标签: 韩国

警惕来自节假日的祝福:APT 攻击组织”黑格莎(Higaisa)”攻击活动披露

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw   一、概述 腾讯安全御见威胁情报中心曾经在2019年年初捕获到一次有意思的攻击活动,该攻击活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判,我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT攻击组织。 根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到2016年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。 此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 对于该组织的归属,腾讯安全分析了大量样本,我们确信其来自于朝鲜半岛。对攻击背景分析后,我们认为该组织为来自韩国的一个攻击组织。从样本的技术细节、基础设施等经过详细分析后,我们尚无证据证明该组织跟韩国的另一攻击组织DarkHotel(黑店)有关联,即便是攻击对象、某些攻击手法跟DarkHotel(黑店)有一些类似。 我们决定把该组织列为来自韩国的又一独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。 “黑格莎(Higaisa)”组织攻击流程图: 目前尚不排除该组织为DarkHotel的某一分支。由于受限于样本、受控机、基础设施等等客观情况,可能在组织归属上存在一些细节的误判和遗漏,我们希望安全社区同仁来共同完善该组织的一些细节。 值得注意的是,我们曾在腾讯安全2019年上半年APT总结报告中有提及该组织的攻击活动,当时我们错误的把该组织归属到了Group123。因此也借本文对该错误归属进行勘误和致歉,同时本文也对该活动进行更为详细的活动披露。若存在错误,望安全同仁一起来指正。 “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf 二、攻击过程 最初始的攻击,从邮件钓鱼开始,邮件内容如下: 邮件内容为韩语的元旦祝福: 而从后面的分析可知,在节假日发祝福邮件投递恶意文件,是该组织的惯用伎俩。 邮件的附件为一个压缩包,解压后为一个可执行文件,该可执行文件其实为一个dropper木马: 执行后,会释放并打开诱饵,以及释放恶意文件carsrvdx.sed到系统目录并通过设置注册表创建服务使得该dll以系统服务的方式开机自启动实现持久化: 其中,payload文件加密存储在资源中,释放的过程涉及简单的RC4解密,密钥为ssove0117: 释放的carsrvdx.sed实际为一个downloader,该文件首先会构造url,从http://info.hangro.net/file/start?session=[8位随机数字]&imsi=0获取要下载的文件名: 得到文件名avp.exe、avpif.exe后再构造以下URL进行下载后再构造以下URL进行下载: http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avp.exe http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avpif.exe 下载回来的文件同样需要经过简单的RC4解密,密钥为Higaisakora.0。下载回来的文件avp.exe(fca3260cff04a9c89e6e5d23a318992c),是一个基于gh0st开源远控框架修改而来远程控制木马,除了命令分发和数据包压缩算法弃用原来的之外,其他内容未发现重大改动,基本保留的原来的框架。 而命令分发部分改动较大,删除了绝大部分的命令处理函数,只保留了插件管理功能,木马的所有功能都将通过插件完成,成功下载了回来的插件为FileManager.dll(dd99d917eb17ddca2fb4460ecf6304b6,注:内存加载不落地),为文件管理插件,其命令分发与gh0st源码相似性达90%以上: 下载回来的另外一个文件为avpif.exe (77100e638dd8ef8db4b3370d066984a9),该文件的功能主要是收集系统信息,并回传。 收集的信息包括: 系统信息:计算机硬件、系统版本、用户信息、系统补丁、网卡信息等 网络信息:本地网络信息 进程列表 显示域、计算机、等共享资源的列表 C盘文件列表 D盘文件列表 E盘文件列表 收集完成后加密上传到服务器中,上传url为:http://180.150.227.24/do/index.php?id=ssss 三、关联分析 通过腾讯安全御见威胁情报中心的大数据分析和挖掘,我们发现大量跟该攻击相关的样本。我们对该组织的攻击活动进行梳理,使我们对该组织的攻击活动有更深入的了解。 1、初始攻击 通过监测发现,攻击活动均为使用鱼叉邮件攻击的方式。而攻击的时间窗口基本都在重要节假日。通过发送节日祝福,附带恶意文件的方式进行攻击。 我们根据payload解密的密码” Higaisakora.0″进行搜索,搜索到了另一篇分析文章:https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 虽然无法获取该报告中的样本,但根据报告中的截图和描述,可以确定为同一木马的不同变种。而根据该文章的披露,攻击方式同样为通过在节假日发送祝福邮件,并附带恶意文件的方式: 此外,有意思的是,我们发现该邮件的发送邮箱为gov.cn的邮箱,我们猜测攻击者可能首先攻破了某gov.cn的邮箱,然后利用该邮箱继续进行钓鱼工作。同样我们发现发件人邮箱同样存在china字眼,因此我们猜测,该组织习惯利用跟中国有关的邮箱做为跳板来进行下一步的攻击。 2、攻击诱饵 诱饵的类型根据文件种类分为两类,一类为可执行文件,另一类为恶意文档类。 1)可执行文件类诱饵: 可执行文件类又分为两个类型: 类型一:伪装为图像文件或文档文件,运行后会释放相关的图片或文档 该类型的可执行文件的图标一般要么伪装成word、excel、pdf、txt、邮件等软件的图标,要么直接是图片的内容图标: 内容主要分为: (1)传统节假日问候,如新年、元宵节、端午节、圣诞节等: (2)朝鲜国庆、领导人纪念日等相关: (3)新闻: (4)其他(包括色情图片或文本): 类型一诱饵的技术特点 将payload及伪装文件存放在PE资源中; 伪装文件未加密无需解密,payload需使用RC4解密后释放; 字符串以局部数组的形式存储,绝大部分API函数使用动态调用; 释放payload后,创建系统服务将其加载执行。 此外,我们发现这些诱饵内容都非常的及时,如某一诱饵为一个新闻,讲的是牡丹峰团长玄松月在平昌冬奥会前访问韩国: 通过搜索,该新闻是2018年1月22日: 而发现的利用该诱饵攻击的另一攻击样本(fa8c53431746d9ccc550f75f15b14b97),其编译日期为1月26日: 可以发现该组织非常擅长利用最新热点新闻。 类型二:伪装成Winrar、Teamview、播放器等常用软件 如运行后,除了释放原本的安装文件外,还会释放gh0st木马: 释放文件路径:C:\WINDOWS\system32\dilmtxce32.dll,而释放的文件同样需要通过解密,密钥为HXvsEoal_s。 2)恶意文档型诱饵: 我们发现的另一个攻击母体为(a5a0bc689c1ea4b1c1336c1cde9990a4),其路径为\AppData\Roaming\Microsoft\Word\STARTUP\winhelp.wll,而该目录为word的启动文件夹,当word启动的时候,会自动加载该目录下的模块文件。因此该手法常做为office后门加载方式的重要手法。 遗憾的是,我们并未获取到相关的文档文件,因此尚不知该启动文件是执行了某一恶意文档释放的(因为有很多攻击诱饵会利用漏洞等方式释放相关恶意文件到word启动目录),还是其他的母体释放到该目录的。不过我们认为由某一恶意文档通过漏洞释放的可能性更大。 该wll文件加载后,会释放文件在%USERPROFILE%\PolicyDefinitions\MMCSnapins.exe,该文件是个downloader,下载回来的文件有3个,分别为infostealer木马,用于窃取文件目录结构;gh0st RAT插件版;另一个未知的完整功能的RAT木马。 3、解密密码 我们发现该组织非常喜欢使用RC4加密算法,如解密释放的payload,解密下载回来的文件等。我们发现他的payload的解密密码跟随着时间而进行变化,但是downloader下载回来的文件解密木马始终都为Higaisakora.0。目前其解密payload的最新使用的密码为XsDAe0601。我们整理了一份时间和密码的对应表如下(相同的密码只取了一个): 可以看到,随着时间的变化,密码也相应的进行了变化。虽然密码上并未有相应的规律可以获取,但是至少也说明了作者一直在进行更新。 4、其他文件分析 我们还在相关受控机上发现大量其他文件,相信是该组织下发用来进行持续渗透和横向移动的工具。具体如下: 1)键盘记录器 文件BioCredProv.exe(6e95c5c01f94ef7154e30b4b23e81b36) 用于记录按键、窗口信息。 2)邮件相关 out1 .exe (901e131af1ee9e7fb618fc9f13e460a7),pdb为:E:\code\PasswordRecover\do_ok\OutlookPassRecover\Release\OutlookPassRecover.pdb 该文件的功能是outlook密码窃取,窃取的outlook账号密码保存到c:\users\public\result.dat。 文件out12.exe (08993d75bee06fc44c0396b4e643593c),pdb路径为: E:\code\PasswordRecover\outlook\OutlookPasswordRecovery-master\OutlookPasswordRecovery\obj\Release\OutlookPasswordRecovery.pdb 该文件的功能同样为窃取outlook账号密码,窃取的信息保存为Module.log。 根据pdb的路径在github上搜索,发现了该工程: https://github.com/0Fdemir/OutlookPasswordRecovery 跟文件里的完全一致: 3)非插件版的Gh0st RAT 之前发现的gh0st RAT均为插件版的gh0st RAT,也就是说所有功能通过插件来完成,但是我们在某台受控机上还发现一个非插件版的gh0st RAT,并且通过Installer解密数据文件.vnd后执行。 安装器的文件路径为:E:\360Rec\sun.exe(cc63f5420e61f2ee2e0d791e13e963f1) 最后解密后生成的文件C:\\Windows\\system32\\PRT\\WinDef32.dll(c5f0336b18a1929d7bd17d09777bdc6c)就为非插件版的gh0st。 其中主命令分发,只保留了部分gh0st功能,包括文件管理、屏幕监控、键盘记录、远程Shell等,而文件管理功能,保留了gh0st RAT文件管理的全部指令,并增加了获取和设置文件时间的功能。 5、移动端木马分析 通过拓展分析,我们还发现了几个安卓木马,如검찰청(翻译:监察厅).apk(8d3af3fea7cd5f93823562c1a62e598a): 该apk执行后界面如下: 伪装韩国检察厅APP,主要为访问网站http://www.spo.go.kr/spo/index.jsp。 实际上该app为一个远控木马,能够实现手机截屏、GPS位置信息获取、SMS短信获取、通话录音、通讯录获取、下载木马、上传文件等功能。 6、攻击归属分析 1)攻击样本中的地域分析 我们抽取了部分样本对编译的时间戳进行了分析(不包含被篡改的): 可以发现编译的时间主要发生在上午8点后,大部分时间都在晚上23点前。按照普通人的生活习惯,我们认为可能是在东9区的攻击者。正好覆盖朝鲜半岛。 其次我们发现样本中出现的naver.com字符: naver为韩国最大的搜索引擎和门户网站。 2)攻击对象分析: 因为诱饵内容几乎都跟朝鲜有一定的关系,包括朝鲜的国庆、朝鲜的联系人名单等;从钓鱼目标对象来看,基本都为朝鲜的外交官、海外居民、和朝有贸易往来人员等等;从受控机属性来看也几乎都为中朝贸易人员。 因此我们判断攻击的对象为与朝鲜相关的人员。 3)攻击手法 攻击手法包括钓鱼、伪装常用软件、下载插件等等,并且还具有多平台的攻击能力。 4)结论 从上述分析我们认为,攻击者可能来自朝鲜半岛,由于攻击目标为跟朝鲜相关,我们判断攻击者可能来自韩国。其次,从攻击手法、对象来看,跟韩国的另外一个APT攻击组织DarkHotel(黑店)比较类似。但是,从样本、基础设施等分析来看,我们并未发现有跟DarkHotel重叠的部分,也未有明确证据证明跟DarkHotel相关。但我们并不排除该组织或为DarkHotel的分支。 鉴于此,我们决定暂时把该攻击小组列为一个独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。归属过程可能因信息有限,或存在错误,我们希望安全同仁一起来完善该组织的更多信息。 四、总结 当节假日来临,我们往往会收到来自各地的祝福信息,尤其是单位的邮箱。但是一些别有用心的攻击者往往利用此机会,附带恶意文件进行攻击。而本次攻击主要是针对朝鲜相关的一些政治实体、人权组织、商贸等关系单位和人员,因此也有波及中国境内和朝鲜进行贸易的一些人员。 此外,该攻击组织的攻击武器库也一直在进行更新,而且除了pc端,也具有移动端攻击的能力。我们判断,该攻击活动必然还会继续进行下去,因此我们提醒相关人员,一定要提高安全意识,避免遭受不必要的损失。 五、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 1、通过官方渠道或者正规的软件分发渠道下载相关软件; 2、谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3、不要打开不明来源的邮件附件、即使查看可疑文档也切勿启用宏代码; 4、及时安装操作系统补丁和Office等重要软件的补丁; 5、使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击; 6、推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 1、IOCs MD5: 7c94a0e412cc46db5904080980d993c3 6febd1729c49f434b6b062edf8d3e7f3 fca3260cff04a9c89e6e5d23a318992c 77100e638dd8ef8db4b3370d066984a9 dd99d917eb17ddca2fb4460ecf6304b6 7d6f2cd3b7984d112b26ac744af8428d 8d3af3fea7cd5f93823562c1a62e598a C2: info.hangro.net console.hangro.net register.welehope.com www.phpvlan.com wiki.xxxx.com 180.150.227.24 39.109.4.143 103.81.171.157 2、参考文章 1)https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 2)https://s.tencent.com/research/report/762.html “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf

FBI 安全级别!韩国研发全屏指纹扫描技术

环球网科技综合报道,据《每日邮报》7月3日报道,现代智能手机的设计逐渐都转向了全面屏,然而这种设计的问题就在于该如何在手机上安置指纹扫描器。在全屏幕的iPhone X上,苹果完全放弃了扫描器,转而使用它的面部识别解决方案,即FaceID。与此同时,竞争对手一加手机则是将指纹传感器移到了手机的背面。 研究人员现在手机制造商提供了一个理想的解决方案,这要归功于一项新技术,该技术将整个显示屏变成了一个巨大的传感器。他们表示,研究结果与FBI设定的指纹识别标准相吻合,而这项技术可能在未来12个月内给上线。 来自韩国蔚山国家科学技术研究所的专家们开发了一种透明传感器,可以同时检测触觉压力和皮肤温度。研究人员称,检测热量和压力的能力确保了系统更安全。 超薄设计的秘诀在于创造出新的透明电极,这种电极基于一种相互连接的超长银纳米纤维和细银纳米线的网络。这些组件非常小,一旦嵌入到显示器中,它们就几乎是隐形的,而且能够同时保持足够大的电力来扫描用户的指纹以进行认证。 参与这项研究的Jang-Ung Park博士在接受采访时表示:“我们开发了‘透明’指纹传感器,旨在检测手机显示屏上的指纹。我们的指纹传感器达到了FBI设定的分辨率标准。” 人类的指纹由独特的脊状和谷状结构组成,检测指纹的一种方法是感知电荷的变化,这是由山脊和山谷之间的空隙造成的。然而,传统的透明材料——用于使现代智能手机屏幕触敏的铟锡氧化物(ITO)却无法胜任这项任务。ITO的电阻太大,它无法检测到指纹传感器所需电荷的微小变化。 研究小组通过将细银纳米线结合在一起解决了这一问题,这种纳米线具有良好的透明性,而银中纤维具有较低电阻。研究人员称,这种配置对电荷变化的敏感度是ITO的17倍。 这种柔性阵列也非常耐弯曲,使其在智能手机和平板电脑等设备上的应用会变得非常耐磨。   稿源:环球网,封面源自网络;

韩国最大虚拟币交易平台被黑 约 2 亿元资产被盗

中新网6月20日电,据韩联社报道,韩国最大虚拟货币交易平台Bithumb遭黑客入侵,约350亿韩元(约合人民币2.04亿元)资产被盗。 据Bithumb介绍,公司于当地时间19日下午11时发现异常情况,于20日凌晨1时30分许采取限制存储措施后清点资产发现了平台被黑情况,随后于当天上午9时40分许向韩国网络振兴院(KISA)举报。 Bithumb紧急通知,约350亿韩元的加密货币被盗,平台暂停交易和加密货币的存取服务。损失的部分将由公司赔偿,客户资产已转移到未接入互联网的外部存储设备。 Bithumb相关人士表示,将对服务器进行优化升级,加强数据库安全防护,确保今后不再发生类似情况。 另外,Bithumb被黑消息传出后,币价较前一交易日下滑4.25%,其他虚拟货币也应声齐跌。   稿源:中国新闻网,封面源自网络;

韩国一交易所遭黑客攻击:比特币创近三个月最大跌幅

上周日,韩国加密货币交易所Coinrail称系统遭遇“网络入侵”,致使比特币连续三天下跌。彭博社援引Bitstamp数据显示,截止到下午4点,纽约市场比特币价格已跌至6840美元,创出自3月14日以来的最大跌幅,将比特币今年的亏损幅度扩大到52%。 同属加密货币的以太坊和瑞波币的交易价格分别下跌10%和11%。   6月10日,比特币期货(XBT)与美元交叉汇率   Coinrail官网上的一份声明证实,该交易所一些数字货币似乎已被黑客窃取,但未提及具体金额。Coinrail只是说,正在与调查机构及其它交易所合作,以便追捕肇事者并挽回损失。 数字货币的核心安全问题是,货币本身通常只代表一个独特的数字代码,这意味着一旦数据被盗,其所有者信息就会被抹去。 Coinrail表示,为防止黑客攻击,该公司正在审查系统。该交易所说,已经成功冻结了所有面临被盗风险的NPX、NPER和ATX等数字币种,其它加密货币现在被保存在一个“冷钱包”(cold wallet)里。 根据Coinmarketcap.com的数据统计,Coinrail交易所涵盖超过50种不同的加密货币,交易规模在全球同类市场中排名第98位,24小时的交易量约为265万美元。   稿源:,稿件以及封面源自网络;

韩国最大加密货币交易所Upbit遭检方突击检查

韩国最大的加密货币交易所Upbit日前遭到了韩国检方的突击检查。Upbit上周五在其网站发布的公告证实了上述调查消息。Upbit表示,正“全力配合”有关部门的调查,并表示,客户仍可以执行交易及存取资金。Upbit总部位于首尔。 外媒报道称,调查人员出于对Upbit不当处置投资者资金的担忧而对其展开欺诈调查,于上周四和周五突查了Upbit的主要办公室,查扣了硬盘和账户记录。 消息公布后,比特币价格也收到了冲击,小幅下挫。目前比特币价格约为8700美元,总市值约1500亿美元。整个加密货币市场总市值约4000亿美元。 过去几个月,韩国监管部门还搜查了几个较小的加密货币交易所。目前,各国监管机构都在加强对加密货币交易所监管力度。美国证券交易委员会(简称SEC)已开始对数字货币产业进行大规模调查。日本金融监管机构今年3月处罚了多家加密货币交易所,处罚措施包括勒令其中两家暂停运营一个月。   稿源:TechWeb,封面源自网络;

韩国首尔计划推出自己的加密货币

据外媒报道,韩国首尔市正在开发自己的加密货币 — S-Coin。据该市市长朴元淳介绍,S-Coin 将用于城市资助的社会福利项目。朴元淳于上周接受媒体采访时公布了这一计划。他表示,由于首尔在信息和通信领域是全球领先的城市,所以他认为他们应当研究诸如区块链之类的新技术。 就跟爱沙尼亚计划将区块链技术应用到所有政府行政程序中一样,朴元淳也认为区块链适用于首尔的所有政府机构,如由首尔市运营的公共交通系统等。 另外朴元淳还指出,S-Coin 还能作为一种城市资助福利项目的支付方式,与此同时它还能通过减少电量、水和天然气的使用保护环境。 为了实现这一目标,朴元淳表示监管加密货币的相关法律将需要进行调整并补充称,为了制造 S-Coin,他们需要准备好一些制度和法律支持。 此外,朴元淳还希望能建立起一个区块链生态系统。“我已经见过许多区块链公司,但我认为我们的公司无法看到光明,因为各种各样的监管制度。实际上,(我们的)技术跟其他国家一样先进。通过创建能让区块链公司建立起来、让初创公司开发出新技术的群集,我们正在努力开发区块链技术并加速全球区块链技术的开发。” 据了解,该技术是首尔市区块链总体规划的一部分,其预期在今年 4 月部署完成。而在去年 11 月,该市专门聘请 了三星 SDS 来帮助他们建立一套区块链城市创新的信息战略计划,这使其成为了韩国第一个为引进区块链制定路线图的城市。 针对韩国政府目前对加密货币的强力监管政策,朴元淳表示,当司法部宣布监管措施的时候遭到了巨大反抗,与此同时政府似乎也开始了深入的思考。他还补充道,建立案例和模型是当地政府的任务。 稿源:cnBeta,封面源自网络;

最新水坑攻击样本仍然利用朝鲜黑客的 Flash 漏洞

Morphisec 警告称,有人利用香港电信公司网站进行攻击,攻击开始使用最近的 Flash 漏洞,该漏洞自 2017 年 11 月中旬以来一直被朝鲜利用。 韩国互联网与安全局(KISA)发布警告提到 CVE-2018-4878 漏洞,并表示漏洞被朝鲜黑客利用后,Adobe 在一周内修补了漏洞。 Morphisec 指出,最近观察到的事件是教科书式的水坑攻击。攻击者在受害者可能访问的网站上植入恶意软件。 由于新的攻击手法没有生成文件,也没有在硬盘中留下痕迹,因此具备更强的隐蔽性。另外它还在没有过滤的端口使用了定制的协议 安全研究人员指出:“一般来说,这种先进的水坑攻击本质上是高度针对性的,应该有一个非常先进的组织在进行支持。” 隐蔽性增强 这次攻击中使用的 Flash 漏洞与先前 CVE-2018-4878 漏洞分析中详述的漏洞非常相似,尽管他们使用了不同的 shellcode。 攻击中的 shellcode 执行 rundll32.exe 并用恶意代码覆盖其内存。这段恶意代码的目的是将其他代码直接下载到 rundll32 进程的内存中。 安全研究人员还发现,命令和控制(C&C)服务器通过 443 端口使用自定义协议与受害者进行通信。 下载到 rundll32 内存的附加代码包括 Metasploit Meterpreter 和 Mimikatz 模块。大多数模块在 2 月 15 日编译,攻击在不到一周的时间里开始。 尽管有这些先进的隐蔽功能,但这次攻击使用了基本的  Metasploit 框架组件,这些组件在攻击之前编译,并且没有混淆,这对攻击的溯源造成了困难。 Morphisec 表示,这次攻击针对几周前的 CVE-2018-4878,而攻击又来自具有国家背景的组织,这些都造成了某种似曾相识的感觉。 稿源:freebuf,封面源自网络;

韩国成立研究中心致力于将人工智能应用于国防项目

据外媒 New Atlas,正当联合国在继续制定与致命自主武器有关的明确国际条约时,韩国刚刚宣布对人工智能和军事系统进行重大投资,目标是将人工智能应用于各种国防项目。韩国防务公司 Hanwha Systems 与 韩国科学技术院( KAIST )联手推出一个致力于开发基于人工智能的军事创新的新基地。该基地于 2 月 20 日开放,被称为国防和人工智能融合研究中心。 双方最初宣布了四个研究领域,包括 “ 基于人工智能的指挥决策系统,大型无人海底车辆复合导航算法,基于人工智能的智能飞机训练系统和基于人工智能的智能物体跟踪识别技术。” 这一消息是在全球日益关注发展自主军事武器的时刻发布的。去年,科学家和研究人员大力推动禁止研发自主武器的国际条约。 联合国最初开始讨论制定一系列条约,作为去年 11 月的特定常规武器公约( CCW )的一部分,但是在俄罗斯等国家拒绝支持。俄罗斯不是唯一认真研究人工智能军事系统的大国。美国最近揭示了一个绰号为“ Wingman ” 的新自主作战计划的第一步。 稿源:cnBeta,封面源自网络;

韩国互联网安全局(KISA)预警:朝鲜黑客利用 Flash 零日漏洞针对性攻击韩国网民

外媒 2 月 1 日消息,韩国互联网安全局(KISA)于近期发布警报称朝鲜黑客已利用 Adobe Flash Player 中的 “ 零日” 漏洞在野外开展攻击活动。据相关研究人员介绍,黑客组织通过诱骗用户打开一个分发恶意 Flash 文件的 Microsoft Office 文档、网页或者垃圾电子邮件来对该漏洞加以利用,从而达到操控用户系统的目的。 韩国计算机应急响应小组(KR-CERT)透露,特制的 Flash 文件中存有恶意代码。 目前看来,该恶意代码很可能嵌入在 Word 文档的 Flash SWF 文件中。 韩国安全公司 Hauri Inc.的研究员 Simon Choi 表示,朝鲜黑客自 2017 年 11 月中旬开始利用 “ 零日”,其主要目的可能是为了攻击韩国用户 。针对上述情况,Simon Choi 建议用户在 Adobe 发布补丁之前禁用或卸载 Adobe Flash Player。 Adobe 方面目前已经得到了报告,并计划在 2 月初发布新版本来解决该漏洞。Adobe 表示从 Flash Player  版本 27 开始,管理员可以设置成用户播放 SWF 内容之前收到提示信息。当然,管理员也可以开启 Office 保护视图,以只读模式打开可能不安全的文件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

韩国海关查处涉加密货币犯罪:总额近 6 亿美元

北京时间 1 月 31 日上午消息,韩国海关部门周三发布声明称,他们破获了总额超过 6375 亿韩元(约合 5.9435 亿美元)的几起加密货币犯罪,其中涉及非法外汇交易。 声明中称,韩国国内的投资者买入价值 17 亿韩元的加密货币,通过虚拟钱包将资金汇往海外伙伴公司,并将汇出的加密货币兑换为各类法定货币。此类行为属于未经记录的资本外流。 韩国海关部门补充说,他们将继续监管加密货币涉及非法外汇交易及洗钱问题。 稿源:,稿件以及封面源自网络;