01.BlackShadow 黑客敲诈以色列保险公司 100 万美元
攻击者勒索一家以色列保险公司,要求提供将近 100 万美元等价的比特币,收到钱后就不再泄漏该公司被窃取的数据。周一,一个自称为 BlackShadow 的网络犯罪组织在 Twitter 上说,他们在攻击过程中入侵了以色列 Shirbit 保险公司并窃取了文件。攻击者在推特上说:“BlackShadow 团队进行了一次大规模的网络攻击。对以色列 Shirbit 公司的网络基础设施进行了大规模攻击。”从那时起,攻击者就一直在他们为此目的创建的电报频道中不断泄露受害者的文件和图像。这些窃取的数据包括文档,电子邮件 PST 文件,扫描的文档,录音和护照图像。
昨晚,攻击者发布了赎金要求,要求 Shirbit 在 24 小时内支付 50 个比特币 (约合 100 万美元),收到后便会停止向外公开数据。攻击者警告说,如果不付款,他们将继续每隔 24 小时公开一次数据。
在撰写本文时,比特币地址 13YiK3qHxTdGcD6nfCf7vWXFgWXnbpJvy2 尚未收到任何付款。
发布时间:2020-12-04
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/blackshadow-hackers-extort-israeli-insurance-company-for-1-million/
02.VMware 修复了 NSA 报告的 0day 漏洞
VMware 已发布安全更新,以解决 VMware Workspace One Access,Access 连接器,Identity Manager 和 Identity Manager 连接器中的 0day 漏洞。该漏洞是一个命令注入 Bug,漏洞编号为 CVE-2020-4006,并在两周前公开披露。VMware在公布 0day 漏洞时并未发布任何安全更新,但 VMware 提供了一种变通办法来帮助管理员降低受影响设备上的错误。如果成功利用此漏洞,攻击者可以利用该漏洞在 Linux 和 Windows 操作系统上提权并执行命令。最初,公司没有透露报告该漏洞的组织或研究人员的身份,但 VMware 承认美国国防部情报机构在周四所在安全通报更新中所做的贡献。VMware 还将 Bug 的 CVSSv3 基本得分降低到 7.2,最大严重性等级从严重降低到重要。CVE-2020-4006 存在于某些版本的 VMware Workspace ONE Access,Access 连接器,Identity Manager 和 Identity Manager 连接器的管理配置器中。具有对 8443 端口上的管理配置器的网络访问权限和配置 admin 帐户的有效密码的攻击者,可以在操作系统上以不受限制的特权执行命令。
发布时间:2020-12-04
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/vmware-fixes-zero-day-vulnerability-reported-by-the-nsa
03.BTC-e 创始人为勒索软件团伙洗钱,被判 5 年监禁
一名已经破产的 BTC-e 加密货币交易所的创始人今天被判处有期徒刑五年,并处以 10 万欧元的罚款,原因是给网络犯罪分子洗钱,包括勒索软件团伙。在法国检察官未能证明 BTC-e 创始人直接参与了 Locky 的创建和分发之后,41 岁的俄罗斯人 Alexander Vinnik 躲过了更高的刑罚。Locky 是一种勒索软件,在 2016 年和 2017 年一直活跃。法官最后判他有组织洗钱罪。经过漫长而复杂的法律斗争,Vinnik 于今年秋天在巴黎受审。他最初于 2017 年 7 月在希腊北部的避暑胜地度假时被捕。希腊警察根据美国发行的国际逮捕令将其拘留,原因是他参与了运营 BTC-e (Vinnik在 2011 年与俄罗斯同胞 Aleksandr Bilyuchenko 一起创立的加密货币交易所)。美国当局表示,Vinnik 将 BTC-e 作为一家洗钱的公司来运营,从黑客和其他形式的网络犯罪中获得资金,并帮助骗子将偷来的资金兑现为法定货币。
但是 Vinnik 的逮捕不是一个公开的案件,随之而来的是一场有争议的法律斗争。Vinnik 的逮捕一经公开,俄罗斯当局就也提出了自己的引渡请求,称 Vinnik 也是俄罗斯涉嫌 2013 年 的一起 9,500 欧元欺诈指控的嫌疑人。有关此案的细节仍然模糊不清,但专家表示,俄罗斯当局正试图将 Vinnik 带回国内,以防止 BTC-e 创始人向美国情报部门泄露机密。
发布时间:2020-12-07
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/btc-e-founder-sentenced-to-five-years-in-prison-for-laundering-ransomware-funds/
04.网络安全公司 FireEye 被国家黑客攻击
网络安全公司 FireEye 是最著名的网络安全公司之一,它为全球政府机构和公司提供产品和服务。专家们将此次攻击归咎于与俄罗斯有关的黑客。FireEye 在周二透露,自己的系统被所谓的拥有一流进攻能力的国家所攻击。该公司表示,黑客利用新颖技术通过自己的工具包进行了攻击。最后通知执法机构 FBI 对黑客进行了调查。该安全公司并未将袭击归因于特定攻击者,但纽约时报指出,联邦调查局参与调查的代理商是俄罗斯专家。入侵者对收集有关公司使用的工具 (即所谓的红队工具) 的信息感兴趣。红队工具是根据公司在野外攻击中发现的恶意软件开发的自定义工具。红队工具可以把它看作是世界上最复杂的黑客工具,是公司用于对 FireEye 客户系统的渗透测试和漏洞评估。在迄今为止的调查中,我们发现攻击者访问了某些用于测试客户安全性的红队评估工具。这些工具模仿了许多网络攻击者的行为,并使 FireEye 能够为我们的客户提供基本的诊断安全服务。这些工具都不包含 0day 攻击。FireEye 武器库中的工具放置在某种数字保险箱中,但是如果使用不当,这些工具可能会非常危险。攻击者可以使用这些工具进行攻击,好处无法找到自己。专家们强调了这样的风险,即俄罗斯情报机构在发动袭击方面占优势,而美国当局则专注于确保总统选举制度。这是自 2016 年 ShadowBrokers 组织盗窃国家安全局以来最严重的黑客事件。
发布时间:2020-12-08
发布平台:SecurityAffairs
原文链接:
https://securityaffairs.co/wordpress/112092/breaking-news/fireeye-hacked.html
05.挪威:俄罗斯 APT28 组织可能在议会背后攻击
挪威警察安全局 (PST,Politiets Sikkerhetstjeneste 的缩写) 称,俄罗斯黑客组织 APT28 可能已于 2020 年 8 月 24 日暴力破解了多个挪威议会电子邮件帐户。攻击者获得了由 Stortinget 主管 Marianne Andreassen 透露的有限数量的 Stortinget 代表和员工电子邮件帐户的访问权限。9 月 1 日在议会网站上发表的一份声明说,他们能够从每个被黑客入侵的电子邮件帐户中窃取数据,但是调查人员没有透露从电子邮件收件箱中窃取的数据。一个月后,挪威外交大臣 Ine EriksenSøreide 分享了有关八月议会袭击事件的更多信息,称这是俄罗斯黑客所为。俄罗斯官方否认了挪威的指控,称这并非基于新闻社 TASS 的证据。分析表明,这项操作很可能是由 APT28 和 Fancy Bear 的网络攻击者共同所为。攻击者与俄罗斯军事情报部门 GRU 有联系,更具体地说,与他们的第 85 特勤中心 (GTsSS) 有联系。
发布时间:2020-12-08
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/norway-russian-apt28-state-hackers-likely-behind-parliament-attack/
06.俄罗斯 APT28 黑客使用 COVID-19 诱饵分发 Zebrocy 恶意软件
一个众晓周知的俄罗斯攻击者组织以 COVID-19 为诱饵进行攻击的活动再次出现在人们视野中,这再次表明了对手是如何熟练地利用当前世界事件的。网络安全公司 Intezer 表示,该行动与 APT28 的一个子类别 (也称为 Sofacy,Sednit,Fancy Bear 或 STRONTIUM) 相关联,以 COVID-19 为主题的网络钓鱼电子邮件被用来分发 Go 版本的 Zebrocy (或 Zekapab) 恶意软件。这家网络安全公司告诉 The Hacker News,这些活动是在上个月底观察到的。Zebrocy 主要通过网络钓鱼攻击进行投递,其中包含诱骗的 Microsoft Office 文档,宏以及可执行文件附件。此恶意软件的幕后操纵者于 2015 年首次被发现,与 GreyEnergy 重叠,该组织被认为是 BlackEnergy aka Sandworm 的继任者,是与 SOFAXY 和 GreyEnergy 有关的子小组角色。它充当后门和下载器,能够收集系统信息,文件操作,捕获屏幕截图并执行恶意命令。虽然 Zebrocy 最初是用 Delphi 编写的,但此后已用六种语言实现,包括 AutoIT,C ++,C#,Go,Python 和 VB.NET。Intezer 发现的这一特定活动使用 Go 版本的恶意软件,该恶意软件首先由 Palo Alto Networks 于 2018 年 10 月记录,随后由 Kaspersky 于 2019 年初记录,诱饵作为虚拟硬盘 (VHD) 文件的一部分提供,该文件要求受害者使用 Windows 10 访问文件。挂载后,VHD 文件将显示为带有两个文件的外部驱动器,一个为 PDF 文档,其中包含有关国药控股国际公司的演示幻灯片,国药控股国际公司是一家中国制药公司。第二个文件是一个伪装为 Word 文档的可执行文件,该文件在打开时会运行 Zebrocy 恶意软件。Intezer 表示,还观察到针对哈萨克斯坦的另一起袭击,可能带有网络钓鱼诱饵,冒充印度民航总局的疏散信。最近几个月,在野外多次发现关于 Zebrocy 的网络钓鱼活动。去年 9 月,ESET 详细介绍了 Sofacy 针对东欧和中亚国家外交部的侵入性活动。然后在 8 月初,QuoIntelligence 以共享北约培训课程为幌子分发 Zebrocy Delphi 变体,发动了针对阿塞拜疆政府机构的另一项活动。Zebrocy 后门的 Golang 版本也引起了 CISA 的注意,该机构于 10 月下旬发布了一份警告,警告说该恶意软件旨在允许远程操作者对受感染的计算机执行各种功能。
发布时间:2020-12-09
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2020/12/russian-apt28-hackers-using-covid-19-as.html
- End -
