近日，FireEye 发布安全分析报告称，一个名为 TEMP.Zagros（又被称为 MuddyWater）的伊朗黑客自 2018 年 1 月至 3 月期间针对亚洲和中东地区发起了大规模的网络钓鱼攻势。在近期的活动中，该黑客利用了最新的代码执行和持久性技术向这些地区分发一个基于宏的恶意文档，与以往不同的是，该文档删除了一个 VBS 文件和一个包含 Base64 编码的 PowerShell 命令的 INI 文件。一旦被成功执行，恶意文档将会安装一个 POWERSTATS 后门。 在该恶意活动中，TEMP.Zagros 的战术、技术、程序、以及目标在一个月之内发生了较大的改变。上图为该钓鱼活动的简要时间轴。 TEMP.Zagros 通常会使用具有地缘政治主题的网络钓鱼攻击电子邮件和恶意宏文件，例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。在分析这些文件时，FireEye 观察到TEMP.Zagros 重用了 AppLocker 旁路和用于间接代码执行的横向移动技术。此外，研究人员还在 TEMP.Zagros 使用的恶意代码中发现了中文字符串，这些字符串被留作虚假标志使得查询归属变得更加困难。 FireEye 分析报告： 《 Iranian Threat Group Updates Tactics, Techniques and Procedures in Spear Phishing Campaign 》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，英国国家六合彩管理公司“卡美洛”(Camelot) 建议数百万国家彩票玩家修改其账户密码，因为他们发现了一项涉及彩票账户的可疑活动。目前 Camelot 已约有 150 个玩家帐户（总共 1050 万个注册帐户）遭到未经授权的登录，导致玩家信息被外部查看，其中包括姓名以及国家彩票帐户中的金额。虽然 Camelot 坚持认为其核心系统或数据库没有遭受未经授权的访问，不会影响到彩票抽奖以及奖品，但还是建议其彩票玩家尽早修改密码。 Camelot 发言人称，此次事件可能是由于“ 凭据填充 ”造成的，也就是说彩票玩家之前在其他地方被窃取了详细信息，以至于该信息在网络犯罪分子之间共享。 Camelot 承诺不会在玩家的帐户上显示完整的借记卡或银行帐户的详细信息，并且表示目前受到影响的账户已经被暂停。 消息来源：ZDNet，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 17 日消息，波兰执法部门于上周星期五对外宣布著名网络犯罪分子 Tomasz T 已在波兰被警方逮捕。据悉，Tomasz T 被广泛认为是 Polski、Vortex 和 Flotera 勒索软件家族的开发作者。 波兰警方在此次逮捕行动中搜查了 Tomasz T 的住所并扣留了其电脑设备。通过该设备以及其远程服务器，一些重要数据被成功恢复，其中包括加密密钥。目前波兰警方正在鼓励 Polski、Vortex 和 Flotera 勒索软件的受害用户向地方当局提交正式诉讼，以便于获取其文件的解密秘钥。 目前这名自 2013 年起就开始活跃的网络犯罪分子被指控了 181 项不同的罪行，并且法院已批准其暂时拘留三个月。 消息来源：bleepingcomputer.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序，据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供，并且不能通过 Chrome 官方网上商店下载。 安全专家表示，目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。 根据对这些先进的旁路攻击进行研究之后，研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性：JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共享的数据以及来自设备传感器的数据。 针对以上情况，Chrome Zero 试图通过拦截 Chrome 浏览器应执行的 JavaScript 代码，重写封装器中的某些 JavaScript 函数、属性以及对象来抵御旁路攻击。 尤其值得注意的是，安全专家表示 Chrome Zero 不仅能够消除旁路攻击，并且还具有最低的性能影响。此外，自 Chrome 49 发布以后，Chrome Zero 将能够阻止 50% 的 Chrome  0day 攻击。 消息来源：bleepingcomputer.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 3 月 16 日报道，在最近一系列利用漏洞插件的攻击之后，SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限，并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器（Sublime、Vim、Emacs、Gedit、pico / nano）。经过研究发现，除 pico / nano 之外，所有受检查的编辑器都受到了一个关键的特权升级漏洞影响，攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。 据悉，大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能，以此其增大攻击面。 研究人员认为这种情况非常严重，因为第三方插件可能会受到关键的特权升级漏洞影响，波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。 目前该漏洞被认为与这些文本编辑器加载插件的方式有关，因为它们在加载插件时没有正确分离常规模式和高级模式。 SafeBreach 的研究表明，这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式，并且无论编辑器中是否打开了文件，使用这种方式来获得提升都能成功，即使是在 sudo 命令中运用常用的限制也可能无法阻止。 因此 SafeBreach 提供了的一些缓解措施： ○ 实施 OSEC 监督规则 ○ 拒绝为非提升用户编写权限 ○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。 ○ 在编辑器升级时阻止加载第三方插件 ○ 提供一个手动界面来批准提升的插件加载 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 14 日消息，安全公司 Check Point 本周披露了一个名为 RottenSys 的恶意软件家族 —— 通过伪装成系统 Wi-Fi 服务，增加广告收入。根据调查，自 2016 年起，该移动广告软件已感染了近 500 万台 Android 设备，其中受影响较大的包括荣耀、华为以及小米。 Check Point 称最近小米红米手机上的一个不寻常、自称为系统 Wi-Fi 服务的应用程序引起了其研究人员的注意。他们发现该应用程序不会向用户提供任何安全的 Wi-Fi 相关服务，反而会要求许多敏感的 Android 权限，例如与 Wi-Fi 服务无关的易访问性服务权限、用户日历读取权限等等。 根据 Check Point 的调查，恶意团伙利用 RottenSys 谋取暴利，每 10 天的收入能达到 115,000 美元。目前，感染排名靠前的手机品牌有华为荣耀、华为、小米、OPPO、vivo 等。并且需要注意的是，由于 RottenSys 的功能比较广泛，攻击者还可能会利用它来做出一些远比广告更具破坏性的行为。 RottenSys 恶意软件部分细节： 恶意软件实施两种逃避技术：第一种技术包括在设定时间内延迟操作；第二种技术使用不显示任何恶意活动的 dropper。一旦设备处于活动状态且安装了 dropper，与之联系的命令和控制（C＆C）服务器将会向其发送活动所需的其他组件列表。 恶意代码依赖于两个开源项目： 1、RottenSys 使用一个名为 Small 的开源 Android 框架（github.com/wequick/small）为其组件创建虚拟化容器。通过这种方法，恶意软件就可以运行并行任务，从而攻破 Android 操作系统的限制。 2、为了避免 Android 系统关闭其操作，RottenSys 使用了另一个名为 MarsDaemon 的开源框架（github.com/Marswin/MarsDaemon）。 不过虽然 MarsDaemon 保持流程活跃，但它也阻碍了设备的性能并且消耗了电池。 Check Point 调查报告： 《 RottenSys: Not a Secure Wi-Fi Service At All 》 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒3月14日消息，安全公司 ESET 发布分析报告称 OceanLotus APT 组织（“ 海莲花 ”，也被称为 APT32 和 APT- c -00） 在其最近的攻击活动中使用了新的后门，旨在获得远程访问以及对受感染系统的完全控制权。 OceanLotus 组织自 2013 年起至今一直保持活跃状态，据有关专家介绍，该组织是一个与越南有关的国家资助的黑客组织，其中大部分分布在越南、菲律宾、老挝和柬埔寨。根据调查，OceanLotus 除了针对多个行业的组织之外，也针对外国政府、持不同政见人士和记者。 目前来看，OceanLotus 的攻击分两个阶段进行，第一阶段黑客利用一个通过鱼叉式钓鱼信息传递的 dropper 来获得目标系统的初始据点，第二个阶段是其恶意代码为部署后门做好准备。   △ dropper 部分有以上执行流程 △ 后门有以上执行流程 目前 OceanLotus 会在其攻击活动中不断更新工具集，这显示了该组织通过选择目标保持隐藏的意图。此外，OceanLotus 也限制其恶意软件的分发以及使用多个不同的服务器来避免将注意力吸引到单个域名或 IP 地址。 ESET 分析报告： 《 ESET_OceanLotus.pdf 》 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 14 日消息，上周在俄罗斯和欧洲中部地区发生了大规模的恶意软件入侵事件， 几个小时内就有接近 50 万台的计算机受到加密货币挖掘软件的感染。虽然当时微软没有立即说明造成该事件的具体原因，不过却在近日透露这是由于 BitTorrent 客户端的后台版本 MediaGet 引起的。 根据微软方面的说法，攻击者针对 MediaGet BitTorrent 软件的更新机制，将其木马化的版本（mediaget.exe）推送到用户的计算机上。这个新的 mediaget.exe 程序与原始程序具有相同的功能，但是却具有额外的后门功能。 一旦用户更新，具有额外后门功能的恶意 BitTorrent 软件将会随机连接到其分布式 Namecoin 网络基础架构上的一个命令与控制（C＆C）服务器（共四个服务器），并监听新的命令。随后，恶意软件立即从 C＆C 服务器下载挖矿组件，开始利用受感染用户的计算机挖掘加密货币。除此之外，使用 C&C 服务器，攻击者还可以命令受感染的系统从远程 URL 下载和安装其他的恶意软件。 消息来源：thehackernews，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 13 日消息，以色列安全公司 CTS Labs 发布报告称 AMD Zen 架构处理器和芯片组中存在 13 个类似 Spectre / Meltdown 的严重漏洞，影响了AMD Ryzen 和 EPYC 系列的处理器 。这些漏洞可能会允许攻击者访问敏感数据、在芯片内部安装恶意软件来获得对受感染系统的完全访问权限。目前根据 AMD Ryzen 桌面处理器、Ryzen Pro 企业处理器、Ryzen 移动处理器、EPYC 数据中心处理器的受影响情况，这些漏洞已被分为 RYZENFALL、FALLOUT、CHIMERA、MASTERKEY 四类。 RYZENFALL（v1，v2，v3，v4） 这些缺陷存在于 AMD 的安全操作系统中，影响 Ryzen 安全处理器（工作站/专业版/移动版）。 根据 CTS Labs 研究人员的说法，RYZENFALL 漏洞允许在 Ryzen 安全处理器上执行未经授权的代码，从而使得攻击者能够访问受保护的内存区域。此后，攻击者将恶意软件注入处理器中，并禁止 SMM 保护，以防止未经授权的 BIOS 刷新。 攻击者还可以使用 RYZENFALL 绕过 Windows Credential Guard 来窃取网络证书，然后将被盗数据传播到该网络内的其他计算机（甚至可能是高度安全的 Windows 企业网络）。 FALLOUT（v1，v2，v3） 这些漏洞位于 EPYC 安全处理器的引导加载程序组件中，能够允许攻击者读取和写入受保护的内存区域，如 SMRAM 和 Windows Credential Guard 隔离内存。除此之外，FALLOUT 还可能被利用来将持久的恶意软件注入到 VTL1 中（VTL1：安全内核和隔离用户模式( IUM )执行代码的区域） 。不过 FALLOUT 攻击似乎仅影响使用 AMD EPYC 安全处理器的服务器。 和 RYZENFALL 一样，FALLOUT 也会让攻击者绕过 BIOS 刷新保护，并窃取受 Windows Credential Guard 保护的网络凭据。 CHIMERA（v1，v2） 这两个漏洞实际上是 AMD 的 Promontory 芯片组内的隐藏制造商后门。据悉，该芯片组是所有 Ryzen 和 Ryzen Pro工作站的组成部分。 目前其中一个后门程序已经在芯片上运行的固件中实现，而另一个后门则在芯片的硬件（ASIC）上。实现这些后门程序后，攻击者能够在 AMD Ryzen 芯片组内运行任意代码，或者使用持久恶意软件重新刷新芯片。此外，由于WiFi、网络和蓝牙流量需要流经芯片组，攻击者也可利用芯片组的中间人位置对设备发起复杂的攻击。 研究人员透露，通过侦听流经芯片组的 USB 流量，允许攻击者看到受感染设备上的所有受害者类型，从而实现隐身键盘记录程序。 MASTERKEY（v1，v2，v3） EPYC 和 Ryzen（工作站/专业版/移动版）处理器中的这三个漏洞可能允许攻击者绕过硬件验证指导，以便使用恶意更新重新刷新 BIOS，并渗透到安全处理器以实现任意代码执行。 与 RYZENFALL 和 FALLOUT 一样，MASTERKEY 也允许攻击者做出一些恶意行为，比如：在 AMD 安全处理器中安装隐秘和持久的恶意软件、以最高的权限运行在内核模式下、绕过 Windows Credential Guard 窃取网络证书 。 除此之外，MASTERKEY 漏洞还允许攻击者禁用安全功能，如固件可信平台模块（fTPM）和安全加密虚拟化（SEV）。 CTS Labs  披露的这些漏洞可能会给 AMD 及其客户带来一些麻烦，并且也有可能需要几个月的时间才能解决所有的缺陷。 CTS Labs 披露漏洞细节： 《 Severe Security Advisory on AMD Processors 》 AMD 回应 Zen 安全漏洞（相关报道）： Security Researchers Publish Ryzen Flaws, Gave AMD 24 hours Prior Notice   消息来源：thehackernews，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 14 日消息，Sap 本周发布了其 3 月份的一组安全补丁，以解决产品中不同层级的漏洞问题，其中包括一些已经存在了十多年的安全缺陷。 SAP 发布的 27 个安全说明中，有 6 个具有高优先级，19 个被评为中等优先级，并且其中有 4 个是以前发布过的安全说明的更新。 本月处理的最常见的漏洞类型是缺少授权检查（占 6 个），其次是信息披露（5 个），跨站点脚本（4 个）。除此之外，SAP 还解决了 3 个 SQL 注入错误、2 个目录遍历问题、2 个实施漏洞以及拒绝服务、硬编码证书、XML 外部实体、代码注入和点击劫持错误等缺陷。 SAP 本月最厉害的安全说明解决了 SAP 网络图形服务器（IGS）中具有高优先级评级的三个漏洞（CVSS 基础评分：8.8），其中包括：CVE-2004-1308（内存损坏）、CVE-2005-2974（拒绝服务）和 CVE-2005-3350（远程代码执行）。这些漏洞已经存在十多年，影响 libtiff、giflib 、libpng 等处理图像（分别为 TIFF、GIF 和 PNG ）的第三方开源库。 不仅如此，SAP 还处理了两个高风险的信息披露漏洞，分别是影响 SAP HANA 捕获和重放跟踪文件（CVE-2018-2402 – CVSS 基本评分：7.6）、SAP 业务流程自动化( BPA ) (CVE – 20182400 – CVSS 基础评分：7.5 )的漏洞问题。 消息来源：securityweek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。