安全快讯Top News

新的罗宾汉式恶意软件只针对 Windows 上的盗版软件用户

安全公司Sophos发表了一份新的研究报告–《“义务劳动”式恶意软件在阻止海盗湾的同时赶走软件盗版者》,其中详细介绍了一个网络攻击活动,该活动以盗版软件的用户为目标,恶意软件旨在阻止对托管盗版软件的网站的访问。 恶意软件被伪装成流行游戏的破解版,如《Minecraft》和《Among Us》,以及微软Office、安全软件等生产力应用程序。这种恶意软件并不寻求窃取密码或向计算机所有者勒索赎金,而是阻止受害者访问一长串网站,包括许多分发盗版软件的网站。从本质上讲,这是一个自带干粮义务劳动的恶意软件,它只针对软件盗版者。 伪装后的恶意软件通过BitTorrent协议从ThePirateBay(领先的数字文件共享网站)上的一个账户分发。这些链接和恶意软件文件也被托管在Discord上。 “从表面上看,对手的目标和工具表明这可能是某种粗制滥造的反盗版义务劳动。然而,攻击者庞大的潜在目标受众–从游戏玩家到商业专业人士–再加上过时的和新的工具、技术和程序(TTP)的奇怪组合,以及被恶意软件封锁的奇怪的网站列表,都使这次行动的最终目的有点模糊不清。” – 安德鲁-勃兰特,索福斯公司首席威胁研究员 修改HOSTS文件是一种粗略的方法,可以防止计算机能够到达一个网站地址。它很有效,是的,但任何人都可以从HOSTS文件中删除条目来解决问题。 恶意文件是面向64位Windows 10编译的,然后用假的数字证书签名。在现代Windows电脑上,该恶意软件必须以管理员权限用户的身份运行,因此,更有意识和谨慎的用户将能够轻松避免攻击。该恶意软件在运行时还会触发一个假的错误信息,要求人们重新安装软件。Sophos研究人员认为这可能是为了打消怀疑。   (消息及封面来源:cnBeta)

勒索未成 黑客公布威刚公司一半的被盗信息

Ragnar Locker背后的黑客成功地从台湾威刚公司窃取了超过1.5TB的数据,并在网上公布了其中超过700GB的数据。安全事务部表示,这些数据是以13个受密码保护的档案形式上传的。 这个网络犯罪团伙说,这1.5TB的被盗数据包含敏感信息,如保密协议、财务文件、合同和其他文件。该芯片制造商拒绝支付黑客要求的赎金。因此,Ragnar Locker背后的黑客决定公开这些数据。为了证明拥有,他们的发布了几张截图。 这是在网上公布的第二批据称是从威刚盗取的档案。最初,Ragnar Locker在存储平台上发布了档案,但MEGA关闭了该组织的账户并禁止访问该组织的共享文件。本月早些时候,四个7-Zip格式的小档案被发布在泄密网站上。黑客们试图向受害者施压,要求他们支付赎金。 之前美国联邦调查局为了提高私营部门对Ragnar Locker勒索软件的认识,在该年11月发布了一个警告,编号为MU-000140- MW。其中的一些要点包括对重要数据进行离线备份;确保将重要数据复制到无法访问网络的外部硬盘或存储设备上;保护备份,确保数据在存储的系统中不能被修改;在所有主机上安装并保持最新的反病毒或反恶意软件;只使用安全的网络,避免使用公共Wi-Fi网络;考虑建立VPN;结合使用多因素认证和安全密码;保持系统、设备和应用程序安装了最新补丁。   (消息及封面来源:cnBeta)

北约所用的云平台 SOA & IdM 被黑客入侵并威胁泄露数据给俄国

北约目前使用SOA & IdM平台来处理北极星(Polaris)计划中的几个基本功能,并且该机构将其列为关键设施并定义为机密级别,作为北约IT现代化计划的一部分,它被创建为提供集中的安全、整合和托管信息管理方案。 黑客声称,他们设法利用后门复制了这个平台上的数据,并试图敲诈安全解决方案商Everis。他们更进一步,半开玩笑说要把偷来的数据发给俄罗斯情报部门。 北极星项目官员保罗·豪兰解释了这个项目的好处。”这个项目有可能成为改变北约未来如何发展和部署其作战服务的游戏规则。它将推动创新和降低成本。通过确保对已部署的能力有更大的重复利用来实现操作”。 攻击背后的黑客说,他们最初并不知道他们可以利用北约平台上的漏洞。之前他们只关注Everis在拉丁美洲的企业数据,直到北约说它准备在发生网络威胁时采取行动。令他们惊讶的是,北约的一个安全平台就在Everis的子公司的掌管之中。 黑客们在分析了Everis公司并发现与无人机和军事防御系统有关的文件后,开始从该公司的网络中窃取更多数据。他们为破坏北极星计划的发展的活动辩护,说这一计划并不是”为了地球和网络世界的和平”。 黑客向Everis索要14500门罗币的赎金,这样他们就不会将其身份与LATAM航空公司的数据黑客联系起来。他们还要求用这笔赎金来换取不泄露北约的任何数据的保证。   (消息及封面来源:cnBeta)

韩国国家核智库原子能研究所 KAERI 遭到黑客攻击

韩国当局透露,Kimsuky在2021年5月成功入侵了国家核智库韩国原子能研究所(KAERI),KAERI被揭露此事的韩国新闻机构指控掩盖事实。恶意软件分析公司IssueMakersLab在5月14日发现了对KAERI的攻击。有13个不同的互联网地址参与了这次网络攻击,其中一个与Kimsuky有关。 据美国网络安全和基础设施安全局(CISA)称,后者据说是一个朝鲜的全球情报收集行动。该组织也被称为Thallium、Black Banshee和Velvet Chollima,涉嫌进行多种恶意软件攻击。事实上,据称它在过去曾攻击过韩国的COVID-19疫苗研究人员和核反应堆。 为了进入受害者的系统,该团伙经常采用网络钓鱼技术,冒充Telegram、Gmail、Outlook等网站和其他流行品牌网站。这不是该机构的第一次攻击。韩联社报道,早在2018年,KAERI就通过文在寅总统的顾问文忠仁获得的电子邮件账户被黑,这次网络攻击可以归因于Kimsuky。 根据韩国科学和信息通信技术部(MSIT)的说法,网络被入侵是由于服务器VPN的漏洞。攻击是在5月31日被发现的,当局已经采取了紧急措施来禁止IP地址和应用安全修复。 虽然损失的程度尚不清楚,但人们担心核技术信息的泄露可能会危及国家安全。SISA杂志率先报道了这一攻击事件,指责KAERI在发现一名研究人员就这一话题发表了三种不同的声明后淡化了这一漏洞。 KAERI发表了以下声明(翻译),以回应掩盖事件的指控。 “‘没有黑客事件’的说法是工作层面的工作人员的反应错误,这是在调查期间因涉嫌侵权而未确认损失的情况下发生的”。   (消息及封面来源:cnBeta)

卡巴斯基发现朝鲜支持的黑客组织最近攻击了韩国多个行业

针对韩国多种行业的恶意软件活动被认为是一个名为Andariel的朝鲜国家黑客组织所为。据《黑客新闻》报道,这一进展表明,Lazarus黑客攻击者正在紧跟潮流,扩大他们的武器库。卡巴斯基实验室在一份详细的报告中指出:”这次活动中使用Windows命令及其选项的方式与以前的Andariel活动几乎相同”。这次攻击影响了制造业、家庭网络服务、媒体和建筑业。 Andariel是Lazarus黑客组织的成员之一,因对韩国的组织和企业发动攻击而臭名昭著。该组织与Lazarus和Bluenoroff一起,于2019年9月被美国财政部制裁,原因是对重要基础设施进行敌对网络活动。朝鲜据认为是这些黑客活动幕后推手,它试图渗透到韩国和世界各地的金融机构电脑中。同时,它还策划了加密货币盗窃案,试图逃避为阻止其核武器计划发展而实施的经济制裁束缚。 卡巴斯基的发现建立在2021年4月Malwarebytes的一份早期报告之上。基于这些发现,这家网络安全公司记录了一个新的感染链,它分发钓鱼邮件,并在目标系统上投放一个远程访问木马(RAT)。根据最新的调查,新的恶意软件以类似的方式工作。除了安装一个后门外,威胁者还可以将文件加密的赎金软件传送给其中一个受害者,这表明有经济动机。应该指出的是,Andariel过去曾试图通过入侵自动取款机来窃取银行卡数据获取现金或在黑市上出售客户数据。 该勒索软件旨在加密所有文件,但那些带有系统关键扩展名”.exe”、”.dll”、”.sys”、”.MSIins”和”.drv”的文件除外。正如预期的那样,它要求支付比特币以获得一个解密软件和一个独特的密钥来解锁加密的数据。   (消息及封面来源:cnBeta)

80% 支付赎金的企业会遭到二次勒索攻击 其中 46% 来自同一黑客

在遭遇勒索软件攻击之后,不少企业因为无法等待数据恢复、想要尽快恢复业务,选择向黑客支付赎金,那么在支付赎金之后是否就意味着不再成为黑客的勒索目标了吗?一份最新报告显示,几乎一半的受害者会再次成为同一黑客的目标。 根据市场调查机构 Censuswide 公布的最新数据,大约 80% 选择支付赎金的组织会遭到第二次攻击,其中 46% 被认为是来自同一个团伙。一家在勒索软件事件后支付了数百万美元的公司,在交出加密货币后的两周内,又被同一黑客攻击了。 即使受害者支付了赎金以重新获得其加密文件的访问权,也经常出现问题。46%的支付者发现一些数据被破坏;51%的人重新获得了访问权,但没有数据损失;3% 的人根本没有拿回他们的数据。 由于越来越多的受害者拒绝支付,赎金软件的平均支付额正在下降。影响这些公司底线的不仅仅是巨额的加密货币支付。被报道的勒索软件攻击会对公众对公司的看法产生负面影响,一些人对公司的安全行为提出质疑。53%的调查参与者表示,他们的品牌在勒索软件披露后受到了不利影响,66%的人表示他们因攻击而损失了收入。   (消息及封面来源:cnBeta)

微软警告 SolarMarker 恶意软件正在利用狡猾的 SEO 中毒手段来传播

微软安全情报团队刚刚通过 Twitter 平台发出了一则警告,提醒广大软件用户注意提防一款利用了古老且狡猾的手段来传播的新型恶意软件。据悉,疑似 SolarMarker 幕后的恶意软件操纵者,正在通过所谓的“搜索引擎优化中毒”(SEO Poisoning)手段,来将恶意代码植入受害者的计算机。 具体说来是,微软指出这涉及利用 SEO 关键词和链接来“填充”数以千计的 PDF 文档。 然后这些链接会启动一系列的重定向,最终将毫无戒心的用户引导至托管有恶意软件的地址。 微软安全情报团队在一系列推文中解释称:攻击者试图通过对搜索结果进行排名的 PDF 文档来实施传播。 为达成这一目的,攻击者在这些文档中填充了超过 10 页的关键词、且涵盖的主题也十分宽泛,从‘保单’到‘合同’、乃至‘SQL 数据库中的 join in 查询指令用法’和‘数学答案’。 接着,微软提到了 eSentire 的一篇博客文章,指出攻击者此前曾利用谷歌网站来托管这些受感染的文档。 而在近期的活动中,微软研究人员又注意到攻击者已转向亚马逊云服务(AWS)和 Strikingly 。 最近几周,不少商业专业人士被黑客所操控、且托管于 Google Sites 上的网站所引诱,并在不经意间安装了一种已知但新兴的远程访问木马(简称 RAT)。 eSentire 指出,攻击始于潜在受害者对商业表单的搜索,比如发票、问卷和收据。但在利用谷歌搜索重定向来层层设陷的情况下,一旦受害者计算机上的 RAT 被激活,攻击者即可向目标计算机发送指令、并将其它恶意软件(比如勒索软件),上传到受感染的系统上。 此外上文中提到的 SolarMarker 也是一款后门型的恶意软件,能够从浏览器窃取数据和相关凭据。 考虑到“SEO 中毒”型的恶意软件攻击防不胜防,微软建议广大计算机用户升级到带有最新安全措施的操作系统和相关配套软件。 与此同时,该公司的 Microsoft Defender 反病毒软件仍会持续开展检测、以阻止在诸多环境中的数以千计的此类 PDF 文档。 最后,eSentire 威胁情报经理 Spence Hutchinson 曾于 4 月接受 ThreatPost 采访时称,安全领导者与他们的团队,必须知晓 SolarMarker 幕后团队在商业危害上的斑斑劣迹。     (消息及封面来源:cnBeta)

谷歌、亚马逊等公司将因“全球最大数据泄露事件”被起诉

据外媒Neowin报道,在今天这个围绕着互联网的世界里,对我们私人数据的在线保护始终是一个热门话题。大型科技公司由于收集和管理的数据量大,经常面临监管机构等的冲击。在与此相关的最新进展中,来自爱尔兰公民自由委员会(ICCL)的高级研究员Johnny Ryan博士决定对IAB技术实验室提起诉讼。该诉讼被提交到汉堡地方法院,针对ICCL认为的“全球最大数据泄露事件”。 IAB技术实验室是一个由一些最大的科技公司组成的联盟,如Google、Facebook、亚马逊等,它负责提供在线数字广告空间运作所依据的技术标准。 在数字广告市场上,广告被放置在各个网站上,使用一种叫做实时竞价(RTB)的方法。RTB是数字广告库存实时购买和销售的过程。ICCL在其诉讼中指出,RTB的使用极大地侵犯了数百万用户的隐私,因为如此多的个人数据被共享到庞大的网络中。 以下是Johnny Ryan博士对此事的看法: 通过挑战在线广告行业的标准,我们的诉讼瞄准了Google、Facebook、亚马逊、Twitter、Verizon、AT&T以及整个在线广告和监控行业。这个行业跟踪我们,并建立了关于我们最亲密的秘密的隐秘档案。从今天开始,我们要改变这种状况。 ICCL提供了一份播放RTB数量最多的九个大公司的名单。它包含了一些常见的公司的名字。   关于此事的更多细节,你可以访问ICCL的官方网页。 这并不是第一次与RTB有关的诉讼,因为Google最近被法国的一个调查机构处以2.2亿欧元(约2.68亿美元)的罚款,该公司同意与之和解。     (消息及封面来源:cnBeta)

伊朗支持的黑客入侵了以色列国防军前参谋长的电脑

据外媒报道,一名为伊朗工作的网络罪犯攻击了一名前以色列国防军(IDF)参谋长的电脑并获得了他整台电脑数据库的访问权限。Channel 10确认该名黑客是Yaser Balgahi。据报道,他事后吹嘘自己的黑客攻击行为,然而他在不知情的情况下留下了自己身份的痕迹。 这一情况使得伊朗关闭了针对全球1800人的网络行动,其中包括以色列军方将领、波斯湾人权捍卫者和学者。 《以色列时报》在以色列网络安全公司Check Point披露了伊朗这一黑客行动两周后首次对外做了报道。Channel 10则在周二做了报道。Check Point Software Technologies CEO Gil Shwed在1月底告诉以色列电台,攻击开始于两个月前,另外目标收到了意在在他们的电脑上安装恶意软件的电子邮件。 据悉,超1/4的收件人打开了邮件,无意中下载了间谍软件,这让黑客得以从他们的硬盘中窃取数据。 而在过去两年的时间里,以色列遭到了数次网络攻击。据官员称,一些渗透行动是由跟真主党和伊朗政府有关的黑客实施的。 1月底,以色列能源部长Yuval Steinitz表示,以色列电力管理局是一次严重的网络攻击的目标。不过他没有具体说明袭击的来源。 今年6月,以色列网络安全公司ClearSky宣布,它探测到一波来自伊朗的针对以色列和中东目标的持续网络攻击,以色列将军们也在攻击对象之列。据这家公司披露称,其目的是间谍活动或其他民族国家利益。 根据ClearSky的说法,黑客使用了定向钓鱼等技术,他们利用看似合法和可信的虚假网站来获取用户身份数据。他们成功渗透了以色列境内的40个目标和国际上的500个目标。在以色列,攻击目标包括退休将军、安全咨询公司雇员和学术学者。 Shwed警告称,网络攻击的频率超过了网络安全投资的频率。 Jerusalem Venture Partners的执行合伙人Gadi Tirosh是以色列在网络安全技术领域仅次于美国的最活跃投资者之一。 目前,以色列有173家大到足以吸引风险资本和其他主要投资者的公司。根据以色列风险资本(IVC)研究中心本月早些时候发布的一份报告,以色列目前有430家网络公司,自2000年以来,平均每年有52家新的网络创业公司成立。   (消息及封面来源:cnBeta)

Avaddon 勒索软件背后的黑客向安全研究人员主动寄出解密密钥

最近,勒索软件困扰着美国和世界上的许多大公司。不久前,美国的一次攻击关闭了一条输油管,导致一些地区出现燃料短缺,拥有该输油管的公司支付了数百万美元来解密其文件。另一个备受瞩目的勒索软件攻击看到一家美国食品公司向黑客支付了数百万美元,以解密他们的系统并防止文件被泄露。 虽然勒索软件攻击非常有效,并且可以成为攻击者的大笔财富,但Avaddon背后的组织正在关闭,并且已经为所有受害者发布了解密密钥。 报告指出,一封假装来自联邦调查局的电子邮件已经发出,其中包含一个密码和一个受密码保护的压缩文件的链接。该文件声称是Avaddon勒索软件的解密密钥。该文件被发送给来自EMSIsoft的名为Fabian Wosar的安全研究员和来自Coverware的Michael Gillespie。 这两名研究人员调查了电子邮件所附的软件,并确定它是无害的,并且包含了为成为Avaddon勒索软件受害者的用户提供的解密密钥。Emsisoft与BleepingComputer分享了一个测试解密器,实验证明可以解密一个用Avaddon最近的样本加密的虚拟机。 勒索软件背后的一个或多个黑客发布了2934个解密密钥,每个密钥对应于该组织的一个受害者。Emsisoft发布了一个免费的解密程序,任何该软件的受害者都可以用它来免费恢复他们的文件,该解密程序文件可以在这里访问到: https://www.emsisoft.com/ransomware-decryption-tools/avaddon 当勒索软件被关闭时,软件背后的黑客发布解密密钥作为一种善意的姿态,这并不是完全不常见。然而,这有可能表明该软件的一个新版本即将到来。在这个例子中,与Avaddon有关的暗网网站已经被关闭,表明该行动可能已经结束。   (消息及封面来源:cnBeta)