数据泄露
一、万豪旗下喜达屋酒店数据库遭入侵,5亿顾客信息或泄露
作为一家国际五星酒店,能够勇敢的承认自己被黑了,数据泄露了,这已经是一种具有社会责任感的体现,比国内某家知道自己被黑了还藏着掖着各种发律师函要强太多了。
对了,我的观点是,数据泄露是必然的,发生泄露事件后的完善应急响应才是必要的。
下面看内容
完整的酒店公告见此:https://answers.kroll.com/
另外本穷鬼也想住得起万豪,欢迎进知识星球
二、戴尔系统被黑,用户密码被强制重置
戴尔今日称,在2018年11月9日检测到系统被黑,试图盗取Dell.com、Premier、Global Portal 和 support.del.com 站点上的消费者数据。
具体于11月9日从系统上检测到越权用户,其试图从 Dell.com 账户中窃取消费者信息,包括姓名、邮件地址和哈希密码。
戴尔表示和一家数字取证公司以及执法部门合作开展调查,虽然调查结果显示并未有信息被盗,但戴尔决定对所有 Dell.com 账户执行强制重置密码。当用户再次登录时,会看到提示。
目前戴尔宣称是并未发现数据被盗的证据,所以现在某些公众号已经开始造谣了,小心被律师函
但用户仍然有必要修改其它网站上所使用的和Dell.com 上密码同样的密码。并监控信用报告和信用卡余额情况,以防攻击者能够访问金融信息。
三、1.14亿条美国公民和企业记录遭泄露
包含超过1.14亿条美国公民和企业记录的海量数据库被暴露到网上。受影响的人数预计约8300万人。
爱沙尼亚渗透测试公司 HackenProof 通过 Shodan 搜索引擎(shodan666)发现了这些海量数据缓存。
其中一个实例中包含有56934021名美国公民的个人信息,数据如姓名、所在公司、职位、邮件和街道地址、邮编地址、电话号码以及 IP 地址。这个数据库中还包括超过2500万的此类数据:姓名、邮编地址、载体路线、经纬度、人口调查统计区、电话号码、网络地址、邮件、员工数量、收益号码、NAICS 码、SIC 码等。
信息遭暴露的根因在于 Elasticsearch 实例配置不当(666),导致任何人未经认证即可访问数据。这种错误通常会遭网络犯罪分子用于植入恶意软件,远程连接至服务器并利用其资源或要求支付勒索金。
威胁情报
一、
#APT攻击# Fractured Block活动,使用CARROTBAT木马针对东南亚的进行攻击
本次最开始为利用DDE进行SYSCON投放,最后SYSCON回连C&C为
https://881.000webhostapp[.]com
通过这个C&C可以关联出KONNI 和CARROTBAT木马。
并在最后通过延伸 基础设施树状图 扩展关联到中国黑客组织的OceanSalt木马。
因此尚不能确定该马是来自哪个组织,毕竟KONNI,syscon的归属组织本来就很模糊,朝韩都会用。
还有一个案例是利用hwp文档进行投放,最后会下载一个CAD文件,解开后为3个文件,最后利用异或脚本解码后会得到C&C,攻击手段在近期较为新颖,以前也有过。
Fractured Block活动时间线如下图
相关链接:
https://researchcenter.paloaltonetworks.com/2018/11/unit42-the-fractured-block-campaign-carrotbat-malware-used-to-deliver-malware-targeting-southeast-asia/
从这个报告关联的报告可以参考下面
腾讯的SYSCON NOKKI等的互相关联 https://www.freebuf.com/articles/network/187067.html
麦咖啡的
https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf
二、Black Limousine活动,kimsuky组织最新活动
kimsuky是当年卡巴披露的一个疑似朝鲜来源的组织,当然现在已经默认是朝鲜的了。
利用hwp+eps+shellcode - > 与rentcartoday.com通信 - > 成功则下载payload ->
?shellcode中指向的通信网站URL,然后什么信息都没提了
相关链接:
http://blog.alyac.co.kr/2004
三、
新披露恶意软件提供商Golden Chickens以及底下两个组织:GC01和GC02,其与cobalt具有很强的联系
提供的恶意软件如下
Venom和Taurus工具包,用于制作提供攻击的文档
more_eggs(又名Terra Loader,SpicyOmelette)远控。
如下图所示,攻击组织和恶意软件提供商之间的关系
两个组织的攻击时间线,除此之外,TTP的重合度上同样比较高
攻击链
由于medium需要翻墙才能上,所以以后需要翻墙的网站我都会在星球里面留一份pdf版本备份,服务周到,欢迎加入。
相关链接:
https://medium.com/@quoscient/golden-chickens-uncovering-a-malware-as-a-service-maas-provider-and-two-new-threat-actors-using-61cf0cb87648
四、
APT28的ZEKAPAB恶意软件分析,我没看,所以不发链接,明天看完再发出来。
五、
#恶意软件# 巴西金融恶意软件攻击拉丁美洲和欧洲的银行用户的常用技术分析
如题,没看,不评价
相关链接:
https://www.cybereason.com/blog/brazilian-financial-malware-banking-europe-south-america
招聘位
广州三零卫士•木星安全实验室
招聘APT分析师 ,既然看我公众号,都肯定知道这个岗位是干什么的。
目前薪资是 15-20K
经验,学历不限,只要能过SkyMine大佬法眼
有需要的发简历给邮箱 wuzb_gz@30wish.net 或者加我微信我转发一下
来源标记黑鸟公众号即可
最近我在知识星球废话越累越多了,想听我讲废话的赶紧进来吧,就一顿饭钱,少吃一顿饭,受益一整年,还在等什么,能拉到这里的人,我都觉得你们很优秀,祖国的未来,全靠你们了。(明天继续发这段话)