Zoe

o(* ̄▽ ̄*)ブ

荷兰警方向 DDoS booter 用户发出最后通牒

荷兰当局向一家DDoS网站的十多名客户发出了最后通牒,通知他们,如果继续网络攻击将被起诉。 荷兰警方的信件旨在减少网络犯罪,并引导罪犯采用合法手段来提高他们的技能。 周一,29名荷兰公民收到了警方的信件,并得知他们的犯罪活动已经被记录,未来的犯罪行为可能会被定罪。 “我们已经在我们的系统中标记了你,现在你将收到最后的警告。如果以后再出现类似情况,我们将予以起诉。在这种情况下,你不仅要考虑你的设备没收,还要考虑可能的定罪、犯罪记录”——荷兰警方 上述所有人都是minesearch.rip的使用者,minesearch.rip这个所谓的booter网站可以帮助用户对他们选择的目标发起DDoS攻击。 警方是在2020年开始调查该网站后得知他们的活动,此前,一个游戏服务器遭到了DDoS攻击,该攻击正是通过minsearch .rip网站进行的。 该服务被用于对私营和公共部门的数十个目标发起了DDoS攻击。 该网站现已关闭,调查仍在进行中。 去年7月30日,荷兰警方搜查了涉嫌参与该网站的两名19岁青年的家。三个月前,警方在一周内关停了15个booter网站。 周一寄出的29封信件不具备任何法律效应,而是作为对收信人的最后警告。警方的这一举措旨在纠正这些罪犯,引导他们选择合法途径,多多锻炼IT技能来提高知识水平,减少参与违法行为而引火烧身。 无论是电脑黑客,视频游戏,还是网络犯罪,荷兰警方提供了多种测试程序(详情参考),让年轻人可以找到挑战,引导他们远离非法活动。 三年前,由荷兰和英国警方发起的Hack_Right项目开始在被判有网络犯罪行为的年轻人中进行实验,目的是改变他们的生活,坚守法律正确。 在英国,英国国家犯罪局(National Crime Agency)负责协调Cyber Choices项目,该项目旨在“帮助人们做出明智的选择,并以合法的方式使用他们的网络技能。” 今年早些时候,为了阻止人们选择从事网络犯罪,荷兰警方开始在俄语和英语的黑客论坛上发布警告,称他们“将不遗余力地追踪那些网络犯罪者。”   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

BlackTech 组织与他们使用的恶意软件 Gh0stTimes

BlackTech是一个网络间谍组织,在2018年前后对日本发起攻击活动。近日,研究人员发现了BlackTech可能使用的恶意软件Gh0stTimes。 研究人员在受Gh0stTimes感染的服务器上还发现了其他恶意软件,如下载器、后门程序、ELF Bifrose和攻击工具。这些工具可能会也被BlackTech组织使用。研究人员此次的研究说明BlackTech攻击组织依然活跃,且使用了更多的工具。       更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1737/       消息来源:JPcert,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

DEV-0343 APT 瞄准美国和以色列的国防技术公司

微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一个恶意活动群体,跟踪为DEV-0343,它的目标是美国和以色列国防技术公司的Office 365租户。 攻击者针对目标组织发起了大规模的密码喷洒攻击,这一恶意活动于2021年7月首次被发现。 “DEV-0343是微软威胁情报中心(MSTIC)于2021年7月下旬首次观察并开始跟踪的一个新的活动群体。MSTIC观察到DEV-0343对250多家Office 365租户进行了大量的密码喷洒攻击,重点是美国和以色列的国防技术公司、波斯湾的入境港口,或在中东有业务存在的全球海运公司。”“虽然只有不到20家目标租户被成功攻击,但DEV-0343在继续改进他们的攻击技术。”微软发布的这篇帖子写道。 微软补充说,对于启用了多因素身份验证(MFA)的Office 365账户的密码喷洒攻击并未生效。 DEV-0343主要针对防务公司,这些公司支持美国、欧盟和以色列政府合作伙伴并产出军用雷达、无人机技术、卫星系统和应急响应通信系统。 微软研究人员表示,这一活动与德黑兰的利益一致,而且其ttp与另一个与伊朗有关的攻击者的类似。 “进一步的活动目标包括地理信息系统(GIS)、空间分析、波斯湾的区域入境港口以及几家专注于中东业务的海运和货物运输公司。”报告补充道。 研究人员推测,攻击者的目的是获取商业卫星图像和专有航运计划和日志,这些信息可以让伊朗政府补充其正在发展的卫星计划。 DEV-0343背后的威胁行动者利用一系列精心设计的Tor IP地址来混淆他们的基础设施。 “DEV-0343模拟火狐浏览器,使用托管在Tor代理网络上的IP进行大量的密码喷洒攻击。他们最活跃的时间是周日和周四,伊朗时间早上7:30到晚上8:30 (UTC 04:00:00和17:00:00),在伊朗时间早上7:30之前和晚上8:30之后活动显著减少。它们通常针对组织内的数十到数百个账户(取决于规模),并对每个账户进行数十到数千次的枚举。平均而言,针对每个组织的攻击使用了150到1000多个唯一的Tor代理IP地址。”报告继续说道。“DEV-0343执行者通常针对两个Exchange端点——Autodiscover和ActiveSync——作为他们使用的枚举/密码喷洒工具的功能。这方便了DEV-0343验证活跃账户和密码,并进一步完善他们的密码喷洒攻击行为。” 微软已经直接通知了那些被攻击的客户,并向他们提供了他们需要的信息来保护他们的账户。 微软建议企业在日志和网络活动中观察是否存在以下迹象,以确定他们的基础设施是否受到了威胁者的攻击: 大量来自Tor IP地址的密码攻击流量 在密码喷洒活动中模仿FireFox(最常见)或Chrome浏览器 Exchange ActiveSync(最常见)或自动发现端点的枚举 类似于’ o365spray ‘工具的枚举/密码喷洒工具的使用 使用自动发现来验证帐户和密码 观察到密码喷洒攻击通常在UTC 04:00:00和11:00:00之间达到高峰   消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

太平洋城市银行遭遇勒索软件 AvosLocker 攻击

上个月,美国主要韩裔美国人社区金融服务提供商之一的太平洋城市银行(Pacific City Bank,PCB)遇到了勒索软件攻击事件。 该银行向其客户发送信函,告知他们2021年8月30日发现的一个安全问题,并称这个问题已经解决。 2021年9月7日,PCB完成了对此事件的内部调查,发现勒索软件犯罪者从其系统中获得了以下数据: 贷款申请表格 W-2客户公司信息 工资及税务详情 客户公司的工资记录 报税文件 客户姓名、地址、社会保险号码 PCB尚不清楚这一事件是否影响了银行的整体客户或仅仅是一小部分客户。同时,PCB表示,客户受到的影响程度并不相同,但或多或少地遭到了数据泄露。 对于收到通知邮件的客户,银行提醒他们对未经请求的邮件保持警惕,并密切关注其银行账户和信用报告是否存在欺诈迹象。 此外,该银行还通过Equifax提供为期一年的免费信用监控和身份盗窃保护服务,并在信函中提供注册引导信息。 虽然PCB没有说出对9月事件的勒索软件组织的名字,但AvosLocker却直接自报家门,并在其数据泄露网站上发布了一条记录。 这次袭击计划在2021年9月4日进行,因此五天的间隔可能只是第一轮谈判回合的“宽限期”,在此阶段勒索犯通常避免公开声明。 这份文件最终被上传到勒索门户网站。 AvosLocker是一个较新的勒索软件组织,今年夏天公开露面,号召各种地下论坛的分支机构加入RaaS。 该团伙使用多线程勒索软件,使他们能够在攻击者手动部署有效负载的同时快速加密数据。虽然AvosLocker有一些文本和API混淆处理用以避免静态检测,但它大部分是“裸的”,并没有加密层。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

谷歌游戏商店恶意软件窃取 Facebook 凭证

上周三,Evina的一位法国网络安全专家Maxime Ingrao发现,在Play Store最热门的新免费应用程序中,有一些恶意软件窃取了Facebook凭证和其他一些数据。他公开了自己的发现,并在Twitter上上传了详细版本。 这名研究人员在安装一个应用程序时偶然发现了该恶意软件,当该应用程序引导用户连接Facebook以使用该应用程序时,他产生了怀疑。然后他看了一眼应用程序的代码,就在这时,他发现应用程序执行命令用于检索Facebook凭证。 他发现了两个使用相同代码的应用程序,认为它来自同一个新的恶意软件组织。这两个应用程序属于同一类别:摄影应用程序。 Ingrao说:“这些请求是用亚洲/新加坡的时间戳执行的,所以攻击很有可能是来源于那里。” 一些被恶意软件感染的应用程序下载量超过50万次,包括Pix Photo Motion Edit 2021和Magic Photo Lab – Photo Editor,后者的安装量超过5万次,现已从Play Store中删除。 Maxime发现,在不同国家的Play Store,“Pix Photo Motion Edit 2021”在新应用程序排名中都是第一名,甚至在墨西哥也是第一名。这使得它在两周内的下载量达到50万次。 恶意软件启动一个webview并运行javascript命令来检索用户输入的值。然后利用api图获取账户信息。 研究员称,恶意软件检索了用户在Facebook上的信息,包括已经创建了的页面(粉丝的数量、用户讨论情况、页面评级),还检索了已经创建的广告活动(活动的状态、所花费的金额),以及用户是否注册了信用卡。   他表示:“这些信息很可能被利用,欺诈者可以在用户页面上发布广告,并利用用户的信用卡进行广告活动。” Maxime证实,威胁行为者无法窃取信用卡信息,但可以用它来攻击受害者的账户。 Maxime采取了行动,他告诉The Digital Hacker,他已经通过谷歌的报告表格说明该恶意应用程序,但谷歌还没有回应,尽管其中一款应用在他报告之前就从Play Store下架。   消息来源:TheDigitalHacker,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美敦力公司召回部分胰岛素泵控制器,以应对网络攻击风险

医疗设备制造商美敦力公司(Medtronic)已召回其部分胰岛素泵使用的遥控器,因为这些遥控器存在严重的漏洞,可能导致患者受伤或死亡。 攻击者可以利用漏洞来改变胰岛素泵提供给病人的剂量。 “MiniMed™远程控制器使用无线射频(RF)与胰岛素泵通信,可以在不按任何胰岛素泵按钮的情况下将一定量的胰岛素放入美敦力泵。”医疗设备供应商在发布紧急医疗设备召回通知时这样说。 “2018年5月,一名外部网络安全研究员发现了一个潜在风险,该风险与MiniMed™Paradigm™系列胰岛素泵和相应的远程控制器相关。研究人员的报告指出,如果未经授权的个人距离胰岛素泵用户较近,可以从用户的远程控制器复制无线射频信号(例如,在用户远程传送药丸的过程中),之后该个人可能会额外传送一个胰岛素泵药丸。这可能会引起潜在的健康风险,比如,如果额外的胰岛素摄入量超过了用户的胰岛素需求,就会导致低血糖,而如果胰岛素摄入量不足,就会导致高血糖。” 该公司指出,到目前为止,还没有收到任何因该问题造成的伤亡报告。 2018年8月,该公司首次向一些用户传达了召回信息,建议在不使用远程药丸传送功能时禁用该功能,防止在使用可选的远程控制器时受到网络攻击。 该公司召回MiniMed 508和Paradigm系列胰岛素泵远程控制MMT-500和MMT-503型号产品,受影响的设备占市场上胰岛素泵的60%。还好现在这两个设备都不再由供应商生产。 美国食品和药物管理局(FDA)也发布一级召回的警告。根据FDA的数据,美国召回的设备数量为31,310台。 “未经授权的人(病人、病人护理人员或医疗保健提供商以外的其他人)可能会记录和重启遥控器和MiniMed胰岛素泵之间的无线通信。这些人在专业设备帮助下,可以操控胰岛素泵向患者过量输送胰岛素,导致低血糖,或停止输送胰岛素,导致高血糖和糖尿病酮症酸中毒,甚至死亡。”FDA提醒道。“如果你从未将远程控制器ID存到设备中,那么你就不会受到这个漏洞的影响。”   消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

印度英尼福实验室或与一安卓间谍软件程序有关

国际特赦组织(Amnesty International)的一份报告称,一家印度网络安全公司与一款针对知名活动人士的安卓间谍软件程序有关。 国际特赦组织的团队进行了调查,他们证实了该公司与一起针对多哥人权维护活动人士的间谍案件有关,还观察到其在几个关键的亚洲地区部署间谍软件的迹象。 据国际特赦组织称,这款安卓间谍软件与印度网络安全公司英尼福实验室(Innefu Labs)有关联,此前该公司的一个IP地址被多次用于分发间谍软件的有效载荷。 然而,实际部署可能是Donot Team组织(APT-C-35)在执行,这是一群印度黑客,他们至少从2018年就开始以东南亚各国政府为目标。 针对多哥活动人士的攻击始于WhatsApp上一条未经请求的信息,暗示用户安装一款名为“ChatLite”的据称安全的聊天应用。 在此失败后,攻击者从Gmail账户发送了一封电子邮件,邮件中携带了一个带有标签的MS Word文件,该文件利用了一个旧的漏洞,插入间谍软件。 在ChatLite事件中,间谍软件是一个定制开发的Android应用程序,允许攻击者从设备上收集敏感数据,并获取额外的恶意软件工具。 这个通过恶意Word文档传播的间谍软件具有以下功能: 记录键盘敲击数据 定期截图 从本地和可移动存储中窃取文件 下载额外的间谍软件模块 通过分析Android间谍软件样本,国际特赦组织的调查人员发现其与Kashmir_Voice_v4.8.apk和SafeShareV67.apk有一些相似之处,而这两个恶意软件工具与过去的Donot Team组织有关。 攻击者的opsec错误让调查人员发现了美国的一个“测试”服务器,攻击者在那里存储了来自受攻击安卓手机的截图和键盘记录数据。 这是国际特赦组织第一次看到英尼福实验室的IP地址。 国际特赦组织指出,英尼福实验室可能并不知道其客户或其他第三方是如何使用其工具的。然而,在全部技术细节曝光后,外部审计人员可能会披露一切。 在一封写给国际特赦组织的信中,英尼福实验室否认与Donot Team组织和攻击者的行动有任何关联。 “首先,我们坚决否认英尼福实验室与与Donot Team组织有关的间谍软件工具以及对多哥人权维护者的攻击之间存在任何联系。正如我们在之前的信中所述,我们并不了解Donot Team组织,也与他们没有任何关系。 在你2021年9月20日的信中,提到了一部小米红米5A手机,你称该手机访问了英尼福实验室的IP地址,还访问了一些其他私人VPN服务器,访问了乌克兰托管公司Deltahost。我们认为这部手机不属于任何与英尼福实验室有关的人。仅仅因为我们的IP地址被使用这部手机访问,并不意味着英尼福实验室实验室参与了任何所谓的活动”-英尼福实验室。 消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

攻击者使用 Python 勒索软件加密 VMware ESXi 服务器

Sophos报告称,最近观察到的一次攻击使用了基于python的勒索软件变种,目标是一个组织的VMware ESXi服务器,攻击者加密了所有虚拟磁盘。 攻击者使用了自定义Python脚本,该脚本一旦在目标组织的虚拟机管理程序上执行,就会使所有虚拟机脱机。 Sophos的安全研究人员解释说,攻击者相当迅速地执行了勒索软件:在最初的攻击大约三小时后,加密过程就开始了。 初始访问时,攻击者破坏了一个没有设置多因素身份验证的TeamViewer帐户,该帐户在一个具有域管理员凭据的用户的计算机的后台运行。 Sophos解释说,攻击者在该组织所在的时区等了30分钟后登录,然后下载并执行了一个工具来识别网络上的目标,然后他们顺利找到一个VMware ESXi服务器。 凌晨2点左右,攻击者获取了一个SSH客户端登录服务器,利用ESXi服务器上的内置SSH服务ESXi Shell,该服务可在ESXi服务器上进行管理。 在首次扫描网络3小时后,攻击者登录到ESXi Shell,复制Python脚本,然后对每个数据存储磁盘卷执行该脚本,从而对虚拟机的虚拟磁盘和设置文件进行加密。 该脚本只有6kb大小,但允许攻击者使用多个加密密钥、各种电子邮件地址以及要附加到加密文件的文件后缀对其进行配置。 根据Sophos的说法,该脚本包含多个硬编码加密密钥,以及生成更多密钥的程序,研究人员因此得出结论,勒索软件每次运行都会生成一个唯一的密钥。 因此,在这种特定的攻击中,由于攻击者对三个目标ESXi数据存储分别执行了脚本,因此为每个加密过程创建了一个新的密钥。该脚本不传输密钥,而是将它们写入文件系统,并使用硬编码的公钥进行加密。 “Python是预先安装在基于linux的系统(如ESXi)上的,这使得基于Python的攻击可能发生在这些系统上。ESXi服务器对勒索软件威胁者来说是一个有吸引力的目标,因为它们可以一次攻击多个虚拟机,其中每个虚拟机都可能运行关键业务应用程序或服务,”Sophos首席研究员Andrew Brandt说。   消息来源:SecurityWeek,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国考克斯媒体集团承认曾遭黑客网络攻击,但无个人信息泄露

美国媒体集团考克斯媒体集团(CMG)证实,该公司在2021年6月受到了勒索软件攻击,导致电视直播和广播流中断。 该公司昨天向800多名受影响的用户发送了数据泄露通知邮件,并在邮件中承认了这次攻击,据信这些用户的个人信息在这次攻击中可能被泄露。7月30日,该组织首先通过电子邮件通知了可能受影响的用户。 CMG表示:“在2021年6月3日,CMG经历了一次勒索软件事件,其中,一小部分服务器被恶意威胁者加密。” “CMG在同一天发现了这一事件,当时CMG发现某些文件被加密了,无法访问。” CMG在发现攻击后立即关闭了系统,并在外部网络安全专家的帮助下开始调查,并向联邦调查局报告了该事件。 自6月份的勒索软件攻击以来,CMG没有发现任何证据表明该事件导致了账户盗窃、欺诈或经济损失。 在攻击期间暴露的个人信息包括姓名、地址、社会安全号码、财务账号、健康保险信息、健康保险单号码、医疗状况信息、医疗诊断信息和在线用户凭证。 “CMG没有支付赎金或提供任何资金给此次事件的威胁行动者。”CMG称“自2021年6月3日以来,CMG的平台中没有发现任何恶意活动。” 事故发生后,该公司还采取了一些措施来提高系统的安全性,以检测和阻止进一步的入侵企图。 CMG解释说:“这些步骤包括多因素认证协议、执行全企业密码重置、部署额外的端点检测软件、重新成像所有终端用户设备,以及重建干净的网络。”   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

FontOnLake Rootkit 恶意软件攻击 Linux 系统

网络安全研究人员详细介绍了一项新的黑客行动,该行动可能以东南亚的实体为目标,工具是一种以前未被识别的Linux恶意软件,该恶意软件被用于进行远程访问,此外还可以收集凭证和充当代理服务器。 该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”,据说具有“设计良好的模块”,可以不断升级新功能。上传到VirusTotal的样本表明,可能最早在2020年5月,利用该威胁的入侵就发生了。 Avast和Lacework实验室正在追踪同样的恶意软件,其代号是HCRootkit。 ESET研究人员Vladislav Hrčka说:“FontOnLake工具隐匿性强,再加上先进的设计和较低的攻击次数,都表明它们被用于有针对性的攻击。”“为了收集数据或进行其他恶意攻击,这个恶意软件家族使用修改过的合法二进制文件,这些二进制文件被用以加载进一步的组件。事实上,为了隐藏它的存在,FontOnLake总是与一个rootkit同时出现。这些二进制文件通常在Linux系统上使用,而且持续时间按比较长。” FontOnLake的工具集包括三个组件,包括木马版本的合法Linux实用程序,该程序用于加载内核模式的rootkit和用户模式后门,所有这些都使用虚拟文件相互通信。基于c++的移植设备本身被设计用来监视系统,在网络上秘密执行命令,并窃取帐户凭证。 后门的第二种排列还具有代理、操作文件、下载任意文件的功能,而第三个变体除了合并其他两个后门的功能外,还配备了执行Python脚本和shell命令的功能。 ESET表示,他们发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠,包括隐藏进程、文件、网络连接和自身,同时也能够执行文件操作,提取并执行用户模式的后门。 目前还不清楚攻击者是如何获得对网络的初始访问权限的,但这家网络安全公司指出,攻击背后的活动者“极度谨慎”,通过依赖不同的、特别的C2服务器和不同的非标准端口来避免留下任何痕迹。 Hrčka说:“攻击者对网络安全非常精通,这些工具可能在未来的活动中被重复使用。”“由于大多数功能的设计只是为了隐藏它的存在,中继通信,并提供后门访问,我们认为这些工具主要用于维护基础设施,以服务于其他未知的恶意目的。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接