威胁行为者利用漏洞,并使用 Elastic Cloud SIEM 管理窃取的数据
HackerNews 编译,转载请注明出处: 网络安全研究人员发现了一场攻击活动,该活动利用多个软件漏洞窃取系统数据,并将数据存储在基于云的安全平台中。 研究人员发现,威胁行为者使用 Elastic Cloud 安全信息与事件管理(SIEM)平台的免费试用实例,从数十家机构的受入侵系统中收集和分析数据。 该活动由 Huntress 公司的研究人员发现,他们观察到攻击者利用广泛使用的企业软件中的漏洞,包括 SolarWinds Web Help Desk。 攻击者并未使用传统的命令与控制(C&C)基础设施,而是将受害者数据直接外传到由攻击者控制的 Elastic Cloud 实例中,实际上将一款合法的安全监控工具变成了窃取信息的存储库。 将 Elastic 试用版用作数据中心与 VPN 基础设施 调查显示,攻击者在受入侵系统上执行一段经过编码的 PowerShell 命令,用于收集详细的主机信息。该脚本收集操作系统信息、硬件配置、Active Directory 数据以及已安装补丁信息,然后将其传输到名为 “systeminfo” 的 Elasticsearch 索引中。 研究人员表示,这种战术使攻击者能够使用本应用于防御性安全监控的 SIEM 工具对受害者进行分类,并确定攻击目标优先级。 用于此次攻击的 Elastic Cloud 实例创建于 2026 年 1 月 28 日,并持续运行了数天。遥测数据显示,攻击者通过 Kibana 界面对该环境进行反复操作,在检查传入的受害者数据期间执行了数百次操作。 进一步分析显示,该试用账号使用了一个与 quieresmail.com 域名关联的一次性电子邮件地址注册。调查人员认为,该地址格式与俄罗斯注册的临时邮件网络 firstmail.ltd 有关,该网络运营着数百个一次性域名。 其他证据表明,攻击者在其整个基础设施中重复使用随机的 8 字符标识符,包括电子邮件注册信息以及在 Cloudflare Worker 页面上托管工具所用的子域名。 对该 SIEM 实例的管理员登录行为被追溯到据信来自 SAFING VPN 隐私网络隧道的 IP 地址。 数百台系统受影响 从攻击者的 Elastic 环境中恢复的数据显示,该攻击活动影响了至少 216 台主机,涉及 34 个 Active Directory 域。大部分受入侵设备为服务器,其中最常见的是运行 Windows Server 2019 或 2022 的系统。 受害者遍布多个行业,包括: · 政府机构 · 大学及教育机构 · 金融服务公司 · 制造业与汽车企业 · IT 服务提供商与零售商 部分主机名表明,攻击者还在利用其他企业平台中的漏洞,包括 Microsoft SharePoint。 研究人员已与 Elastic 公司及执法部门协作,通知受影响机构并对相关基础设施展开调查。此次活动中使用的云实例现已被下线。 Huntress 在其博客中表示:“我们已对我们认为在被发现数据中涉及的机构进行了联系与受害者通知,并与 Elastic 展开协作,进一步调查并下线该威胁行为者的基础设施。” 消息来源:infosecurity-magazine.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Akira 勒索软件利用思科 VPN 入侵企业网络窃取数据
最近,有越来越多的证据表明Akira勒索软件以思科VPN产品为攻击目标,入侵企业网络、窃取并最终加密数据。 Akira勒索软件是2023年3月推出勒索软件,该组织后来增加了一个Linux加密器,以VMware ESXi虚拟机为目标。 思科 VPN 解决方案被许多行业广泛采用,在用户和企业网络之间提供安全、加密的数据传输,通常供远程工作的员工使用。 据报道,Akira经常利用被攻破的思科 VPN 账户入侵企业网络,而不需要投放额外的后门或设置可能泄露的持久性机制。 Akira 的目标是思科 VPN Sophos 在 5 月份首次注意到 Akira 滥用 VPN 账户的情况,当时研究人员指出,勒索软件团伙使用 “单因素身份验证的 VPN 访问 “入侵了一个网络。 一个名为 “Aura “的事件响应者在 Twitter 上分享了关于入侵活动的更多信息,介绍了他们是如何应对多个 Akira 事件的,这些事件都是使用未受多因素身份验证保护的思科 VPN 账户实施的。 在与BleepingComputer 的对话中,Aura 表示,由于思科 ASA 缺乏日志记录,所以并尚不清楚 Akira 是通过暴力破解获得 VPN 帐户凭据,还是在暗网市场上购买的。 SentinelOne WatchTower 与 BleepingComputer 私下共享的一份报告也聚焦于相同的攻击方法,报告指出 Akira 可能利用了思科 VPN 软件中的一个未知漏洞,在没有 MFA 的情况下绕过了身份验证。 SentinelOne 在该团伙勒索页面上发布的泄露数据中发现了 Akira 使用思科 VPN 网关的证据,并在至少 8 个案例中观察到了思科 VPN 相关特征,表明这是勒索软件团伙持续攻击策略的一部分。 在八起 “Akira “攻击中发现思科VPN特征 图源:SentinelOne SentinelOne 远程访问 RustDesk 此外,SentinelOne WatchTower 的分析师还观察到 Akira 使用 RustDesk 开源远程访问工具来浏览被入侵的网络,这是已知的第一个滥用该软件的勒索软件组织。 由于 RustDesk 是一个合法工具,不会引起任何警报,因此它可以隐蔽地远程访问被入侵的计算机。 使用 RustDesk 带来的好处包括: 可在 Windows、macOS 和 Linux 上跨平台运行,覆盖 Akira 的全部目标范围 P2P 连接经过加密,因此不太可能被网络流量监控工具标记 支持文件传输,有助于数据外渗,从而简化了 Akira 的工具包 SentinelOne 在 Akira 的最新攻击中观察到的其他 TTP 包括 SQL 数据库访问和操作、禁用防火墙和 启用 RDP、禁用 LSA 保护和禁用 Windows Defender 2023 年 6 月底,Avast 发布了针对 Akira 勒索软件的免费解密程序。但从那之后威胁者已经给加密程序打了补丁,Avast 的工具只能帮助那些旧版本的受害者。 转自Freebuf,原文链接:https://www.freebuf.com/news/375848.html 封面来源于网络,如有侵权请联系删除
黑客在暗网上出售第四批数据 涉及 6 个网站 2600 万新账户
据外媒The Hacker News报道,曾三次兜售从32个热门网站上窃取的近8.9亿线上账户数据的黑客,目前正在暗网上出售第四批数据——来自其它6个网站的数千万条记录。 The Hacker News今日收到了一份来自巴基斯坦黑客“Gnosticplayers”的电邮,他声称自己已经攻击了数十个热门网站,而这些网站可能根本不知道已经遭到入侵。这名黑客上个月在暗网市场“Dream Market”上发布了三批数据,第一批是从16个网站上窃取的6.2亿账户详情,第二批是从8个网站上窃取的1.27亿条记录,第三批是从8个网站上窃取的9200万条记录。尽管在放出第三批数据时,黑客“Gnosticplayers”声称是最后一批盗取的数据库,但他还是放出了第四批从另外6个网站窃取的将近2700万新用户的数据。 第四批遭受入侵的网站如下: Youthmanual – 印度尼西亚大学和职业平台 – 112万个账户 GameSalad – 在线学习平台-150万个账户 Bukalapak – 在线购物网站 – 1300万个帐户 Lifebear – 日本在线笔记本 – 386万个帐户 EstanteVirtual – 在线书店 – 545万账户 Coubic – 预约安排软件 – 150万个账户 (图:知道创宇暗网空间搜索引擎“暗网雷达”搜索到的信息) 根据知道创宇暗网雷达搜索到该黑客售卖数据的页面显示,入侵的账户数据包括账户名、邮箱地址、IP地址、加密密码等信息。 黑客单独销售每个被攻击的数据库,总价值为1.2431比特币,大约是5000美元。目前还不清楚上述网站是否意识到数据泄露,The Hacker News已经联系这些受影响的公司并了解他们是否已经警告过用户关于这类安全事件。如果你是上述网站或服务的用户,请考虑更改这些网站上的密码以及其它网站中所使用的相同密码。 消息来源:The Hacker News,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
Facebook 起诉两名乌克兰人 指控使用恶意扩展造成 75000 美元损失
援引外媒Daily Beast报道,Facebook于上周五向两位乌克兰公民提起诉讼,指控后者利用一系列问答游戏秘密窃取用户的数据。根据起诉书显示,Gleb Sluchevsky和Andrey Gorbachov为一家名为Web Sun Group的公司工作,他们制作了大量类似于”Supertest” “Megatest”和”FQuiz”的问答APP和浏览器扩展,允许开发者收集数据并在Facebook页面上注入广告。 根据Facebook的起诉书显示,这些恶意扩展程序主要发生在2016至2018年间,主要受害者为俄罗斯用户,已经影响了6.3万个浏览器用户。与此前剑桥分析的策略不同,Sluchevsky和Gorbachov所创建的问答应用是通过浏览器扩展方式完成,会要求受害者下载恶意工具。 安装之后这些问答应用程序会收集用户姓名、性别、年龄、好友等个人资料,此外这些恶意程序也会在Facebook账号上插入广告,并且假装是来自社交网络。据称,Sluchevsky和Gorbachov使用“Amanda Pitt”和“Elena Stelmah”这样的名字来创建这些恶意软件。在问答应用中会测试诸如:“谁是现代的吸血鬼?”以及“检查下你的电脑,你是否拥有所有这些东西?”两人在Facebook上创建了至少13个虚假账号和页面。 在法庭文件中,Facebook表示它在2018年10月12日删除了所有虚假账户。大约一个月后,黑客告诉BBC他们有来自至少81,000个Facebook账户的私人消息,这些账户主要属于乌克兰和俄罗斯的用户。对此Facebook表示本次恶意软件攻击至少损失75,000美元。 (稿源:cnBeta,封面源自网络。)
新型攻击技术 “MOSQUITO” 可通过扬声器或耳机窃取数据
外媒 3 月 12 日消息,以色列 Ben-Gurion 大学的研究团队近期详细介绍了一种使用扬声器、耳机可从气隙系统中的计算机中提取数据的新型数据过滤技术 — MOSQUITO,目前来说它是一种 “Jack Retasking” 技术:主要利用特定的音频芯片功能,将输出音频插孔转换成输入插孔,从而将连接的扬声器有效地转换为(非传统)麦克风。 通过实验,研究人员发现,设法感染 air-gapped 计算机的恶意软件可以将本地存储的文件转换成音频信号,并通过连接的扬声器、耳机或耳塞将它们传送到附近的另一台计算机设备。该设备也受到了恶意软件的感染,它使用插孔将连接的扬声器、头戴式耳机、挂式耳机或耳塞转换成临时麦克风,接收调制后音频并转换回数据文件。 除此之外,研究人员还介绍了传输速度会在一定程度上影响 MOSQUITO 攻击。尽管 MOSQUITO 支持非常快的数据传输速度,但当扬声器之间距离增加或音频频率发生变化时,传输速度可能会降低。其他影响数据传输速度的因素还包括音乐和语音等噪声环境,不过研究人员表示通过将数据泄漏频率提高到 18kHz 以上可以缓解这种情况。 MOSQUITO 攻击在实验中已被证实可行,但目前尚未在野外发现实际攻击案例。 相关阅读: 论文《MOSQUITO: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-SpeakerCommunication》 内含缓解措施和对策。 消息来源:bleepingcomputer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。