据外媒近日报道，安全公司 ESET 研究人员 Lukᚊtefanko 近期发现一款 Android 勒索软件 DoubleLocker，不仅会对用户数据进行加密，还会通过更改用户的 PIN 密码锁定设备、索要赎金。 勒索软件 DoubleLocker 源自一款银行木马程序，其主要传播方式是通过受损网站推送的虚假 Adobe Flash Player 应用更新，诱导用户下载安装后加密或锁定设备。 一旦用户不慎下载并安装，其受损应用将激活恶意软件的无障碍服务 Google Play Service，从而在用户不知情下获取管理员访问权限并将其设置为 Android 手机 Home 主页的应用程序。每当用户点击 Home 主页按钮时，该勒索软件将会立即激活并锁定设备。 此外，研究人员表示，攻击者要求受害人员必须在 24 小时内支付 0.0130 比特币（约 54 美元），否则只有恢复出厂设置才能清除该勒索软件。不过，该做法或将导致受害用户无法挽回自身设备的所有文件。 原作者：John Leyden，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 消息，继上周西门子修复智能电表 7KT PAC1200 高危漏洞后，安全研究人员再次发现西门子的 BACnet 自动化控制器存在两处安全漏洞，允许攻击者在线访问集成 Web 服务器（80/tcp 和 443/tcp）并执行管理操作。这两处漏洞普遍影响了西门子 BACnet 自动化控制器 APOGEE PXC 和 TALON TC  3.5 之前的所有固件版本。目前西门子已发布固件更新。 第一处漏洞（CVE-2017-9946）：允许未经身份验证的攻击者在线访问集成 Web 服务器（80/tcp 和 443/tcp），从而通过受损设备下载敏感数据。目前，该漏洞危险等级为【高危】，且 CVSS 基础评分为 7.5。 第二处漏洞（CVE-2017-9947）：允许攻击者在线访问集成 Web 服务器（80/tcp 和 443/tcp）后远程窃取受影响设备的文件系统结构信息。目前，该漏洞 CVSS 基础评分为 5.3。 受影响设备普遍应用于商业设施，以便控制取暖、通风和空调（HVAC）设备。目前，西门子已修复漏洞并发布固件更新。对此，安全研究人员强烈建议用户将其设备更新至 3.5 版本，并通过适当的防御机制保护 Web 服务器的网络访问，以便自身 IT 设备免遭黑客攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，乌克兰情报机构 SBU 于近期发布声明，警示乌克兰或将在 10 月 13 日至 17 日遭受类似勒索软件 NotPetya 的大规模网络攻击。据称，由于 10 月 14 日是乌克兰重大纪念日之一 —— 乌克兰捍卫者日，安全专家推测攻击者可能想在该期间导致乌克兰国家动荡。 今年 6 月， 勒索软件 NotPetya 网络攻击首次袭击乌克兰公司，旨在加密电脑私人数据并要求受害用户缴纳 300 美元赎金。调查显示，该起攻击活动通过一款广泛使用的会计软件 MeDoc 感染恶意代码并于全球范围内肆意传播，也对联邦快递旗下 TNT 公司、美国默克等知名企业造成严重损失。 据情报显示，攻击者似乎在此次活动中主要瞄准乌克兰政府机构与私营企业发动新一轮攻击浪潮。目前，SBU 已通知此类机构并提醒他们作好防御准备。安全专家表示，攻击者可能通过侵入各机构的信息系统后破坏国家局势稳定；也可能通过更新软件的供应流程进行网络攻击，其中包括公共应用软件。 为保护乌克兰各企业系统免遭网络攻击，SBU 提出如下建议： Ο 更新服务器与工作站计算机的防病毒软件签名; Ο 在计算机设备上进行冗余信息处理； Ο 提供系统软件的日常更新，包括所有版本的 Windows 操作系统。 据悉，由于此类攻击不易发现和预防，因此安全专家提醒用户将其重要文件进行定期备份或存储。此外，最重要的是，始终保持一个良好的防病毒系统，以便检测与阻止任何恶意软件入侵。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 14 日消息，网络安全公司 SecureWorks 研究人员近期正监视黑客组织 Bronze Butler 一系列攻击行动，旨在分析日本各企业受害情况。 研究人员发现，黑客组织 Bronze Butler（ 又称 Tick ）自 2012 年以来一直针对日本企业的关键基础设施、重工业、制造业以及国际关系方面展开攻击活动，旨在窃取企业知识产权与其机密信息。有消息指出，该组织似乎还与中国存有潜在联系。 调查显示，黑客组织 Bronze Butle 主要采取鱼叉式网络钓鱼攻击、SWCs 等非法手段入侵目标企业系统、窃取机密信息。此外，他们还会通过 0 day 针对目标系统展开攻击。 ο 黑客组织 Bronze Butle 曾研发了一款恶意软件 Daserf 后门，允许攻击者完全控制受损系统。随后，他们又在 2016 年开发出两款远程访问木马 xxmm、Datper。 ο Bronze Butle 组织曾利用日本企业生产的一款桌面管理工具 SKYSEA Client View 通过 Adobe Flash 零日漏洞（CVE-2016-7836）展开攻击。 下图为该黑客组织 2012-2017 年间使用的一些专有工具。 知情人士获悉，安全专家通过日本各企业的产品细节与公司信息了解到，该组织致力寻求他们认为对竞争组织有价值的信息并进行窃取。目前，该组织仍处于活跃状态且被视为有能力的团队。 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

9 月中旬，海盗湾被曝在网站添加了一个由 Coinhive 网站提供的 Javascript 比特币挖掘脚本，即采用加密方式注入用户电脑挖掘比特币后增加 CPU 使用率。据悉，由于该攻击手段导致流量运行迅速，因此海盗湾每月可能获益 12000 美元。不过，部分用户在发现后立即开始禁用 Javascript 程序，以防网络犯罪分子再次侵害。 网络安全公司 Adguard 于近期发表一份研究报告，指出逾 220 家热门网站运营者早期就已经从 CoelHive 寻找到加密货币 Monero 的采矿脚本，并通过用户电脑进行试验挖掘加密货币，从而获取巨额收益。据悉，目前共有 5 亿用户在不知情下运行 JS 脚本、挖掘加密货币。 CoinHive 是目前最受欢迎的 JS 挖矿引擎。安全专家表示，上述攻击手段主要是网站运营商在其网页内嵌入一段 JS 代码，只要用户访问，挖矿程序就会在网民的电脑中运行，从而占据大量系统资源，导致 CPU 利用率突然提升。 目前，Adguard 安全专家估计，这些网站几乎不需要花费太多资金就能够完成此类攻击。其中，Torrent 搜索网站、托管盗版内容的网域与色情网站最有可能使用矿工挖掘加密货币。因为这些网站一般很难通过广告获益，所以他们更愿意采取其他创新方式赚钱资金。 CoinHive 网站最近引起广大媒体关注后发表声明：“公司并不知道我们的客户没有经过用户的同意擅自运行加密脚本，我们感到非常难过。不过，我们相信我们一定能在尊重用户的情况下解决此类事件。目前，希望用户能够警惕网站加密货币的采矿脚本。” 安全专家表示，加密货币挖掘的潜力如果处理得当，网站访问者没有理由不会同意此类计划，不过如果域名运营商不尊重用户私自进行，那么事情一旦被暴露，他们公司名誉将受到严重打击。目前，在此类问题解决之前，系统拦截器将会阻止 JS 程序运行。此外，网站操作人员与挖矿脚本的开发人员将会共同合作寻求解决方案，从而确保用户 CPU 安全。 相关阅读： 海盗湾于后台运行比特币矿工程序，增加用户 CPU 使用率 原作者：Charlie Osborne ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 13 日消息，凯悦酒店集团近期证实，旗下 41 家酒店的支付系统已遭黑客入侵，其中美国、中国、墨西哥等 11 个国家的客户数据在线泄露。然而，中国受影响情况最为严重，因为近一半受影响酒店位于中国境内。调查显示，受影响客户信息包括持卡人姓名、卡号、到期时间以及内部验证码。目前，凯悦酒店正与第三方安全专家、信用卡公司以及权威机构展开全面调查。 据悉，安全研究人员在凯悦酒店的支付系统中发现未经授权的访问记录，其受访时间从今年 3 月 18 日至 7 月 2 日。此外，根据调查，他们了解到，这种未经授权的数据访问由第三方将恶意软件代码植入酒店 IT 系统造成。 凯悦酒店的全球业务主管 Chuck Floyd 在一份声明中表示：“我们已经通知受影响客户并为此次事件的发生感到抱歉。目前，酒店已加强系统网络安全与防御体系，以防黑客再次入侵。不过，好在现在并没有迹象表明其他敏感信息遭到影响。” 知情人士透露，凯悦开始向所有受害客户提供相关咨询，以便了解他们是否因此遭受黑客攻击以及其他可疑活动。目前，公司尚未透露多少客户在此次违规中可能受到影响。不过，这并非凯悦第一次发生数据泄露，这是过去两年内的第二起事件—— 2015 年年底，凯悦酒店首次确认其支付系统感染恶意软件，影响约 50 个国家的 250 家酒店系统。 原作者：Hyacinth Mascarenhas，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 12 日消息，莫斯科威胁情报机构 Group-IB 于近期发布《 2017 高科技犯罪趋势报告》，指出银行、发电站或隐性证券交易机构预计成为黑客未来一段时间的主要攻击目标。 Group-IB 是一家全球预防和调查高科技犯罪与网络欺诈的领导者之一，也是俄罗斯首家威胁情报解决方案的供应厂商。然而，为防止全球网络攻击事件的发生，Group-IB 提供了早期威胁检测产品的具体解决方案。目前，Group-IB 拥有东欧最大的犯罪学实验室与计算机应急团队（CERT-GIB）。 相关数据显示，银行未来所面临的网络攻击主要损失并非盗窃，而是在目标攻击的最后阶段通过破坏 IT 基础架构获取登录权限后窃取用户资金。此外，由于国家支持的黑客活动在当今这个时代来说愈加频繁，因此加大限度的影响了国家银行的损失可能。据悉，在这两种情况下，对银行造成的损失可能甚至超过由于服务中断而导致资金数额以及声誉的影响。 目前，黑客越来越关注加密行业（例如：ICO、钱包、交易所、基金），因为这些行业正积累越来越多的资本与资金。技术上来说，由于这个行业的信息安全程度较低，因此对该服务提供商的攻击事件并不比银行机构少。调查显示，网络犯罪分子的进一步动机则是匿名封锁技术且不受任何管制，从而大大增加网络安全的风险程度。 此外，安全专家还发现黑客成功袭击了多数工业设施，因为他们可能已经学会了如何处理关键基础设施的 “逻辑”。然而，黑客要想使用独特的信息技术获得访问权限的话，就需要具体了解部分企业运营原则。在过去一年中，安全专家观察到黑客的能力随着影响关键基础设施能力的增加而提升。因此，他们预测针对工业与相关核心基础设施的网络攻击正大幅度提高。 据悉，网络攻击次数的增长以及被盗的总数是黑客能力的重要指标。然而，多数攻击者如果能够找到更有效率或更安全的方法赚取收益，那么他们就会开始投资研发新黑客工具、服务与攻击计划。此外，虽然俄罗斯法律实体盗窃案件所造成的损失正在减少，但 Android 银行木马造成的损失却在持续增加，其中针对银行与支付系统的攻击数量较为显著。 附：Group-IB 发布《 2017 高科技犯罪趋势报告》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 12 日消息，安全公司 Rapid7 研究人员于今年 5 月发现瑞士 BPC 团队所创建的银行支付基础设施与管理系统 SmartVista 存在一处 SQL 注入漏洞，允许黑客侵入 SmartVista 前端的身份验证接口后窃取数据库敏感信息，其中包括用户账号与密码。不过，由于安全研究人员在上报该漏洞至 BPC 团队后至今尚未获得回应，因此他们于近期公开披露银行软件平台 SmartVista 易遭黑客 SQL 注入攻击。 美国 CERT 协调中心与瑞士证券交易委员会在漏洞公开披露后发布警示，宣称由于该攻击活动只能通过经身份验证的前端用户触发，因此攻击者可以通过该漏洞后入侵系统、窃取重要信息。 Rapid7 专家发现，对于访问 Transaction 接口的平台需要用户提供卡号、帐号，以及交易日期三个字段。然而，由于 SmartVista 前端缺乏输入验证，因此不会对交易模块中输入的卡号或帐号进行检测。不过，卡号仅接受确切的字段以便提供输出。如果事先并不知道卡号，攻击者也可通过该字段启动 布尔型 SQL 注入。但倘若提供了正确的注入语句（如’或’1’=’1）时，数据库将延迟五秒，从而产生一个基于时间的 SQL 注入向量。此外，攻击者还可利用该漏洞强制查询数据库，从而导致访问信息在线暴露。 目前，Rapid7 安全专家建议使用 SmartVista 的企业安全更新系统至最新版本，同时采用 Web 应用程序防火墙，以便保护平台免受 SQL 注入攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 11 日消息，澳大利亚网络安全中心（ACSC）近期发布了一份《2017 ACSC 安全威胁报告》，指出澳大利亚国防承包商的 F-35 联合攻击战斗机、P-8 波塞冬海上巡逻机、C-130 运输机、联合直接攻击弹药（JDAM）智能炸弹组件，以及多艘海军舰艇等 30 GB 的敏感数据于早前遭黑客 “ Alf ” 窃取。 据悉，该起黑客事件最早可追溯至 2016 年 7 月。不过，澳大利亚信号理事会（ASD）的监管机构于同年 11 月才发现黑客侵入国家国防承包商网络系统，并持续访问一段时间后窃取大量敏感数据。负责该案件的 ASD 应急主管 Mitchell Clarke 表示，国家机密信息受国际武器条例（ITAR）的限制，而该系统是美国设计用来控制国防与军事相关技术出口的网络系统，因此被盗信息并非军事机密。 调查显示，由于受害公司所有与 IT 相关的权限均由工作人员轮流负责且管理时长为九个月，员工流动几率极高，因此容易导致公司内部信息的泄露。此外，知情人士透露，ASD 经调查发现黑客 “ Alf ” 访问系统内部文件极其容易，因为该公司 IT 系统存在一处安全漏洞，即所有服务器均使用默认管理员登录 ID 与密码，从而允许黑客轻松破解后访问系统内部域控制器、远程桌面服务器，并发送电子邮件以及其他敏感信息。 然而，研究人员还发现公司所有服务器上既没有设置 DMZ 区防护，也没有常规的漏洞修补方案，让人着实担忧。最后，Clarke 在报告中强调，各企业理应加强系统补丁修复、更改设备默认密码，以便保护企业网络安全、减少黑客事件发生。 附：《 2017 ACSC 安全威胁报告（PDF）》 原作者： Stilgherrian， 译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 10 月 10 日报道，网络安全公司 FireEye 研究人员近期发现一款新型恶意软件 FormBook，旨在针对美韩航空航天公司、国防承包商与部分制造企业展开网络钓鱼攻击。 FormBook 是一款用于窃取用户数据的恶意软件，其主要从 HTTP 会话中提取敏感数据、按键记录以及剪贴板内容。据悉，自 2016 年初以来，多数黑客论坛均出售了该恶意软件的 Windows 版本。此外，经调查显示，FormBook 还可以从命令与控制服务器上执行特殊命令，包括下载恶意软件并执行其他文件、启动进程、关闭并重新引导受感染系统以及窃取 cookie 会话与本地密码等。 图：附带恶意软件的电子邮件 然而，FormBook 还具备一个最 “有趣” 的功能–允许恶意代码将 Windows’ntdll.dll 模块从磁盘读入内存，并直接调用其导出功能，从而使用户连接模式与 API 监视机制无效。值得注意的是，研究人员还发现攻击者在侵入目标设备后可随机更改系统路径、文件名、文件扩展名与注册表项。 研究人员透露，攻击者主要通过包含恶意附件的电子邮件进行分发，其附件包括 PDF、DOC、XLS、ZIP、RAR、ACE 与 ISO 等存档形式。据悉，该电子邮件要求用户通过附件链接下载与打印附件。一旦用户点击，目标设备将立即部署恶意有效负载。目前，该恶意链接已在全球 36 个国家共获得 716 次访问。 图：受影响国家分布比例 不过，研究人员指出，恶意软件幕后黑手在访问目标系统控制面板后将其重要信息生成可执行文件，并作为专业服务出售，其每周价格为 29 美元至 299 美元不等。知情人士获悉，虽然 FormBook 的功能或分发机制不是独一无二的，但它相对易用、实惠的定价结构和开放的可用性，都成为不同技能水平网络犯罪分子的选择。目前，通过 FormBook 成功感染目标设备的网络犯罪活动，包括但不限于：身份盗用、网络钓鱼攻击、银行诈骗和敲诈勒索活动。 原作者：Hyacinth Mascarenhas，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。