又来了。BitMart 平台遭受了总价值约为 2 亿美元的加密货币被盗:ETH、BSC,以及以太坊和币安智能链上的各种代币。
攻击的原因和过程仍在处理中,但这一切看起来都很微不足道 —— 黑客以某种方式窃取了该平台的几个钱包的钥匙,把所有东西都拿出来洗掉了。目前,该平台已经暂时封锁了从中提取资金的能力。
此事再一次说明了为什么您不应该使用热钱包。今天是你的,明天就不一定是了。
#ThreatIntelligence #Cryptocurrency
攻击的原因和过程仍在处理中,但这一切看起来都很微不足道 —— 黑客以某种方式窃取了该平台的几个钱包的钥匙,把所有东西都拿出来洗掉了。目前,该平台已经暂时封锁了从中提取资金的能力。
此事再一次说明了为什么您不应该使用热钱包。今天是你的,明天就不一定是了。
#ThreatIntelligence #Cryptocurrency
一个基于Mirai的Moobot僵尸网络正在利用海康威视产品线中的一个关键漏洞 CVE-2021-36260 进行传播。
海康威视是一家国有的中国监视摄像机和监控设备制造商。海康威视早在2021年9月就通过固件更新(v210628)修复了该漏洞,但并非所有用户都立刻应用了这次安全更新。
Moobot的目的是将被攻击的设备纳入一个僵尸网络,以进行DDoS攻击。同时,Telegram上已经开始提供使用Moobot的DDoS服务了。
#ThreatIntelligence #Hikvision
海康威视是一家国有的中国监视摄像机和监控设备制造商。海康威视早在2021年9月就通过固件更新(v210628)修复了该漏洞,但并非所有用户都立刻应用了这次安全更新。
Moobot的目的是将被攻击的设备纳入一个僵尸网络,以进行DDoS攻击。同时,Telegram上已经开始提供使用Moobot的DDoS服务了。
#ThreatIntelligence #Hikvision
在过去的几周里,一个新的网络钓鱼活动已经开始针对使用二维码的电子银行用户。
这些网络钓鱼电子邮件经过精心制作,带有银行徽标、结构良好的内容和通常一致的风格,非常难以辨人。攻击者使用二维码而不是按键将受害者重定向到钓鱼站点。
此事再次提醒了 QR 码普及的危险性。尤其是不太可能受到安全控制保护的移动用户,一定要当心。
https://cofense.com/blog/german-users-targeted-in-digital-bank-heist-phishing-campaigns/
#ThreatIntelligence #QRcodes
这些网络钓鱼电子邮件经过精心制作,带有银行徽标、结构良好的内容和通常一致的风格,非常难以辨人。攻击者使用二维码而不是按键将受害者重定向到钓鱼站点。
此事再次提醒了 QR 码普及的危险性。尤其是不太可能受到安全控制保护的移动用户,一定要当心。
https://cofense.com/blog/german-users-targeted-in-digital-bank-heist-phishing-campaigns/
#ThreatIntelligence #QRcodes
最近,一名信息安全研究人员发现,在公共领域中,有600万份由 RedLine 恶意软件收集的黑客设备日志。显然,黑客们打算将这些东西拿出来出售,但却忘了好好保护它们。
⚠️ 这些日志包含成千上万的 LastPass 登录凭据主密码。但这似乎与最近关于大规模密码泄露的报道没有任何联系(那是另一件事)。
LastPass 是一款Freemium的跨平台在线密码管理工具,使用所谓的“云”存储。
这些日志已经与 Have I Been Pwned 服务共享,因此所有受影响的电子邮件用户将收到通知。
但是,仅仅改变密码对受害者来说是不够的 —— 重要的是要记住,RedLine 会窃取所有浏览器保存的数据、VPN账户、加密货币、和其他任何它能掌握的东西。
如果您拥有任何代币,您应该立即将代币转移到另一个钱包。
最后,如果您已经中招,您应该使用防病毒软件扫描您的计算机,以检测并删除任何已被安装的恶意软件。
#ThreatIntelligence #InformationSecurity
⚠️ 这些日志包含成千上万的 LastPass 登录凭据主密码。但这似乎与最近关于大规模密码泄露的报道没有任何联系(那是另一件事)。
LastPass 是一款Freemium的跨平台在线密码管理工具,使用所谓的“云”存储。
这些日志已经与 Have I Been Pwned 服务共享,因此所有受影响的电子邮件用户将收到通知。
但是,仅仅改变密码对受害者来说是不够的 —— 重要的是要记住,RedLine 会窃取所有浏览器保存的数据、VPN账户、加密货币、和其他任何它能掌握的东西。
如果您拥有任何代币,您应该立即将代币转移到另一个钱包。
最后,如果您已经中招,您应该使用防病毒软件扫描您的计算机,以检测并删除任何已被安装的恶意软件。
#ThreatIntelligence #InformationSecurity
一个活跃的中国全球监控工具 ——
最近发现的一个名为 BPFdoor 的后门恶意软件已经秘密攻击 Linux 和 Solaris 系统五年多了,此前一直没有被发现。普华永道威胁情报中心将其归咎于中国威胁组织 Red Menshen。
研究人员能够检测到来自不同地区的组织中发生的 BPFdoor 活动,最明显的是美国、韩国、香港、土耳其、印度、越南和缅甸。这些组织包括政府系统、邮政和物流系统、教育系统等。
报告说,威胁行为者通过托管于一家知名供应商的虚拟专用服务器(VPS)向 BPFDoor 的受害者发送命令,这些VPS是通过设在台湾的受感染的路由器管理的,威胁者将其用作VPN隧道。报告说,大多数 Red Menshen 活动发生在周一至周五(周末没有观察到),大多数通信发生在1:00至10:00 UTC。这种模式表明,威胁行为者有一个持续的8~9小时的活动窗口,与当地工作时间一致的可能性很高。
在这里 看到报告。
#ThreatIntelligence
最近发现的一个名为 BPFdoor 的后门恶意软件已经秘密攻击 Linux 和 Solaris 系统五年多了,此前一直没有被发现。普华永道威胁情报中心将其归咎于中国威胁组织 Red Menshen。
研究人员能够检测到来自不同地区的组织中发生的 BPFdoor 活动,最明显的是美国、韩国、香港、土耳其、印度、越南和缅甸。这些组织包括政府系统、邮政和物流系统、教育系统等。
报告说,威胁行为者通过托管于一家知名供应商的虚拟专用服务器(VPS)向 BPFDoor 的受害者发送命令,这些VPS是通过设在台湾的受感染的路由器管理的,威胁者将其用作VPN隧道。报告说,大多数 Red Menshen 活动发生在周一至周五(周末没有观察到),大多数通信发生在1:00至10:00 UTC。这种模式表明,威胁行为者有一个持续的8~9小时的活动窗口,与当地工作时间一致的可能性很高。
在这里 看到报告。
#ThreatIntelligence
中国黑客组织正在入侵俄罗斯航空航天公司 ——
一个以前不为人知的中国黑客组织被称为 “太空海盗”,它以俄罗斯航空航天业的企业为目标,通过网络钓鱼邮件在俄罗斯公司的系统上安装新型恶意软件。
据信该威胁组织在2017年开始运作,虽然它与APT41(Winnti)、Mustang Panda 和 APT27 等已知组织有联系,但它被认为是一个新的恶意活动集群。
Positive Technologies 的俄罗斯威胁分析师将该组织命名为 “太空海盗”,因为他们的间谍行动侧重于从航空航天领域的公司窃取机密信息。
太空海盗APT组织被认为是针对位于俄罗斯、格鲁吉亚和蒙古的政府机构和涉及IT服务、航空航天和电力行业的企业。
威胁分析师在去年夏天的事件响应中首次发现了“太空海盗” 的活动迹象,并迅速确认,自2019年以来,该威胁行为者对至少四个以上的俄罗斯国内实体使用了相同的恶意软件和基础设施。
其中两个案例涉及有国家背景的俄罗斯公司,黑客们成功地破坏了这些公司。
在第一起案件中,威胁行为者将其对20台服务器的访问保持了10个月,窃取了1500多份文件、员工资料和其他敏感数据。
在第二个案例中,中国黑客在被入侵公司的网络中停留了一年多,抽走了机密信息,并将恶意软件安装到三个不同地区的12个公司的网络节点上。
#ThreatIntelligence #China #Russia
一个以前不为人知的中国黑客组织被称为 “太空海盗”,它以俄罗斯航空航天业的企业为目标,通过网络钓鱼邮件在俄罗斯公司的系统上安装新型恶意软件。
据信该威胁组织在2017年开始运作,虽然它与APT41(Winnti)、Mustang Panda 和 APT27 等已知组织有联系,但它被认为是一个新的恶意活动集群。
Positive Technologies 的俄罗斯威胁分析师将该组织命名为 “太空海盗”,因为他们的间谍行动侧重于从航空航天领域的公司窃取机密信息。
太空海盗APT组织被认为是针对位于俄罗斯、格鲁吉亚和蒙古的政府机构和涉及IT服务、航空航天和电力行业的企业。
威胁分析师在去年夏天的事件响应中首次发现了“太空海盗” 的活动迹象,并迅速确认,自2019年以来,该威胁行为者对至少四个以上的俄罗斯国内实体使用了相同的恶意软件和基础设施。
其中两个案例涉及有国家背景的俄罗斯公司,黑客们成功地破坏了这些公司。
在第一起案件中,威胁行为者将其对20台服务器的访问保持了10个月,窃取了1500多份文件、员工资料和其他敏感数据。
在第二个案例中,中国黑客在被入侵公司的网络中停留了一年多,抽走了机密信息,并将恶意软件安装到三个不同地区的12个公司的网络节点上。
#ThreatIntelligence #China #Russia
谷歌称“捕食者”间谍软件让政府黑客入侵 Chrome 和 Android ——
谷歌透露,政府支持的黑客正在使用可疑的间谍软件攻击其用户。
谷歌威胁分析小组的研究人员公布了三个使用名为 “Predator” 的间谍软件针对 Android 用户的入侵活动的详细信息。
根据该报告,总部位于北马其顿的私营公司 Cytrox 据称向政府背景的黑客出售了四个 零日漏洞 的访问权限,包括 Chrome 浏览器中的三个以及 Android 操作系统中的一个。
谷歌表示,购买这些信息的客户是多个国家与政府相关的威胁行为者。这些攻击者可能利用这些信息通过 Cytrox 公司开发的侵入性间谍软件“Predator”开展黑客活动。
谷歌的 TAG 团队称,他们去年发现的大多数零日漏洞都是由 Cytrox 等私人监控技术公司故意“开发”的。
#ThreatIntelligence
谷歌透露,政府支持的黑客正在使用可疑的间谍软件攻击其用户。
谷歌威胁分析小组的研究人员公布了三个使用名为 “Predator” 的间谍软件针对 Android 用户的入侵活动的详细信息。
根据该报告,总部位于北马其顿的私营公司 Cytrox 据称向政府背景的黑客出售了四个 零日漏洞 的访问权限,包括 Chrome 浏览器中的三个以及 Android 操作系统中的一个。
谷歌表示,购买这些信息的客户是多个国家与政府相关的威胁行为者。这些攻击者可能利用这些信息通过 Cytrox 公司开发的侵入性间谍软件“Predator”开展黑客活动。
谷歌的 TAG 团队称,他们去年发现的大多数零日漏洞都是由 Cytrox 等私人监控技术公司故意“开发”的。
#ThreatIntelligence
iyouport
这就是他们给我讲述世界末日的方式
Bugs是永远也修补不完的。因为它是政治,而不仅仅是技术问题
与中国有关的国家支持的网络攻击者正在通过破坏公共和私人领域的目标积极建立一个大型的攻击基础设施网络。
根据网络安全和基础设施安全局(CISA)、国家安全局(NSA)和联邦调查局的联合警报,攻击者正针对主要电信公司和网络服务提供商,对各种路由器、VPN和其他网络设备、以及网络附加存储(NAS)设备中的已知漏洞进行一系列利用。
根据该警报,这些网络设备随后被用作额外的接入点,用于路由指挥和控制(C2)流量,并作为中点对其他实体进行网络入侵 —— 据称所有这些都是为了窃取敏感信息。
网络攻击者 “通常通过访问被称为跳点的被破坏的服务器来进行入侵,这些跳点来自于许多 中国的IP地址,可以解析到不同的中国互联网服务供应商”,联邦调查局指出。
在混淆方面,CISA说它已经观察到这些攻击者团体监测网络防御者的账户和行动,根据需要修改他们正在进行的活动以保持不被发现。
这些攻击者还 “经常将其定制的工具集与公开可用的工具混合在一起,特别是利用网络环境中的原生工具,通过网络噪音或常规活动来掩盖其恶意活动。”
#ThreatIntelligence
根据网络安全和基础设施安全局(CISA)、国家安全局(NSA)和联邦调查局的联合警报,攻击者正针对主要电信公司和网络服务提供商,对各种路由器、VPN和其他网络设备、以及网络附加存储(NAS)设备中的已知漏洞进行一系列利用。
根据该警报,这些网络设备随后被用作额外的接入点,用于路由指挥和控制(C2)流量,并作为中点对其他实体进行网络入侵 —— 据称所有这些都是为了窃取敏感信息。
网络攻击者 “通常通过访问被称为跳点的被破坏的服务器来进行入侵,这些跳点来自于许多 中国的IP地址,可以解析到不同的中国互联网服务供应商”,联邦调查局指出。
在混淆方面,CISA说它已经观察到这些攻击者团体监测网络防御者的账户和行动,根据需要修改他们正在进行的活动以保持不被发现。
这些攻击者还 “经常将其定制的工具集与公开可用的工具混合在一起,特别是利用网络环境中的原生工具,通过网络噪音或常规活动来掩盖其恶意活动。”
#ThreatIntelligence
Unit 42 最近发现了一个名为 PingPull 的难以检测的新远程访问木马,该木马被一个高级持续性威胁(APT)组织 “GALLIUM” 使用。
Unit 42 监测了多个APT组织有关的基础设施。其中一个组织,GALLIUM(也被称为Softcell),通过针对在东南亚、欧洲和非洲运营的电信公司建立了自己的声誉。该组织的地理目标、特定行业的重点和技术熟练程度,加上他们使用已知的中国威胁行为者恶意软件以及战术、技术和程序(TTPs),导致行业评估认为 GALLIUM 可能是一个中国国家支持的骇客组织。
在过去的一年里,该组织的目标已经超出了电信公司的范围,现在还包括金融机构和政府实体。在此期间,已经可以确定 GALLIUM 基础设施与阿富汗、澳大利亚、比利时、柬埔寨、马来西亚、莫桑比克、菲律宾、俄罗斯和越南的目标实体之间的若干联系。最重要的是,研究人员还发现该集团使用了一种名为 PingPull 的新远程访问木马。
PingPull 有能力利用三种协议(ICMP、HTTP(S)和原始TCP)进行指挥和控制(C2)。虽然使用ICMP隧道并不是新技术,但 PingPull 使用 ICMP 使其C2通信更难被发现,因为很少有组织会在其网络上实施ICMP流量检查。
在这里看到详细调查报告。
#ThreatIntelligence
Unit 42 监测了多个APT组织有关的基础设施。其中一个组织,GALLIUM(也被称为Softcell),通过针对在东南亚、欧洲和非洲运营的电信公司建立了自己的声誉。该组织的地理目标、特定行业的重点和技术熟练程度,加上他们使用已知的中国威胁行为者恶意软件以及战术、技术和程序(TTPs),导致行业评估认为 GALLIUM 可能是一个中国国家支持的骇客组织。
在过去的一年里,该组织的目标已经超出了电信公司的范围,现在还包括金融机构和政府实体。在此期间,已经可以确定 GALLIUM 基础设施与阿富汗、澳大利亚、比利时、柬埔寨、马来西亚、莫桑比克、菲律宾、俄罗斯和越南的目标实体之间的若干联系。最重要的是,研究人员还发现该集团使用了一种名为 PingPull 的新远程访问木马。
PingPull 有能力利用三种协议(ICMP、HTTP(S)和原始TCP)进行指挥和控制(C2)。虽然使用ICMP隧道并不是新技术,但 PingPull 使用 ICMP 使其C2通信更难被发现,因为很少有组织会在其网络上实施ICMP流量检查。
在这里看到详细调查报告。
#ThreatIntelligence
Unit 42
GALLIUM Expands Targeting Across Telecommunications, Government and Finance Sectors With New PingPull Tool
A new, difficult-to-detect remote access trojan named PingPull is being used by GALLIUM, an advanced persistent threat (APT) group.
这个声称针对俄罗斯网站进行DDoS攻击的应用程序是假的,它已经感染了很多亲乌克兰的活动人士 ——
谷歌的威胁分析小组 (TAG)的安全工程师 Billy Leonard 发现了一个名为 Cyber Azov 的恶意安卓应用,该应用事实上由俄罗斯APT组织 Turla 创建。
该应用程序宣称:“加入Cyber Azov,帮助阻止俄罗斯对乌克兰的*******。我们是一个由世界各地的自由人组成的团体,正在与******* 俄罗斯作斗争。我们正在招募那些愿意帮助我们的事业的积极人士 ……” 该网站还声称:“我们已经开发了一个安卓应用程序,正在攻击俄罗斯的互联网基础设施。”
这是威胁行为组织 Turla 分发安卓恶意软件的第一个已知案例。该应用程序的分发声称是为了对俄罗斯网站进行DDoS攻击,然而事实上,所谓的DDoS攻击只包括对目标网站的一个GET请求,这对攻击来说是基本上没用的:Leonard写道。
#Russia #ThreatIntelligence
谷歌的威胁分析小组 (TAG)的安全工程师 Billy Leonard 发现了一个名为 Cyber Azov 的恶意安卓应用,该应用事实上由俄罗斯APT组织 Turla 创建。
该应用程序宣称:“加入Cyber Azov,帮助阻止俄罗斯对乌克兰的*******。我们是一个由世界各地的自由人组成的团体,正在与******* 俄罗斯作斗争。我们正在招募那些愿意帮助我们的事业的积极人士 ……” 该网站还声称:“我们已经开发了一个安卓应用程序,正在攻击俄罗斯的互联网基础设施。”
这是威胁行为组织 Turla 分发安卓恶意软件的第一个已知案例。该应用程序的分发声称是为了对俄罗斯网站进行DDoS攻击,然而事实上,所谓的DDoS攻击只包括对目标网站的一个GET请求,这对攻击来说是基本上没用的:Leonard写道。
#Russia #ThreatIntelligence
中国GPS追踪器的关键漏洞允许攻击者控制车辆追踪 ——
- 来自 BitSight 的IS专家在流行的 MiCODUS MV720 GPS 追踪器中发现了一系列关键漏洞,该追踪器配备在全球150多万辆汽车上。
- 成功利用所发现的漏洞,攻击者可以控制追踪器,在人们不知情的情况下追踪他们的位置、控制车辆燃料供应、甚至禁用警报器。
- 此外,脆弱的GPS追踪器甚至可以对整个国家的国家安全构成威胁,因为美国和欧洲的一些军事和政府组织都在使用MiCODUS。
#China #ThreatIntelligence
- 来自 BitSight 的IS专家在流行的 MiCODUS MV720 GPS 追踪器中发现了一系列关键漏洞,该追踪器配备在全球150多万辆汽车上。
- 成功利用所发现的漏洞,攻击者可以控制追踪器,在人们不知情的情况下追踪他们的位置、控制车辆燃料供应、甚至禁用警报器。
- 此外,脆弱的GPS追踪器甚至可以对整个国家的国家安全构成威胁,因为美国和欧洲的一些军事和政府组织都在使用MiCODUS。
#China #ThreatIntelligence
Twitter泄漏 ——
540多万个Twitter账户的数据正在被出售。邮箱和电话号码,以及名人、公司和随机用户的私密信息,售价仅30,000美元。
攻击者利用了一个漏洞,该漏洞允许未经任何身份验证的一方通过提交电话号码/电子邮件来获取任何用户的Twitter ID。即使用户在他们的个人资料设置中禁用查找,也没用。一年前,一个类似的漏洞已经使得5亿Facebook用户的数据被盗。
这个漏洞在年初就被曝光,当时就被修复了,但是黑客早在去年12月就使用了这个漏洞。
#DataBreach #ThreatIntelligence
540多万个Twitter账户的数据正在被出售。邮箱和电话号码,以及名人、公司和随机用户的私密信息,售价仅30,000美元。
攻击者利用了一个漏洞,该漏洞允许未经任何身份验证的一方通过提交电话号码/电子邮件来获取任何用户的Twitter ID。即使用户在他们的个人资料设置中禁用查找,也没用。一年前,一个类似的漏洞已经使得5亿Facebook用户的数据被盗。
这个漏洞在年初就被曝光,当时就被修复了,但是黑客早在去年12月就使用了这个漏洞。
#DataBreach #ThreatIntelligence