外媒 2 月 1 日消息，韩国互联网安全局（KISA）于近期发布警报称朝鲜黑客已利用 Adobe Flash Player 中的 “ 零日” 漏洞在野外开展攻击活动。据相关研究人员介绍，黑客组织通过诱骗用户打开一个分发恶意 Flash 文件的 Microsoft Office 文档、网页或者垃圾电子邮件来对该漏洞加以利用，从而达到操控用户系统的目的。 韩国计算机应急响应小组（KR-CERT）透露，特制的 Flash 文件中存有恶意代码。 目前看来，该恶意代码很可能嵌入在 Word 文档的 Flash SWF 文件中。 韩国安全公司 Hauri Inc.的研究员 Simon Choi 表示，朝鲜黑客自 2017 年 11 月中旬开始利用 “ 零日”，其主要目的可能是为了攻击韩国用户 。针对上述情况，Simon Choi 建议用户在 Adobe 发布补丁之前禁用或卸载 Adobe Flash Player。 Adobe 方面目前已经得到了报告，并计划在 2 月初发布新版本来解决该漏洞。Adobe 表示从 Flash Player  版本 27 开始，管理员可以设置成用户播放 SWF 内容之前收到提示信息。当然，管理员也可以开启 Office 保护视图，以只读模式打开可能不安全的文件。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月1 日报道，安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫，其利用与 NSA 相关的 EternalBlue （“ 永恒之蓝 ” ）漏洞进行传播。据研究人员测试，WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统（包括 64 位版本和 Windows Server 2003），并使其设备性能明显下降。 CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响，比如由于如此高的 CPU 利用率，导致矿业公司的系统以及应用程序崩溃。 研究人员经过分析后发现 WannaMine 的恶意代码十分复杂，因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是：WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后，WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。 研究人员注意到，WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据，从而达到横向移动的目的，但如果不能够横向移动的话，WannaMine 将更依赖于 EternalBlue 的利用。 相关报告： <Threat Hunting, the Investigation of Fileless Malware Attacks> 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 31 日消息，澳大利亚警方于近期逮捕了一名 37 岁的男子，因其在去年 5 月至 7 月期间入侵了共享汽车 GoGet 公司的服务系统。据警方表示，该名男子通过非法访问 GoGet 的车队预订系统，下载客户的重要信息（其中包括姓名、住址、电子邮件地址、电话号码、出生日期、驾驶执照、以及 GoGet 管理帐户中的详细信息等）。此外，警方还指控该男子在此期间盗窃了 33 辆汽车。 该男子名为 Cubrilovic，在 2011 年是安全界的突出人物，因为他揭露了 Facebook 的隐私漏洞。其次，在线存储新创公司 Omnidrive 也是由他在 2004 年创立。 有趣的是，调查显示 Cubrilovic 入侵 GoGet 的主要目的是为了免费使用汽车。不光如此，警察还调查到 GoGet 的服务器上存有收集用户信用卡详细信息的恶意软件 。目前警方正在确认是否是该名男子安装了这款恶意软件。 距离事件发生时间七个多月后， GoGet 公司于本周三（1 月 31 日）上午在其电子邮件中向客户道歉，并承诺客户密码以及信用卡的具体信息没有受到影响。澳大利亚警方在近期一份声明中表示，目前尚无客户敏感信息被传播或出现欺诈活动的情况，此案件还在进一步调查中。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 30 日报道，思科（ Cisco ）于 29 日发布了一个补丁程序，旨在修复影响 ASA 设备的一个严重漏洞。根据思科发布的安全公告显示，该漏洞驻留在设备的 SSL VPN 功能中（解决远程用户访问敏感数据最简单最安全的解决技术），可能会允许未经身份验证的攻击者在受影响的设备上远程执行代码。 该漏洞被追踪为 CVE-2018-0101，是由于在思科 ASA 设备上启用 webvpn 功能时尝试双重释放内存区域所致。据悉，攻击者可以通过将多个精心制作的 XML 数据包发送到受影响系统的 webvpn 配置接口上来利用此漏洞。这样一来，攻击者就能够远程执行任意代码并获得系统的控制权，甚至在某些情况下可能也会致使受影响的设备重新加载。 目前该漏洞影响了思科近十几种产品，如以下列表： — 3000 系列工业安全设备（ ISA ） — ASA 5500 系列自适应安全设备 — ASA 5500-X 系列下一代防火墙 — 适用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块 — ASA 1000V 云防火墙 — 自适应安全虚拟设备（ASAv） — Firepower 2100 系列安全设备 — Firepower 4110 安全设备 — Firepower 9300 ASA 安全模块 — Firepower 威胁防御软件（ FTD ） 尽管这个漏洞影响了许多 ASA 设备，但是思科声称只有启用了 “ webvpn ”  功能的设备才易受攻击。此外，目前还不确定该漏洞是否已被野外利用，因此相关专家建议受影响的公司尽早推出安全补丁。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，北约合作网络防御卓越中心（CCDCOE）被选定来协调联盟内所有网络防御行动领域的教育和培训解决方案。 CCDCOE 是一家总部位于爱沙尼亚， 由 20 个不同国家组成的知识中心。从技术上讲，这是一个军事组织，它的任务是为盟友提供 360 度的网络防御，并且输送技术、战略、行动和法律方面的专业知识。 除上述功能之外，CCDCOE 还扮演了一个新的角色 —— 作为网络防御作战教育和训练纪律的负责人，这一新角色由北约两个战略指挥部门之一的最高盟军指挥部( SACT )授予，主要职责是与位于美国弗吉尼亚州诺福克的盟军司令部密切合作。 CCDOE 的负责人 Merle Maigre 表示：“ 我们很荣幸在这个新的挑战中发挥作用，投资于培训和教育可能是我们可以做出的最好的承诺。虽然回报是丰厚的，但不能总是以美元或欧元来衡量价值。因为投资培训和教育在技术浪潮的背景下给我们带来了新的机遇，不过需要注意的是技能过时得也更快。” 另外，CCDCOE 也是 “ 塔林手册 2.0 ” 的发源地（该手册是关于国际法如何适用于网络运营的综合指南）、组织了世界上最大最复杂的国际技术性现场网络防御演习。 消息来源：Infosecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒  ZDNet 1 月 30 日报道，Oracle 的 Micros POS 机中存在一个高风险的安全漏洞，允许攻击者在未经验证的情况下对服务器数据库进行访问和读写，致使公司的整个业务数据都受到威胁。 ERPScan 团队在一篇博客文章中对该漏洞进行了分析： 攻击者可以通过访问一个易受漏洞攻击的设备来读取本地文件，以获得用户名和密码，从而拥有完整的数据库访问权限。 据悉，该漏洞的严重程度被研究人员划为 8.1 分（满分10 分） 。甲骨文方面也认为该漏洞非常复杂，并在本月早些时候表示已将其修复，作为其季度补丁计划的一部分促使 ERPScan 发布 漏洞的概念验证码。 研究人员表示近几年 POS 设备时常遭受攻击，比如今年早些时候，Forever 21 确认其付费终端被安装了恶意软件，潜伏时间长达六个多月，使数千名客户面临信用卡诈骗的风险。 目前甲骨文对该起事件并没有作出任何回应 。 消息来源：ZDNet，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

加密货币钱包 IOTA 近期因用户资金被盗遭到大量投诉 。据研究人员透露，黑客组织利用钓鱼网站收集 IOTA 钱包私钥，达到窃取用户资金的目的。目前初步估计，被盗金额高达 400 万美元。 使用 IOTA 钱包需要用户独立生成私钥 ，而许多用户都依赖于在线密钥生成器来实现这一点，于是黑客组织为此精心策划了一场钓鱼活动。 2017 年 8 月 ，黑客组织注册了 iotaseed.io 域名，并将其标榜为 IOTA 密钥在线生成器。由于大多数加密货币用户对随机站点持有怀疑态度，因此黑客将 iotaseed.io 网站链接到 GitHub 存储库，声称网站运行的代码 与 GitHub 相同。 但事实并非如此，Alex Studer 在周末发表的一篇分析文章揭示，虽然黑客运行的代码大部分来自 GitHub 存储库，但却对 Notifier.js 库加载了额外的代码，导致生成的 IOTA 钱包私钥总是相同的，也就意味着访问 iotaseed.io 网站的用户获取到的是黑客预知的私钥。 随后，黑客利用广告宣传该网站，为网站带来大量流量 。经过 6 个月的研究和收集，黑客于 2018 年 1 月 19 日开始访问 IOTA 账户，并将资金从用户的 IOTA 钱包中转出。至于网站 iotaseed.io 最后也只剩一句“ Taken down. Apologies. ”。 除了该起钓鱼网站事件之外，更糟糕的是，IOTA 钱包同时也受到了 DDoS 攻击。但 IOTA 创始人声称目前并没有确凿的证据可以表明 DDoS 攻击事件与钓鱼网站有任何关联。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 28 日报道，为了处理金融诈骗、传播色情内容等各种网络犯罪行为，印度政府计划成立一个顶尖的网络犯罪协调中心，并且印度政府还发放 83 亿卢比，用于在各州设立网络法证培训实验室和警察培训中心。 目前该网络犯罪协调中心将在德里建立，用于与州政府和工会领地进行协调，并密切关注网络空间和社交媒体。 除此之外，那些蔑视印度法律并传播儿童色情内容以及种族敏感内容的网站也会通过该中心及时阻止。 根据印度官员的说法，目前网络犯罪案件种类繁多，比如政府网站的入侵、在线金融欺诈、网络病毒、恶意代码、DDoS 攻击、追踪骚扰以及数据盗窃等，所以在调查技术、法律、行政等方面加强体制建设是非常重要的。 据悉，印度不仅计划建设网络犯罪协调中心和警察培训中心，还试图成立网络和移动法庭实验室，用于确定网络空间特定领域的研究和开发需求。 消息来源：The Economic Times，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道， 荷兰三大银行（荷兰银行、荷兰合作银行以及 ING 银行）于 1 月 29 日表示其网络系统在过去一周内不断遭受分布式拒绝服务（DDoS）攻击，导致网站和互联网银行服务瘫痪。 荷兰银行在上周共遭受 7 次袭击（周末就发生了 3 次），其中包含安全人员在周日晚上观察到的分布式拒绝服务（DDoS）攻击。 荷兰合作银行发言人 Margo van Wijgerden 周一称因网络系统受到 DDoS 攻击，导致网络服务业务下滑。 ING 银行表示，在 DDoS 攻击期间，因为数据流量导致服务器超载，网上银行的可用性承受了巨大压力。 此外，荷兰税务局也遭受了类似攻击，不过其网络服务很快就恢复了运作。 根据相关媒体报道，目前三家银行的一些网络服务已恢复正常运营，并且其官方承诺客户的银行业务细节不会受到损害。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 27 日消息，网络犯罪人士于近期在暗网上出售一种新型商品 — 婴儿 fullz 数据（“ fullz ”： 指个人身份信息的完整包装，其中包含个人姓名，社会安全号码，出生日期，账号等）。根据美国有线电视新闻网（CNN）的一份报告显示，网络犯罪人士利用婴儿干净的信用记录来达到申请信用卡、抵押贷款，以及获取政府福利补助的目的。 这是网络犯罪人士第一次在暗网上售卖婴儿资料 ，他们在一个名为 “ Dream Market ” 的暗网交易市场上进行售卖活动，并且规定只能通过 Tor 匿名网络访问网站。 报告指出， 一个婴儿 的 fullz 数据可以达到 300 美元的比特币。与其他被盗数据相比，婴儿资料的价格很明显占有优势，因为儿童的 个人身份信息长久以来一直保持着干净的信用记录。 根据 2011 年卡耐基梅隆大学网络安全调查数据显示，儿童身份被盗窃的几率是成人的 51 倍。研究人员认为这种情况与父母不监管孩子的身份信息有很大关系。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。