分类: 安全快讯

澳大利亚一男子因自 15 岁起向数万名网络犯罪分子销售间谍软件而被捕

据Techspot报道,一名澳大利亚男子因涉嫌创建并向全球数以万计的网络犯罪分子销售黑客工具而被捕。这名24岁的黑客被指控创建并销售一种远程访问木马,旨在窃取个人信息并监视毫无戒心的目标。该病毒创造者通过销售该工具赚取了30多万美元,其中大部分似乎从其15岁起就被用在了外卖和快递项目上。 24岁的Jacob Wayne John Keen因涉嫌向来自128个不同国家的网络犯罪分子、家庭暴力实施者等人出售名为Imminent Monitor的木马病毒而被捕。该工具允许用户以毫无戒心的受害者为目标,窃取他们的个人数据,跟踪输入文件的信息,并利用目标的网络摄像头和麦克风对他们进行监视。 这次逮捕是在2017年启动的全球刺探行动之后进行的。这项名为”Cephus行动”的全球努力是在澳大利亚联邦警察(AFP)从美国联邦调查局和Palo Alto Networks获得可疑信息后开始的。 据称,Keen在15岁时创建并开始以每个用户35美元的价格出售该工具,当时他住在母亲的出租房里。该工具的收益总额在30万至40万美元之间,直到它在2019年最终被关闭。关闭是在执行几项由 AFP领导的搜查令之后执行的,这些搜查令扣押了被发现包含指向 RAT开发证据的硬件和资产。Keen最近的逮捕是基于世界各地的参与执法机构向AFP提供的额外证据。 根据 AFP的报告,该工具被用来监视全球数以万计的受害者,而该工具的买家中至少有200人直接来自澳大利亚。在这些来自澳大利亚的嫌疑人中,有很多人被发现参与了以前的家庭暴力电话,这种关联性在一定程度上说明了什么样的犯罪分子利用了这种邪恶的工具。对可能使用该工具的其他行为者的调查仍在进行中。 当局分析的证据显示,在Keen9年多的参与过程中,黑客工具的大部分收益被用来购买外卖食品。本月早些时候,他遭到了六项指控,并计划在8月的某个时候出庭。Keen的母亲似乎也知道这些犯罪活动并从中受益。她还被指控从事侵入性工具的销售并从中获益。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1299139.htm 封面来源于网络,如有侵权请联系删除

美国应对俄罗斯、朝鲜、伊朗等多国勒索软件攻击

近日,美国众议院通过了《报告来自被选为监督和监控网络攻击和勒索软件的国家的攻击法案》(也称为《勒索软件法案》)据悉,美国众议佛罗里达州共和党众议员 Gus Bilirakis 的说法,《勒索软件法案》将使美国更容易应对来自外国对手的勒索软件攻击。 拟议的立法将通过强制报告与勒索软件和其他攻击有关的跨境投诉来修订 2006 年美国安全网络法案。 《勒索软件法》主要针对俄罗斯、中国、朝鲜和伊朗,在提到涉嫌勒索软件攻击者时,特别指出了这些国家。它针对那些被指控对美国实施勒索软件攻击的国家的个人、政府或其他组织。 根据该法律,联邦贸易委员会 (FTC) 将每两年向众议院能源和商业委员会以及参议院商业、科学和运输委员会提交一份报告。该报告将概述 FTC 收到的跨境投诉,并按被指控的攻击者进行细分。描述了其使用和体验2006年美国安全网络法案(公法109-455)授予的权限以及该法案所做的修正。报告包括以下内容: 该报告将包括涉及勒索软件的投诉数量,以及 FTC 已采取或未采取行动的投诉清单。在该法案中,Bilirakis 呼吁 FTC 确定与其合作的外国机构,以及它取得的成果。它还将确定它在外国法院购买的任何诉讼,并注明结果。 “我们看到针对美国人的网络犯罪有所增加,”Bilirakis 在宣布该法案时说。“这些事件凸显了加强和现代化我们的关键基础设施以防止和应对网络攻击的重要性。” 据悉,Bilirakis 于 2021 年 7 月提出了这项名为 HR 4551 的立法。它现在必须通过参议院才能到达总统的办公桌。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/co5U9QEXiLtM6R5QshkRiA 封面来源于网络,如有侵权请联系删除

微软称发现奥地利间谍团伙,利用 Windows 和 Adobe 0day 攻击欧洲组织

7月28日消息,微软安全和威胁情报团队称发现一家奥地利公司销售间谍软件DSIRF,该软件是基于未知的Windows漏洞开发。当前的受害者包括奥地利、英国和巴拿马等国的律师事务所、银行和战略咨询公司。 DSIRF声称帮助跨国公司进行风险分析和收集商业情报。微软威胁情报中心(MSTIC)分析发现,间谍软件DSIRF利用Windows的零日特权升级漏洞和Adobe Reader远程代码漏洞执行攻击。微软表示,DSIRF利用的漏洞目前在更新补丁中已经修补。在内部,微软以代号KNOTWEED对DSIRF进行追踪,并表示该公司还与SubZero恶意软件的开发和销售有关。 MSTIC发现DSIRF与恶意软件之间有多种联系,包括恶意软件使用的命令和控制基础设施直接链接到DSIRF、一个与DSIRF相关的GitHub账户被用于一次攻击、发给DSIRF的代码签名证书被用于签署一个漏洞。 攻击中出现的CVE-2022-22047漏洞能从沙盒中逃脱。微软解释,该漏洞链开始时,从沙盒中的Adobe Reader渲染器进程写入一个恶意DLL到磁盘。然后,CVE-2022-22047漏洞被用来瞄准一个系统进程,通过提供一个应用程序清单,其中有一个未记录的属性,指定恶意DLL的路径。当系统进程下一次生成时,恶意激活上下文中的属性被使用,恶意DLL从给定的路径加载,从而执行系统级代码。 调查人员已经确定了DSIRF控制下的一系列IP地址,该基础设施主要由Digital Ocean和Choopa托管,至少从2020年2月开始就积极为恶意软件提供服务,并持续到现在。 微软建议保持最新的补丁和恶意软件检测,并注意破坏后的行动,如凭证转储和启用明文凭证。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340560.html 封面来源于网络,如有侵权请联系删除

Akamai 阻止了针对其欧洲客户的最大规模 DDoS 攻击

Hackernews 编译,转载请注明出处: 本月,Akamai阻止了攻击欧洲一家组织的最大规模分布式拒绝服务(DDoS)攻击。 该攻击针对东欧的一位Akamai客户,该客户在过去30天内遭受了75次多种类型的DDoS攻击,包括UDP、UDP碎片、ICMP洪水、RESET洪水、SYN洪水、TCP异常、TCP碎片、PSH ACK洪水、FIN推送洪水和PUSH洪水。 Akamai发布的帖子中写道:“2022年7月21日星期四,Akamai检测到并缓解了有史以来在Prolexic平台上针对欧洲客户发起的最大DDoS攻击,全球分布式攻击流量在14小时内达到峰值853.7 Gbps和659.6 Mpps。该攻击以大量客户IP地址为目标,形成了Prolexic平台上最大的全球横向攻击。” 据Akamai称,黑客使用由受感染设备组成的高度复杂的全球僵尸网络来发起攻击。 去年9月,俄罗斯互联网巨头Yandex遭受了Runet历史上最大规模的DDoS攻击。Runet是独立于万维网的俄罗斯互联网,旨在确保该国对互联网关闭的恢复能力。该攻击由Mēris僵尸网络发起,达到2180万RPS(每秒请求数)。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

俄罗斯运营商曾试图劫持苹果公司的部分互联网流量达 12 小时之久

在大约12个小时的时间里,俄罗斯的Rostelecom公司多次试图将苹果服务的用户导向自己的服务器,甚至尝试对抗苹果工程师应用的反制措施。Rostelecom是俄罗斯最大的互联网供应商,在超过12小时的时间里,它多次试图劫持用于苹果服务的流量。 目前还不能确定这是一个故意的尝试还是一个互联网配置错误,但Rostelecom做了所谓的虚假路由公告,可以使互联网连接到其服务器而不是苹果的服务器。 MANRS是一个致力于”减少最常见的路由威胁”的组织,它说俄罗斯在7月26日和7月27日期间出现了劫持流量的问题。 用户从不选择通往服务器的具体路由,他们只是试图访问一项服务,而路由是在幕后进行的。MANRS说,实际上,Rostelecom的服务器声称是通往广泛的苹果服务的路由。 该组织的全篇文章研究了所有公开的关于这次攻击的信息,并详细说明了苹果公司必须采取的一些措施来打击它。 MANRS写道:”当一个网络宣布的路由没有被有效的路由来源授权(ROA)所覆盖时,在路由劫持期间,唯一的选择是宣布更具体的路由。这正是苹果工程公司今天所做的事情”。 大约12小时后,Rostelecom停止了发送虚假的路由公告。 “我们还不知道苹果公司有任何信息表明哪些(如果有的话)苹果服务受到了影响,”MANRS继续说道。”我们也没有看到来自Rostelecom的任何信息,即这是一个配置错误还是一个故意的行为。” 在路由受到攻击的这段时间里,苹果服务没有出现停机,投诉也没有明显的增加。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1298093.htm 封面来源于网络,如有侵权请联系删除

西门子、松下在内的 15 家全球大厂工业系统遭到恶意攻击

工控网络安全行业者Dragos在7月14日揭露,有人透过社群网站宣传或发布广告,声称提供包括15家企业在内的PLC或HMI的密码破解器,据研究人员进一步分析,指出这类工具是利用漏洞获取密码,同时还暗藏恶意程序。 据悉,可针对15家企业的工业控制系统(ICS)密码破解的软件,这些密码破解软件并不安全,一旦使用,将被偷偷植入Sality恶意程式。根据该公司研究人员的说明,他们是进行例行性漏洞评估时发现,并指出这种针对工业控制系统工程师与操作人员攻击方式,规模不大却容易被忽视,且这种手法仍持续在网络传播,他们认为背后可能有个生态系。 在Dragos本次揭露的讯息中,多达15家企业的工控设备的部分系列产品被破解,其中有多家全球大厂,例如:Automation Direct、欧姆龙(Omron)、西门子(Siemens)、三菱(Mitsubishi)、松下(Panasonic)、富士电子(Fuji Electric)、LG、Vigor、Pro-Face、Allen Bradley、Weintek、ABB、台湾厂商台达自动化。 Dragos也公开一张广告截图,说明实际状况,其中可看到有人在Facebook设立“PLC Password Unlock”粉丝专栏,发布这类宣传讯息。根据类似的关键字,我们实际到脸书上,也找到数个宣传同样工具的粉丝专栏,而且这些内容至今都还能找到。 谁会去购买这样有争议的工具? Dragos通过一个情境来说明。当年轻工程师需要在Automation Direct系统上,修改老同事编写的DirectLogic 06 PLC梯形逻辑时,在执行PLC程式设计软体DirectSOFT,出现弹出密码提示的步骤,年轻工程师并不知道密码,也无法联系到已退休、可能恰巧现在出海度假的老同事,于是上网寻找答案时,并发现破解软体的广告,而打算采用,尽管其他具有网络安全意识的同事警告,别将这种非必要风险引入公司OT环境,年轻工程师却认为,这是时间急迫的工作任务,最终仍购买该PLC密码破解软体,并在环境中执行,就有可能遇险。 设备存在漏洞使破解工具有效,同时会在工控设备暗中植入Sality恶意程式。经过Dragos研究员的调查,他们针对能解密Automation Direct系统的软件进行分析,发现此工具利用密码检索漏洞,确实能恢复密码,同时也暗藏名为Sality的恶意程式,这是一个点对点僵尸网路,具有加密货币挖掘的能力。 发现的这个产品漏洞,将导致PLC密码被破解,该漏洞编号为CVE-2022-2003,目前也已经修补。具体而言,这个漏洞可让攻击者利用向CPU序列连接埠发送特制序列资讯的方式,导致PLC回应明文形式的PLC密码,这将让攻击者可进行存取并执行未经授权的更改。而且,Dragos研究人员发现可以透过乙太网路重新复制这个漏洞利用,这大幅增加了该漏洞的严重性。 在厂商修补漏洞修补之后,CISA在6月16日发布一份工业控制系统(ICS)公告,说明CVE-2022-2003是CVSSv3评分7.7分的漏洞,受影响的是AutomationDirect业者的DirectLOGIC具序列通讯版本的产品,呼吁用户尽速升级到2.72以后的新版韧体。 至于针对其他厂家的破密工具,虽然Dragos并没有一一进行测试,但他们在初步动态分析几个样本后,也表明这些破密工具都包含了恶意程式。另一方面也意味着,这些厂家的PLC与HMI设备,可能存在类似的漏洞需要留意与修补。 研究人员呼吁工控环境的管理者,在需要重新取得PLC或HMI的密码时,应该寻求开发厂商协助,而非透过来路不明的软件。 根据Dragos公开的密码破解器宣传截图,有人在脸书开设“PLC Password Unlock”粉丝专栏,宣传可提供多种PLC与HMI密码破解器,并留下联络方式吸引用户洽谈。 实际使用类似的关键字,发现脸书有不少这类粉丝专页,宣称可提供PLC、HMI密码解密器,上图就是一例,有人宣传可破解台达自动化DVP系列的工具,但实际是恶意陷阱之一。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/bUXYXsEVUaDyixkpwOuYWQ 封面来源于网络,如有侵权请联系删除

两名男子对放射性警报网络进行网络攻击,被西班牙警方逮捕

Hackernews 编译,转载请注明出处: 西班牙警方逮捕了两名涉嫌在2021年3月至6月期间攻击该国放射性警报网络的黑客。 RAR系统是一个由γ辐射检测传感器组成的网状系统,部署在全国各地,用于检测异常辐射水平,并采取保护措施,防止对环境和人口造成损害。传感器通过电话连接到DGPCE总部的控制中心,该控制中心收集测量数据并向传感器发送必要的命令。 嫌疑人是一家负责RAR系统维护公司的前员工,因此,他们对该系统有技术知识。 这两名嫌疑人可以访问民防和紧急情况总局(DGPGE)的网络,并且能够断开传感器与系统的连接,即使是在核电站环境中也降低了传感器的探测能力。 国家警察网络攻击小组在DGPGE的帮助下确定,一旦攻击者获得网络访问权限,就试图删除控制中心中的RAR管理Web应用程序。嫌疑人瞄准了现有800个传感器中的300多个。 与此同时,这两人对传感器发起了单独攻击,在遍布西班牙的800个传感器中摧毁了300个,基本上切断了他们与控制中心的联系,并破坏了数据交换。 在西班牙当局发现安全漏洞后,针对RAR的网络攻击于2021年6月停止。 “在调查过程中发现,这两名被拘留者通过DGPCE签约的一家公司负责RAR系统的维护计划,他们对此有深入的了解,更容易实施攻击,并帮助他们努力掩盖其作者身份,大大增加了调查的难度。”Policia National发布的公告表明。 警方没有提供此次攻击事件的更多细节,目前尚不清楚攻击动机。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

IBM 数据泄露成本报告发布,数据泄露创历史新高

近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。数据泄露成本报告是IBM的年度重磅事项,至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。 与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。 网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。 据调研,将近80%的关键基础设施企业都没有采用零信任策略,这使得他们的违规成本比其他人增加了近 120 万美元,平均数据泄露成本上升到540万美元,与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中,28%与勒索软件或破坏性攻击有关。 如果企业受到勒索软件的影响,他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时,违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。 据报告研究,在有记录的数据泄露事件里,近一半的 (45%) 事件发生在云上,那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。 数据泄露似乎是不可避免的:83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是,随着技术的升级,企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天,整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。 报告指出,最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示:“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界,而不是在检测和反应方面加强,所以数据泄露事件就会导致其成本增加。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340388.html 封面来源于网络,如有侵权请联系删除

微软阻止一家奥地利公司销售间谍软件 其能够进行未经授权的监控

微软的威胁情报中心(MSTIC)声称它抓住了一家奥地利公司销售间谍软件的证据,该恶意软件实现了针对律师事务所、银行和咨询公司的未获授权的监视任务。微软为此发表了一篇详细的博客,声称一家名为DSIRF的奥地利公司开发并销售名为SubZero的间谍软件,微软方面将其称为Knotweed。 MSTIC已经发现DSIRF与这些攻击中使用的漏洞和恶意软件之间有多种联系。其中包括恶意软件使用的命令和控制基础设施直接与DSIRF相连,一个与DSIRF有关的GitHub账户被用于一次攻击,一个发给DSIRF的代码签名证书被用于签署一个漏洞,以及其他开源新闻报道将SubZero归于DSIRF。 攻击是通过一个通过电子邮件发送特别设计后的PDF文件传播的,结合一个0day Windows漏洞,该攻击获得了目标机器上的高级别权限。SubZero同时本身是一个rootkit,可以对被攻击的系统进行完全控制。 DSIRF可以利用以前未知的Windows 0day特权升级漏洞和Adobe Reader远程代码执行攻击来破坏系统,微软将该安全漏洞标记为CVE ID CVE-2022-22047,并已确认该漏洞已被修补。 在商业基础上开发和部署恶意软件的公司被称为私营部门攻击者(PSOA),微软也将其称为”网络雇佣兵”。DSIRF很可能是将其间谍软件作为访问即服务和黑客雇佣来提供。微软表示,该公司没有参与任何目标或行动的运行。 DSIRF网站的一个存档副本指出,该公司为”技术、零售、能源和金融领域的跨国公司”提供服务。该公司拥有”一套收集和分析信息的高度精密技术”。 该网站还提到该公司可以”通过提供对个人和实体的深入了解,进行强化的尽职调查和风险分析过程”。它有”高度复杂的红蓝队演练来挑战目标公司最关键的资产”。 微软通过其提交给”打击外国商业间谍软件扩散对美国国家安全的威胁”听证会的书面证词文件,基本上重复了上述信息。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1297691.htm 封面来源于网络,如有侵权请联系删除

新钓鱼平台 Robin Banks 出现,多国知名金融组织遭针对

近期出现了一个名为 “Robin Banks “的新型网络钓鱼服务(PhaaS)平台,提供现成的网络钓鱼工具包,目标是知名银行和在线服务的客户。 该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。 此外,Robin Banks还提供了窃取微软、谷歌、Netflix和T-Mobile账户的模板。根据IronNet的相关报告显示,Robin Banks已经被部署在6月中旬开始的大规模钓鱼攻击活动中就已经出现了Robin Banks的身影,其通过短信和电子邮件针对受害者进行钓鱼攻击。 Robin Banks是一个网络犯罪集团的新项目,据消息推测至少从2022年3月起该平台就已经开始活动,其目的是为了快速制作高质量、以大型金融组织的客户为目标的钓鱼网页。 该平台提供两种层级的7*24小时服务模板,一种是提供单项目模板,价格为每月50美元;另一个是提供对所有模板的无限访问,价格为每月200美元。 该平台清算网网站的登录屏幕 注册后,威胁者会收到一个个人仪表板,其中包含有关其操作的报告、简易页面创建、钱包管理以及创建自定义钓鱼网站的选项。 Robin Banks仪表板(IronNet) 该平台还为用户提供了一些选项,如添加reCAPTCHA以挫败防护bot,或检查用户代理字符串以阻止特定受害者参与高目标的活动。 选择网络钓鱼的目标银行 (IronNet) IronNet在报告中指出,与16Shop和BulletProftLink相比,Robin Banks网站的webGUI更加复杂,但更具有用户友好性。这两个著名的网络钓鱼工具包也明显比Robin Banks更贵。 另外,新的PhaaS平台不断增加新的模板,并更新旧的模板,以反映目标实体的风格和色彩方案的变化。这些优势使得Robin Banks在网络犯罪领域很受欢迎,在过去几个月里,许多网络犯罪分子都采用了它。 在IronNet上个月发现的攻击活动中,Robin Banks的一个使用者通过短信针对花旗银行的客户,警告他们借记卡的 “异常使用”。 发送给随机目标的网络钓鱼信息(IronNet) 所提供的解除所谓安全限制的链接将受害者带到一个钓鱼网站页面,要求他们输入个人信息。在登陆钓鱼网站后,会自动对受害者的浏览器进行识别,以确定他们是在台式机还是手机上,并加载适当的网页版本。一旦受害者在钓鱼网站的表单字段上输入了所有需要的细节,一个POST请求就会被发送到Robin Banks API,其中包含两个独特的令牌,一个是活动运营商的,一个是受害者的。 转移被盗数据的POST请求(IronNet) 钓鱼网站为受害者填写的每一个网页发送一个POST请求,以尽可能多地窃取细节,因为钓鱼过程可能在任何时候因怀疑或其他原因而停止。所有发送到Robin Banks API的数据都可以从平台的webGUI中查看,供操作员和平台管理员使用。为方便起见,Robin Banks还提供了将被盗信息转发到运营商的个人Telegram频道的选项。 一个新的高质量PhaaS平台的出现对互联网用户是一个不好的消息,因为它促进了低技能的网络犯罪分子的钓鱼行为,并增强了有害信息的轰炸力。为了使互联网用户免受这些恶意企图的影响,IronNet建议千万不要点击通过短信或电子邮件发送的链接,并始终确认登陆的网站是官方的。最后建议用户在自己的所有账户上启用2FA,并使用一个私人电话号码来接收一次性密码。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340362.html 封面来源于网络,如有侵权请联系删除