1.Web3的發展為威脅行為者攻擊金融行業帶來了新的機會

Web3 和去中心化金融(DeFi)吸引了眾多威脅行為者,並且已經發生了比傳統金融犯罪更為嚴重的盜竊案。

 

Mandiant 對 2016 年孟加拉國銀行盜竊案的調查顯示,朝鮮黑客成功竊取了 8100 萬美元,可見其犯罪規模之大。 Mandiant 的網絡安全分析師最近發現,web3 的快速增長為威脅行為者提供了大量攻擊金融領域的機會。

 

然而,2022 年 Sky Mavis 的 Ronin 區塊鏈黑客事件使得威脅行為者得以竊取 6 億美元,這表明 DeFi 領域的危險正在加劇。 不僅如此,自 2020 年以來,黑客已經竊取了價值超過 120 億美元的數字貨幣。

 

威脅行為者經常將加密貨幣交易所作為目標,並使用複雜的方法竊取巨額數字資產。 其中著名的盜竊案包括 2014 年 Mt. Gox 比特幣交易所的黑客攻擊,導致超過 3.5 億美元的比特幣被盜,以及 2024 年的 DMM 比特幣黑客攻擊,造成了 3 億美元的損失。

 

黑客經常利用社會工程學來誘騙開發人員下載偽裝成編碼挑戰或招聘信息的惡意軟件。 其中許多重大事件包括 2016 年的 DAO 黑客攻擊,該攻擊竊取了 5500 萬美元的以太幣,以及 2023 年 Curve Finance 的黑客攻擊,造成了 7000 萬美元的損失。 此類惡意行為者的另一種標準方法是「閃電貸攻擊」,在這種攻擊中,攻擊者操縱定價預言機並提取無擔保貸款以獲利。 2023 年的 Euler Finance 黑客攻擊是一個典型例子,攻擊者竊取了 2 億美元,攻擊者操縱抵押品並觸發自我清算。

 

這些事件凸顯了在快速發展的加密領域保護數字資產需要加強安全措施和威脅檢測的必要性。

 

去中心化自治組織(DAO)採用基於代幣的無許可投票方式進行項目營銷,其中持有此類代幣的人可以對項目的未來決策進行投票。 這種系統在投票期間更有可能會受到治理攻擊,其中一些人會大量購買代幣並接管整個系統。 例如,2023 年 5 月的 Tornado Cash 案例中,威脅行為者在不到一周的時間內買下了該項目並竊取了超過 10,000 個 TORN(價值 67,056 美元)。

 

鏈接:

https://gbhackers.com/web3-fuled-new-opportunities/

 

2.Rocinante 木馬偽裝成銀行應用程序,從巴西 Android 用戶那裡竊取敏感數據

巴西的移動用戶是新的惡意軟件活動的目標,該事件發現了名為 Rocinante 的新 Android 銀行木馬。

 

荷蘭安全公司 ThreatFabric說:「這個惡意軟件家族能夠使用輔助功能服務執行鍵盤記錄,並且還能夠使用冒充不同銀行的網路釣魚從受害者那裡竊取 PII。」

 

「最後,它可以使用所有這些洩露的信息來執行設備接管 (DTO),方法是利用輔助功能服務權限,它能在感染設備上實現完全遠程訪問。」

 

該惡意軟件的一些主要目標包括金融機構,例如 Itaú Shop、Santander,這些虛假應用程序偽裝成 Bradesco Prime 和 Correios Cellular 等 。

 

惡意軟件的源代碼分析顯示,rocinante 在內部被運營商稱為 Pegasus。 值得注意的是,pegasus 這個名字與商業監控供應商 NSO Group 開發的跨平台間諜軟件沒有任何聯繫。

 

也就是說,根據 Silent Push最近的分析,Pegasus 被評估為被稱為 DukeEugene 的作品,該威脅行為者也以類似的惡意軟件菌株而聞名,例如 ERMAC、BlackRock、Hook 和 Loot。

 

ThreatFabric 表示,它確定了 Rocinante 惡意軟件中直接受 ERMAC 早期迭代影響的部分,儘管據信 ERMAC 源代碼在 2023 年的洩露可能起到了一定作用。

 

Rocinante 主要通過網絡釣魚網站分發,旨在誘騙毫無戒心的用戶安裝假冒的 dropper 應用程序,這些應用程序安裝後,會請求輔助功能服務權限以記錄受感染設備上的所有活動、攔截 SMS 消息並提供網路釣魚登錄頁面。 它還與服務器建立聯繫,收集的個人信息被洩露給 Telegram 機器人。

 

ThreatFabric 指出,該機器人使用冒充目標銀行的虛假登錄頁面提取獲得的有用 PII。 然後,它會將這些信息(格式化)發布到犯罪分子可以訪問的聊天中。

 

這一發展是在賽門鐵克強調另一個利用 secureserver 的銀行木馬惡意軟件活動之際發生的。 網絡區域定位西班牙語和葡萄牙語國家地區。

 

「多階段攻擊從惡意 URL 開始,導致包含混淆 . Hta 文件的存檔,」這家 Broadcom 擁有的公司表示。

 

該活動自 2023 年年中以來一直活躍,針對墨西哥和其他拉丁美洲國家,被歸咎於一個名為 Cybercartel 的電子犯罪組織,該組織向其他網路犯罪團伙提供此類服務。

 

「惡意的 Google Chrome 擴展程序將自己偽裝成合法應用程序,誘騙用戶從受感染的網站或網絡釣魚活動安裝它,」metabase Q Ocelot 威脅情報團隊 Karla Gomez 的安全研究人員 Ramses Vazquez說。 安裝擴展程序後,它將可以攔截和操縱頁面內容以及捕獲敏感數據,例如登錄憑據、信用卡信息和其他用戶輸入,具體取決於特定的活動和所針對的信息類型。

 

鏈接:

https://thehackernews.com/2024/09/rocinante-trojan-poses-as-banking-apps.html

 

 

3.Penpie DeFi 平台在 2700 萬美元的加密貨幣盜竊後向 FBI、新加坡警方提交報告

本周,黑客從Penpie去中心化金融協議中竊取了價值約2700萬美元的加密貨幣。 Penpie在一份聲明中確認,周二有價值27,348,259美元的以太坊被盜,並已暫停提款和存款業務。

 

Penpie團隊表示,在襲擊發生幾小時後,成員們便前往新加坡的Kampong Java鄰里警察局報案。

 

周三,Penpie還向美國聯邦調查局(FBI)的互聯網犯罪投訴中心(IC3)提起了投訴,並向黑客發送了一條信息,承諾以協商好的賞金換取資金的安全返還。

 

「我們承認您對我們的協議進行了利用,」他們寫道,「請與我們聯繫,以便私下討論條款。 如果資金歸還,我們將不會採取法律行動。 讓我們找到一個互利共贏的解決方案。」

 

Penpie還在社交媒體上發布了類似的信息,表示如果部分資金被歸還,將隱藏黑客的身份。 但這些信息似乎收效甚微,因為黑客繼續將盜取的資金轉移到不同的區塊鍊地址。 該公司承諾為受影響的用戶制定賠償計劃,並在投票前徵求大家的意見。

 

這次襲擊發生的同一天,FBI發布了一則警報,警告加密貨幣公司注意朝鮮黑客的反復攻擊。 Penpie表示,他們最初是通過Pendle--他們構建協議的平台--得知此次襲擊的。

 

Pendle在自己的襲擊事後分析中表示,儘管Penpie損失了數百萬美元,但團隊的迅速行動阻止了黑客從該平台上的其他協議中竊取近1.05億美元的加密貨幣。 Pendle的內部安全系統立即發現了這次襲擊,但在一個小時內,黑客已經從Penpie竊取了2700萬美元。 Pendle表示,最終他們的平台並未受到襲擊的影響。

 

Pendle向Penpie提供了發起襲擊時使用的VPN IP地址,而Penpie隨後將這一信息提供給了新加坡科技犯罪高級調查官,後者表示「將把網路犯罪事件轉交給VPN提供商以獲取更多信息」。

 

Penpie指出,自2023年6月推出以來,他們已經進行了兩次審計。 其中一次審計發現了部分漏洞,並認為已經解決。 但公司在2024年5月引入了一項新功能,該功能重新引入了黑客本周襲擊中利用的問題。他們承認,在添加新功能後應該進行全面審計。

 

「雖然增量審計針對特定更改,但全面審計整個協議以確保沒有引入漏洞也至關重要,」他們在事後分析中表示。 該公司計劃對其系統進行另一次全面審計,以確保解決所有漏洞,並在審計完成後恢復運營。

 

聯合國目前正在調查58起據稱由朝鮮黑客發動的網絡攻擊,這些攻擊使攻擊者在2017年至2023年間獲利約30億美元。

 

鏈接:

https://therecord.media/penpie-defi-protocol-ethereum-stolen

 

 

4.GCHQ 總部附近的地方議會遭到網絡攻擊,服務中斷

位於英格蘭格洛斯特郡的特威克斯伯里自治市鎮議會 (Tewkesbury Borough Council) 周三向居民發出警告,稱該議會已發現其系統成為網絡攻擊的目標,並假定攻擊者已能滲透其系統。

 

這個位於英格蘭西南部的自治市鎮擁有約 97,000 人口,環繞著切爾滕納姆鎮,這裡是英國信號和網絡情報機構政府通信總部 (GCHQ) 的總部所在地。

 

「我們不得不假定我們的系統已被入侵,我們正在採取必要的網絡應對措施,包括關閉我們的系統,」該議會網站上的橫幅聲明表示。

 

議會發言人告訴 BBC 新聞稱,「我們的許多服務都無法使用或比平時慢,而且我們的電話線路預計會非常繁忙」,其敦促居民和企業僅在「絕對必要時」才聯繫議會。

 

目前尚未確認此次攻擊的性質,也未確認是否有居民的個人信息遭到洩露。

 

GCHQ 的發言人沒有回應關於此次事件是否會影響該機構員工的詢問。

 

據信息專員辦公室 (Information Commissioner's Office) 稱,特威克斯伯里自治市鎮議會此次遭受的網絡攻擊,正值英國地方政府因網絡攻擊和數據安全事件影響之際。

 

2023 年,該監管機構已收到超過 160 起事件的報告,遠超前四年累計報告的 176 起。 僅在今年第一季度,就已宣布了 30 起事件。 其中大約一半的攻擊被記錄為勒索軟件事件。

 

個人數據的洩露往往包括非法披露敏感個人信息,從財務數據到人們的性生活細節以及他們的政治、宗教或哲學信仰。

 

住房、社區與地方政府部 (Ministry of Housing, communities & Local Government) 的發言人沒有回答關於政府如何應對影響地方議會的攻擊激增的問題。

 

皇家聯合軍種研究所 (Royal United Services Institute, RUSI) 的研究員傑米·麥克科爾 (Jamie MacColl) 在之前接受 Recorded Future News 採訪時表示:「我們收集到的證據表明,勒索軟件威脅者或其他網路犯罪分子很少以系統的方式利用被盜或洩露的個人數據,但這並不是說沒有發生過非常敏感的個人信息被公布或發送給個人以施加壓力的事件。 在我們的研究過程中,我們還聽說過勒索軟件威脅者瞄準學校,然後將被盜的保障數據安全發送給家長,以迫使他們向學校施壓支付贖金的情況。」

 

鏈接:

https://therecord.media/tewkesbury-borough-council-near-gchq-cyberattack

 

 

5.官員稱伊朗支付數百萬美元贖金以結束對銀行的大規模網絡攻擊

上個月伊朗遭受大規模網絡攻擊,威脅到了其銀行系統的穩定,並迫使該國政權同意支付數百萬美元的贖金。

 

據行業分析師和西方官員透露,一家伊朗公司上個月支付了至少 300 萬美元的贖金,以阻止一個匿名黑客組織發布多達 20 家國內銀行的個人賬戶數據,這似乎是伊朗遭遇的最嚴重的網絡攻擊。

 

官員們表示,一個名為 IRLeaks 的組織可能是此次泄露事件的幕後黑手,該組織有黑客攻擊伊朗公司的歷史。 據稱,黑客最初威脅稱,除非他們收到 1000 萬美元的加密貨幣,否則他們將在暗網上出售他們收集的數據,這些數據包括數百萬伊朗人的個人賬戶和信用卡信息。 但後來他們降低了贖金金額。 官員們表示,伊朗的專制政權推動了這筆交易,擔心數據失竊的消息會破壞該國已經搖搖欲墜的金融體系,該體系在國際制裁的重壓下承受著巨大的壓力。

 

伊朗從未承認 8 月中旬的這次泄露事件,該事件迫使銀行關閉了全國各地的自動取款機。 儘管新聞機構伊朗國際電視台當時報道了這次攻擊,但既沒有透露疑似黑客的身份,也沒有透露贖金要求。

 

伊朗最高領導人隨後發表了一條隱晦的信息,指責美國和以色列「在我們的人民中散布恐懼」,但沒有承認該國的銀行正遭受攻擊。

 

「敵人的目標是進行心理戰,迫使我們在政治和經濟上撤退,以實現其目標,」阿亞圖拉阿里·哈梅內伊說。

 

鑑於以色列、美國和伊朗之間的緊張局勢,這一指控似乎合情合理。 德黑蘭指責以色列最近暗殺了一名在伊朗的哈馬斯高級領導人,而華盛頓則指責伊朗試圖通過黑客攻擊唐納德·特朗普的競選團隊來影響美國大選。

 

儘管存在這些緊張局勢,但熟悉伊朗銀行黑客事件的人士聲稱,IRLeaks 既不屬於美國也不屬於以色列,這表明此次攻擊可能是由主要受經濟動機驅使的自由黑客所為。 近年來,此類事件在全球範圍內越來越普遍,因為技術高超的黑客會竊取政府和公司的私人數據,並要求支付贖金以換取不洩露這些信息。

 

伊朗對這種活動並不陌生。 去年 12 月,IRLeaks 聲稱竊取了近 20 家伊朗保險公司的客戶數據,併黑入了送餐服務公司 Snapp Food。 儘管這些公司同意向 IRLeaks 支付贖金,但遠低於該組織從銀行黑客攻擊中獲得的金額,官員們表示。 官員們說,黑客是通過一家名為 Tosan 的公司進入銀行服務器的,該公司為伊朗的金融部門提供數據和其他數字服務。 黑客似乎利用 Tosan 作為木馬,從私人銀行和伊朗中央銀行竊取了數據。 官員們表示,在伊朗的 29 家活躍信貸機構中,多達 20 家受到了影響,他們要求匿名以透露敏感信息。

 

受影響的銀行包括伊朗工業與礦業銀行、邁赫爾無息銀行、伊朗郵政銀行、伊朗扎明銀行、薩馬耶赫銀行、伊朗-委內瑞拉雙國銀行、銀行日、沙赫爾銀行、埃赫塔薩德諾文銀行和薩曼銀行,後者在意大利和德國也設有分行。

 

據一位熟悉事件的人士稱,伊朗政權最終迫使 Tosan 向 IRLeaks 支付了贖金。

 

目前尚不清楚黑客是否利用 Tosan 攻擊了伊朗的其他目標。 該公司擁有廣泛的客戶群,包括中央銀行以外的政府機構。 伊朗的金融部門長期以來一直是該國的軟肋。

 

伊朗的銀行按照國際標準資本不足,而且政府貸款進一步加劇了它們的負擔,政府是該行業最大的借款人。

 

今年 2 月,伊朗央行行長表示,該國有 8 家銀行面臨嚴重困難,要麼合併,要麼解散。

 

儘管存在這些擔憂,但伊朗人仍繼續將錢存入銀行,並依賴銀行處理日常交易。 由於通貨膨脹率接近 40%,伊朗人放棄了現金,轉而使用數字支付帶來的便利。

 

即便如此,銀行系統整體的脆弱性也使個別貸款機構面臨突然擠兌的風險。 這或許可以解釋為什麼伊朗政權拒絕公開承認這次攻擊,並迫使 Tosan 向黑客支付贖金。

 

鏈接:

https://www.politico.eu/article/iran-millions-ransom-massive-cyberattack-banks/

 

6.俄羅斯軍事黑客攻擊美國和全球關鍵基礎設施

隸屬於俄羅斯軍事情報機構(GRU)的編號為29155的部隊,已被發現積極針對美國和全球的關鍵基礎設施進行攻擊。 這些網絡入侵的影響廣泛,波及政府服務、金融機構、交通系統、能源網格和醫療保健設施。

 

據美國聯邦調查局(FBI)、國家安全局(NSA)和網絡安全與基礎設施安全局(CISA)稱,自2020年以來,該部隊已將行動範圍從傳統的間諜活動擴展到進攻性網絡戰術。 編號為29155的部隊參與了多種網絡攻擊活動,包括網站篡改、基礎設施掃描、數據洩露和數據外洩操作。 這些行動針對了眾多北約成員國以及歐洲、拉丁美洲和中亞的國家。

 

該組織特別關注破壞援助烏克蘭,據觀察,至少在26個北約成員國中進行了超過14,000次域名掃描。 編號為29155的部隊使用了一系列公開可用的工具進行偵察和利用。

 

黑客繞過身份認證,允許他們提取圖像並以明文形式轉儲配置設置和憑據。 為緩解這些威脅,建議各組織實施強大的網絡安全措施。

 

鏈接:

https://gbhackers.com/russian-military-hackers-attacking-us/

 

 

信飛科技有限公司

2024年9月