分类: 黑客事件

针对多国政府官员的黑客攻击还在继续……

自2021年以来,被称为Winter Vivern的高级持续威胁与针对印度、立陶宛、斯洛伐克和梵蒂冈政府官员的活动有关。 SentinelOne 在与黑客新闻分享的一份报告中称,该活动针对波兰政府机构、乌克兰外交部、意大利外交部以及印度政府内部的个人。 “特别令人感兴趣的是APT以私营企业为目标,包括在正在进行的战争中支持乌克兰的电信组织。”高级威胁研究员汤姆黑格尔说。 Winter Vivern,也被追踪为UAC-0114,上个月在乌克兰计算机应急响应小组(CERT-UA)详细介绍了针对乌克兰和波兰国家当局的新恶意软件活动后引起了人们的注意,该活动旨在传播一种名为 Aperetif 的恶意软件。 此前记录该组织的公开报告显示,它利用包含XLM宏的武器化Microsoft Excel文档在受感染主机上部署PowerShell植入程序。 虽然威胁行为者的来源尚不清楚,但攻击模式表明该集群符合支持白俄罗斯和俄罗斯政府利益的目标。 UAC-0114 采用了多种方法,从网络钓鱼网站到恶意文档,这些方法都是为目标组织量身定制的,以分发其自定义有效负载并获得对敏感系统的未授权访问。 在2022年,年中观察到的一批攻击中,Winter Vivern 设置了凭据网络钓鱼网页,以引诱印度政府合法电子邮件服务email.gov.in的用户。 典型的攻击链涉及使用伪装成病毒扫描程序的批处理脚本来触发 Aperetif 木马从参与者控制的基础设施(例如受感染的WordPress站点)的部署。 Aperetif 是一种基于 Visual C++ 的恶意软件,具有收集受害者数据、维护后门访问以及从命令和控制 (C2) 服务器检索额外有效载荷的功能。 “Winter Vivern APT 是一个资源有限但极富创造力的组织,他们在攻击范围内表现出克制,”黑格尔说,“他们引诱目标参与攻击的能力,以及他们以政府和高价值私营企业为目标,都表明了他们行动的复杂程度和战略意图。” 虽然 Winter Vivern 可能已经成功地在很长一段时间内避开了公众的视线,但一个不太担心保持低调的组织是 Nobelium,它与 APT29(又名 BlueBravo、Cozy Bear 或 The Dukes)有重叠。 因2020年12月的SolarWinds供应链妥协而臭名昭著的克里姆林宫支持的民族国家组织继续发展其工具集,开发新的自定义恶意软件,如MagicWeb和GraphicalNeutrino。 这也归因于另一场针对欧盟外交实体的网络钓鱼活动,特别强调“帮助乌克兰公民逃离该国并向乌克兰政府提供帮助”的机构。 “Nobelium 积极收集有关在俄乌战争中支持乌克兰的国家的情报信息,”黑莓表示。“威胁行为者会仔细跟踪地缘政治事件,并利用它们来增加成功感染的可能性。” 该公司的研究和情报团队发现的网络钓鱼电子邮件包含一个武器化文档,其中包含一个指向HTML文件的链接。 这些武器化的URL托管在位于萨尔瓦多的合法在线图书馆网站上,具有与LegisWrite和eTrustEx相关的诱饵,欧盟国家使用这两者进行安全文件交换。 活动中提供的HTML投放程序(称为ROOTSAW或EnvyScout)嵌入了一个ISO映像,而该映像又旨在启动一个恶意动态链接库 (DLL),该库有助于通过Notion的API传送下一阶段的恶意软件。 Recorded Future 曾于2023年1月披露了流行的笔记应用程序 Notion 用于C2通信的情况。值得注意的是,APT29使用了Dropbox、Google Drive、Firebase和Trello等各种在线服务,试图逃避检测。 “Nobelium 仍然非常活跃,同时针对美国、欧洲和中亚的政府组织、非政府组织(NGO)、政府间组织(IGO)和智库开展多项活动.”微软上个月表示。 调查结果发布之际,企业安全公司 Proofpoint 披露了自2021年初以来与俄罗斯结盟的威胁行为者TA499(又名Lexus和Vovan)策划的攻击性电子邮件活动,以诱骗目标参与录制的电话或视频聊天并提取有价值的信息。 该公司表示:“威胁行为者一直在从事稳定的活动,并将其目标扩大到包括为乌克兰人道主义工作提供大笔捐款或公开声明俄罗斯虚假信息和宣传的知名商人和知名人士。”     转自 E安全,原文链接:https://mp.weixin.qq.com/s/6YqWUKXS_bKSSkJR7xBIJA 封面来源于网络,如有侵权请联系删除

9 亿条印度警方业务机密数据疑似在暗网销售

一位数据泄露论坛的用户声称,可以访问一个包含超9亿条印度法律记录和文件的数据库,其中包括印度警方记录、报告、法庭案件,以及被告与被捕人员的详细信息。 该用户正在兜售这批数据,据称数据内容为JSON格式,附有指向原始PDF文件的链接。文件总大小约为600 GB,泄露数据的庞大规模可见一斑。 不过,这些数据的来源尚未确定,这也引发了人们对于数据合法性和泄露原因的担忧。 此外,出售此类敏感信息可能造成严重后果,包括个人信息滥用、胁迫、剥削甚至是设施等等。 9亿条印度警方记录和案件数据疑似被出售 图:暗网上出售的印度警方记录 据暗网上的卖家Tailmon介绍,这批失窃数据包含印度法律文件、印度警方记录(含指控文件)、法庭案件文件以及其他文件和文件夹。 Tailmon在3月13日发布的帖子中表示,“我所出售的是超过9亿份(600 GB)印度法律文件记录/文档、被捕/被控人以及警方/法庭报告……经OCR处理转为JSON格式,随附有原始PDF文件链接。” 近年来,多起数据泄露和网络攻击事件凸显出数据安全和隐私的重要性。失窃数据被公开出售,也进一步强调了采取严格措施保护敏感信息的必要性。 印度政府应采取措施应对 印度政府必须立即开展调查,采取必要措施以防止此类敏感信息的公开出售。 当局还应执行更严格的法规,确保处理个人信息的企业和个人遵守数据保护法。 此外,这次事件也提醒个人和组织应采取适当措施保护其数据,包括投资建设安全网络、对员工进行数据安全最佳实践培训,并定期更新安全协议以抵御潜在威胁。 总之,包含印度公民敏感法律文件的数据库被公开兜售令人担忧,防止个人信息滥用已经刻不容缓。 这起事件给印度政府、企业及个人敲响了警钟。数据安全和隐私保护应得到高度重视,并采取必要措施防范数据泄露和网络攻击。     转自 安全内参,原文链接:https://www.secrss.com/articles/52784 封面来源于网络,如有侵权请联系删除  

泄露 21GB 数据!知名安全公司遭黑客攻击

近日,一位匿名黑客成功入侵瑞士网络安全公司 Acronis 并窃取大量敏感数据的消息引爆了安全圈。更讽刺的是,在其官网上 ,Acronis 一直高调宣称能够“通过第一时间阻止网络攻击发生,主动保护数据、系统和应用程序。” 从网络上公开披露的信息获悉,网络安全公司 Acronis 主要提供集成了备份、恢复以及下一代基于人工智能的防恶意软件和保护管理整体解决方案,覆盖预防、检测、响应、恢复和取证的五个网络安全关键阶段。 黑客异常嚣张 3 月 9 日, FalconFeedsio 突然在推特上爆出安全公司 Acronis 遭遇网络攻击,包括证书文件、命令日志、系统配置和文件系统存档,Maria.db 数据库的 Python 脚本、备份配置内容以及备份操作的屏幕截图在内的大量数据被盗(超过 21GB)。 此外,FalconFeedsio 还提到网络犯罪分子嚣张的在黑客论坛上宣称“我泄露了一家名为 Acronis 的网络安全公司的并附上了一个微笑的表情符号。 数据被盗事件不断发酵后,Acronis 官方账号在 FalconFeedsio 的爆料推文下面回复称,只有一个客户上传诊断数据到 Acronis 文件服务器的凭据受到损害,其它的 Acronis 产品并未受到影响,公司的内部客户服务团队正在与该客户合作处理,会根据需要进行更新。 Acronis 作为一家拥有 2000 名员工的老牌网络安全公司,年收入数以亿计,正常逻辑下,如此规模的安全企业,内部势必有专业的安全团队,完善的安全运营体系以及强大的网络安全技术,才能获得市场认可,对外输出安全产品。 然而,这样的背景下,黑客仍能够轻松突破防御体系并盗取数据,侧面反映出当下网络攻击手段的高超以及网络环境的危险。 被鹰啄的“冤大头”不止 Acronis一家 数字化转型浪潮下,数据泄漏、勒索软件、黑客攻击层出不穷,数据泄露、勒索软件、DDoS 攻击、APT 攻击、钓鱼攻击以及网页篡改等攻击类型和策略复杂多变,滋养了一大批的黑客组织,对企业发展造成了严重威胁。 黑客组织经过不断优化网络攻击技术,已不能仅仅满足攻击普通的企业组织带来的成就感,开始向外部展现“实力”,首选目标无疑便是网络安全企业。当然,Acronis 也并非是首家遭受黑客攻击的安全企业,其它安全巨头同样深陷网络危机中。 网络安全公司 FireEye 遭受国家级网络攻击 网络安全公司 FireEye 在应对国家级网络威胁方面有着丰富经验,但仍难逃黑客组织的攻击。2020 年 8月, FireEye 公司首席执行官 Kevin Mandia 向外界证实其内部遭受网络袭击,并表示黑客访问了 FireEye 的内部系统,但没有证据表明任何数据或元数据被盗。 这看似是一起普通的网路攻击事件,但鉴于FireEye 有几个政府客户,恰巧黑客主要搜寻目标也是某些与 FireEye 政府客户有关的信息,再加上发动此次攻击的黑客组织拥有严格的纪律、顶尖的安全运营和技术。因此,不能排除攻击是某个“拥有一流网络攻击能力的国家”所发起的。 攻击事件发生后,FireEye 联合联邦调查局以及其它主要合作伙伴(微软)一起展开调查。随着调查的深入,安全人员发现这伙黑客明显经过高强度的安全作战训练,严格执行纪律,使用了非常罕见的技术组合来窃取 FireEye 的资料,并为 FireEye 定制了一套极具针对性的攻击方案。 FBI 网络司助理局长 Matt Gorham 更是直接指出,初步攻击迹象表明,攻击者的攻击水平与技术成熟度可以与国家级技术比肩。 FireEye 之所以成为攻击目标,可能是由于拥有专业的网络攻击武器库,并掌握一些行业内尚未发现的漏洞,这些漏洞具有较高的价值。值得一提的是,这并非 FireEye 公司首次遭到黑客攻击。2017年,FireEye 旗下的 Mandiant 公司的内网也曾被黑客入侵,导致大量内部资料泄露。 FireEye 作为全球最大的网络安全公司之一,仍没有逃脱被网络攻击的厄运。由此可见“没有黑不了的系统”,就算再专业的安全公司也不能保证百分百安全。 数字安全巨头 Entrust 遭遇勒索攻击 FireEye 遭受的网络攻击幕后黑手可能有国家背景,并不能呈现出现阶段黑客组织的恐怖(毕竟是国家力量),但接下来这家安全公司的遭遇,可见当下的安全环境是多么危险。 2022 年 7 月,安全资讯网站 Bleeping Computer 突然爆出消息,数字安全巨头 Entrust 承认自身遭遇了网络攻击,并表示攻击者大肆破坏了其内部网络以及窃取大规模敏感数据。 Entrust 作为是一家专注于在线信任、身份管理、支付和数据安全的信息安全巨头,提供广泛的安全服务,包括加密通信、安全数字支付、身份验证和数据保护解决方案,由此推断本次攻击造成内部数据泄露,很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。 此外,Entrust 的客户不仅仅是企业机构,包括能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等在内的许多美国政府机构都是其忠实客户,因此此次事件带来的威胁无疑是巨大的。 经过安全专家验证,Entrust 可能早在 6 月 18 日就被黑客攻击和破坏,同时对方趁机窃取了公司的机密数据,攻击者确实从 Entrust 的内部系统中窃取了一部分数据,但是尚不清楚这部分数据是来自公司、客户还是供应商,最糟糕的情况是,三者都被窃取了。 Entrust 是一家全球性的数字安全巨头,相较于普通企业拥有大量优秀的安全人员以及完善的安全防护体系,仍旧成为了黑客组织的“刀下亡魂”,对于普通企业,特别是小微企业,在没有安全预算,资源投入的背景下,暴露在互联网世界,安全何以保障? 写在最后 全球数字化转型浪潮下,企业机构纷纷“重注”数据变革,产生海量数据资源,滋养了大批网络犯罪团体,网络安全事件频频发生,攻击手段不断迭代升级,类似 Entrust ,FireEye 等大型网络安全公司尚且难逃黑客的“毒手”,其它企业组织更难抵御。 坦白讲,现阶段的互联网环境,漏洞频出、勒索软件蔓延、攻击面广泛、黑客攻击手段不断升级,网络威胁层出不穷,黑客组织炫耀“武力”的方式也越来越残暴,数据安全公司遭受网络攻击也侧面证目前网络环境日渐危险,毕竟保护企业信息安全的”警卫员”都被黑客组织打穿了。 最后,虽然企业机构想要彻底从源头解决安全问题并不现实,但仍旧不能坐以待毙,应该尝试做好充足的防范措施,以期最大程度降低安全事件带来的影响。       转自 Freebuf,原文链接:https://www.freebuf.com/articles/neopoints/360353.html 封面来源于网络,如有侵权请联系删除

黑客勒索 1500 万欧元,物流提供商遭攻击导致空客德国工厂生产中断

根据国外科技媒体 BornCity 报道,空中客车公司(AirBus)的物流服务提供商(LTS)近日遭到网络攻击,导致该公司位于德国诺登哈姆的工厂生产中断。 消息称黑客通过攻击空客的物流服务提供商(LTS),发起勒索软件攻击。由于该 LTS 网络已经瘫痪,导致空客工厂的飞机部件被迫停产。 消息称黑客要求 1500 万欧元(IT之家备注:当前约 1.11 亿元人民币)的赎金,目前空客方面并未就本次安全事件做出后续应对。 转自 IT之家,原文链接:https://www.ithome.com/0/678/672.htm 封面来源于网络,如有侵权请联系删除

黑客论坛上“在售”宏碁 160 GB 敏感数据

Bleeping Computer 网站披露,中国台湾电脑巨头宏碁证实,在黑客成功入侵一台存有维修技术人员私人文件的服务器后,公司遭遇了数据泄露。 160 GB 数据遭窃 2023 年 2 月中旬,一名未知攻击者陆陆续续在某个“流行”的黑客论坛上出售声称是从宏碁窃取来的 160GB 数据。 数据泄露事件发生后,Bleeping Computer 与宏碁取得联系,该公司发言人表示公司的一个文档服务器出现了漏洞,但截至目前,这一安全事件并未影响客户数据。 黑客论坛上出售的宏碁数据(资料来源:Bleeping Computer) 从威胁攻击者的说法来看,被盗数据主要包含宏碁公司的技术手册、软件工具、后台基础设施细节、手机、平板电脑和笔记本电脑的产品型号文档、BIOS 图像、ROM 文件、ISO 文件和替换数字产品密钥(RDPK)等。 为证实数据的真实性,攻击者还分享了宏碁 V206HQL 显示器技术原理图、文件、BIOS 定义和机密文件的截图。此外,在售卖广告上,攻击者表示内部团队决定将整个数据集卖给出价最高的人,并一再强调只接受加密货币 Monero(XMR)作为付款方式。 宏基屡屡遭受网络威胁 过去几年中,宏碁公司陆续遭遇几次网络攻击事件,其中 REvil 勒索软件事件引起的轰动最大。 2021 年 3月,REvil 勒索软件对外声称已经入侵了电子产品和计算机巨头宏碁(Acer)并窃取了未加密的公司数据。几天后,在其数据泄漏站点,REvil “晒出”一些据称来自宏碁的文件的图片作为证据(这些泄漏的图片包括宏碁的财务电子表格、银行结余和银行通讯的相关文档)。 对于这一攻击事件,宏碁(Acer)并未正面回答其是否遭受了 REvil 勒索软件攻击,仅仅表示已经向相关部门报告了最近公司发生的异常情况。 回应原文如下: “宏碁一直在监控自己的 IT 系统,有信心防御大多数网络攻击,类似我们这样的公司经常会受到攻击,目前已向多个国家的相关执法机构和数据保护部门报告了最近发现的异常情况”。 后续“我们会一直在不断完善网络安全基础架构,以保护业务的连续性和信息的完整性,敦促所有公司和组织遵守网络安全要求和最佳实践,并警惕任何网络活动异常情况”。 2021 年 10 月,一个名为 Desorden 黑客组织袭击了宏碁在印度的售后系统,超过 60GB 的数据从其服务器中被盗,其中包括数万名客户、分销商和零售商的记录。 同一周,Desorden 还侵入了宏碁台湾的服务器,窃取了包括员工登录凭据在内的大量敏感信息。       转自 Freebuf,原文链接:https://www.freebuf.com/news/359713.html 封面来源于网络,如有侵权请联系删除

超 210 万张信用卡信息被泄露,涉及美国、中国、英国等国家

暗网信用卡网站BidenCash近日免费泄露了大约 210 万个被盗支付卡号的集合。 免费提供包含 210 万个被盗支付卡号的档案,以纪念暗网信用卡网站BidenCash周年纪念。 据悉,BidenCash 是一个在暗网上和明网上都运行的银行卡市场,向公众提供被盗的信用卡详细信息。 该转储于 2 月 28 日发布,它是通过俄语网络犯罪论坛 XSS 发布的。发布免费样本的决定旨在吸引新客户并在网络犯罪生态系统中声名狼藉。 分析该集合的 Flashpoint 研究人员报告说,BidenCash 泄露的文本文件包括信用卡号以及持卡人的个人身份信息 (PII)(姓名、地址)以及完整卡号、有效期、CVV 代码和银行等财务数据姓名。 专家报告说,大约 70% 的卡的有效期为 2023 年,而 50% 的卡属于美国持卡人。 威胁情报公司 Cyble 的研究人员分析了泄漏事件,报告说它至少包含 740,858 张信用卡、811,676 张借记卡和 293 张签账卡。专家指出,由于不同的欺诈保护,借记卡持有人的风险高于信用卡持有人。 下表报告了按国家/地区泄露的最多记录: 泄露的信息包括持卡人的全名、卡号、银行详细信息、有效期、卡验证值 (CVV) 号码、家庭住址和超过 500,000 个电子邮件地址。 即使部分支付卡已过期,威胁行为者也可以使用这些数据对受害者进行多次攻击,包括鱼叉式网络钓鱼攻击和金融诈骗。 “电子邮件地址和完整信息(通常被网络犯罪分子称为“Fullz”)的存在将使这种泄漏的受害者在他们的银行卡详细信息过期很久之后就容易受到其他攻击,例如网络钓鱼、身份盗用和诈骗” 状态 Cyble。 2022 年 10 月,流行的暗网刷卡市场“BidenCash”背后的运营商发布了1,221,551 张信用卡转储,以宣传他们的地下支付卡店。 地下银行卡市场是网络犯罪生态系统的重要组成部分,它们促进了支付卡数据的买卖。Joker Stash是最受欢迎的梳理网站之一 ,其运营商于 2021 年 2 月退休,关闭了服务器并销毁了备份。 据福布斯报道,管理员 通过其活动积累了 价值 10 亿美元的比特币。 退休后,“ Ferum Shop ”、“ UAS”和“ Trump Dump ”等其他梳理网站在地下市场获得了知名度。 “从那时起,我们看到出现了几家新的借记卡和信用卡商店,以满足对受损支付卡的非法需求。” 继续Cyble。 “BidenCash”于 2022 年 4 月推出,被认为是一家低调的信用卡商店。其运营商定期免费发布新转储和促销地段的能力迅速提高,从而提高了它的知名度。 2022 年 6 月, 拜登现金 在网络犯罪论坛上发布了 2019 年至 2022 年的超过 790 万条支付卡数据。然而,转储仅包含 6,581 条暴露信用卡号码的记录。 银行机构应监控提供信用卡/借记卡的暗网,以防止欺诈活动。     转自 E安全,原文链接:https://mp.weixin.qq.com/s/AStA6BzWLDcCYEdeCYEGDg 封面来源于网络,如有侵权请联系删除

黑客从一家枪支交易网站盗取大量敏感个人数据

黑客入侵了美国一家允许人们买卖枪支的网站,暴露了其用户的身份。这次入侵暴露了超过55万用户的大量敏感个人数据,包括客户的全名、家庭住址、电子邮件地址、明文密码和电话号码。此外,据称被盗的数据使其有可能将某个人与特定武器的销售或购买联系起来。 网络安全专家特洛伊-亨特(Troy Hunt)对此表示:”有了这些数据,你就可以把一个公开的清单……并把它解析到[被盗数据库中的数据],这样你就有了[卖家]的姓名、电子邮件、物理地址和电话号码,并且可以推测出枪支的位置”,他经营着流行的数据泄露库和警报服务Have I BeenPwned。(发现该漏洞的研究人员与亨特分享了数据,以便他能将其上传到Have I BeenPwned。) 去年年底,一位要求匿名的安全研究人员发现了一个包含数据的服务器,结果发现该服务器被一个黑客(或一群黑客)使用,他们用该服务器存储被盗数据。该服务器没有受到任何系统的保护,无法限制或控制谁可以访问它,因此该研究人员下载了数据并进行了分析。 他发现的数据来自GunAuction.com网站,该网站自1998年以来允许人们将枪支放在网上进行拍卖。 GunAuction.com的屏幕截图 TechCrunch分析了被盗数据的样本,并通过电子邮件联系了100人,通过电话联系了60人。其中,10人确认被盗数据库中的数据是准确的。然而,目前还不清楚这些数据的最新情况,因为有25个电子邮件地址的信息被退回或无法送达,还有几个电话号码拨打后被切断。 GunAuction.com首席执行官Manny DelaCruz在一封电子邮件中证实了这一漏洞。 DelaCruz在声明中写道:”我可以确认,联邦调查局最近与我们联系,讨论可能发生影响我们公司的数据泄露事件,该漏洞可能暴露了姓名、地址和电子邮件地址等个人客户信息。然而,我们想向我们的客户保证,我们没有理由相信任何财务信息在这次漏洞中被访问。我们建议我们的客户保持警惕,监测他们的金融账户和信用报告中的任何可疑活动。我们的意图是尽快通知受影响的用户”。 这不是第一次关于枪支所有者的敏感数据被曝光。去年,加州司法部错误地泄露了个人数据,包括枪支所有者的姓名、生日、地址、年龄、购买日期和他们拥有的枪支许可证类型,以及他们的犯罪识别指数号码,这些都是用来追踪州和联邦的犯罪记录。     转自 cnBeta,原文链接:https://www.toutiao.com/article/7206043284957823527/ 封面来源于网络,如有侵权请联系删除

LastPass 用户数据遭窃:关键运维员工遭定向攻击,内部安全控制失效

密码管理供应商LastPass日前公布了去年遭受“二次协同攻击”事件的更多信息,发现恶意黑客潜伏在其内网长达两个月的时间内,持续访问并窃取了亚马逊AWS云存储中的数据。 据安全内参了解,“二次协同攻击”事件,是指LastPass在2022年8月、12月先后披露的两起违规事件,这两起事件的攻击链有关联。 关键运维员工遭定向攻击 LastPass在去年12月透露,恶意黑客窃取到部分加密的密码保险库数据和客户信息。现在,该公司进一步解释了恶意黑客的攻击实施方法,称对方使用到了去年8月首次入侵时窃取的信息,还利用一个远程代码执行漏洞,在一名高级DevOps工程师的计算机上安装了键盘记录器。 LastPass表示,二次协同攻击利用到了首轮违规中外泄的数据,并访问了该公司经过加密的Amazon S3存储桶。 LastPass公司只有4位DevOps工程师有权访问这些解密密钥,因此恶意黑客将矛头指向了其中一名工程师。最终,黑客利用第三方媒体软件包中的远程代码执行漏洞,在该员工的设备上成功安装了键盘记录器。  “恶意黑客成功获取了员工在完成多因素身份验证(MFA)后输入的主密码(master password),借此获得了该DevOps工程师对LastPass企业密码保险库的访问权。”LastPass日前发布的最新安全警告称。 “恶意黑客随后导出了共享文件夹中的本地企业密码保险库条目和内容,其中包括能够访问LastPass AWS S3生产备份、其他云存储资源以及部分相关重要数据库备份的安全注释和加密密钥。” 由于恶意黑客窃取并使用了有效的访问凭证,LastPass的调查人员很难检测到对方活动,导致其顺利从LastPass的云存储服务器处访问并窃取到大量数据。恶意黑客甚至持续驻留达两个月以上,从2022年8月12日一直到2022年10月26日。 直到恶意黑客尝试用云身份和访问管理(IAM)角色执行未授权操作时,LastPass才最终通过AWS GuardDuty警报检测到这些异常行为。 该公司表示,他们已经更新了安全机制,包括对敏感凭证及身份验证密钥/令牌进行轮换、撤销证书、添加其他记录与警报,以及执行更严格的安全策略等。 大量数据已被访问 作为此次披露的一部分,LastPass还发布了关于攻击中哪些客户信息遭到窃取的具体说明。 根据特定客户的不同,失窃数据的范围很广且内容多样,包括多因素身份验证(MFA)种子值、MFA API集成secreet,以及为联合企业客户提供的Split Knowledge组件(K2)密钥。 以下是被盗数据内容的基本概括,更详细的失窃信息说明请参阅LastPass支持页面(https://support.lastpass.com/help/what-data-was-accessed)。 事件1中被访问的数据汇总 云端按需开发和源代码仓库——包括全部200个软件代码仓库中的14个。 来自各代码仓库的内部脚本——其中包含LastPass secrets和证书。 内部文档——描述开发环境运作方式的技术信息。 事件2中被访问的数据汇总 DevOps secrets——用于访问我们云端备份存储的受保护secrets。 云备份存储——包含配置数据API secrets、第三方集成secrets客户元数据,以及所有客户保险库数据的备份。除URL、用于安装LastPass Windows/macOS版软件以及涉及邮件地址的特定用例之外,全部敏感客户保险库数据均通过“零知识架构”进行加密,且只能通过各用户主密码提供的唯一加密密钥实现解密。请注意,LastPass永远不会获取最终用户的主密码,也不会存储或持有主密码——因此,泄露数据中不涉及任何主密码。 LastPass MFA/联邦数据库备份——包含LastPass Authenticator的种子值副本,作为MFA备份选项(如果启用)的电话号码,以及供LastPass联邦数据库(如果启用)使用的Split Knowledge组件(即K2「密钥」)。该数据库经过加密,但在第二次违规事件中,恶意黑客窃取了单独存储的解密密钥。 本次发布的支持公告还相当“隐蔽”,由于LastPass公司在公告页面的HTML标签添加了<meta name=”robots” content=”noindex”>,因此该页面无法通过搜索引擎直接检索。 LastPass还发布一份题为“安全事件更新与建议操作”的PDF文档,其中包含关于违规和失窃数据的更多信息。 该公司也整理了支持文件,面向免费、付费和家庭客户以及LastPass Business管理员提供应对建议。 通过公告中的建议操作,应可进一步保障您的LastPass账户与相关集成。 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/zvrwVei6Jy-zEDTkks7Ptg 封面来源于网络,如有侵权请联系删除  

新的云威胁!黑客利用云技术窃取数据和源代码

一个被称为 “SCARLETEEL “的高级黑客行动针对面向公众的网络应用,其主要手段是渗透到云服务中以窃取敏感数据。 SCARLETEEL是由网络安全情报公司Sysdig在应对客户的云环境事件时发现的。 虽然攻击者在受感染的云环境中部署了加密器,但黑客在AWS云机制方面表现出更专业的技术,进一步钻入该公司的云基础设施。 Sysdig认为,加密劫持攻击仅仅是一个诱饵,而攻击者的目的是窃取专利软件。 SCARLETEEL攻击 SCARLETEEL攻击开始时,黑客利用了托管在亚马逊网络服务(AWS)上的Kubernetes集群中面向公众的服务。 一旦攻击者访问容器,他们就会下载一个XMRig coinminer(被认为是诱饵)和一个脚本,从Kubernetes pod中提取账户凭证。 然后,被盗的凭证被用来执行AWS API调用,通过窃取进一步的凭证或在公司的云环境中创建后门来获得持久性。然后这些账户被用来在云环境中进一步传播。 根据AWS集群的角色配置,攻击者还可能获得Lambda信息,如功能、配置和访问密钥。 攻击者执行的命令 接下来,攻击者使用Lambda函数枚举和检索所有专有代码和软件,以及执行密钥和Lambda函数环境变量,以找到IAM用户凭证,并利用它们进行后续枚举和特权升级。 S3桶的枚举也发生在这一阶段,存储在云桶中的文件很可能包含对攻击者有价值的数据,如账户凭证。 Sysdig的报告中说:”在这次特定的攻击中,攻击者能够检索和阅读超过1TB的信息,包括客户脚本、故障排除工具和日志文件。这1TB的数据还包括与Terraform有关的日志文件,Terraform在账户中被用来部署部分基础设施。这些Terraform文件将在后面的步骤中发挥重要作用,也就是攻击者可能转到另一个AWS账户”。 SCARLETEEL攻击链 为了尽量减少留下的痕迹,攻击者试图禁用被攻击的AWS账户中的CloudTrail日志,这对Sysdig的调查产生了不小的困难。 然而,很明显,攻击者从S3桶中检索了Terraform状态文件,其中包含IAM用户访问密钥和第二个AWS账户的密钥。这个账户被用来在该组织的云计算中进行横移。 由TruffleHog发现的Terraform秘密 基于云的基础设施安全 随着企业越来越依赖云服务来托管他们的基础设施和数据,黑客们也在与时俱进,成为API和管理控制台方面的专家,继续他们的攻击。 SCARLETEEL攻击证明,企业在云环境中的任何一个薄弱点都足以让攻击者利用它进行网络渗透和敏感数据盗窃,当然这些攻击者可能技术更高。 Sysdig建议企业采取以下安全措施,以保护其云基础设施免受类似攻击: 及时更新你所有的软件 使用IMDS v2而不是v1,这可以防止未经授权的元数据访问 对所有用户账户采用最小特权原则 对可能包含敏感数据的资源进行只读访问,如Lambda 删除旧的和未使用的权限 使用密钥管理服务,如AWS KMS、GCP KMS和Azure Key Vault Sysdig还建议实施一个全面的检测和警报系统,以确保及时报告攻击者的恶意活动,即使他们绕过了保护措施。     转自 Freebuf,原文链接:https://www.freebuf.com/news/358975.html 封面来源于网络,如有侵权请联系删除  

俄乌冲突一周年之际,亲乌黑客组织 CH01 入侵了数十家俄罗斯网站

Security Affairs 网站披露,俄乌冲突一周年纪念日当天,亲乌黑客组织 CH01 至少入侵了 32 个俄罗斯网站,以示对战争的抗议,这一消息通过匿名者黑客组织的社交媒体迅速传播。 匿名者组织发布的信息 成功入侵俄罗斯网站后,CH01 黑客组织上传了一段视频,显示克里姆林宫在被入侵网站上“燃烧”。值得一提的是,目前尚不清楚该组织采取那些方式攻破了俄罗斯网站。 此外,CH01 组织在其推特上写道,“神谕说一切邪恶都会消失,一切美好都会永远存在,我们是 CH01黑客组织,代表所有自由世界。 CH01 加入了匿名者的号召,向俄罗斯开战 俄乌战争开始不久后,匿名者组织号召黑客世界对抗俄罗斯,黑客组织 CH01 理所应当的响应号召。此后,在其推特上表示将与整个文明世界团结一致,为恢复正义、光明和善良,持续努力。 在俄乌冲突一周年纪念之际,CH01 组织选择向俄罗斯宣战,其推特上写道,今天凌晨 4 点整,因俄罗斯轰炸基辅,决定对俄罗斯实施一场网络战争,已经成功攻破了几十个俄罗斯网站的防御系统,并获得了所有数据。 “反俄群体”表示将继续与俄罗斯作斗争 本周,匿名者在其社交媒体上发布了一条重磅信息,重申其保护乌克兰免受犯罪入侵方面的承诺。 2023 年 2 月 23 日,匿名者组织入侵了包括 Yumor FM、Relax FM、Comedy Radio、Humor FM 和 Avatoradio 在内的几个俄罗斯电台。       转自 Freebuf,原文链接:https://www.freebuf.com/articles/358755.html 封面来源于网络,如有侵权请联系删除