分类: 网络攻击

伊朗勒索软件组织攻击美国企业,遭美政府溯源真实身份并制裁

美国财政部海外资产控制办公室(OFAC)昨天宣布,对隶属于伊朗伊斯兰革命卫队(IRGC)的10名个人和两家实体实施制裁,理由是他们参与了勒索软件攻击。 美国财政部声称,过去两年以来,这些个人涉嫌参与多起勒索软件攻击,并入侵了美国和全球其他地区组织的网络。 这些恶意活动,还与多家网络厂商分别跟踪的国家资助黑客活动存在交集,具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。 美国财政部表示,“已经有多家网络安全公司发现,这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击,包括勒索软件和网络间谍活动。” “该团伙针对全球各组织及官员发起广泛攻击,重点针对美国及中东地区的国防、外交和政府工作人员,同时也将矛头指向媒体、能源、商业服务和电信等私营行业。” 三名成员信息被悬赏3000万美元 作为伊朗伊斯兰革命卫队的附属组织,该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC(简称Najee Technology)和Afkar System Yazd公司(简称Afkar System)员工,其中包括: Mansour Ahmadi:Najee Technology公司法人、董事总经理兼董事会主席 Ahmad Khatibi Aghda:Afkar System公司董事总经理兼董事会成员 其他雇员及同事:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo”in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh 美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员,理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部(MOIS)开展合作。 一年之后,美国财政部又制裁了Rana Intelligence Computing公司及部分员工,称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。 在此次制裁公告中,美国国务院提供3000万美元,征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击,面临美国司法部的指控。 图:悬赏海报(美国国务院) 美国安全公司提供溯源证据链 昨天,美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告,描述了该威胁团伙的恶意活动并披露了技术细节。 安全公司Secureworks也紧跟发布一份报告,证实了美国财政部的信息。 Secureworks公司表示,由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误,该公司成功将Nemesis Kitten(也称Cobalt Mirage)团伙同伊朗的Najee Technology、Afkar System两家公司,以及名为Secnerd的另一家实体联系了起来。 Secureworks公司反威胁部门(CTU)在今年5月的报告中,也曾提到涉及Nemesis Kitten的类似恶意攻击(与Phosphorus APT团伙存在交集)。 上周,微软表示,Nemesis Kitten(也称DEV-0270)团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙(又名Charming Kitten和APT35)的子部门,为个人或公司获取非法收入。” 微软将该团伙与多家伊朗企业联系了起来,其中包括Najee Technology、Secnerd和Lifeweb。 微软解释道,“该团伙的攻击目标有很大的随机性:他们会首先扫描互联网以查找易受攻击的服务器和设备,因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”   转自 安全内参,原文链接:https://www.secrss.com/articles/46950 封面来源于网络,如有侵权请联系删除

借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击

当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。2015年,她成为历史上在位时间最长的英国君主,打破了她的曾曾祖母维多利亚女王创下的纪录。 各国政府纷纷对此表示哀悼,女王的葬礼后续事宜也在按照以往的规格和节奏有序进行。9月15日,英国伦敦深夜举行女王伊丽莎白二世葬礼彩排,并将于19日为女王举行隆重的国葬仪式。 假借悼念之名,行网络攻击之实 就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。 攻击者实施网络钓鱼攻击的具体做法是,向用户发送一封带有恶意链接的电子邮件,内容如下图所示: 邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。 很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。 EvilProxy一键反向代理 值得注意的是,在此次网络钓鱼攻击中,安全研究人员观察到不少攻击者正在使用EvilProxy一键反向代理和Cookie 注入,以此绕过2FA 身份验证。关于EvilProxy反向代理服务的具体内容,FreeBuf在 (EvilProxy文章) 进行了说明。 事实上,安全研究人员并非首次观察到此类攻击方式,在以往的APT和针对性间谍活动中也曾多次出现。而随着EvilProxy将这类功能逐渐产品化,那么未来针对在线服务和MFA授权机制的攻击将会迎来较高的增长。 EvilProxy首次出现在安全人员的视野是在2022年5月上旬,当时其背后的攻击组织发布了一段演示视频,详细介绍了该工具是如何提供高级网络钓鱼攻击服务,并声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。 其原理较为简单,攻击将受害者引导至网络钓鱼页面,使用反向代理获取用户期望的所有合法内容,包括登录页面——当流量通过代理时,它会进行嗅探。通过这种方式,攻击者可以获取有效的会话 cookie 并绕过用户名、密码、2FA令牌进行身份验证等操作,从而实现访问目标账户。 EvilProxy服务承诺窃取用户名、密码和会话cookie,费用为150美元(10天)、250美元(20 天)或400美元(30天)。而针对Google帐户攻击的使用费用更高,为 250/450/600 美元。Resecurity还在社交平台上演示了,EvilProxy是如何针对Google帐户发起网络钓鱼攻击。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/344662.html 封面来源于网络,如有侵权请联系删除

黑客利用 WPGateway 零日漏洞,28 万网站险遭攻击

Hackernews 编译,转载请注明出处: 最新版本的WordPress付费插件WPGateway中的一个零日漏洞正在被积极利用,可能允许黑客完全接管受影响的网站。 WordPress安全公司Wordfence指出,该漏洞被跟踪为CVE-2022-3180(CVSS 评分:9.8),正在被武器化以将恶意管理员用户添加到运行WPGateway插件的站点。 Wordfence研究员Ram Gall在一份报告中说:“部分插件功能暴露了一个漏洞,允许未经验证的攻击者插入恶意管理员。” WPGateway是站点管理员从统一仪表板上安装、备份和克隆WordPress插件和主题的工具。 运行该插件的网站被入侵的最常见迹象是存在用户名为“rangex”的管理员。 此外,访问日志中出现对“//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1”的请求,表明WordPress网站已被该漏洞锁定,尽管这并不一定意味着成功入侵。 Wordfence表示,在过去30天内,它阻止了超过460万次试图利用该漏洞攻击超过28万个网站的攻击。 由于积极利用和防止其他黑客利用该漏洞,因此未提供有关该漏洞的更多详细信息。在没有补丁的情况下,建议用户从WordPress安装中删除该插件,直到有补丁可用。 几天前,Wordfence警告称,另一个名为BackupBuddy的WordPress插件存在零日漏洞。 同时,Sansec透露,黑客入侵了Magento-WordPress集成供应商FishPig的扩展许可系统,注入恶意代码,旨在安装名为Rekoobe的远程访问木马。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客组织 GhostSec 称入侵以色列 55 家 Berghof PLC

“巴以冲突”在网络上依然硝烟弥漫。当地时间9月12日消息,一个名为GhostSec的黑客组织声称入侵了以色列55台Berghof可编程逻辑控制器(PLC)。该网络攻击行为被视为“解放巴勒斯坦”运动的组成部分。 以色列工业网络安全公司OTORIO对此次事件进行了深入调查,该公司表示,PLC可以通过互联网访问,而且仅有简单的保护凭证,因此该漏洞才得以实现。 9月4日,GhostSec在其Telegram频道上分享了一段视频,展示了成功登录PLC管理面板的过程,以及从被入侵的控制器中转储数据,首次公开此次入侵的细节。 安全公司表示,系统转储文件和屏幕截图是在未经授权下,通过控制器的公共IP地址访问后直接从管理面板导出的。 巴勒斯坦黑客组织GhostSec GhostSec又名Ghost Security(幽灵安全),于2015年首次发现,具有亲巴勒斯坦背景,自称为治安组织,最初成立的目的是针对宣扬伊斯兰极端主义(ISIS)的网站。 今年2月初,俄乌战争爆发后,该组织立即集结起来支持乌克兰。自6月下旬以来,它还参加了一项针对以色列组织和企业的运动。 Cyberint在7月14日指出:“GhostSec转而针对多家以色列公司,可能获得了各种IoT接口和ICS/SCADA系统的访问权限。” 针对以色列目标的攻击活动被称为“#OpIsrael”(反抗以色列),据传始于2022年6月28日,理由是“以色列对巴勒斯坦人的持续攻击”。 在此期间,GhostSec进行了多次攻击,包括针对Bezeq国际公司互联网暴露接口攻击和对科学工业中心(Matam)的ELNet电能表攻击。 从这个角度来看,对Berghof PLC的入侵是GhostSec转向攻击SCADA/ICS领域的一种行动。 研究人员表示:“尽管这次事件的影响很低,但这是一个很好的例子,说明通过简单、适当的配置,可以轻松避免网络攻击,例如禁止向互联网公开资产,保持良好的密码策略,更改默认的登录凭证,可以很好地阻止黑客入侵。” 研究人员解释说,即使攻击并不复杂,OT基础设施的入侵也可能非常危险。GhostSec没有访问和控制HMI,也没有利用Modbus接口,这表明她们可能对OT领域不熟悉。 与此同时,GhostSec继续发布更多截图,声称已经获得了另一个控制面板的权限,可以用来改变水中的氯气和pH值。但其表示,出于为以色列公民安全考虑,不会攻击水厂的工控设备。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344476.html 封面来源于网络,如有侵权请联系删除

乌方:网络攻击瘫痪俄罗斯 2400 个网站

据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。 当地时间9月12日,乌克兰数字转型部在Telegram宣布,其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪,涉及金融业、实体企业、媒体等组织。 俄罗斯联邦最大和最重要的银行:俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪,导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示,“更严重的是,俄罗斯士兵领不到工资,亲属领不到赔偿。” 受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示,“我们注意到,一些宣传人员已经在考虑停战,但现在已经太迟了。” 此外,乌克兰IT团队还在9月1日(苏联解体国家的知识日),通过克里米亚主要电视频道,向学生传达总统泽连斯基的问候。 据乌克兰媒体Ukrinform报道,9月11日俄罗斯对乌克兰展开大规模袭击,哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据,共有40个的变电站停电,4名电力工程师遇难。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344375.html 封面来源于网络,如有侵权请联系删除

谷歌公布最近几个月,乌克兰遭到网络攻击的详细情况

在过去的五个月里,谷歌一直在追踪一个名为 UAC-0098 的出于经济动机的威胁行为者,该行为者一直在针对乌克兰和欧洲的多个实体进行多次恶意活动。 该组织的活动与俄罗斯政府支持的攻击者的活动密切相关,谷歌的威胁分析小组 (TAG) 认为,至少 UAC-0098 的一些成员是 Conti 勒索软件团伙的前成员。 UAC-0098 因在攻击中使用IcedID 银行木马而广为人知,导致部署人为操作的勒索软件,充当 Quantum 和 Conti 等勒索软件组的访问代理。最近,威胁行为者的目标主要是乌克兰政府,该国的各种组织以及欧洲和一些非营利组织。 4月下旬,UAC-0098 发起了一场电子邮件网络钓鱼活动,以传递 AnchorMail,这是由 Conti 集团开发的 Anchor 后门的变体,之前安装为TrickBot模块。 谷歌表示,这些攻击似乎具有经济和政治动机,而且之所以引人注目,是因为 LackeyBuilder 和批处理脚本被用于动态构建 AnchorMail 。 从4月中旬到6月中旬,该组织使用 IcedID 和Cobalt Strike等恶意软件发起了针对乌克兰酒店业组织的电子邮件活动。 在5月的一次活动中,攻击者冒充乌克兰国家网络警察发送网络钓鱼电子邮件,而在另一次活动中,他们使用了印度一家酒店的被盗账户。同一个电子邮件帐户也被用于针对意大利的人道主义非政府组织,同样使用 IcedID。 同样在5月,UAC-0098冒充Elon Musk 和 StarLink 的代表发送网络钓鱼电子邮件。其中一些电子邮件针对政府、零售和技术部门的各种乌克兰组织。 5月下旬,攻击者以网络钓鱼电子邮件为目标,攻击乌克兰新闻学院 (AUP),该电子邮件链接到 Dropbox 上的恶意文档,该文档将获取 Cobalt Strike dll。酒店业的组织也成为这些电子邮件的目标。 6月,UAC-0098 被发现利用 CVE-2022-30190,这是一个Windows 漏洞,也称为 Follina。谷歌表示,它通过 10,000 多封冒充乌克兰国家税务局的电子邮件破坏了垃圾邮件活动,这些电子邮件获取了 Cobalt Strike 信标。 谷歌指出:“UAC-0098 活动是东欧经济动机和政府支持的团体之间界限模糊的代表性例子,说明了威胁行为者改变目标以符合地区地缘政治利益的趋势。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/TN7Zuem8f3iHM_oi9EGnJw 封面来源于网络,如有侵权请联系删除

葡萄牙武装总参谋部遭网络攻击,数百份北约机密文件泄露

Security Affairs 网站披露,葡萄牙武装部队总参谋部(EMGFA)遭到网络攻击,黑客窃取了大量北约机密文件,直到美国发现几百份文件在暗网上出售并通知葡萄牙相关机构,后者才意识到自身遭受了网络袭击。 葡萄牙武装部队总参谋部(葡萄牙语:Estado-Maior-General das Forças Armadas),是葡萄牙最高军事机构,主要负责葡萄牙武装部队的规划、指挥和控制。 美国先于葡萄牙发现信息泄漏事件 值得一提的是,北约机密信息遭泄露之所以被发现,是因为美国情报部门发现了由北约转交给葡萄牙的“几百份机密文件”在暗网上出售后,立即向美国驻里斯本大使馆发出警报,后者提醒了葡萄牙当局,之后葡萄牙才意识到自身遭受了网络攻击。 网络攻击事件披露后,新闻机构 Diario de Noticias 声称,有消息人士表示此次网络攻击持续时间长且无法检测到的网络攻击。目前,葡萄牙国家安全办公室(GNS)和国家网络安全中心已经成立了联合调查小组对该事件进行调查,以期快速确定数据泄露的严重程度。 从初步调查结果来看,暗网上出售的文件是从 EMGFA、秘密军事(CISMIL)和国防资源总局的系统中流出。此外,调查人员还发现,传输机密文件的安全规则已经遭到了破坏,攻击者能够轻松进入军事通信综合系统(SICOM)并接收和转发机密文件。 葡萄牙总理安东尼奥-科斯塔的发言人强调,北约盟国之间信息安全方面的信息交流在双边和多边层面是永久性的。每当一方怀疑信息系统网络安全遭到破坏时,就会对情况进行广泛分析,并实施旨在提高网络安全意识和正确处理信息的所有程序,以应对新型威胁。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344183.html 封面来源于网络,如有侵权请联系删除

Talos 警告 Lazarus 黑客正利用 Log4j 漏洞入侵美国能源公司

威胁情报研究机构 Cisco Talos 周四表示,其观察到 APT38(又名 Lazarus)在今年 2-7 月期间,针对美国、加拿大和日本的未具名能源供应商发起了攻击。研究发现,黑客利用了在 Log4j 中存在一年之久的漏洞(即 Log4Shell),来破坏暴露在互联网上的 VMware Horizon 服务器。 (来自:Cisco Talos) 通过在受害企业网络上建立初始立足点,然后部署被称作“VSingle”的定制恶意软件和“ YamaBot”,以建立长期持久的访问。 早些时候,YamaBot 已被日本国家网络应急响应小组(CERT)认定与 Lazarus APT 组织有关。 今年 4 月,Symantec 率先披露这一间谍活动的细节,并将该行动归咎于“Stonefly”—— 这是另一个与 Lazarus 有部分重叠、且有朝方背景的黑客组织。 此外 Cisco Talos 观察到了一个名为“MagicRAT”、此前从未见过的远程访问木马(RAT),可知黑客利用这个归属于 Lazarus Group 的木马而开展了侦查并窃取凭据。 Talos 研究人员 Jung soo An、Asheer Malhotra 和 Vitor Ventura 写道: 这些攻击的主要目标,可能是建立对目前网络的长期访问权限,以开展朝方支持的间谍活动。 这项活动与历史上针对关键基础设施和能源公司的 Lazarus 入侵相一致,旨在建立长期获取专有知识产权的途径。 【背景资料】 Lazarus Group 被认定为一个有朝方背景、且出于经济动机的黑客组织,其以 2016 年针对索尼的黑客攻击、以及 2017 的 WannaCry 勒索软件活动而出名。 最近几个月,该组织又将目光瞄向了区块链和加密货币组织,比如从 Harmony 的 Horizon Bridge 窃取了 1 亿美元的加密资产、以及从 Ronin Network 盗走了 6.25 亿美元的加密货币。 后者是一个基于以太坊的侧链,专为《Axie Infinity》这款热门赚钱游戏而设计。7 月,美国政府悬赏千万美元征求包括 Lazarus 在内的威胁组织的成员信息、达到了美国国务院 4 月宣布的金额的两倍。 转自 CnBeta,原文链接:https://www.cnbeta.com/articles/tech/1314237.htm 封面来源于网络,如有侵权请联系删除

IHG 酒店集团承认遭网络攻击,预订等系统出现中断

Holiday Inn 所有者洲际酒店集团 (IHG) 已确认该公司受到网络攻击。拥有全球最大连锁酒店的 IHG 在近日发布的声明中,承认正在调查一些技术系统的“未经授权的访问”。 这家总部位于英国的集团表示自周一以来,其“预订渠道和其他应用程序”已被中断。该集团旗下的 Holiday Inn、Crowne Plaza 和 Regent hotels 均使用这些系统。IHG 表示该公司正在努力尽快完全恢复所有系统, IHG 确认正在评估事件的性质、程度和影响,并已实施其应对计划,包括任命外部专家调查违规行为。IHG 也已经向监管机构报告了本次攻击。 在声明中,IHG 集团表示:“作为应对持续服务中断的一部分,我们将支持酒店业主和运营商。集团旗下酒店仍然能够运营并直接接受预订”。IHG 在声明中并未提及是否有消费者数据被窃。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1313545.htm 封面来源于网络,如有侵权请联系删除

黑客组织 KillNet 攻击日政府网站第二天,东京和大阪地铁网站也瘫了

在日媒发现“亲俄罗斯”的黑客组织KillNet 6日宣布对日本政府网站实施网络攻击后,共同社最新消息称,东京地铁公司和大阪地铁公司的网站也于当地时间7日晚无法访问,“这似乎是日本遭受网络攻击的第二天”。 共同社报道截图 共同社称,黑客组织Killnet7日18时30分左右在即时通讯应用Telegram上写道,它已经向日本“反俄运动”宣战,还上传了一段视频;大约在当天19时过后不久,该组织再次发帖称将瘫痪东京的地铁网络。为此报道称,这些攻击可能正是由Killnet发起的。 报道还称,最近的一次中断似乎是由另一次DDoS攻击引起的,在此次攻击中,黑客在短时间内从多个来源发送大量数据,使网络不堪重负。 此前一天,日本广播协会(NHK)等日媒7日报道称,黑客组织KillNet6日下午在社交媒体上宣布,对日本政府网站实施网络攻击,并称该组织“走在与日本军国主义对抗的道路上”。随后,由日本数字厅管理的行政信息网站“e-Gov”等多个网站陷入不稳定状态。对于KillNet声称发起网络攻击,日本内阁官房长官松野博一7日表示,日本政府部门网站的网络“中断的原因,包括它(与Killnet)的联系,正在确认过程中”,此外,他还表示,这些网站已恢复正常运行,有关数据泄露问题暂无法证实。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1313811.htm 封面来源于网络,如有侵权请联系删除