分类: 黑客事件

黑客正使用 AiTM 攻击监控企业高管的 Microsoft 365 帐户

据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。 Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。 在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。 在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。 发送给目标高管的网络钓鱼邮件 攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。 攻击者将手机添加为新的 MFA 设备 由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。 在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。 然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342973.html 封面来源于网络,如有侵权请联系删除

微软发现 Nobelium 黑客使用的新后门恶意软件

Hackernews 编译,转载请注明出处: SolarWinds供应链攻击背后的黑客与另一个“高度目标化”的后门恶意软件有关,该恶意软件可用于保持对受损环境的持久访问。 微软威胁情报团队称之为MagicWeb,该开发重申了Nobelium对开发和维护专用功能的承诺。 Nobelium是这家科技巨头的绰号,因为2020年12月针对SolarWinds的复杂攻击曝光了一系列活动,并与俄罗斯民族国家黑客组织APT29,Cozy Bear或The Dukes重叠。 微软表示:“Nobelium仍然非常活跃,同时针对美国、欧洲和中亚的政府组织、非政府组织、政府间组织和智囊团开展了多项活动。” MagicWeb与另一个名为FoggyWeb的工具有相似之处,据评估,它已部署用于在补救工作期间维护访问权限和抢占驱逐,但只有在获得对环境的高度特权访问并横向移动到AD FS服务器之后。 虽然FoggyWeb具有专门的功能来提供额外有效负载和从Active Directory Federation Services(AD FS)服务器窃取敏感信息,但MagicWeb是一个流氓DLL(“Microsoft.IdentityServer.Diagnostics.dll”的后门版本),它通过身份验证旁路促进对AD FS系统的秘密访问。 “Nobelium部署MagicWeb的能力取决于能否访问对AD FS服务器具有管理权限的高特权凭据,从而使他们能够在其访问的系统上执行任何恶意活动。”微软表示。 此前,一项以APT29为主导的针对北约附属组织的行动被披露,目的是获取外交政策信息。 具体来说,这需要禁用名为Purview Audit(以前称为高级审核)的企业日志记录功能,以从Microsoft 365帐户中获取电子邮件。Mandiant说:“APT29将继续展现卓越的操作安全性和规避战术。” 黑客在最近的操作中使用的另一种新策略是使用密码猜测攻击来获取与休眠帐户相关联的凭据,并将其注册为多重身份验证,从而允许其访问组织的VPN基础设施。 APT29仍然是一个多产的威胁组织。上个月,Palo Alto Networks Unit 42标记了一场网络钓鱼活动,该活动利用Dropbox和Google Drive云存储服务进行恶意软件部署和其他入侵后行动。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

男子 2200 万拍下一柯尼塞格,拍卖平台:被黑客攻击提不了车

在我们还在纠结买车全款还是贷款的时候,就有人在网上直接2200多万元,拍下一辆柯尼塞格超跑了,这你敢相信?不过,有钱人也有有钱人的烦恼,买车稍有不慎同样“进坑”。日前,网友上传一段视频显示,一名男子在拍卖平台看上了一辆柯尼塞格Regera超跑,8月19日,和朋友一起斥资2200多万元将其拍下。 8月21日收到平台的付款信息,将剩余车款2200多万元全款支付,计划22日前往天津提车。但是此时却有意外发生,平台告知,因为受到黑客攻击,导致拍卖结果有误。 原本愉快的提车之旅,现在变成了维权之路,就在他们去往天津的路上,拍卖平台无任何说法,将车款全额退还;5个多小时后,将300万元保证金一同退还。 8月24日,他们一行人来到拍卖平台所在公司,却得不到任何答复,也不出具任何证明,只说明事情仍在调查当中。 对此,买家相当不解,如果是他们拍卖后,不及时支付尾款,那么他们300万的保证金平台肯定不会退还;但现在是他们支付了尾款,而平台方却不给提车,平台这种做法是否构成违约,需要退还双重保证金?需要专业人士来解答。 目前,双方还未达成一致,后续关注。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1308665.htm 封面来源于网络,如有侵权请联系删除

黑客利用零日漏洞窃取 General Bytes ATM 机上的加密货币

The Hacker News 网站披露,比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞,从用户处掠夺加密货币。 攻击事件发生不久后,General Bytes 在一份公告中表示,自 2020-12-08 版本以来,该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面,利用页面上的 URL 调用,远程创建管理员用户。 CAS CAS,Crypto Application Server 的缩写,是 General Bytes 公司旗下一款自托管产品,能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM(BATM)机器。 目前,涉及 CAS 管理界面的零日漏洞,已经在以下两个版本的服务器补丁中得到了修复: 20220531.38 20220725.22 General Bytes 强调,未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间,识别出在端口 7777 或 443 运行的 CAS 服务,随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。 之后,黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”,这时候客户向 ATM 机发送加密货币,双向 ATM 机则会向黑客钱包地址转发货币。 换句话说,攻击者主要目的是通过修改设置,将所有资金都转到其控制的数字钱包地址里。值得一提的是,目前尚不清楚有多少服务器受到此漏洞影响,以及有多少加密货币被盗。 最后,General Bytes 公司强调,自 2020 年以来,内部已经进行了多次“安全审计”,从未发现这一零日漏洞。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342610.html 封面来源于网络,如有侵权请联系删除

白帽黑客通过退役卫星播放广播谈话和黑客电影

Hackernews 编译,转载请注明出处: 黑客控制了一颗退役卫星,并播放了黑客会议演讲和黑客电影。 在拉斯维加斯举行的最新一届DEF CON黑客大会上,白帽黑客团体Shadytel演示了如何控制地球静止轨道上的卫星。该组织使用了一颗名为Anik F1R的卫星,该卫星于2020年被销毁。 该组织被授权进行黑客攻击,他们攻击的卫星已经退役,这意味着它将被送往墓地轨道。墓地轨道,也被称为垃圾轨道,它远离普通运行轨道,一些卫星在其运行寿命结束时被移入此类轨道,以避免与运行中的航天器和卫星发生碰撞。 该小组的一名成员Karl Koscher解释说,他们可以使用一个未使用的上行链路设施,其中包括连接卫星的硬件。 “[Koscher]说,他们还获得了使用上行链路的许可证,并租用了卫星转发器,该转发器是在接收天线和发射天线之间打开通道的单元。”Lorenzo Franceschi-Bicchierai在主板上写道。 这群黑客能够将去年在ToorCon举行的黑客会议上的谈话与WarGames等黑客电影一起播放。 Koscher及其团队强调黑客一旦进入上行链路设施,就可能控制退役卫星进行恶意活动。 Koscher解释说,很容易找到连接卫星的硬件,该小组使用了一种Hack RF软件定义的无线电外围设备,能够传输或接收从1 MHz到6 GHz的无线电信号。这个软件很便宜,只需300美元左右。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客使用 Bumblebee 加载程序破坏 Active Directory 服务

Hackernews 编译,转载请注明出处: 被称为Bumblebee的恶意软件加载程序越来越多地被与BazarLoader、TrickBot和IcedID相关的黑客利用,来破坏目标网络,进行开发后的活动。 Cybereason研究人员Meroujan Antonyan和Alon Laufer在一篇技术文章中说: “Bumblebee操作员进行密集的侦察活动,并将执行命令的输出重定向到文件中进行过滤。” Bumblebee于2022年3月首次曝光,当时谷歌的威胁分析小组揭露了一个名为Exotic Lily的初始访问经纪人的活动,该经纪人与TrickBot和更大的Conti组织有联系。 通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付,此后,这种操作方式得到了调整,避开使用带有宏的文档,转而使用ISO和LNK文件,主要是为了响应微软默认阻止宏的决定。 研究人员说:“恶意软件的传播是通过钓鱼电子邮件来完成的,该邮件带有附件或指向包含Bumblebee的恶意档案的链接。初始执行依赖于最终用户的执行,最终用户必须提取存档,挂载ISO映像文件,并单击Windows快捷方式(LNK)文件。” LNK文件就其本身而言,包含启动Bumblebee加载程序的命令,然后将其用作下一阶段操作(如持久性、权限升级、侦察和凭据盗窃)的管道。 攻击期间还使用了Cobalt Strike对手模拟框架,该框架在受感染端点上提升权限后,使黑客能够在网络中横向移动。持久性是通过部署AnyDesk远程桌面软件实现的。 在Cybereason分析的事件中,一名高权限用户的被盗凭据随后被用来控制Active Directory,更不用说创建一个本地用户帐户来进行数据泄露。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客组织 Lazarus 冒充 Coinbase,针对 IT 求职者发起攻击

有朝鲜背景的黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件,冒充 Coinbase 招聘信息并吸引金融技术领域的员工。Lazarus 组织此前就曾使用虚假的工作机会做诱饵,而在近期的恶意活动中,该机构使用包含 Coinbase 职位详细信息的 PDF 文件进行传播。 这个虚假的招聘信息文档叫做“Coinbase_online_careers_2022_07”。当用户点击之后,就会显示上图这样的诱饵 PDF 文件,然后就会调用恶意 DLL,最终允许威胁攻击者向受影响的设备发送命令。 ESET 的网络安全专家表示黑客已经做好攻击 macOS 系统的准备了。专家表示 Intel 和 Apple Silicon 的 Mac 均会受到影响,意味着无论新旧设备都可以成为黑客的攻击目标。 在 Twitter 上的一份帖子中,该恶意文件会释放 3 个文件 ● 捆绑的 FinderFontsUpdater.app ● 下载器 safarifontagent ● 一个称之为 “Coinbase_online_careers_2022_07”的诱饵 PDF 文件。 ESET 将最近的 macOS 恶意软件与 Operation In(ter)ception 联系起来,后者也被认为是 Lazarus 的手笔,以类似的方式攻击知名航空航天和军事组织。 查看 macOS 恶意软件,研究人员注意到它是在 7 月 21 日签署的(根据时间戳值),并在 2 月份向开发人员颁发了证书,该证书使用名称 Shankey Nohria 和团队标识符 264HFWQH63。 8 月 12 日,该证书尚未被 Apple 吊销。但是,该恶意应用程序并未经过公证,这是Apple 用于检查软件是否存在恶意组件的自动过程。 与之前归因于 Lazarus 黑客组织的 macOS 恶意软件相比,ESET 研究人员观察到下载器组件连接到不同的命令和控制 (C2) 服务器,该服务器在分析时不再响应。长期以来,朝鲜黑客组织与加密货币黑客以及在旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1305963.htm 封面来源于网络,如有侵权请联系删除

CS:GO 最大交易平台遭黑客攻击,600 万美元游戏皮肤失窃

《CS:GO》(反恐精英:全球攻势)是近来最热门的多人第一人称射击游戏之一,由知名电子游戏开发商Valve Software发行。该游戏中的武器皮肤具有不同的稀有性,这就促使了使用Steamworks API的交易网站的创建,以方便玩家相互交易皮肤。 CS.MONEY就是其中最大的CS:GO皮肤交易平台之一,拥有53种武器的1696种独特皮肤,总资产价值为1650万美元。而该平台最近不幸被黑客盯上,在第一波攻击中大约600万美元的皮肤失窃,资产直接缩水了1/3以上。 在8月13日察觉到攻击后至今,CS.MONEY网站处于关闭状态,并且暂时无法给出恢复服务的预计时间。CS.MONEY正在采取各种方式挽回损失。据其在Twitter上发布的推文,其他交易平台已同意阻止20000件被盗物品的交易,以防止黑客脱手赃物。 对于本次攻击事件,CS.MONEY的公关主管Timofey Sobolevky撰文详细说明了来龙去脉: CS.MONEY在收到可疑交易的消息后,最初的想法是CS.MONEY本身被黑客入侵,他们禁用了所有外部设备和服务的授权,怀疑问题可能出在cookie文件被盗。但工作人员登陆交易数据库后,发现CS.MONEY service在其日志中未记录任何交易,这说明发送可疑交易的机器人不是受CS.MONEY控制,而是由攻击者直接控制。这也解释为什么即使他们重置了所有授权并关闭了服务仍未能停止可疑交易。 CS.MONEY随后确认,事件的源头是黑客以某种方式获取了用于Steam授权的Mobile Authenticator文件的访问权限,使得黑客能够直接控制托管皮肤的机器人。 该黑客为混淆视听,除将皮肤发送给自己外,还随机将其分发给普通玩家、知名交易者、博主等,以转移调查人员的注意力、隐藏自身的踪迹。在攻击的第一天,黑客共操纵约100个帐户完成了约1000笔交易。 CS.MONEY团队现在正在尝试重置其密码和MA文件,而所有被转移的皮肤现在都处于交易锁定状态。目前不清楚游戏开发商Valve是否会进行干预追回失窃物品。 转自 安全内参,原文链接:https://www.secrss.com/articles/45939 封面来源于网络,如有侵权请联系删除

黑客对拖拉机的越狱行为掀起农民争取维修权的浪潮

世界各地的农民已经转向拖拉机黑客,以便他们能够绕过制造商强加给他们车辆的数字锁。就像胰岛素泵的 “循环 “和iPhone的越狱一样,这使得农民可以修改和修理对他们工作至关重要的昂贵设备。 周六在拉斯维加斯举行的DefCon安全会议上,被称为Sick Codes的黑客展示了针对约翰迪尔公司拖拉机的新越狱方法,他可以通过触摸屏控制多种型号的拖拉机。这一发现凸显了维修权运动的安全影响。Sick Codes发现的拖拉机漏洞并不是一个远程攻击,但所涉及的漏洞代表了设备中的基本不安全因素,可能会被恶意行为者利用或可能与其他漏洞串联。 正如2021年JBS肉类公司的勒索软件攻击等事件所显示的那样,确保农业产业和食品供应链的安全至关重要。但与此同时,像Sick Codes发现的那些漏洞有助于农民用自己的设备做他们需要做的事情。居住在亚洲的澳大利亚人Sick Codes在2021年 DefCon上发表了关于拖拉机应用编程接口和操作系统错误的演讲。在他公开了他的研究后,包括约翰迪尔在内的拖拉机公司开始修复一些缺陷。 Sick Codes表示,虽然他主要关注的是世界粮食安全和脆弱的农用设备带来的风险,但他也认为让农民完全控制自己的设备具有重要价值。在美国,关于一个人购买的设备的”维修权”的争论持续了多年之后,这一运动似乎已经达到了一个转折点。白宫去年发布了一项行政命令,指示联邦贸易委员会加大执法力度,处理因外部维修而使保修失效等做法。这一点,再加上纽约州通过了自己的维修权法和创造性的活动家压力,为这一运动带来了前所未有的动力。 面对越来越大的压力,约翰迪尔公司在3月份宣布,它将向设备所有者提供更多的维修软件。该公司当时还表示,它将在明年发布一个”增强型客户解决方案”,这样客户和机械师就可以自己下载和应用迪尔设备的官方软件更新,而不是由约翰迪尔单方面远程应用补丁或强迫农民将产品送到授权经销商处。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1304725.htm 封面来源于网络,如有侵权请联系删除

硬件付费订阅引众怒,黑客向宝马宣战

前段时间,宝马宣布将为今后的新车推出远程付费升级服务,包括座椅加热、自适应巡航等功能,客户可以在需要的时候,暂时或者永久付费开通某些功能。韩国和英国等市场,已经上线了部分服务,英国车主每月花15英镑(约合人民币120元)激活加热座椅等设备,或每月花35英镑(42美元)激活主动巡航控制设备。 而这也引起了不少消费者的不满,他们觉得自己花钱买的车,凭什么关闭功能而要额外支付费用才允许使用,有些功能我不想用的话,也就不想让它出现在自己车上。 据报道,近日,国外一些改装厂和黑客就向宝马订阅制提出宣战,黑客表示他们将攻克宝马的付费订阅系统,让用户免费使用该功能。 黑客表示:“我们一直在倾听客户的意见,并想方设法提供。只要有客户付费使用过,宝马激活该功能,我们就能攻破它;相反的,如果宝马没有激活该功能,我们可以用第三方应用或硬件来改造它,实现该功能。” 此外,在美国市场,宝马对于黑客或者改装厂破解的固件还必须保修,要不然会触犯FTC消费者保护法,因为这些功能都是已经存在了,用户只是启动它而已。 中国市场暂时只有模拟声浪和远程温控两个订阅,但这意味着宝马已经在中国市场尝试订阅制,未来,国内黑客是否会对宝马的订阅制“动手”,还需拭目以待。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1304555.htm 封面来源于网络,如有侵权请联系删除