分类: 黑客事件

黑客从 Wintermute 加密货币做市商处窃取 1.62 亿美元

Bleeping Computer 网站披露,数字资产交易公司 Wintermute 首席执行官 Evgeny Gaevoy 宣布 DeFi 相关业务遭到黑客攻击,损失了约 1.622 亿美元。 Wintermute 表示,接下来几天服务可能会中断,但 CeFi 及 OTC 业务不会受影响。此外,与 Wintermute签订 MM 协议的用户资产依旧安全,担心资金安全的用户可以直接提取自己的资金,公司当前还握有损失数额两倍的股权,依旧据有偿付能力。 值得一提的是,Gaevoy 表示愿意将这一安全事件视为 “白帽子 ”事件,这意味着他们愿意向成功利用该漏洞的攻击者支付赏金,而不会产生任何法律后果。 但是尚不清楚威胁攻击者是否有兴趣将被盗资金返还给 Wintermute。 据悉,黑客的钱包目前持有大约价值 4770 万美元的数字资产,其余的钱已经被转移到 Curve Finance 的 “3CRV ”流动资金池中。 黑客攻击是如何发生的? Gaevoy 没有透露关于黑客如何设法窃取资金的具体细节,一些加密货币专家认为,攻击者可能利用了 Profanity 中的一个漏洞,Profanity 是以太坊的虚拟钱包地址生成器。 Profanity工具允许用户生成的地址不是完全随机的,而是包含一个以太坊虚拟地址生成工具,允许用户创建一个个性化的地址,包含一串预定义的数字和字母(A到F)。几年前,Profanity 项目作者因其存在的一些安全漏洞可以破解私钥,放弃了这个项目。更具体地说,据估计,有人可以用大约 1000 个 GPU 在 50 天内破解 7 个字符的虚荣地址私钥。 虽然如此多的 GPU 需要大量的投资,但是在最近的以太坊合并后,强大的挖矿场已经变得毫无作用,其中一些农场经营者可能会发现,破解 Profanity 地址将是恢复盈利的绝佳方式。 最近,安全分析师披露了 Profanity 漏洞,并声称攻击者可能已经利用其盗取了 330 万美元。因此呼吁在使用 Profanity 创建的钱包上持有资金的用户,应立即将资产转移到其它地方。 目前,Profanity 项目作者已经删除了所有的二进制文件,并将项目的 GitHub 存储库存档,以期降低未来有人使用不安全工具的风险。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/345135.html 封面来源于网络,如有侵权请联系删除

Dataprobe 配电装置中发现关键远程黑客漏洞

Hackernews 编译,转载请注明出处: 美国网络安全和基础设施安全局(CISA)周二发布了一份工业控制系统(ICS)咨询报告,指出Dataprobe的iBoot PDU配电装置产品存在7个安全漏洞,该产品主要用于工业环境和数据中心。 “成功利用这些漏洞可能会导致在Dataprobe iBoot-PDU设备上执行未经身份验证的远程代码。”该机构在通知中表示。 工业网络安全公司Claroty披露了这些漏洞,并表示这些漏洞可以通过“直接连接到设备的网络或云”远程触发。 iBoot-PDU是一种配电装置(PDU),它通过Web界面为用户提供实时监控功能和复杂的警报机制,从而控制OT环境中设备和其他设备的电源。 根据攻击面管理平台Censys 2021年的一份报告,考虑到互联网上可访问的PDU不少于2600个,其中Dataprobe设备占暴露数量的近三分之一,这些漏洞具有新的意义。 Claroty对PDU固件的分析表明,该产品受到了从命令注入到路径遍历漏洞等问题的影响,使客户面临严重的安全风险: CVE-2022-3183(CVSS 评分:9.8):命令注入漏洞,源于对用户输入缺乏清理 CVE-2022-3184(CVSS 评分:9.8):路径遍历漏洞,允许访问未经身份验证的PHP页面,该页面可能被滥用以插入恶意代码 Claroty研究人员Uri Katz说,成功远程利用这些漏洞“使攻击者可以通过切断设备的电源,进而切断连接在设备上的任何东西,在一定距离内破坏关键服务”。 其他五个未被发现的漏洞(从CVE-222-3185到CVE-22-3189)可能会被黑客武器化,从云端访问设备的主管理页面,甚至诱使服务器连接到任意内部或外部系统(即SSRF),从而可能泄漏敏感信息。 Katz说:“即使是通过互联网或基于云的管理平台远程管理的无害配电装置,也可以为攻击者提供目标网络,或者通过切断插入PDU的设备的电源来中断基本服务。” Claroty进一步透露,它找到了一种方法来枚举连接云的iBoot PDU设备,即利用有效cookie和设备 ID(可以轻易猜到的顺序数值)的组合,从而扩大所有连接设备的可用攻击面。 建议Dataprobe iBoot-PDU的用户升级到最新的固件版本(1.42.06162022) 并禁用SNMP、Telnet和HTTP(如果未使用),以缓解其中一些漏洞。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

一黑客兜售印尼 13 亿手机卡用户数据,公开嘲讽多名高官

安全内参9月20日消息,印度尼西亚近期成立的数据保护工作组正在追捕一名黑客。此人据称涉嫌窃取了13亿注册手机用户与1.05亿选民数据,甚至掌握了总统通信日志。 公开兜售印尼海量公民数据,涉及总统与众多高官 这位化名Bjorka、声称居住在波兰华沙的黑客,过去几周来一直在黑客论坛BreachForums上兜售被盗数据,受害者包括印尼多家国有企业、手机运营商及大选委员会。 Bjorka还掌握一份机密文件日志,其中记录着印尼总统佐科·维多多(Joko Widodo)与国家情报局之间的往来信息。 这位黑客也拿到多位公众人物的个人数据,包括印尼海洋与投资统筹部长卢胡特·班查伊丹(Luhut Pandjaitan)及信息与通讯部长约翰尼·G·布拉特(Johnny G. Plate)。泄露的细节包括电话号码、身份证号以及疫苗接种编码。 在9月5日的新闻发布会上,一名信息部高级官员呼吁Bjorka停止泄露印尼民众的个人数据。但一天之后,此黑客在BreachForums的新帖中大放狂言,提醒政府“别再白日做梦了”。 Bjorka在9月10号的一条推文中表示,他的意图是展示“在糟糕的数据保护政策之下,黑客渗透、特别是针对政府部门的渗透,是多么易如反掌。” 在推特上,Bjorka还表示那些负责黑客调查的人员根本不知道该从何入手,同时对公众人物大加嘲弄,包括奉劝国有企业部长艾瑞克·托希尔(Erick Thohir)断了竞选总统的念想。 目前,Bjorka至少有三个推特账户已被冻结。 印尼高官回应称,没有任何关键系统被黑 印尼政治、法律和安全事务统筹部长马福德(Mahfud MD)在上周三呼吁公众保持冷静,称没有任何关键系统遭到黑客入侵,也未出现国家机密泄露事件。 他解释道,此次泄密“只涉及总统的一般通信数据,而且截至目前,对方还没有公开通信内容。” 他补充道,当局已经根据“全面的追踪工具”确定了Bjorka的身份及其所在位置。 据印尼当地知名杂志《Tempo》报道,就在上周三成立数据保护工作组后不久,警方就在东爪哇省茉莉芬县审讯了一名23岁的男子,他的姓名首字母为MAH。他的日常工作,是在当地集市上出售饮料。 警方尚未确认他是否就是Bjorka,专案组正对近期事件开展调查。 印尼网络安全形势严峻,曾出现更严重违规事件 尽管国内数字经济蓬勃发展,但自2019年以来,印尼先后遭遇多起针对政府机关和私营企业的大规模数据泄露事件。 去年5月,医疗保健与社会保障局数据库中超过2亿公民的社保详细信息(包括身份证和家庭卡)被泄露,事件严重性令人震惊。 有专家认为,这可以说是“最最顶格的”安全违规事件,同时批评印尼政府对以往的违规事态缺乏足够的反应。 数字取证专家Ruby Alamsyah在接受新加坡《海峡时报》采访时称,“Bjorka泄露的数据在质量和数量上其实都不及之前的事件。但在此人的行动之下,人们终于开始对个人数据泄露给予重视。” 他还指出,在BreachForums之前,Bjorka曾经在RedForum出售过来自其他国家的泄露数据。作为暗网内规模最大的被盗数据集散地之一,RedForum已经在今年4月被美国司法部关闭。 总部位于雅加达的Digital Forensic Indonesia公司CEO Ruby认为,工作组不应只关注新近发生的数据泄露事件,还应调查2019年以来的同类案件,至少要“从过往案例中吸取教训”、避免后续类似问题的再次发生。 IT安全专家Alfons Tanujaya也认为,“工作组最好能改进数据管理。过去几年来,相关机构一直在否认发生了数据泄露,根本没有加强数据保护,因此导致数据泄露时有发生。” “如果Bjorka被捕,但数据泄露仍在继续,那么未来三到六个月内一定会出现更多步Bjorka后尘的仿效者。” 政法安统筹部长马德福博士则表示,印尼议会预计将在一个月内通过《个人数据保护法案》。 Ruby和Alfons都认为,如果这项法案能顺利通过,那么政府机关和私营企业将被迫加强自身网安水平,否则任何数据泄露都会招致经济处罚、甚至刑事制裁。 Ruby总结道,“从逻辑上讲,罚款与制裁的潜在压力将引导各方做好充分准备,保证自己的网络安全比过去更好,同时尽可能避免出现数据泄露。一旦发生泄露,根据新的法律条款,公众也可以依法要求追究责任、索取赔偿。” 转自 安全内参,原文链接:https://www.secrss.com/articles/47128 封面来源于网络,如有侵权请联系删除

黑客升级钓鱼活动,欺骗重要机构/大型企业员工提交 Microsoft 365 凭证

一群恶意行为者加强了他们的网络钓鱼活动,以欺骗大公司(尤其是能源、专业服务和建筑行业的公司)提交他们的 Microsoft Office 365 帐户凭据。根据网络钓鱼检测和响应解决方案公司 Cofense 的一份报告,这些恶意行为者改进了诱饵元素的流程和设计,现在将自己伪装成一些美国政府机构,例如交通部、商务部和劳工部。 Cofense 表示 威胁行为者正在开展一系列活动,以欺骗美国政府的多个部门。这些电子邮件声称要求对政府项目进行投标,但却将受害者引导至凭据网络钓鱼页面。相关证据表明这些活动早在 2019 年年中就已经投入运营,并于 2019 年 7 月首次在我们的 Flash Alert 中进行了报道。 这些活动精心设计的相关文件已出现在受安全电子邮件网关 (SEG) 保护的环境中,并且非常有说服力,也更有针对性。随着时间的推移,它们通过改进电子邮件内容、PDF 内容以及凭据网络钓鱼页面的外观和行为而不断发展。 Cofense 展示了一系列截图,比较了攻击者用于诱骗用户点击的前后材料。其中最先获得改进的是电子邮件和 PDF,现在用于诈骗的版本可谓是非常真实。 Cofense 补充道。 “早期的电子邮件只有简单的正文,没有徽标,语言相对简单。最近的电子邮件使用了徽标、签名块、一致的格式和更详细的说明。最近的电子邮件还包括访问 PDF 的链接,而不是直接附加它们”。 另一方面,为了防止受害者的怀疑,攻击者还对凭证钓鱼页面进行了更改,从登录过程到设计和主题。页面的 URL 也有意更改为更长的 URL(例如,transportation[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com),因此目标只能在较小的浏览器中看到 .gov 部分视窗。此外,该活动现在具有验证码要求和其他说明,以使该过程更加可信。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1318403.htm 封面来源于网络,如有侵权请联系删除

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

据观察,与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商,以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉,APT 黑客组织在今年发起了多次攻击,包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。 从2022年8月开始,Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。 新的沙虫基础设施 虽然 Sandworm 已显着更新了其 C2 基础设施,但它是逐步更新的,因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。 一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ,伪装成乌克兰电信运营商 Datagroup 的在线门户。 另一个被欺骗的乌克兰电信服务提供商是 Kyivstar,Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。 最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。 其中许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。 感染链 攻击首先引诱受害者访问这些域,通常是通过从这些域发送的电子邮件,使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语,呈现的主题涉及军事行动、行政通知、报告等。 Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。 网页的 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 走私技术访问网站时会自动下载该文件。 值得注意的是,几个俄罗斯国家资助的黑客组织使用 HTML 走私,最近的一个例子是 APT29。 图像文件中包含的有效载荷是 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。 可能是,俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”,从而使安全分析师的跟踪和归因更加困难。 WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。 此外,Palo Alto 的 Unit42 的一份报告详细介绍了 APT29 在单独的活动中使用的类似 HTML Smuggling 例程来下载 ISO 文件,如下图 11所示。APT29 最初使用此例程是用于二进制数组,这有助于潜在地阐明 UAC-0113 的冗余 for 循环的原始目的。APT29 的 HTML 和 JavaScript 代码与上面图 10中所示的 UAC-0113 链接示例有类似的重叠。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/NTdCugs1lMX-_x2By3NYtA 封面来源于网络,如有侵权请联系删除

Rockstar Games 证实黑客窃取了《侠盗猎车手6》的早期片段

Hackernews 编译,转载请注明出处: 美国视频游戏发行商Rockstar Games周一透露,它是“网络入侵”的受害者,未经授权的一方可以非法下载侠盗猎车手6的早期片段。 该公司在社交媒体上发布的通知表示:“目前,我们预计不会对我们的直播游戏服务造成任何干扰,也不会对我们正在进行的项目开发产生任何长期影响。” 该公司表示,第三方访问了“我们系统的机密信息”,但目前尚不清楚它是否涉及游戏画面之外的任何其他数据。 这些数据包括约90个游戏视频片段,是由一个化名为“teapotuberhacker”的用户周末在GTAForums上泄露的,暗示该方也是最近Uber违规事件的负责人。 这位名叫Tea Pot的Uber黑客据信是一名18岁的少年。目前尚无其他信息。 teapotuberhacker在论坛中说道:“这些视频是从Slack下载的,这也可能意味着,黑客采用了相同的技术——多因素身份验证(MFA)轰炸,来绕过额外的帐户安全层。 黑客的最终目标似乎是与公司“谈判达成协议”。“如果Rockstar/Take2不付钱给我,我会泄露更多。”泄密者在4chan上发布的消息中说道。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文  

Revolut 遭遇黑客入侵,少量用户数据被暴露

线上金融与支付公司Revolut最近成为网络攻击的目标,该公司在发给客户的电子邮件中确认,实际上有少数用户的账户已经被暴露。不过这次漏洞并没有导致任何资金被盗,。然而,该公司没有透露哪些信息已经暴露,但它说它现在正在联系每一个用户,告知有关该漏洞以及其可能带来的影响。 “不同客户的数据不同。如果有必要,我们会单独联系他们,”Revolut说。另一方面,Revolut解释说,目前没有任何银行卡的细节、PIN码或密码被访问。 该公司声称只有0.16%的客户受到影响,且在这一点上,用户方面不需要采取行动来进一步保护账户。 “我们最近收到了来自一个未经授权的第三方的高度针对性的网络攻击,可能在短时间内获得了你的一些信息。你不需要采取任何行动,然而我们想让你知道,并为这一事件真诚地道歉。我们立即检测并隔离了这一网络攻击。”Revolut在发给受影响客户的电子邮件中说:”由于你是受影响客户中非常小的一部分,我们想向你保证,你的数据现在是安全的,我们理解你可能对这次事件有疑问。” “我们强调,没有接触到资金被盗的情况。你的钱是安全的,像往常一样。你可以正常使用你的虚拟卡/实体卡和账户。作为预防措施,我们已经建立了一个专门的团队来监控你的账户,保证你的钱和账户的安全。虽然你的钱是安全的,但你可能会面临更多的欺诈风险。我们建议你对任何可疑的活动保持特别警惕,包括可疑的电子邮件、电话或信息”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1318091.htm 封面来源于网络,如有侵权请联系删除

“泄露”的咖啡!黑客出售近 22 万名新加坡星巴克顾客数据

据Bleeping Computer网站消息,星巴克位于新加坡的业务遭到了数据泄露事件,涉及21.9万名顾客的个人身份信息。 该事件最早于9月10日被曝出,当时一名网络攻击者提出要在一个流行的黑客论坛上出售包含21.9万名星巴克顾客敏感信息的数据库。该论坛的所有者“pompompurin”对此表示支持,称提供的样本已证实了数据的可靠性。 9月16日,星巴克新加坡公司已向受影响的顾客发送邮件,告知在一起网络攻击事件中,黑客可能泄露了他们的姓名、性别、出生日期、手机号码、电子邮件地址、住宅地址等个人敏感信息,但信用卡数据不受影响,因为星巴克不会存储此类信息。 星巴克的一位受影响客户收到的邮件 此外,星巴克也向当地媒体证实了数据泄露事件,但表示受影响的仅涉及使用星巴克移动应用程序下单,或使用在线商店从该连锁店在新加坡经营的 125 家商店之一购买商品的客户。 尽管帐户密码、会员奖励及积分不受影响,但星巴克仍敦促当地顾客重置密码并警惕任何可疑的通信。 截至9月16日,攻击者声称已有买家以3500美元的价格获取了一份被盗数据信息,并表示愿意向感兴趣的买家提供至少四份数据。值得注意的是,攻击者最初以 25000 美元的价格提供了对受损管理面板的访问权限,使入侵者能够伪造促销代码、更改会员等级等。但由于某些原因攻击者后来失去了对管理面板的访问权限,因此报价也被撤回。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344836.html 封面来源于网络,如有侵权请联系删除

碰撞测试作弊假?黑客曝光特斯拉使用“特殊代码”

特斯拉电动汽车在安全碰撞测试中所展现出的安全性高到令人难以置信,其中Model Y 的表现尤其令用户满意,曾在NHTSA的安全测试中获得了最高的IIHS安全等级。 但是,知名特斯拉黑客和软件专家@Greentheonly却在社交平台上爆料称,特斯拉一直在添加涉及碰撞测试机构的代码,包括刚刚测试过 Model Y 的 ANCAP 和 EuroNCAP。 Greentheonly认为,特斯拉之所以能够在全球各个国家碰撞测试中获得好成绩,很有可能是针对性使用了“特殊代码”。例如特斯拉在ANCAP(澳大利亚)、I-VISTA(中汽研中国智能汽车指数)、EuroNCAP(欧洲)、Korea NCAP(韩国)等车辆测试中心都使用了相关的代码。 简单来说,特斯拉可能针对各种不同规则制定出最优碰撞应对方案,并由车辆上的电脑在碰撞测试时实施该方案。有专家称这些代码是用来激活安全系统,使得车辆在碰撞发生时提前做好准备,这也是特斯拉在不同测试平台所使用的代码不一致的原因。 而一旦可以提前反应,那么车辆的碰撞测试就失去了意义,再也无法模拟真实意外碰撞的场景。因为车辆有足够的时间来改善汽车安全环境,包括采取气囊准备打开在内的其他安全措施等。 倘若黑客所曝出的内容是真的话,那么对于特斯拉绝对是一个巨大的打击。目前,特斯拉并未对此事进行回应。ANCAP的官方人员对媒体表示,他们已经知道这件事情,并对此展开调查。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344842.html 封面来源于网络,如有侵权请联系删除

LastPass 表示在检测并驱逐前,黑客访问内部系统已有 4 天

LastPass 表示发生于今年 8 月的安全事件里,在公司检测并驱逐之前黑客访问公司多个系统的时间已有 4 天。在上个月发布的安全事件通知的更新中,Lastpass 的首席执行官 Karim Toubba 还表示,该公司的调查(与网络安全公司 Mandiant 合作进行)没有发现威胁行为者访问客户数据或加密密码库的证据。 Toubba 表示:“尽管威胁行为者能够访问开发环境,但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。 虽然攻击者能够通过该方法破坏 Lastpass 开发人员的端点以访问开发环境,但调查发现,攻击者在“使用多因素身份验证成功进行身份验证”后能够冒充开发人员。在分析源代码和生产版本后,该公司也没有发现攻击者试图注入恶意代码的证据。 这很可能是因为只有 Build Release 团队才能将代码从 Development 推送到 Production,即便如此,Toubba 表示该过程还涉及代码审查、测试和验证阶段。此外,他补充说,LastPass 开发环境与 LastPass 的生产环境“物理分离,并且没有直接连接”。 事件发生后,Lastpass 在开发和生产环境中部署了包括额外的端点安全控制和监控在内的增强安全控制,以及额外的威胁情报功能和增强的检测和预防技术。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1317291.htm 封面来源于网络,如有侵权请联系删除