01.Hacker_R_US 因炸弹威胁和 DDOS 勒索而入狱 8 年
美国法官将一名从事 DDoS 勒索计划,对全球公司和学校进行假炸弹威胁以及拥有儿童色情信息的 22 岁黑客判处 8 年监禁。黑客被确定为北卡罗来纳州温斯顿·塞勒姆 (Winston-Salem) 居民蒂莫西·道尔顿·沃恩 (Timothy Dalton Vaughn),该黑客于 2019 年 2 月被捕,于同年 11 月认罪,由于 COVID-19 出现原因导致延误判决,在周一被判处 95 个月监禁。沃恩以 Hacker_R_US 和 WantedbyFeds 的名称在网络上出现,是黑客组织 Apophis Squad 的成员,该组织在 2018 年前八个月引起轰动,然后在执法镇压后逐渐消失。该组织是响当当黑客小队,吹嘘要对他们的 Twitter 帐户发起 DDoS 攻击,但根据法院文件,他们还私下勒索了一些目标,要求提供赎金。但是,尽管他们不是唯一一个进行 DDoS 勒索的黑客组织,但 Apophis Squad 成员于 2018 年夏天脱离了轨道,当时不知出于什么样的原因,他们开始逐渐针对包括学校,机场,政府组织和许多私人公司在内的广泛目标,进行炸弹威胁。但是,他们在以这些目标进行攻击时并没有得逞,最后还落得执法镇压,尤其是在他们以虚假炸弹威胁迫使飞机紧急降落之后这件事。英国警方于 2018 年 8 月逮捕了该组织的领导人,第二年 2 月沃恩被捕。该小组的负责人以 optcz1,DigitalCrimes 和 7R1D3N7 等名称在网络上出现,并确定为来自英国赫特福德郡的 19 岁的乔治·杜克·科汉。杜克·科汉 (Duke-Cohan) 与 DDoS 勒索和虚假炸弹威胁有关,黑客于 2018 年秋季受到审判,并于 2018 年 12 月被判 3 年监禁。在美国的后续案件中,当局将沃恩与对长滩公司的 20,000 美元 DDoS 勒索以及对 86 个学区的炸弹威胁联系起来,他和其他同谋声称在该学区布置了硝酸铵和燃油炸弹,校车下方有火箭推进的手榴弹和运动场上的地雷。在随后的逮捕和房屋搜查中,联邦调查局表示,在沃恩的设备上找到了儿童色情信息,并收取了额外的费用。沃恩因涉嫌拥有儿童色情制品而被判处 95 个月的监禁,以其他罪名被判处 60 个月的监禁。
关键词:Hacker_R_US、Apophis Squad
发布时间:2020-12-01
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/hacker-r-us-gets-eight-years-in-prison-for-bomb-threats-and-ddos-extortion/
02.恶意软件绕过 DNA 筛选可导致 "生物黑客" 攻击
内盖夫本古里安大学的一组研究人员描述了一种对研究 DNA 的科学家的新网络攻击方式,利用此攻击方式进行攻击可能会引发生物战。科学家在现代社会中起着至关重要的作用,尤其是在 COVID-19 爆发期间。在《自然生物技术》学术期刊上发表的一篇题为《网络生物安全:合成生物学中的远程 DNA 注入威胁》的研究论文记录了如何利用恶意软件破坏生物学家的计算机,以替换 DNA 测序中的子字符串。攻击者可以利用《筛选框架指南》中的错误 (针对合成双链 DNA 和统一筛选协议 v2.0 系统的提供者) 来规避协议。专家解释说,生物学家每次向合成基因提供 DNA 序列时,美国卫生与公共服务部 (HHS) 指南都要求采用筛选方案来扫描可能有害的脱氧核糖核酸。研究人员使用恶意代码通过混淆来规避这些协议。测试表明,在 50 个混淆的 DNA 样本中,有 16 个能够绕过 DeoxyriboNucleic Acid 筛选。"Eve 是针对 Alice 的网络犯罪分子。Eve 可以轻松地用恶意软件感染 Alice 的计算机。Eve 用恶意序列取代了 Alice 的全部或部分序列。Eve 利用 DNA 混淆技术 (受网络黑客恶意代码混淆技术的启发) 以劫持的顺序伪装了致病性 DNA 片段。Bob 不会检测到恶意的脱氧核糖核酸;如果混淆,则基于最佳匹配的筛选过程将返回任何 200 bp 子序列的合法匹配。Eve 的序列可以包含所有必要的成分,随后可以通过 CRISPR–Cas9 介导的缺失和同源性指导的修复在体内对其进行混淆处理。"研究人员还解释说,攻击者可以对用于设计和管理合成 DNA 项目的软件进行攻击,以将任意 DNA 字符串注入到遗传顺序序列中。
发布时间:2020-11-30
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/111681/hacking/biohacking-attacks-dna-screening.html
一名黑客正在一个不对外公开的地下论坛兜售数百名企业高管的电邮账号。黑客兜售的是 Office 365 和 Microsoft 的电邮账号和密码,这些账户属于不同企业的 CEO、COO、CFO、CMO、CTO、总裁、副总裁、行政助理等,这些账号的价格在 $100 到 $1,500,根据企业规模和被访问者职位而定。有网络安全界人士获得了样本,获得了两个有效的登陆凭证,属于一位美国中等规模的软件公司 CEO 和一位欧洲零售连锁店 CFO。这名黑客拒绝透露是如何获得这些登陆凭证的。
发布时间:2020-11-27
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/a-hacker-is-selling-access-to-the-email-accounts-of-hundreds-of-c-level-executives/
04.专家揭秘 5 年来用于 APT 攻击的 Crutch 俄罗斯恶意软件
新的恶意软件被 ESET 研究人员命名为 Crutch,并且被归因于俄罗斯 APT 组织 Turla (又名毒熊或毒蛇) 所为。Turla 总部位于俄罗斯,惯常通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。此次,除了发现 2016 年的一个 Crutch 恶意软件样本与 Turla 另一个名为 Gazer 的第二阶段后门程序之间存在紧密联系外,多样化的恶意软件表明,Turla 组织仍然继续专注于针对知名目标进行间谍和侦察活动。Crutch 的目的在于将敏感文档和其他文件传输给 Turla 运营商控制的 Dropbox 帐户。而后门植入物被秘密安装在欧盟一个不知名的国家外交部的几台机器上。根据研究,Crutch 要么通过 Skipper suite 交付,后者是先前归属于 Turla 的第一阶段植入体,要么是通过一个名为 PowerShell Empire 的后攻击代理。在 2019 年年中前后还发现了两个不同版本的恶意软件。前者包括一个后门,它使用官方 HTTP API 与硬编码的 Dropbox 帐户进行通信,以接收命令并上载结果,而较新的变体 Crutch v4 可以使用 Windows Wget 实用程序自动将本地和可移动驱动器上的文件上载到 Dropbox。在研究人员看来,根据该组织复杂的攻击和技术细节来看,Turla 拥有相当多的资源来经营如此庞大和多样化的军火库。并且 Crutch 还会通过滥用合法的基础设施 (这里是 Dropbox) 绕过一些安全层,伪装成正常网络流量,以便窃取文档并从其运营商那里接收命令。
发布时间:2020-12-02
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2020/12/experts-uncover-crutch-russian-malware.html
一个名为 Bismuth 的高级威胁组织最近使用加密挖矿作为隐藏其活动目的并避免触发高优先级警报的方法。挖矿通常被认为是非关键性的安全问题,因此该方法允许参与者建立持久性并在受到攻击的网络上横向移动,同时从攻击中获利。自 2012 年以来,参与者一直在从事网络间谍活动。此后,攻击者将自定义工具与免费工具相结合,攻击的复杂性也随之增加。不过,在最近的竞选活动中,Bismuth 在法国和越南的私人和政府组织的受感染系统上启动了 Monero 挖矿机。微软检测到 7 月和 8 月发生的攻击,称加密劫持活动并没有改变参与者的目标,而是继续监视和窃取感兴趣的信息。黑客在发送针对特定收件人创建的鱼叉式网络钓鱼电子邮件之前,会先对受害者进行研究,以获取初始访问权限。研究人员说,攻击者甚至与受害者通信,以建立信任并增加成功感染的机会。
发布时间:2020-12-02
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/cyberespionage-apt-group-hides-behind-cryptomining-campaigns/
06.Gootkit 恶意软件与 REvil 勒索软件重新回归
在长达一年的假期后,Gootkit 信息窃取木马与 REvil 勒索软件在针对德国的一次新活动中回归。Gootkit 木马是基于 Java 的恶意软件,它执行各种恶意活动,允许攻击者的远程访问,击键捕获,视频记录,电子邮件盗窃,密码盗窃以及注入恶意脚本以窃取在线银行凭据。去年,Gootkit 攻击者将 MongoDB 数据库暴露在互联网上后导致了数据泄漏。这次破坏之后,人们认为 Gootkit 攻击者已经停止了他们的行动,直到他们在本月初突然回归。上周,一位 The Analyst 的安全研究人员告诉 BleepingComputer,Gootkit 恶意软件在针对德国的攻击中再次出现。在这个新的恶意活动中,攻击者正在入侵 WordPress 网站并利用 SEO 向访问者显示虚假的论坛帖子。这些帖子伪装成一个问题和答案,并带有指向虚假表格或下载内容的链接。当用户单击链接时,他们将下载一个包含混淆的 JS 文件的 ZIP 文件,该文件将安装 Gootkit 恶意软件或 REvil 勒索软件。
REvil 于 2019 年 9 月使用了相同的分发方法,大约在 Gootkit 消失的同时。
发布时间:2020-11-30
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/gootkit-malware-returns-to-life-alongside-revil-ransomware/

- End -