我們收集了本週網絡安全領域最重要的新聞。
內政部在FAC.CT 的支持下。淘汰了珠寶隊組。身份不明者洩露了俄羅斯聯邦多家大型商店的客戶數據。在Minecraft 模組中發現的Fracturiser 惡意軟件。研究人員創建了一個機器人來提取RAM 的內容。
內政部在FAC.CT 的支持下。淘汰組珠寶隊
信息安全公司FAC.CT 的專家。 (前Group-IB)找出了一群騙子珠寶團隊,他們通過流行的BlaBlaCar 旅行伴侶搜索服務從俄羅斯人那裡偷錢。
FAC.CT專家幫助內政部查明並拘捕了一批詐騙犯“珠寶隊”。一年半以來,攻擊者一直在從決定使用流行的旅行伴侶搜索服務的俄羅斯人那裡竊取資金:https://t.co/RMJ4KlznwU pic.twitter.com/eQZW7ww88C
– FACCT (@F_A_C_C_T_) 2023 年6 月5 日
經查,自2021年9月以來,該團伙成員一直在代司機發布虛假廣告。隨後,與用戶的通信被轉移到Messenger,在那裡他們被發送到網絡釣魚資源的鏈接,表面上是為了預付款。
結果,騙子不僅收到了500 至1500 盧布的“押金”,還收到了銀行卡數據。該組織試圖從其中一名用戶那裡提取超過300 萬盧布,但銀行阻止了這筆轉賬。
研究人員表示,Jewelry Team 是由HAUNTED FAMILY 騙局團隊的人員於2021 年1 月創建的,或者說是其獨立部門。
數據:FAC.CT
總的來說,FAC.CT 發現了三個為接收預付款而設立的釣魚網站。
內政部於5 月宣布清算該組織。已就挪用資金的事實提起刑事訴訟。所謂的珠寶隊頭目被軟禁,他的一名同夥被軟禁,另一名被關進監獄。
不明身份者洩露了俄羅斯聯邦多家大型商店的客戶數據
一周之內,俄羅斯幾家大型商店的用戶數據出現在公共領域。這是由Telegram 頻道“Information Leaks”報導的。
Auchan 和Tvoy Dom 零售連鎖店的數據庫最先洩露到網絡中,分別為780 萬和超過713,000 行。
數據:電報頻道“信息洩露”。
然後,攻擊者洩露了2-4 百萬行暴跌,其中包含來自Gloria Jeans 服裝連鎖店、Askona 床墊商店和book24.ru 在線書店客戶的數據。
後來,他們佈局了Bookvoed 網上書店(680 萬行)、TVOE 網上服裝店(220 萬行)、Leroy Merlin 網上商店(510 萬行)和烹飪食譜網站“Eat at Home”(超過535,000 行)。
大多數合併文件包含:
名字姓氏; 登錄; 電話; 電子郵件地址; 散列密碼; 地面; 出生日期; 會員卡號碼; 送貨或取貨地址; IP地址; 帳戶創建日期和上次登錄日期。
Auchan、Gloria Jeans、Eksmo-AST (Book24) 和Askona 等多家公司證實了這一事件,並展開了內部調查。
據推測,這些信息是由對Sberbank 和其他俄羅斯公司的洩密事件負責的攻擊者洩露的。
他們承諾在不久的將來發布新數據。
在Minecraft 模組中發現的Fracturiser 惡意軟件
Fracturiser 是一種自我傳播的惡意軟件,可攻擊運行Windows 和Linux 的系統,已在許多Minecraft 模組中被發現。這是由CurseForge 平台的代表報告的。
我們正在調查惡意用戶將項目上傳到平台的事件。這僅與Minecraft 用戶相關,我們已禁止所有相關帳戶。
CurseForge 本身沒有受到任何損害想要了解更多資訊,請關注下方公眾號👇
– CurseForge (@CurseForge) 2023 年 6 月 7 日
根據初始版本,受感染的開發者帳戶就放在上面。 Bukkit.org 網站也遭受了攻擊。反過來,Prism Launcher 實用程序的創建者建議我們正在討論利用Overwolf 平台中的漏洞。
一些惡意副本嵌入到流行的modpack 中,包括下載量超過460 萬的Better Minecraft。
關於插件和mod 感染的第一個信息出現在4 月中旬。
由Fractureiser 創建的Windows 快捷方式。數據:嗶嗶電腦。
Fracturiser 惡意軟件能夠:
傳播到系統上的所有JAR 文件,以感染不是從CurseForge 或BukkitDev 下載的其他模組; 從許多瀏覽器中竊取cookie 和登錄信息; 用黑客的錢包替換剪貼板中的加密貨幣地址; 竊取Discord、Microsoft 和Minecraft 憑據。
CurseForge 的代表封鎖了所有與攻擊相關的賬戶。但是,他們強調他們的管理員都沒有被黑客入侵。
敦促用戶立即停止下載和更新遊戲模組,並更改所有帳戶的密碼。
為了便於搜索妥協指標,事件調查人員發布了腳本。 CurseForge 發布了消除感染的指南。
研究人員創造了一個機器人來提取RAM 的內容
Red Balloon Security 員工Ang Cui 和Yuanzhe Wu 推出了一種低溫機械機器人,能夠使用低溫提取DDR3 RAM 的內容。
這種攻擊稱為冷啟動攻擊,是由於在關閉電源後在動態和靜態RAM 中保存數據的效果而實現的。
成本低於1,000 美元的設備實際上凍結了一個RAM 芯片。為了讀取數據,將提取的物理內存放在FPGA 中。
數據:REcon。
“通過這種方法,你可以獲得代碼、所有數據、堆棧和所有物理內存,”開發人員說。
研究人員認為,如果他們使用更昂貴的基於FPGA 的內存讀出平台(成本約為10,000 美元),他們的方法適用於對DDR4 和DDR5 的複雜攻擊。
你可以通過加密貨幣物理內存來對抗冷啟動攻擊。
推特任命新的BreachForums 領導人
直到6月底,3月份被美國情報部門關閉的黑客論壇BreachForums可能會在黑客組織ShinyHunters的領導下恢復工作。這是在Vx-underground community中說的,沒有註明信息來源。
BreachedForum 將於本月晚些時候恢復活動。
它有新的管理。它將由臭名昭著的ShinyHunters 小組領導。
— vx-underground (@vxunderground) 2023 年 6 月 2 日
ShinyHunters 自2020 年以來就廣為人知,並因組織T-Mobile 和AT&T 的共振洩漏而聞名,造成數千萬美元的損失。
2022 年夏天,安全部隊逮捕了該組織的一名成員,法國人塞巴斯蒂安·勞爾。後來,他的兩名同夥在摩洛哥被拘留。目前,他們已全部被引渡回美國,等待審判。
據專家稱,美國情報機構可能是BreachForums 恢復的幕後黑手。
攻擊者創建了一個Telegram 機器人,通過虛假搜索私密照片來賺錢
卡巴斯基實驗室的專家在Telegram 中發現了一個聊天機器人,據稱它基於ChatGPT 4.0 代碼,可以讓你找到洩露的私密照片。
系統會提示用戶通過發送指向其社交媒體資料或電話號碼的鏈接來驗證浪漫伴侶。
該服務然後模擬搜索過程並報告“在數據庫中找到的頁面”。據該機器人的作者稱,後者包含超過1000 萬張照片和視頻。
結果,客戶收到帶有隱藏圖像的屏幕截圖和材料排放的預計日期。
數據:卡巴斯基實驗室。
對於一次性消除模糊,機器人的作者要求支付399 盧布,無限制地訪問數據庫– 990 盧布。然而,實際上,用戶只是賠錢,並沒有收到任何照片。
週末讀什麼?
我們分析了幣安向俄羅斯用戶提供服務時遇到的問題。
在社交網絡上訂閱ForkLog
發現文中有誤?選擇它並按CTRL+ENTER
ForkLog 時事通訊:密切關注比特幣行業的脈搏
資訊來源:由0x資訊編譯自FORKLOG。版權歸作者Лена Джесс所有,未經許可,不得轉載