分类: 今日推送

美国悬赏 1000万 美元,征集 Conti 成员信息

美国国务院今天宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息,包括首次展示了其中一名成员的脸。正义奖赏计划是美国国务院的一项计划,会用高额金钱来奖励那些能够提供影响美国国家安全者相关信息的人。该计划最初是为了收集针对美国利益的恐怖分子的信息,现在已经扩大到为网络罪犯的信息提供奖励,如俄罗斯沙虫黑客、REvil勒索软件和邪恶集团黑客。 美国政府首次披露Conti成员的外貌 今天,国务院首次披露了被称为 “Target “的Conti勒索软件操作者的外貌,为他和其他四名被称为 “Tramp”、”Dandis”、”Professor “和 “Reshaev “的成员的信息提供了高达1000万美元的奖励。 正义奖赏计划悬赏1000万美元寻找Conti成员的信息 Conti勒索软件是一个臭名昭著的勒索软件组织,据统计,该勒索组织对全球超过1000次攻击负责,并收到超过1.5亿美元的赎金。在2020年夏天从Ryuk改名为Conti之后,这个勒索软件组织迅速崛起,出手攻击了高知名度的受害者,包括塔尔萨市、布劳沃德县公立学校以及爱尔兰卫生服务执行局(HSE)和美国卫生部(DoH)。 Conti选择与俄罗斯站在一起 然而,在俄乌战争中,Conti选择与俄罗斯站在一起后,一名乌克兰安全研究员开始泄露Conti勒索软件团伙成员之间的17万多条内部聊天对话以及Conti勒索软件加密器的源代码。这一数据泄露事件统称为“Conti泄露事件”。 此次发生的Conti数据泄露事件不仅导致Conti勒索软件的最终关闭,而且流出的内部谈话也使网络安全研究人员和执法部门能够迅速确定谁在负责该行动以及他们的职权划分。 一些Conti的成员在各个攻击行动中起到了重要的核心作用,因此现在已经成为正义奖赏计划的目标。 AdvIntel首席执行官Vitali Kremez向外界宣布的计划目标成员在Conti行动中具有以下作用: Tramp是BlackBasta勒索软件行动的所有者/领导者,之前是Conti勒索软件行动的领导者之一。他也是Qbot恶意软件指挥和控制基础设施业务的所有者和管理者。 Dandis是技术经理和领导,负责管理勒索软件行动的技术经理和领导者。 Professor是Ryuk的领导人之一,负责从战术层面进行勒索软件的操作。 Reshaev是Ryuk/Conti勒索软件的核心领导者/开发者和操作者,为有效载荷提供网络构建器,并为勒索软件操作提供前端和后端支持。 Target是办公室经理同时也是运营 “Ryuk/Conti “办公室的团队领导。他负责网络犯罪集团的实际运作,与其他四个目标不同的是,Target拥有一定的执法背景。 虽然Conti勒索软件品牌已经关闭,但其成员仍然完全活跃,并在其他勒索软件行动和勒索集团中运作。 出于该原因,正义奖赏计划希望通过高额的金钱奖励来鼓励人们提交线索防止未来的攻击。 据《连线》杂志称,美国国务院正在寻找成员的实际位置以及度假和旅行计划。虽然出于一些原因俄罗斯并不会协助美国进行网络调查,但这些攻击者中的许多人可能会离开俄罗斯去度假、探亲等,美国盟友可以在边境逮捕他们。 为了便于线索的提交,美国国务院已经建立了一个专门的Tor SecureDrop服务器,可以匿名的形式来提交被通缉的Conti成员的信息。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341747.html 封面来源于网络,如有侵权请联系删除

涉及金额 5.4 亿美元,网络犯罪分子正通过 RenBridge 跨链平台洗钱

据The Record网站消息,一些黑客和加密货币盗窃者正在转向所谓的跨链平台洗钱,并试图避免执法部门追踪和冻结他们的非法收益。 根据区块链分析公司 Elliptic 本周发布的研究报告,在过去3年中,名为 RenBridge 的平台已被用于洗钱至少 5.4 亿美元的加密货币,该平台允许在不同的区块链网络之间无缝移动资产,例如将比特币转换为以太坊区块链。 目前。一些跨链桥被合法地用于帮助较新的加密货币与更通用的数字资产竞争,但这些平台也越来越受到网络犯罪分子的青睐,相比那些受监管的加密货币交易所,这些新型平台往往不会要求对客户进行过多的身份识别并向执法部门提供信息。 根据研究,一些最臭名昭著的网络犯罪集团已经使用了这些服务,比如攻击了哥斯达黎加政府而出名的Conti,通过 RenBridge 洗钱超过 5300 万美元;而 Ryuk 洗钱超过 9200 万美元,目前转账仍在进行中。 Elliptic 表示,在过去两年中,RenBridge还被用来清洗从交易所和去中心化金融服务中窃取的至少 2.67 亿美元加密货币资产,其中包括从日本加密货币交易所 Liquid 盗窃的 3380 万美元,该公司在去年 8 月与朝鲜有关的一次攻击中总共损失了 9700 万美元。 据 Chainalysis 的数据, 网络犯罪分子长期以来一直滥用加密货币的去中心化和不受监管的性质,使他们在去年洗钱86 亿美元。尽管加密货币为网络犯罪分子提供了一些匿名性,但它们并非无法追踪。网络犯罪分子不得不利用各种工具来隐藏被盗数字资产的来源。 Elliptic 的研究强调了跨链网络所带来的威胁:通过在区块链网络中轻松转移资金来隐藏被盗资金的来源。 Elliptic 研究人员写道:“RenBridge 等区块链桥对监管机构构成了挑战,因为没有中央服务提供商可以促进这些跨链交易。” “金融行动特别工作组 (FATF) 最近在其关于虚拟资产风险的最新报告中指出了通过‘链式跳跃’进行的洗钱活动,但如何监管此类活动仍有待观察。” 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341744.html 封面来源于网络,如有侵权请联系删除

PyPI 中发现新恶意 Python 库

Check Point的安全研究人员在Python软件包索引(PyPI)上发现了10个恶意软件包,这是Python开发人员使用的主要Python软件包索引。 第一个恶意软件包是Ascii2text,这是一个通过名称和描述模仿流行艺术包的恶意包。在Check Point的公告中称攻击者为了防止用户意识到这是个恶意假包,因此复制了整个项目描述,而非过去常见的部分复制描述。一旦下载了Ascii2text,其将会通过下载一个脚本,收集存储在谷歌浏览器、微软Edge、Brave、Opera和Yandex浏览器等网络浏览器中的密码。 Check Point在其公告中还提到了Pyg-utils、Pymocks和PyProto2这三个独立的软件包,其共同目标是窃取用户的AWS凭证。 Test-async和Zlibsrc库也出现在报告中。据Check Point称,这两个包在安装过程中会下载并执行潜在的恶意代码。 Check Point还提到了另外三组恶意软件包。Free-net-vpn、Free-net-vpn2和WINRPCexploit,它们都能够窃取用户凭证和环境变量。 最后,Check Point的公告提到了Browserdiv,这是一个恶意软件包,其目的是通过收集和发送证书到预定义的Discord网络钩子来窃取安装者的证书。Check Point在公告中写道虽然根据其命名组成,Browserdiv似乎是针对网页设计相关的编程(浏览器,div),但根据其描述,该包的动机是为了在Discord内部使用自我机器人。 据Check Point的公告称,一旦安全研究人员发现这些恶意用户和软件包,他们就通过PyPI的官方网站发出警报,在Check Point披露了这些恶意软件包之后,PyPI很快就删除了这些软件包。 不幸的是,这不是第一次在PyPI仓库上发现恶意的开源包了。2021年11月,JFrog安全研究团队透露,它从PyPI发现了11个新的恶意软件包,下载量超过40,000。为了减少恶意软件包在PyPI上的出现,PyPI资源库的团队在7月开始对被归类为 “关键 “的项目执行双因素认证(2FA)政策。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341509.html 封面来源于网络,如有侵权请联系删除

美国将与朝鲜黑客有关的加密货币 Tornado Cash 公司列入黑名单

近日,美国财政部海外资产控制办公室 (OFAC) 今天批准了加密货币混合器 Tornado Cash一种去中心化加密货币混合服务,据悉,自 2019 年创建以来用于洗钱超过 70 亿美元。 朝鲜支持的 APT Lazarus Group 还使用加密货币混合器恶意洗钱大约 4.55 亿美元,这是有史以来最大的已知加密货币抢劫案。据悉,这是自 Lazarus 在 4 月入侵 Axie Infinity 的 Ronin 网桥后窃取价值 6.2 亿美元的以太坊以来,攻击后收集的总赏金的一部分。 Tornado Cash 还被用于在 6 月 Harmony Bridge 黑客攻击事件中洗钱超过 9600 万美元 (其中 1 亿美元被盗),以及至少 780 万美元来自 8 月 Nomad Heist  (被盗 1.5 亿美元)。 在入侵区块链音乐平台Audius、Beanstalk DeFi 平台和去中心化加密货币交易所Uniswap以及 Arbix Finance退出骗局之后,这种加密混合器还被用来使追踪被盗资金变得更加困难。 “今天,财政部正在制裁 Tornado Cash,这是一种虚拟货币混合器,可以清洗网络犯罪的收益,包括针对美国受害者的犯罪,”负责恐怖主义和金融情报的财政部副部长 Brian E. Nelson 说。“尽管公众另有保证,但 Tornado Cash 一再未能实施旨在阻止其定期为恶意网络行为者洗钱的有效控制措施,并且没有采取基本措施来解决其风险。” 财政部对加密货币混合器实施制裁绝非第一次 此前,美国财政部官员今年发起了一波制裁,以防止加密货币被用于逃避制裁和洗钱。今年4月,在首次制裁虚拟货币混币器之前不久,美国财政部也首次点名了一家加密货币挖矿公司——总部设在瑞士的Bitriver AG,因为它在俄罗斯科技领域运营。同样在那个月,美国财政部还指控总部位于莫斯科的Garantex加密货币交易所“故意无视”反洗钱义务,并“允许(其)系统被非法行为者滥用”。 金融犯罪执法网络 (FinCEN) 还于 2020 年 10 月对 Helix 和 Coin Ninja 混合器服务的创始人和运营商拉里·迪恩·哈蒙 (Larry Dean Harmon) 发出了有史以来第一次民事罚款,罪名 是违反了《银行保密法》(BSA) 及其实施条例。 FinCEN 当时透露,使用 Helix 不倒翁洗钱的最大数量的加密货币来自暗网非法市场,包括 AlphaBay、Dream Mark、Agora Market、Nucleus 等。 “协助犯罪分子的虚拟货币混合器对美国国家安全构成威胁。财政部将继续调查混合器用于非法目的的情况,并利用其权力应对虚拟货币生态系统中的非法融资风险,”OFAC 今天补充道。 “正如今天的行动所表明的那样,虚拟货币公司通常应将混合器视为高风险,只有当它们有适当的控制措施以防止混合器被用于洗钱非法收益时,它们才应处理交易。” 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/oh4s1eF0dT415wf-WNe9YA 封面来源于网络,如有侵权请联系删除

员工被钓鱼,云通讯巨头 Twilio 客户数据遭泄露

据Bleeping Computer网站8月8日消息,云通讯巨头Twilio表示,有攻击者利用短信网络钓鱼攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。 根据Twilio在上周末的公开披露,8月4日,Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员,向公司员工发送短信,警告他们的系统密码已经过期,需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。 当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”,以及有多少客户数据受到泄露影响时,Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示,已经与美国的短信供应商取得联系,封闭了发送钓鱼短信的账户。 员工收到的钓鱼短信 Twilio尚未确定攻击者的身份,但已联系执法部门对攻击者展开调查。为此,Twilio已经封禁了在攻击期间遭到破坏的员工账户,以阻止攻击者访问其系统,并已开始通知受此事件影响的客户。 Twillio在 17 个国家和地区拥有26 个办事处,共计 5000 多名员工,提供可编程语音、文本、聊天、视频和电子邮件 API,被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。 Twilio还在2015年2月收购了Authy,这是一家面向终端用户、开发者和企业的流行双因素认证(2FA)供应商,在全球拥有数百万用户。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341361.html 封面来源于网络,如有侵权请联系删除

微软阻止 Tutanota 电子邮件地址注册 MS Teams 帐户

Hackernews 编译,转载请注明出处: 微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。 Tutanota是一款端到端加密的电子邮件应用程序和免费增值安全电子邮件服务,截至2017年3月,Tutanota称用户已经超过200万。 “大西洋两岸的政客们正在讨论制定更强有力的反垄断法来监管大型科技公司——正如微软团队阻止Tutanota用户访问那样,这些法律是非常有必要的。大型科技公司有市场力量,可以通过一些非常简单的方法来伤害小型竞争对手,比如拒绝小公司的客户使用自己的服务。这家德国电子邮件服务提供商分享了一条评论,“目前,微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。这种严重的反竞争做法迫使我们的客户注册第二个电子邮件地址(可能来自Microsoft),以创建Teams帐户。” 微软不会将该公司识别为电子邮件服务,而是将其视为公司地址。Tutanota用户第一次注册Teams帐户时,其域被识别为公司,因此,其他使用该流行电子邮件服务的用户都无法注册其账户,并被要求联系其管理员。 Tutanota联合创始人Matthias Pfau表示:“我们多次试图与微软解决这个问题,但不幸的是,我们的请求被忽视了。” “微软只需更改Tutanota是电子邮件服务的设置,这样每个人都可以注册个人帐户,但他们(微软)表示这样的更改是不可能的。” 让我们看看微软是否会解决这个问题,允许200万用户使用其MS Teams服务。 消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

GwisinLocker:专门针对韩国的勒索软件

Hackernews 编译,转载请注明出处: 研究人员警告称,一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司,其名称来自作者“Gwisin”(韩语中的幽灵)的名字。 勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示,韩国警方,国家情报局和KISA等韩国实体的名称也出现在勒索信上。 据当地媒体报道,Gwisin黑客在公休日和凌晨攻击了韩国公司。 Windows系统上的攻击链利用MSI安装程序,需要一个特殊值作为参数来运行MSI中包含的DLL文件。 “它类似于Magniber,因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同,Gwisin本身不执行恶意行为,它需要为执行参数提供特殊值,该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动,因此很难检测到Gwisin,勒索软件的内部DLL通过注入正常的Windows进程来运行,对于每个受攻击的公司来说,这个过程都是不同的。” GwisinLocker勒索软件能够在安全模式下运行,它首先将自身复制到ProgramData的某个路径,然后在强制系统重新启动之前注册为服务。 Reversinglabs的研究人员分析了勒索软件的Linux版本,他们指出这是一种复杂的恶意软件,具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合,为每个文件生成唯一密钥。 Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站,才能与黑客取得联系。 “对更大规模的GwisinLocker活动的分析和公开报道表明,勒索软件掌握在复杂的黑客手中,他们在部署勒索软件之前获得了对目标环境的访问和控制权,这包括识别和窃取敏感数据,用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明,他们熟悉韩语以及韩国政府和执法部门。因此人们猜测,Gwisin可能是一个与朝鲜有关的高级持续威胁(APT)组织。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Twitter 证实,零日漏洞致 540 万账户数据泄露

Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份,Hacker 上发布的一份报告声称发现了一个漏洞,攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户,即使用户已选择在隐私选项中阻止这种情况。 “该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID(这几乎等于获取账户的用户名),即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程,特别是在检查 Twitter 账户重复的过程中,存在该错误。”zhirinovskiy 提交的报告中指出:“通过漏洞赏金平台 HackerOne,这是一个严重的威胁,因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户,而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前(创建一个带有电话/电子邮件到用户名连接的数据库)。此类基地可以出售给恶意方用于广告目的,或用于在不同的恶意活动中对名人进行攻击。” 卖家声称该数据库包含从名人到公司的用户数据(即电子邮件、电话号码)。卖家还以 csv 文件的形式分享了一份数据样本。 在帖子发布几个小时后,Breach Forums 的所有者验证了泄漏的真实性,并指出它是通过上述 HackerOne 报告中的漏洞提取的。 “我们下载了样本数据库进行验证和分析。它包括来自世界各地的人,拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。” 卖家告诉 RestorePrivacy,他要求为整个数据库至少支付 30,000 美元。 现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。 Twitter 确认了此漏洞的存在,并授予了 zhirinovskiy 5,040美元的奖金。 “我们想让你知道一个漏洞,该漏洞允许某人在登录流程中输入电话号码或电子邮件地址,以试图了解该信息是否与现有的 Twitter 账户相关联,如果是,哪个特定账户。” Twitter 的公告。“在 2022 年 1 月,我们通过我们的漏洞赏金计划收到了一份漏洞报告,该漏洞允许某人识别与账户关联的电子邮件或电话号码,或者,如果他们知道某人的电子邮件或电话号码,他们可以识别他们的 Twitter 账户,如果存在的话,”这家社交媒体公司继续说道。 “这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。” 该公司正在通知受影响的用户,它还补充说,它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码,但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证,以保护其账户免受未经授权的登录。 BleepingComputer报告说,两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/G9mHzpFpEcbLzwDb1KpuMg 封面来源于网络,如有侵权请联系删除

Solana 被盗 500 万美元,具体原因尚不明确

攻击者从区块链平台Solana窃取了超过500万美元,具体的失窃原因仍在进一步调查中调查中。 总部位于旧金山的去中心化区块链平台Solana,昨天上午在官方Twitter上确认了这一事件,Solana声称此次攻击有7767个钱包受到影响,其中包括了Slope和Phantom用户,并要求受影响的用户填写一份在线调查,以帮助其工程师查清事情的真相。 Solana声称他们的工程师们目前正在与多个安全研究人员和生态系统团队合作,以确定该漏洞的根本原因,现在虽然没有直接证据表明硬件钱包受到了影响。但还是强烈建议用户使用硬件钱包并且不要在硬件钱包上重复使用的种子短语,而应该创建使用独立的种子短语。被排出的钱包应被用户视为受到损害的状态,并要及时放弃。 Solana将自己宣传为 “世界上最快的区块链 “和 “加密货币中增长最快的生态系统”,拥有成千上万的项目,涉及DeFi、NFTs、Web3和其他领域。 Pixel Privacy消费者隐私的Chris Hauk对外界解释道,Solana攻击只是最近一系列对加密货币的攻击中的最新一次。面对这些攻击,用户普遍希望撤销他们钱包上的任何第三方权限,直到Solana和其他被攻击的交易所完全修复产生这些攻击问题的漏洞。投资者也应该把他们的加密货币从热钱包转移到冷钱包。” 这一事件是一连串针对加密货币公司漏洞事件的衍生,其中包括有史以来最大的一次加密货币盗窃案,当时朝鲜黑客从以太坊侧链Ronin Network盗窃了近6.2亿美元,这超过了去年8月在Poly Network发生的6.1亿美元的攻击案。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341112.html 封面来源于网络,如有侵权请联系删除

针对微软企业电子邮件服务,大规模网络钓鱼攻击来袭

近期,来自ThreatLabz的安全研究人员发现了一批大规模的网络钓鱼活动,该活动使用中间人攻击 (AiTM) 技术以及多种规避策略。据该公司本周二发布的一份公告,上个月微软遭遇的一次网络钓鱼攻击中似乎也使用了这种中间人攻击技术。ThreatLabz还透露,从Zscaler 云收集的情报分析,6月的大规模网络攻击中使用高级网络钓鱼工具包的情况有所增加,而使用这项新攻击技术的钓鱼活动也在增加。 据分析,这些网络钓鱼活动和微软发现的活动如出一辙,它们不但使用AiTM绕过多因素身份验证 (MFA),还在攻击的各个阶段使用了多种规避技术,旨在绕过典型的电子邮件安全和网络安全解决方案。ThreatLabz认为该活动是专门为使用微软电子邮件服务的企业而设计的。 “商业电子邮件泄露 (BEC) 对企业来说仍是一个威胁,此次活动进一步强调了防范此类攻击的必要性。” ThreatLabz表示,这些网络钓鱼攻击第一步就是向受害者发送带有恶意链接的电子邮件,威胁参与者几乎每天都在注册新的网络钓鱼域名,并且大多数目标企业是金融科技、贷款、金融、保险、会计、能源和联邦信用合作社行业等行业。而且多数目标企业位于美国、英国、新西兰和澳大利亚。 虽然多因素身份认证在大部分的时间可以保障安全,但也不能完全信任其带来的安全性。毕竟通过使用中间人攻击(AiTM)和巧妙的规避技术,威胁参与者还是可以绕过传统和高级安全解决方案。作为额外的预防措施,ThreatLabz 表示用户不应打开附件或单击来自不受信任或未知来源的电子邮件中的链接。作为最佳实践,用户应在输入任何凭据之前验证浏览器地址栏中的 URL。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341011.html 封面来源于网络,如有侵权请联系删除