据外媒 12 月 26 日报道，WordPress 团队于 2014 年发现并删除的 14 个 WordPress 恶意插件如今仍然被数百个网站使用。这些恶意插件可能允许攻击者远程执行代码，导致网站信息泄露。目前，WordPress 团队已经提供了应对措施。 WordPress 团队 2014 年初披露 14 个 WordPress 插件存在恶意代码，能够允许攻击者在被劫持的网站上插入 SEO 垃圾邮件链接，从而通过邮件获得该网站的 URL 和其他详细信息。直至 2014 年底，官方才从目录中删除了这些恶意插件。 WordPress 恶意插件死灰复燃 WordPress 团队最近发现官方插件目录被人为更改，导致原本已屏蔽的旧插件页面仍然可见，并且所有插件都包含有恶意代码的页面。这表明在官方删除恶意插件的三年后仍有数百个站点还在使用着它们。 为了保护用户免受恶意插件的侵害，一些专家曾建议 WordPress 团队从官方插件目录中删除恶意插件时提醒网站所有者，但这一想法被 WordPress 团队以“可能致使站点面临更大安全风险”的由否定。这个建议争议的地方在于，它造成了一种道德和法律上的两难境地：删除插件能够保护网站免受黑客攻击，但同时也可能对网站一些功能造成破坏。 目前，为了抵御一些主要的安全威胁，WordPress 开发人员在发现被感染的插件后会将其回滚到最后一个“干净”的版本，并将其作为一个新的更新强制安装在所有受影响插件的站点上。这样既能删除恶意代码、维护网站安全，同时也能保证网站功能不受影。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，安全公司 Elttam 近日公布 GoAhead Web 服务器存在一个能够影响成千上万的物联网设备的漏洞 CVE-2017-17562 。该漏洞被攻击者利用来在受影响的设备上远程执行恶意代码 ，IBM、摩托罗拉等科技巨头的产品可能也会牵涉其中，不过相关研究报告显示目前只有 GoAhead 3.6.5 之前的版本出现该漏洞。 GoAhead Web 服务器是为嵌入式实时操作系统定制的开源 Web 服务器。几乎所有物联网设备（包括打印机和路由器）中都可以轻松找到 GoAhead Web服务器的踪影，IBM、甲骨文、惠普、Oracle、波音、佳能、摩托罗拉等科技巨头都曾在其产品中使用过 GoAhead。 漏洞成因 出现该漏洞的原因在于 cgiHandler 函数使用不受信任的 HTTP 请求参数来初始化 CGI 脚本环境，以至于影响所有开启了 CGI 脚本支持（动态链接可执行脚本文件）的用户。当上述行为与 glibc 动态链接器结合使用时，可能会被滥用于使用特殊变量（如 LD_PRELOAD）的远程代码执行。相关研究人员解释说，对于访问时所带的参数字段，除了被过滤掉的 REMOTE_HOST 和 HTTP_AUTHORIZATION 参数之外，其他参数都被认为是可信的，因此在没有经过过滤的情况下就传递给目标函数，从而导致了攻击者可以修改 CGI 程序的 LD_PRELOAD 环境变量。 漏洞影响 Elttam 通过查询Shodan搜索引擎发现受这一漏洞影响的设备数量可能会在 50 万 – 70 万之间。此外，今年 3 月，研究人员 Pierre Kim 透露，由于 GoAhead 服务器存在漏洞，约超过 18.5 万 个易受攻击的 Wi-Fi 连接摄像机暴露在互联网上。 漏洞修复 目前 Web 服务器开发公司 Embedthis 已发布了修复该漏洞的更新，硬件制造商也将补丁包含在了 GoAhead 的产品中，但这个过程可能需要很长一段时间。此外，Elttam 还发布了概念验证代码 ，用于测试物联网设备是否容易受到 CVE-2017-17562 漏洞的影响。 相关阅读： Elttam 发布的漏洞分析报告：<REMOTE LD_PRELOAD EXPLOITATION> 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Debian 项目近日发布了针对 Debian GNU/Linux 9 “ Stretch ” 系列操作系统新的 Linux 内核安全更新，修复了最近发现的几个漏洞 。 根据最新的 DSA 4073-1 Debian 安全通报，在 Debian GNU/Linux 9 “ Stretch ” 操作系统的 Linux 4.9 LTS 内核中，共有 18 个安全漏洞，其中包括信息泄露，提权升级和拒绝服务等问题。 通报显示，在 Linux 内核的 DCCP 实现、dvb-usb-lmedm04 驱动程序、hdpvr 媒体驱动程序、扩展 BPF 验证程序、netfilter 子系统、netlink 子系统、xt_osf 模块、USB 核心以及 IPv4 原始套接字实现都存在问题。另外，Linux 内核的 HMAC 实现、KEYS 子系统、Intel 处理器的 KVM 实现、蓝牙子系统和扩展 BPF 验证器也受到某种影响。 Debian 项目建议禁用未经授权的用户使用扩展 BPF 验证器（ sysctl kernel.unprivileged_bpf_disabled = 1 ）。 有关更多详细信息，请参阅 CVE-2017-8824，CVE-2017-16538，CVE-2017-16644，CVE-2017-16995，CVE-2017-17448，CVE-2017-17449，CVE-2017-17450，CVE-2017 -17558，CVE-2017-17712，CVE-2017-17741，CVE-2017-17805，CVE-2017-17806，CVE-2017-17807，CVE-2017-17862，CVE-2017-17863，CVE-2017-17864 ，CVE-2017-1000407 和 CVE-2017-1000410。 Debian 在默认情况下禁用非特权用户命名空间，但是如果启用（通过 kernel.unprivileged_userns_clone sysctl ），那么 CVE-2017-17448 可以被任何本地用户利用，因此建议升级 linux 软件包。 建议用户立即更新系统 为了解决所有这些问题，Debian 敦促用户尽快将运行 Linux 内核 4.9 LTS 的 Debian GNU / Linux 9 “ Stretch ” 安装更新到 4.9.65-3 + deb9u1 版本，并且在安装新内核更新后重新启动计算机。 Debian GNU/Linux 9 “ Stretch ” 是 Debian GNU/Linux 操作系统的最新稳定版本。本月早些时候，Debian GNU/Linux 9.3 发布了最新版本的 Debian GNU/Linux 8.10 “ Jessie ”。如果用户想安装该版本，可以从相关渠道下载 ISO 映像。 消息来源：Softpedia，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 24 日消息，俄罗斯 “ 奇幻熊 ”（Fancy Bear，又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium）APT 组织于近期重构后门 X-Agent，通过改进其加密技术，使后门更加隐蔽和难以制止。据悉， X-Agent 后门（也称为 Sofacy ）与 “ 奇幻熊 ” 的几次间谍活动都有关系。 安全公司 ESET 发表的报告显示，“ 奇幻熊 ” 目前对 X-Agent 所进行的操作较为复杂。其开发人员对其实施新的功能 ，并且重新设计了恶意软件的体系结构，使 X-Agent 更加难以检测和控制： X-Agent 曾特别设计用于针对 Windows、Linux、iOS 和 Android 操作系统 ，研究人员于今年初发现了 X-Agent 用于破坏 MAC OS 系统的第一个版本。 最新版 X-Agent 后门实现了混淆字符串和所有运行时类型信息的新技术、升级了一些用于 C&C 服务器的代码，并在 WinHttp 通道中添加了一个新的域生成算法 ( DGA ) 功能，用于快速创建回滚 C&C 域。此外，加密算法和 DGA 实现方面也存在重大改进，使得域名接管变得更加困难。ESET 观察到 “ 奇幻熊 ” 还实现了内部改进，包括可以用于隐藏受感染系统的恶意软件配置数据和其他数据的新命令。 虽然 “ 奇幻熊 ” 对 X-Agent 后门进行了诸多改进，但攻击链条基本保持不变。该组织依然依赖于网络钓鱼电子邮件进行网络攻击。 ESET 发表的报告称攻击通常以包含恶意链接或恶意附件的电子邮件开始。过去，Sedkit 漏洞利用工具包是他们首选的攻击媒介，但是自 2016 年年底以来，这类工具已经完全消失。目前 “ 奇幻熊 ” 越来越多地开始使用 DealersChoice 平台，该平台也是此前针对黑山共和国使用过的 Flash 漏洞利用框架（例如：利用 CVE-2017-11292 0-day ），可按需求生成嵌入式 Adobe Flash Player 漏洞文档。 截止目前，黑客组织“ 奇幻熊 ” 主要攻击目标仍然是世界各地的政府部门和使馆。 更多阅读： ESET 发布的关于 APT28 的详细分析报告：<Sednit update: How Fancy Bear Spent the Year> 消息来源：Security Affairs、ESET，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司 Proofpoint 近日发现 Lazarus APT 组织对加密货币极为关注， 并试图利用公众、媒体对加密货币价格暴涨的浓厚兴趣展开攻击。因此 Proofpoint 推断 Lazarus 的攻击行动可能与经济利益挂钩。 Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。（编者注） Proofpoint 发现 Lazarus 的攻击行动有一些共同特性： 第一、朝鲜黑客发起的几个多阶段的攻击都使用了与加密货币有关联的恶意软件来感染用户。 第二，包括 Gh0st RAT 在内的其他恶意软件，都旨在窃取加密货币钱包和交易的凭证，使 Lazarus 组织能够利用比特币和其他加密货币进行有利可图的操作。 因此 Proofpoint 推测 Lazarus 所进行的间谍活动极有可能是出于经济原因（这些行动或是朝鲜特有的），但此前已有多家安全公司认定 Lazarus APT是由国家资助的间谍组织，而国家支持的组织通常又会进行间谍活动和制造混乱。因此研究 Lazarus 的这些行动变得具有探索意义，有趣的地方在于： ○ Lazarus  APT 似乎是被公开的由国家资助以获取经济利益的第一个黑客组织组织 ○ 这些针对加密货币的攻击行动也有利于研究人员记录 Lazarus APT 所使用的定制工具和程序。 ○ 通过这些行动可以推断 Lazarus 并不是一个针对个体的单纯组织。 ○ 可以更好地了解 Lazarus 的行动和其所代表的全球威胁 消息来源： Security Affairs ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

前情提要：欧洲刑警组织（Europol）、联邦调查局 （FBI）和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动，警方在罗马尼亚东部抓获五名黑客，即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。 勒索软件 Cerber 于 2016 年 3 月出现，它以 RaaS 模式为基础获得广泛分布：RaaS 模式允许任何可能的黑客散布恶意软件，从而获取 40％ 的赎金。与大多数勒索软件一样，CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体，比如钓鱼邮件和漏洞利用工具包。 据外媒 12 月 22 日报道，五名黑客中有两人被指控利用勒索软件 Cerber 控制华盛顿 123 台（近 2/3 的）监控摄像机设备。据悉，该起事件发生于美国总统特朗普就职典礼举行前夕，因此引发了美国媒体的骚动。除了欧洲刑警组织之外，美国特勤局目前也在调查这些恶意软件。特工 James Graham 针对这两名罗马尼亚黑客 Isvanca 和 Cismaru 的网络犯罪向美国司法部提供了有关证据。 这两名嫌疑人被指 于 1 月 9 日入侵了 123  台部署在华盛顿哥伦比亚特区警视厅 ( MPDC ) 的监控系统的安全摄像头（总共 187 个），该系统用于华盛顿警方监视华盛顿市的公共空间情况。 为了具体调查攻击情况，今年 1 月 12 日华盛顿警方 IT 人员和秘密服务代理人在确认了一些摄像头处于离线状态的情况下，使用远程桌面协议( RDP )软件连接到一台控制摄像头的服务器上，随后发现该服务器设备运行着许多不常见的软件，其中就包括两个勒索软件变种 Cerber 和 Dharma ，以及文本文件 USA.txt 。据悉，该文本文件中包含 179,616 个电子邮件地址，被用于向目标用户发送垃圾邮件。警方在取证过程中发现与两名黑客有关的邮件帐户 vand.suflete@gmail.com 中带有相同的文本文件。 参与调查的分析师对该邮件账号尤其感兴趣，从其中获得了链接至 Cerber 控制面板的信息，可以断定两名黑客长期租用勒索软件 Cerber 以便感染用户勒索钱财。也正是因为这一邮箱使调查人员成功追踪到黑客 Isvanca 和 Cismaru。 另外调查人员联系了 vand.suflete[at]gmail.com 电子邮件帐户中提到的一些人员和组织，以确定他们的系统是否已经被入侵。相关人员透露，被感染设备中发现的个别目标 IP 被追溯至英国的医疗保健公司，该公司向调查人员证实，其 eXpressApp Framework ( XAF )系统的用户账户已被泄露。 消息来源： TheRegister ，编译：榆榆，终审：FOX; 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，东风日产（加拿大）公司系统 12 月 11 日遭受黑客攻击，导致曾通过东风日产加拿大金融公司（简称 NCF） 和英菲尼迪（加拿大）金融服务公司贷款的约 113 万名车主信息泄露，其中包括客户姓名、地址、车辆制造和型号、车辆识别码、信用评分、贷款金额和月供。 该公司表示目前尚未查明发生入侵事件的确切原因和数据泄露量，所幸泄露的数据不包含支付数据和联系方式。不过 NCF 已采取措施并通过电子邮件提醒所有的客户注意信息安全。为了向公众表示歉意，NCF 承诺他将通过美国三大信用报告机构之一 ——TransUnion为客户提供免费的信用监控服务一年。 消息来源： threatpost，东风日产（加拿大）财务公司公告；编译：榆榆 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 21 日报道，趋势科技于韩国发现了一个新型的加密货币挖掘工具 Digmine，其主要工作方式是利用假冒视频文件感染用户，并且通过 Facebook Messenger 传播，设法尽可能长时间停留在用户系统中，以便于感染更多的用户设备，从而增加潜在的网络犯罪收入。调查显示，Digmine 目前主要在越南，阿塞拜疆，乌克兰，越南，菲律宾，泰国和委内瑞拉等地区蔓延。 Digmine 在 AutoIt 中编码， 给用户发送假冒视频文件。但实际上该文件是一个 AutoIt 可执行脚本，若用户的 Facebook 帐号设置为自动登录，那么 Digmine 将可以操纵 Facebook Messenger，以便将文件的链接发送给该帐号的好友，达到感染更多用户设备的目的。需要注意的的是，虽然 Facebook Messenger 可以在不同的平台上运行，但是 Digmine 仅适用于 Facebook Messenger 的桌面/网页浏览器（Chrome）版本。如果恶意文件在其他平台（如移动平台）上打开，则恶意软件将无法正常工作。   Digmine 挖矿工具被披露后，Facebook 迅速从其平台上删除了许多与 Digmine 相关的链接。 Facebook 在官方声明中表示， 目前 Facebook 维护了许多自动化系统，以帮助阻止有害链接和文件。 研究人员建议，为了避免这些类型的威胁，用户需更加警惕社交媒体帐户的使用：注意可疑和未经请求的消息、 启用帐户的隐私设置、点击链接或者分享信息时先进行确认。 消息来源： trendmicro，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 20 日报道，捷克软件公司 Avast 近日发现，一款新型 Android 恶意软件 Catelites Bot 伪装成 2200 多家银行（包括桑坦德银行和巴克莱银行等）应用软件，利用“屏幕覆盖攻击”窃取用户银行账户与密码信息。 Avast  在其博文中指出，Catelites Bot 与一款由俄罗斯网络黑帮发布的 CronBot 有一些相似之处， 因此研究人员认为 Catelites Bot 也可能与该黑帮有关联。 据报道，该网络黑帮近期已被警方捣毁，曾利用 “ CronBot ” 木马感染了超过 100 万用户，盗取金额达 90 万美元。 虽然没有任何证据表明恶意软件 Catelites Bot 的开发者与 CronBot 有关联，但目前该恶意开发者可能已经掌握了 CronBot 的相关技术并将其用于自己的攻击活动中。 Catelites Bot 攻击方式 研究人员透露，Catelites Bot 主要通过第三方应用程序商店进行传播。近几个月来，几乎每周都有“虚假应用程序”攻击 Android 设备的案例。恶意软件 Catelites Bot 首先会尝试获取管理员权限，然后自动并交互式地从 Google Play 商店中提取其他 Android 银行应用程序的图标和名称，之后再利用“屏幕覆盖攻击”——即伪造的银行 APP 登录界面覆盖其他正规应用程序的方式来欺骗用户，以便于获取用户名、密码和信用卡信息。（“屏幕覆盖攻击”的典型代表，编者注） 虽然伪造的登录界面和真实的应用程序界面不完全相同，但黑客能够通过广撒网的方式达到目的。通常情况下，新 Android 用户可能更容易受骗上当。 “目前为止， Catelites Bot 恶意软件主要针对的是俄罗斯用户群体，它还处于一个早期测试阶段，或将扩散至全球更大范围，就统计结果显示目前至少有 9000名用户设备受到感染 ” 研究人员表示。 此外，Avast 和 SfyLabs 团队发现恶意软件 Catelites Bot 还有一些尚未激活的功能，如文本拦截（通常需要访问双重验证码）、擦除设备数据、锁定智能手机、访问电话号码、查看消息对话、强制密码解锁、甚至更改扬声器音量等。 研究人员建议，由于 Catelites Bot 是通过非官方渠道传播的，因此对用户而言将手机设置为仅接受来自官方应用商店（如 Google Play）的应用下载非常重要。同时，通过确认程序界面来检查银行应用是否被覆盖也是预防恶意软件攻击的必要措施。 消息来源： IBTimes，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，欧洲刑警组织（Europol）、联邦调查局 （FBI）和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动，警方在罗马尼亚东部抓获五名黑客，即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。目前，警方并未透露这五名被捕黑客详细信息。 CTB Locker（又名 Critroni）是 2016 年传播最广泛的勒索软件之一，且还是第一个使用 Tor 匿名网络隐藏其命令和控制服务器的勒索软件。Cerber 于 2016 年 3 月出现，它以 RaaS 模式为基础获得广泛分布：RaaS 模式允许任何可能的黑客散布恶意软件，从而获取 40％ 的赎金。与大多数勒索软件一样，CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体，比如钓鱼邮件和漏洞利用工具包。 欧洲刑警称，罗马尼亚当局于 2017 年初收到荷兰高科技犯罪组和其他当局提供的详细情报，其主要透露有一群罗马尼亚国民通过发送垃圾邮件感染当地计算机系统，并使用 CTB Locker 勒索软件对其数据进行加密。具体地来说，每封电子邮件都有一个附件（通常是存档发票），而该附件中包含一个恶意文件。一旦 Windows 用户打开后就会触发并感染设备，从而对其数据进行加密。 相关警方透露，在此次突袭行动中，当局缴获了大量的硬盘、外部存储设备、笔记本电脑、加密货币挖掘设备以及数百张 SIM 卡。值得注意的是，五名犯罪分子并非因为开发或维持这两款恶意软件被逮捕，而是因为涉嫌传播 CTB Locker 和 Cerber 。据悉，犯罪分子通过 CTB Locker 获得了 2700 万美元的赎金 ，而通过 Cerber 在 2017 年 7 月就赚取了 690 万美元，因此谷歌将其列为最有利可图的犯罪活动。目前，警方暂未透露更多相关细节。 消息来源：thehackernews ，编译：榆榆，校审：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。