据外媒报道，Bad Packets 报告公司的安全研究员 Troy Mursch 于近日发现，美国第三大报纸 “ 洛杉矶时报 ” 的网页上托管了加密挖掘软件，旨在利用访客的 CPU 挖掘门罗币。 根据 Troy Mursch 的说法，攻击者利用一个不恰当配置的 Amazon Web Services (AWS) S3 云存储桶来访问该网站，并将 Coinhive 软件脚本注入到程序中 。不过奇怪的是，受影响的网页是一个有关凶杀报告的页面，报道了过去 12 个月中在洛杉矶遇害的人。 根据一些数据统计，Coinhive 可能会影响全球四分之一的组织。当用户访问网页时， Coinhive 会对门罗币进行在线挖掘。嵌入的 JavaScript 使用终端用户机器的计算资源来挖掘硬币，从而影响系统性能。虽然 Coinhive 是一个合法的服务，为网站管理员寻找一种可替代广告的盈利模式，但是犯罪分子通常会在网站未知的情况下将 Coinhive 嵌入其中，而某些不道德的网站则会在访客不知情的情况下秘密使用 Coinhive。 在这种模式下，脚本一般被设置为以非最高级别开采，从而消耗较少的计算能力，并可能做到长达两周不被发现 。 AttackIQ 首席营收官 Carl Wright 认为，目前云配置错误事件频出，许多企业的攻击面也大大扩展 ，再加上没有统一的安全控制和流程保证，因此企业更需要攻击者不断测试其安全控制措施是否存在配置错误。如果企业在这个阶段没有持续验证他们的安全控制，那么很可能将会造成惨痛的失败。 消息来源：infosecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 26 日报道，乌克兰警方于周一表示，大规模僵尸网络 Avalanche （仙女座）的组织者之一被成功逮捕。 Andromeda （仙女座）是市场上最大的僵尸网络之一，自 2011 年以来一直存在。它为世界各地的恶意软件和 DDoS（分布式拒绝服务）垃圾邮件攻击提供基础架构。乌克兰网络警察在一份声明中说， 国际犯罪平台 Avalanche 的组织者在全球范围内每天感染的设备数量约达 50 万台。 其实早在 2016 年 11 月，来自欧洲刑警组织以及其他地区的检察官和调查人员进行了一场国际执法合作，成功摧毁了国际犯罪基础设施平台 Avalanche ，并逮捕了其高层老板。欧洲刑警组织表示，在当时的行动中，数百台服务器被关闭或扣留，80 万个互联网域名被封锁，成为迄今为止最大的拆除行动之一。 在这次行动中，一位网络警察发言人向法新社证实，被捕的男子是一名乌克兰公民 Gennadiy Kapkanov。警察搜查了该名男子的公寓，并对一台笔记本电脑和存储设备进行了取证。在调查过程中，警方发现，为了隐藏犯罪行为，该名男子使用了不同身份的护照。 不过乌克兰媒体称，Gennadiy Kapkanov 似乎是失踪了。因为虽然 Gennadiy Kapkanov 被拘留在他位于乌克兰中部城市波尔塔瓦的家中，但由于当地法院并没有实行正式逮捕。 于是周一晚些时候，法院将不得不再次决定是否要正式逮捕 Gennadiy Kapkanov 。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 23 日消息，英特尔以及其他六家公司（亚马逊、AMD、苹果、ARM、谷歌、微软）向美国国会发送的信件揭示了他们为何不向世界其他国家披露其芯片设计缺陷。根据之前的报道，这些芯片广泛受到 Meltdown （熔毁）和 Spectre （幽灵）漏洞的影响。 美国众议院能源和商业委员会的共和党成员曾在一月份致函这七家公司，以寻求他们不披露这些缺陷的原因以及他们是否认为自己的行为是安全和负责任的。此外，由于这些芯片设计缺陷影响非常严重，以至于美国国会议员坚持要求这七家公司给出合理的解释。 目前来看，英特尔给出的信件似乎是最具信息量的，因为它揭示了在漏洞披露之前，英特尔只向可以帮助其提高技术用户安全性的公司透露有关 Spectre 和 Meltdown 的信息，发现漏洞的 Project Zero 方面也将其 90 天的漏洞公开截止日期延长至 2018 年 1 月以协助漏洞修复。一旦漏洞消息被传出，英特尔就会加快部署缓解措施的计划，并及时向各国政府进行通报 。 英特尔称其是在考虑了“ CERT 协调漏洞披露指南 ”、“ 常见漏洞和暴露（CVE）编号权限规则 ”、“ 事件响应安全团队常见漏洞评分系统论坛 ” 之后制定了这一应急方案。然而因 The Register 等博客的提前曝光使英特尔原定计划被打乱。 此外，该信还显示：“ 今年晚些时候，英特尔将在其产品中引入新的硬件设计更改，以解决诸如 Spectre 和 Meltdown 等漏洞。 不过其他公司的信件大多指出 Spectre 和 Meltdown 是英特尔的问题。 例如，微软公司表示虽然知道漏洞的修复程序会破坏一些反病毒软件，并也提前警告这些产品的供应商，但是不能告诉他们为什么会因为担心 Meltdown 和 Specter 的消息泄漏而进行修改。 而 ARM 公司则称在 Meltdown 和 Specter之前， ARM 并没有参与多方协调的漏洞披露。 亚马逊方面表示他们将集中精力在为 Linux 操作系统和 Xen 管理程序开发对策。 消息来源：TheRegister，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 25 日消息，Core Security 发现趋势科技基于 Linux 的电子邮件加密网关的 Web 控制台中存在多个安全漏洞（ CVE-2018-6219 ~ CVE-2018-6230），其中一些被评为严重等级的漏洞能够允许未经身份验证的远程攻击者以root权限执行任意命令。目前受影响的软件包是趋势科技电子邮件加密网关 5.5 （Build 1111.00）及更早版本。 在这些漏洞中，最严重的是 CVE-2018-6223，可能会被本地或远程攻击者利用来获得目标设备的 root 权限，以便于执行任意命令。目前来说，该漏洞与设备注册时缺少身份验证有关。 具体细节为：管理员在部署过程中需要通过注册端点配置运行电子邮件加密网关的虚拟设备， 于是攻击者可以利用该漏洞在没有身份验证的情况下访问端点，以设置管理员凭据并对配置进行其他更改，比如管理员用户名和密码等。 据悉，Core Security 还发现了两个严重的跨站脚本攻击（XSS）漏洞，一个可导致命令执行的任意文件写入问题，另一个则导致命令执行的任意日志文件位置以及未验证的软件更新。除此之外，趋势科技的电子邮件加密网关也包括了 SQL 和 XML 外部实体（XXE）注入等漏洞。 目前趋势科技确认，由于实施修复程序的困难，中等严重性 CSRF 问题和低严重性 SQL 注入漏洞尚未得到修补。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 2 月 23 日报道，科罗拉多州交通部（DOT）于本周三发生了一起勒索事件 — 黑客利用 SamSam 勒索软件感染 DOT 计算机系统，并以恢复数据为要挟条件来获取比特币赎金。不过日前 DOT 方面已采取了补救措施，但其表示不会通过支付赎金的方式，而是选择关闭 2000 多台员工计算机设备。 SamSam 是一款由单个团体部署的勒索软件，在 2016 年冬季被广泛使用。但据媒体介绍，目前黑客组织似乎准备利用 SamSam 开展新的攻击活动。 研究人员介绍了 SamSam 的部署方式：攻击者通过暴力破解 RDP 连接来访问公司内部网络，从而感染目标设备系统，以达到利用 SamSam 勒索软件加密相关文件的目的。 在最近的一些攻击活动中，SamSam 运营商通常会要求受害用户支付 1 比特币赎金，并在其计算机上留下 “ 我很抱歉 ” 的消息。 此外，研究人员还发现在今年 1 月份感染医院、市议会以及 ICS 公司的勒索软件似乎也是 SamSam。目前根据初步统计结果显示，黑客组织从这些攻击中赚取的赎金已超过 30 万美元。其中印第安纳州的一家受害医院在有备份数据的情况下也同意支付黑客 55,000 美元的赎金需求，因为该医院认为支付赎金比从备份恢复所有计算机数据更容易、更快。 但 DOT 表示，他们不会屈服黑客的赎金威胁，将会选择从备份中恢复数据。交通部官员告诉当地媒体其关键系统受到影响，例如管理道路监控摄像头、交通警报、留言板等重要模块。除此之外，DOT 的 IT 人员也正在与其防病毒提供商 McAfee 合作，在将 PC 重新引入网络之前，对受影响的工作站进行补救，并保护其他终端。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 23 日消息，研究人员发现黑客组织正在对使用弱密码保护的 Linux 系统发起 SSH 暴力攻击，以部署一个名为 Chaos 的后门。据悉，该后门可能会被野外攻击者用于全球范围内 Linux 服务器。 根据 GoSecure 专家的说法，Chaos 后门其实是 “ sebd ” Linux rootkit 的组件之一，该组件早在2013 年就已被使用。 由于 Chaos 后门不依赖于任何漏洞攻击，所以 GoSecure 的研究人员认为它并不复杂。而且该后门也并不先进，因为只是管理员无法为其服务器设置强密码而已。但 Chaos 后门存在一个巧妙的优势，它在端口 8338 上打开了一个原始套接字，并在其上侦听命令。 GoSecure 的专家表示： “ 比较好的防火墙都会阻止传入的数据包进入任何未被明确开放的端口。但是，使用原始套接字的 Chaos 却可以在运行现有合法服务的端口上被触发。” 那么要如何检查用户系统是否受到感染呢？相关专家建议以 root 身份运行 netstat –lwp 来检测。此外，由于 Chaos 不是单独出现，而是至少有一个具有远程代码执行能力的 IRC Bot，因此 GoSecure  建议受感染的主机从一个可靠的备份中重新安装，并提供一组新的凭据。 详细分析报告： 《 Chaos：被盗后门再次崛起 》 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 12 日消息，来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出，该恶意软件能够收集目标应用程序的大量敏感数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。 其实 Dark Caracal 自 2012 年就开始活跃，不过直到最近它才被认定在网络竞技场中具有强大的威胁性。 根据之前报道，电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据，并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍，该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程（如钓鱼邮件或虚假的社交网络信息）来传播含有木马的恶意软件，过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息（短信、通话记录、档案等）。 Dark Caracal 影响范围 研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的，该活动使用了一系列木马化的 Android 应用程序，旨在从受害者的移动设备中窃取敏感数据。 据悉，在这些应用程序中注入的木马是已被研究人员发现的 Pallas。 那么攻击者是如何一步步行动来感窃取数据的？ 攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本，具体流程是：从合法的应用程序开始，在重新构建 apk 之前注入恶意代码。一般来说，目标应用程序属于特定类别，例如社交聊天应用程序（Whatsapp、Telegram、Primo）、安全聊天应用程序（Signal、Threema）或与安全导航相关的软件（Orbot，Psiphon）。 在恶意软件制作成功之后，攻击者利用社交工程技术欺骗受害者安装恶意软件，比如使用 SMS、Facebook 消息或 Facebook 帖子，诱骗受害用户通过特定网址下载新版流行的应用程序，目前这些木马化的应用程序都被托管在同一个 URL 上。 图为 – Dark Caracal Repository – 恶意站点 当用户设备受到感染后，攻击者利用恶意应用程序收集大量数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。 以下为该木马的具体功能： – 阅读短信 – 发简讯 – 记录通话 – 阅读通话记录 – 检索帐户和联系人信息 – 收集所有存储的媒体并将它们发送到C2C – 下载并安装其他恶意软件 – 显示一个网络钓鱼窗口，以尝试窃取凭证 – 检索连接到同一网络的所有设备的列表 完整分析报告见： < 20180212_CSE_DARK_CARACAL_Pallas_Report.pdf > 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 12 日消息，安全专家近年来发现加密挖矿脚本的数量不断增加，尤其是那些通过在线黑客服务器非法部署的脚本。目前初步统计，大约 49％ 的加密挖矿脚本部署在相关色情网站上。  据悉，安全专家在其 DNSMon 系统上通过 DNS 流量在线分析加密挖掘脚本，以确定哪些网站从域名中（这些域名与浏览器内的挖掘服务相关联）加载了该脚本。 研究表明，约 49％ 的加密挖掘脚本部署在相关色情网站上。其实这一结果并不意外，因为访问者会花费大量时间来观看网站上的内容，从而间接带给攻击者一定的利用空间。当然这些挖掘脚本也部署在一些欺诈网站（占 8％）、广告领域（7％）以及采矿业务（7％）上。不仅如此，研究还显示最常用的加密挖掘脚本是 Coinhive（68％+ 10％），其次是 JSEcoin（9％）。 △ 挖矿网站 TOP 10  △ 上图显示了采矿地点的 DNS 流量趋势 以下是大多数采矿活动新参与者的分类： — 广告商 ：一些网站的采矿活动是由广告商的外部链引入的。 — Shell 链接 ：某些网站将使用 “ Shell 链接 ” 来隐藏源代码中的挖掘站点链接。 — 短域名服务提供商 ：goobo.com.br 是个短域名服务商，该网站主页、包括其生成的短域名在被访问时都会加载 coinhive 的链接进行挖矿。 — 供应链污染 ：www.midijs.net 是一个基于 JS 的 MIDI 文件播放器，在网站源代码中使用了coinhive 进行挖矿。 — 自建矿池 ： 有人在 github 开放的源代码可用于自建矿池。 — 用户自主的 Web 挖矿 ：authedmine.com 是一个正在兴起的采矿网站。该网站声称，只有已知和授权的用户才能进行挖矿活动。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 10 日消息，根据联想发布的安全建议，Broadcom 芯片组中的两个关键漏洞至少影响了 25 款 ThinkPad 设备。远程攻击者可以利用这些漏洞在目标系统的适配器（而不是系统的 CPU）上执行任意代码。目前联想表示已在其产品中修复了这些漏洞，并敦促用户及时更新。 CVE-2017-11120：内存破坏漏洞 攻击者可利用该漏洞在目标设备上执行代码并建立后门程序。 联想警告称， 24 款 ThinkPad 机型存在该种缺陷，这些机型都有一个共同特点：它们都使用了 Broadcom 的 BCM4356 无线局域网驱动程序。 CVE-2017-11121：缓冲区溢出漏洞 该漏洞是由于对 Wi-Fi 信号进行不正确的验证而导致的。据研究专家介绍，精心制作的恶意无线快速转换帧可能会触发内部 Wi-Fi 固件堆栈和者堆栈溢出，从而导致出现拒绝服务等情况。目前联想已修复该漏洞，并敦促用户为其 ThinkPad 更新 Wi-Fi 驱动程序。 有关专家认为联想 ThinkPad 设备的这两个漏洞是非常关键的，因此将其评定为 CVSS 10 分。 受影响的型号有 ThinkPad 10、ThinkPad L460、ThinkPad P50s、ThinkPad T460、ThinkPad T460p、ThinkPad T460s、ThinkPad T560、ThinkPad X260 和 ThinkPad Yoga 260。 漏洞相关报告： CVE-2017-11120 细节 CVE-2017-11121 细节 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 7 日消息，独立安全研究员 Paulos Yibelo 上个月发现，一款名为 Hotspot Shield （热点盾）的 VPN 产品存在一个严重的安全漏洞，可能会泄露用户的敏感信息（如 Wi-Fi 网络名称 、真实 IP 地址等）。据 Yibelo 称，该漏洞允许未经身份验证的请求访问本地 Web 服务器托管的 JSONP 端点，从而获取有关 Hotspot Shield 服务的敏感信息（其中包括其配置详细信息）。 Hotspot Shield 由 AnchorFree 公司开发，是一项在 Google Play Store 和 Apple Mac App Store 上免费提供的 VPN 服务，在全球拥有超过 5 亿的用户量。Hotspot Shield 一直主打保护用户所有的在线活动，承诺隐藏用户的 IP 地址和身份，并使用加密通道传输互联网和浏览流量来保护用户免于跟踪。 Paulos Yibelo 声称他已向 AnchorFree 报告了该漏洞（被指定为 CVE-2018-6460）， 并且还发布了一个概念验证代码（PoC）来证实该漏洞的可利用性。 尽管 Yibelo 声称该 PoC 能够获得 Hotspot Shield 用户的真实 IP 地址，不过 AnchorFree 的发言人针对该言论进行了否认。 AnchorFree 表示虽然该漏洞的确存在，但不会泄露任何用户的真实  IP 地址或者个人信息。值得注意的是，AnchorFree 发表的声明中提到了该漏洞可能会暴露一些通用信息（如用户所在的国家）。 除了泄露信息之外，Yibelo 认为攻击者还可以利用此漏洞实现远程代码执行，不过目前并无确实证据。 消息来源：Thehackernews，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。