分类: 黑客事件

加密货币平台 Wormhole 遭黑客入侵 预估损失 3.22 亿美元

Wormhole Portal 刚刚遭遇了“桥梁”漏洞攻击,导致该加密货币平台损失了相当于 3.228 亿美元的 ETH 和 SOL 。问题源于以太坊区块链上的一个“智能合约”缺陷,别有用心的攻击者可借此将一款加密货币转换成另一种并跑路。 攻击后,失窃的加密货币资产已缩水至 2.94 亿美元。虽然 Wormhole 尚未就此事给出正面回应,但还是在推特上更新了网站状态。 在证实攻击事件发生后,平台很快转入了所谓的“维护模式”,以查找相关漏洞并打上补丁。 向 Wormhole 通报攻击事件的加密钱包应用 ZenGo 首席技术官 Tal Be’ery 表示,本次攻击仅是黑客利用最近蹿升的区块链漏洞利用的其中一环。 上周,一篇报道刚刚指出了某位黑客从 Qubit Finance 那里“空手套白狼”般地窃取了 8000 万美元。 The Record 指出: 尽管 2022 才拉开序幕没多久,但 Wormhole 后续证实的确切损失金额,或使之成为新年以来规模最大的加密货币平台黑客事件、以及有史以来第二大的去中心化金融(DeFi)平台黑客事件。 最后,与 Qubit 事件一样,Wormhole 现也正在呼吁黑客归还攻击期间损失的加密货币,愿意与之签署一份不提起任何刑事诉讼的“白帽协议”、并给予千万美元的奖励。 然而正如一位前 Uber 高管所指出的那样,此类免责合同在某些司法管辖区并不合法、且当局仍可向攻击者发起抓捕。   (消息及封面来源:cnBeta)

Crypto.com 承认超过 3000 万美元被黑客窃取

在周四凌晨发表的一篇博客文章中,加密货币交易所Crypto.com承认,在1月17日发生黑客攻击后,该公司损失了远远超过3000万美元的比特币和以太坊。事件发生后,该公司被批评一直围绕网络安全问题对外模糊沟通,昨天才由首席执行官Kris Marszalek正式确认。 新的博客文章说,未经授权的提款总价值为4836.26ETH和443.93BTC–按照目前的汇率,分别大约相当于1520万美元和1860万美元,同时还有价值66200美元的其他法币,总共有483名Crypto.com用户的账户被泄露。 Crypto.com表示,所有受影响的客户的损失都得到了充分补偿。该公司的最新声明称已有了对安全漏洞的更深入了解,尽管确切入侵方法的细节仍不清楚。 新的博客文章说,未经授权的提款总价值为4836.26ETH和443.93BTC–按照目前的汇率,分别大约相当于1520万美元和1860万美元,同时还有价值66200美元的其他法币,总共有483名Crypto.com用户的账户被泄露。 Crypto.com表示,所有受影响的客户的损失都得到了充分补偿。该公司的最新声明称已有了对安全漏洞的更深入了解,尽管确切入侵方法的细节仍不清楚。   (消息及封面来源:cnBeta)

黑客入侵 Fractal 官方 Discord 频道:已骗取 15 万美元加密货币

新兴游戏物品 NFT 交易平台 Fractal 遭遇黑客的攻击。本周二,该平台通过官方 Discord 频道发送了一条购物链接,但实际上这是个窃取用户加密货币而设立的骗局。 遵循该链接并连接他们的加密货币钱包的用户,期望收到一个 NFT,却发现他们持有的 Solana(SOL) 加密货币被清空并转移到骗子的账户。另一个 NFT 游戏项目的创始人 Tim Cotten 在 Medium 上发布的分析报告估计,被盗的 SOL 价值约为 15 万美元。 Fractal 是 Twitch 联合创始人 Justin Kan 的一个创业项目,专门从事代表游戏内资产的 NFT 的买卖。它在 12 月初宣布成立,并迅速通过 Discord 积累了超过 10 万名用户的粉丝–这使得它成为自一开始就困扰 NFT 项目的那种骗子的目标。 消息传到了Twitter上,Kan的一条推文告诉粉丝们,Fractal的Discord服务器上的公告机器人被黑掉了。另一条来自FractalTwitter主账户的推文证实,一个欺诈性的链接已经通过该渠道发布。 尽管来自 Discord 机器人的帖子是假的,但 Fractal 的官方Twitter账户在被黑几个小时前发布了一条推文,暗示即将进行空投(airdrop):这是一个加密货币项目分发一些代币的过程,通常是向早期采用者的用户分发。由于对代币矿场和空投的需求通常非常高,当快照宣布时,用户快速行动的压力创造了一个攻击媒介,而骗子们都很乐意利用这一媒介。   (消息及封面来源:cnBeta)

网络黑客正利用虚假广告来传播恶意程序

网络犯罪分子正不断提高技术方式,寻找利用用户并获取其个人数据的新方法。过去,欺骗用户提供敏感信息最常见的方式就是网络钓鱼攻击,伪装成可靠的来源并要求提供用户的数据。不过根据思科 Talos 威胁情报组织的最新安全报告,作为从不知情的用户那里获取信息的有效方法,一种新的恶意活动已经越来越受到重视。 这种方法叫做“恶意广告”(malvertising),Talos 情报组织认为,一个被称为“Magnat”的特定活动利用欺诈性的在线广告来欺骗那些正在搜索合法软件安装程序的用户。思科威胁情报团队认为,Magnat 活动可能在 2018 年底开始,目标是加拿大、美国、澳大利亚和其他几个欧洲国家的用户。 一旦用户被引导到欺诈性下载,他们就会运行一个假的安装程序,将三个不同的恶意软件部署到他们的系统。虽然假安装程序开始安装多个恶意软件组件,但它并没有安装用户最初搜索的实际应用程序。 第一款恶意软件是一个密码窃取器,用于收集用户凭证,通常通过一个被称为 Redline 的普通工具。另一个恶意软件,称为 MagnatBackdoor,通过微软远程桌面设置对用户设备的远程访问。这种访问,结合由 Redline(或类似工具)窃取的用户凭证,可以提供对用户系统的不受约束的访问,尽管它是安全和防火墙。第三款恶意软件是一个被称为 MagnatExtension 的 Chrome 浏览器扩展,它被用于键盘记录,获取敏感信息的屏幕截图等。 2021年8月的一条推文提供了一个可疑的恶意广告活动的截图和下载样本。Talos分析了推文中提到的样本,并验证了至少一个样本包含MagnatBackdoor、MagnatExtension和Redline恶意软件组件。 Talos认为Magnat工具经过几年的发展和改进,并没有很快放缓的迹象。安装包的名称不断变化,通常参考流行的应用程序的名称,以增加可信度,并欺骗用户部署该包。过去软件包名称的例子包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe和 battlefieldsetup_76522.exe。   (消息及封面来源:cnBeta)

去中心化金融平台 BadgerDAO 遭黑客攻击 损失超过 1.2 亿美元

周三晚间,有黑客从连接到去中心化金融平台 BadgerDAO 的多个加密货币钱包中窃取了价值 1.2 亿美元的各种代币。目前 Badger 已经和区块链安全和数据分析公司 Peckshield 合作调查本次事件。 目前相关的调查仍在进行中,不过 Badger 团队基于初期的调查结果告诉用户,这个问题来自于有人在其网站的用户界面中插入了一个恶意脚本。对于任何在脚本激活时与网站互动的用户,它将拦截 Web3 交易并插入一个请求,将受害者的代币转移到攻击者选择的地址。 由于交易的透明性,我们可以看到一旦攻击者扑空后发生了什么。PeckShield 指出,有一次转账将 896 个比特币拖入攻击者的库房,价值超过 5000 万美元。根据该团队的说法,恶意代码早在 11 月 10 日就出现了,因为攻击者在看似随机的时间间隔内运行它以避免被发现。 去中心化金融(DeFi)系统依靠区块链技术,让加密货币所有者进行更典型的金融操作,如通过借贷赚取利息。BadgerDAO 向用户承诺,他们可以“高枕无忧地知道你永远不必放弃你的加密货币的私钥,你可以随时提款,而且我们的战略家正在日夜工作,让你的资产发挥作用”。其协议允许拥有比特币的人通过其代币将他们的加密货币”桥接”到以太坊平台上,并利用他们可能无法获得的DeFi机会。 Badger 在发现这些未经授权的转移之后,它就暂停了所有的智能合约,基本上冻结了它的平台,并建议用户拒绝向攻击者的地址进行所有交易。周四晚上,该公司表示,它已经“聘请了数据取证专家 Chainalysis 来探索事件的全部规模,美国和加拿大的当局已经被告知,Badger 正在与外部调查充分合作,并继续进行自己的调查”。   (消息及封面来源:cnBeta)

MonoX 宣布因漏洞导致被黑客窃取 3100 万美元

区块链初创公司 MonoX Finance 周三表示,由于软件中用于起草智能合约部分存在漏洞,已经被黑客已经成功窃取了 3100 万美元。该公司使用一种被称为 MonoX 的去中心化金融协议,让用户在没有传统交易所的一些要求的情况下交易数字货币代币。 MonoX 公司代表表示:“项目所有者可以在没有资本要求负担的情况下列出他们的代币,并专注于将资金用于建设项目,而不是提供流动性。它的工作原理是将存入的代币与vCASH组合成一个虚拟对,以提供一个单一的代币池设计”。 MonoX Finance 在一篇文章中透露,该公司软件中的一个会计错误让攻击者抬高了 MONO 代币的价格,然后用它来兑现所有其他存放的代币。这笔交易相当于以太坊或 Polygon 区块链上价值 3100 万美元的代币,这两个区块链都是由 MonoX 协议支持的。 具体来说,黑客使用相同的代币作为tokenIn和tokenOut,这是用一种代币的价值交换另一种的方法。MonoX在每次交换后通过计算两个代币的新价格来更新价格。当交换完成后,tokenIn的价格–即用户发送的代币–减少,tokenOut的价格–或用户收到的代币–增加。 通过在tokenIn和tokenOut中使用相同的令牌,黑客大大抬高了MONO令牌的价格,因为tokenOut的更新覆盖了tokenIn的价格更新。然后黑客在以太坊和Polygon区块链上用该代币兑换了价值3100万美元的代币。   (消息及封面来源:cnBeta)

苹果公司发出警告后 Pegasus 黑客受害者陆续浮出水面

NSO的Pegasus(飞马)iPhone黑客是今年最重要的科技争议之一。过去几个月的几份报告揭示了一个令人难以置信的复杂的iPhone黑客攻击活动。Pegasus允许国家行为者通过使用零日攻击来监视使用iPhone的特定人物目标。 受害者甚至不需要点击信息中的链接来安装PegASUS间谍软件程序,黑客就能完成入侵。他们也不会知道,iPhone正在向未知的攻击者发送个人数据。鉴于这些iPhone的安全报告,苹果修补了这个漏洞。 但苹果并没有停留在仅仅修复漏洞上。本周早些时候,苹果公司起诉了间谍软件背后的以色列公司。随后,苹果公司迅速采取行动,通知受害者这一攻击。结果,该公司间接地揭示了飞马黑客所追求的目标种类。 不要担心黑客在苹果公司修补漏洞之前已经窥探到你的iPhone。你可能没事。这不会影响大多数iPhone用户。采用Pegasus黑客的黑客是冲着特定的目标去的,比如活动家、政治家、立法者和记者。这就是为什么美国政府将飞马公司列入实体清单,有效地禁止NSO集团与任何美国科技公司合作。苹果向受害者发出警报,有助于我们更好地了解飞马黑客的范围和重点。 据路透社报道,苹果公司周三向至少六名泰国活动家和研究人员发出警报信息。这些人过去一直对泰国政府持批评态度。 例如,收到苹果公司关于飞马黑客的通知的人之一是Prajak Kongkirati(孔基拉提)。孔基拉提是曼谷塔玛萨大学的政治学家,他收到了苹果公司的两封邮件。该公司通知他,它认为黑客的目标是他的iPhone和iCloud账户。 此外,泰国还有五名iPhone用户收到了苹果的飞马警报。名单中包括一名研究人员、另外两名活动人士、一名说唱歌手和一名政治家。 飞马警告告知潜在的受害者,如果国家支持的攻击者破坏了他们的iPhone,可能会发生什么。黑客”可能能够远程访问你的敏感数据、通信,甚至是摄像头和麦克风”。 另外,波兰语的ThinkApple报道,苹果公司通知一名波兰检察官,她的iPhone可能已经遭遇了Pegasus。 Ewa Wrzosek可能是在调查了一次失败的总统选举后成为目标的,在这次选举中,有人花钱进行了一次没有发生的邮政投票。报告指出,Wrzosek的上司最终将该检察官从该案中剔除。此外,还开始了对她的纪律处分程序。 检察官在Twitter上宣布,她收到了苹果公司的Pegasus提醒。下面是上面的Twitter内容,其中还提到了波兰司法部长。 我刚刚收到来自苹果支持账户的警报,说我的手机可能受到国家部门的网络攻击。有迹象表明,我可能因为我正在做的事情或我是谁而成为目标。我会认真对待这个警告,因为在这之前还有其他事件。@ZiobroPL这是个巧合吗? 路透社的同一篇报道还指出,苹果向加纳、乌干达和萨尔瓦多的iPhone用户发出了类似警告。黑客利用Pegasus可能在属于加纳的两名政治活动家、乌干达的一名政治家和萨尔瓦多的十几名记者的iPhone上安装间谍软件。 苹果公司没有公布受到Pegasus黑客攻击的人的名字。但这些iPhone用户中的一些人正在自己站出来证实这些间谍活动。 如果你没有收到苹果公司发出的类似上述推文中的信息,这意味着你不是购买NSO软件的民族国家行为者的目标。如果你有,你会想立即在你的iPhone上安装最新的iOS版本。当然,你也可能想换一部全新的手机,这是一位《纽约时报》记者在他的iPhone上发现Pegasus黑客行为后所做出的的叙述。   (消息及封面来源:cnBeta)

Unit 42 设置 320 个蜜罐,一天内 80% 受到攻击

Hackernews编译,转载请注明出处: 研究人员设置了320个蜜罐,以观察攻击者攻击暴露的云服务的速度,发现80%的蜜罐在24小时内受到攻击。 攻击者不断扫描互联网,寻找可以利用于访问内部网络或执行其他恶意活动的公开服务。 为了追踪哪些软件和服务是黑客的目标,研究人员创建了可公开访问的蜜罐。蜜罐是一种服务器,配置成各种软件运行,作为诱饵来监控黑客活动。 在Palo Altos Networks的Unit 42 进行的一项新研究中,研究人员设置了320个蜜罐,发现80%的蜜罐在最初的24小时内受损。 部署的蜜罐包括带有远程桌面协议(RDP)、安全外壳协议(SSH)、服务器消息块(SMB)和Postgres数据库服务的蜜罐,在2021年7月至8月保持活动状态。这些蜜罐部署在世界各地,在北美、亚太和欧洲都有实例。 攻击者行动轨迹 第一次攻击的时间与服务类型被攻击的数量有关。 对于最具针对性的SSH蜜罐,第一次攻击的平均时间为3小时,两次连续攻击之间的平均时间约为2小时。 Unit 42还观察到一个值得注意的案例,即一名黑客在30秒内破坏了实验中80个Postgres蜜罐的96%。 这一发现非常令人担忧,因为在发布新的安全更新时,部署这些更新可能需要几天甚至更长的时间,而攻击者只需要几个小时就可以侵入公开的服务。 最后,关于地理位置是否有任何区别,结果显示,亚太地区受到黑客的最大关注。 防火墙有用吗? 绝大多数(85%)的攻击者IP是在一天内发现的,这意味着攻击者很少(15%)在随后的攻击中重用相同的IP。 这种持续的IP变化使得“第3层”防火墙规则对大多数威胁参与者无效。 能够更好地缓解攻击的方法是通过从网络扫描项目中提取数据来阻止IP,这些项目每天识别数十万个恶意IP。 然而,Unit 42在48个蜜罐组成的子组上测试了这一方法,发现阻断700000多个IP之后,子组和对照组之间在攻击次数上没有显著差异 为了有效地保护云服务,Unit42 建议管理员执行以下操作: 创建护栏以防止特权端口打开。 创建审核规则以监视所有打开的端口和公开的服务。 创建自动响应和补救规则来自动修复错误。 在应用程序前面部署下一代防火墙(WFA或VM系列)。 最后,始终在最新安全更新可用时安装这些更新,因为黑客在发布新漏洞时会迅速利用这些漏洞。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

ESET:黑客借中东新闻网站对目标访客发起攻击

经历了持续一年多的追踪,网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知,一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道,而攻击者的最终目标却是网站访客。 伊朗驻阿布扎比大使馆网站的脚本注入 据悉,这轮黑客活动一直从 2020 年 3 月活跃到 2021 年 8 月,期间波及大约 20 个网站,同时导致不少访客中招。 具体说来是,攻击者利用了所谓的“水坑攻击”(watering hole attacks)—— 借道合法网站,来瞄准它们的目标。 换言之,网站本身没有受到太大的破坏,但却让特定的访问者陷入了危险之中。 (图 via TechTarget) ESET 研究员 Matthieu Faou 在接受 Motherboard 电话采访时称,他们一直没能摸清攻击者的最终有效载荷,显得它们在选择攻击目标时非常谨慎。 此外伊朗、叙利亚、也门等多国政府网站、一家位于意大利的航空航天企业、以及南非政府旗下的某国防集团站点 —— 它们都与“中东之眼”攻击事件有千丝万缕的联系。 ESET 推测,黑客可能是来自以色列的间谍软件供应商 Candiru 的一位客户,该公司已于早些时候被美国政府列入了黑名单。 Medica Trade Fair 克隆站点 作为业内最神秘的间谍软件供应商之一,Candiru 并无所谓的官网,且据说已多次变更名称。 不过由以色列《国土报》分享的一份文件可知,该公司“致力于提供渗透 PC 计算机、网络、手机的高端网络情报平台”。 在以色列纸媒于 2019 年首次曝光了 Candiru 的存在之后,包括卡巴斯基、微软、Google、Citizen Lab 在内的多家网络安全公司,纷纷对它的恶意软件展开了持续追踪。 FingerprintJS 主页 当 Motherboard 与“中东之眼”取得联系人,该网站数字开发负责人 Mahmoud Bondok 表示他们刚刚意识到这一切,同时在周二发布的一份新闻中对攻击事件予以谴责。 Matthieu Faou 表示,其计划于华盛顿特区举办的 CYBERWARCON 会议上展示更多发现。遗憾的是,尽管他尝试联系某些受影响的站点,但却迟迟没能收到任何答复。 虽然这些站点看起来都没有收到损害,但目前也不清楚是否相关网站已经逮住了黑客并删除了恶意代码,还是黑客自己动手清理了蛛丝马迹。   (消息及封面来源:cnBeta)

美国 FBI 系统被入侵 黑客向 10 万邮箱发送假冒邮件

美国当地时间周六,黑客入侵了美国联邦调查局(FBI)的外部邮件系统。根据跟踪垃圾邮件和相关网络威胁的非营利组织Spamhaus Project提供的信息,黑客使用FBI的电邮账号发送了数万封电子邮件,就可能发生的网络攻击发出警告。 FBI表示,该局和美国网络安全与基础设施安全局“已经注意到今晨发生的使用@ic.fbi.gov电邮账号发送虚假邮件的事件”。“目前,事件还在发展中,我们此刻无法提供更多额外信息。”FBI在一份声明中称。FBI督促消费者保持谨慎,报告任何可疑活动。 非机密邮件系统 网络安全公司BlueVoyant专业服务主管奥斯汀·巴格拉斯(Austin Berglas)表示,FBI拥有多个邮件系统,周六疑似被入侵的是面向公众的系统,被FBI探员和员工用来与公众进行邮件沟通的。他表示,当探员传输机密信息时,他们需要使用另外一个不同的邮件系统。 “被入侵的不是机密系统,”巴格拉斯称,他还是前助理特别探员,负责FBI纽约办公室网络分部,“这是一个对外帐户,用于共享和交流非机密信息。” 黑客发动的假冒邮件 Spamhaus称,这次攻击事件始于纽约时间周六午夜,随后的活动从凌晨2点开始。该组织预计,黑客发送的垃圾邮件最终到达了至少10万个邮箱中。 这些邮件使用的主题是“紧急:系统中存在威胁行动者”,由美国国土安全部签署。黑客在邮件中警告收件人称,威胁行动者似乎是网络安全专家维尼·特罗亚(Vinny Troia)。去年,特罗亚曾对黑客组织“黑暗霸王”(Dark Overlord)进行过调查。 Spamhaus表示,这些邮件并没有附带恶意软件。该组织推测称,黑客可能试图在抹黑特罗亚,或者发动骚扰攻击用公众打来的大量电话让FBI应接不暇。 特罗亚尚未置评。   (消息及封面来源:cnBeta)