Zoe

o(* ̄▽ ̄*)ブ

欧洲主要呼叫中心提供商之一的 GSS 遭受了勒索软件攻击

Covisian的西班牙和拉丁美洲子公司GSS受到了一场严重的勒索软件攻击,该公司的大部分IT系统被冻结,其西班牙语客户群的呼叫中心也受到了干扰。 本周,位于西班牙和拉丁美洲的联系中心和为公司和政府机构提供的自助客户帮助电话服务失联。 据知情人士透露,受到影响的机构包括沃达丰西班牙、MasMovil互联网服务商、电视台、马德里供水供应商以及几家私营企业。 GSS高管在一封致受影响客户的信中称,他们已经关闭了所有受此次攻击影响的内部系统,目前正在使用基于谷歌的系统作为备份。 该公司当时表示,“在事故解决之前,所有应用程序都无法工作。”同时,恢复时间尚未公布。 在信的开头一句话,GSS言明这次勒索软件的攻击“不可避免”。据Covisian的一位女发言人说,Conti团伙于9月18日星期六实施了这次袭击。 尽管Conti团伙窃取目标网络数据的恶举人尽皆知,但Covisian声称“没有任何个人数据泄露”,而且该事件对其客户没有影响。 虽然Covisian在其他欧洲国家也提供客户服务,但此次攻击仅限于GSS的网络。 INCIBE西班牙国家网络安全研究所没有就GSS事件发表评论。   消息来源:TheDigitalHacker,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客入侵 Bitcoin.org,实施“钱翻倍”骗局,卷走1.7万美元

本周,威胁分子攻击了比特币基金会的官方网站Bitcoin.org,并利用官网宣传加密码货币赠送骗局,不幸的是,有些用户上当了。虽然黑客入侵持续了不到一天,但黑客们已经窃取了1.7万多美元。 如下图所示,9月23日,bitcoin.org主页声明: “比特币基金会正在回馈社区!我们希望回馈多年来帮助我们的用户,”鼓励用户向攻击者显示的钱包地址发送比特币。“把比特币发送到这个地址,我们会返还双倍的金额!” 此外,为了增加这种说法的吸引力,骗子们写道,这项服务仅限于前1万名用户。 攻击者鼓励用户将资金发送到的钱包地址是: 1 ngofwgsfz19rrcuhtmmulpmdek45nrd5n 黑客入侵发生后不久,Bitcoin.org网站运营商Cøbra也就该事件发布了公开警告: 尽管比特币被认为是由匿名者“中本聪”(Satoshi Nakamoto)创造的,但人们最近看到一个较新的身份“Cøbra”正管理着Bitcoin.org网站、社交媒体和社区渠道。 在Cøbra的声明之后,Bitcoin.org的域名注册商Namecheap也立即关闭了该域名。 然而,不幸的是,一些加密货币爱好者可能上当了,从攻击者的钱包余额中便可看出。交易记录显示攻击者的钱包里有多个不同比特币地址的存款。 钱包的最新更新余额为0.40571238 BTC,约为1.7万美元。 Bitcoin.org现在已经恢复,但是,网站被劫持的根本原因仍未得到证实,有人怀疑这是DNS劫持[1,2]。 无偿赠送骗局已经成为加密货币领域的一个常见主题,设置这些诱饵的攻击者很少空手而归的。就在几天前,BleepingComputer报道了通过电子邮件传播的“埃隆·马斯克互助”骗局。尽管大众认为没有人会轻易相信这些骗局,但类似的加密骗局证实是非常有效的,并在过去达成了数十万美元的交易。 例如,Twitter在2021年1月遭受了一次大规模攻击,加密诈骗者在一周内骗取了58万美元,然后在2月另一个诈骗者偷走了14.5万美元。 因此,用户应该对加密货币诈骗和电子邮件保持警惕。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英国国防部第二次电子邮件数据泄露

据BBC报道,本月有55名阿富汗人的资料泄露,据称,他们是Arap方案(阿富汗重新安置和援助政策)候选人。他们的电子邮件地址对所有收件人都是可见的,而这些接收者中至少有一人来自阿富汗国家军队。根据Arap方案,任何协助英国在阿富汗战斗的阿富汗人,都可以申请到英国,以免受到塔利班的迫害。如果本次的泄露信息落入不法分子手中,他们可能会面临生命风险。 此前,英国国防部周一对一起数据泄露事件展开调查,这起事件导致250多名为英国部队工作的阿富汗口译员的电子邮件地址被错误地共享,使250多名阿富汗口译员陷入生命危险。 本周,国防部长Ben Wallace发起了对该团队内部数据处理的调查,周二为首次数据泄露事件道歉。他说调查已经展开,一名国防官员已被停职。“目前已采取措施,确保今后不会发生这种情况。我们向那些受影响的人表示歉意,并向他们提供额外的支持。”   消息来源:The Register,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

BlackMatter 团伙窃取1tb数据,勒索新合作社590万美元

BlackMatter勒索软件团伙袭击了爱荷华州的一家农业企业“新合作社”,并要求590万美元的赎金。 周一,几名安全研究人员最先关注了对这次黑客攻击事件,该公司也坦诚自己遭到了网络攻击,并相应地关闭了自己的系统。这是继5月份REvil团伙对JBS发起勒索软件攻击之后,对农业行业的又一次重大打击。研究人员称,REvil团伙与BlackMatter团伙有关。 新合作社在一份电子邮件声明中表示:“出于高度谨慎,我们已经主动下线我们的系统,以此来遏制威胁,我们可以肯定,它已被成功遏制。”“我们也迅速通知了执法部门,并正在与数据安全专家密切合作,调查和纠正这种情况。” 新合作社成立于1973年,总部设在爱荷华州道奇堡,是一个会员拥有的农民合作社,在爱荷华州的北部、中部和西部有60个经营点。 在9月19日发布在网上的谈判中,一名代表该公司的人士表示,这次袭击将给食品供应链带来严重问题。他们写道:“我们是美国食品供应的关键基础设施,我们与美国的食品供应链交织在一起…如果我们不能在短时间内恢复,粮食、猪肉和鸡肉供应链就会出现非常非常公开的中断。大约40%的粮食生产在我们的软件上运行,1100万动物饲料的生产计划依赖于我们。” BlackMatter极有可能遵循安全公司 Cybereason 所说的“四重敲诈”。四重勒索不仅包括用恶意软件加密文件和盗取数据,还包括威胁公开发布信息或将其出售给竞争对手。如果受害者联系执法官员、数据恢复专家或谈判人员,该计划还包括威胁受害者。BleepingComputer称,在BlackMatter非公开网站截图中,该团伙声称从合作社窃取了大约1tb 的数据,包括 soilmap. com 项目的源代码、研发结果、员工敏感信息、财务文件以及 KeePass 密码管理器的导出数据库。曾在美国国家安全局的精英黑客团队工作的杰克 · 威廉姆斯怀疑,在发动攻击之前,黑客团伙可能把 新合作社误认为是一家 IT 公司或软件公司。 安全公司Digital Shadows的高级网络威胁情报分析师 Chris Morgan声明,美国联邦调查局很重视勒索软件集团针对食品、饮料和农业部门构成的风险。FBI表示,农业产业使用的系统——包括工业控制系统和智能技术——正成为勒索软件集团的主要目标。   消息来源:CyberScoop,BankInfoSecurity,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FamousSparrow APT 组织侵入酒店、政府和企业

一个名为“FamousSparrow”的网络间谍组织利用微软Exchange服务器的ProxyLogon漏洞及其自定义后门“SparrowDoor”,将全球各地的酒店、政府和私人企业作为目标。   ESET研究人员Matthieu Faou称ESET正在跟踪该组织,他们认为,自2019年以来FamousSparrow一直很活跃。3月3日,攻击者开始利用ProxyLogon漏洞,已有10多个高级持续威胁(APT)组织利用该漏洞接管Exchange服务器。   FamousSparrow主要针对酒店;然而,研究人员发现其他部门也有一些目标,包括政府、国际组织、工程公司和律师事务所。受害者分布在巴西、布基纳法索、南非、加拿大、以色列、法国、立陶宛、危地马拉、沙特阿拉伯、中国台湾、泰国和英国。   “在恶意软件方面,该组织没有多大的发展,但在目标方面,他们在2020年做出转变,他们开始以全球酒店为目标,”Faou谈到该组织的发展时说。FamousSparrow之所以与众不同,是因为它专注于酒店,而不仅是流行的APT目标,比如政府。   “我们认为他们的主要动机是间谍活动,”他补充道。酒店是APT组织的主要目标,因为它可以让攻击者收集目标的旅行习惯数据。他们还可能侵入酒店的Wi-Fi基础设施,监听未加密的网络通信。”   他们说,在研究人员能够确定初始危害矢量的情况下,FamousSparrow利用脆弱的面向互联网的应用程序锁定受害者。该组织利用了Microsoft Exchange已知的远程代码执行漏洞,包括3月份的ProxyLogon漏洞,以及Microsoft SharePoint和Oracle Opera(一种用于酒店管理的商业软件)。   服务器被攻破后,攻击者部署了几个自定义工具:Mimikatz的一个变体、 NetBIOS扫描程序Nbtscan和一个将ProcDump转到磁盘上的小工具,该工具将转移到另一个进程,而研究人员表示该进程可能会被用来收集内存机密。   攻击者还为他们的SparrowDoor后门放置了一个载入程序,这是他们独有的工具。   Faou说:“SparrowDoor使攻击者能够几乎完全控制被攻击的机器,包括执行任意命令或窃取任何文件。”SparrowDoor的部署,以及服务器端漏洞的使用,是该组织的主要特点。   研究人员认为FamousSparrow是自行运作的,但也发现了与其他已知APT组织的联系,包括SparlingGoblin和DRBControl。   Faou说:“他们很可能共享工具或接近受害者,但我们认为他们是独立的威胁团体。”   研究人员说,这提醒企业要迅速给面向互联网的应用程序打补丁。如果无法快速打补丁,建议企业不要将应用程序暴露在互联网上。   消息来源:Darkreading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

零日漏洞允许在 macOS 系统上运行任意命令

独立安全研究员 Park Minchan 透露,苹果 macOS Finder 中存在一个零日漏洞,攻击者可以利用这个漏洞在运行任何 macOS 版本的 Mac 系统上运行任意命令。   这个漏洞是因为 macOS 处理 inetloc 文件的方式会使它运行嵌入在其中的命令。SSD Secure Disclosure advisory称,它运行的命令可以是 macOS 的本地命令,在没有任何提示的情况下执行任意命令。   Internet 位置文件是一种系统书签,双击它,就会打开一个在线资源或本地文件(file://)。   最初,苹果公司默默地解决了这个漏洞,但是Minchan注意到苹果公司并没有完全解决这个漏洞。专家发现,仍然可以使用不同的协议(从 FiLe://到 FiLe://),利用这个漏洞来执行嵌入的命令。“较新版本的 macOS (来自 Big Sur)阻止了前缀://的文件(在 com.apple.generic-internet-location 中) ,但是他们做了一个案例匹配,导致 fIle://或 fIle://绕过了检查。”   研究人员还为这个问题提供了PoC漏洞代码和一个视频演示: BleepingComputer称,在撰写本文时,PoC 代码的病毒检测率为零。   消息来源:securityaffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接