德国捣毁全球最大暗网Hydra并查获2500万美元的BTC
发布时间 2022-04-07德国捣毁全球最大暗网Hydra并查获2500万美元的BTC
4月5日星期二,德国联邦刑事警察局(Bundeskriminalamt)宣布成功捣毁了暗网Hydra。该市场约有19000个注册的卖家,为全球至少1700万客户提供服务,据估计其在2020年的营业额为13.5亿美元,是全球最大的暗网市场。调查人员透露,他们不仅关闭了Hydra在德国服务器,还查获了价值543.3个比特币(价值2500万美元)。目前,Hydra的主域名和备份域名处于脱机状态,显示错误消息“502 Bad Gateway”。
https://www.hackread.com/germany-russia-dark-web-market-hydra-seize-btc/
美国运通的在线系统出现故障导致其全球服务中断
据媒体4月2日报道,美国运通的全球服务中断数小时。中断发生在4月1日,用户报告无法登录其美国运通账户、无法付款或电话联系美国运通的客服。该公司在其官网发布通告,称其“意识到技术问题”正在影响电话线路、在线账户服务和美国运通移动应用。研究人员经过多次测试后推断,该问题可能与美国运通最近推出的“所有帐户一次登录”功能有关,但这无法解释电话服务为何中断。目前,中断原因尚不明确,内部人士称并非源自网络攻击。
https://www.bleepingcomputer.com/news/security/american-express-down-in-outage-users-report-login-and-payment-issues/
西班牙Iberdrola遭到攻击泄露130万客户的数据
媒体4月2日称,西班牙能源公司Iberdrola泄露了130万客户的个人信息。该公司已证实,他们在3月15日遭到网络攻击,黑客非法访问了客户的身份证号码、地址、电话号码和邮件地址等信息。Iberdrola表示,该问题已在当天被修复,其成功阻止了进一步的攻击,但还是提醒客户注意利用这些信息的钓鱼活动。据称,在同一天中,马德里的通勤铁路网络Cercanías、西班牙议会和几个地区的机构也遭到了攻击。
https://www.surinenglish.com/spain/cyberattack-iberdrola-accessed-20220401183800-nt.html
德国Nordex多个分公司的系统因遭到入侵而关闭
媒体4月4日报道称,德国风力涡轮机制造商Nordex遭到攻击后,关闭了多个分公司和业务部门的系统。Nordex主要设计、制造和销售风力涡轮机,2021年的销售额接近60亿美元,在德国、中国、墨西哥、美国、巴西、西班牙和印度设有工厂。攻击发生在3月31日,其检测到攻击后立刻进行了响应,客户、员工等利益相关者可能会受到多个IT系统关闭的影响。Nordex在本周一没有回应关于其运营状况的评论请求。
https://therecord.media/german-wind-turbine-maker-shut-down-after-cyberattack/
Mandiant披露黑客团伙FIN7演变过程的详细信息
4月4日,Mandiant发布了关于2021年底至2022年初FIN7运营活动的详细技术报告。FIN7在入侵过程中继续利用PowerShell,包括在一个新后门POWERPLANT,以及正在开发的BIRDWATCH下载器的新版本CROWVIEW和FOWLGAZE。FIN7的初始访问技术已经多样化,除了传统的钓鱼攻击外,还通过软件供应链入侵和使用被盗凭证。多个勒索活动与FIN7有重叠,涉及勒索软件REVIL、DARKSIDE、BLACKMATTER和ALPHV。
https://www.mandiant.com/resources/evolution-of-fin7
Cyble发布新恶意软件Borat RAT的深度分析报告
Cyble在3月31日发布了关于恶意软件Borat RAT的深度分析报告。开发者以一部黑色喜剧伪纪录片“Borat”的名字命名该RAT,与其它RAT不同的是,除了常见的RAT功能之外,Borat还向攻击者提供勒索软件和DDOS服务,进一步扩展了恶意软件的功能。Borat RAT作为一个包提供,其中包括构建器的二进制文件、支持模块、服务器证书等,是集远程访问木马、间谍软件和勒索软件的于一体的强大组合,对目标具有三重威胁。
https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/
安全工具
CVE-2022-22963的PoC
Spring Java Framework远程代码执行漏洞的PoC。
https://github.com/darryk10/CVE-2022-22963
BackupOperatorToDA
可以在没有 RDP 或域控制器上的 WinRM 的情况下成为域管理员。
https://github.com/mpgn/BackupOperatorToDA
DuplicateDump
是MirrorDump的一个分支,能够在不检测到的情况下转储 LSASS 内存。
https://github.com/Hagrid29/DuplicateDump
Slyther
Slyther 是 AWS 安全工具,用于检查 S3 存储桶的读/写/删除访问权限。
https://github.com/iamavu/Slyther
安全分析
CISA 提醒主动利用的 Spring4Shell 漏洞
https://thehackernews.com/2022/04/cisa-warns-of-active-exploitation-of.html
GitLab 发布可能让攻击者劫持账户的关键漏洞补丁
https://thehackernews.com/2022/04/gitlab-releases-patch-for-critical.html
Anonymous泄露从俄罗斯东正教教堂窃取的 15 GB 数据
https://securityaffairs.co/wordpress/129760/hacktivism/anonymous-hacked-russian-orthodox-church.html
欧盟法律草案为所有加密交易增加了安全检查
https://www.bleepingcomputer.com/news/legal/eu-draft-law-adds-security-checks-to-all-crypto-transactions/
苹果礼品卡诈骗团伙因涉嫌参与 150 万美元欺诈而被判刑
https://www.darkreading.com/attacks-breaches/apple-gift-card-scammers-sentenced-for-role-in-1-5m-fraud
研究人员发现PEAR PHP存储库中2个存在15年的漏洞
https://securityaffairs.co/wordpress/129797/hacking/pear-php-critical-flaws.html
京公网安备11010802024551号