分类: 网络攻击

微软称伊朗黑客正密集攻击高价值的国际会议参与者

微软表示,由伊朗政府支持的黑客针对两个国际安全和政策会议的100多名高调的潜在与会者发动攻击。这个名为Phosphorus(或APT35)的组织发送了伪装成慕尼黑安全会议(国家元首出席的主要全球安全和政策会议之一)和定于本月晚些时候在沙特阿拉伯举行的Think 20峰会组织者的伪装邮件。 微软表示,这些伪造的电子邮件是发给前政府官员、学者和政策制定者,目的是窃取密码和其他敏感数据。 当被问及这次行动的目标是什么时,微软没有发表评论,但该公司的客户安全和信任主管汤姆-伯特表示,这些攻击是为了 “情报收集目的”。攻击成功地损害了几名受害者,包括前大使和其他高级政策专家,他们帮助制定各自国家的全球议程和外交政策。微软表示,已经与会议组织者合作,并将继续警告他们的与会者,微软正在披露我们所看到的情况,以便每个人都能对这种攻击方法保持警惕。 微软表示,攻击者会给目标写一封用完美英语书写的邮件,邀请目标参加会议。在目标接受邀请后,攻击者会试图欺骗受害者在一个虚假的登录页面上输入他们的电子邮件密码。随后,攻击者再登录邮箱,窃取受害者的电子邮件和联系人。该组织之前的黑客活动也曾试图窃取高知名度受害者的密码。由于伊朗驻纽约领事馆网站瘫痪,无法联系到伊朗领事馆发表评论。 众所周知,Phosphorus(或APT35)的目标是高调的个人,比如政治家和总统候选人。但微软表示,这次最新的攻击与即将举行的美国总统选举无关。去年,微软表示已经通知了超过1万名国家支持的黑客攻击的受害者,这些黑客包括包括Phosphorus和另一个伊朗支持的组织Holmium,也就是APT 33。3月,这家科技巨头获得了一项法院命令,要求控制Phosphorus使用的域名,这些域名被用来使用虚假的谷歌和雅虎登录页面窃取凭证。     (消息来源:cnbeta;封面来自网络)

特朗普竞选网站遭加密货币骗子黑客攻击

据外媒TechCrunch报道,美国总统特朗普的竞选网站周二下午部分遭到黑客攻击,因为未知的对手接管了 “关于”页面,并将其替换为似乎是一个收集加密货币的骗局。尽管黑客声称,没有迹象表明实现了“对特朗普和其亲属的完全访问”,或者 “大多数内部和秘密对话严格保密的信息 ”被曝光。 这次黑客攻击似乎发生在太平洋时间10月27日下午4点之后不久。黑客很可能获得了对donaldjtrump.com网站服务器后台的访问权限,并将 “关于 “页面换成了一段长长的经过混淆的javascript,产生了一个模仿FBI “这个网站已经被查封”的信息。 “世界已经受够了总统唐纳德·特朗普每天传播的假新闻,”新网站写道。“是时候让世界知道真相了。” 黑客声称自己掌握了“新冠病毒起源”的内部信息以及其他诋毁特朗普的信息,他们提供了两个Monero地址。Monero是一种容易发送但相当难以追踪的加密货币。一个地址是给那些希望“严格保密信息 ”被公布的人的,另一个地址是给那些希望保密的人的。在一个未指定的截止日期后,加密货币的总数将被比较,较高的总数将决定如何处理这些数据。该页面用PGP公钥签署,对应一个不存在的域名(planet.gov)的电子邮件地址。 在黑客攻击发生后几分钟内,网站就恢复了原来的内容。没有证据表明捐赠者信息等任何敏感数据被访问,但在网站管理员彻底调查该事件之前,这是一个可能性。让人们不可逆地将加密货币发送到一个神秘的地址是网上常见的诈骗形式,通常依靠在名人Twitter账号等高知名度平台上短暂出现,这次也不例外。 没有任何迹象表明这次攻击是以任何方式由国家支持的。竞选和其他与选举相关的网站是黑客的高价值目标,它们并不像whitehouse.gov这样的官方网站那样安全。虽然用词似乎不是以英语为母语的人,但没有其他正面证据表明黑客来自外国。 这不是特朗普最近第一次被黑客攻击。一个猜到密码(”Maga2020!”)的安全研究人员称曾短暂接管特朗普的Twitter账号。特朗普最近表示,“没有人被黑客攻击。黑客入侵需要一个智商197的人,而他需要你密码的15%。”     (消息来源:cnbeta;封面来自网络)

参与大规模“网络碉堡”犯罪的 4 名荷兰人在德国受审

据荷兰媒体报道, 四名荷兰人是目前在德国受审的八人之一,他们在为全世界犯罪分子用来进行数百万欧元的非法交易的暗网计算机中心提供主机服务方面发挥了作用。这八人被指控通过存放在摩泽尔河附近一个废弃的地堡中的服务器,促成了超过249000起犯罪。被作为一个更容易访问数据的快速切入点。 该地堡是荷兰国民Herman Johan Xennt在2013年购买的,据报道,他在托管活动中遇到麻烦后离开了荷兰,他的服务器也存放在泽兰的一个地堡中。总共有4名荷兰人、3名德国人和1名保加利亚人嫌疑人–年龄从20岁到60岁不等–被指控与“网络碉堡”(cyberbunker)活动有关。 Telegraaf周二表示,通过服务器处理的交易包括毒品–Cannabis Road等平台–拥有数百万活跃用户。该报称,其他网站允许人们订购假钱和身份证,该地堡还被用来对德国电信公司德国电信进行僵尸攻击。对该“网络碉堡”的调查历经多年的观察和电话窃听,最终在2019年9月的一次有650名警察参与的突袭行动中取得突破。该案的受审计划进行到2021年。     (消息来源:cnbeta;封面来自网络)

安全人员发现七款手机浏览器易遭地址栏欺骗攻击

虽然在桌面浏览器上有各种迹象和安全功能,可以用来检测恶意代码改变地址栏以显示假网址,但这在移动浏览器上是不可能的,因为移动浏览器的屏幕尺寸很重要,而且桌面浏览器中的许多安全功能都不存在。由于地址栏是移动浏览器上唯一也是最后一道防线,地址栏欺骗漏洞在智能手机和其他移动设备上的危险性要高出许多倍。 在网络安全公司Rapid7今天发布的一份报告中,该公司表示,它与巴基斯坦安全研究人员Rafay Baloch合作,披露了七个移动浏览器应用中的十个新的地址栏欺骗漏洞。受影响的浏览器包括苹果Safari、Opera Touch和Opera Mini等大牌浏览器,也包括Bolt、RITS、UC浏览器和Yandex浏览器等小众应用。 这些问题在今年早些时候被发现,并在8月份向浏览器制造商报告。大厂商马上对这些问题进行了修补,而小厂商甚至懒得回复研究人员,使他们的浏览器容易受到攻击。Rapid7的研究总监Tod Beardsley说:”利用都归结为’JavaScript诡计'”。Rapid7的负责人表示,通过扰乱页面加载和浏览器有机会刷新地址栏URL之间的时间,恶意网站可以迫使浏览器显示错误的地址。 Beardsley认为,攻击很容易发动,建议用户尽快更新浏览器,或者转移到不受这些bug影响的浏览器上。     (消息来源:cnbeta;封面来自网络)

黑客声称已攻击 50000 多台家用摄像设备,并在网上发布录像

一个黑客团体声称已攻击50,000多个家用摄像设备,部分录像已在成人网站上发布,并声称支付150美元就可享受终身观看服务。 The New Paper报道:“已有70多名成员支付订阅费。部分被上传的录像显示来自新加坡。该小组可在社交平台Discord上找到,目前它拥有近千名成员。” 经判断:大部分录像都来自新加坡,其他则来自泰国、韩国和加拿大。黑客提供了一个700兆的包含4,000多个录像和图片的数据包,还为客户提供被攻击摄像设备的访问权限。然而在大多数情况下,部署物联网设备(包括IP摄像设备)时都没有采取适当的安全措施。在发布这篇文章时,我们仍不清楚黑客如何破坏IP摄像设备,他可能利用了设备的漏洞或者猜测其保护密码。 2017年,Persirai  IoT僵尸网络劫持了数千台型号的IP摄像设备;2017年6月,F-Secure的安全专家发现了中国制造商Foscam的互联网摄像设备中的数十个漏洞。在过往的案例中,黑客都是利用漏洞攻击联网的摄像设备,通过内置FTP服务器查看视频源并上载和下载文件。 ESET安全专家Jake Moore表示:“这些事件警示我们,在使用联网摄像设备时,必须采取一定的安全保护措施。设置好安全保护设备后,便无需担心隐私泄露问题。” 专家建议:为了避免隐私泄露问题,请确保所有IoT设备都更新至最新版本并应用所有安全补丁;设置安全系数高的密码,使用多重身份验证以保障帐户安全;购买联网摄像设备时,选择信誉较好的、具有相关安全保护设备的供应商。         消息来源:securityaffairs,封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

恶意软件 Emotet 活动升级:伪装成 Windows Update 邮件分发

臭名昭著的 Emotet 恶意软件活动再次升级。在本次活动中,该恶意软件通过声称是来自“Windows Update”的电子邮件进行分发,并告诉用户应该升级微软 Word 。援引外媒 Bleeping Computer 的说法,在这些电子邮件中包含恶意的 Word/Excel 文档,或者下载链接。当用户点击之后,附件会提示用户“启用内容”从而允许宏命令运行,从而安装 Emotet 木马程序。 相信 cnBeta 的大部分读者都能识别这样的恶意电子邮件,但对于那些不太懂技术的用户来说就非常容易受骗了。为了欺骗人们使用宏,Emotet 使用了不同的文档模板,例如声称是在iOS、Windows 10 Mobile 或者旧版本 Office、受保护的文档中创建的。 原本只是金融木马的Emotet功能愈来愈强大,除了可窃取使用者所储存的凭证、金融资讯或其它个人资讯外,它还能夹带诸如挖矿程式或勒索软体等恶意程式,或于企业网路上建立僵尸网路,已被视为最危险的病毒之一。     (稿源:cnbeta;封面来自网络)

针对中东石油和天然气供应链的攻击

众所周知,网络犯罪分子会关注时事以使计划更贴切受害者的情况。这些犯罪事件不一定是全球性的,而通常是区域性的。这有助于犯罪分子缩小目标范围,提高犯罪成功几率。 因此,当Abu Dhabi 国家石油公司(ADNOC)终止 其先前授予的工程,采购和建筑(EPC)合同的时候,“细心”的网络犯罪分子孕育出了另一种攻击方案。 …… 更多内容 请至Seebug Paper阅读全文:https://paper.seebug.org/1368/     消息及封面来源:Zscaler   译者:小江; 本文由 HackNews.cc 翻译整理; 转载请注明“转自 HackerNews.cc ”并附上原文链接。  

Barnes & Noble 遭网络攻击:消费者邮箱、购买记录被盗

据外媒报道,虽然Nook在很大程度上已经被亚马逊的Kindle抛在脑后,但Barnes & Noble(以下简称B&N)仍是一个拥有相当数量忠实客户的知名品牌。然而这些顾客现在可能有些担心,因为这家书商向他们提供了一些令人不安的消息。报告显示,B&N的公司系统遭到了网络安全攻击,黑客可能已经获得了B&N客户的一些重要信息,其中可能包括他们的住址。 需要明确指出的是,在攻击期间没有任何财务相关信息或付款细节被窃取。B&N表示,这些信息都是被加密和标记了的。然而这并不排除这些加密数据也有被窃取的可能,这些数据仍有可能成为解密尝试的牺牲品。 不过这家公司承认,至少有两条客户信息被曝光。这些包括用户的电子邮件和他们的购买交易信息。后者可能用于建立客户的档案,前者则可能用于网络钓鱼。客户的电子邮件账号本身是否会被攻破将取决于他们的电子邮件的安全强度。 黑客还可能侥幸获得了账单信息,其中包括客户提供的送货地址和电话号码。虽然受影响的人们可能不必担心他们的信用卡被用于未经授权的交易,但他们将不得不警惕诈骗。很显然,如果用户已经收到了来自B&N的警告,那么现在可能是时候更改自己的电子邮件密码并激活双因素认证(2FA)功能了。 在此之前,上周一发生了该公司所称的“系统故障”影响了对Nook内容的访问以及零售店的订单处理。B&N声称,虽然他们在10月10日就得知了这起安全入侵事件,但没有提及两者是否存在任何关联。     (稿源:cnBeta,封面源自网络。)

Windows Update 被发现可滥用于执行恶意程序

今年 9 月,本站曾报道 Microsoft Defender 中可通过命令行方式下载恶意文件;而现在,在 Windows Update 中也发现了类似的功能,从而也能被黑客滥用用于执行恶意文件。 援引外媒 Bleeping Computer 报道,MDSec 研究人员 David Middlehurst 发现,攻击者可以通过使用以下命令行选项从任意特制的 DLL 加载 wuauclt,从而在 Windows 10 系统上执行恶意代码:   wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer 该技巧绕过 Windows 用户帐户控制(UAC)或Windows Defender应用程序控制(WDAC),可用于在已经受到威胁的系统上获得持久性。之所以能够发现,是因为他发现已经有黑客利用这个漏洞执行攻击行为。     (稿源:cnBeta,封面源自网络。)

微软捣毁了臭名昭著的 Trickbot 勒索软件僵尸网络

微软今天宣布,它破坏了Trickbot僵尸网络,这是世界上最臭名昭著的传播勒索软件的僵尸网络之一。自2016年底以来,Trickbot已经感染了超过100万台设备。微软与世界各地的网络运营商合作,拿下了Trickbot的关键基础设施,这样恶意软件运营者将无法再利用这个基础设施来分发恶意软件或勒索软件。 Trickbot不是一个简单的恶意软件,任何免费的反病毒软件都可以检测到,它在受影响的设备中不断进化。 Trickbot是一个多阶段的恶意软件,通常由一个外壳、一个加载器和一个主恶意软件模块组成。外壳使用多个不断变化的模板,旨在通过产生独特的样本来逃避检测,即使主要的恶意软件代码保持不变。 希望了解更多有关勒索软件与僵尸网络的内幕,您可以在微软的相关博客中获取更多资料: https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/     (稿源:cnBeta,封面源自网络。)