记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

概述近期,我们发现了针对中东地区国家的网络间谍活动。我们根据名为“golf”的软件包中的代码,将该恶意活动命名为“Bouncing Golf”。Trend Micro检测到其中包含的恶意软件名称为“AndroidOS_GolfSpy.HRX”,该恶意软件由于其广泛的网络间谍功能而闻名。恶意运营者使用合法的应用程序,将恶意代码嵌入到其中,再进行重新封装。我们对Bouncing Golf使用的命令和控制(C&C)服务器进行监控,到目前为止,我们已经观察到超过660台Android设备感染了GolfSpy。攻击者所窃取的大部分信息似乎都与军事有关。该恶意活动的攻击媒介也非常有趣。这些重新封装的恶意软件应用程序不会被投
发布时间:2019-06-21 17:25 | 阅读:20026 | 评论:0 | 标签:事件 Bouncing Golf 移动

FIN8重出江湖!或预示新一轮全球POS系统攻击浪潮

研究人员发现了一项针对酒店娱乐行业的新攻击事件,采用恶意软件ShellTea / PunchBuggy后门是自2017年以来首次被发现使用的,这也被认为是FIN8集团偃旗息鼓两年多后在2019年的首秀。FIN自2017年以来一直很安静,上次有人报道FIN8黑客是在2016年和2017年,当时FireEye和root9B发布了一系列针对零售行业PoS系统的攻击报告。2017年6月FireEye使用了其“PUNCHTRACK POS-scraping“恶意软件对FIN8的混淆技术进行了分析。FireEye写道,在2017年初,FIN8开始使用环境变量和PowerShell通过StdIn(标准输入)接收命令的能力,以基于进程
发布时间:2019-06-16 12:25 | 阅读:17441 | 评论:0 | 标签:事件 POS攻击

数百万Exim邮件服务器正在遭受攻击

据安全研究人员称,目前还有数百万的Exim邮件传输代理(MTA)运行的是未升级过的版本,所以这些邮件服务器的攻击面非常大,攻击者可以很容易对这些老旧版本发起攻击。自Exim 4.90.1发布以来, Exim更新版本已应用到Linux发行版中,但网上那些未修复的系统仍是个问题。本次研究者发现,攻击者在这些老旧版本的Exim邮件服务器中,通过SSH获得对被攻击设备的永久root访问权限。其实早在2018年3月,Exim就因CVE-2018-678漏洞,而影响了全球过半邮件服务器。本次攻击者,攻击者利用的这个漏洞为CVE-2019-10149,并被Qualys命名为"The Return of the WIZard
发布时间:2019-06-14 17:25 | 阅读:18223 | 评论:0 | 标签:事件 Exim邮件

针对中亚地区政府部门的攻击:通过Office漏洞传播新型Hawkball后门

一、概述近期,FireEye Labs观察到针对中亚政府部门的攻击,该攻击利用众所周知的Microsoft Office漏洞CVE-2017-11882和CVE-2018-0802提供新型Hawkball后门。Hawkball是一个后门,攻击者可以利用该后门收集受害者的信息,同时可以提供Payload。Hawkball能够对主机进行信息收集、创建命名管道执行本地Windows命令、终止进程、创建/删除及上传文件、搜索文件、列举驱动器。下图展示了实际攻击中所使用的诱饵文件。诱饵文件doc.rtf(MD5值为:AC0EAC22CE12EAC9EE15CA03646ED70C)包含一个OLE对象,该对象使用公式编辑器将嵌入的
发布时间:2019-06-14 12:25 | 阅读:16214 | 评论:0 | 标签:事件 Hawkball office 后门 漏洞

网红、大V、明星的隐私信息大量被泄露!走过路过不要错过,买不买没关系,到屋里瞧一瞧!

还记得2017年Instagram 600万名人账号信息泄漏的事件吗?2017年8月底,小天后赛琳娜(Selena Gomez)的IG帐号(Instagram)被黑客入侵,导致其前男友贾斯汀比伯的裸照被曝光。当大家以为事件已经结束的时候,紧接着Instagram被证实出现了严重漏洞问题,导致600万账号信息泄露,其中就有很多加V认证过的名人用户账号。超4900万条Instagram名人账户数据再一次被泄漏!根据最新的报道,Instagram位于AWS存储桶上的一个大型数据库由于保护不当,任何没有访问权限的人都可以访问它。目前,由该漏洞造成的损失和危害还在评估当中。另外,该数据库漏洞是由安全研究人员Anurag Sen首
发布时间:2019-05-21 17:25 | 阅读:29496 | 评论:0 | 标签:事件 信息泄露

某家电电商平台遭薅羊毛分析:黑产利用拉新刷分+折扣代购作恶

1、事件描述概述近日,威胁猎人业务情报监测平台TH-Karma监测到有黑灰产团伙大量涌入某个家电电商平台,针对其“新用户专享好礼”活动发起薅羊毛攻击,通过刷拉新奖励并折扣价代购的形式进行变现。该平台日常活跃度并不高,但在15日和16日两天内,我们所监控到的其黑产流量达到全网第一,15日单日黑灰产攻击量达17万+。目前该平台已经修改活动规则。薅羊毛逻辑此电商平台发起的“新用户专享好礼”活动显示,只要成功邀请好友注册即可获得2000积分,价值20元,积分可以购物时抵扣,邀请人数没有上线。因此,黑灰产通过刷拉新奖励并折扣价代购的形式进行变现。一方面黑灰产提供代刷积分的服务,通过提供虚假新用户帐号,帮助某些用户刷积分量,200
发布时间:2019-05-21 12:25 | 阅读:20478 | 评论:0 | 标签:事件 薅羊毛

比ShadowBrokers抢先一步?间谍组织Buckeye在美国国安局黑客工具泄露之前就率先使用

概述2017年,一个自称为Shadow Brokers(影子经纪人)的神秘组织,泄露了著名的Equation组织的一系列黑客工具,该事件也随即成为近年来最重要的网络安全事件之一。Equation组织(方程式组织,美国国家安全局NSA下属组织)被认为是世界范围内技术最成熟的间谍组织之一,其工具的泄露,显然对安全领域产生了重大影响,许多攻击者纷纷利用泄露的工具实现恶意软件的制作和实际攻击。其中一个更为著名的工具,即EternalBlue(永恒之蓝)漏洞利用工具,被广泛用于2017年5月爆发的WannaCry勒索软件之中,并对世界范围内的用户产生了破坏性影响。然而,Symantec已经发现有证据表明,Buckeye网络间谍组
发布时间:2019-05-10 12:25 | 阅读:45023 | 评论:0 | 标签:事件 间谍组织Buckeye

持续使用KimJongRAT和PCRat发动攻击:BabyShark恶意软件分析

一、摘要2019年2月,Unit42发布了一篇关于BabyShark恶意软件系列的文章,其中涉及到针对美国国家智库的相关鱼叉式网络钓鱼活动。自该文章发布以来,直到2019年3月和4月,攻击者已经将目标扩展到加密货币行业,表明这些攻击背后的攻击者也在尝试获取经济利益。在跟踪该威胁组织的最新活动时,Unit42的研究人员收集了BabyShark恶意软件的服务器端和客户端文件,以及两个编码后的二级PE Payload文件,恶意软件在收到恶意运营者的命令之后会安装这些文件。通过分析这些文件,我们可以进一步从整体上了解BabyShark恶意软件的多阶段结构和功能,例如它如何尝试维护操作安全性和支持的远程管理命令。根据我们的研究,
发布时间:2019-05-09 12:25 | 阅读:26484 | 评论:0 | 标签:事件 BabyShark

华硕供应链攻击事件:针对ShadowHammer恶意活动第一阶段Payload的分析

一、概述3月,卡巴斯基发布了一份关于“ShadowHammer恶意活动”的供应链攻击报告,该报告中描述了攻击者如何通过ASUS Live Update Utility分发目标恶意软件,从而实现对华硕的攻击。本文主要对本次攻击中所使用的第一阶段Payload进行详细分析。二、事件回放2019年3月25日,卡巴斯基发布了一篇针对华硕供应链攻击的高级别报告。在报告中,卡巴斯基指出:“在2019年1月,我们发现了与ASUS Live Update Utility相关的复杂供应链攻击。该攻击发生在2018年6月至11月之间,根据我们的遥测,此次攻击影响了大量用户。”攻击的目标是一个未知的用户池,这些用户的网络适配器MAC地址已经
发布时间:2019-04-05 12:25 | 阅读:45598 | 评论:0 | 标签:事件 华硕

警惕隐私保护被妖魔化:监听是个伪命题

《圣经新约》中有一句名言:让“上帝的归上帝,恺撒的归恺撒。”但近期,一场猜测互联网平台App可能“监听”用户,并依此进行推送的舆论漩涡中,出现将隐私信息保护妖魔化的言论,以致大家在还没有厘清商品推荐的算法技术前,就集体陷入了没有事实依据的“监听”猜疑逻辑。从3月18日,由IT时报记者发布测试美团和饿了么App录音权限的文章,将“上海孙女士与同事闲聊提起想喝CoCo奶茶,后被外卖平台推荐该奶茶商品链接”等现象,都归结于“隔屏有耳”,指向是App通过“监听”进行的精准推送。到21日,IT时报微信公众号再次发文,强调“监听”猜疑。指出,除外卖App,电商类、资讯类、音乐类等App,也都曾出现过疑似“偷听”的现象,“监听”逻辑
发布时间:2019-04-02 17:25 | 阅读:41642 | 评论:0 | 标签:事件 监听

针对韩国网站的钓鱼和水坑攻击

研究人员发现一起针对韩国网站的钓鱼攻击活动,该攻击活动已成功入侵4家韩国网站,并通过注入伪造的登陆表单来窃取用户凭证。攻击活动使用了水坑攻击来注入恶意JS代码到网站中以加载浏览器漏洞利用或窃取金融信息,这种钓鱼活动很少见。研究人员将该攻击活动标记为Soula,它通过韩国主流搜索引擎的伪造的登陆屏来收集信息。它会发送记录的凭证到攻击者的服务器,因此研究人员认为攻击者仍然在验证和信息收集阶段。攻击链图1. Soula攻击链注入的脚本会对网站访问者进行化学,并在主页顶部加载钓鱼表格。它可以扫描HTTP referer header字符串,并检查其中是否含有与主流搜索引擎和社交媒体站点相关的关键字,来验证访问者是否是真实的。因
发布时间:2019-03-31 12:20 | 阅读:45626 | 评论:0 | 标签:事件 水坑攻击

Cardinal RAT攻击以色列金融科技公司

2017年Unit 42研究人员发现了一个恶意软件家族Cardinal RAT。该恶意软件家族在过去2年间销声匿迹,通过Carp下载器进行传播。研究人员近日发现主要攻击以色列金融科技公司的攻击活动,进一步分析发现了Cardinal RAT和EVILNUM之间的关系。EVILNUM是一个基于JS的恶意软件家族,用来攻击类似的组织。Cardinal RATCardinal RAT使用了一些混淆技术来隐藏自己,本文分析的样本是:最新的Cardinal RAT样本使用了不同的混淆技术来妨碍分析人员对底层代码的分析。混淆的第一层是隐写术,初始样本是用.net编译的,其中含有嵌入的BMP文件。图1.&
发布时间:2019-03-25 12:20 | 阅读:56229 | 评论:0 | 标签:事件 Cardinal RAT

Facebook明文存储近6亿密码 虽未泄漏但仍提醒修改密码

现在,很难用现有的隐私政策、安全策略等借口去掩盖这个事实:在北京时间今天凌晨,根据Krebs on Security报道,Facebook确认了密码管理系统的一个漏洞,这个漏洞可导致数亿的Facebook帐号、Instagram以及Facebook Lite的明文密码泄漏。这意味着数万名Facebook员工可以直接查阅明文的密码。Krebs的文章称这种情况可以追溯到2012年。一般来说,网站的运营者可以通过使用特定的单方加密的方法将密码存储在服务器上。通过这种方法,即时有人获得了这个密码,他们也无法知道这个密码具体是什么,这种已加密的密码也几乎不可能被利用起来。作为一个服务数亿用户的公司,Facebook一定知道他们要
发布时间:2019-03-22 12:20 | 阅读:47139 | 评论:0 | 标签:事件 Facebook 密码泄漏

委内瑞拉大规模停电事件的初步分析与思考启示

说明:2019年3月7日,委内瑞拉发生大规模停电事件。安天科技集团组织研究院、安天CERT等内部力量进行跟踪研判,并于3月9日、3月10日,向国家相关主管、职能部门报送了两期研判简报;广东省电力系统网络安全企业重点实验室积极跟进分析研判,于第一时间向主管部门报送了《委内瑞拉停电事件分析》,并于3月12日发布《“3·7”委内瑞拉大停电事件快报》。为进一步加强分析研判力量,双方决定成立联合分析研判组,继续推动该事件的持续跟进分析。基于双方已调研了解的情况和初步判断整合形成此份初步分析。【事件概述】(一)事件发生及进展2019年3月7日傍晚(当地时间)开始,委内瑞拉国内包括首都加拉加斯在内的大部分地区停电超过24小时[1],
发布时间:2019-03-18 12:20 | 阅读:69959 | 评论:0 | 标签:事件 委内瑞拉

杭州SW科技被曝利用SDK大规模进行数据窃取,获取联系人,QQ信息并跟踪用户

被曝光公司为杭州SW科技,利用该公司的SDK进行信息窃取!由中国IT和服务巨头杭州某科技控制的服务器通过数据窃取组件,来收集电话联系人列表,地理位置和QQ登录信息,该组件存在于第三方商店提供的多达12个Android应用程序中。窃取信息的代码隐藏在集成到看似安全的应用程序中的数据分析软件开发工具包(SDK)中,并在手机重新启动或受感染的应用程序启动时提供详细信息。checkpoint披露了这一起大规模的数据窃取活动,并命名为Operation Sheep.Checkpoint研究人员认为,收集最终用户的联系人列表的行为,开发者是不知道的,因为SDK是该公司提供。大多数相关应用程序都可以从应用程序商店安装,如腾讯应用宝,
发布时间:2019-03-14 17:20 | 阅读:66881 | 评论:0 | 标签:事件 SDK

埃及黑客攻破Joomla邮件服务Jmail

Joomla!是一款主流的CMS平台,被成千上万的企业广泛使用。过去研究人员也发现过Joomla的相关漏洞,比如CVE-2017-7985 Joomla Core序列化XSS过滤权限提升漏洞、CVE-2015-8562 Joomla对象注入远程代码执行漏洞。Check Point研究人员发现最近有攻击者利用Joomla!邮箱服务JMail的漏洞来发起攻击。图 1: Joomla漏洞统计Jmail是Joomla的邮箱服务,允许用户通过该平台来发送邮件。虽然该服务的初衷是发送邮件,但由于缺乏适当的安全机制,攻击者可以滥用该服务用于钓鱼、垃圾邮件活动,甚至可以在平台中应用后门基础设施。其实在HTTP请求的User-Agent
发布时间:2019-03-09 12:20 | 阅读:52730 | 评论:0 | 标签:事件 Joomla!

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词