安全快讯Top News

黑客通过控制麦克风窃取超过 600 GB的数据

研究人员曝光了利用麦克风窃取情报的网络间谍行动。攻击者从大约 70 个目标窃取了超过 600 GB 的数据,这些目标包括了关键基础设施、新闻媒体和科研机构。攻击者首先向目标发送钓鱼邮件,恶意程序隐藏 Microsoft Word 文档中,一旦感染目标之后利用恶意程序控制设备的麦克风去记录对话、屏幕截图、文档和密码,并将收集的情报上传到 Dropbox 账号。 研究人员根据其使用麦克风和 Dropbox 而将这一行动称为 Operation BugDrop。大多数被感染的目标位于乌克兰,其余目标位于沙特和澳大利亚。乌克兰最近遭受了大规模的黑客攻击,导致电网短暂关闭,但目前没有证据显示 Operation BugDrop 与网络攻击导致的断电相关。 稿源:cnbeta,有删改,封面来源于网络

针对 Android 平台的勒索软件攻击一年内增长了 50%

趋势科技进行的一项调查发现,针对 Android 操作系统的勒索攻击在短短一年内增长了超过 50%,因为越来越多的消费者从他们的 PC 切换到他们的智能手机,使移动操作系统生态系统成为网络犯罪分子更有价值的目标。 根据安全公司 ESET 的报告,加密恶意软件攻击的最大峰值来自 2016 年上半年。还发现锁定屏幕上的所谓“警察勒索软件”一直是 Android 平台上勒索软件的主要类型,可以有效地吓唬一些受害者,这类软件声称受害者犯罪,这导致许多人向攻击者支付所谓赎金。 除此之外,研究人员还发现,犯罪者通过将恶意软件的有效载荷加密深入到被感染的应用程序内,增加了它们被发现的难度。在 ESET 发布的勒索软件白皮书中表示,东欧是勒索软件开发商的主要目标。然而,随着时间的推移,这种情况已经改变,勒索软件记录在案的成功攻击事件当中,有 72% 发生在美国。研究发现,这种转变是由于在美国的移动用户一般比东欧更富有,因此针对美国的用户的攻击将为他们带来更多的利润。 为了确保 Android 设备安全,ESET 建议用户远离第三方应用商店,及时更新移动安全软件并且小心访问那些未知网站,因为并不是每一个登陆页面都是安全的。 稿源:cnBeta;封面源自网络

Chrome 安全警告:部分网站内容乱码,提示下载字体,实为恶意攻击

近日,部分谷歌 Chrome 浏览器用户遭遇到了新的黑客诈骗攻击方式,安全专家提醒各位用户提高警惕。网络安全公司 NeoSmart Technologies 首先在一家 WordPress 架构的网站发现此类陷阱式攻击方式,WordPress 最新版本存在着问题让用户无法及时更新安全补丁,为黑客留下了可乘之机。 此类攻击隐藏的非常好,JS 脚本首先将会篡改被感染的 WP 网站文本渲染呈现方式,导致用户在使用 Chrome 时看上去非常混乱,随后脚本会提示用户缺乏某个特定字体,建议用户升级 Chrome 字体包来解决问题,但下载的字体文件其实含有恶意软件。弹出的对话窗口看上去非常逼真,其甚至巧妙地模仿了按钮按下时的阴影高光细节。 当然,这种骗局也有破绽:首先他仅会提示你正在使用 Chrome 53 版本(非该版本的用户也会如此提升),另外信息提示你会下载“ Chrome_Font.exe ”,但是实际下载的文件名为“ Chrome Font v7.5.1.exe ”。目前谷歌尚未将该文件标识为“恶意软件”,用户需要特别注意。 稿源:cnbeta,有删改,封面来源于网络

金正男之死、中国煤炭禁令或将导致朝鲜动用黑客军团“创汇”

据纽约时代周刊报道,朝鲜黑客的活动强度可能将在未来一段时间有所加强。受近日中国对朝鲜的煤炭禁令以及国际制裁的一系列影响,朝鲜的出口创汇策略遭到巨大挫折,甚至进一步影响国内经济,朝鲜很有可能通过黑客手段获取部分资金以弥补潜在的经济损失。 近日,朝鲜领导人之兄金正男在马来西亚遭刺杀身亡。无论事情结果如何,朝鲜与东南亚国家的关系恶化已成必然,朝鲜对东南亚的外贸交易将受到萎缩,这无疑会影响到经济发展,因此对华贸易的依赖度会越来越高。 然而,本月 18 日,中国商务部和海关总署发布公告,从 2 月 19 日起,本年度暂停进口朝鲜原产煤炭。这又是对朝鲜的当头一棒,要知道煤炭是朝鲜出口创汇、跟外界交往的重要方式,转运煤炭,也是朝鲜跟中国和其他外国企业交往的主要方式。 外媒猜测朝鲜可能会动用黑客军团从事网络犯罪,通过灰色收入来弥补外贸受限带来的经济损失。据此前韩国公布的数据显示,朝鲜有一支 6800 人组成的精英级黑客军团,专门从事网络犯罪活动,每年创收 8.6 亿美元。密苏里大学国际问题研究所教授 Sheena Greitens 表示:如果其他收入来源渠道被关闭,那么在政权眼中网络犯罪将具有更高的优先级。 朝鲜黑客早已被报道多次,本月初,安全研究人员发现全球范围内 31 个国家银行遭网络攻击,而攻击者很可能是 Lazarus 组织,该组织一直在对韩国及美国进行网络攻击,此前,Lazarus 组织还在 2014 年攻击了索尼电影娱乐公司。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

俄外长回击网络攻击一说“毫无根据”,愿与美方建立务实关系

在近日的慕尼黑安全会议上,俄罗斯外交部长拉夫罗夫表示,欧洲各国对俄罗斯从事网络战争破坏西方选举的指责是毫无根据的,并希望“建立务实的俄美关系”。 近年来,由于俄罗斯和以美国为首的北约就乌克兰、叙利亚等问题产生冲突,俄与西方关系急剧恶化。在美国新一届政府成立后,人们曾对美俄关系缓和抱有期待,但观察近期的各方表态,特别是在第五十三届慕尼黑安全会议上美欧代表的发言,这让西方与俄罗斯关系未见转圜趋向。 俄罗斯外长表示:近期一些国家无端指责俄罗斯对其进行网络攻击,这是毫无根据的,请拿出实质证据。他批评北约“仍然是一个冷战的机构,无论是思想还是心脏”,并呼吁建立一个平衡国际法和各国利益的世界秩序。 此外,俄罗斯外长拉夫罗夫在主旨讲话中提出俄美关系新方向,希望“建立务实的俄美关系”。俄罗斯希望与美国互相尊重,彼此理解对方在维护全球和平稳定方面的特殊责任,并在此前提下建立“务实的两国关系”。 本文由 ibtimes 和 人民日报 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

欧盟要求微软解释 Windows 10 收集个人数据目的

据国外媒体报道,欧盟数据保护监视组织日前表示,他们对微软 Windows 10 操作系统隐私设置仍然表示担心,尽管这家美国公司宣布对安装过程进行了改变。对此,该组织要求微软对数据用途作出更多的解释。 欧盟隐私保护组织表示,微软通过 Windows 10 收集的数据被用于不同目的,其中包括用于广告。微软应该清楚地解释什么样的个人数据被处理用于什么目的,否则就令人担心。 尽管新安装界面向用户提供了五个选择,能够限制和关闭微软对他们数据的处理,但是不清楚的是用户不了解具体数据被收集到什么程度。 去年,该监视组织在写给微软的文字中表达了对 Windows 10 默认安装设置和用户对自己数据由微软处理显然缺乏控制的担心。一些国家监管机构也已经开始对 Windows 10 展开调查,其中就包括法国。去年 7 月份,法国勒令微软停止过度收集用户数据。 稿源:cnbeta,有删改,封面来源于网络

研究员利用 JavaScript 破解英特尔等 22 款 CPU 的 ASLR 保护

阿姆斯特丹自由大学系统及网络安全小组 VUSec 本月 15 日揭露了一项攻击技术,可绕过 22 款处理器的 ASLR 保护,波及 Intel、AMD、Nvidia 及 Samsung 等处理器品牌。 ASLR 是许多操作系统的预设安全机制,它在虚拟位址空间中随机配置应用程序的代码与资料,以提高黑客的攻击门槛,被视为保护网络用户的第一道防线。而 ASLR 的限制正是现代处理器管理内存的基础,VUSec 研究人员打造了一个 JavaScript 攻击程序可完全去除 ASLR 对处理器所带来的安全保障。 研究人员解释称,处理器中的内存管理单元(MMU)是借由快取阶层来改善搜寻页表的效率,但它同时也会被其他程序利用,像是浏览器中所执行的JavaScript。于是他们打造了名为 ASLRCache(AnC)的旁路攻击(side-channelattack)程序,可在 MMU 进行页表搜寻时侦测页表位置。 安全研究人员开发了 AnC 的原生版本与 JavaScript 版本,通过原生版本来建立可在 22 款处理器上观察到的 MMU 讯号,再以 JavaScript 版本找出 Firefox 及 Chrome 浏览器上的程序码指标与堆积指标,计算出档案的实际位址,最快只要 25 秒就能让 ASLR 的保护消失无踪。 现阶段 VUSec 已释出 AnC 的原生版本以供研究使用,但为了维护网络使用者的安全,并不打算发表 JavaScript 版本。即便如此,研究人员仍然预期任何拥有较高能力的黑客在几周内就可复制相关的攻击程序。VUSec 警告,由于 AnC 攻击程序利用的是处理器的基本属性,现在是无解的,对使用者而言,唯一的防范之道就是不执行可疑的 JavaScript 程式,或是直接在浏览器上安装可封锁 JavaScript 的插件。 其实 AnC 早在去年 10 月就出炉了,但当时 VUSec 决定先行知会相关业者,包括处理器、浏览器与操作系统领域,一直到本周才对外公开。 稿源:cnBeta;封面源自网络

恶意 Android 应用借知名色情站点之名肆虐互联网

作为色情网站中的佼佼者,P**hub 显然备受各类病毒 / 欺诈钓鱼 / 恶意软件制作者们的青睐。网络安全公司 ESET 的研究人员刚刚发现,一轮针对毫无戒心的受害者的网络攻击正在兴起,而它们的主要手段,就是将自己伪装成知名的 P**hub Android 移动应用程序。这家反病毒软件公司称,虽然谷歌会不时从 Play Store 上撤下恶意软件,但仍然难以杜绝李鬼们的登场。 P**hub 确实有一款官方 Android 应用,但当前它在 Play Store 上处于不可用的状态。因为谷歌禁止色情应用在自家软件分发平台上出现,导致用户不得不通过第三方途径寻找“替代品”,然而这是一个充满了危机的旅程。 一旦被安装,这款恶意应用会先拒绝点播任何视频,除非它先“执行病毒检查”。但你别以为它有那么好心,因其实际上在偷偷地安装会锁住用户设备的勒索软件。到了这一步,这款恶意 P**hub 应用终于暴露了自己的真面目,勒索用户交出价值 100 美元比特币的赎金。 不过 ESET 也发布了一份自救指南(仅供参考): ● 首先将以‘安全模式’启动设备 — 此时第三方应用已被即刻阻止 — 以便用户轻松清除恶意软件; ● 其次如果恶意应用已被授予了设备管理员权限,请务必在删除该 app 前撤销它的权限。 ● 如果恶意软件篡改了设备的锁屏功能,自救操作就更加复杂,或许需要通过谷歌的‘安卓设备管理器’(或其它替代解决方案)来重置锁屏。 ● 为防以上措施均未起效,最后的大招是通过‘恢复出厂设置’功能彻底重置手机。 稿源:cnBeta;封面源自网络(PS)

Google 希望在澳大利亚雇佣“黑客”填补岗位空白

谷歌正在澳大利亚寻找能力强、技术高明的“黑客”,并邀请其加入公司。谷歌认为澳大利亚是一片滋生网络安全人才的沃土,澳大利亚学校为学生提供了广泛的 IT 知识课程,营造出很好的 IT 氛围,有助于培训出网络安全专业人士。Google 安全专家 Parisa Tabriz 表示正在寻找的理想目标是:拥有很强的渗透入侵能力但不做恶,而是为了让系统更安全而努力的技术人才。 然而,科技巨头的举措可能加剧澳大利亚各政府机构 IT 技术人才短缺的普遍现象。澳大利亚情报机构的官员 Michael Scott 表示私营公司正在和政府竞争网络安全人才,由于薪资和福利等问题,政府往往处于劣势。 新南威尔士大学教授 Richard Buckland 表示:现阶段是培养了一些人才,但相比于市场需求来说这远远不够。此外,最重要的一个问题是,尽管学校提供了各种课程,但似乎并没有那么多学生有兴趣参加课程,学校需要改变课程的教学方式。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

恶意软件TeamSpy利用远程工具TeamViewer进行网络间谍活动

安全研究员上周末发现了一个新的网络间谍活动,旨在传播恶意软件 TeamSpy ,以便获得对目标计算机的访问权限,而恶意软件 TeamSpy 又由远程访问工具 TeamViewer 和键盘记录器等组件组成。 恶意软件 TeamSpy 早在 2013 年就被报道过,当时匈牙利 CrySyS 实验室的研究人员发现了一起长达十年的网络间谍活动。该活动针对东欧外交人士和工业、使用恶意软件 TeamSpy 窃取秘密文件和加密密钥。 近期,恶意软件 TeamSpy 又开始活跃起来,攻击者利用社会工程学诱骗受害者安装软件,并通过 DLL 劫持技术保持隐蔽性,使用合法的远程访问工具 TeamViewer 执行未经授权的操作。 DLL 劫持技术 DLL 文件为动态链接库文件,当一个程序运行时,Windows 将查找并调用相应的 DLL 文件。首先从当前程序所在的目录加载 DLL,如果没找到,则在系统目录中查找,最后才是在环境变量目录中查找。 攻击者将在程序目录下伪造 DLL 的同名函数,这样程序将优先调用伪造的 DLL 文件,先执行伪造文件中的恶意代码,处理完毕后,再调用原 DLL 文件。 攻击者发送的网络钓鱼邮件中包含一个 zip 附件,当受害者打开压缩包的同时将执行附带的 exe 文件,如 Fax_02755665224.zip – > Fax_02755665224.EXE 。恶意软件将在受害者的计算机上安装合法版本的 TeamViewer ,并劫持 DLL 以确保它保持隐藏。这种攻击还可以绕过双因素身份验证,攻击者可访问计算机上未被加密的内容。 目前,大多数杀毒软件还无法检测到恶意软件 TeamSpy ,它在 VirusTotal 上的检出率仅为 15/58 。这意味着只有 15 家杀毒软件能检测出,如卡巴斯基、ESET、Cyren、McAfee、Microsoft、Sophos 等。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。