Grand Theft Auto

Rockstar Game是一家位于美国纽约的游戏发行商Take-Two Interactive旗下的游戏开发分公司,《侠盗猎车手》(Grand Theft Auto)系列是其公司开发的游戏产品。近日,有黑客称成功入侵了Rockstar Game的slack服务器和Confluence wiki,并泄露了侠盗猎车手6(Grand Theft Auto 6)游戏的玩家视频和源代码。

事件概述

视频最早出现在GTAForums论坛,名为teapotuberhacker的黑客分享了一个包含90个视频的压缩文件的链接。

视频看似是开发者在测试游戏中不同特征时创建的,比如摄像头角度、NPC追踪、位置等。此外,还有视频记录了玩家与其他NPC的语音对话。

RAR archive containing the 90 leaked GTA 6 videos

包含90个泄露的GTA 6视频的压缩文件

黑客称窃取了GTA 5和GTA 6的源码和资产,以及GTA 6测试版本,并向Rockstar Games勒索以防止更多的数据泄露。

黑客称对于GTA V的源码和资产其接收价格为1万美元,但目前暂不出售GTA 6源码。

Selling GTA V source code on Telegram

在Telegram上出售GTA V源码

黑客论坛上有成员发帖质疑其真实性时,该黑客称他对近期Uber 被黑事件负责,并展示了GTA V和GTA 6的源码截图。

泄露的视频先后出现在YouTube和推特上,随后Rockstar Games以版权为由要求其下架相关视频。

Leaked GTA 6 video taken down on YouTubeYouTube上泄露的GTA 6视频被下架

视频下架也进一步证明了该事件的真实性。此外,黑客还在Telegram上泄露了部分窃取的GTA 6视频和源代码,包括9500行与执行不同游戏内动作相关的代码。

黑客称与Uber入侵事件有关

黑客称泄露的GTA 6视频和源代码来源于Rockstar的Slack和Confluence服务器,但并未公开如何获得GTA 6视频和源码的访问权限。黑客称其是Uber入侵事件背后的攻击者——TeaPots。目前尚未确认这一消息的真实性。但Uber称本月的入侵事件背后的攻击者为LAPSUS$黑客组织。在本月的Uber攻击事件中,黑客也是通过社会工程攻击入侵了Uber的slack服务器和其他内部服务。

Rockstar确认被入侵

彭博社Jason Schreier发推确认了Rockstar被黑及数据泄露的真实性。

Tweet from Jason Schreier

Jason Schreier推文

19日,Rockstar Games发布公告确认遭遇网络入侵,未授权的第三方成功从其系统中下载了公司数据,包括GTA的开发信息。但并未公开与此次攻击活动相关的技术信息或IOC。


Grand Theft Auto

Rockstar Game是一家位于美国纽约的游戏发行商Take-Two Interactive旗下的游戏开发分公司,《侠盗猎车手》(Grand Theft Auto)系列是其公司开发的游戏产品。近日,有黑客称成功入侵了Rockstar Game的slack服务器和Confluence wiki,并泄露了侠盗猎车手6(Grand Theft Auto 6)游戏的玩家视频和源代码。

事件概述

视频最早出现在GTAForums论坛,名为teapotuberhacker的黑客分享了一个包含90个视频的压缩文件的链接。

视频看似是开发者在测试游戏中不同特征时创建的,比如摄像头角度、NPC追踪、位置等。此外,还有视频记录了玩家与其他NPC的语音对话。

RAR archive containing the 90 leaked GTA 6 videos

包含90个泄露的GTA 6视频的压缩文件

黑客称窃取了GTA 5和GTA 6的源码和资产,以及GTA 6测试版本,并向Rockstar Games勒索以防止更多的数据泄露。

黑客称对于GTA V的源码和资产其接收价格为1万美元,但目前暂不出售GTA 6源码。

Selling GTA V source code on Telegram

在Telegram上出售GTA V源码

黑客论坛上有成员发帖质疑其真实性时,该黑客称他对近期Uber 被黑事件负责,并展示了GTA V和GTA 6的源码截图。

泄露的视频先后出现在YouTube和推特上,随后Rockstar Games以版权为由要求其下架相关视频。

Leaked GTA 6 video taken down on YouTubeYouTube上泄露的GTA 6视频被下架

视频下架也进一步证明了该事件的真实性。此外,黑客还在Telegram上泄露了部分窃取的GTA 6视频和源代码,包括9500行与执行不同游戏内动作相关的代码。

黑客称与Uber入侵事件有关

黑客称泄露的GTA 6视频和源代码来源于Rockstar的Slack和Confluence服务器,但并未公开如何获得GTA 6视频和源码的访问权限。黑客称其是Uber入侵事件背后的攻击者——TeaPots。目前尚未确认这一消息的真实性。但Uber称本月的入侵事件背后的攻击者为LAPSUS$黑客组织。在本月的Uber攻击事件中,黑客也是通过社会工程攻击入侵了Uber的slack服务器和其他内部服务。

Rockstar确认被入侵

彭博社Jason Schreier发推确认了Rockstar被黑及数据泄露的真实性。

Tweet from Jason Schreier

Jason Schreier推文

19日,Rockstar Games发布公告确认遭遇网络入侵,未授权的第三方成功从其系统中下载了公司数据,包括GTA的开发信息。但并未公开与此次攻击活动相关的技术信息或IOC。


9月15日,一名18岁的黑客称成功入侵Uber系统,下载了HackerOne的漏洞报告,并分享了Uber内部系统、邮件、和slack服务器的截图。

黑客分享的截图表明,黑客成功访问了Uber的许多关键IT系统,包括公司安全软件和Windows域。黑客访问的其他系统包括Uber的亚马逊web服务配置、VMware vSphere/ESXi虚拟机、谷歌workspace管理Uber邮箱账号的管理界面。

此外,攻击者还成功入侵了Uber Slack服务器,并发布消息给Uber员工表明公司被黑。但从Uber的slack截图来看,这些公告最初被认为是玩笑,员工并未意识到发生了真实的网络攻击。

随后,Uber确认了这一网络安全事件,发推称已与执法机构接触,之后会发布其他相关信息。

安全研究人员Corben Leo与黑客取得联系,黑客称通过对员工进行社会工程攻击成功窃取了其密码。因为Uber账户使用了多因子认证保护,黑客称使用了MFA Fatigue攻击,并伪装成Uber IT支持人员来使该雇员接受MFA请求。MFA Fatigue攻击是攻击者登陆凭证时被多因子认证拦截,然后重复发起MFA请求,直到受害者不想看到该通知,并接收该请求。

Hackers claim to have used an MFA Fatigue attack

黑客称使用了MFA Fatigue攻击

然后使用被窃的凭证信息访问了公司的内部系统。黑客首先通过VPN登入Uber内部网络,然后扫描公司内网敏感信息。然后发现了一个含有公司Thycotic 特权访问管理平台管理员凭证的powershell脚本,使用该凭证可以访问公司其他内部服务的登录密码。

纽约时报报道称,在此次攻击中黑客访问了Uber数据库和源码。

Comment left by the hacker on HackerOne submissions

Yuga Labs安全研究人员称黑客访问了Uber的HackerOne漏洞奖励项目,并对所有漏洞奖励ticket进行了评论。

有研究人员称黑客下载了Uber HackerOne漏洞奖励项目中的所有漏洞报告,其中还包括未修复的漏洞报告。随后HackerOne禁用了Uber漏洞奖励计划,使得其无法访问未公开的漏洞信息。但是黑客已经下载了所有的漏洞报告,有可能卖给其他攻击者以实现快速获利。

9月16日,Uber发布调查进展,称未发现黑客成功访问用户敏感数据,如行程信息。所有Uber服务仍在正常运行。

9月15日,一名18岁的黑客称成功入侵Uber系统,下载了HackerOne的漏洞报告,并分享了Uber内部系统、邮件、和slack服务器的截图。

黑客分享的截图表明,黑客成功访问了Uber的许多关键IT系统,包括公司安全软件和Windows域。黑客访问的其他系统包括Uber的亚马逊web服务配置、VMware vSphere/ESXi虚拟机、谷歌workspace管理Uber邮箱账号的管理界面。

此外,攻击者还成功入侵了Uber Slack服务器,并发布消息给Uber员工表明公司被黑。但从Uber的slack截图来看,这些公告最初被认为是玩笑,员工并未意识到发生了真实的网络攻击。

随后,Uber确认了这一网络安全事件,发推称已与执法机构接触,之后会发布其他相关信息。

安全研究人员Corben Leo与黑客取得联系,黑客称通过对员工进行社会工程攻击成功窃取了其密码。因为Uber账户使用了多因子认证保护,黑客称使用了MFA Fatigue攻击,并伪装成Uber IT支持人员来使该雇员接受MFA请求。MFA Fatigue攻击是攻击者登陆凭证时被多因子认证拦截,然后重复发起MFA请求,直到受害者不想看到该通知,并接收该请求。

Hackers claim to have used an MFA Fatigue attack

黑客称使用了MFA Fatigue攻击

然后使用被窃的凭证信息访问了公司的内部系统。黑客首先通过VPN登入Uber内部网络,然后扫描公司内网敏感信息。然后发现了一个含有公司Thycotic 特权访问管理平台管理员凭证的powershell脚本,使用该凭证可以访问公司其他内部服务的登录密码。

纽约时报报道称,在此次攻击中黑客访问了Uber数据库和源码。

Comment left by the hacker on HackerOne submissions

Yuga Labs安全研究人员称黑客访问了Uber的HackerOne漏洞奖励项目,并对所有漏洞奖励ticket进行了评论。

有研究人员称黑客下载了Uber HackerOne漏洞奖励项目中的所有漏洞报告,其中还包括未修复的漏洞报告。随后HackerOne禁用了Uber漏洞奖励计划,使得其无法访问未公开的漏洞信息。但是黑客已经下载了所有的漏洞报告,有可能卖给其他攻击者以实现快速获利。

9月16日,Uber发布调查进展,称未发现黑客成功访问用户敏感数据,如行程信息。所有Uber服务仍在正常运行。

在区块链公司和FBI的帮助下,美国政府成功从朝鲜黑客组织'Lazarus'处追回了其今年3月从链游戏公司Axie Infinity窃取的价值3000万美元的加密货币。

Chainalysis的加密货币应急响应团队在追回过程中起了非常重要的角色,使用了先进的追踪技术来追踪被窃加密货币的资金流向,并与执法部门与交易所合作冻结了对应的加密货币。Chainalysis称这是首次从朝鲜黑客组织处追回被窃的加密货币,相信未来会有更多被窃的加密货币会被追回。

Snapshot from today's AxieCon event stream

图 AxieCon公告

攻击事件回顾

2022年3月,朝鲜黑客组织Lazarus从链游公司Axie Infinity的侧链Ronin Network处成功窃取了加密6亿美元的加密货币。

在攻击活动中,Lazarus成功获取了Ronin Network跨链桥的交易验证者的9个私钥中的5个,并使用这些私钥来允许2个提现交易:1个是173,600 ETH,另一个是2550美元的USDC。然后,Lazarus通过以下5个步骤进行洗钱:

  • 发送窃取的ETH给中继钱包;

  • 使用Tornado Cash进行ETH批量混淆;

  • 将ETH兑换为比特币;

  • 批量进行比特币混淆;

  • 将比特币保存到crypto-to-fiat 服务进行提现。

在洗钱过程中共使用了超过1.2万个不同的加密货币地址。

加密货币追踪

近日,美国财政部国外资产控制办公室对Tornado Cash参与Lazarus组织从Axie Infinity窃取的价值4550万美元的加密货币洗钱进行了制裁。因此,Lazarus组织开始使用以太坊混淆器而非Defi服务进行跨链资产的转移。随后,Chainalysis利用其跨链资产转移追踪工具对资金流进行了追踪。

One of the numerous chain-hopping moves attempted by Lazarus

Lazarus组织黑客将ETH从以太坊区块链转到了BNB链,随后将ETH转为USTD,最后再将USTD转为BTTC。Lazarus黑客在多个链上发起了数百个类似的交易进行洗钱。 

总结

研究人员成功追回了Lazarus从Axie Infinity窃取的价值超过3000万美元的加密货币,占窃取加密货币总量的10%,占窃取加密货币价值的5%。Chainalysis称这是首次从朝鲜黑客组织处追回被窃的加密货币。2022年,朝鲜黑客组织从DeFi协议成功窃取了加密10亿美元的加密货币。相信未来会有更多被窃的加密货币会被追回。

在区块链公司和FBI的帮助下,美国政府成功从朝鲜黑客组织'Lazarus'处追回了其今年3月从链游戏公司Axie Infinity窃取的价值3000万美元的加密货币。

Chainalysis的加密货币应急响应团队在追回过程中起了非常重要的角色,使用了先进的追踪技术来追踪被窃加密货币的资金流向,并与执法部门与交易所合作冻结了对应的加密货币。Chainalysis称这是首次从朝鲜黑客组织处追回被窃的加密货币,相信未来会有更多被窃的加密货币会被追回。

Snapshot from today's AxieCon event stream

图 AxieCon公告

攻击事件回顾

2022年3月,朝鲜黑客组织Lazarus从链游公司Axie Infinity的侧链Ronin Network处成功窃取了加密6亿美元的加密货币。

在攻击活动中,Lazarus成功获取了Ronin Network跨链桥的交易验证者的9个私钥中的5个,并使用这些私钥来允许2个提现交易:1个是173,600 ETH,另一个是2550美元的USDC。然后,Lazarus通过以下5个步骤进行洗钱:

  • 发送窃取的ETH给中继钱包;

  • 使用Tornado Cash进行ETH批量混淆;

  • 将ETH兑换为比特币;

  • 批量进行比特币混淆;

  • 将比特币保存到crypto-to-fiat 服务进行提现。

在洗钱过程中共使用了超过1.2万个不同的加密货币地址。

加密货币追踪

近日,美国财政部国外资产控制办公室对Tornado Cash参与Lazarus组织从Axie Infinity窃取的价值4550万美元的加密货币洗钱进行了制裁。因此,Lazarus组织开始使用以太坊混淆器而非Defi服务进行跨链资产的转移。随后,Chainalysis利用其跨链资产转移追踪工具对资金流进行了追踪。

One of the numerous chain-hopping moves attempted by Lazarus

Lazarus组织黑客将ETH从以太坊区块链转到了BNB链,随后将ETH转为USTD,最后再将USTD转为BTTC。Lazarus黑客在多个链上发起了数百个类似的交易进行洗钱。 

总结

研究人员成功追回了Lazarus从Axie Infinity窃取的价值超过3000万美元的加密货币,占窃取加密货币总量的10%,占窃取加密货币价值的5%。Chainalysis称这是首次从朝鲜黑客组织处追回被窃的加密货币。2022年,朝鲜黑客组织从DeFi协议成功窃取了加密10亿美元的加密货币。相信未来会有更多被窃的加密货币会被追回。

微软Defender将Chrome、Edge、Electron等错误标记为Win32/Hive.ZY。

9月4日,微软推送Defender签名更新1.373.1508.0时加入了2个新的威胁检测,包括Behavior:Win32/Hive.ZY。微软Win32/Hive.ZY检测页面称,可疑行为的通用检测是为了找出可能的恶意文件。如果用户通过邮箱下载或接收文件,在打开之前需要确保其来源是可靠的。

有用户发现每当Google Chrome、Microsoft Edge、Discord和其他 Electron应用在Windows中打开时,Microsoft Defender就会将其检测为'Win32/Hive.ZY'。这种假阳性非常多,用户在推特、Reddit等平台都发布了类似一问题,

Microsoft Defender falsely detecting Win32/Hive.ZY

Microsoft Defender错误检测Win32/Hive.ZY

虽然Microsoft Defender在这些APP打开时仍然展示检测到'Win32/Hive.ZY'。但事实上这个检测结果是假阳性的。

随后,微软发布了Defender 1.373.1518.0版本,解决了这一问题。

Currently installed Microsoft Defender security intelligence versions

Defender 1.373.1518.0版本

微软Defender将Chrome、Edge、Electron等错误标记为Win32/Hive.ZY。

9月4日,微软推送Defender签名更新1.373.1508.0时加入了2个新的威胁检测,包括Behavior:Win32/Hive.ZY。微软Win32/Hive.ZY检测页面称,可疑行为的通用检测是为了找出可能的恶意文件。如果用户通过邮箱下载或接收文件,在打开之前需要确保其来源是可靠的。

有用户发现每当Google Chrome、Microsoft Edge、Discord和其他 Electron应用在Windows中打开时,Microsoft Defender就会将其检测为'Win32/Hive.ZY'。这种假阳性非常多,用户在推特、Reddit等平台都发布了类似一问题,

Microsoft Defender falsely detecting Win32/Hive.ZY

Microsoft Defender错误检测Win32/Hive.ZY

虽然Microsoft Defender在这些APP打开时仍然展示检测到'Win32/Hive.ZY'。但事实上这个检测结果是假阳性的。

随后,微软发布了Defender 1.373.1518.0版本,解决了这一问题。

Currently installed Microsoft Defender security intelligence versions

Defender 1.373.1518.0版本

黑客称获得TikTok(抖音国际版)和微信数据,TikTok否认。

黑客称窃取数据

9月2日,黑客组织AgainstTheWest 在黑客论坛发帖称成功窃取了TikTok(抖音国际版)和微信数据,并截图分享了数据这两家公司的数据库,数据位于阿里云服务实例,其中包含TikTok和微信用户的数据。

TikTok Denies Data Breach

黑客称该服务器中有790 GB的数据库、20.5条记录,包含用户数据、平台统计数据、软件源代码、cookie、认证token、服务器信息等等。

Announcement of TikTok and WeChat breach on a hacker forum

AgainstTheWest在黑客论坛发帖

从该黑客组织的名字(AgainstTheWest)来看,主要攻击西方国家,而该黑客组织称只攻击对西方利益有影响的国家和公司。目前,该黑客主要攻击中国和俄罗斯,未来计划攻击朝鲜、白俄罗斯和伊朗。

TikTok否认被黑

TikTok 称黑客论坛的发帖完全与其无关,否认用户数据和源代码被窃,并称黑客论坛分享的源代码根本不是其平台的后台源代码,并从未与微信数据合并。TikTok 已经采取了充足的安全措施来预防自动化脚本收集用户信息。

BleepingComputer也就该黑客的发帖联系了微信,目前微信尚未给出回应。

事件分析

微信和抖音分别属于腾讯和字节跳动,是两家不同的公司。因此两家的数据位于同一个数据库表明泄露的数据库并非直接从平台窃取的数据。更可能是第三方数据爬取工具分别从微信和抖音爬取的数据,然后保存在同一个数据库中。

HaveIBeenPwned创建者Troy Hunt发推称,泄露的部分数据是有效的。并推测这是内部系统入侵。

Tweet from Troy Hunt

Troy Hunt推文

"database hunter" Bob Diachenko也验证称泄露的用户数据是真的,但为提供任何关于数据源的具体结论。

Diachenko-tweet

Diachenko推文

黑客称获得TikTok(抖音国际版)和微信数据,TikTok否认。

黑客称窃取数据

9月2日,黑客组织AgainstTheWest 在黑客论坛发帖称成功窃取了TikTok(抖音国际版)和微信数据,并截图分享了数据这两家公司的数据库,数据位于阿里云服务实例,其中包含TikTok和微信用户的数据。

TikTok Denies Data Breach

黑客称该服务器中有790 GB的数据库、20.5条记录,包含用户数据、平台统计数据、软件源代码、cookie、认证token、服务器信息等等。

Announcement of TikTok and WeChat breach on a hacker forum

AgainstTheWest在黑客论坛发帖

从该黑客组织的名字(AgainstTheWest)来看,主要攻击西方国家,而该黑客组织称只攻击对西方利益有影响的国家和公司。目前,该黑客主要攻击中国和俄罗斯,未来计划攻击朝鲜、白俄罗斯和伊朗。

TikTok否认被黑

TikTok 称黑客论坛的发帖完全与其无关,否认用户数据和源代码被窃,并称黑客论坛分享的源代码根本不是其平台的后台源代码,并从未与微信数据合并。TikTok 已经采取了充足的安全措施来预防自动化脚本收集用户信息。

BleepingComputer也就该黑客的发帖联系了微信,目前微信尚未给出回应。

事件分析

微信和抖音分别属于腾讯和字节跳动,是两家不同的公司。因此两家的数据位于同一个数据库表明泄露的数据库并非直接从平台窃取的数据。更可能是第三方数据爬取工具分别从微信和抖音爬取的数据,然后保存在同一个数据库中。

HaveIBeenPwned创建者Troy Hunt发推称,泄露的部分数据是有效的。并推测这是内部系统入侵。

Tweet from Troy Hunt

Troy Hunt推文

"database hunter" Bob Diachenko也验证称泄露的用户数据是真的,但为提供任何关于数据源的具体结论。

Diachenko-tweet

Diachenko推文