数据泄露
一、万豪旗下喜达屋酒店数据库遭入侵,5亿顾客信息或泄露
作为一家国际五星酒店,能够勇敢的承认自己被黑了,数据泄露了,这已经是一种具有社会责任感的体现,比国内某家知道自己被黑了还藏着掖着各种发律师函要强太多了。
对了,我的观点是,数据泄露是必然的,发生泄露事件后的完善应急响应才是必要的。
下面看内容
完整的酒店公告见此:/
另外本穷鬼也想住得起万豪,欢迎进知识星球
二、戴尔系统被黑,用户密码被强制重置
戴尔今日称,在11月9日检测到系统被黑,试图盗取、Premier、Global Portal和站点上的消费者数据。
具体于11月9日从系统上检测到越权用户,其试图从账户中窃取消费者信息,包括姓名、邮件地址和哈希密码。
戴尔表示和一家数字取证公司以及执法部门合作开展调查,虽然调查结果显示并未有信息被盗,但戴尔决定对所有账户执行强制重置密码。当用户再次登录时,会看到提示。
目前戴尔宣称是并未发现数据被盗的证据,所以现在某些公众号已经开始造谣了,小心被律师函
但用户仍然有必要修改其它网站上所使用的和上密码同样的密码。并监控信用报告和信用卡余额情况,以防攻击者能够访问金融信息。
三、1.14亿条美国公民和企业记录遭泄露
包含超过1.14亿条美国公民和企业记录的海量数据库被暴露到网上。受影响的人数预计约8300万人。
爱沙尼亚渗透测试公司HackenProof通过Shodan搜索引擎(shodan666)发现了这些海量数据缓存。
其中一个实例中包含有56934021名美国公民的个人信息,数据如姓名、所在公司、职位、邮件和街道地址、邮编地址、电话号码以及IP地址。这个数据库中还包括超过2500万的此类数据:姓名、邮编地址、载体路线、经纬度、人口调查统计区、电话号码、网络地址、邮件、员工数量、收益号码、NAICS码、SIC码等。
信息遭暴露的根因在于Elasticsearch实例配置不当(666),导致任何人未经认证即可访问数据。这种错误通常会遭网络犯罪分子用于植入恶意软件,远程连接至服务器并利用其资源或要求支付勒索金。
威胁情报
一、
#APT攻击#Fractured Block活动,使用CARROTBAT木马针对东南亚的进行攻击
本次最开始为利用DDE进行SYSCON投放,最后SYSCON回连C&C为
https://881.000webhostapp[.]com
通过这个C&C可以关联出KONNI 和CARROTBAT木马。
并在最后通过延伸 基础设施树状图 扩展关联到中国黑客组织的OceanSalt木马。
因此尚不能确定该马是来自哪个组织,毕竟KONNI,syscon的归属组织本来就很模糊,朝韩都会用。
还有一个案例是利用hwp文档进行投放,最后会下载一个CAD文件,解开后为3个文件,最后利用异或脚本解码后会得到C&C,攻击手段在近期较为新颖,以前也有过。
Fractured Block活动时间线如下图
相关链接:
//11/unit42-the-fractured-block-campaign-carrotbat-malware-used-to-deliver-malware-targeting-southeast-asia/
从这个报告关联的报告可以参考下面
腾讯的SYSCON NOKKI等的互相关联 /articles/network/187067.html
麦咖啡的
/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf
二、Black Limousine活动,kimsuky组织最新活动
kimsuky是当年卡巴披露的一个疑似朝鲜来源的组织,当然现在已经默认是朝鲜的了。
利用hwp+eps+shellcode - > 与通信 - > 成功则下载payload ->
?shellcode中指向的通信网站URL,然后什么信息都没提了
相关链接:
http://blog.alyac.co.kr/
三、
新披露恶意软件提供商Golden Chickens以及底下两个组织:GC01和GC02,其与cobalt具有很强的联系
提供的恶意软件如下
Venom和Taurus工具包,用于制作提供攻击的文档
more_eggs(又名Terra Loader,SpicyOmelette)远控。
如下图所示,攻击组织和恶意软件提供商之间的关系
两个组织的攻击时间线,除此之外,TTP的重合度上同样比较高
攻击链
由于medium需要翻墙才能上,所以以后需要翻墙的网站我都会在星球里面留一份pdf版本备份,服务周到,欢迎加入。
相关链接:
/@quoscient/golden-chickens-uncovering-a-malware-as-a-service-maas-provider-and-two-new-threat-actors-using-61cf0cb87648
四、
APT28的ZEKAPAB恶意软件分析,我没看,所以不发链接,明天看完再发出来。
五、
#恶意软件#巴西金融恶意软件攻击拉丁美洲和欧洲的银行用户的常用技术分析
如题,没看,不评价
相关链接:
/blog/brazilian-financial-malware-banking-europe-south-america
招聘位
广州三零卫士•木星安全实验室
招聘APT分析师,既然看我公众号,都肯定知道这个岗位是干什么的。
目前薪资是 15-20K
经验,学历不限,只要能过SkyMine大佬法眼
有需要的发简历给邮箱 wuzb_gz@ 或者加我微信我转发一下
来源标记黑鸟公众号即可
木星安全实验室,由中国网安·广州三零卫士成立,汇聚国内多名安全专家和反间谍专家组建而成,深耕工控安全、IoT安全、红队评估、反间谍、应用安全、数据防泄密、APT分析等高级安全领域,木星安全实验室坚持在反间谍和业务安全的领域进行探索和研究,具有强大的红队评估能力,拥有一支战略级别的红队——海蛇小队,在确保客户业务正常运行的前提下,持久性地模拟网络间谍渗透被授权的网络环境,有效覆盖传统渗透测试所不能进行0day漏洞挖掘、社会工程学、物理入侵等高级渗透方法。
最近我在知识星球废话越累越多了,想听我讲废话的赶紧进来吧,就一顿饭钱,少吃一顿饭,受益一整年,还在等什么,能拉到这里的人,我都觉得你们很优秀,祖国的未来,全靠你们了。(明天继续发这段话)
