分类: 黑客事件

黑客袭击频发,澳大利亚网络安全保险费飙升 80%

据《澳大利亚金融评论报》网站12日报道,在过去的一年里,由于黑客袭击增多和索赔激增,澳大利亚的网络安全保费出现大幅上涨。据全球保险经纪公司达信保险经纪有限公司说,过去3年来,平均每年用于网络安全的保费翻了一番。另一家经纪公司霍南集团指出,保费在过去12个月里上涨了80%,而前两年每年的涨幅均为20%。 报道称,保费涨价的主要原因是:与勒索软件相关的索赔数量和金额有所增加。犯罪分子利用恶意软件禁止人们访问某个组织的计算机系统,直到对方支付赎金。 报道指出,过去几年,澳大利亚的网络攻击数量也急剧增加。 澳大利亚网络安全中心去年收到了逾67500份网络犯罪报告,同比增加约13%。据信网络攻击的真实数量还要多得多。在这其中,约有一半被归为重大事故。 报道称,考虑到公司声誉问题,企业通常不愿公开承认其支付赎金以重新拿回网络控制权。但一项调查发现,80%的受访企业领袖说,如果遭到后果极其严重的网络攻击,他们愿意支付赎金。 转自 CnBeta,原文链接:https://www.cnbeta.com/articles/tech/1315153.htm 封面来源于网络,如有侵权请联系删除

朝鲜黑客利用 Log4Shell 漏洞攻击美国、加拿大、日本能源供应商

Cisco Talos发现Lazarus 集团在今年的一波攻击,主要锁定VMware Horizon环境中含有Log4Shell漏洞的能源业者。Lazarus 此前曾被美国网络安全和基础设施安全局 (CISA)归咎于朝鲜政府。 在于Java纪录框架Apache Log4j中的Log4Shell漏洞(CVE-2021-44228),持续成为黑客入侵组织的起始点,朝鲜黑客集团Lazarus 从今年2月到7月间,锁定了VMware Horizon中修补该漏洞的美国、加拿大与日本的能源供应商并展开攻击,并在这些组织的系统内植入其它恶意程序。 据悉,思科曾评估这些攻击是由朝鲜国家支持的威胁组织 Lazarus Group 发起的。在Cisco Talos调查中,确定了威胁参与者使用的三种不同的 RAT,包括由 Lazarus 独家开发和分发的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近发布了报告(VSingle、YamaBot),详细描述了它们并将这些活动归因于 Lazarus 威胁参与者。 2021年11月被公布的Log4Shell为一任意程序执行漏洞,其CVSS风险等级高达10,大约有20个Apache专案受到Log4Shell漏洞的影响,而因为采用Log4j或相关专案而受到波及的商业服务则不计其数,安永会计师事务所(Ernest & Young)曾估计93%的云端环境都存在风险,而VMware的虚拟桌面及程序管理平台VMware Horizon也是众多受害者之一。 Cisco Talos指出,Lazarus把VMware产品中的Log4Shell漏洞当作进入企业网络的初步通道,继之再部署该集团所开发的恶意程序,以常驻于受害网络上,目的是为了窃取这些组织的机密资讯与智慧财产,以进行间谍活动或是支持朝鲜政府的目标。由于VMware Horizon是以管理权限执行,使得黑客完全不必担心权限问题,并在进入受害网络之后,关闭系统的防毒软件。 在这波攻击被锁定的加拿大、美国与日本能源供应商的攻击活动中,Lazarus集团使用了3种客制化恶意程序,其中的两款是已知的VSingle与YamaBot,以及新的MagicRAT。 VSingle早在去年3月就被公开,它是个HTTP机器人,能与远端的C&C伺服器通讯,以自远端执行任意程序,或是下载与执行外挂程序;YamaBot则是个以Golang撰写的恶意程序,原本锁定Linux平台,但亦有支援Windows的版本,两个版本皆允许黑客自远端执行命令,至于新发现的MagicRAT使用与VSingle及YamaBot不同的C&C伺服器,功能亦是用来维系黑客对系统的存取能力。 网络安全专家建议,在部署涉及Log4Shell的软件漏洞时,最好先确定现有的漏洞尚未被黑客开采,再进行软件更新,否则也许早就遭客黑渗透而不自知。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/GuqwiHVZMa_dVt4Q8GiLTQ 封面来源于网络,如有侵权请联系删除

《Minecraft》 是黑客用于诱饵最多的一款游戏

根据 Statista 发布的预估报告,全球游戏市场在 2025 年预估会达到 2688 亿美元。这也让游戏行业成为黑客重点攻击的目标,让数十亿玩家处于他们的阴影中。作为最畅销的视频游戏之一,Minecraft 自然成为了不少恶意黑客执行攻击的诱饵。 根据端点安全供应商和消费者 IT 安全软件公司卡巴斯基的一份新报告,Mojang Studios 开发的热门沙盒游戏《我的世界》(Minecraft)在黑客使用最多的游戏。 《我的世界》经常被黑客用来向全球不同用户投放恶意软件。具体来说,该公司表示,从 2021 年 7 月到 2022 年 6 月,共计发现了存在恶意诱饵的 23239 个游戏文件,影响了 131005 名用户。卡巴斯基指出,虽然在手游领域使用《我的世界》作为诱饵的恶意文件数量有所下降,但它仍然排在首位,分发了 2406 个。 卡巴斯基在 Minecraft 之后列出了另外 9 款游戏,这些游戏在分发的相关恶意文件数量方面:FIFA (10,776), Roblox (8,903), Far Cry (8,736), Call of Duty (8,319), Need for Speed (7,569), Grand Theft Auto (7,125), Valorant (5,426), The Sims (5,005)以及CS:GO (4,790). 根据卡巴斯基安全解决方案,根据他们从这些游戏中观察到的文件,下载程序是分发的第一大恶意软件和不需要的软件,在研究期间占案例的 88.56%。这确实是一个巨大的数字,尽管安全公司表示“这种类型的未经请求的软件本身可能并不危险……它可用于将其他威胁加载到设备上”。 使用热门游戏传播的其他类型威胁包括非病毒:AdWare (4.19%)、Trojan (2.99%)、DangerousObject (0.86%)、Trojan-SMS (0.49%)、Trojan-Downloader (0.48%) , not-a-virus:WebToolbar (0.47%), not-a-virus:RiskTool (0.45%), Exploit (0.34%) 和 Trojan-Spy (0.29%)。尽管这类威胁的比例很小,但对于受影响的人来说,捕捉它们可能是一个巨大的问题。例如,特洛伊木马威胁可能会破坏、窃取或对个人数据或网络造成其他有害行为。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1313435.htm 封面来源于网络,如有侵权请联系删除

黑客组织 KillNet 攻击日政府网站第二天,东京和大阪地铁网站也瘫了

在日媒发现“亲俄罗斯”的黑客组织KillNet 6日宣布对日本政府网站实施网络攻击后,共同社最新消息称,东京地铁公司和大阪地铁公司的网站也于当地时间7日晚无法访问,“这似乎是日本遭受网络攻击的第二天”。 共同社报道截图 共同社称,黑客组织Killnet7日18时30分左右在即时通讯应用Telegram上写道,它已经向日本“反俄运动”宣战,还上传了一段视频;大约在当天19时过后不久,该组织再次发帖称将瘫痪东京的地铁网络。为此报道称,这些攻击可能正是由Killnet发起的。 报道还称,最近的一次中断似乎是由另一次DDoS攻击引起的,在此次攻击中,黑客在短时间内从多个来源发送大量数据,使网络不堪重负。 此前一天,日本广播协会(NHK)等日媒7日报道称,黑客组织KillNet6日下午在社交媒体上宣布,对日本政府网站实施网络攻击,并称该组织“走在与日本军国主义对抗的道路上”。随后,由日本数字厅管理的行政信息网站“e-Gov”等多个网站陷入不稳定状态。对于KillNet声称发起网络攻击,日本内阁官房长官松野博一7日表示,日本政府部门网站的网络“中断的原因,包括它(与Killnet)的联系,正在确认过程中”,此外,他还表示,这些网站已恢复正常运行,有关数据泄露问题暂无法证实。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1313811.htm 封面来源于网络,如有侵权请联系删除

韩国政府 YouTube 频道遭黑客入侵,借马斯克形象推广加密骗局

9月3日,韩国政府的官方YouTube频道遭到黑客入侵,黑客们利用该频道推广一个加密货币骗局,并使用了特斯拉CEO埃隆-马斯克的形象。黑客将韩国政府频道的名称改为“SpaceX Invest”,以假装与马斯克旗下的太空探索技术公司(SpaceX)有关。 黑客们还发布了几段采访视频,其中包括马斯克谈到加密货币的采访视频片段。不过,韩国政府很快发现了黑客攻击,并在试图确定漏洞来源的同时将账户暂停了4小时。 负责管理政府YouTube帐户的韩国文化和旅游部发言人表示,政府正在与谷歌韩国公司合作,以确定黑客是如何进行攻击的,但怀疑该频道的 ID和密码可能已被泄露或被盗。 这不是韩国政府过去一周遭遇的唯一一次黑客攻击,就在上周四,韩国旅游发展局运营的YouTube频道遭受了为期两天的攻击,最终导致该频道无限期暂停。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1312855.htm 封面来源于网络,如有侵权请联系删除

黑客入侵意大利石油公司 ENI 的网络

Hackernews 编译,转载请注明出处: 意大利石油巨头埃尼公司(Eni)披露了一个安全漏洞,黑客获得了访问其网络的权限,但据该公司称,入侵造成的后果很小,因为它很快就被发现了。 该公司向意大利当局报告了这一事件,意大利当局展开调查,以确定攻击的范围。 Bloomberg News周三首次报道了此次攻击的消息,推测埃尼集团似乎遭到勒索软件的攻击。 “埃尼集团证实,内部保护系统最近几天检测到对公司网络未经授权的访问。”公司发言人在回应Bloomberg News的询问时表示。 如果没有有关攻击的技术细节,目前无法确定攻击者是如何入侵公司的和他们的动机是什么,并将入侵归因于特定的黑客。 知情人士称,埃尼似乎受到了勒索软件攻击。勒索软件是一种恶意软件,它会锁定计算机并阻止对文件的访问以代替付款。目前尚不清楚谁会对这次违规行为负责。 意大利能源部门似乎受到攻击,上周末,意大利能源机构Gestore dei Servizi Energetici SpA遭到网络攻击。GSE是经营意大利电力市场的政府机构。 GSE的网站仍处于关闭状态,知情人士告诉Bloomberg News,该公司的基础设施遭到破坏,影响了该机构的运营。 破坏公用事业和其他关键基础设施运营商的一个主要风险是,他们的IT系统遭到黑客攻击可能会导致向终端用户提供电力、水和其他服务的操作系统中断,即使黑客从未真正接触过这些敏感设备。去年,总部位于乔治亚州的Alpharetta Colonial Pipeline Co.,在勒索软件攻击使其IT系统瘫痪后,关闭了美国最大的燃料管道。今年2月,总部位于德国汉堡的石油贸易商Mabanaft表示,它是网络攻击的受害者,该攻击中断了德国各地的燃油供应。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客使用各种恶意软件感染系统

Hackernews 编译,转载请注明出处: 在2022年3月至6月期间,多达三个不同但相关的活动被发现将各种恶意软件(包括 ModernLoader、RedLine Stealer和加密货币矿工)发送到受感染系统上。 Cisco Talos研究员Vanja Svajcer在与The Hacker News分享的一份报告中说:“攻击者使用PowerShell、.NET程序集、HTA和VBS文件在目标网络中传播,最终丢弃其他恶意软件,例如SystemBC特洛伊木马和DCRat,以实现其操作的各个阶段。” 该恶意植入程序名为ModernLoader,旨在为攻击者提供对受害者计算机的远程控制,从而使攻击者能够部署额外的恶意软件、窃取敏感信息,甚至使计算机陷入僵尸网络。 Cisco Talos将感染归因于一名以前没有记录但会说俄语的黑客,理由是使用了现成的工具。潜在目标包括保加利亚、波兰、匈牙利和俄罗斯的东欧用户。 这家网络安全公司发现的感染链涉及试图破坏易受攻击的网络应用程序(WordPress和CPanel),通过假冒亚马逊礼品卡的文件传播恶意软件。 第一阶段有效负载是一个HTML应用程序(HTA)文件,它运行托管在命令和控制(C2)服务器上的PowerShell脚本,以启动临时有效负载的部署,最终使用称为进程空心化的技术注入恶意软件。 ModernLoader(又名Avatar bot)被描述为一种简单的.NET远程访问木马,它具有收集系统信息、执行任意命令或从C2服务器下载并运行文件的功能,允许攻击者实时更改模块时间。 Cisco的调查还发现了2022年3月的两个早期活动,其作案手法相似,利用ModerLoader作为主要的恶意软件C2通信,并提供其他恶意软件,包括XMRig、RedLine Stealer、SystemBC、DCRat和Discord令牌窃取程序等。 Svajcer说:“这些活动描绘了一个尝试不同技术的黑客,使用现成的工具表明,攻击者了解成功的恶意软件活动所需的TTP,但他们的技术技能还不足以完全开发自己的工具。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客利用天文望远镜拍摄的图像传播恶意软件

据Bleeping Computer网站8月30日消息,威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动,该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。 该恶意软件由 Golang 编写,Golang 因其跨平台的特性(Windows、Linux、Mac)以及对逆向工程和分析的强抵抗力而越发得到网络犯罪分子的青睐。在 Securonix 的研究人员最近发现的活动中,攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的有效负载。 感染链 感染始于一封带有“Geos-Rates.docx”恶意文档的网络钓鱼电子邮件,该文档会下载模板文件,其中包含一个经过混淆的 VBS 宏,如果在 Office 套件中启用了宏,该宏会自动执行。之后,该代码从一个远程资源(“xmlschemeformat[.]com”)下载 JPG 图片(“OxB36F8GEEC634.jpg”),使用 certutil.exe 将其解码为可执行文件(“msdllupdate.exe”)并启动。 以图像查看器(左)和文本编辑器(右)打开图片文件 在图像查看器中,这是一张由 NASA 的詹姆斯韦伯望远镜于 2022 年 7 月发布的星系团 SMACS 0723图片,若使用文本编辑器打开,则会显示伪装成内含证书的额外内容,其本质是Base64编码的恶意有效载荷。有效载荷的字符串使用ROT25进一步混淆,而二进制文件使用XOR来隐藏Golang程序集,以防止分析人员发现。除此之外,这些程序集还使用了案例修改来避免安全工具基于签名的检测。 根据动态恶意软件分析推断出的情况,该可执行程序通过复制到’%localappdata%%microsoft\vault\’并添加一个新的注册表键来实现持久性,之后便与命令和控制(C2)服务器建立了DNS连接,并发送加密查询。C2可通过设置连接请求之间的时间间隔、更改nslookup超时或通过Windows cmd.exe工具发出执行命令来响应恶意软件。 在测试过程中,Securonix观察到攻击者在其测试系统上运行任意的枚举命令,这是一个标准侦察步骤的第一步。研究人员指出,用于该活动的域名注册时间较新,最早的注册时间是 2022 年 5 月 29 日。 Securonix 提供了一组危害指标 (IoC),其中包括基于网络和主机的指标。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/343382.html 封面来源于网络,如有侵权请联系删除

美国陆军宣布招募“国家黑客”

乌俄冲突让网络战更加白热化,近期,美国陆军本周宣布对外招募网络战部队,防御国外政府发动的网络攻击以及防御工作。 美国陆军指出,21世纪的战争已经转移到网络,恶意网络流量、复杂的钓鱼攻击、病毒和其他虚拟攻击,正对美国关键基础设施以及人民安全产生直接威胁。 美国陆军表示,加入“网络战士”将会获得网络攻击及防御任务的技能训练,强化辨识锁定政府机构和金融中心的广告软件、勒索软件、间谍软件,以及找出国际黑客网络、破坏国内网络犯罪计划,保卫美国陆军通讯的能力。 虽然网络战一直存在,但在乌俄冲突后,网络战争也由暗转明,美国拜登政府今年也号召投入资金强化美国国防,号召企业协助美国网络基础架构及军事、政府信息系统的防御。另一方面,新冠疫情影响降低民众从军意愿,美陆军今年一月宣布提供入伍奖金到最高一年5万美元以及其他奖金。 美国陆军招募的主要包括网络电子作战官、网络作战官、密码情报分析师、网络防御员以及网络作战专员。网络电子作战官是网络防御及整合首要人物,负责协调电子攻击和防御任务,并提供电子作战支援。网络作战官主要面对敌人行动执行攻击。 密码情报分析师负责搜集和分析情报,找出目标所在,也要从电脑、语音、影像及文字通讯中找出敌军行动样态线索,协助作战。网络防御员则是专注在电脑网络,包括基础架构支援、安全事件回应、稽核和管理,也需侦测和扫除网络上的未授权活动,并以各种工具来分析以及回应攻击。最后,网络作战专员负责确保美国陆军的重要武器系统,包括卫星、导航、飞航系统免于国内、国外网络威胁。这个角色要协助指挥官在“网络所有领域”克敌制胜。 美国陆军将提供的训练包括基础技术、情报和网络作战技能、程序编写语言、IT安全认证、网络作战策划和执行、进阶的电脑指令、鉴识、恶意程序分析和黑客训练、以及拦截防范爆炸装置(improvised explosive device,IED)和辨识及对抗雷达及其他电子攻击系统的训练。 已有理工科系学位且现职为网络专业人士若加入美军,可以申请成为军官,依其程序编写及分析经验而定,军职可以从少尉起跳,最高到上校,而且获得相应的加给。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/gy0E2fELt83cRZrbHo8NzQ 封面来源于网络,如有侵权请联系删除

卡巴斯基发现了针对韩国政客和外交官的朝鲜黑客组织 Kimusky

据悉,朝鲜民族国家组织 Kimusky 在2022年与初针对韩国的一系列新的恶意活动有关。 卡巴斯基将集群代号为GoldDragon,感染链导致 Windows 恶意软件的部署,这些恶意软件旨在文件列表、用户击键和存储的 Web 浏览器登录凭据。 潜在受害者包括韩国大学教授、智库研究人员和政府官员。 Kimsuky,也被称为 Black Banshee、Thallium 和 Velvet Chollima,是朝鲜多产的高级持续威胁 (APT) 组织的名称,该组织以全球实体为目标,但主要关注韩国,以获取有关各种政权情报。 该组织自 2012 年以来一直在运营,主要使用社会工程策略、鱼叉式网络钓鱼和水坑攻击来从受害者那里窃取所需信息的历史。 上个月末,网络安全公司 Volexity 归咎于一项情报收集任务,该任务旨在通过名为 Sharpext 的恶意 Chrome 浏览器扩展程序从 Gmail 和 AOL 中窃取电子邮件内容。 最新的活动遵循类似的作案手法,其中攻击序列是通过包含宏嵌入 Microsoft Word 文档的鱼叉式网络钓鱼消息发起的,据称这些文档包含与该地区政治问题相关的内容。 据说替代的初始访问路线也利用 HTML 应用程序 (HTA) 和编译的 HTML 帮助 (CHM) 文件作为诱饵来破坏系统。 无论使用哪种方法,初始访问之后都会从远程服务器中删除一个 Visual Basic 脚本,该脚本被编排为对机器进行指纹识别并检索其他有效负载,包括能够泄露敏感信息的可执行文件。 该攻击的新颖之处在于,如果收件人单击电子邮件中的链接以下载其他文档,则受害者的电子邮件地址会传输到命令和控制 (C2) 服务器。如果请求不包含预期的电子邮件地址,则返回良性文档。 为了使杀伤链更加复杂,第一阶段的 C2 服务器将受害者的 IP 地址转发到另一个 VBS 服务器,然后将其与目标打开诱饵文档后生成的传入请求进行比较。 两台 C2 服务器中的“受害者验证方法”确保仅在 IP 地址检查成功时才交付 VBScript,表明该方法具有高度针对性。 卡巴斯基研究员 Seongsu Park 说:“Kimsuky 组织不断改进其恶意软件感染方案,并采用新技术来阻碍分析,追踪这个群体的主要困难是很难获得完整的感染链。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/Ulc-heW6R_r8395RKfov4Q 封面来源于网络,如有侵权请联系删除