针对多国政府官员的黑客攻击还在继续……
自2021年以来,被称为Winter Vivern的高级持续威胁与针对印度、立陶宛、斯洛伐克和梵蒂冈政府官员的活动有关。 SentinelOne 在与黑客新闻分享的一份报告中称,该活动针对波兰政府机构、乌克兰外交部、意大利外交部以及印度政府内部的个人。 “特别令人感兴趣的是APT以私营企业为目标,包括在正在进行的战争中支持乌克兰的电信组织。”高级威胁研究员汤姆黑格尔说。 Winter Vivern,也被追踪为UAC-0114,上个月在乌克兰计算机应急响应小组(CERT-UA)详细介绍了针对乌克兰和波兰国家当局的新恶意软件活动后引起了人们的注意,该活动旨在传播一种名为 Aperetif 的恶意软件。 此前记录该组织的公开报告显示,它利用包含XLM宏的武器化Microsoft Excel文档在受感染主机上部署PowerShell植入程序。 虽然威胁行为者的来源尚不清楚,但攻击模式表明该集群符合支持白俄罗斯和俄罗斯政府利益的目标。 UAC-0114 采用了多种方法,从网络钓鱼网站到恶意文档,这些方法都是为目标组织量身定制的,以分发其自定义有效负载并获得对敏感系统的未授权访问。 在2022年,年中观察到的一批攻击中,Winter Vivern 设置了凭据网络钓鱼网页,以引诱印度政府合法电子邮件服务email.gov.in的用户。 典型的攻击链涉及使用伪装成病毒扫描程序的批处理脚本来触发 Aperetif 木马从参与者控制的基础设施(例如受感染的WordPress站点)的部署。 Aperetif 是一种基于 Visual C++ 的恶意软件,具有收集受害者数据、维护后门访问以及从命令和控制 (C2) 服务器检索额外有效载荷的功能。 “Winter Vivern APT 是一个资源有限但极富创造力的组织,他们在攻击范围内表现出克制,”黑格尔说,“他们引诱目标参与攻击的能力,以及他们以政府和高价值私营企业为目标,都表明了他们行动的复杂程度和战略意图。” 虽然 Winter Vivern 可能已经成功地在很长一段时间内避开了公众的视线,但一个不太担心保持低调的组织是 Nobelium,它与 APT29(又名 BlueBravo、Cozy Bear 或 The Dukes)有重叠。 因2020年12月的SolarWinds供应链妥协而臭名昭著的克里姆林宫支持的民族国家组织继续发展其工具集,开发新的自定义恶意软件,如MagicWeb和GraphicalNeutrino。 这也归因于另一场针对欧盟外交实体的网络钓鱼活动,特别强调“帮助乌克兰公民逃离该国并向乌克兰政府提供帮助”的机构。 “Nobelium 积极收集有关在俄乌战争中支持乌克兰的国家的情报信息,”黑莓表示。“威胁行为者会仔细跟踪地缘政治事件,并利用它们来增加成功感染的可能性。” 该公司的研究和情报团队发现的网络钓鱼电子邮件包含一个武器化文档,其中包含一个指向HTML文件的链接。 这些武器化的URL托管在位于萨尔瓦多的合法在线图书馆网站上,具有与LegisWrite和eTrustEx相关的诱饵,欧盟国家使用这两者进行安全文件交换。 活动中提供的HTML投放程序(称为ROOTSAW或EnvyScout)嵌入了一个ISO映像,而该映像又旨在启动一个恶意动态链接库 (DLL),该库有助于通过Notion的API传送下一阶段的恶意软件。 Recorded Future 曾于2023年1月披露了流行的笔记应用程序 Notion 用于C2通信的情况。值得注意的是,APT29使用了Dropbox、Google Drive、Firebase和Trello等各种在线服务,试图逃避检测。 “Nobelium 仍然非常活跃,同时针对美国、欧洲和中亚的政府组织、非政府组织(NGO)、政府间组织(IGO)和智库开展多项活动.”微软上个月表示。 调查结果发布之际,企业安全公司 Proofpoint 披露了自2021年初以来与俄罗斯结盟的威胁行为者TA499(又名Lexus和Vovan)策划的攻击性电子邮件活动,以诱骗目标参与录制的电话或视频聊天并提取有价值的信息。 该公司表示:“威胁行为者一直在从事稳定的活动,并将其目标扩大到包括为乌克兰人道主义工作提供大笔捐款或公开声明俄罗斯虚假信息和宣传的知名商人和知名人士。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/6YqWUKXS_bKSSkJR7xBIJA 封面来源于网络,如有侵权请联系删除
泄露 21GB 数据!知名安全公司遭黑客攻击
近日,一位匿名黑客成功入侵瑞士网络安全公司 Acronis 并窃取大量敏感数据的消息引爆了安全圈。更讽刺的是,在其官网上 ,Acronis 一直高调宣称能够“通过第一时间阻止网络攻击发生,主动保护数据、系统和应用程序。” 从网络上公开披露的信息获悉,网络安全公司 Acronis 主要提供集成了备份、恢复以及下一代基于人工智能的防恶意软件和保护管理整体解决方案,覆盖预防、检测、响应、恢复和取证的五个网络安全关键阶段。 黑客异常嚣张 3 月 9 日, FalconFeedsio 突然在推特上爆出安全公司 Acronis 遭遇网络攻击,包括证书文件、命令日志、系统配置和文件系统存档,Maria.db 数据库的 Python 脚本、备份配置内容以及备份操作的屏幕截图在内的大量数据被盗(超过 21GB)。 此外,FalconFeedsio 还提到网络犯罪分子嚣张的在黑客论坛上宣称“我泄露了一家名为 Acronis 的网络安全公司的并附上了一个微笑的表情符号。 数据被盗事件不断发酵后,Acronis 官方账号在 FalconFeedsio 的爆料推文下面回复称,只有一个客户上传诊断数据到 Acronis 文件服务器的凭据受到损害,其它的 Acronis 产品并未受到影响,公司的内部客户服务团队正在与该客户合作处理,会根据需要进行更新。 Acronis 作为一家拥有 2000 名员工的老牌网络安全公司,年收入数以亿计,正常逻辑下,如此规模的安全企业,内部势必有专业的安全团队,完善的安全运营体系以及强大的网络安全技术,才能获得市场认可,对外输出安全产品。 然而,这样的背景下,黑客仍能够轻松突破防御体系并盗取数据,侧面反映出当下网络攻击手段的高超以及网络环境的危险。 被鹰啄的“冤大头”不止 Acronis一家 数字化转型浪潮下,数据泄漏、勒索软件、黑客攻击层出不穷,数据泄露、勒索软件、DDoS 攻击、APT 攻击、钓鱼攻击以及网页篡改等攻击类型和策略复杂多变,滋养了一大批的黑客组织,对企业发展造成了严重威胁。 黑客组织经过不断优化网络攻击技术,已不能仅仅满足攻击普通的企业组织带来的成就感,开始向外部展现“实力”,首选目标无疑便是网络安全企业。当然,Acronis 也并非是首家遭受黑客攻击的安全企业,其它安全巨头同样深陷网络危机中。 网络安全公司 FireEye 遭受国家级网络攻击 网络安全公司 FireEye 在应对国家级网络威胁方面有着丰富经验,但仍难逃黑客组织的攻击。2020 年 8月, FireEye 公司首席执行官 Kevin Mandia 向外界证实其内部遭受网络袭击,并表示黑客访问了 FireEye 的内部系统,但没有证据表明任何数据或元数据被盗。 这看似是一起普通的网路攻击事件,但鉴于FireEye 有几个政府客户,恰巧黑客主要搜寻目标也是某些与 FireEye 政府客户有关的信息,再加上发动此次攻击的黑客组织拥有严格的纪律、顶尖的安全运营和技术。因此,不能排除攻击是某个“拥有一流网络攻击能力的国家”所发起的。 攻击事件发生后,FireEye 联合联邦调查局以及其它主要合作伙伴(微软)一起展开调查。随着调查的深入,安全人员发现这伙黑客明显经过高强度的安全作战训练,严格执行纪律,使用了非常罕见的技术组合来窃取 FireEye 的资料,并为 FireEye 定制了一套极具针对性的攻击方案。 FBI 网络司助理局长 Matt Gorham 更是直接指出,初步攻击迹象表明,攻击者的攻击水平与技术成熟度可以与国家级技术比肩。 FireEye 之所以成为攻击目标,可能是由于拥有专业的网络攻击武器库,并掌握一些行业内尚未发现的漏洞,这些漏洞具有较高的价值。值得一提的是,这并非 FireEye 公司首次遭到黑客攻击。2017年,FireEye 旗下的 Mandiant 公司的内网也曾被黑客入侵,导致大量内部资料泄露。 FireEye 作为全球最大的网络安全公司之一,仍没有逃脱被网络攻击的厄运。由此可见“没有黑不了的系统”,就算再专业的安全公司也不能保证百分百安全。 数字安全巨头 Entrust 遭遇勒索攻击 FireEye 遭受的网络攻击幕后黑手可能有国家背景,并不能呈现出现阶段黑客组织的恐怖(毕竟是国家力量),但接下来这家安全公司的遭遇,可见当下的安全环境是多么危险。 2022 年 7 月,安全资讯网站 Bleeping Computer 突然爆出消息,数字安全巨头 Entrust 承认自身遭遇了网络攻击,并表示攻击者大肆破坏了其内部网络以及窃取大规模敏感数据。 Entrust 作为是一家专注于在线信任、身份管理、支付和数据安全的信息安全巨头,提供广泛的安全服务,包括加密通信、安全数字支付、身份验证和数据保护解决方案,由此推断本次攻击造成内部数据泄露,很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。 此外,Entrust 的客户不仅仅是企业机构,包括能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等在内的许多美国政府机构都是其忠实客户,因此此次事件带来的威胁无疑是巨大的。 经过安全专家验证,Entrust 可能早在 6 月 18 日就被黑客攻击和破坏,同时对方趁机窃取了公司的机密数据,攻击者确实从 Entrust 的内部系统中窃取了一部分数据,但是尚不清楚这部分数据是来自公司、客户还是供应商,最糟糕的情况是,三者都被窃取了。 Entrust 是一家全球性的数字安全巨头,相较于普通企业拥有大量优秀的安全人员以及完善的安全防护体系,仍旧成为了黑客组织的“刀下亡魂”,对于普通企业,特别是小微企业,在没有安全预算,资源投入的背景下,暴露在互联网世界,安全何以保障? 写在最后 全球数字化转型浪潮下,企业机构纷纷“重注”数据变革,产生海量数据资源,滋养了大批网络犯罪团体,网络安全事件频频发生,攻击手段不断迭代升级,类似 Entrust ,FireEye 等大型网络安全公司尚且难逃黑客的“毒手”,其它企业组织更难抵御。 坦白讲,现阶段的互联网环境,漏洞频出、勒索软件蔓延、攻击面广泛、黑客攻击手段不断升级,网络威胁层出不穷,黑客组织炫耀“武力”的方式也越来越残暴,数据安全公司遭受网络攻击也侧面证目前网络环境日渐危险,毕竟保护企业信息安全的”警卫员”都被黑客组织打穿了。 最后,虽然企业机构想要彻底从源头解决安全问题并不现实,但仍旧不能坐以待毙,应该尝试做好充足的防范措施,以期最大程度降低安全事件带来的影响。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/neopoints/360353.html 封面来源于网络,如有侵权请联系删除
继蔚来数据泄露后,又一老牌车企泄露 200GB 用户数据
法国网络安全机构 Anis Haboubi 近日注意到,一名攻击者在一个流行的黑客论坛上出售据称从沃尔沃汽车公司窃取的数据。 2022 年 12 月 31 日,论坛上一位昵称为 IntelBroker 的成员宣布,VOLVO CARS 成为勒索软件攻击的受害者。他声称该公司遭到 Endurance 勒索软件团伙的袭击,攻击者窃取了 200GB 的敏感数据,这些数据现在正在出售。 此次攻击者并未索要赎金反而公开出售这些数据的原因是因为他们并不认为受害人会支付赎金。 在出售的数据包括:数据库访问、CICD 访问、Atlassian 访问、域访问、WiFi 点和登录、身份验证承载、API、PAC 安全访问、员工列表、软件许可证以及密钥和系统文件。 同时,在出售的数据中还包括所有现有车型和未来车型的信息,并发布了一系列截图作为黑客攻击的证据。 目前沃尔沃公司并未对此事件进行回应,因此尚无法确定被泄数据的真实性。但是在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司透露攻击者从其系统中窃取了研发数据,此后数据并未公开,也没有收到任何勒索信息。因此,此次公开出售的数据尚不清楚是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。 汽车数据安全事件频发 伴随汽车智能化、网联化的快速发展,以及应用场景的不断丰富,近年来,以汽车数据为核心的新安全问题日益凸显,汽车数据安全事件频发。 2022年12月,“蔚来汽车数据泄露”的消息在网上传的沸沸扬扬,被泄露的数据包括蔚来内部员工数据22800条、车主用户身份证数据399000条,攻击者以数据泄露勒索225万美元的比特币。蔚来老板李斌深夜道歉,并郑重承诺,对因本次事件给用户造成的损失承担责任,并协调执法机关深入调查。 2021年6月,大众汽车方面曾表示,有将近330万名客户或潜在买家的数据遭泄露。具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。同年12月,沃尔沃汽车运营的研发数据也遭遇黑客入侵,沃尔沃称在入侵期间公司的有限数量的研发财产被盗,并称此次黑客攻击“可能对公司的运营产生影响”。 2022年5月,通用汽车也曾发布声明称,其注意到2022年4月11日-29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。此外,同年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等。 近年来,众多汽车厂商均受到数据安全问题影响,这其中究竟是谁的责任,用户的数据安全如何才能得到保障? 汽车数据安全如何守住底线 随着智能汽车的快速发展,汽车数据处理能力增强,汽车数据安全暴露的风险也日益突出。 自手机与车机结合以后,汽车会存储个人社交账号、支付密码、家庭信息、车架号等个人隐私数据。如果对智能汽车数据安全放任不管,会对国家和社会的安全,对个人隐私保护带来重大隐患。 一边是智能网联汽车的蓬勃发展需要良好的市场环境,一边是用户对数据安全违法犯罪的“零容忍”。如何在保护用户隐私、保障数据安全的同时,又不伤害到产业的健康发展?智能汽车需要守住数据安全底线。 近年来,我国也在加快制定相关法律法规,保护数据安全。其中,工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》中明确,企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。 此外,我国首部针对汽车数据安全制定的法规——《汽车数据安全管理若干规定(试行)》则首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容。 相信在未来几年整车信息安全会有更多的行业标准出台。从整个行业的角度进一步约束、加强立法、加速行业合作、打破数据壁垒,建立可信汽车数据流通渠道等,在满足数据安全要求的同时,营造一个健康的市场环境。 转自 Freebuf,原文链接:https://www.freebuf.com/news/354227.html 封面来源于网络,如有侵权请联系删除
非洲数十个金融组织遭黑客攻击,损失巨大
一个被称为OPA1ER讲法语的威胁者于2018年至2022年期间针对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司发起30多次成功的网络攻击。 据总部设在新加坡的网络安全公司Group-IB称,这些攻击导致了总额为1100万美元的失窃,实际损失估计高达3000万美元。 2021年和2021年的一些较近期的攻击事件,挑出了布基纳法索、贝宁、象牙海岸和塞内加尔的五家不同银行。据说,许多被确认的受害者已经被破坏了两次,他们的基础设施随后被武器化,以打击其他组织。 OPERA1ER,也被称为DESKTOP-GROUP、Common Raven和NXSMS,已知自2016年以来一直在活动,其运作目标是进行有经济动机的抢劫和渗出文件以进一步用于鱼叉式攻击。 “OPERA1ER经常在周末和公共假期运作,”Group-IB在一份与《黑客新闻》分享的报告中说,对手的 “整个武库是基于开源程序和木马,或在暗网上可以找到的免费发布的RAT。” 这包括现成的恶意软件,如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon,等等。 攻击链从 “高质量的鱼叉式网络钓鱼邮件 “开始,其发票和交付主题的诱饵主要用法语编写,其次是英语。 这些邮件具有ZIP档案附件或链接到Google Drive、Discord服务器、受感染的合法网站和其他行为人控制的域,这导致了远程访问木马的部署。 在RAT执行成功后,下载并启动了Metasploit Meterpreter和Cobalt Strike Beacon等后开发框架,以建立持久的访问,收获证书,并渗出感兴趣的文件,并延长侦察期以了解后端操作。 以下事实证明了这一点:据观察,威胁者从最初入侵到进行欺诈性交易从自动取款机上取钱,需要花费3至12个月的时间。 攻击的最后阶段涉及闯入受害者的数字银行后台,使对手能够将资金从高价值账户转移到数百个流氓账户,并最终在事先雇用的运钞车网络的帮助下通过自动取款机将其兑现。 “Group-IB解释说:”在这里,攻击和盗取资金显然是可能的,因为不良行为者通过窃取不同运营商用户的登录凭证,设法积累了不同级别的系统访问权限。 在一个例子中,超过400个骡子用户账户被用来非法抽走资金,这表明 “攻击是非常复杂的,有组织的,协调的,并在很长一段时间内计划的。 与电信巨头Orange合作进行的调查发现,OPERA1ER仅依靠公开可用的恶意软件就成功完成了银行欺诈行动,这凸显了为研究组织的内部网络所做的努力。 该公司指出:”OPERA1ER的武器库中没有零日威胁,而且攻击经常使用三年前发现的漏洞的漏洞”。通过缓慢而谨慎地在目标系统中步步为营,这才使他们能够在不到三年的时间里在世界各地成功地进行了至少30次攻击。 转自 Freebuf,原文链接:https://www.freebuf.com/news/348839.html 封面来源于网络,如有侵权请联系删除
伊朗原子能组织遭黑客攻击,大量敏感数据泄露
伊朗原子能机构周日声称,由国家支持的黑客破坏了其子公司网络并自由进入电子邮件系统。目的是在Mahsa Amini死亡的抗议活动中引起 “注意”。伊朗政府尚未将此次攻击归因于某个特定的人。 9月16日,22岁的阿米尼因涉嫌违反该国严格的女性着装规定而被捕,她的死亡引发了长达数周的示威活动,使伊斯兰共和国陷入困境。 这个自称 “黑色奖赏 “的黑客组织在Telegram上宣布了对原子能组织的黑客攻击,并分享了布什尔工厂的合同、施工计划和设备细节的文件,作为入侵的证据。据称,该组织周六在社交媒体上发布的材料包括一个来自据称是伊朗的一个核基地的短片,以及包含协议、地图和工资单的文件。 Black Reward声称已经侵入伊朗政府,并渗出了与他们的核计划有关的敏感数据。10月21日,他们给了伊朗政府24小时的时间来释放在最近的抗议活动中被捕的政治犯,否则他们将公布这些文件。 Black Reward说他们的要求没有得到满足。在接下来的几个小时里,他们将公布伊朗原子能组织的大量数据。该组织宣布泄露了50千兆字节的敏感文件,目前仍不清楚这个巨大的数据库是否还包含机密信息。 “伊朗的民用核部门说,黑客入侵了一家在南部港口城市布什尔运营该国唯一核电站的公司所使用的电子邮件系统,但没有详细说明。美联社报道:”伊朗此前曾指责美国和以色列的网络攻击损害了该国的基础设施。 伊朗原子能组织说:”这些出于无奈的非法努力旨在吸引公众的注意,创造媒体氛围和心理行动。” 此前,伊朗于2015年与世界大国达成了一项具有里程碑意义的协议。该协议正式称为《联合全面行动计划》(JCPOA),给予伊朗制裁豁免,以换取对其核计划的限制。 2018年,当时任总统唐纳德-特朗普单方面退出该协议时,该协议遭到破坏,但自2021年4月以来,一直在进行断断续续的谈判,以努力恢复该协议。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/0MgZSr36-WNuu0WL20Vnmg 封面来源于网络,如有侵权请联系删除
受欢迎的学校短信应用 Seesaw 遭黑客攻击,向家长发送露骨的图像
据NBC News报道,一款供家长和教师使用的短信应用的开发商周三表示,其应用遭到黑客攻击,因为一些家长说他们收到了带有一张在互联网上臭名昭著的露骨照片的信息。伊利诺伊州、纽约州、俄克拉荷马州和得克萨斯州的学区负责人周三都表示,这张照片是通过该应用程序Seesaw发给家长和教师的私人聊天记录。 Seesaw的网站显示,有1000万名教师、学生和家庭成员在使用其应用,它拒绝透露有多少用户受到影响。 Seesaw营销副总裁Sunniya Saleem在一份电子邮件声明中说:“特定的用户账户被外部行为者入侵”,“我们正在极其认真地对待此事”。 她说:“我们的团队继续监控这一情况,以确保我们防止这些图片进一步传播,使任何Seesaw用户无法看到。” 该公司在后续的电子邮件中表示,黑客没有获得对Seesaw的管理权限,而是通过所谓的凭证填充攻击攻破了个人用户账户。在这种攻击中,黑客通过以前的数据泄露事件来确定用户名和密码的组合。网络安全专家建议不要在多个网站上重复使用相同的密码,以避免凭证填充攻击。 照片以链接的形式发送给一些家长和老师,bitly是一种流行的链接缩短服务,可以掩盖实际的网络地址。对于一些用户来说,该应用程序在聊天中自动描绘了该图像。 Chris Krampert的孩子在佛罗里达州上小学,他向NBC News提供了一份截屏,显示他妻子的账户向惊恐的父母发送了自动显示在聊天中的图片。该图片是一张臭名昭著的模因照片,其中有一名男子正在进行露骨的行为。 一些学区发布公告,警告家长不要打开通过Seesaw发送的链接。伊利诺伊州汉诺威公园基尼维尔小学20区网站的访问者收到了弹出式警告。它说:“请不要打开今天早上在Seesaw消息中发给你的任何‘bitly’链接。它可能显示为从另一个学校家庭发给你的信息,但请立即删除该信息,不要打开,因为发送了不适当的内容。” 位于纽约哈德逊河畔卡斯尔顿的卡斯尔顿小学在其网站上宣布,它也看到了安全漏洞的证据。它说:“与此同时,如果你需要与你的学生的老师交谈,请向他们发送电子邮件。” 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1316433.htm 封面来源于网络,如有侵权请联系删除
Talos 警告 Lazarus 黑客正利用 Log4j 漏洞入侵美国能源公司
威胁情报研究机构 Cisco Talos 周四表示,其观察到 APT38(又名 Lazarus)在今年 2-7 月期间,针对美国、加拿大和日本的未具名能源供应商发起了攻击。研究发现,黑客利用了在 Log4j 中存在一年之久的漏洞(即 Log4Shell),来破坏暴露在互联网上的 VMware Horizon 服务器。 (来自:Cisco Talos) 通过在受害企业网络上建立初始立足点,然后部署被称作“VSingle”的定制恶意软件和“ YamaBot”,以建立长期持久的访问。 早些时候,YamaBot 已被日本国家网络应急响应小组(CERT)认定与 Lazarus APT 组织有关。 今年 4 月,Symantec 率先披露这一间谍活动的细节,并将该行动归咎于“Stonefly”—— 这是另一个与 Lazarus 有部分重叠、且有朝方背景的黑客组织。 此外 Cisco Talos 观察到了一个名为“MagicRAT”、此前从未见过的远程访问木马(RAT),可知黑客利用这个归属于 Lazarus Group 的木马而开展了侦查并窃取凭据。 Talos 研究人员 Jung soo An、Asheer Malhotra 和 Vitor Ventura 写道: 这些攻击的主要目标,可能是建立对目前网络的长期访问权限,以开展朝方支持的间谍活动。 这项活动与历史上针对关键基础设施和能源公司的 Lazarus 入侵相一致,旨在建立长期获取专有知识产权的途径。 【背景资料】 Lazarus Group 被认定为一个有朝方背景、且出于经济动机的黑客组织,其以 2016 年针对索尼的黑客攻击、以及 2017 的 WannaCry 勒索软件活动而出名。 最近几个月,该组织又将目光瞄向了区块链和加密货币组织,比如从 Harmony 的 Horizon Bridge 窃取了 1 亿美元的加密资产、以及从 Ronin Network 盗走了 6.25 亿美元的加密货币。 后者是一个基于以太坊的侧链,专为《Axie Infinity》这款热门赚钱游戏而设计。7 月,美国政府悬赏千万美元征求包括 Lazarus 在内的威胁组织的成员信息、达到了美国国务院 4 月宣布的金额的两倍。 转自 CnBeta,原文链接:https://www.cnbeta.com/articles/tech/1314237.htm 封面来源于网络,如有侵权请联系删除
肯尼亚前总理竞选总统落选,称选举系统遭到渗透和黑客攻击
据独立选举和边界委员会(IEBC)8月16日推文公布的肯尼亚总统竞选结果,现任副总统鲁托(William Ruto)以微弱优势击败前总理奥廷加(Raila Odinga),当选新一任肯尼亚总统。但奥廷加方面指控本次大选违法,声称有情报显示选举系统遭到了渗透和黑客攻击。 如图所示,奥廷加在总统选举中获得了6942930票,有效得票率为48.85%,而鲁托得票数为7176141,有效得票率为50.49%。然而,就在肯尼亚选委会主席切布卡蒂宣布大选结果的几分钟前,选委会副主席切里亚在记者会上称,选委会7名成员中有4人认为计票过程“不透明”,无法认可鲁托胜选的结果。 “我们有情报和报告称,他们的系统被渗透和黑客攻击,一些独立选举和边界委员会(IEBC)官员实际上犯下了选举罪,他们应当被逮捕。”奥廷加的首席代理人谴责道。 自选举结果公布后,肯尼亚多地发生示威活动。在奥廷加的大本营基苏木(Kisumu),愤怒的支持者走上街头、投掷石块、放火焚烧轮胎并设置路障。奥廷加的支持者们高喊“没有拉伊拉(奥廷加),就没有和平!” “我们将寻求所有可用的法律和宪法选择。鉴于选举中存在许多缺陷,我们将这样做。”奥廷加在选举结果公布后的第一次讲话中说道。 值得注意的是,肯尼亚历史上发生过多起大选结果公布后的暴力事件。在2007年,在奥廷加声称胜利被窃取后,有1000多人丧生。类似的事情还在2017年发生过一次,那次奥廷加落选后有100多人丧生。而那一年的选举结果因违规行为而被高等法院推翻,是非洲的先例。 外媒普遍担心,由于大选结果存在严重争议,肯尼亚或将重蹈覆辙,再次陷入动荡状态。 转自 安全内参,原文链接:https://www.secrss.com/articles/46063 封面来源于网络,如有侵权请联系删除
CS:GO 最大交易平台遭黑客攻击,600 万美元游戏皮肤失窃
《CS:GO》(反恐精英:全球攻势)是近来最热门的多人第一人称射击游戏之一,由知名电子游戏开发商Valve Software发行。该游戏中的武器皮肤具有不同的稀有性,这就促使了使用Steamworks API的交易网站的创建,以方便玩家相互交易皮肤。 CS.MONEY就是其中最大的CS:GO皮肤交易平台之一,拥有53种武器的1696种独特皮肤,总资产价值为1650万美元。而该平台最近不幸被黑客盯上,在第一波攻击中大约600万美元的皮肤失窃,资产直接缩水了1/3以上。 在8月13日察觉到攻击后至今,CS.MONEY网站处于关闭状态,并且暂时无法给出恢复服务的预计时间。CS.MONEY正在采取各种方式挽回损失。据其在Twitter上发布的推文,其他交易平台已同意阻止20000件被盗物品的交易,以防止黑客脱手赃物。 对于本次攻击事件,CS.MONEY的公关主管Timofey Sobolevky撰文详细说明了来龙去脉: CS.MONEY在收到可疑交易的消息后,最初的想法是CS.MONEY本身被黑客入侵,他们禁用了所有外部设备和服务的授权,怀疑问题可能出在cookie文件被盗。但工作人员登陆交易数据库后,发现CS.MONEY service在其日志中未记录任何交易,这说明发送可疑交易的机器人不是受CS.MONEY控制,而是由攻击者直接控制。这也解释为什么即使他们重置了所有授权并关闭了服务仍未能停止可疑交易。 CS.MONEY随后确认,事件的源头是黑客以某种方式获取了用于Steam授权的Mobile Authenticator文件的访问权限,使得黑客能够直接控制托管皮肤的机器人。 该黑客为混淆视听,除将皮肤发送给自己外,还随机将其分发给普通玩家、知名交易者、博主等,以转移调查人员的注意力、隐藏自身的踪迹。在攻击的第一天,黑客共操纵约100个帐户完成了约1000笔交易。 CS.MONEY团队现在正在尝试重置其密码和MA文件,而所有被转移的皮肤现在都处于交易锁定状态。目前不清楚游戏开发商Valve是否会进行干预追回失窃物品。 转自 安全内参,原文链接:https://www.secrss.com/articles/45939 封面来源于网络,如有侵权请联系删除
去中心化音乐平台 Audius 遭黑客攻击,超 600 万美元被窃取
据悉,上周末去中心化音乐平台Audius遭受了黑客攻击,攻击者窃取了超过1800万个AUDIO代币,总价值约600万美元。AUDIO价格受此事件影响在一小时内骤降17%。 Audius是一个托管在以太坊区块链上的去中心化流媒体平台,艺术家可以通过分享他们的音乐来获得AUDIO代币,而用户可以通过收听这些内容来赚取代币。 根据Audius周日发布的事后分析报告,事件中的黑客利用了合约初始化代码中的一个错误,该错误允许其重复调用初始化函数(具体攻击原理可点击文末官方报告链接查看)。黑客成功窃取18564497枚AUDIO代币后,Audius平台在几分钟内做出了回应,迅速冻结了几项服务以防止代币进一步被盗,直到开发人员完成修复程序的部署。 随后,攻击者为脱手赃物,以损失其价值的5/6为代价,在Uniswap上以107万美元的价格交易了所有盗取的AUDIO代币,然后通过Tornado Cash混币服务隐藏了被盗资金的踪迹。 Audius官方表示:“虽然Audius的合约系统在2020年8月和2021年10月已从两个不同的审计师那里进行了两次深入的安全评估,但都没有发现在这次事件中被利用的漏洞。从合约部署起,这个漏洞就一直存在于野外。对于Audius和其他基于区块链的项目来说,这是一个教训,说明审计并不总是能找到所有可利用的错误。” 与其他类似事件相比较,Audius这次还算是幸运的。黑客发起网络攻击时,Audius大多数团队成员都处于清醒状态并且能够迅速做出反应,从而防止了更严重的损失。 Audius官方关于此事件的详细报告: https://blog.audius.co/article/audius-governance-takeover-post-mortem-7-23-22 转自 安全内参,原文链接:https://www.secrss.com/articles/45166 封面来源于网络,如有侵权请联系删除