分类: 安全快讯

Solana 钱包出现未知安全漏洞 大量用户数字资产被盗

据网上流传的消息,加密货币Solana(代币:SOL)钱包出现未知的高危安全漏洞,黑客通过漏洞获取到用户钱包的私钥或者助记词,然后直接将钱包资产清空。 目前具体问题还不清楚,但如果用户使用SOL代币钱包请立即将所有资产转移到中心化的交易所进行过渡,防止资产被盗。 当前被盗的钱包数量还在增长、用户损失的资金量也在继续飙升,目前已经被盗的加密货币预估超过了1000万美元,涉及的SOL钱包包括Phantom和Slope等,这俩都是热钱包。 如果用户有硬件钱包的话也可以将资产转入到硬件钱包,这样安全性应该也可以提升不少。 区块链安全公司派盾发布的消息是上述钱包可能由于供应链问题,Phantom钱包则表示不相信这是他们特有的问题,但无论如何用户被盗的资金也不会找回来,钱包方面是不可能因为这类黑客攻击而赔偿用户的。 另外有专注于区块链诈骗的追踪者从钱包方面获取到部分蛛丝马迹,黑客将被盗资产转入的主钱包似乎是7个月前通过币安资助的。即这个钱包在之前有过交易记录,黑客通过币安交易所提币到这个钱包,这和交易所倒是没什么关系,但币安应该可以通过提币者信息来追踪黑客。 币安创始人赵长鹏也对该问题发布警告提醒用户尽快转移资产,不过目前还是没有确定黑客身份以及漏洞情况。 对Solana这个加密货币蓝点网此前就表示用户应该远离,之前Solana试图通过投票强行接管巨鲸账号,尽管后来投票被撤销但这种行为已经违背去中心化理念。 另外Solana这个加密货币存在非常明显的高度控盘问题,不排除是其团队和早期投资者高度控盘割韭菜。上述情况与此次安全问题虽然没有关联但也值得用户警惕,如果你在上次投票过后就跑路了那至少此次不会被这个黑客攻击事件所影响。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1300213.htm 封面来源于网络,如有侵权请联系删除

台湾地区领导人办公室网站受网络攻击,一度出现故障

【环球网报道】路透社援引据知情人士消息称,台湾地区领导人办公室网站2日受到海外网络攻击,一度出现故障。 该消息人士称,网站很快便恢复运作。台“总统府”晚间证实,傍晚官网一度遭受海外网络攻击,经处置于20分钟后恢复正常运作。 此消息传出时,国际舆论正在紧盯美国众议院议长佩洛西可能窜访台湾引发的争议。 根据飞行航班信息平台FlightRadar24显示,据信是美国众议院议长佩洛西此前搭乘的C-40C专机(呼号SPAR19)于北京时间8月2日15时50分左右从吉隆坡机场起飞,目的地未知。目前不清楚佩洛西是否在这架飞机上。 外交部发言人华春莹2日主持例行记者会。有外媒记者提问,如果佩洛西坚持访问台湾,中方会采取什么反制措施?你能否详细说明?华春莹表示,我可以告诉你的是,美方必将为其损害中国主权安全利益承担责任、付出代价。 转自 安全内参,原文链接:https://www.secrss.com/articles/45374 封面来源于网络,如有侵权请联系删除

奥地利称 DSIRF 公司涉嫌开发 Subzero 间谍软件

Hackernews 编译,转载请注明出处: 一家奥地利公司DSIRF开发了针对律师事务所、银行和咨询公司的间谍软件。 7月底,微软威胁情报中心和微软安全响应中心的研究人员将一个名为Knotweed的威胁组织与奥地利一家名为DSIRF的监视公司联系起来,该公司因使用多个Windows和Adobe零日漏洞而闻名。该组织使用一种名为Subzero的监视工具瞄准欧洲和中美洲的实体。 微软表示,多篇新闻报道已将该公司与Subzero恶意软件工具集联系起来,该工具集用于破解各种设备,手机、计算机以及网络和互联网连接设备。 研究人员发现有证据表明DSIRF与Knotweed的操作有关,包括Subzero使用的C2基础设施,以及向DSIRF颁发的代码签名证书,用于对漏洞进行签名。 上周,奥地利宣布正在调查一份报告,该报告称DSIRF与至少三个国家的间谍软件目标实体有关。 奥地利内政部表示,它不清楚该事件,也没有与之建立业务关系。 “当然,国家安全情报院会核实这些指控。到目前为止,没有证据表明上述公司使用了间谍软件。”奥地利内政部发表的一份声明表示。 奥地利的Kurier报纸证实,DSIRF开发了Subzero监视软件,但补充说,该软件没有被滥用,是专门为欧盟国家当局开发的——该报纸还补充说,间谍软件没有商业价值。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

BlackCat 宣布对 Creos 攻击事件负责

ALPHV勒索软件团伙,又名BlackCat,宣布对欧洲天然气管道和电力网络运营商Creos卢森堡公司的网络攻击负责。Creos的所有者Encevo是欧盟五国的能源供应商,它在7月25日宣布,他们在7月22日和23日之间遭遇了网络攻击。虽然此次网络攻击导致Encevo和Creos的用户门户网站暂时性不可用,但所提供的服务并没有中断。 7月28日,Encevo公司发布了关于网络攻击的最新情况,其初步调查结果表明,网络入侵者从被访问的系统中窃取了 “一定数量的数据”。当时,Encevo无法估计影响的范围,该公司希望用户耐心能够等待调查结束,届时每个人都会收到一份个性化的关于此次事件的通知。Encevo表示,当有更多信息时,将在网络攻击的专门网页上公布,不过目前为止Encevo的相关媒体账户上没有发布进一步的更新,表明这一调查程序可能仍在进行中。 目前,Encevo建议所有用户重新设置他们的在线账户密码,如果这些密码也被用在了其他网站上的话,用户也应该改变他们在这些网站的密码,避免造成更多的损失。 BlackCat再次发动攻击 ALPHV/BlackCat勒索软件集团周六将Creos加入其勒索网站,威胁要公布18万个被盗文件,总大小为150GB,包括合同、协议、护照、账单和电子邮件。虽然没有宣布实现这一威胁的确切时间,但该勒索软件集团宣称要在周一的晚些时候进行披露。 ALPHV勒索软件在勒索网站上添加Creos ALPHV/BlackCat最近推出了一个新的勒索平台,他们让访问者可以搜索到被盗数据,目的是增加对受害者的压力,让他们支付赎金。虽然BlackCat继续对数据勒索的形式做出了创新,但他们似乎并没有从过去的错误中吸取教训,继续以高知名度的公司为目标,这很可能使他们成为国际执法机构的重大目标。 BlackCat被认为是DarkSide行动的改头换面,DarkSide在对Colonial Pipeline的勒索软件攻击大肆宣传后,迫于国际执法部门的压力选择了关闭。在关闭DarkSide后,他们改名为BlackMatter,以逃避执法部门,但国际执法部门仍然在持续追踪,因此该团伙再次选择关闭。 自2021年11月,攻击者以BlackCat/ALPHV的名义重新启动以来,攻击者倾向于避开美国的大目标,而以欧洲实体为目标,如奥地利州、意大利时装连锁店和瑞士机场服务提供商。然而,他们似乎没有从错误中吸取教训,继续攻击重要的基础设施,如2月份的德国汽油供应公司Oiltanking和现在的Creos卢森堡。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340820.html 封面来源于网络,如有侵权请联系删除

恶意软件 Raccoon 升级,窃取密码效率将大大提高

近期,在线平台Zscaler安全专家发布了对Raccoon Stealer恶意软件新变种的分析,据研究,该恶意软件的新变种是用C语言编写的,与以前主要用C++ 编写的版本不同,并且Raccoon Stealer 2.0 具有新的后端和前端,以及更有效地窃取凭据和其他数据的代码。 该恶意软件的新版本也可以在32位和64位系统上运行,无需任何额外的依赖项,而是直接从其C2服务器获取8个合法 DLL(而不是依赖 Telegram Bot API)。C2还负责恶意软件的配置,包括目标应用程序、托管dll的URL和用于数据导出的令牌。然后,服务器接收机器指纹数据,并等待包含被盗信息的单个POST请求。 Raccoon Stealer 2.0窃取的数据类型包括系统指纹信息、浏览器密码、cookies、自动填充数据和保存的信用卡、加密货币钱包、位于所有磁盘上的文件、屏幕截图和已安装的应用程序列表。Zscaler还表示,“我们还看到了 Raccoon Stealer v2 通过使用动态解析 API 名称而不是静态加载的机制来隐藏其意图的变化。” 据报道,在俄罗斯入侵乌克兰期间,该恶意软件的一名主要开发人员不幸离世后,Raccoon Stealer 业务于2022年3月曾短暂关闭。不过根据Sekoia安全分析师的分析,该团队随后在暗网论坛上写道,Raccoon Stealer即将回归,并暗示Raccoon Stealer在五月份的时候就已经在开发中了。 Zscaler说,“Raccoon Stealer 作为恶意软件即服务他们在过去几年中变得很流行,并且已经观察到了几起Raccoon Stealer恶意软件的事件。该恶意软件的作者不断为该恶意软件添加新功能。这是该恶意软件在 2019 年首次发布后的第二个主要版本。这表明该恶意软件很可能在不断演变,并继续对组织构成威胁。” 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340813.html 封面来源于网络,如有侵权请联系删除

研究人员发现近 3200 个移动应用程序泄露 Twitter API 密钥

Hackernews 编译,转载请注明出处: 研究人员发现了一份3207个应用程序的列表,其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。 研究人员说:“在3207个应用程序中,有230个应用程序泄漏了所有四个身份验证凭据,可用于完全接管其Twitter帐户,并执行任何关键/敏感操作。” 从阅读直接消息到执行任意操作,如转发、点赞和删除推文,关注任何帐户,删除关注者,访问帐户设置,甚至更改帐户头像。 访问Twitter API需要生成密钥和访问令牌,这些密钥和令牌充当应用程序的用户名和密码,并代表发出API请求的用户。 因此,拥有这些信息的黑客可以创建一个Twitter机器人军队,该军队可能被用来在社交媒体平台上传播错误/虚假信息。 此外,在CloudSEK解释的一个假设场景中,从移动应用程序中获取的API密钥和令牌可以嵌入到一个程序中,通过验证帐户运行大规模恶意软件活动,以锁定其追随者。 除此之外,应该注意的是,密钥泄漏不仅仅限于Twitter API。过去,CloudSEK研究人员已经从未受保护的移动应用程序中发现了GitHub、AWS、HubSpot和Razorpay帐户的密钥。 为了缓解此类攻击,建议查看代码中是否有直接硬编码的API密钥,同时定期轮换密钥,以降低泄漏可能带来的风险。 研究人员说:“环境中的变量是引用和隐藏密钥的另一种方法,而不是将它们嵌入源文件。变量可以节省时间并提高安全性,应充分注意确保源代码中不包含环境变量的文件。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

1.1 万个虚假投资网站组成的庞大网络“盯上”了欧洲

Bleeping Computer 网站披露,研究人员发现了一个由 1.1万多个域名组成的巨大网络,正在向欧洲用户推广虚假投资计划。 这些虚假投资平台通过捏造致富证据和伪造名人代言,树立合法的形象,试图引诱更多受害者。据悉,此次大规模诈骗活动中,网络诈骗分子试图说服受害者存入至少 250 欧元用于注册虚假服务,获得高额回报。 网络安全公司 Group-IB 的研究人员发现了这一网络犯罪活动,并绘制了由网络钓鱼站点、内容主机和重定向组成的庞大网络。 恶意基础设施网络地图 (Group-IB) 这一诈骗计划针对的目标国家主要是英国、比利时、德国、荷兰、葡萄牙、波兰、挪威、瑞典和捷克共和国。根据 Group-IB 的说法,超过 5000 个已经识别的恶意域名仍在这些地区活动。 诈骗过程 目前,网络诈骗分子正努力在各种社交媒体平台上宣传诈骗活动,试图吸引更多 Facebook 和 YouTube 的用户。 宣传骗局的 Facebook 帖子 (Group-IB) 研究人员披露了诈骗详细过程,当受害者点击广告,试图了解更多信息时,将被重定向到显示投资成功案例的登录页面。 此时诈骗分子会要求受害者提供联系方式,随后,所谓的呼叫中心“客户代理”开始与受害者联系,并在精心设计的社会工程骗局中提供投资条款和条件。 针对荷兰用户的虚假投资门户(Group-IB) 最终,经过诈骗者反复洗脑,受害者往往会存入 250 欧元或者更多的资金。值得一提的是,这伙网络诈骗分子还会收集用户提供的详细信息,用于之后的犯罪活动或直接在暗网上转售。 用户在虚假投资网站上投放资金(Group-IB) 一旦受害者存入资金后,就可以进入到一个虚假的投资“仪表板”。根据诈骗分子的说法,受害者可以使用“仪表盘”查看每日收益。 诈骗分子试图通过设置虚假“仪表盘”,制造合法投资收益的假象,以期吸引受害者存入更多资金,当受害者试图从平台上取钱时,骗局就会被揭穿。 投资骗局步骤图 (Group-IB) 警告 民众应该知晓,任何投资都有风险,因此一些保证没有风险的投资大概率是一场精心策划的骗局,需要时刻警惕。此外,真正的投资平台不会为小额投资提供个人账户经理。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340699.html 封面来源于网络,如有侵权请联系删除

大华摄像头曝严重漏洞,黑客可无限制访问设备

据The Hacker News消息,大华摄像头被曝存在“开放式网络视频接口论坛(ONVIF)”标准实施的安全漏洞,编号CVE-2022-30563(CVSS 评分:7.4),黑客可通过该漏洞嗅探未加密的ONVIF交互,允许攻击者通过重放凭据来破坏摄像机。 2022年6月28日,大华已经发布了漏洞补丁修复了这一漏洞,受影响的产品型号如下: 大华ASI7XXX:v1.000.0000009.0.R.220620之前的版本 大华IPC-HDBW2XXX:v2.820.0000000.48.R.220614之前的版本 大华IPC-HX2XXX:v2.820.0000000.48.R.220614之前的版本 资料显示,ONVIF(开放式网络视频接口论坛)是一个全球性的开放式行业论坛,专注于基于网络IP安防产品(如网络摄像头连接到网络录像机,网络摄像头连接到监控软件,及门禁系统)的全球标准的制定。ONVIF创建了一个视频监控和其他物理安全领域的IP产品如何进行相互通信的标准,解决了各个厂家产品不能相互兼容的问题。 安全专家在报告中指出,安全漏洞存在于“WS-UsernameToken”身份验证机制中,允许攻击者通过重放凭据来破坏摄像机。这意味着一旦黑客成功利用该漏洞,那么就可以秘密添加恶意管理员帐户,以最高权限获得对受影响设备的无限制访问,包括实时观看和重放摄像头视频。 具体攻击方式是,黑客捕获一个通过 WS-UsernameToken 模式进行身份验证的未加密 ONVIF 请求,然后使用该请求发送具有相同身份验证数据的伪造请求,以诱骗设备创建管理员帐户。 本次披露是在Reolink、ThroughTek、Annke和Axis设备中发现类似缺陷之后进行的,强调了物联网安全摄像头系统由于部署在关键基础设施中而带来的潜在风险。 安全专家表示,不少攻击者对于入侵IP摄像机感兴趣,以此收集有关目标公司设备或生产过程的情报。这些情报可以让攻击者对目标公司发起网络攻击前进行充分侦查,而获取的目标环境信息越多,黑客就越容易制定攻击方式,甚至在物理上破坏关键基础设施的生产过程。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340694.html 封面来源于网络,如有侵权请联系删除

苹果网络流量诡异绕道俄罗斯

7月26日至7月27日,在12个小时的时间里,苹果(Apple)的互联网流量诡异绕道俄罗斯网络设备。 在为互联网路由公益组织MANRS(路由安全共同协定规范)撰写的一篇文章中,Internet Society高级互联网技术经理Aftab Siddiqui表示,7月26日,俄罗斯电信(Rostelecom)开始发布苹果部分网络的路由——这种操作通常被称为BGP(边界网关协议)劫持。 BGP就是将多个网络粘到一起形成互联网的粘合剂。但是,这么重要的协议,却很容易遭遇欺骗。当自治系统(由单个实体管理的一组网络,AS)发布不属于自身的IP地址组(IP前缀)的路由时,如果没有过滤掉这些恶意路由声明,互联网流量通常就会适应这些路由。 有些不良路由声明是偶发的,是配置错误之类无心之失的结果,但有些就纯属恶意了。 例如,2018年,网络窃贼通过BGP劫持干扰亚马逊的Route 53 DNS服务,并将互联网流量从加密货币网站重定向到托管在俄罗斯的网络钓鱼站点。 Siddiqui称,苹果的网络流量重定向开始于世界标准时间7月26日21点25分,当时俄罗斯电信的AS12389网络开始发布17.70.96.0/19,这是苹果17.0.0.0/8地址块的一部分,通常作为更大的17.0.0.0/9地址块的一部分加以发布。 GRIP Internet Intel(GA Tech)和BGPstream.com(Cisco Works)都检测到了这一路由变更,后者还将此地址块标识为AS714 APPLE-ENGINEERING, US。整个过程持续了12个小时多点。 苹果没有回应媒体的置评请求,英国科技媒体The Register也未发现该公司就其网络流量被劫持事件发表了什么公开声明。 “目前尚不清楚哪些服务受到此次事件的影响。”Siddiqui说道,“除非我们从苹果或其他研究人员那里获悉更多细节,否则我们只能猜测。” Siddiqui表示,俄罗斯电信(AS12389)曾参与过之前的BGP劫持,并强调称,网络运营商会根据可靠信息实施有效路由过滤,从而阻止此类恶行。 The Register向MANRS询问自其帖子发布以来是否有人从苹果那里听到过任何消息,MANRS发言人回答说:“我们尚未从苹果那里听到关于这个问题的任何消息。MANRS团队正私下联系相关人士,了解有关此事件的更多信息。” 2020年,尽管非常清楚事实并非如此,Cloudflare还是创建了网站“Is BGP safe yet?”(网站名称意为“BGP安全了吗?”)而就在本文提交发布之时,这个问题的答案仍旧是“不安全”。 转自 安全内参,原文链接:https://www.secrss.com/articles/45297 封面来源于网络,如有侵权请联系删除

黑客称已入侵欧洲导弹制造商 MBDA

Hackernews 编译,转载请注明出处: 名为Adrastea的黑客称已经入侵了这家跨国导弹制造商MBDA。 MBDA是由法国、英国和意大利的主要导弹系统公司(Aérospatiale-Matra、BAE Systems和Finmeccanica(现为Leonardo))合并而成的欧洲跨国导弹开发商和制造商。MBDA这个名字来源于导弹公司名称的首字母缩写:Matra、BAe Dynamics和Alenia。 Adrastea表示,他们发现了公司基础设施中的关键漏洞,并窃取了60 GB的机密数据。 攻击者称,被盗数据包括该公司参与军事项目、商业活动、合同协议以及与其他公司通信的员工信息。 “你好!我们是‘Adrastea’ —— 一个由网络安全领域的独立专家和研究人员组成的团队。我们发现您的网络基础设施中存在严重漏洞,并获得了对公司文件和机密数据的访问权限。目前,下载的数据量约为60 GB。”该组织在一个流行的黑客论坛上发布的adv中写道。“下载的数据包含贵公司员工的保密信息,这些员工参与了MBDA封闭军事项目(PLANCTON、CRONOS、CA SIRIUS、EMADS、MCDS、B1NT等)的开发。以及有关贵公司为欧盟国防部的利益而进行的商业活动(防空、导弹系统和海岸保护系统的设计文件、图纸、演示文稿、视频和照片(3D)材料、合同协议以及与Rampii Carlo、Netcomgroup、Rafael、Thales、ST Electronics等其他公司的通信)。” 作为黑客入侵的证据,Adrastea分享了一个受密码保护的链接存档,其中包含与项目和通信相关的内部文件。 目前尚不清楚这些黑客是否只入侵了该公司的一个国家部门,他们没有透露有关攻击的详细信息。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文