银行木马 Terdot 卷土重现,新添网络间谍功能监控社交媒体敏感信息

据外媒报道,网络安全公司 Bitdefender 研究人员于近期发现银行木马 Terdot 在消失一年后卷土重现,旨在针对目标系统展开新一轮攻击浪潮。知情人士透露,虽然 Terdot 于 2016 年中期就已存在,但该木马再次重现着实引人注意。据称,该木马新添一项网络间谍功能,其主要监控与收集社交媒体账户敏感信息。 Terdot 是一款复杂的模块化恶意软件,其程序虽然主要基于 2011 年泄露的 Zeus 代码开发,但该木马开发人员还是对其进行了一部分修改,例如利用开源工具躲避 SSL 证书检测,并使用代理过滤网络流量后记录用户敏感信息。 调查显示,黑客主要将该银行木马植入有趣的 PDF 图标后通过垃圾邮件针对受损网站进行肆意分发。一旦用户点击触发文件,其系统将会自动运行 JavaScript 代码,从而在受害设备中植入恶意软件并同时向指定 C&C 服务器发送与更新命令。 此外,研究人员经进一步分析发现该木马不仅使用了域生成算法(DGA)规避安全措施检测,还利用了中间人(MITM)攻击操纵多数社交媒体与电子邮件的平台流量,从而实现用户信息拦截功能。安全专家表示现在的 Terdot 已经超越了银行木马 Trojan 的能力,它更专注于针对社交网络和电子邮件服务提供商等其他服务收集证书,研发者也似乎想将其打造成非常强大的网络间谍工具。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

逾 2000 万亚马逊 Echo 与 Google Home 设备易遭 BlueBorne 攻击

网络安全公司 Armis 研究人员于今年 9 月在蓝牙协议中发现 8 处零日漏洞,允许黑客远程操控 Android、iOS、Windows 与 Linux系统后普遍影响逾 53 亿台机器,其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow 或更旧版本的 Android 设备以及运行 Linux 版本的数百万智能蓝牙设备等。随后,研究人员将这 8 处漏洞构建成一组攻击场景,并将其称为 “ BlueBorne ”攻击。 近期,Armis 研究人员在调查时发现逾 2000 万台亚马逊 Echo 与 Google Home 的智能扬声设备也极易遭到 BlueBorne 攻击,允许攻击者完全接管蓝牙设备、传播恶意软件,甚至建立 “ 中间人 ”(MITM)连接,从而在无需与受害用户进行交互时访问设备关键数据与网络。不过,要想快速实现攻击,除受害设备的蓝牙处于开启状态外,还需在攻击设备连接范围之内。 调查显示,亚马逊 Echo 或将受到 BlueBorne 其中两处漏洞影响: Ο Linux 内核中存在远程执行代码漏洞(CVE-2017-1000251) Ο Linux 蓝牙堆栈(BlueZ)中存在信息泄漏漏洞(CVE-2017-1000250) 而 Google Home 设备会受到其中一处漏洞影响: Ο Android 设备中存在信息泄露漏洞(CVE-2017-0785) 值得注意的是,BlueBorne 对亚马逊 Echo 的威胁要比 Google Home 设备更加严重,因为它所使用的 Linux 内核易受远程代码执行漏洞的攻击,且自身的 SDP 服务器也存在信息泄露的风险。然而,Google Home 主要受到 Android 蓝牙堆栈中信息泄露的影响,其允许攻击者阻止 Home 的蓝牙通讯功能后肆意开展拒绝服务(DoS)攻击。 Armis 在发现亚马逊与谷歌设备极易遭受 BlueBorne 攻击后立即对其进行了报备,随后两家公司也迅速发布了漏洞补丁修复。研究人员提醒用户可以从 Google Play 商店安装 “ BlueBorne 漏洞扫描器 ”,以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击,建议用户在不使用设备时关闭蓝牙。目前 Amazon Echo 客户应确认所使用的设备运行着 v591448720 或更高版本,而 Google 方面尚未提供有关其版本的任何信息。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

特朗普政府发布新 VEP 机制,以防国家组织私自 “库存” 漏洞

据外媒 ZDNet 报道,美国白宫网络安全协调员罗伯·乔伊斯(Rob Joyce)于本周三在华盛顿特区出席活动时宣布,特朗普政府已发布一套非机密规则来更新 Vulnerabilities Equities Process(VEP)机制,以平息舆论中政府大量 “库存” 漏洞发起黑客攻击的虚假谣言。 VEP 是奥巴马就任时所发布的一套复杂而重要的保密机制,决定了美国政府在发现漏洞后衡量是否秘密通知受影响的科技公司,并提醒其产品或服务存在漏洞,以便黑客入侵前迅速修复。 今年早些时候,神秘黑客组织 “影子经纪人”(Shadow Brokers)通过窃取 NSA 存储的漏洞开展了大规模勒索软件 WannaCry 攻击活动,感染了全球 150 多个国家逾 30 万台电脑。随后,特朗普政府遭到指责并在 NSA 黑客工具被窃不到一年内更新了该份报告。知情人士透露,这一举措能够防止政府私自储存漏洞、黑客工具或网络武器,并被认为是美国政府所公布的一项极其罕见的行为,因为该机制自奥巴马执政以来一直处于保密状态。 据悉,美国此前在奥巴马的领导下成立了多机构审查委员会,以权衡情报机构发现漏洞后是否应该私下向科技公司披露。然而,批评人士认为,美国政府极有可以通过储存漏洞致使个人或商业网络处于危险之中。但乔伊斯近期在一篇博客中表示,一个政府执法的透明程度对于国家来说至关重要,其此次 VEP 机制的更新可以重建商务、国防、特勤、财政等各组织的信心。值得注意的是,最新公布的条例显示,如果国会决定尚不披露漏洞,其相关人员必须每年都要重新评估该项决策。另外,乔伊斯重申,超过 90% 的漏洞政府都会向受影响公司披露,但不会说这是一个直接或最终的过程。 多年来,网络安全部门一直呼吁政府能够公布 VEP 机制的具体细节,因为他们认为政府实施的行动要比公开披露的事情多得多。例如:美国国家安全局并非只是负责发现漏洞,其报告显示该机构曾在过去一年内花费了2500万美元从第三方购买了之前并未公开披露的漏洞细节。近期,政府将发布一份年度报告,旨在提供有关 VEP 工作的相关信息。 附:特朗普政府官方报告《 Vulnerabilities Equities Policy and Process for the United States Government 》 原作者:Zack Whittaker,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google 商城 144 款应用遭恶意软件 Grabos 感染,下载量已破 1740 万次

据外媒 11 月 15 日报道,网络安全公司 McAfee 研究人员 Carlos Castillo 于本周发布一份安全报告,宣称今年 9 月曾在应用程序 “ 亚里士多德音乐播放器 2017 ” 中发现一款新型恶意软件 Grabos,允许用户免费下载音乐的同时,不断要求他们评价应用,从而获得权限并在用户不知情下安装额外程序。经进一步调查显示, Grabos 还潜伏在其他 143 款应用程序中且已被 1740 万安卓用户下载。 研究人员表示,该恶意软件不仅可以跟踪用户位置,还可强制应用播放特定广告,从而诱导用户点击链接后通过下载恶意软件牟取暴利。知情人士透露,McAfee 在发现该恶意软件时立即向谷歌进行了报备。随后,虽然谷歌迅速在 Google Play 商店中下线了所有受影响应用,但这并不意味着谷歌市场摆脱了威胁。据称,多数已被用户下载的受损应用于近期再次进行了更新。 此外,杀毒软件公司 ESET 与俄罗斯网络安全机构 Dr Web 在 McAfee 发布报告的 24 小时后也纷纷透露发现类似事件,其结果显示多款 Google 官方应用已遭恶意软件感染,致使数百万用户在不知情下下载并触发恶意软件。对此,研究人员表示,想要保护系统不受感染,其用户不应该完全依赖谷歌商店下载应用。相反,用户应该仔细检查应用的级别与评论并注意下载权限,以防在不知情下下载受感染应用。 原作者: Jason Murdock, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国时尚品牌 Forever 21 与 Supreme 的客户信息在线泄露

据外媒报道,美国快时尚品牌 Forever 21 负责人于本周二证实,旗下部分门店支付系统遭黑客未经授权访问,导致今年 3 月至 10 月期间在其涉及门店消费的用户信息或遭泄露。目前,该品牌正联合执法机构紧急展开调查。 Forever 21 目前在全球 57 个国家经营超过 815 家商店,但该品牌自今年以来逐渐失守快时尚市场,即澳洲与日本等地区频频关店,其日本的首家旗舰店已于 10 月 15 日关闭。知情人士透露,市场失守又加上发生消费者信息泄露这种事情,无疑是雪上加霜。 此外,这段时间与 Louis Vuitton、AKIRA、INDEPENDENT、Levi’s 联名的潮牌 Supreme 也发生了消费者数据泄露的案件。近日有消息人士称,在过去两个月中分别有三位消费者在美国的 Supreme 店铺使用信用卡消费后,存在其它国家被盗刷的经历。然而,Supreme 作为街头潮流的引领者,每天都有成千上万的人用信用卡在店内消费,发生这种事情实在有点说不过去。 据业界人士分析,Supreme 客户资料被盗的主要原因有三,一是客流量大,信用卡数据都是会留在刷卡机里,这也容易成为黑客盗取资料的目标;二是店员经常替换,不排除这些辞退的员工会在走的时候盗取公司的信用卡信息拿去卖;三是中国消费者惯用的无芯片信用卡容易被盗刷,在国外消费时不走银联渠道是可以非密码交易的。 目前,研究人员对于 Forever 21 和 Supreme 店内消费信息被盗这两个案例来说,想要提醒广大消费者在使用信用卡消费时需要多加小心,以便减少自身利益损失。 稿源:品牌服装网,封面源自网络;

英国网络安全中心主管称:俄罗斯企图入侵英国国家媒体、能源及电信系统

据英国 IBTimes 报道,英国网络安全中心主管 Ciaran Marti 近期警示,俄罗斯政府疑似针对英国媒体、能源以及电信行业发动电网攻击,致使国家网络及关键基础设施面临断电危险。Marti 表示,目前俄罗斯已成功利用拒绝服务(DoS)攻击大量英国网站并企图破坏国际体系。 与此同时,爱丁堡大学的研究人员发现俄罗斯网络研究机构(IRA)利用了 419 个虚假的 Twitter 账户发布了有关英国退欧的文章,旨在干预英国政治发展。另外,《纽约时报》也报道称,与俄罗斯有关的推特账户在欧盟公投的 48 小时内发布了近 45,000 条关于英国退欧的消息。而来自斯旺西大学(Swansea University)和加州大学伯克利分校(California Berkeley University)的安全专家经调查表示,近 15 万个 Twitter 账户由全自动或半自动机器人控制,并发布推文鼓励公民投票支持英国退欧。 英国下议院文化、媒体与体育领域的主席 Damian Collins 表示,希望 Twitter 能够进一步回答俄罗斯如何利用社交平台干涉欧盟公投,因为他们需要了解俄罗斯是否已经建立一套基本架构,可以轻易利用成千上万的虚假账户发布信息,从而干预英国退欧的投票结果。 原作者:Brendan Cole,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国 DHS 与 FBI 联合预警:朝鲜黑客利用恶意软件 Fallchill 瞄准航空、电信与金融企业展开网络攻击

据外媒 ZDnet 报道,美国联邦调查局(FBI)联合国土安全部(DHS)的计算机应急团队于本周二发布了一份安全预警,详细介绍了朝鲜黑客利用恶意软件 Fallchill 瞄准航空、电信与金融企业开展网络攻击的具体情况。 Fallchill 是一款恶意软件,允许黑客收集信息(OS 版本和系统名称)后进行远程操作,包括搜索、读取、写入、移动与执行文件。据悉,用户通常都是在不知情下从受感染网站中下载恶意文件。一旦打开执行,黑客就能够通过命令与控制(C&C)服务器将 Fallchill 发送至受害系统并采用多家代理混淆网络流量,从而隐藏踪迹进行远程操控。此外,该恶意软件还利用了伪造的 TLS 协议进行通信、利用 RC4 加密编码数据。 调查显示,恶意软件 Fallchill 的研发最早可追溯至 2016 年,其研究人员通过 IP 地址跟踪发现该恶意软件或与朝鲜政府支持的黑客组织 Lazarus 有关。随后,FBI 调查人员警示,黑客已成功入侵美国多数电脑系统,导致用户设备频繁出现信息丢失或业务中断的现象。对此,他们建议用户增强系统防御体系、不要轻易点击未经检验的文件,从而抵制黑客恶意攻击活动。 原作者:Stephanie Condon , 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新加坡完善新网络安全法案,保障国家关键基础设施安全

新加坡于今年 7 月首次公布一份新网络安全法规草案,旨在保障国家网络安全、维护关键基础设施(CII)并授权当局履行必要职责,以促进各关键部门信息共享。据称,新加坡政府已列出 11 个被认为拥有 CII 的部门,其中包括水资源、医疗、海运、媒体、信息、能源与航空等机构。 知情人士透露,由于新加坡是全球遭受网络攻击最为严重的数字连接国家之一,因此其 CII 每次都将受到巨大影响。据悉,该草案规定 CII 所有者被要求执行必要机制与流程,以检测关键信息的网络安全威胁。如果违反立法规定的任何授权,其极有可能被处于高达十万新元的罚款或两年以下监禁。此外,该草案还将为 CSA 官员赋予特权,以便更快处理网络安全威胁。 随之,新加坡政府在该草案发布后获得公民积极响应,并于今年 8 月将其统一转交至通信和信息部(MCI)与网络安全局(CSA)进行整理。近期,MCI 与 CSA 联合发表声明,宣称收到来自各行各业的 92 份意见建议书,其中包括 Allen & Gledhill 等律师事务所。然而,以下是部分公民反馈: ο 要求针对 CII 的部分系统进行更清晰定义,以便排除供应链中支持 CII 操作的计算机系统; ο 要求精简 CII 企业职能,并与其他现有守则与标准保持一致; ο 要求网络安全提供商不再需要获得政府调查许可,从而降低企业运营成本; ο 允许渗透测试与管理 SOC 监测供应商提供服务,因为这些服务已然成为主流。不过,该服务记录期限将由五年减至三年,以减轻新架构对持牌供应商的负担。 新加坡政府机构表示,他们将根据公众反馈意见完善该法案部分条例并于 2018 年年初实施。目前,据调查显示,业界比较支持该法案信息保护条例,认为这一法规不仅提高了与网络威胁有关的信息共享,还保护了告密者的敏感信息。此外,网络安全机构还进一步指出,他们正深入探索其他安全措施,以便促进和鼓励各企业信息共享。 原作者:Eileen Yu, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英国协同办公软件 Huddle 存在安全漏洞,或致毕马威会计师事务所、英国医疗服务 NHS 等机构敏感信息泄露

据英国媒体 BBC 报道,安全研究人员于近期访问毕马威会计师事务所(KPMG)共享的工作日志时意外发现英国协同办公软件 Huddle 存在一处安全漏洞,致使用户敏感信息在线泄露。目前,该研究人员已通过与毕马威无关的签名证书获取公司财务信息。此外,英国国家卫生服务组织 NHS、内政部和税务及海关部等超过 16 万家机构均使用了该办公软件处理企业工作。 调查显示,如果不同用户利用该漏洞在 20 毫秒内进行两次登录将会得到同一授权密码,这意味着在双因素验证过程中,第一位点击链接输入密码的人与下一位用户将被认为是同一个人并被授予管理员权限。据称,该漏洞影响了今年 3 月至 11 月期间的六位客户会话,并证实第三方供应商可能已经访问目标客户敏感信息,而官方发言人表示,“在同一时间段内 Huddle 发生过四千九百多万次登录,发生这种错误的情况是非常罕见”。 Huddle 随后发表声明,宣称公司对于此次事件的发生深表歉意,他们正与其所有合作厂商取得联系,以便妥善解决此类问题。 安全研究人员经调查发现,虽然该漏洞对于政府、金融机构以及大学在内的用户群体来说影响较小,但所有软件都可能存在漏洞,甚至那些声称为用户信息提供超级安全保护的软件。目前,Huddle 已在接到通知后及时修复补丁。不过,毕马威现并未发表任何置评。 原作者:Jason Murdock,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒:朝鲜黑客疑似加大对美国国防承包商的攻击力度,意在窃取知识产权与军事情报

据 Slashdot 资讯平台 12 日消息,朝鲜黑客疑似针对美国国防承包商加大攻击力度,旨在获取有关美国及其盟友在武装冲突中可能使用的武器系统与其资产情报。美国安全专家与国防工业人员在接受《 The Security Ledger 》采访时均表示,朝鲜黑客所开展的攻击活动与去年相比显著增加,其黑客在攻击中试图获取目标公司知识产权,包括部署在朝鲜半岛的武器系统。 近年来,随着朝美两国的政治局势愈变紧张,安全专家发现朝鲜黑客主要通过电子邮件针对境外国防设备开展鱼叉式网络钓鱼攻击且次数持续增加。另外,黑客攻击的目标一般都是企业内部 “最薄弱的环节”,例如针对公司人力资源部的员工邮箱分发恶意软件,从而感染系统、窃取用户信息。 知情人士透露,朝鲜未来可能还具备更多的黑客手段展开攻击。不过,CNBC 报道称美国国会委员会已批准拨出 40 亿美元的额外支出,以便加强应对朝鲜导弹袭击的防御系统。此外,购买导弹防御系统的新兴国家还包括日本、瑞典、波兰与沙特阿拉伯。 消息来源:Slashdot,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。