- A+
九月第一天,愿你吃好睡好工作好!元气满满每一天!
今天是 2017 年 9 月 1 日星期五,新的一月, BUF 早餐铺依然为大家送上美味大餐。今天份的早餐内容有:当红女星 Selena Gomez 的 Instagram 账号被黑,发布 Justin Bieber 裸照;Turla APT 组织的又一波行动:利用后门程序 Gazer 针对全球各地领事馆、大使馆发动攻击;瑞典 web 主机供应商Loopia遭遇严重数据泄露事故,客户数据全部被窃取 ;最新社工攻击:被黑的合法网站字体乱码,要求用户下载缺失字体却暗含恶意程序 ;46.5 万台心脏起搏器存在安全漏洞,需要进行固件更新才能修复 ;腾讯回应”微信发送原图泄露隐私”:与微信并无关;将近 3000 个比特币挖矿机通过 Telnet 端口暴露在网上,疑似来自中国;Firefox 57 有了新的安全防护,阻止 App 滥用辅助功能窃听用户。
【国际时事】
美国著名歌手 Selena Gomez 的 Instagram 账号被黑,黑客还发了Justin Bieber 的裸照
美国著名歌手、演员 Selena Gomez 的 Instagram 账号最近被黑,黑客入侵其账号后还发了Justin Bieber 的三张裸照(前男友大戏)。据称,此次事件应该与近期的 Fappening 2017艳照门事件无关。这些 Justin Bieber 的裸照是 2015 年就泄露在网上的,黑客给这张照片搭配的文字是 “LOOK AT THIS N**A LIL SHRIMPY”(看这只弱鸡)。当前 Selena 的 Instagram 账号有超过 1.25 亿粉丝,是 Instagram 粉丝数最多的账号。本周一晚间,此帐号被黑后很快就下线了,Selena 团队迅速反应,几分钟内重新拿到账号并删除了 Bieber 的裸照。当前尚不清楚 Selena 的 Instagram 账号是如何被黑的,媒体猜测可能是钓鱼所致。 详情可看 FreeBuf 报道 。[ SecurityAffairs ]
Turla APT 组织的又一波行动:利用后门程序 Gazer 针对全球各地领事馆、大使馆发动攻击
ESET 安全研究人员最近发现一波新的恶意程序活动,主要针对的是全球范围内的领事馆、大使馆,用来对政府和外交官进行窃听。这波恶意程序活动从 2016 年开始活跃,利用一款名为 Gazer 的后门。研究人员认为攻击是由 Turla APT 黑客组织发动的,先前就有安全公司认为 Turla 与俄罗斯情报部门有关。Gazer 采用 C++ 编写,通过钓鱼邮件投递,劫持目标设备分两步走,首先投递 Skipper 后门,随后安装 Gazer 组件。
在以往的网络间谍活动中,Turla 也采用 Skipper 作为第一阶段,不过后续用的是 Carbon 和 Kazuar 后门——和 Gazer 存在诸多相似性。Gazer 会从远程 C&C 服务器获取加密命令,利用被入侵的合法网站作为代理,躲避检测。另外 Gazer 没有采用 Windows Crypto API,而是用 3DES 和 RSA 加密库对数据进行加密,再发往 C&C 服务器;还采用代码注入技术控制设备,长期隐蔽窃取信息;还有能力将恶意命令转发到相同网络中的其他设备上。ESET 发现,Gazer 主要窃听欧洲东南部和前苏联政治目标。研究人员表示 Gazer 已经在全球范围内感染了不少目标,大部分受害者位于欧洲。[ TheHackerNews ]
瑞典 web 主机供应商 Loopia 遭遇严重数据泄露事故,客户数据全部被窃取
瑞典主机服务提供商 Loopia 最近遭遇入侵,整个客户数据库都泄露了。Loopia 前两天已经确认了此次数据泄露事件,事故发生在 8 月 22 日,而到 8 月 25 日 Loopia 才通知其客户的。Loopia 在声明中说,攻击者窃取的客户数据包括个人和联系信息,还有 Loopia Kundzon 的哈希密码(但没有公布加密采用何种哈希算法),但不涉及邮箱、网站、数据库一类用户服务,而且也不存在支付卡信息泄露。当前 Loopia 已经对用户密码进行重置并敦促用户更新个人信息,同时表示,目前不清楚黑客是如何入侵系统的,事件仍在调查中。[ SecurityAffairs ]
【安全漏洞】
最新社工攻击:被黑的合法网站字体乱码,要求下载缺失字体却暗含恶意程序
安全研究人员 MalwareBreakdown 近期发布一份社工分析报告,最新的这波攻击效仿了先前的 EITest HoeflerText 活动。当用户访问一家被黑的网站后,用户会收到通知,通知宣称系统缺少 Roboto Condensed 字体,需要用户下载安装字体包才能正常浏览网站。如果用户真的安装了所谓的“字体安装包”,就会感染木马下载器、keylogger 和挖矿机。
就攻击者来说,首先需要入侵一家合法网站,对其进行篡改,每个页面都加入 JS 恶意代码,导致页面文字成为乱码——看起来就像字体缺失一样。访客访问这家网站的时候,JS 就会显示缺失字体的警告,用户如果真的点击更新按钮,脚本会下载名为 chromefp60.exe(Firefox 则下载 mozillafp60.exe)的文件,用户执行后就会安装恶意程序 payload 了,不同类型的恶意程序包括门罗比挖矿机、Ursnif keylogger 和 Trojan.Downloaders。[来源: BleepingComputer ]
46.5万台心脏起搏器存在安全漏洞,需要进行固件更新才能修复
FDA 美国食品药品监督管理局最近发出一份安全公告,提到大约 46.5 万台心脏起搏器设备存在安全问题,可被黑客入侵,需要进行关键软件更新才能解决问题。据说其中存在的漏洞可让黑客篡改设备设置,并将其关闭,这对病人而言会产生致命威胁。FDA 提到,未经授权的攻击者利用漏洞,以及可以买到的工具,就能篡改心脏起搏器的程序命令,导致电池快速耗尽或错误的调节控制。
这些存在漏洞的心脏起搏器是由 Abbott Laboratories 生产的(先前叫做 St. Jude Medical)。如果要修复漏洞,病人必须去找医生或者医疗供应商,进行固件更新——除了美国国内,美国国外还有 28 万台设备需要更新。值得一提的是,2016 年,Muddy Waters 曾经发布过一份 St. Jude Medical 生产的其他植入式设备存在安全问题的报告,而 St. Jude Medical 不仅不承认这份报告,还将其推上法庭。最终 FDA 进行调查确认了 Muddy Waters 报告的正确性。[来源: HackRead ]
【国内新闻】
腾讯回应”微信发送原图泄露隐私”:与微信并无关
近日,据央视新闻客户端报道称,微信发送照片时选择“原图”传送会暴露个人的位置信息,经过修图软件处理后仍有显示。拍照时软件调用 Exif 中的 GPS 全球定位系统数据,这些来自于手机内部的传感器以及陀螺仪的数据,把拍照时的位置时间等记录下来。
对此,微信官方公众号回应称,任何智能手机拍摄的照片,都含有 Exif 参数,可以调用 GPS 全球定位系统数据,在照片中记录下位置、时间等信息。当用户把原始图片发送给其他人时,所附带的信息也一并发出去。所谓的地理位置信息泄露,与微信无关。此外,用户在朋友圈发送的图片都经过了系统自动压缩,不是原始图片,已不带位置信息。同时也提醒用户,注意个人信息保护,在智能手机“设置”中,关闭定位服务等隐私相关功能。[来源: 新浪科技 ]
【其他】
将近3000个比特币挖矿机通过Telnet端口暴露在网上,疑似来自中国?
荷兰安全研究人员 Victor Gevers 最近发现 2893 个比特币挖矿机暴露在互联网上,而且相应 Telnet 端口没有密码。所有的挖矿机都在相同的矿池中处理比特币交易,看起来应该属于同一家组织。Gevers 表示,从暴露的挖矿机和设备的 IP 地址来看,这应该是中国政府旗下的某个组织。受影响的组织似乎很快就看到了 Gever 发的推特,并很快将暴露在外的设备保护了起来。
当前绝大部分挖矿设备都已经无法通过 Telnet 访问,毕竟 2893 个挖矿机能够产生的实际收益还是相当可观的,有一名 Twitter 用户表示这么多矿机如果挖莱特币,每天的收入可以超过 100 万美元。Gevers 当前还在调查为何这些设备会在这么长的时间内暴露在网上,还没有 Telnet 密码,似乎有人尝试在设备上安装后门或恶意程序,还有研究人员则表示这些设备可能是加入到了迅雷的共享带宽计划中。[来源: BleepingComputer ]
Firefox 57有了新的安全防护,阻止App滥用辅助功能窃听用户
预计将在 11 月 14 日发布的 Firefox 57 会加入一项新的安全特性,可阻止辅助应用(accessibility apps)访问浏览器的数据。Accessibility 辅助特性实际上是为残障人士准备的。Firefox 的辅助特性可让某些特殊的辅助 App 连接到浏览器,将浏览器中的数据传递给残障人士。比如屏幕朗读器使用 Firefox 的辅助支持特性会将活跃 web 页面的内容、菜单、按钮、浏览器记录等朗读出来。但现在有应用利用此特性收集用户数据,Mozilla的工程师表示这样的应用还不少。所以新版 Firefox 在设置选项隐私项中加入了辅助活跃状态显示,并且提供关闭辅助特性的开关。
此外,Firefox 在 “about:support” 页面中也加入了辅助选项部分,如果辅助特性开启,这部分则会列出所有使用此特性的 App,这样用户就能发现窃听用户、恶意收集数据的 App了。值得一提的是,Firefox 57 将首度开始支持 WebExtensions 扩展系统。
