,近期 Go(Golang)、D(DLang)、Nim 和 Rust 编程语言的使用率迎来了较大的增幅。背后的原因,则是恶意软件开发者正试图借助冷门的编程语言来躲避安全社区的分析检测、或解决开发过程中遇到的某些痛点。 特点是,恶意软件开发者正在试图利用冷门编程语言来便携加载器和释放器。通过这套组合拳,主流安全分析手段或难以察觉初步和进阶的恶意软件部署。 黑莓团队表示,为避免在目的端点上被揪出,一阶释放器与加载器正变得越来越普遍。 一旦恶意软件绕过了能够检测更典型恶意代码形式的现有安全机制,就会进一步解码、加载和部署包括特洛伊木马在内的恶意软件。 报告中点名的恶意软件,包括了 Remcos 和 NanoCore 远程访问木马(RAT),以及常见的 Cobalt Strike 信标。 然而一些拥有更多资源的恶意软件开发者,正在将他们的恶意软件通过冷门语言来重新包装,比如 Buer 或 RustyBuer 。 基于当前的趋势,安全研究人员表示,网络犯罪社区对 Go 语言的兴趣尤为浓厚。 黑莓称,有深厚背景的高级持续性威胁(APT)组织、以及商品化的恶意软件开发者,都相当有意于通过冷门语言来升级他们的武器库。 今年 6 月,CrowdStrike 亦曝光了一款勒索软件新变种,可知其借鉴了 HelloKitty / DeathRansom 和 FiveHands 的功能,且通过 Go 语言对其主要负载进行加密封包。 之所以作出这样的假设,是因为基于 Go 语言的新样本正在“半定期”地出现。其不仅涵盖了所有类型的恶意软件,还针对多个活动中的所有主要操作系统。 此外尽管 DLang 不像 Go 那样“流行”,其在 2021 开年至今的采用率也在缓步上升。 研究人员指出,通过使用新颖或不寻常的编程语言,恶意软件开发者将对安全分析人员的逆向工程工作造成很大的阻碍。 此外他们正在避免使用基于签名的检测工具,提升目标系统的交叉兼容性,且代码库本身也可能套上一层来隐藏。 最后,黑莓威胁研究副总裁 Eric Milam 评论道:恶意软件制作者以快速适应和修改利用新技能而被业界所熟知,但行业客户也必须对这样的重要趋势提高警惕,因为将来的安全形势只会变得更加严峻。   (消息及封面来源:cnBeta)

微软发高危公告:警惕 LemonDuck 恶意软件攻击

援引 The Hacker News 报道,为了提高恶意活动的效率,LemonDuck 通过关注早期的漏洞和简化攻击流程,不断完善和加强了针对 Windows 和 macOS 的攻击技术。微软表示 LemonDuck 是一种非常活跃且功能强大的恶意软件,在攻击成功之后被用于僵尸网络和加密货币挖矿。 而且它采取了更复杂的行动并加强了运作方式。最新版本已经能够绕过安全检查,通过电子邮件传播,横向移动,窃取凭证,并衍生出了更多的黑客工具。 在感染该恶意软件之后,就会迅速向设备所在的网络进行传播,窃取设备上的用户信息,并通过利用计算机资源非法开采加密货币。具体来说,LemonDuck 作为后续攻击的加载器,涉及窃取凭证和安装下一代植入物,可以作为一些威胁的网关,其中最重要的是赎金软件。 另一个值得注意的策略是能够通过删除竞争性软件和通过修复攻击者能够访问的漏洞来防止新的感染,从而从被攻击的设备中移除额外的攻击者。 目前,LemonDuck 恶意软件的攻击目标大多是制造业和物联网行业,大多数攻击发生在俄罗斯、韩国、中国、法国、德国、印度、加拿大、越南和美国。此外,微软曝光了第二个实体 LemonCat 的运作情况,它利用 LemonDuck 完成各种目标。 据报道,LemonCat 的攻击架构在 2021 年 1 月左右浮出水面,最终导致利用微软 Exchange 服务器的漏洞进行攻击。随后篡改使用 Cat 域名导致安装后门、凭证和数据被盗,以及部署恶意软件,通常是一个被称为 Ramnit 的 Windows 木马。     (消息及封面来源:cnBeta)  

巴西政府宣布建立一个网络攻击响应网络

据外媒报道,巴西已经创建了一个网络攻击响应网络,旨在通过联邦政府机构之间的协调促进对网络威胁和漏洞的更快响应。根据7月16日签署的总统令,该国的联邦网络事件管理网络将包括总统机构安全办公室及联邦政府管理下的所有机构和实体。 上市公司和混合资本公司及其子公司可以自愿成为该网络的成员。 据悉,该网络将由巴西总统机构安全办公室的信息安全部门通过政府的网络安全事件预防、处理和响应中心进行协调。 隶属经济部管理和数字政府特别秘书处的数字政府秘书处(DGS)将在该网络的形成中发挥战略作用。DGS是SISP的中心机构,SISP是一个用于计划、协调、组织、操作、控制和监督巴西联邦政府200多个机构的信息技术资源的系统。 通过DGS了解到,创建该网络的法令中概述的信息共享有望改善SISP在预防可能的网络攻击所需的事件和行动方面的表达。秘书处还暗示,即使不是强制性的也希望像政府的社会安全技术和信息公司Dataprev和联邦数据处理服务公司Serpro等上市公司加入该计划。 立即了解攻击和正在利用的潜在漏洞将使秘书处能够提醒其他机构执行必要的遏制措施,另外还一个重点领域则可以将制定指南和培训包含其中,这能帮助解决网络确定的主要问题。 提到巴西在联合国最新的全球网络安全指数中的进步,巴西的排名从2018年的第70位上升到2021年的第18位,上升了53位–这是整个拉丁美洲最好的成绩–数字政府和管理秘书Caio Mario Paes de Andrade指出,该网络的创建将有助于巴西联邦政府进一步加强其在应对网络威胁方面的作用。 “对用户的保护必须伴随着数字转型的推进,我们已经确保了这种保护。该网络的基本原理是进一步培育政府内部协调对抗的文化,这样我们就可以在网络安全问题上继续前进,”这位秘书说道。 根据本月早些时候公布的一项调查,巴西人非常担心他们的数据安全。调查发现,巴西用户对网络攻击的恐惧程度很高,73%的受访者表示曾遭受过某种数字威胁如收到来自公司的虚假信息和密码被盗。   (消息及封面来源:cnBeta)

NSO Group 认为 Pegasus 黑客攻击事件中应遭指责的是客户而不是技术

据外媒报道,间谍软件制造商NSO Group日前表示,指责其公司就像“在酒后驾车撞车后批评汽车制造商”一样。据称,该软件曾被用来侵入无辜者的手机。记者们获得的一份被指为间谍软件潜在目标的名单显示,活动人士、政界人士和记者等群体都是被入侵的目标。 现在,对于这份包含有5万个电话号码的名单的调查工作已经在进行中。 据悉,NSO Group开发的PegASUS会感染iPhone和Android设备,操作人员可以提取信息、照片和电子邮件、记录通话并秘密激活麦克风和摄像头。 这家以色列公司表示,它的软件是用来对付罪犯和恐怖分子的,只提供给来自人权记录良好的国家的军事、执法和情报机构。 但以法国媒体机构Forbidden Stories为首的一个新闻机构联盟已经根据这份名单发表了数十篇报道,据悉,名单不乏政界人士,其中包括法国总统埃马克龙,这意味着其可能已经成为目标。 对此,NSO Group表示,他们被告知这份名单是从其位于塞浦路斯的服务器被黑的。但这家公司发言人告诉BBC News:“首先,我们在塞浦路斯没有服务器。其次,我们没有客户的任何数据。更重要的是,客户之间没有联系,因为每位客户都是独立的。所以任何地方都不应该有这样的名单。” 潜在目标的数量并没有反映出Pegasus的工作方式。 “这是一个疯狂的数字,”这位发言人继续说道,“我们的客户平均每年有100个目标。自公司成立以来,我们总共并没有5万个目标。” 安全服务 近年来,这家公司多次被指控允许专制政府对无辜民众进行黑客攻击,包括那些跟被谋杀的《华盛顿邮报》专栏作家贾马尔·哈苏吉关系密切的人。但它否认了这一指控和其他所有指控。 该公司表示,它并不会定期调查谁是目标,但它有审查其销售出去的安全服务的系统。 本月早些时候,NSO Group发布了其透明度报告。报告写道:“我们必须以更高的标准要求自己进行管理和透明度行事……从而确保公共安全、关注人权和隐私。” 但在周三,这位发言人表示:“如果我是汽车制造商,现在你醉酒驾车撞了人,你应该找的是司机而不是汽车制造商。我们把系统发送给了政府,我们得到了所有正确的认证并且都是合法的。你知道,如果一个客户决定滥用这个系统,他就不再是客户了。所有的指控和指责都应该指向客户。” “一个巧合” 在名单上的人中,有67人同意将手机交给Forbidden Stories进行法医分析。 据报道,这项由大赦国际安全实验室(Amnesty International Security Labs)进行的研究发现了Pegasus对其中37人展开潜在攻击的证据。 但NSO Group表示,他们不知道名单上的一些手机是如何含有间谍软件残余的。 这位发言人表示,这可能是“一个巧合”。   (消息及封面来源:cnBeta)

美拟议《网络事件通报法案》将赋予信息披露企业部分豁免权

周三披露的一项新法案,将要求某些企业在遭遇黑客攻击后,及时向政府进行通报。同时为了鼓励此类事件的披露,《网络事件通知法案》还将给予当事企业有限的豁免权。显然,这项亡羊补牢之举,是针对近期曝光的 SolarWinds 和 Colonial Pipeline 攻击的一个及时回应。 CNBC 指出,SolarWinds 攻击事件让政府机构也受到了波及,而 Colonial Pipeline 攻击事件更是破坏了该国大部分地区的燃料供应。 随着勒索软件攻击的激增,人们已日渐意识到攻击事件信息披露的重要性。然而此前的问题是,联邦法律并未提出硬性要求。 基于此,遭遇网络攻击的相关企业普遍倾向于将事情藏着掖着,直至事态发展到已无法再隐瞒,但付出的代价也相当高昂。 以软件巨头微软为例,公司总裁布拉德·施密特在参议院听证会上表示,公众之所以知晓微软也受到 SolarWinds 攻击事件的波及,只因 FireEye 在去年 12 月率先披露了此事。 FireEye 首席执行官 Kevin Mandia 在听证会期间接受 CNBC 的 Eamon Javers 采访时称,信息披露是一个该死且复杂的问题。 为化解这一尴尬的局面,拟议的新法案将引入一项新的披露要求 —— 包括联邦机构、承包商、关键基础设施公司在内,都必须在发现其系统遭到破坏时,向国土安全部进行通报。 与此同时,法案还赋予了这些企业在报告违规行为时可获得的有限豁免 —— 比如股票投资者无法拿到披露信息、并将之用于诉讼的证据,此外国土安全部需要对个人身份信息进行匿名化处理。 基于此,企业能够更加高效地通报相关攻击事件,并允许政府在需要时采取及时有效的行动。   (消息及封面来源:cnBeta)

Pegasus 软件遭曝光后 斯诺登呼吁禁止间谍软件交易

据英国《卫报》报道,爱德华·斯诺登在NSO集团的客户被揭露后警告说,各国政府必须在全球范围内暂停国际间谍软件贸易,否则将面临一个没有手机可以免遭国家支持的黑客攻击的世界。斯诺登在2013年揭发了美国国家安全局的秘密大规模监控项目,他将营利性恶意软件开发商描述为 “一个不应该存在的行业”。 他是在PegASUS项目首次披露后接受《卫报》采访时发表上述言论的,Pegasus项目是一个由国际媒体组织组成的联盟对NSO集团及其客户进行的新闻调查。 NSO集团制造并向政府出售先进的间谍软件,品牌为Pegasus,可以秘密地感染手机并获取其信息。电子邮件、短信、通讯录、位置数据、照片和视频都可以被提取,而且手机的麦克风和摄像头可以被激活,以秘密记录用户的信息。 该联盟分析了一个由50000个电话号码组成的泄漏数据集,据信这些号码属于NSO的客户感兴趣的人。对这些手机样本的分析发现了几十个成功和试图感染Pegasus的案例。 NSO集团表示,它认真对待道德方面的考虑,受以色列、塞浦路斯和保加利亚的出口管制制度监管,只向经过审查的政府客户出售。但它的客户包括压制性政权,包括沙特阿拉伯、阿联酋和阿塞拜疆。 斯诺登在接受《卫报》采访时说,该集团的发现说明了商业恶意软件是如何使专制政权有可能将更多人置于最具侵略性的监控之下的。 他说,对于传统的警察行动来说,要安装窃听器或窃听嫌疑人的电话,执法部门需要 “闯入某人的房子,或去他们的汽车,或去他们的办公室,而且我们认为他们可能会得到授权”。 但是商业间谍软件使得对更多的人进行有针对性的监视具有成本效益。他说:“如果他们可以从远处做同样的事情,而且成本不高,没有风险,他们就会开始一直这样做,针对每一个人,哪怕是稍有兴趣的人。” 他说:“如果你不做任何事情来阻止这种技术的销售,这不仅仅是5万个目标。它将成为5000万个目标,而且它将比我们任何人预期的要快得多。” 他说,问题的部分原因是,不同人的手机在功能上是相同的。“当我们谈论像iPhone这样的东西时,它们在世界各地都运行相同的软件。因此,如果他们找到了入侵一部iPhone的方法,他们就找到了入侵所有iPhone的方法。” 他把将广泛使用的手机型号中的漏洞商业化的公司比作一个故意开发新的疾病菌株的 “感染者”行业。 他说:“这就像一个行业,他们所做的唯一事情就是创造Covid的定制变体来躲避疫苗。他们唯一的产品是感染载体。他们不是安全产品。他们不提供任何种类的保护,任何种类的预防措施。他们不制造疫苗–他们唯一出售的是病毒。” 斯诺登说,像Pegasus这样的商业恶意软件是如此强大,以至于普通人实际上无能为力,无法阻止它。当被问及人们如何保护自己时,他说:“人们可以做什么来保护自己免受核武器的伤害?” “有些行业,有些部门,是无法保护的,这就是为什么我们试图限制这些技术的扩散。我们不允许核武器的商业市场。” 他表示,对于商业恶意软件的威胁,唯一可行的解决方案是在国际上暂停销售。“Pegasus项目所揭示的是NSO集团确实是一个新的恶意软件市场的代表,这是一个营利性的业务,”他说。“NSO这样做的唯一原因不是为了拯救世界,而是为了赚钱。” 斯诺登说,在全球范围内禁止感染载体的交易将防止对移动电话中的漏洞进行商业滥用,同时仍然允许研究人员识别和修复这些漏洞。 “对于普通人来说,这里的解决方案是集体工作。”他说:“这不是一个我们想要尝试单独解决的问题,因为这是你与一家价值10亿美元的公司的对决。如果你想保护自己,你必须改变游戏规则,而我们这样做的方式就是结束这种交易。” NSO集团在一系列声明中说,它拒绝接受关于该公司及其客户的 “错误主张”,并说它对其客户使用Pegasus间谍软件的情况并不清楚。该公司表示,它只向经过审查的政府客户出售该软件,而且其技术已经帮助防止恐怖主义和严重犯罪。 在Pegasus项目启动后,NSO的创始人兼首席执行官Shalev Hulio说,他继续质疑泄露的数据“与NSO有任何关系”,但他补充说,他对这些报告“非常关注”,并承诺对它们进行全部调查。他说:“我们理解,在某些情况下,我们的客户可能会滥用该系统。”   (消息及封面来源:cnBeta)

沙特阿拉伯国家石油公司 1TB 专有数据被盗并被挂到暗网出售

据外媒BleepingComputer报道,网络攻击者窃取了属于沙特阿拉伯国家石油公司(Saudi Aramco)1TB的专有数据并在暗网上出售。据悉,沙特阿拉伯石油公司是全球最大的公共石油和天然气公司之一。这家石油巨头拥有超过66000名员工,年收入近2300亿美元。 黑客500万美元的可议价对外出售来自这家石油公司的数据。 Saudi Aramco将这一数据事件归咎于第三方承包商并告诉BleepingComputer,该事件对沙特阿美的运营没有影响。 “零日漏洞”被用来攻破网络 本月,一个名为ZeroX的威胁组织向外出售1TB属于沙特阿拉伯国家石油公司的专有数据。 ZeroX声称,这些数据是在2020年某个时候通过入侵该公司的网络和服务器盗来的。 据该组织称,就其本身而言,被盗文件最近的来自2020年,其中一些则可以追溯到1993年。 当BleepingComputer问及使用了什么方法进入系统时,该组织没有明确说明漏洞而是称之为“零日漏洞”。 为了吸引潜在买家,今年6月,一小组Aramco蓝图和专有文件与修订的PII的样本首次被发布在数据泄露市场论坛上: 然而,在最初发布消息时,.onion将倒计时时间设置为662小时(约28天),在这之后出售和谈判将开始。 ZeroX告诉BleepingComputer,“662小时”的选择是有意的,是Saudi Aramco要解决的“难题”,但这一选择背后的确切原因尚不清楚: 该组织表示,1TB数据包括Saudi Aramco位于多个沙特城市的炼油厂的相关文件,包括延布、吉赞、吉达、拉斯坦努拉、利雅得和达兰。 这些数据包括: 14254名员工的全部信息:姓名、照片、护照复印件、电子邮件、电话、居留许可号、职称、身份证号、家庭信息等; 涉及/包括电力、建筑、工程、土木、施工管理、环境、机械、船舶、电信等系统的项目规范; 内部分析报告、协议、信件、价目表等; 规划IP地址、Scada点、Wi-Fi接入点、IP摄像头、IoT设备的网络布局; 位置地图和精确坐标; Aramco的客户名单及发票和合同。 ZeroX在泄露网站上发布的样本经过了个人身份信息(PII)的编辑,单是一个1GB的样本就需要花费2000美元,以Monero进行支付。 不过,黑客有向BleepingComputer分享了一些最近未编辑的文件以供确认。 整个1TB的数据价格定在500万美元,不过攻击者表示,最终成交价是可以协商的。 要求一次性独家出售的一方–即获得完整的1TB数据并要求从ZeroX的终端上完全清除–预计将支付高达5000万美元的巨额费用。 ZeroX向BleepingComputer透露,到目前为止,一直有五个买家在跟他们谈判这笔交易。 不是勒索软件或勒索事件 跟互联网上流传的一些说法即将这起事件称为“勒索软件攻击”相反,事实并非如此。威胁行动者和Saudi Aramco都向BleepingComputer确认,这不是一起勒索软件事件。 Saudi Aramco告诉BleepingComputer,数据泄露发生在第三方承包商,而不是Saudi Aramco的直接系统: “Aramco最近意识到,第三方承包商间接泄露了有限的公司数据。” Saudi Aramco发言人告诉BleepingComputer:“我们确认,数据的发布对我们的运营没有影响,公司将继续保持稳健的网络安全态势。” 威胁行动者确实有在试图联系Saudi Aramco以告知他们被侵入的消息,但没有得到回复也没有在进入他们的网络后试图勒索,这进一步让人怀疑上面显示的计时器的目的。 似乎倒数计时器仅仅是为了吸引潜在买家而设置的,为了在销售过程中引起轰动。   (消息及封面来源:cnBeta)

微软:以色列团体出售 Windows 黑客工具

新浪科技讯 北京时间7月16日早间消息,微软周四表示,一个以色列组织出售可以黑入Windows的工具。该组织名叫Candiru,它开发并销售软件,软件利用漏洞渗透到Windows平台。 黑客工具向全球扩散,提供给大量不知名客户,他们利用软件瞄准各种公民社会组织,比如沙特异见团体、左倾印尼新闻媒体等。微软称工具被用来攻击一些国家的用户,比如伊朗、黎巴、西班牙、英国。 微软还说,Candiru工具也可以利用谷歌Chrome浏览器等常见软件发起攻击。 周三谷歌在博文中披露两个Chrome软件漏洞,微软发现它们与Candiru有关,不过谷歌并没有提到Candiru的名字,只是说它们被一家商业监控公司利用。 计算机安全专家称,Candiru等“网络军火商”一般会将多个软件漏洞连在一起从而变成有效漏洞,在目标不知情的情况下,攻击者可以利用漏洞远程入侵计算机。熟悉“网络军火”产业的知情者称,这样的秘密系统往往要价很高,达到几百万美元,而且经常以付费订阅的形式出售,也就是说客户如果想持续使用需要不断付费。   (消息及封面来源:cnBeta)