当前节点:hackernews.cc
时间节点
2021年10月26日 10:02hackernews.cc
总部位于新西兰的网络安全公司 Emsisoft 一直在悄悄地帮助 BlackMatter 勒索软件的受害者恢复被加密的文件,防止了“数千万美元”的赎金支付,并可能标志着 BlackMatter 事件的永久结束。作为 DarkSide(用来攻击 Colonial Pipeline)勒索软件的升级,BlackMatter 于今年 7 月首次出现。 最近 CISA 专门针对该勒索软件发出警告,表示它针对被视为关键基础设施的组织进行了“多次”攻击,包括美国食品和农业部门的两次攻击。该勒索软件作为一种服务操作,也是最近对奥林巴斯的攻击的罪魁祸首,这迫使这家日本科技巨头关闭了其欧洲、中东和非洲地区的业务。 EMSIsoft 今年早些时候发现,与 DarkSide 一样,BlackMatter 的加密机制有一个漏洞,允许 Emsisoft解密文件,BlackMatter 的加密过程也有一个漏洞,允许它恢复加密的文件而不必支付赎金。Emsisoft 直到现在才透露这个漏洞的存在,因为它担心会让 BlackMatter 集团立即推出一个修复程序。 Emsisoft 首席技术官 Fabian Wosar 在一篇博客文章中说:“了解 DarkSide 过去的错误,当 BlackMatter 对他们的勒索软件有效载荷进行修改,使我们能够再次恢复受害者的数据而无需支付赎金时,我们感到很惊讶”。 在发现漏洞之后,Emsisoft 就向执法部门、勒索软件谈判公司、事件响应公司、国家计算机应急准备小组(CERT)和值得信赖的合作伙伴通报了其解密能力的信息。这使得这些受信任的各方能够将 BlackMatter 受害者推荐给 Emsisoft,以恢复其文件,而不是支付赎金。 Wosar 表示:“从那时起,我们一直在忙于帮助BlackMatter受害者恢复他们的数据。在多个国家的执法机构、CERT和私营部门合作伙伴的帮助下,我们能够接触到许多受害者,帮助他们避免了数千万美元的要求”。Emsisoft 还联系了通过 BlackMatter 样本和公开上传到各个网站的赎金笔记发现的受害者。   (消息及封面来源:cnBeta)
2021年10月26日 10:02hackernews.cc
一名遭受飞马间谍软件黑客攻击的记者透露了他们成为黑客攻击目标的经历,包括可疑信息和 “零点击”漏洞如何导致记者的智能手机被非法访问。7月的一项调查强调了NSO集团Pegasus间谍软件如何被用来攻击记者和人权活动家。 NSO集团的间谍软件本来只用于犯罪预防和调查目的,但却被一些政府滥用,对可能成千上万的活动家和记者进行监视。在《纽约时报》的一篇报道中,中东记者本-哈伯德解释了他是如何成为目标的,虽然哈伯德由于面临监禁或死亡的风险而采取了保护消息来源的预防措施,但他仍然成为飞马黑客的受害者。 在与公民实验室合作的过程中,哈伯德发现,他在2018年收到一条可疑的短信,被认为是由沙特阿拉伯发送的。该出版物的技术安全团队发现了2018年的另一次黑客企图,通过WhatsApp发送的第二条信息,邀请该记者参加在华盛顿沙特大使馆前举行的抗议活动,并附有一个可疑的链接。公民实验室证实,这两次尝试都没有成功,因为哈伯德没有点击每条信息中的链接,不过这并不是骚扰行为的结束。 对哈伯德设备的进一步调查显示,在2020年和2021年有2次黑客攻击成功,使用的是零点击漏洞,不需要用户点击链接就能感染。调查似乎不太可能揭开黑客的身份,据发现,第二次黑客攻击是为了清除第一次黑客攻击留下的痕迹。NSO集团否认其产品被用于攻击,认为技术和合同原因和限制,意味着哈伯德不可能成为2020年和2021年事件的目标。 目前还不清楚哈伯德在整个期间使用的到底是什么智能手机,但飞马公司以攻击iPhone等设备而闻名,利用iOS中的各种漏洞来击败设备上的安全措施。9月,苹果发布了iOS 14.8和iOS 12.5.5的补丁,堵塞了PegASUS滥用的安全漏洞。 成功感染Pegasus后,攻击者几乎可以无限制地访问iPhone或其他设备,包括能够提取数据、阅读加密信息、启用摄像头和麦克风、记录电话,并实时跟踪设备的GPS坐标。被认为是NSO客户的政府包括阿塞拜疆、哈萨克斯坦、卢旺达和阿联酋,还包括9月披露的德国。   (消息及封面来源:cnBeta)
2021年10月26日 10:02hackernews.cc
微软表示,去年SolarWinds黑客事件背后由俄罗斯支持的Nobelium威胁集团仍在瞄准全球IT供应链,自2021年5月以来,有140家管理服务提供商(MSP)和云服务提供商受到攻击,至少有14家被攻破。 这次活动与Nobelium的传统做法相同,即通过攻破服务提供商来破坏一个重要的目标名单。就像以前的攻击一样,俄罗斯国家黑客使用了一个多样化和不断变化的工具包,包括一长串工具和战术,从恶意软件、密码喷剂、令牌盗窃到API滥用和鱼叉式网络钓鱼。这些新攻击的主要目标是为其客户部署和管理云服务和类似技术的经销商和技术服务提供商。 微软在发现这些攻击后通知了受影响的目标,还在威胁保护产品中增加了检测功能,使这些目标在未来能够发现入侵企图。自7月以来,超过600名微软客户成为目标。微软表示,自5月以来,它已经通知了140多个被Nobelium攻击的经销商和技术服务提供商。 微软将继续调查,但到目前为止,微软认为这些经销商和服务提供商中多达14家已经受到影响,但是总共有600多个微软客户被攻击了数千次,尽管在7月至10月期间攻击成功率很低。但是,这表明,Nobelium仍在试图发动类似于他们在攻破SolarWinds系统后发动的攻击,以获得对相关目标系统的长期访问,并建立间谍和渗透渠道。 Nobelium是俄罗斯对外情报局(SVR)的黑客部门,也被称为APT29、Cozy Bear和The Dukes。2021年4月,美国政府正式指责SVR部门协调了针对SolarWinds 广泛的网络间谍活动,导致多个美国政府机构被入侵。   (消息及封面来源:cnBeta)
2021年10月25日 10:02hackernews.cc
据英国《卫报》报道,Tesco网站日前遭到黑客攻击,导致成千上万沮丧的购物者无法在英国最大的超市在线购买商品。这次故障使其食品杂货网站和应用程序连续第二天瘫痪,人们无法预订送货或修改现有订单。乐购每周收到130万份在线订单。   Tesco的一位发言人说:“从昨天开始,我们的在线食品杂货网站和应用程序遇到了干扰。有人试图干扰我们的系统,这导致了网站搜索功能的问题。我们正在努力全面恢复所有服务,并对造成的不便表示歉意。” 这名发言人补充说:“没有理由相信这个问题会影响到客户的数据,我们将继续采取持续行动,确保所有数据保持安全。” Tesco曾在2014年遭黑客攻击,当时在网上发布了2000多个包括密码在内的登录信息后,它被迫停用了在线客户账户。两年后,对Tesco财务部门的一次单独攻击导致250万英镑的损失。 网络攻击已经变得越来越普遍,许多公司和其他组织已经成为全球的目标。今年夏天,世界上最大的巴西肉类加工企业JBS遭到网络攻击,迫使其在美国、澳大利亚和加拿大暂时停止生产。 购物者在社交媒体上表达了他们的挫败感。一些人发布了他们从超市收到的信息,告诉他们由于”当前的IT问题”,Tesco目前无法访问或更改任何订单。 Sara Willman是威尔特郡花商的批发商,她在Twitter上说,她被告知可以在周日直接发送私信取消她的订单,但后来收到Tesco的回复说这是不可能的。她表示:“我知道你们仍然有IT问题,但尽管我喜欢杜松子酒,我今晚不需要2瓶酒和一些薯片,因为@asda今天早上用实际的食物拯救了一天。” 顾客抱怨说,Tesco在周六发布Twitter后,24小时内没有任何更新。该公司在周六的推文中称:“我们的网站和应用程序遇到了问题,我们正在努力使事情恢复正常。我们对造成的任何不便表示歉意。” 几位乐购的顾客说,他们已经下了不完整的订单,以确保他们的送货时段,并无法添加到这些订单中。 Tesco的一名客服人员通过Twitter表示,如果顾客不再需要他们的订单,司机会将其带回店内进行退款。周日上午,该公司在Twitter上说:“我们的IT团队正在尽最大努力,将尽快使网站和应用程序正常运行。目前,我们没有任何更新,也没有一个时间表,我们可以期待这个时间段的到来。我真的很抱歉。TY – Cameron。” 竞争对手Asda超市周六在Twitter上说:“你们好,希望我们能提供帮助。
2021年10月25日 10:02hackernews.cc
Facebook周五对一名乌克兰人提起诉讼,因为他涉嫌在一个地下网络犯罪论坛上出售盗用自Messenger即时通信服务中的超过1.78亿用户的个人数据。根据今天提交的法庭文件,该男子被确认为亚历山大·亚历山德罗维奇·索隆琴科,是乌克兰基洛沃格勒的居民。Facebook称,索隆琴科滥用了Messenger服务中的一项功能,即联系人导入器。 该功能允许用户同步他们的手机地址簿,并查看哪些联系人有Facebook账户,以便让用户通过Facebook Messenger与他们的朋友联系。 在2018年1月至2019年9月期间,Facebook表示,索隆琴科使用自动化工具冒充Android设备,以便向Facebook服务器提供数百万个随机电话号码。 当Facebook服务器返回哪些电话号码在该网站上有账户的信息时,索隆琴科收集了这些数据,后来他于2020年12月1日在RaidForums(一个臭名昭著的网络犯罪论坛和被盗数据的市场)上发了一个帖子,将这些数据收集并出售。 索隆琴科在论坛上使用Solomame(后来改名为barak_obama)的用户名进行操作,并出售了多家公司的数亿用户的数据。 “自2020年以来,索隆琴科已经出售了从乌克兰最大的商业银行、乌克兰最大的私人快递服务中窃取或搜刮的数据,除此之外还有一家法国数据分析公司。”Facebook今天在法庭文件中说。在被告在招聘门户网站和电子邮件账户上使用相同的用户名和联系方法后,安全技术人员能够将索隆琴科与RaidForums用户联系起来。 “索隆琴科曾是一名自由职业的计算机程序员,有使用几种编程语言的经验,包括Python、PHP和Xrumer,这是一种用于发送垃圾邮件的软件;在Android模拟器上自动执行任务;以及进行联盟营销,直到2019年6月或前后,索隆琴科还以’Drop Top’的商业名称在网上销售鞋子,”Facebook补充说。 Facebook要求法官发布禁令,禁止索隆琴科访问Facebook网站,并禁止他出售更多Facebook的相关数据,同时正寻求未指明的赔偿。 2021年4月,另一个威胁行为者泄露了5.33亿Facebook用户的电话号码,Facebook也说这是通过同样的滥用方法收集的。 在这一事件发生几天后,Facebook透露,在发现索隆琴科和其他威胁行为者滥用Mess
2021年10月25日 10:02hackernews.cc
安全研究专家表示,一个知名俄罗斯勒索软件集团成立了假公司,以招募技术工人来扩大其犯罪企业。根据安全公司 Recorded Future 旗下 Gemini 咨询部门的一份新报告,这家假公司是由 Fin7 成立的。外界认为集团创建的恶意软件,在今年 5 月份让美国最大的燃料管道之一陷入瘫痪。 《华尔街日报》早些时候报道了这一诡计,包括一个看起来很专业的网站,声称该公司提供网络安全服务。Fin7 与针对全球数百家公司的黑客攻击有关,目标是主要零售商使用的销售点系统。据信,攻击 Colonial Pipeline 的软件就是由该集团开发的,导致该燃料管道公司被迫关闭运营,中断了对东南部部分地区的汽油输送。 研究人员说,该组织创建了一个名为 Bastion Secure 的假公司,以及一个配套的网站,公布了程序员、系统管理员和反向工程师的公开职位,以组建一个能够执行任务的团队,支持网络犯罪活动。Fin7 有伪装成真实公司的历史,导致研究人员相信该组织“正在利用虚构的 Bastion Secure 公司招募不知情的 IT 专家参与勒索软件攻击”。 报告指出,该组织的招聘工作是由“对相对廉价的熟练劳动力的渴望”所驱动,提供的起薪在每月 800 美元至 1200 美元之间。虽然这在一些东欧国家是一个合理的 IT 工作起薪,但这只是该组织从网络犯罪中获得的利润的“一小部分”。 在调查 Bastion Secure 的过程中,一位 Gemini 部门的消息人士在这家假公司申请了一份工作。虽然前两个阶段包括 IT 专家在面试过程中通常会有的任务,但在第三个阶段,研究人员写道:“立即就能看出该公司参与了犯罪活动”。 他们写道:“Bastion Secure 的代表对文件系统和备份特别感兴趣,这表明 Fin7 对进行勒索软件攻击比 POS 感染更感兴趣”。 研究人员写道:“有了心甘情愿的同伙,Fin7将被迫分享总额达数百万美元的赎金,而不知情的雇员将为月薪低至数千美元而工作,这与后苏联国家的劳动力市场是相称的”。 据司法部称,Fin7 至少从 2014 年开始活跃,被认为是最大的网络犯罪行动之一,攻击了超过100多家美国公司,重点是酒店、博彩机构和餐馆,包括对Chipotle、Chili’s和Arby’s的攻击。   (消息及封面来源:cnBeta)
2021年10月22日 09:58hackernews.cc
时间回到今年4月,勒索软件集团REvil曾攻击了苹果供应商广达电脑并能够窃取概述本周早些时候宣布的14和16英寸MacBook Pro型号设计的原理图。这些原理图泄露了新机器的设计,当时,REvil威胁称,如果苹果不在5月1日前支付5000万美元的赎金就会公布其他文件。   不过这种情况在几天后就消失了,REvil神秘地从其网站上删除了所有跟苹果有关的文件和敲诈威胁。 此后,人们再也没有听到关于REvil攻击苹果的进一步消息,但事实证明,有一个多国行动正在进行以拿下这个勒索软件集团。据悉,几个政府机构在本周联手黑掉了REvil并使其下线。 一位知情人士披露称,美国政府的一个外国合作伙伴进行了黑客行动并渗透了REvil的计算机架构。一位不愿透露姓名的前美国官员表示,该行动仍在进行。 REvil用于泄露被盗文件的Happy Blog已被下线并不再可用。实际上,在执法和情报专家能够入侵REvil的计算机网络后,该黑客组织早在7月已经下线了,不过它在上个月又回来了,之前被政府破坏的服务器再次被用于这次的第二次攻坚。 REvil还对5月对Colonial Pipeline的网络攻击负责,该攻击造成了美国东海岸的天然气短缺。   (消息及封面来源:cnBeta)
2021年10月22日 09:58hackernews.cc
韩剧鱿鱼游戏Squid Game让互联网火了起来。随着Netflix的热播,人们急于下载与该韩剧有关的一切东西,包括谷歌Play Store中的一款壁纸应用,其中包含了恶意软件。 目前还没有官方的Squid Games应用程序,然而ESET的Android恶意软件研究员Lukas Stefanko在Twitter上说,Play Store上有超过200个与该系列有关的应用程序,其中就有Google保障措施还没有检测到的恶意软件,其中包括一款鱿鱼游戏壁纸应用。安全研究人员对其进行了分析,他们都认为这款鱿鱼游戏壁纸应用内置了一种Joker恶意软件。 我们以前在Play Store上见过Joker恶意软件很多次。它可以通过模拟注册过程,偷偷地将受害者签入高级订阅服务。它还能窃取短信、联系人名单和设备信息。2019年,它在24个下载量超过47.2万的应用程序中被检测到,去年有64个新变体出现在Google Play当中。本案中的Joker恶意软件以广告欺诈为目标,在受害者不知情的情况下与他们签订了昂贵的短信服务。好消息是,Google发现了这个应用,并将其从Google Play商店中删除,但它已经被下载至少5000次。 对于利用热度的非官方应用程序,无论是游戏、电影还是电视节目,最好都要保持警惕。之前《赛博朋克2077》的”移动版”在游戏推出后不久就被发现是勒索软件。   (消息及封面来源:cnBeta)
2021年10月22日 09:38hackernews.cc
据两位知情人士透露,针对日本科技巨头奥林巴斯(Olympus)的“持续”网络攻击是由一家俄罗斯恶意集团发起的,而该集团正被美国政府制裁。10 月 10 日发起的攻击中使用了名为 Macaw 的恶意软件新变种,将奥林巴斯在美国、加拿大和拉美的系统进行了加密。 图片来自于 WikiMedia Macaw 是 WastedLocker 恶意软件的一个新变种,而这两种恶意软件都是由 Evil Corp.创建的,这是一个总部设在俄罗斯的犯罪集团,在 2019 年受到了美国财政部的制裁。 这是该公司在几个月内遭受的第二次勒索软件攻击,此前,该公司在欧洲、中东和非洲的网络于 9 月被 BlackMatter 勒索软件攻击。(据了解,BlackMatter和Evil Corp.并无关联) 安全公司 Recorded Future 的高级威胁分析员 Allan Liska 告诉 TechCrunch:“奥林巴斯上个月被 BlackMatter 攻击,然后在一周左右后被 Macaw 攻击。Macaw 恶意软件在被黑的电脑上留下了一个赎金字条,声称已经从受害者那里窃取了数据”。 奥林巴斯在周二的一份声明中说,该公司正在调查“数据泄漏的可能性”,这是勒索软件集团的一种常见技术,被称为“双重勒索”,即黑客在加密受害者的网络之前窃取文件,并威胁说如果不支付解密文件的赎金,将在网上公布这些文件。   (消息及封面来源:cnBeta)
2021年10月21日 10:32hackernews.cc
自 21 世纪以来,微软多次在公开场合强调公司在安全方面的努力,但遗憾的是似乎仍然无法跟上当今存在的大量威胁。前微软高级威胁情报分析师凯文·鲍蒙(Kevin Beaumont)上周在个人 Twitter 上发布推文,发泄他对 OneDrive 托管恶意软件的不满。 Baumont 在推文中写道: 如果微软不能防止自己的 Office 365 平台被直接滥用于 Conti 勒索软件,那么就不应该公开宣传自己拥有 8000 名安全员工、以及是数万亿信号的安全领导者。OneDrive 的滥用现象已经持续了多年时间,请尽快修复它。 Baumont 还分享了 OneDrive 团队的报告和行动时间的收据,当联系到一个潜在的威胁时,微软的回应达到接近一个月。他在推文中写道: 比糖衣炮弹般的响应时间更令人不满的是,微软设法从其延迟的反应中获利。 有趣的是,微软消费了你的API,并在他们的安全产品中使用它来阻止你名单上的东西(我是做这个的团队成员),但没有人愿意清理网络。所以被坑了吧,非E5。 作为一名前高级威胁情报分析师,博蒙特也对竞争对手的做法提出了一些见解,其他公司也存在这样的问题。根据第三方分析公司 Abuse.ch 的数据,虽然微软在托管恶意软件的平台中排名前三,但 Google 和 Discord 位居榜首,Slack 和 Pastebin 也位居前五。恶意软件的问题并不仅限于微软,但 Baumont 的批评使该公司不断挣扎的问题变得更加突显。 微软承认 Baumont 的观点,并同意它将需要调查进一步的改进,以更好地应对和防止其产品中的恶意软件。微软表示: 滥用云存储是一个全行业的问题,我们一直在努力减少使用微软的服务来造成伤害。我们正在调查进一步的改进,以防止和快速应对本报告中列出的滥用类型。我们继续鼓励客户在网上养成良好的计算习惯,包括在点击网页链接、打开未知文件或接受文件传输时谨慎行事,我们也鼓励客户使用此表格报告滥用行为。 然而,作为一个全行业的云存储问题,该公司还需要与其他公司合作,提出更多永久性的解决方案。   (消息及封面来源:cnBeta)
2021年10月21日 10:12hackernews.cc
据外媒报道,暗网仍然活着,而且变得比以前更危险。新研究强调了被盗数据的价值和一般网络犯罪行为在过去六年中是如何演变的。近日,云安全公司Bitglass通过发明了一个出售登录和密码数据的虚构身份重现了2015年的一个数据追踪实验。 然后,研究人员在几个暗网市场上发布了这些信息并通过提供对假文件的访问来吸引用户,据悉,这些文件可以访问零售、政府、游戏和媒体领域的组织。 插入文件的水印技术使Bitglass能从访问它的用户那里追踪数据从而收集暗网的当前趋势。研究结果非常有意思。总体而言,跟六年前相比,今天被盗数据在暗网上的传播速度快了11倍。 2021年,漏洞数据的浏览量超过13200次,比2015年的1100次大幅增加。这一激增代表的是1100%的增长,这清楚地表明了地下平台如何成为网络犯罪分子的一个更受欢迎的目的地。 2015年达到1100次链接浏览所需的时间是12天。而在2021年,目标在访问假数据方面明显更快,因为它们只用了不到24小时的时间。 被盗数据的下载地点显示,美国是网络犯罪分子的第二大发源地。前三名另外两个是肯尼亚和罗马尼亚。 研究还发现,目标对零售和美国政府网络数据表现出浓厚的兴趣。这两个类别收到的点击率最高,分别为37%和32%。这并不令人惊讶,因为潜在的赎金可以为这些领域带来巨大的利润。 零售网络自然是攻击者的重中之重,因为他们可以分发赎金软件并从大型企业中提取报酬。同样,美国政府的数据也同样具有价值,因为黑客–国家支持的或个人–可以将这些信息出售给其他国家。 此外,暗网中的活动也变得更加繁忙。根据该研究,2021年暗网的匿名浏览者总数达到93%,跟2015年的67%相比,有明显的上升。 Bitglass强调,网络犯罪分子在很大程度上逃避了起诉网络犯罪的法律,因为他们在掩盖自己的踪迹方面变得更加有效。 来自企业和组织的网络安全努力还不能充分地防止攻击。此外,由于执法部门越来越重视追踪恶意行为者,该公司预计他们会继续利用匿名VPN和代理来躲避当局。 “在比较这次最新的实验结果和2015年的实验结果时,很明显,暗网的数据传播得更远、更快,”Bitglass威胁研究小组的负责人Mike Schuricht说道,“我们预计,数据泄露的数量不断增加以及网络犯罪分子有更多的渠道使流出的数据赚钱,这些会导致人们对暗网被盗数据的兴趣和活动增加。” 根据微软公布的数据,暗网用户可以以低于5
2021年10月20日 17:31hackernews.cc
在今天的一条短推文中,漏洞悬赏公司Zerodium表示,他们正在征集零日漏洞,针对市场上三家流行的虚拟专用网(VPN)服务提供商。 VPN服务通过提供商的服务器运行连接,允许用户隐藏其IP地址访问互联网上的资源, 这种路径使第三方更难跟踪用户的在线活动,保护了互联网上的隐私。 针对Windows的VPN客户端 Zerodium目前关注的是影响Windows客户端NordVPN、ExpressVPN和SurfShark VPN服务的漏洞。它们共同服务着数百万用户,据报道,前两家公司声称全球至少有1700万用户。 根据这三家公司网站上的数据,它们管理着分布在数十个国家的1.1万多台服务器。 Zerodium今天发布的公告呼吁找出可能泄露用户信息、IP地址和可用于实现远程代码执行的漏洞。Zerodium不想要的是本地权限升级漏洞。 BleepingComputer联系了这三家VPN服务提供商,希望就Zerodium的声明发表评论,但在发布时没有收到回复。 Zerodium的客户群体由政府机构组成,主要来自欧洲和北美,这些机构需要先进的零日漏洞和网络安全能力。 Zerodium声明背后的原因尚不清楚,但其中一个动机可能是,政府客户需要一种方法来识别隐藏在VPN服务背后的网络犯罪活动。 NordVPN和Surfshark过去曾被攻击者使用。 去年,美国联邦调查局(FBI)警告说,伊朗黑客利用NordVPN服务进行虚假的骄傲男孩(ProudBoy)行动。 最近的一个例子是美国国家安全局(NSA)今年警告说,俄罗斯黑客通过TOR和VPN服务(其中包括Surfshark和NordVPN)对Kubernetes服务器发起了暴力破解攻击。 Zerodium公司表示,其业务遵循道德规范,根据严格的标准和审查程序选择客户;而且只有一小部分政府客户能够获得已有的零日研究。 今年早些时候,Zerodium宣布暂时增加对Chrome漏洞的悬赏。Zerodium提供了100万美元,用在可将RCE与SBX链接起来的漏洞。 在Chrome有关的漏洞中,RCE和SBX的奖金分别增加到40万美元。在撰写本文时,这些悬赏仍在进行中。 Zerodium为移动端和电脑端的任何操作系统都提供付费服务。最主要适用于Windows、macOS、LinuxBSD、iOS和Android。 BleepingComputer联系了Zerodium公司,希望获得更多关于W
2021年10月20日 16:11hackernews.cc
美国政府的一份报告发现,攻击者越来越频繁地使用先进的战术来模糊和清洗他们的非法所得。 根据美国财政部金融犯罪执法网络(FinCEN)的一份报告,价值高达52亿美元的比特币交易可能与勒索软件支付挂钩,涉及最常见的10种勒索软件变体。 该报告还研究了今年上半年与勒索软件有关的可疑活动报告(SARs),即金融机构制作的关于可疑勒索软件付款的报告。该机构表示:“上述报告显示,2021年上半年,可疑活动涉及总价值为5.9亿美元,超过了2020年全年报告的总值(4.16亿美元)。”毫不奇怪,机构分析后发现勒索软件对政府、企业和公众的威胁越来越大。 与勒索软件有关的可疑交易的平均总额为每月6600万美元;与此同时,中位平均数为每月4500万美元。根据从这些交易中获得的数据,比特币是网络犯罪分子的首选支付方式。然而,这并不是唯一的一种,因为FinCEN指出,犯罪分子越来越多地要求用门罗币(Monero)支付赎金(Monero是一种匿名加密货币)。 总共有17起与勒索软件有关的SARs涉及勒索要求使用门罗币。在某些情况下,网络罪犯同时提供比特币和门罗币地址,但是,如果使用比特币付款,他们要求额外付费。在其他情况下,攻击者最初只会要求Monero支付赎金,但经过协商后也接受比特币。 网络犯罪分子利用各种洗钱策略,包括越来越多地要求以注重隐私的加密货币付款,避免将钱包地址用于新的攻击,或单独清洗每次勒索软件攻击的收益。报告还发现,外国中央CVC交易所是攻击者兑现非法所得的首选方式。 为了掩盖数字硬币的出处,网络犯罪分子还使用了“跳链”,这一过程包括将收入转移到其他服务之前,将一个CVC与另一个CVC至少交换一次。2021年,混合服务的使用也有所增加,这些平台用于隐藏或掩盖CVC的来源或所有者。有趣的是,FinCEN观察到混合服务的使用因勒索软件的不同而不同。 勒索软件的非法收益也可以通过分散的交易所和各种其他分散的金融应用程序获得,通过将付款转换为其他形式的CVC进行洗钱。“一些DeFi应用程序允许自动对等交易,不需要账户或保管关系。FinCEN对BTC区块链上交易的分析证实,资金是间接发送到与开放协议相关的地址的勒索软件,用于DeFi应用程序。”FinCEN在描述过程时如是说。   消息来源:WeLiveSecurity,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自
2021年10月20日 10:31hackernews.cc
一项针对250多名勒索软件受害者的新调查显示,超过一半的人在过去一年中被勒索软件攻击过,69%的人说他们很可能在未来一年中至少被成功攻击一次。那些被勒索软件成功击中的人更倾向于支付费用,65%的人确实这样做了,然而,完全恢复数据的情况只占55%。当被问及支付意愿时,13%的人说他们肯定会,但只有20%的人说他们肯定不会。 这项研究是由CISOs Connect、AimPoint Group和W2 Communications进行的。 虽然支付赎金息事宁人的行为仍然是有争议的,并且是许多辩论的主题,但抛开道德和法律的争议而言,同样需要关注恢复业务运营的财务影响。这是可以理解的,因为一次攻击的总成本,包括缓解危害、恢复业务和可能的指出,数额大的可能达到数百万美元。据受访者称,勒索软件受害者有20%的机会支付超过500万美元,有5%的机会影响可能超过5000万美元。 调查中只有55个组织采取了购买勒索软件保险的措施,而且其中大多数是在较大的组织,这意味着小企业更容易受到勒索软件影响。 “我们的数据显示,虽然勒索软件的肆虐正在推动一些有关预防与应对的倡议和规划,但许多努力可能仍然是孤立的,”CISOs Connect的首席执行官兼创始人Aimee Rhodes说。”这就造成了某些领域的暴露,随着这些攻击的继续加速,可能会造成问题。根据CISO的反馈,许多人将受益于一种更全面的方法,使他们不仅为预防和检测勒索软件做好准备,而且还为可能的财务影响做好准备。” 你可以在下面的信息图中看到更多的发现。   (消息及封面来源:cnBeta)
2021年10月20日 10:31hackernews.cc
根据Bitglass的最新研究,今天暗网被盗数据的传播速度是六年前的11倍。2021年,漏洞数据的浏览量超过13200次,而2015年的浏览量为1100次,增长了1100%。在2015年,达到1100个链接浏览量需要12天 — 在2021年,通过这个里程碑需要不到24小时。 Bitglass威胁研究小组的领导人Mike Schuricht说:”我们预计,数据泄露的数量不断增加,以及网络犯罪分子有更多的渠道将渗出的数据货币化,导致人们对暗网被盗数据的兴趣和活动增加。” 在其他发现中,2021年暗网上的匿名用户数量(93%)超过了2015年(67%)。今年的实验还表明,匿名观众对零售和政府数据特别感兴趣,分别占36%和31%。在Bitglass研究人员在暗网上故意播种的所有实验用数据类型中,访问零售商和美国政府网络的数据获得的点击率最高,分别为37%和32%。 “在将这次最新的实验结果与2015年的实验结果相比较,很明显,暗网的数据传播得更远、更快,”Schuricht补充说。”不仅如此,网络犯罪分子越来越善于掩盖他们的踪迹,并采取措施来逃避起诉网络犯罪的执法工作。不幸的是,企业保护数据的网络安全工作没有跟上步伐,关于最新数据泄露事件的头条新闻不断涌现就是证明。正如我们六年前建议各组织,他们必须使用最佳做法和新技术来保护他们的数据。”   (消息及封面来源:cnBeta)
2021年10月20日 10:11hackernews.cc
电子科技巨头宏碁(Acer)披露了其在印度的售后服务系统在一次孤立攻击后遭受的安全漏洞,这是今年该公司主动披露的第二次网络安全事件,公司透露,其在印度的售后服务系统遭到孤立攻击。该事件是在威胁行为者在一个地下网络犯罪论坛上发布销售超过60 GB数据的广告后披露的。 以下是该公司与媒体分享的声明: “我们最近检测到我们在印度当地的售后服务系统受到孤立攻击。此事一经发现后,我们立即启动了安全预案并对我们的系统进行了全面扫描。我们正在通知印度所有可能受影响的客户。该事件已报告给当地执法部门和印度计算机应急响应小组,对我们的运营和业务连续性没有重大影响。” 宏碁企业传播部的 Steven Chung 告诉媒体。 攻击者分享了一个指向被盗文件和数据库的链接,被盗信息包括来自印度的宏碁零售商和分销商的客户数据、财务信息、登录详细信息。攻击者还在地下交易论坛发布了一段视频,展示了被盗文件的数据库。 这是Acer今年第二次遭遇网络安全问题,今年3月,这家计算机巨头遭到 REvil 勒索软件运营商的攻击,该运营商破坏了其系统并要求支付创纪录的 50000000 美元赎金。   (消息及封面来源:cnBeta)
2021年10月19日 16:11hackernews.cc
一个不为人知的国家支持的攻击者正在部署一套新的工具,以攻击南亚的电信供应商和IT公司。 Symantec的研究人员发现了这一组织,并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。 Harvester的恶意工具以前从未发现过,这表明这是一个新出现的攻击者。 “Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具,该攻击始于2021年6月,最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。 “这些工具的能力,它们的定制开发,以及目标受害者,都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。 以下是Harvester在攻击中使用的工具: Backdoor.Graphon ——自定义后门,它使用微软的基础设施进行C&C活动 自定义下载程序——使用微软的基础设施为其C&C活动服务 自定义屏幕快照——定期记录屏幕截图到一个文件 Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件) Metasploit——一个现成的模块化框架,可用于完成感染机器上的各种恶意目的,包括特权升级、屏幕捕获、设置持久后门等。 巧妙的技巧和安全的通讯 虽然Symantec的分析师无法找出最初的感染载体,但有一些证据表明,有人使用了恶意URL。 Graphon为攻击者提供了对网络的远程访问,它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。 一个有趣的地方是自定义下载器的工作方式,它在系统上创建必要的文件,为新的加载点添加注册表值,最终在hxxps://usedust[.]com打开嵌入式web浏览器。 虽然这似乎是获取Backdoor.Graphon的地方,参与者只是使用URL作为诱饵,来制造混淆。 自定义截图工具从桌面捕获照片,并将它们保存到一个密码保护的ZIP档案,通过Graphon导出。每个ZIP保存一周,任何比这个时间更久的文件都会被自动删除。 Symantec警告说,Harvester仍然活跃,目前主要针对阿富汗的组织。 尽管研究人员能够对这个新群体的工具进行取样,但他们
2021年10月19日 11:51hackernews.cc
Lyceum是一个已为人知的黑客组织,与针对中东组织的攻击有关,如今它带着新的恶意软件和策略重新露面,而这个策略与一个在伊朗运作的危险的APT组织所使用的相似。 卡巴斯基的安全研究人员表示,他们观察到新的Lyceum活动集中在突尼斯的两个实体。卡巴斯基对攻击的分析显示,Lyceum的恶意软件已经从以前的PowerShell脚本和基于.NET的远程管理工具DanBot演变为用c++编写的新恶意软件。 卡巴斯基根据他们在这个恶意代码中经常遇到的名字,将这种新的恶意软件分成了两组变种,一组叫詹姆斯,另一组叫凯文。这两种新的变种——像DanBot那样——都被设计成通过安全的DNS和HTTP隧道与它们的命令和控制服务器通信,这使得恶意活动难以被检测。 除了新的詹姆斯和凯文恶意软件变种,卡巴斯基还观察到Lyceum在其最近的攻击中使用了另一个工具,该工具似乎不包含任何网络通信机制。该公司推测,恶意软件可能是设计用来代理一个已经被泄露的网络内部系统之间的流量。Lyceum的工具包中还新增了一个PowerShell脚本,用于从浏览器中窃取用户凭证,以及一个自定义键盘记录器,看起来似乎是为相同目的设计的。 卡巴斯基在一份总结本周Lyceum活动的报告中表示,“我们对Lyceum的调查显示,该组织多年来已经发展了自己的武器库,并将其使用在新的工具上。” Lyceum首次出现被发现是在2019年8月,当时Secureworks报告称,观察到该集团针对中东石油、天然气和电信行业的组织。Secureworks称,该威胁组织可能至少从2018年4月开始就活跃了,与Lyceum相关的攻击是基于域名注册,专注南非目标。 Secureworks表示,其调查显示,Lyceum通常利用之前通过密码喷溅或暴力破解获得的账户凭证,获得进入目标网络的初始权限。该组织的战术、技术和程序(TTPs)与其他组织的战术、技术和程序相似,那些组织专注于具有重要战略意义的中东目标,如OilRig (APT34)和Cobalt Trinity (APT33和Elfin)。然而,Secureworks指出,这些相似之处还不足以证明Lyceum与其他威胁组织之间存在直接联系。 卡巴斯基本周重申了这些相似之处,但与Secureworks一样,他没有将Lyceum的活动与此前已知的伊朗威胁分子的活动直接联系起来。据该公司分析,Lyceum的活动与另一个名为DNSpionage的
2021年10月19日 10:31hackernews.cc
据外媒The Record报道,一名黑客入侵了阿根廷政府的IT网络并盗取了该国全部人口的身份证信息,这些数据现在正在私人圈子里出售。上月发生的黑客攻击目标是RENAPER,即Registro Nacional de las Personas,翻译过来就是国家人员登记处。 该机构是阿根廷内政部的一个关键部门,它的任务是向所有公民发放国家身份证,另外它还以数字格式存储数据以作为其他政府机构可以访问的数据库并成为大多数政府查询公民个人信息的骨干。 足球运动员梅西和塞尔希奥·阿圭罗的数据在Twitter上被泄露 本月初,一个名为@AnibalLeaks的新注册账号在Twitter上公布了44位阿根廷名人的身份证照片和个人详细资料,这是有人入侵RENAPER的第一个证据。 这包括该国总统阿尔贝托·费尔南德斯、多名记者和政治人物的详细信息,甚至包括足球巨星梅西和塞尔希奥·阿圭罗的数据。 该名黑客在图片和个人信息在Twitter上公布一天后还在一个知名的黑客论坛上发布广告以提供查询任何阿根廷用户的个人信息的服务。 面对Twitter泄密事件后媒体的退缩,阿根廷政府在三天后确认了安全漏洞。 该国内政部在10月13日的一份新闻稿中指出,其安全团队发现,分配给卫生部的一个VPN账户被用来查询RENAPER数据库的19张照片,就发生在这些照片在社交网络Twitter上发布的那一刻。 官员们还补充称,“(RENAPER)数据库没有遭受任何数据泄露或泄漏,当局目前正在调查8名政府雇员在泄漏事件中可能扮演的角色。 黑客拥有一份数据副本并计划出售和泄露数据 The Record在联系了在黑客论坛上租借RENAPER数据库的个人后了解到,黑客他们还拥有一份RENAPER数据的副本,这跟阿根廷政府的官方声明相矛盾。 这个人通过提供The Record选择的一位阿根廷公民的个人资料–包括高度敏感的Trámite号码–证明了他们的声明。 “也许几天后我就会公布100万或200万人口的(数据),”RENAPER黑客于今天早些时候告诉这家媒体。另外他们还表示,他们计划继续向所有感兴趣的买家出售这些数据的访问权。 当The Record分享了政府新闻稿的链接–其中官员将入侵归咎于可能受到损害的VPN账户时,黑客只是回答称“是粗心的员工所为”,这间接确认了进入点。 根据黑客在网上提供的样本,他们现在能接触到的信息包括全名、
2021年10月19日 09:51hackernews.cc
英国的九所学校已经开始使用面部识别来验证儿童的校餐付款,苏格兰北艾尔郡的学校声称,使用该技术比使用卡片或指纹扫描仪付款更快、更卫生,但隐私倡导者警告说,此举正在使得生物识别监控正常化。 “有了面部识别技术,学生只需选择他们的饭菜,看着摄像头就可以走了,这使得午餐服务更快,同时消除了在销售点的任何接触,”学校发给家长的传单上写道。一份常见问题解答说,儿童的生物识别数据是以加密形式存储的,并在儿童离开学校时删除。不过,家长可以选择让孩子使用该技术,也可以使用密码来验证付款。 负责安装该技术的公司CRB Cunninghams的总经理大卫-斯旺斯顿告诉《金融时报》,面部识别将每个学生的付款时间平均缩短到5秒。斯旺斯顿说,该系统的试点已于2020年开始,还有65所学校已签约引进该技术。 据英国《金融时报》报道,北艾尔郡议会声称,97%的儿童或家长都同意加入。但一些家长表示,他们不确定孩子们是否完全理解他们所签署的内容,并受到同伴压力的影响。 在报名前,学校向家长分发了一份解释该技术的传单 各种类型的面部识别系统在世界各地越来越普遍。美国的学校多年来一直在安装这种系统,不过通常是作为一种安全措施。上周,莫斯科在其地铁系统中引入了面部识别支付,活动人士警告说,该技术可能被用来追踪和识别抗议者。美国的多个州和城市已经禁止面部识别,认为该技术经常在种族或性别方面存在偏见。在欧盟,政治家和宣传团体也在呼吁禁止这项技术,认为引进这项技术的弊端超过了潜在的好处。 英国运动团体Big Brother Watch的Silkie Carlo告诉《金融时报》,北艾尔郡学校的计划是不必要的。卡洛说:”这是将生物识别身份检查常态化,以用于一些平凡的事情。你不需要借助机场式的[技术]来让孩子们获得他们的午餐。”   (消息及封面来源:cnBeta)
2021年10月18日 17:10hackernews.cc
在一个不明身份的人劫持了他们的Tor支付门户网站和数据泄露博客后,REvil勒索软件可能再次关闭。 17日早些时候, Tor网站下线了,一名与REvil勒索软件有关的威胁行为者在XSS黑客论坛上发帖称有人劫持了REvil团伙的域名。 这个帖子最先是被Recorded Future的Dmitry Smilyanets发现的,并声称一个未知的人劫持了Tor隐藏服务(洋葱域),他们使用的私钥与REvil的Tor网站相同,并且很可能有这些网站的备份。 “今天莫斯科时间中午12点10分,有人使用与我们相同的密钥,打开了隐藏的着陆服务和一个博客,我的担心得到了证实——第三方有洋葱服务密钥备份。一个名为“0_neday”的威胁行为者在黑客论坛上发帖。 此人还说,他们没有发现他们的服务器受到威胁的迹象,但仍将关闭操作。 然后,此人让组织通过Tox联系他,获取活动解密密钥,可能是为了让组织继续勒索受害者,并继续沿用赎金换取解密器的模式。 XSS论坛话题:关于REvil网站被劫持 要启动Tor隐藏服务(一个洋葱域),需要生成一个私有和公共密钥对,用于初始化服务。 私钥必须是安全的,并且只有受信任的管理员可以访问,因为任何访问此私钥的人都可以使用它在自己的服务器上启动相同的洋葱服务。 由于第三方能够劫持域名,这意味着他们也可以访问隐藏服务的私钥。 17日晚上,0_neday再次发布了黑客论坛的话题,但这次说他们的服务器被入侵了,做这件事的人的目标是REvil组织。 论坛上的帖子说REvil服务器遭到破坏 目前还不知道是谁泄露了他们的服务器。 由于Bitdefender和执法部门获得了REvil主解密密钥的访问权,并发布了一个免费的解密器,一些威胁行为者认为,自从这些服务器重新启动以来,FBI或其他执法部门已经可以访问这些服务器。 由于没有人知道Unknown(REvil公开代表)身上发生了什么,有可能是威胁行为者试图重新控制操作。 在REvil通过Kaseya MSP平台上的一个零日漏洞对企业进行大规模攻击后,REvil的业务突然关闭,其面向公众的代表Unknown也消失了。 之后,Unknown没有再次出现,其余的REvil运营商使用备份在9月再次启动了该操作和网站。 从那时起,勒索软件就一直在努力招募用户,甚至将附属公司的佣金提高到90%,以吸引其他威胁行为者与他们合作。 由于这次最新的不幸事件,该论坛的运作可能会永远消失。 然而
2021年10月18日 10:10hackernews.cc
根据美国财政部公布的最新报告,2021 年上半年勒索事件支付的赎金总额将近 6 亿美元,轻松超过了 2020 年全年的总额。该报告由财政部金融犯罪执法网络周五发布,重点提及了今年发生了几起高调的勒索软件攻击事件,包括 Colonial Pipeline 和肉类加工厂 JBS USA Holdings。 两家公司都支付了数百万美元的赎金,但攻击仍然造成了暂时的破坏,由于公司失去了对其供应的控制,推高了汽油和肉类的价格。 根据周五的报告,该报告基于银行和其他金融机构提交的可疑活动报告的数据,1 月至 6 月期间报告的疑似勒索软件付款总额为 5.9 亿美元。相比之下,2020 年全年报告的疑似付款价值共计 4.16 亿美元。 财政部表示,这一增长可能反映了与勒索软件有关的攻击的大幅增加,以及金融机构对这些攻击的检测和报告的改进。它指出,与 2020 年整个日历年相比,与勒索软件相关的可疑活动报告的数量也上升了 30%,达到 635 份。 如果这些报告趋势继续下去,财政部表示,它预计 2021 年可疑的勒索软件付款总额将超过前 10 年的总和。   (消息及封面来源:cnBeta)
2021年10月18日 09:50hackernews.cc
一个流传了6个月的骗局已经发展到影响iOS用户。黑客利用社交媒体、约会应用程序、加密货币和滥用苹果公司企业开发者计划,从毫无戒心的受害者那里盗取了至少140万美元。 名为CryptoRom欺诈的实施相当直接,在通过社交媒体或现有数据应用程序获得受害者的信任后,用户被愚弄安装一个修改版的加密货币交易所,诱使其投资,然后被骗走现金。 在通过约会应用程序获得受害者的信任后,骗子开始讨论加密货币投资问题。然后,他们被引导到一个看起来像苹果应用商店的网站,然后被告知下载一个移动设备管理程序,让他们控制一些功能,并能够使用由骗子制作的签名应用程序。 在回到假的App Store网页后,毫无戒心的用户会被提示下载一个通过苹果企业配置或超级签名分发方式,用与移动设备管理配置文件证书签名相关的应用程序。该应用程序是Bitfinex加密货币交易应用程序的一个假版本。 然后,受害者被说服向一种加密货币进行小额投资作为概念证明,并被允许提取利润。当进行更多的存款之后,受害者发现无法提现,并被攻击者告知,要么就把钱拿给自己,要么就必须进行更多的投资,或者必须交税才能把钱取出来。 来自Sophos的一份报告详细说明了资金损失的数量。具体来说,一名受害者损失了约87000美元,其他报告发现损失45000美元和25000美元。研究人员发现,有一个比特币地址被转入了不到140万美元。鉴于该欺诈计划可能有多个地址在使用,受害者损失金钱的数字可能更高。   (消息及封面来源:cnBeta)
2021年10月15日 17:28hackernews.cc
一个流传了6个月的骗局已经发展到影响iOS用户。黑客利用社交媒体、约会应用程序、加密货币和滥用苹果公司企业开发者计划,从毫无戒心的受害者那里盗取了至少140万美元。 名为CryptoRom欺诈的实施相当直接,在通过社交媒体或现有数据应用程序获得受害者的信任后,用户被愚弄安装一个修改版的加密货币交易所,诱使其投资,然后被骗走现金。 在通过约会应用程序获得受害者的信任后,骗子开始讨论加密货币投资问题。然后,他们被引导到一个看起来像苹果应用商店的网站,然后被告知下载一个移动设备管理程序,让他们控制一些功能,并能够使用由骗子制作的签名应用程序。 在回到假的App Store网页后,毫无戒心的用户会被提示下载一个通过苹果企业配置或超级签名分发方式,用与移动设备管理配置文件证书签名相关的应用程序。该应用程序是Bitfinex加密货币交易应用程序的一个假版本。 然后,受害者被说服向一种加密货币进行小额投资作为概念证明,并被允许提取利润。当进行更多的存款之后,受害者发现无法提现,并被攻击者告知,要么就把钱拿给自己,要么就必须进行更多的投资,或者必须交税才能把钱取出来。 来自Sophos的一份报告详细说明了资金损失的数量。具体来说,一名受害者损失了约87000美元,其他报告发现损失45000美元和25000美元。研究人员发现,有一个比特币地址被转入了不到140万美元。鉴于该欺诈计划可能有多个地址在使用,受害者损失金钱的数字可能更高。   (消息及封面来源:cnBeta)
2021年10月15日 12:08hackernews.cc
Google发布了一份新的勒索软件报告,以色列是在此期间最大的样本提交者。这家科技巨头委托网络安全公司VirusTotal进行分析,这需要审查来自140个国家的8000万个勒索软件样本。根据该报告,以色列、韩国、越南、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国等国家是根据VirusTotal审查的提交数量确定的10个最受影响的地区。 从2020年开始,勒索软件活动在2020年的前两个季度达到高峰,VirusTotal认为这是因为勒索软件即服务组织GandCrab的活动。 “GandCrab在2020年第一季度有令人担忧的高峰,之后急剧下降,但它仍然活跃,但就新鲜样本的数量而言,处于不同的数量级,”VirusTotal说。 2021年7月还有一个相当大的高峰,是由Babuk勒索软件团伙推动的,这是一个在2021年初发起的勒索软件行动。Babuk的勒索软件攻击通常具有三个不同的阶段。初始访问,网络传播,以及对目标采取行动。 GandCrab是自2020年初以来最活跃的勒索软件团伙,占样本的78.5%。GandCrab之后是Babuk和Cerber,它们分别占样本的7.6%和3.1%。 根据该报告,检测到的95%的勒索软件文件是基于Windows的可执行文件或动态链接库(DLLs),2%是基于Android的。该报告还发现,基于漏洞的勒索软件攻击只占样本的一小部分:5%。 VirusTotal说:”鉴于勒索软件样本通常使用社会工程和/或droppers(旨在安装恶意软件的小程序)来部署,我们认为这是有道理的。就勒索软件的传播而言,除了特权升级和恶意软件在内部网络中传播外,攻击者似乎不需要利用特定的漏洞。” 阅读报告全文: https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf   (消息及封面来源:cnBeta)
2021年10月15日 10:08hackernews.cc
一个流传了6个月的骗局已经发展到影响iOS用户。黑客利用社交媒体、约会应用程序、加密货币和滥用苹果公司企业开发者计划,从毫无戒心的受害者那里盗取了至少140万美元。 名为CryptoRom欺诈的实施相当直接,在通过社交媒体或现有数据应用程序获得受害者的信任后,用户被愚弄安装一个修改版的加密货币交易所,诱使其投资,然后被骗走现金。 在通过约会应用程序获得受害者的信任后,骗子开始讨论加密货币投资问题。然后,他们被引导到一个看起来像苹果应用商店的网站,然后被告知下载一个移动设备管理程序,让他们控制一些功能,并能够使用由骗子制作的签名应用程序。 在回到假的App Store网页后,毫无戒心的用户会被提示下载一个通过苹果企业配置或超级签名分发方式,用与移动设备管理配置文件证书签名相关的应用程序。该应用程序是Bitfinex加密货币交易应用程序的一个假版本。 然后,受害者被说服向一种加密货币进行小额投资作为概念证明,并被允许提取利润。当进行更多的存款之后,受害者发现无法提现,并被攻击者告知,要么就把钱拿给自己,要么就必须进行更多的投资,或者必须交税才能把钱取出来。 来自Sophos的一份报告详细说明了资金损失的数量。具体来说,一名受害者损失了约87000美元,其他报告发现损失45000美元和25000美元。研究人员发现,有一个比特币地址被转入了不到140万美元。鉴于该欺诈计划可能有多个地址在使用,受害者损失金钱的数字可能更高。   (消息及封面来源:cnBeta)
2021年10月14日 09:48hackernews.cc
据称,一名妇女入侵了佛罗里达州一家飞行培训学校的系统,删除并篡改了与该校飞机有关的信息。根据一份警方报告,在某些情况下,以前有维修问题的飞机被 “批准 “飞行。据该学校的首席执行官说,黑客攻击可能使飞行员处于危险之中。 这位名叫劳伦-利德的女性,曾经在墨尔本飞行培训学校工作,在2019年11月底,公司解雇了她的父亲后,她辞去了飞行操作经理的职务。根据Motherboard网站获得的法庭记录,几个月后她黑进了前公司的系统,删除和更改记录,显然是为了报复她的前雇主。 墨尔本飞行培训公司的首席执行官德里克-法伦于2020年1月17日报警,称五天前他登录了自己的Flight Circle账户,这是一个公司用来管理和跟踪飞机的应用程序,并发现有信息丢失。德里克-法伦发现,有人删除了与有维修问题飞机有关的记录,检查的提醒也都被删除了。这意味着可能不安全的飞机被故意变成了适航。 德里克-法伦随后停飞了所有航班。根据该文件,五天后,德里克-法伦报警并指控汉普顿-利德和他的女儿劳伦是黑客的幕后黑手。警方调查人员随后获得了用于访问该账户IP地址的相关信息,并发现它属于汉普顿-利德。调查人员还传唤了Google,以获取用于登录Flight Circle应用程序的Gmail账户信息,并发现该电子邮件地址属于一个名字为”Lides”的用户。根据该文件,汉普顿-利德后来告诉调查人员,这就是他们家的电子邮件地址。 最终,调查员说,他们相信劳伦-利德使用墨尔本飞行培训公司目前的飞行操作经理账户来篡改系统。目前还不清楚她涉嫌如何获得他的密码。劳伦-利德被指控犯有一项欺诈性使用计算机罪,以及两项未经授权进入计算机系统或网络的罪名。   (消息及封面来源:cnBeta)
2021年10月13日 11:47hackernews.cc
荷兰当局向一家DDoS网站的十多名客户发出了最后通牒,通知他们,如果继续网络攻击将被起诉。 荷兰警方的信件旨在减少网络犯罪,并引导罪犯采用合法手段来提高他们的技能。 周一,29名荷兰公民收到了警方的信件,并得知他们的犯罪活动已经被记录,未来的犯罪行为可能会被定罪。 “我们已经在我们的系统中标记了你,现在你将收到最后的警告。如果以后再出现类似情况,我们将予以起诉。在这种情况下,你不仅要考虑你的设备没收,还要考虑可能的定罪、犯罪记录”——荷兰警方 上述所有人都是minesearch.rip的使用者,minesearch.rip这个所谓的booter网站可以帮助用户对他们选择的目标发起DDoS攻击。 警方是在2020年开始调查该网站后得知他们的活动,此前,一个游戏服务器遭到了DDoS攻击,该攻击正是通过minsearch .rip网站进行的。 该服务被用于对私营和公共部门的数十个目标发起了DDoS攻击。 该网站现已关闭,调查仍在进行中。 去年7月30日,荷兰警方搜查了涉嫌参与该网站的两名19岁青年的家。三个月前,警方在一周内关停了15个booter网站。 周一寄出的29封信件不具备任何法律效应,而是作为对收信人的最后警告。警方的这一举措旨在纠正这些罪犯,引导他们选择合法途径,多多锻炼IT技能来提高知识水平,减少参与违法行为而引火烧身。 无论是电脑黑客,视频游戏,还是网络犯罪,荷兰警方提供了多种测试程序(详情参考),让年轻人可以找到挑战,引导他们远离非法活动。 三年前,由荷兰和英国警方发起的Hack_Right项目开始在被判有网络犯罪行为的年轻人中进行实验,目的是改变他们的生活,坚守法律正确。 在英国,英国国家犯罪局(National Crime Agency)负责协调Cyber Choices项目,该项目旨在“帮助人们做出明智的选择,并以合法的方式使用他们的网络技能。” 今年早些时候,为了阻止人们选择从事网络犯罪,荷兰警方开始在俄语和英语的黑客论坛上发布警告,称他们“将不遗余力地追踪那些网络犯罪者。”   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021年10月13日 11:07hackernews.cc
数日前,微软发布了年度《Digital Defense Report》,指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天,这家科技巨头再次发布了一份咨询报告,称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。 图片来自于微软 微软发现的最新恶意活动集群目前被称为 DEV-0343。该公司将这一命名方式分配给一个发展中的集群,其身份尚未得到确认。一旦对他们的身份达到足够高的信任度,这个 ID 就会被改变为一个被命名的威胁行为者的 ID。 截至目前,DEV-0343 的目标似乎是美国和以色列的国防公司、在中东有业务的全球海上运输公司以及波斯湾的入境港口。它的攻击方法包括对 Office 365 订阅用户进行密码喷洒(Password Spraying),这显然意味着具有多因素认证(MFA)的账户对它有弹性。微软表示,超过 250 个订阅用户成为攻击目标,但只有不到 20 个租户被成功入侵。目前受影响的客户已经被告知。 微软将这一活动与伊朗联系起来的一些理由如下。 根据生活模式分析,这一活动可能支持伊朗伊斯兰共和国的国家利益,与伊朗行为者在地理和部门目标上的广泛交叉,以及与源自伊朗的另一行为者在技术和目标上的一致性。 微软公司评估说,这种目标定位支持伊朗政府跟踪对手的安全服务和中东地区的海上航运,以加强他们的应急计划。获得商业卫星图像和专有的航运计划和日志可以帮助伊朗弥补其发展中的卫星计划。 鉴于伊朗过去对航运和海上目标的网络和军事攻击,微软认为这一活动增加了这些行业的公司的风险,微软鼓励这些行业和地理区域的客户审查本博客中分享的信息,以防御这一威胁。 微软强调,DEV-0343 已经继续发展,并使用 Tor IP 地址来隐藏其运营基础设施。微软建议企业注意在 UTC 时间 4:00:00 至 11:00:00 之间来自模拟 Firefox 或 Chrome 浏览器的 Tor IPs 的大量入站流量,列举 Exchange ActiveSync 或 Autodiscover 端点,使用后者来验证账户和密码,以及利用密码喷雾工具,如 o365spray。 微软建议客户也使用 MFA 和无密码解决方案,如Microsoft Authenticator,审查Exchange Online访问策略,并尽可能阻止来自匿名服务的流量。该公司还为Microsoft 365 Defender和Azure Sen
2021年10月13日 11:07hackernews.cc
微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务(DDoS)攻击。这次攻击针对欧洲的一个Azure客户,比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量,这是在去年针对亚马逊网络服务的攻击。 微软表示,这次攻击持续了10多分钟,短暂的流量爆发峰值为2.4Tbps,随后下降到0.55Tbps,最后回升到1.7Tbps。DDoS攻击通常用于迫使网站或服务脱机,这要归功于网络主机无法处理的大量流量。它们通常是通过僵尸网络进行的,僵尸网络是一个使用恶意软件或恶意软件进行远程控制的机器网络,Azure能够在整个攻击过程中保持在线,这要归功于它吸收数十Tbit DDoS流量攻击的能力。 “攻击流量来自大约7万个来源,包含来自亚太地区的多个国家,如马来西亚、越南、日本等国家以及美国本土,”微软Azure网络团队的高级项目经理Amir Dahan解释说。 虽然2021年Azure上的DDoS攻击数量有所增加,但在8月最后一周的这次2.4Tbps攻击之前,最大攻击吞吐量已经下降到625Mbps。微软没有说出被攻击的欧洲Azure客户的名字,但这种攻击可以作为二次攻击的掩护,特别是在试图传播恶意软件和渗透到公司系统的过程中。 亚马逊网络服务(AWS)之前保持着最大的DDoS攻击防御的记录,也就是上面所说的2.3Tbps的尝试,超过了NetScout Arbor在2018年3月保持的1.7Tbps的前记录。   (消息及封面来源:cnBeta)
2021年10月13日 10:07hackernews.cc
BlackTech是一个网络间谍组织,在2018年前后对日本发起攻击活动。近日,研究人员发现了BlackTech可能使用的恶意软件Gh0stTimes。 研究人员在受Gh0stTimes感染的服务器上还发现了其他恶意软件,如下载器、后门程序、ELF Bifrose和攻击工具。这些工具可能会也被BlackTech组织使用。研究人员此次的研究说明BlackTech攻击组织依然活跃,且使用了更多的工具。       更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1737/       消息来源:JPcert,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2021年10月12日 14:46hackernews.cc
微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一个恶意活动群体,跟踪为DEV-0343,它的目标是美国和以色列国防技术公司的Office 365租户。 攻击者针对目标组织发起了大规模的密码喷洒攻击,这一恶意活动于2021年7月首次被发现。 “DEV-0343是微软威胁情报中心(MSTIC)于2021年7月下旬首次观察并开始跟踪的一个新的活动群体。MSTIC观察到DEV-0343对250多家Office 365租户进行了大量的密码喷洒攻击,重点是美国和以色列的国防技术公司、波斯湾的入境港口,或在中东有业务存在的全球海运公司。”“虽然只有不到20家目标租户被成功攻击,但DEV-0343在继续改进他们的攻击技术。”微软发布的这篇帖子写道。 微软补充说,对于启用了多因素身份验证(MFA)的Office 365账户的密码喷洒攻击并未生效。 DEV-0343主要针对防务公司,这些公司支持美国、欧盟和以色列政府合作伙伴并产出军用雷达、无人机技术、卫星系统和应急响应通信系统。 微软研究人员表示,这一活动与德黑兰的利益一致,而且其ttp与另一个与伊朗有关的攻击者的类似。 “进一步的活动目标包括地理信息系统(GIS)、空间分析、波斯湾的区域入境港口以及几家专注于中东业务的海运和货物运输公司。”报告补充道。 研究人员推测,攻击者的目的是获取商业卫星图像和专有航运计划和日志,这些信息可以让伊朗政府补充其正在发展的卫星计划。 DEV-0343背后的威胁行动者利用一系列精心设计的Tor IP地址来混淆他们的基础设施。 “DEV-0343模拟火狐浏览器,使用托管在Tor代理网络上的IP进行大量的密码喷洒攻击。他们最活跃的时间是周日和周四,伊朗时间早上7:30到晚上8:30 (UTC 04:00:00和17:00:00),在伊朗时间早上7:30之前和晚上8:30之后活动显著减少。它们通常针对组织内的数十到数百个账户(取决于规模),并对每个账户进行数十到数千次的枚举。平均而言,针对每个组织的攻击使用了150到1000多个唯一的Tor代理IP地址。”报告继续说道。“DEV-0343执行者通常针对两个Exchange端点——Autodiscover和ActiveSync——作为他们使用的枚举/密码喷洒工具的功能。这方便了DEV-0343验证活跃账户和密码,并进一步完善他们的密码喷洒攻击行为。” 微软已经直接通知了那些被攻击
2021年10月12日 14:46hackernews.cc
上个月,美国主要韩裔美国人社区金融服务提供商之一的太平洋城市银行(Pacific City Bank,PCB)遇到了勒索软件攻击事件。 该银行向其客户发送信函,告知他们2021年8月30日发现的一个安全问题,并称这个问题已经解决。 2021年9月7日,PCB完成了对此事件的内部调查,发现勒索软件犯罪者从其系统中获得了以下数据: 贷款申请表格 W-2客户公司信息 工资及税务详情 客户公司的工资记录 报税文件 客户姓名、地址、社会保险号码 PCB尚不清楚这一事件是否影响了银行的整体客户或仅仅是一小部分客户。同时,PCB表示,客户受到的影响程度并不相同,但或多或少地遭到了数据泄露。 对于收到通知邮件的客户,银行提醒他们对未经请求的邮件保持警惕,并密切关注其银行账户和信用报告是否存在欺诈迹象。 此外,该银行还通过Equifax提供为期一年的免费信用监控和身份盗窃保护服务,并在信函中提供注册引导信息。 虽然PCB没有说出对9月事件的勒索软件组织的名字,但AvosLocker却直接自报家门,并在其数据泄露网站上发布了一条记录。 这次袭击计划在2021年9月4日进行,因此五天的间隔可能只是第一轮谈判回合的“宽限期”,在此阶段勒索犯通常避免公开声明。 这份文件最终被上传到勒索门户网站。 AvosLocker是一个较新的勒索软件组织,今年夏天公开露面,号召各种地下论坛的分支机构加入RaaS。 该团伙使用多线程勒索软件,使他们能够在攻击者手动部署有效负载的同时快速加密数据。虽然AvosLocker有一些文本和API混淆处理用以避免静态检测,但它大部分是“裸的”,并没有加密层。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  
2021年10月12日 09:46hackernews.cc
随着勒索软件和世界各地其他网络攻击的增加,系统运营商更加担心复杂的 “虚假数据注入 “攻击,即黑客向其提供虚假的数据,欺骗电脑系统和人员,使其认为操作正常。然后,攻击者扰乱了工厂关键机器的功能,导致其运行不良或故障。当安全人员意识到他们被欺骗时,为时已晚,造成了灾难性的后果。 普渡大学的Hany Abdel-Khalik想出了一个强有力的对策:使运行这些网络物理系统的计算机模型具有自我意识和自我修复能力。利用这些系统数据流中的背景噪音,Abdel-Khalik和他的学生嵌入了无形的、不断变化的、一次性使用的信号,将被动的组件变成主动的观察者。即使攻击者拥有一个完美的系统模型副本,任何试图引入伪造数据的行为都会被系统本身立即发现并拒绝,不需要人类的回应。 今天,能源、水和制造业的关键基础设施系统都使用先进的计算技术,包括机器学习、预测分析和人工智能。员工们使用这些模型来监测其机器的读数,并验证它们是否在正常范围内,即所谓的”数字双胞胎”。数据监测模型的重复模拟,帮助系统操作员确定何时出现真正的错误。但是,用于控制核反应堆和其他关键基础设施的模拟器很容易地获得。还有一个常年存在的风险是,系统内部的某个人,如果能够接触到控制模型及其数字孪生体,就可以尝试进行偷袭。 为了挫败这种策略,Abdel-Khalik和核工程专业三年级的研究生Arvind Sundaram找到了一种方法,将信号隐藏在系统不可观察的”噪声空间”中。控制模型要处理成千上万个不同的数据变量,但其中只有一小部分实际用于影响模型输出和预测的核心计算。通过稍微改变这些非必要的变量,他们的算法产生了一个信号,这样系统的各个组成部分就可以验证进来数据的真实性并作出相应的反应。   (消息及封面来源:cnBeta)
2021年10月12日 09:46hackernews.cc
乌克兰安全局(SBU)已经逮捕了一名黑客,他开发和利用了一个由超过10万个机器人组成的僵尸网络。该罪犯是一名居住在乌克兰伊万诺·弗兰科夫斯克的普里卡尔帕蒂亚地区的居民。这个庞大的机器人大军被用来触发分布式拒绝服务(DDoS)攻击或用于发送垃圾邮件。 除此以外,他还被用来通过暴力手段来窃取用户凭证,如密码,测试各种网站的弱点,为将来的网络攻击做准备,罪犯通过在线论坛和Telegram销售和接收此类攻击的命令。 SBU利用他在俄罗斯数字支付服务WebMoney上注册的账户追踪到他,这名黑客不慎在那里提供了他的真实地址。 根据《乌克兰刑法典》,该罪犯将根据”第361-1条第2部分(以创作为目的)、361-1条(为使用、分发或销售恶意软件或硬件的目的而创造,以及分发或销售),以及363-1条(干扰工作)。363-1条(通过大量传播电信信息干扰电子计算机(电脑)、自动化系统、计算机网络或电信网络的工作)”被指控。   (消息及封面来源:cnBeta)
2021年10月11日 15:46hackernews.cc
上周三,Evina的一位法国网络安全专家Maxime Ingrao发现,在Play Store最热门的新免费应用程序中,有一些恶意软件窃取了Facebook凭证和其他一些数据。他公开了自己的发现,并在Twitter上上传了详细版本。 这名研究人员在安装一个应用程序时偶然发现了该恶意软件,当该应用程序引导用户连接Facebook以使用该应用程序时,他产生了怀疑。然后他看了一眼应用程序的代码,就在这时,他发现应用程序执行命令用于检索Facebook凭证。 他发现了两个使用相同代码的应用程序,认为它来自同一个新的恶意软件组织。这两个应用程序属于同一类别:摄影应用程序。 Ingrao说:“这些请求是用亚洲/新加坡的时间戳执行的,所以攻击很有可能是来源于那里。” 一些被恶意软件感染的应用程序下载量超过50万次,包括Pix Photo Motion Edit 2021和Magic Photo Lab – Photo Editor,后者的安装量超过5万次,现已从Play Store中删除。 Maxime发现,在不同国家的Play Store,“Pix Photo Motion Edit 2021”在新应用程序排名中都是第一名,甚至在墨西哥也是第一名。这使得它在两周内的下载量达到50万次。 恶意软件启动一个webview并运行javascript命令来检索用户输入的值。然后利用api图获取账户信息。 研究员称,恶意软件检索了用户在Facebook上的信息,包括已经创建了的页面(粉丝的数量、用户讨论情况、页面评级),还检索了已经创建的广告活动(活动的状态、所花费的金额),以及用户是否注册了信用卡。   他表示:“这些信息很可能被利用,欺诈者可以在用户页面上发布广告,并利用用户的信用卡进行广告活动。” Maxime证实,威胁行为者无法窃取信用卡信息,但可以用它来攻击受害者的账户。 Maxime采取了行动,他告诉The Digital Hacker,他已经通过谷歌的报告表格说明该恶意应用程序,但谷歌还没有回应,尽管其中一款应用在他报告之前就从Play Store下架。   消息来源:TheDigitalHacker,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021年10月11日 14:46hackernews.cc
医疗设备制造商美敦力公司(Medtronic)已召回其部分胰岛素泵使用的遥控器,因为这些遥控器存在严重的漏洞,可能导致患者受伤或死亡。 攻击者可以利用漏洞来改变胰岛素泵提供给病人的剂量。 “MiniMed™远程控制器使用无线射频(RF)与胰岛素泵通信,可以在不按任何胰岛素泵按钮的情况下将一定量的胰岛素放入美敦力泵。”医疗设备供应商在发布紧急医疗设备召回通知时这样说。 “2018年5月,一名外部网络安全研究员发现了一个潜在风险,该风险与MiniMed™Paradigm™系列胰岛素泵和相应的远程控制器相关。研究人员的报告指出,如果未经授权的个人距离胰岛素泵用户较近,可以从用户的远程控制器复制无线射频信号(例如,在用户远程传送药丸的过程中),之后该个人可能会额外传送一个胰岛素泵药丸。这可能会引起潜在的健康风险,比如,如果额外的胰岛素摄入量超过了用户的胰岛素需求,就会导致低血糖,而如果胰岛素摄入量不足,就会导致高血糖。” 该公司指出,到目前为止,还没有收到任何因该问题造成的伤亡报告。 2018年8月,该公司首次向一些用户传达了召回信息,建议在不使用远程药丸传送功能时禁用该功能,防止在使用可选的远程控制器时受到网络攻击。 该公司召回MiniMed 508和Paradigm系列胰岛素泵远程控制MMT-500和MMT-503型号产品,受影响的设备占市场上胰岛素泵的60%。还好现在这两个设备都不再由供应商生产。 美国食品和药物管理局(FDA)也发布一级召回的警告。根据FDA的数据,美国召回的设备数量为31,310台。 “未经授权的人(病人、病人护理人员或医疗保健提供商以外的其他人)可能会记录和重启遥控器和MiniMed胰岛素泵之间的无线通信。这些人在专业设备帮助下,可以操控胰岛素泵向患者过量输送胰岛素,导致低血糖,或停止输送胰岛素,导致高血糖和糖尿病酮症酸中毒,甚至死亡。”FDA提醒道。“如果你从未将远程控制器ID存到设备中,那么你就不会受到这个漏洞的影响。”   消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021年10月11日 11:46hackernews.cc
国际特赦组织(Amnesty International)的一份报告称,一家印度网络安全公司与一款针对知名活动人士的安卓间谍软件程序有关。 国际特赦组织的团队进行了调查,他们证实了该公司与一起针对多哥人权维护活动人士的间谍案件有关,还观察到其在几个关键的亚洲地区部署间谍软件的迹象。 据国际特赦组织称,这款安卓间谍软件与印度网络安全公司英尼福实验室(Innefu Labs)有关联,此前该公司的一个IP地址被多次用于分发间谍软件的有效载荷。 然而,实际部署可能是Donot Team组织(APT-C-35)在执行,这是一群印度黑客,他们至少从2018年就开始以东南亚各国政府为目标。 针对多哥活动人士的攻击始于WhatsApp上一条未经请求的信息,暗示用户安装一款名为“ChatLite”的据称安全的聊天应用。 在此失败后,攻击者从Gmail账户发送了一封电子邮件,邮件中携带了一个带有标签的MS Word文件,该文件利用了一个旧的漏洞,插入间谍软件。 在ChatLite事件中,间谍软件是一个定制开发的Android应用程序,允许攻击者从设备上收集敏感数据,并获取额外的恶意软件工具。 这个通过恶意Word文档传播的间谍软件具有以下功能: 记录键盘敲击数据 定期截图 从本地和可移动存储中窃取文件 下载额外的间谍软件模块 通过分析Android间谍软件样本,国际特赦组织的调查人员发现其与Kashmir_Voice_v4.8.apk和SafeShareV67.apk有一些相似之处,而这两个恶意软件工具与过去的Donot Team组织有关。 攻击者的opsec错误让调查人员发现了美国的一个“测试”服务器,攻击者在那里存储了来自受攻击安卓手机的截图和键盘记录数据。 这是国际特赦组织第一次看到英尼福实验室的IP地址。 国际特赦组织指出,英尼福实验室可能并不知道其客户或其他第三方是如何使用其工具的。然而,在全部技术细节曝光后,外部审计人员可能会披露一切。 在一封写给国际特赦组织的信中,英尼福实验室否认与Donot Team组织和攻击者的行动有任何关联。 “首先,我们坚决否认英尼福实验室与与Donot Team组织有关的间谍软件工具以及对多哥人权维护者的攻击之间存在任何联系。正如我们在之前的信中所述,我们并不了解Donot Team组织,也与他们没有任何关系。 在你2021年9月20日的信中,提到了一部小米红米5A手机,你称该手机访问了英尼
2021年10月9日 15:45hackernews.cc
Sophos报告称,最近观察到的一次攻击使用了基于python的勒索软件变种,目标是一个组织的VMware ESXi服务器,攻击者加密了所有虚拟磁盘。 攻击者使用了自定义Python脚本,该脚本一旦在目标组织的虚拟机管理程序上执行,就会使所有虚拟机脱机。 Sophos的安全研究人员解释说,攻击者相当迅速地执行了勒索软件:在最初的攻击大约三小时后,加密过程就开始了。 初始访问时,攻击者破坏了一个没有设置多因素身份验证的TeamViewer帐户,该帐户在一个具有域管理员凭据的用户的计算机的后台运行。 Sophos解释说,攻击者在该组织所在的时区等了30分钟后登录,然后下载并执行了一个工具来识别网络上的目标,然后他们顺利找到一个VMware ESXi服务器。 凌晨2点左右,攻击者获取了一个SSH客户端登录服务器,利用ESXi服务器上的内置SSH服务ESXi Shell,该服务可在ESXi服务器上进行管理。 在首次扫描网络3小时后,攻击者登录到ESXi Shell,复制Python脚本,然后对每个数据存储磁盘卷执行该脚本,从而对虚拟机的虚拟磁盘和设置文件进行加密。 该脚本只有6kb大小,但允许攻击者使用多个加密密钥、各种电子邮件地址以及要附加到加密文件的文件后缀对其进行配置。 根据Sophos的说法,该脚本包含多个硬编码加密密钥,以及生成更多密钥的程序,研究人员因此得出结论,勒索软件每次运行都会生成一个唯一的密钥。 因此,在这种特定的攻击中,由于攻击者对三个目标ESXi数据存储分别执行了脚本,因此为每个加密过程创建了一个新的密钥。该脚本不传输密钥,而是将它们写入文件系统,并使用硬编码的公钥进行加密。 “Python是预先安装在基于linux的系统(如ESXi)上的,这使得基于Python的攻击可能发生在这些系统上。ESXi服务器对勒索软件威胁者来说是一个有吸引力的目标,因为它们可以一次攻击多个虚拟机,其中每个虚拟机都可能运行关键业务应用程序或服务,”Sophos首席研究员Andrew Brandt说。   消息来源:SecurityWeek,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021年10月9日 14:45hackernews.cc
Google表示,它将向1万名”高风险”用户提供免费的硬件安全密钥,几天前该公司曾警告数千名Gmail用户,他们是一些受支持的黑客的目标。由Google威胁分析小组(TAG)发出的警告提醒超过14000名Gmail用户,他们已成为APT28(也称为Fancy Bear)国家支持的钓鱼活动的目标,据说该活动由俄罗斯GRU情报机构的特工组成。 Fancy Bear已经活跃了十多年,但它因入侵民主党全国委员会及其在2016年美国总统选举前的虚假信息和影响选举活动而广为人知。 “这些警告表明是针对而不是妥协。如果我们对你发出警告,那么我们阻止他们的可能性非常大,”Google的TAG主管Shane Huntley周四在Twitter上写道。”这个月增加的数字来自于少数目标的活动,这些活动被阻止了。” Huntley补充说,这些警告对活动家、记者和政府官员等个人来说是正常的,因为这就是政府支持的实体的目标。”如果你是活动家/记者/政府官员或在国家安全机构工作,这个警告说实话不应该是一个惊喜。在某些时候,一些受到支持的实体可能会试图向你发送一些东西。”他说。 Google在一篇博文中说,它将在2021年全年发送安全密钥,以鼓励用户加入其高级保护计划(APP),该计划保护那些具有高知名度和敏感信息的用户,他们有可能受到有针对性的在线攻击。安全密钥使网络钓鱼攻击更难奏效,因为安全密钥只能用于解锁合法网站的账户。 此外,Google还宣布与国际选举制度基金会(IFES)、联合国妇女署和非营利组织”捍卫数字运动”(DDC)建立新的和扩大的伙伴关系,以加强其最危险用户的安全。 通过与后者的合作,Google表示,它已经在2020年美国大选季节向180多个符合条件的联邦竞选活动提供了Titan安全密钥,并补充说,它现在正与该组织合作,为州级竞选活动和政党、委员会及相关组织提供进一步的保护,包括关于如何防止网络攻击的研讨会和培训。   (消息及封面来源:cnBeta)
2021年10月9日 14:25hackernews.cc
美国媒体集团考克斯媒体集团(CMG)证实,该公司在2021年6月受到了勒索软件攻击,导致电视直播和广播流中断。 该公司昨天向800多名受影响的用户发送了数据泄露通知邮件,并在邮件中承认了这次攻击,据信这些用户的个人信息在这次攻击中可能被泄露。7月30日,该组织首先通过电子邮件通知了可能受影响的用户。 CMG表示:“在2021年6月3日,CMG经历了一次勒索软件事件,其中,一小部分服务器被恶意威胁者加密。” “CMG在同一天发现了这一事件,当时CMG发现某些文件被加密了,无法访问。” CMG在发现攻击后立即关闭了系统,并在外部网络安全专家的帮助下开始调查,并向联邦调查局报告了该事件。 自6月份的勒索软件攻击以来,CMG没有发现任何证据表明该事件导致了账户盗窃、欺诈或经济损失。 在攻击期间暴露的个人信息包括姓名、地址、社会安全号码、财务账号、健康保险信息、健康保险单号码、医疗状况信息、医疗诊断信息和在线用户凭证。 “CMG没有支付赎金或提供任何资金给此次事件的威胁行动者。”CMG称“自2021年6月3日以来,CMG的平台中没有发现任何恶意活动。” 事故发生后,该公司还采取了一些措施来提高系统的安全性,以检测和阻止进一步的入侵企图。 CMG解释说:“这些步骤包括多因素认证协议、执行全企业密码重置、部署额外的端点检测软件、重新成像所有终端用户设备,以及重建干净的网络。”   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  
2021年10月9日 11:05hackernews.cc
网络安全研究人员详细介绍了一项新的黑客行动,该行动可能以东南亚的实体为目标,工具是一种以前未被识别的Linux恶意软件,该恶意软件被用于进行远程访问,此外还可以收集凭证和充当代理服务器。 该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”,据说具有“设计良好的模块”,可以不断升级新功能。上传到VirusTotal的样本表明,可能最早在2020年5月,利用该威胁的入侵就发生了。 Avast和Lacework实验室正在追踪同样的恶意软件,其代号是HCRootkit。 ESET研究人员Vladislav Hrčka说:“FontOnLake工具隐匿性强,再加上先进的设计和较低的攻击次数,都表明它们被用于有针对性的攻击。”“为了收集数据或进行其他恶意攻击,这个恶意软件家族使用修改过的合法二进制文件,这些二进制文件被用以加载进一步的组件。事实上,为了隐藏它的存在,FontOnLake总是与一个rootkit同时出现。这些二进制文件通常在Linux系统上使用,而且持续时间按比较长。” FontOnLake的工具集包括三个组件,包括木马版本的合法Linux实用程序,该程序用于加载内核模式的rootkit和用户模式后门,所有这些都使用虚拟文件相互通信。基于c++的移植设备本身被设计用来监视系统,在网络上秘密执行命令,并窃取帐户凭证。 后门的第二种排列还具有代理、操作文件、下载任意文件的功能,而第三个变体除了合并其他两个后门的功能外,还配备了执行Python脚本和shell命令的功能。 ESET表示,他们发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠,包括隐藏进程、文件、网络连接和自身,同时也能够执行文件操作,提取并执行用户模式的后门。 目前还不清楚攻击者是如何获得对网络的初始访问权限的,但这家网络安全公司指出,攻击背后的活动者“极度谨慎”,通过依赖不同的、特别的C2服务器和不同的非标准端口来避免留下任何痕迹。 Hrčka说:“攻击者对网络安全非常精通,这些工具可能在未来的活动中被重复使用。”“由于大多数功能的设计只是为了隐藏它的存在,中继通信,并提供后门访问,我们认为这些工具主要用于维护基础设施,以服务于其他未知的恶意目的。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封
2021年10月9日 09:44hackernews.cc
美国司法部表示,如果联邦承包商未能如实上报网络攻击或数据泄露事件,则它们将面临法律诉讼。本周,副总检察长 Lisa O. Monaco 提出了一项民事网络欺诈倡议,以期参照现有的虚假申报法案(FCA)来追究与政府承包商和资助接受者们相关的网络安全欺诈行为。 新闻稿指出,该倡议将让个人或联邦承包商等实体,在故意提供有缺陷的网络安全产品或服务、导致美国网络技术设施面临风险时承担责任。与此同时,政府承包商将因违反监测上报网络安全事件和数据泄露行为而面临处罚。 据悉,这是美国政府在一系列针对联邦机构(包括财政部、国务院和国土安全部)的黑客攻击之后做出的最新回应。此前有调查称境外间谍活动波及 SolarWinds 网络,使其 Orion 软件被植入后门,并通过受污染的软件更新渠道推送到了客户网络。 通过政策法规上的“亡羊补牢”,美司法部希望建立适用于所有公共部门、广泛且具有弹性的网络安全入侵应对措施,并帮助政府努力识别、打造和披露常用产品或服务的漏洞补丁。若发现相关企业未能达到政府要求的安全标准,责任方还将承担相应的损失补救义务。 Lisa O. Monaco 解释称:长期以来,企业总是错误地认为瞒报比主动披露违规事件的风险要更小,但当下的环境已经大不相同。 通过今日宣布的倡议,我们将动用民事执法工具来追查那些不遵守网络安全标准规定的企业,尤其是接受联邦资金资助的政务承包商。 我们深知瞒报将让所有人都陷于风险之中,这也是我们必须确保的适当动用纳税人资金、并保护公共财政与维护公众信任的一项有力工具。 据悉,这项倡议的公布时间,恰逢加密货币执法团队的成立,以期处理复杂调查和滥用加密货币的刑事案件。 本周早些时候,参议员 Elizabeth Warren 和众议员 Deborah Ross 还提出了一项“赎金披露法案”,以强制勒索软件受害者在 48 小时内披露其支付的赎金金额的详细信息。   (消息及封面来源:cnBeta)
2021年10月8日 17:04hackernews.cc
在23andMe的Yamale (YAML的架构和验证器)中披露了一个高度危险的代码注入漏洞,攻击者可以随意利用该漏洞执行任意Python代码。 该漏洞被记录为CVE-2021-38305 (CVSS得分:7.8),涉及操作作为工具输入提供的架构文件,以绕过保护并实现代码执行。值得关注的是,问题存在于模式解析函数中,该函数允许对传入的任何输入进行求值和执行,从而导致一种情况,即架构中特殊制作的字符串可用来注入系统命令。 Yamale是一个Python包,它允许开发人员验证YAML(一种经常用于编写配置文件的数据序列化语言)。GitHub上至少有224个存储库使用这个包。 JFrog安全首席技术官Asaf Karas在发给The Hacker News的一份电子邮件声明中说:“这种缺口给了攻击者可乘之机,他们输入架构文件来执行Python代码注入,从而使用Yamale进程的特权执行代码。”“我们建议对eval()的任何输入进行彻底的清理,最好是用任务所需的更具体的API替换eval() call。” 经过该次披露,该漏洞已在Yamale 3.0.8版本中得到纠正。 这是JFrog在Python包中发现的一系列安全问题中的最新发现。2021年6月,Vdoo在PyPi存储库中披露了typosquatted包,发现这些包下载并执行第三方加密器,如T-Rex、ubqminer或PhoenixMiner,用于在受影响的系统上采集以太坊和Ubiq。 随后,JFrog安全团队发现了另外8个恶意的Python库,这些库被下载了不少于3万次,可以用来在目标机器上执行远程代码,收集系统信息,窃取信用卡信息和自动保存在Chrome和Edge浏览器中的密码,甚至窃取不一致认证令牌。 “软件包存储库正成为供应链攻击的热门目标,npm、PyPI和RubyGems等流行存储库已经受到恶意软件攻击,”研究人员说。“有时,恶意软件包被允许上传到包存储库,这给了恶意行为者利用存储库传播病毒的机会,并对开发人员和管道中的CI/CD机发起攻击。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021年10月8日 16:04hackernews.cc
在23andMe的Yamale (YAML的架构和验证器)中披露了一个高度危险的代码注入漏洞,攻击者可以随意利用该漏洞执行任意Python代码。 该漏洞被记录为CVE-2021-38305 (CVSS得分:7.8),涉及操作作为工具输入提供的架构文件,以绕过保护并实现代码执行。值得关注的是,问题存在于模式解析函数中,该函数允许对传入的任何输入进行求值和执行,从而导致一种情况,即架构中特殊制作的字符串可用来注入系统命令。 Yamale是一个Python包,它允许开发人员验证YAML(一种经常用于编写配置文件的数据序列化语言)。GitHub上至少有224个存储库使用这个包。 JFrog安全首席技术官Asaf Karas在发给The Hacker News的一份电子邮件声明中说:“这种缺口给了攻击者可乘之机,他们输入架构文件来执行Python代码注入,从而使用Yamale进程的特权执行代码。”“我们建议对eval()的任何输入进行彻底的清理,最好是用任务所需的更具体的API替换eval() call。” 经过该次披露,该漏洞已在Yamale 3.0.8版本中得到纠正。 这是JFrog在Python包中发现的一系列安全问题中的最新发现。2021年6月,Vdoo在PyPi存储库中披露了typosquatted包,发现这些包下载并执行第三方加密器,如T-Rex、ubqminer或PhoenixMiner,用于在受影响的系统上采集以太坊和Ubiq。 随后,JFrog安全团队发现了另外8个恶意的Python库,这些库被下载了不少于3万次,可以用来在目标机器上执行远程代码,收集系统信息,窃取信用卡信息和自动保存在Chrome和Edge浏览器中的密码,甚至窃取不一致认证令牌。 “软件包存储库正成为供应链攻击的热门目标,npm、PyPI和RubyGems等流行存储库已经受到恶意软件攻击,”研究人员说。“有时,恶意软件包被允许上传到包存储库,这给了恶意行为者利用存储库传播病毒的机会,并对开发人员和管道中的CI/CD机发起攻击。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021年10月8日 16:04hackernews.cc
它的攻击目标主要是一些国外大型企业与机构,从这些大型企业获得高额的赎金,平均收入为60亿美元。 它能在2.5天内部署勒索软件,这速度比大多数组织都要快。 医疗保健组织是其主要目标之一。 这个活动频繁的勒索软件团伙是FIN12,因使用RYUK勒索恶意软件而为人所知,网络安全公司Mandiant称该组织与去年调查的约20% 的勒索软件攻击有关。 与一些勒索软件攻击组织不同,FIN12迄今为止似乎都是为了赚大钱——而且是很快的。“他们速度太快了。这就是他们的不同之处,”Mandiant 情报分析副总裁John Hultquist如此说道。 Mandiant 表示,FIN12似乎是一个讲俄语的组织,至少自2018年10月以来一直在活动。 FIN12专门从事勒索软件攻击。它与Trickbot团伙关系密切,自2020年2月以来,它在攻击中使用了 Cobalt Strike Beacon 工具,以及Trickbot和Empire工具。 Mandiant 在发布的关于FIN12一份报告中说,FIN12的大多数受害者通常都在北美,但它也向欧洲和亚太地区的组织投放勒索软件。大约20% 的 FIN12受害者是医疗保健组织。 美国政府官员最近一直在制定新的政策举措,以遏制勒索软件网络犯罪。就在本周,美国司法部(DoJ)成立了国家加密货币执法小组(National Cryptocurrency Enforcement Team) ,以打击非法使用加密货币的行为,因为加密货币是勒索软件运营商选择的匿名支付渠道。美国司法部还宣布了“民事网络欺诈倡议”(Civil Cyber-Fraud Initiative) ,以确保政府承包商公开其网络安全协议和网络攻击,从而保护相关机构免受与供应链相关的网络攻击。 在科洛尼尔管道运输公司遭受软件攻击之后,美国总统拜登在五月份发布了一项网络安全行政命令。即便如此,勒索软件攻击由于其利润丰厚和匿名性,数量也不会很快减少。本周,在华盛顿举行的 Mandiant 网络防御峰会上,Mandiant 公司首席执行官凯文•曼迪亚在一个主题问答环节中向国家安全局(NSA)局长、美国网络司令部司令Gen. Paul Nakasone提问,“五年后勒索软件是否仍将是一个巨大的威胁?”得到的回答是: “每一天。”庆幸的是美国政府正在加倍努力打击勒索软件。 但联邦调查局、研究人员和事件反应专家面临的难题是,揭露这些攻击的真正主谋
2021年10月8日 10:41hackernews.cc
据外媒报道,网络安全分析师最近发现了一种被他们称为“TangleBot”的Android恶意软件。这种恶意软件非常复杂,能够劫持手机的大部分功能。一旦被感染,手机就会成为终极间谍/跟踪设备。 Proofpoint研究人员指出,TangleBot通过向美国和加拿大的Android设备发送短信来锁定用户。这些短信被伪装成Covid-19法规和助推器的信息以及跟潜在停电有关的消息,另外还会鼓励受害者点击一个显示需要Adobe Flash更新的网站链接。 如果选择对话框,恶意网站将把恶意软件安装到智能手机上。攻击者依赖于用户无视Adobe在2020年12月停止对Flash的支持以及自2012年以来移动设备不支持Flash的事实。 如果欺骗成功,TangleBot就可以完全渗透到整个手机中。该恶意软件可以控制来自麦克风和摄像头的音频和视频、查看访问的网站、访问输入的密码集合、从短信活动和设备上的任何存储内容中提取数据。TangleBot还可以授予自己修改设备配置设置的权限并允许攻击者查看GPS定位数据。 黑客获得的功能基本上提供了全面监视和数据收集能力。TangleBot提供了一些关键的区别性功能使其特别具有威胁性,其中包括高级行为、传输能力和用于混淆的字符串解密程序。 除了间谍软件和键盘记录能力外,该恶意软件还可以阻止和拨打电话,不可避免地导致拨打高级服务的可能性。与此同时,语音生物识别能力可被用来冒充受害者。 报告指出,在TangleBot中看到的复杂程度使其在其他形式的恶意软件中脱颖而出。“与键盘记录功能、覆盖能力和数据渗透有关的特征是任何恶意软件武库中的常规行为,然而,TangleBot以高级行为和传输能力使自己与众不同,同时还展示了试图挫败生物识别语音认证安全系统的恶意软件的最新发展。TangleBot的最后一个组成部分在原来的Medusa中没有看到,它先进地使用了一个字符串解密程序以帮助混淆和掩盖恶意软件的行为。” 用来将木马软件的目的和功能隐藏在许多混淆层之下的尖端技术是导致出现TangleBot的原因。这些方法包括隐藏的.dex文件、模块化和功能化的设计特点、最小化的代码以及大量未使用的代码。 对于Google的操作系统来说,Android恶意软件和特洛伊木马变得越来越常见,而且不仅仅是通过短信,智能手机也会被暴露。GriftHorse恶意软件被成功嵌入到正式批准进入Google Play和其他第三方应用商
2021年10月8日 10:02hackernews.cc
据报道,整个Twitch的源代码、用户评论历史和详细的财务记录已被一名匿名黑客发布到网上。Twitch是亚马逊旗下的视频和游戏服务。现在,其服务的全部源代码,其移动、桌面和客户端应用程序,以及一个未发布的Steam商店竞争项目都被泄露了。 据VGC报道,这些文件是由一个匿名黑客泄露给4chan的。这个人说,这次泄漏是为了”促进在线视频流媒体领域的更多破坏和竞争,[因为Twitch的]社区是一个令人作呕的有毒污水池”。VGC已经证实,黑客的文件在4chan上是公开的。Twitch内部的一位匿名人士进一步证实,这些文件是真的。 根据黑客和已经开始检查文件的Twitter用户的说法,泄露的数据至少包括: 所有Twitch的源代码 “可以追溯到其早期的开始”的评论历史 财务细节,包括2019年以来创作者的报酬 包括Apple TV在内的Twitch应用程序的源代码 一个尚未发布的Steam竞争者项目 内部安全工具 专有的SDK,内部的亚马逊网络服务工具 Steam的竞争对手被称为Vapor,由亚马逊游戏工作室制作。据报道,还有一个相关的Vapeworld,可能是一个旨在与Vapor整合的聊天服务。 一些用户声称,加密的密码也包括在黑客公布的内容中。假设它是准确的,泄露的数据揭示了CriticalRole等公司从Twitch赚取的资金量。 Twitch的原始版本于2011年推出,并于2014年被亚马逊收购。在其客户端应用程序中,有一个长期运行的iOS应用程序,一个Mac的客户端,以及最近的Apple TV。 亚马逊尚未对这一黑客事件发表评论,也未对泄露的数据发表评论。   (消息及封面来源:cnBeta)
2021年9月30日 11:04hackernews.cc
安全研究机构Zimperium发现了新的安卓恶意软件GriftHorse,它可以欺骗用户并且订阅高级短信服务。据信,GriftHorse恶意软件已经感染了70多个国家超过1000多万台安卓设备。 据信,操作该恶意软件的团伙每月收入在150万至400万美元之间。安全研究人员发现从2020年11月开始,GriftHorse恶意软件已经感染了70多个国家1000多万部Android设备,并为其运营商每月赚取数百万美元。 移动安全公司Zimperium发现,GriftHorse恶意软件通过在官方Google Play商店和第三方Android应用商店上看起来很良性的应用程序进行传播。GriftHorse恶意软件让用户订阅高级短信服务。如果用户安装了这些恶意应用程序,GriftHorse开始向用户发送弹出窗口和通知,提供各种奖品和特别优惠。 点击这些通知的用户会被重定向到一个在线页面,在那里他们被要求确认他们的电话号码,以便获得优惠。但实际上,用户是在为自己订阅每月收费超过30欧元(35美元)的高级短信服务,这些钱然后被转到GriftHorse运营者的口袋里。 Zimperium研究人员Aazim Yaswant和Nipun Gupta几个月来一直在跟踪GriftHorse恶意软件。他们发现,GriftHorse开发者还投资于恶意软件的代码质量,使其尽可能地避免被发现。 Yaswant和Gupta表示,威胁者所表现出的复杂程度、对新技术的使用和决心使他们能够在几个月内不被发现。根据他们到目前为止所看到的情况,研究人员估计,GriftHorse团伙目前每月从他们的计划中赚取120万欧元至350万欧元(每月150万至400万美元)。 该活动已经积极发展了几个月,从2020年11月开始,最后更新的时间可以追溯到2021年4月。这意味着他们的第一批受害者之一,已经损失了200多欧元。受害者的累积损失加起来为这个网络犯罪集团带来了巨大的利润。 Zimperium是应用防御联盟的成员,它与Google联系报告了所有被GriftHorse感染的应用,这些应用现在已经从Play Store中删除。   (消息及封面来源:cnBeta)
2021年9月30日 11:04hackernews.cc
手机恶意软件Blackrock背后的威胁分子又回来了,他们携带了一种名为ERMAC的更恶毒的Android银行木马。据网络安全专家称,该恶意软件从银行和钱包应用程序中窃取金融数据。 荷兰网络安全公司ThreatFabric最先发现该Android恶意软件,据该公司报道,在8月底,恶意软件ERMAC伪装成谷歌Chrome开始了它的第一次主要活动。 自那以后,ERMAC攻击的范围扩大,包括银行应用程序、快递服务、政府应用程序、媒体播放器,甚至像McAfee这样的杀毒解决方案。 专家认为,黑客已经盯上了波兰。 “在写这篇博客的时候,我们发现ERMAC以波兰为目标,打着配送服务和政府应用的幌子分发,”ThreatFabric的首席执行官Cengiz Han Sahin在一篇博客文章中写道。 ERMAC几乎完全基于臭名昭著的银行业木马Cerberus。与它的原始恶意软件和其他银行恶意软件一样,ERMAC的开发目的是窃取联系信息和短信。 它还可以打开任意应用程序,并对大量金融应用程序执行叠加攻击,以获得登录凭证。这种银行恶意软件还具有一些功能,可以清除某个应用程序的缓存,并窃取存储在设备上的账户信息。 “ERMAC的行为再次表明,恶意软件源代码泄露不仅不会加速恶意软件组织的消失,还会给威胁环境带来新的攻击者/参与者,”Threatfabric说。 建立在Cerberus基础上的ERMAC引入了一些新功能。Threatfabric指出:“尽管它缺乏像RAT这样强大的功能,但它仍然对全世界的移动银行用户和金融机构构成威胁。” ThreatFabric还公布了ERMAC目标应用程序列表,包括Usługi Bankowe、WiZink、tu banco senZillo、桑坦德阿根廷、Touch 24 Banking BCR和Volksbank hausbanking。 许多应用软件,类似My AMP, Bankwest, CommBiz, CUA移动银行,汇丰澳大利亚分行,荷兰国际集团澳大利亚银行,麦格理认证,麦格理移动银行,ME银行,NAB移动银行,NPBS移动银行,myRAMS, Suncorp银行,UBank移动银行,CA移动,Tangering移动银行和Bitcoin&Ripple钱包,也包括在ERMAC目标应用的列表中。 在撰写本文时,网络安全公司已经列出了受到该恶意软件攻击名单,包括378个银行和钱包应用程序。
2021年9月29日 16:04hackernews.cc
据一份最新报告显示,攻击者正在通过新的恶意软件访问玩家的Steam、GOG、Epic Games和EA Origin账户并窃取他们的信息。 网络安全公司卡巴斯基将这种恶意软件命名为“BloodyStealer”,并警告玩家,这种恶意软件能够从上述网站的会话数据和密码中获取信息。 据报道,该木马正在暗网和暗网论坛上做广告和出售,价格为每月10美元或“终身许可证”40美元。卡巴斯基公司于今年3月首次发现了“BloodyStealer”。 除了会话数据和密码,卡巴斯基的研究人员认为,BloodyStealer还可以抓取设备数据、桌面文件、银行信息、内存日志、BT种子文件和屏幕截图等信息。恶意软件收集的数据会被转移到远程服务器上,在那里它们最有可能通过Telegram频道或暗网平台变现。 卡巴斯基进一步透露,自从该恶意软件被发现以来,已经检测到它被用于攻击拉丁美洲、欧洲和亚太地区用户。 “与其他现存的恶意软件工具相比,BloodyStealer在市场上仍然是一个全新的工具;然而,通过分析现有的遥测数据,我们在欧洲、拉丁美洲和亚太地区发现了BloodyStealer,”卡巴斯基在一篇博客文章中指出。“在调查期间,我们发现BloodyStealer主要攻击家庭用户。” 当玩家下载有问题的文件或应用程序时,他们就很容易受到攻击,这些文件或应用程序大多带有允许他们在游戏中作弊的功能。也就是说,为了保护他们的设备免受BloodyStealer和其他恶意软件的攻击,玩家应该保持警惕,避免使用可疑的应用程序或文件,因为它们可能是恶意软件。 此外,对于玩家来说,使用双因素身份验证来保护自己的账户也是很重要的。如果想要获得游戏或注册与游戏相关的订阅,从官方网站获得这些内容是比较安全的。   消息来源:IBTimes,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021年9月29日 14:45hackernews.cc
在卡巴斯基研究人员进行了8个月的调查后,FinSpy监控工具终于被发现。自2018年以来,针对间谍软件木马的检测已经减少,但事实证明,它并没有消失——它只是隐藏在各种初级植入程序后面,帮助掩盖其活动。与此同时,它还在继续提高自己的能力。 FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件,被当作执法工具存在于市面上。然而,就像NSO集团的Pegasus一样,它经常被用于恶意的目的。于2011年它首次被发现,是一款提供全方位服务的间谍软件,能够窃取信息和证书,并密切监测用户活动。例如,它收集文件列表和已删除的文件,以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。 2019年中期,在TeamViewer、VLC Media Player和WinRAR等合法应用程序中,研究人员发现了的几个可疑安装程序包含恶意代码。然而,据卡巴斯基说,它们似乎与任何已知的恶意软件都没有关联。但有一天,研究人员偶然发现了一个缅甸语网站,上面既有木马程序安装程序,也有用于Android的FinSpy样本。 周二,卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序,通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中,我们发现后门安装程序只不过是第一阶段的植入程序,在真正的FinSpy木马之前,用来下载和部署进一步的负载。”   多种规避技术   新样品采用了多层规避策略。首先,根据分析,受害者下载并执行木马程序后,他们会受到两个组件的审查。第一个是“预验证器”,它运行多个安全检查,以确保它不会感染安全研究人员的设备。 预验证器从命令和控制(C2)服务器下载大量的安全外壳代码并执行它们——总共33个。研究人员指出,每个shellcode收集特定的系统信息(例如当前进程名)并将其上传到服务器。如果任何检查失败,命令与控制(C2)服务器将终止感染过程。 如果所有安全检查都通过,服务器将提供第二个组件,称为“后验证器”。它收集信息,使其能够识别受害机器并验证特定的目标(它记录运行的进程、最近打开的文档和截图),并将其发送到其配置中指定的C2服务器。 
2021年9月29日 10:04hackernews.cc
随着HTTPS采用率的提高和网络浏览器提供原生控制,电子前沿基金会(EFF)已决定在2022年将其流行的浏览器扩展HTTPS Everywhere转为维护模式。该公司表示,早在10年前就推出的扩展的目的就是为了像今天这样使其成为多余的。 HTTPS Everywhere是一个可用于Firefox、Chrome、Microsoft Edge、Opera和Vivaldi等网络浏览器的扩展,安装该扩展后,会尽可能通过HTTPS加载HTTP网站。当该扩展最初可用时,大多数网站都不支持HTTPS。 自从Mozilla、Google、微软联手提高HTTPS在网络上的采用率后,HTTPS强制扩展就变成了不必要的。近年来,不仅有很多网站从HTTP转移到HTTPS,而且网络浏览器提供了一个设置,如果可能的话,通过安全连接加载网页,只用HTTPS模式或HTTPS优先模式。Firefox浏览器提供了这个功能,微软的Edge和Chrome也有。 因此,启用纯HTTPS模式设置是用户今后在网络浏览器中需要做的所有事情,他们现在可以删除HTTPS everywhere扩展。 “HTTPS everywhere的目标始终是成为多余的。这将意味着我们实现了更大的目标:一个HTTPS广泛可用的世界,用户不再需要一个额外的浏览器扩展来获得它。现在,这个世界比以往任何时候都更接近主流浏览器提供了对纯HTTPS模式的本地支持。” EFF表示,HTTPS Everywhere将在整个2022年处于维护模式。该公司承诺,在完全关闭该扩展之前,将告知用户浏览器中的原生HTTPS-only模式选项。 Google最近发布了Chrome 94,在桌面和Android上采用HTTPS-only模式。用户需要访问安全设置,并切换”始终使用安全连接”选项以启用该功能。 这样一样,用户就不应该在网页浏览器中启用HTTPS-Only的同时运行HTTPS Everywhere,因为两者可能会相互冲突,正确的做法是删除扩展,而不是禁用它。 截至目前,一些网络浏览器供应商还没有足够的信心在浏览器中默认强制使用HTTPS,这可能需要一些时间才能使纯HTTPS模式成为每个支持它的网络浏览器的默认模式,无论是Firefox还是微软Edge。   (消息及封面来源:cnBeta)
2021年9月29日 10:04hackernews.cc
Ponemon研究所一份新报告强化了勒索软件攻击对病人的安全风险。22%的受访医疗机构在网络攻击后看到病人死亡率上升。该报告称,第三方风险对病人护理产生的不利影是响其中最大的痛点。 网络攻击导致更多病人出现住院时间延长,医疗程序和测试的延误,导致医疗结果不佳。在Censinet赞助的报告中,Ponemon研究人员调查了597名来自医疗服务机构(HDO)IT安全专业人士,以评估COVID-19和勒索软件等网络攻击增加对病人护理和病人数据安全的影响。 行业利益相关者长期以来一直警告说,网络攻击和相关停机时间,对患者安全构成了迫在眉睫的风险。但在2019年的报告之外,关于具体死亡事件的数据仍然稀少,促使人们需要分享威胁和第一手资料,以更好地获得网络攻击对增加病人伤害风险的具体情况。 通过Ponemon的报告,医疗IT领导者通过供应商的经验证实了网络攻击和病人护理之间的直接联系。在过去两年中,43%的受访医疗机构经历了一次勒索软件攻击,其中33%的机构成为两次或更多攻击的受害者。在这些医疗机构中,71%的人报告说住院时间延长,70%的人看到医疗程序和测试的延误,导致护理效果不佳。另有65%的受访者发现,由于攻击的直接原因,转院或转到当地医疗机构的病人增加,36%的受访者报告医疗程序的并发症增加。 研究结果表明,越来越多的网络攻击,特别是勒索软件,对病人护理产生了负面影响,而COVID对医疗机构的影响更加剧了网络攻击的影响。   (消息及封面来源:cnBeta)
2021年9月28日 17:03hackernews.cc
网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。 “Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括: 一个C2的客户端 下载并执行恶意软件 PowerShell脚本和命令的执行 将shellcode置入到合法的Windows配置应用程序中。 专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。 该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。 在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。 2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。 MSI安装程序负载超过100MB,绕过在线AV扫描仪,并使用第三方的“一体化”应用程序打包工具,混淆视听。 在执行MSI有效负载时,一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。 “这个加载程序与以前的Jupyter加载程序非常相似,因为它在VirusTotal上持有一个躲避检测的文件,可使检测率低至0,这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer,发现新的变体使用的是相同的代码模式。 在研究人员分析的两种变体中,有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。 “自我们
2021年9月28日 15:43hackernews.cc
一个名为“ Safepal Wallet”的恶意Firefox插件,欺骗用户,窃取钱包余额,并在Mozilla插件网站上存在了7个月才被发现。 尽管恶意的浏览器插件已经被关闭,BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。 一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表,我正在搜索 Safepal 钱包扩展,以便在web浏览器中我也可以使用加密货币钱包。” 在使用 Safepal 证书安装并登录该插件数小时后,Cali发现自己的钱包余额清空了。 “我深深地震惊了……我看到了我最后的交易记录,发现我的4000美元资金被转移到了另一个钱包。我不敢相信这是一个在Mozilla Firefox插件列表中的插件,”他在Mozilla的论坛中说道。 BleepingComputer 从“ Safepal 钱包”的附加页面发现,该插件至少从2021年2月16日起就开始使用了。 页面上,这个235kb的插件吹嘘自己是一个 Safepal 应用程序,可以安全地“在本地保存私钥”,还有令人信服的产品图片和营销材料。 为了在Mozilla网站上发布插件,开发者必须遵循提交流程,即提交的插件“随时接受Mozilla的审查”。但是,目前还不清楚提交的文件的安全程度。 Cali本月公开报道此事不到五天,Mozilla的发言人回应说,他们正在进行调查。该插件的介绍页面已被Mozilla删除。 虽然 Safepal在苹果应用商店和谷歌Play上都有官方智能手机应用,但我们并不知道是否有官方的“ Safepal ”浏览器扩展。 幸运的是,在Mozilla插件网站上,一些用户发布了一星评论,警告其他人不要下载“ Safepal Wallet”。 但是,对于Cali来说,一切为时已晚,收回资金的机会很渺茫。 “我已经和警察谈过了,他们对此无能为力。他们告诉我无法追踪到黑客。”Cali说。 BleepingComputer 联系Mozilla了解更多关于这个问题的信息: Mozilla的一位发言人告诉 BleepingComputer :“扩展安全对Mozilla来说很重要,我们的生态系统持续对千变万化的威胁做出回应。” “我们目前的重点是减少恶意扩展可能造成的损害,引导用户使用我们审查和监控的推荐扩展,帮助用户了解安装扩展带来的风险,让用户更容易地向我们反馈潜在的恶意扩展。
2021年9月28日 10:45hackernews.cc
根据网络安全公司Censinet赞助的一份新报告,在过去两年中遭受勒索软件攻击的医疗机构中,几乎有四分之一的机构表示,在网络攻击后他们机构的病人死亡率有所增加。这一发现增加了越来越多的数据,表明网络攻击不仅造成财务或后勤问题–它们也可能是重大的健康风险。 Censinet首席执行官兼创始人Ed Gaudet说:“勒索软件对病人护理的影响已经足够大,这是不可否认的。我们不应该害怕看这些数据,并继续推动这个问题的解决。” 由一家名为Ponemon研究所的研究机构进行的分析,收集了全美近600家医疗机构的调查回复,范围从区域医疗系统到医疗设备制造商。超过40%的机构说,他们在过去两年中受到了勒索软件的攻击–网络攻击锁定了计算机系统,并要求付款以解锁它们。这些攻击扰乱了设施照顾病人的能力。大约70%面临勒索软件攻击的机构表示,这些破坏导致病人住院时间延长,并延误了检测或手术。此外,36%的机构说他们看到了更多医疗手术的并发症,22%的机构说他们的死亡率增加了。 这些数字有一些重要的注意事项:它们来自一个相对较小的医疗机构子集,而且没有对这些机构报告的内容进行双重检查。该调查没有问各机构为什么或如何得出这些结论–例如,他们没有说他们如何衡量死亡率的变化。Gaudet说,如果没有关于这些方法的更多细节,谨慎地解释这些发现是很重要的。现在就自信地说勒索软件直接导致了这些频率的不良后果可能还为时过早。他说:“作为一个行业,我们必须注意不要反应过度。但这仍然是行业应该关注和关心的事情。即使只是百分之一或百分之五十,我们也应该关心这个数据。” 总的来说,超过一半的医疗集团在回复调查时表示,他们没有信心他们的组织能够处理勒索软件攻击的风险。 在医疗保健领域工作的人历来不愿意说勒索软件伤害了病人。很少有人对网络攻击和病人健康之间的关系进行量化,而且医院往往不愿意分享很多关于他们的经验的信息,因为这对医院的声誉有潜在影响。“我认为作为一个行业,这是一个我们几乎不想知道答案的问题,”Gaudet说。“因为如果它是真的,那么,我们真的有我们的工作要做了。” 在过去的一年里,针对医疗机构的网络攻击有所增加,这给这个问题带来了新的紧迫性。而且,最近一直在推动密切关注这个问题:例如,美国网络安全和基础设施安全局(CISA)的一项新分析显示,在COVID-19大流行期间,佛蒙特州受勒索软件攻击影响的医院开始比没有处
2021年9月28日 10:03hackernews.cc
英国最大的警察部队将在今年年底前大幅扩大其面部识别能力。新技术将使伦敦大都会警察局能够处理来自闭路电视、社交媒体和其他来源的历史图像,以追踪嫌疑人。但批评者警告说,这项技术有令人瞠目结舌的滥用可能性,并可能巩固歧视性的警务工作。 在8月底做出一个鲜为人知的决定中,伦敦市长办公室批准了一项允许伦敦警察局提高其监控技术的提案。该提案称,在未来几个月内,伦敦警察局将开始使用追溯性面部识别(RFR),作为与日本科技公司NEC公司达成的300万英镑、为期四年协议的一部分。该系统先检查警方获得的人脸图像,然后与警方的内部图像数据库进行比较,试图找到一个匹配的人。 欧洲数字权利组织的政策顾问Ella Jakubowska表示:”部署该系统的人实际上可以让时间倒流许多个月甚至几年,看到你是谁,你去了哪里,你做了什么,和谁在一起。这种技术可以压制人们的自由表达、集会和无忧无虑的生活能力”。 批评者认为,RFR的使用侵犯了人们的隐私,不可靠,并可能加剧种族歧视。在美国,我们已经看到有人因为RFR而被错误地监禁。在考虑这种极端技术之前,更广泛的公众对话和严格的保障措施至关重要。 伦敦市长的一位发言人为这项技术的使用辩护,说它将缩短识别嫌疑人的时间,并帮助减少首都的犯罪。同时,伦敦市长办公室设立了警务道德小组,其任务是对伦敦警察局使用RFR的情况进行审查并提出建议。在英国,对使用面部识别的政治支持仍然存在争议,来自工党、自由民主党和绿党的议员都呼吁对该技术的使用进行监管。   (消息及封面来源:cnBeta)
2021年9月27日 15:22hackernews.cc
网络安全公司Proofpoint/Cloudmark最近发现了一种新的威胁,可以通过短信控制受害者的手机。美国和加拿大也发现了这种威胁,根据报告,Android用户是这种恶意软件的主要目标。 这种安全威胁被命名为Tangle Bot,因为它能够接管一些设备的功能,包括联系人列表、电话记录、摄像头和麦克风以及互联网接入。 这种恶意软件的工作原理与至今存在于英国和欧洲的流感机器人威胁一样。就像名字Tangle一样,这个恶意软件可以误导目标通过伪造的Covid-19警报,安装篡改过的软件。该警报包括关于Covid-19疫苗可用的加强剂的信息以及新的监管政策。 在疫情已经造成恐慌的情况下,这类信息极具煽动性,很可能欺骗目标,因为信息附加一些链接,而目标很可能相信该链接里宣称提供更多疫情期间帮助的信息。 在点击链接之后,跳转网页将显示“Adobe Flash Player需要更新”,如果用户同意更新并点击了更新安装按钮, TangleBot将植入手机,开始接管包括控制电话簿,记录屏幕等功能,攻击者也可以随时打开设备摄像头和麦克风。根据Proofpoint的说法,TangleBot甚至可以通过覆盖屏幕的方法访问在线金融应用程序。随后,受害者的设备还会被用来转发伪造的的Covid-19警报。 如果目标发现设备被恶意软件入侵并将其卸载,黑客暂时不会使用窃取的信息,让用户相信什么都没有被窃取,但信息早已泄露。 所以,保护设备不受攻击的最好方法是避免从未知渠道打开链接,应用程序应该只从可信的来源安装。   消息来源:DigitalInformationWorld,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021年9月27日 15:22hackernews.cc
IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分,包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件,它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码,或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议,允许用户集中管理无线接入点。 思科表示,攻击成功的话,攻击者便使用管理权限执行任意代码,或导致受影响的设备崩溃和重新加载,从而导致DoS攻击。 第二个关键漏洞——具有9.8 CVSS评级——对思科IOS XE SD-WAN软件造成了影响,并可能让攻击者在SD-WAN设备上触发缓冲区溢出。 思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送特制流量来利用这个漏洞。设备手攻击可能会导致缓冲区溢出,并可能使用根权限执行任意命令,或导致设备重新加载,从而导致DOS攻击。” 第三个关键漏洞也有9.8 CVSS评级,这个漏洞与思科IOS XE软件的身份验证、授权、和记账功能(AAA)有关,该漏洞允许攻击者绕过NETCONF或RESTCONF认证,安装、操作或删除受影响的配置设备,造成内存泄露,导致DoS攻击。 Cisco表示:“漏洞利用如果成功,攻击者便可使用NETCONF或RESTCONF安装、操纵或删除网络设备的配置,或损坏设备上的内存,从而导致DoS攻击。” 思科表示,有一个解决这一漏洞的办法:删除启用密码,并配置启用密码。还有一种降低漏洞攻击伤害的方法:限制该漏洞的攻击面,确保为NETCONF和RESTCONF配置了访问控制列表,以防止来自不受信任子网的访问尝试。 思科已发布免费软件更新,用以解决关键漏洞。   消息来源:ARNNet,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接