据外媒此前报道，黑客于今年 8 月瞄准清理软件 CCleaner 基础设施展开攻击，导致大量安装文件植入恶意后门。8 月 15 日至 9 月 12 日期间，CCleaner 在官方网站提供了两款受感染应用程序版本 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191。Avast 表示，超过 227 万用户在该时间段下载并安装了上述受感染应用程序。 HackerNews.cc  9 月 25 日消息，安全公司 Avast 于近期公布了一份受到清理软件 CCleaner 第二阶段恶意后门影响的公司列表，其作为对上周发生 CCleaner 攻击事件持续调查的一部分说明。相关调查显示，研究人员于 9 月 10 日发现与 CCleaner 连接的数据库因空间不足出现宕机状态，因此服务器仅包含 9 月 12 日至 16 日的感染数据。不过，攻击者却在服务器崩溃前已在另一台服务器上备份了数据库信息。 图：清理软件 CCleaner 研究人员表示，攻击者托管在第二台服务器的主机供应商与第一台相同，均由 ServerCrate 提供支持。随后，Avast 在相关部门的帮助下获取并成功掌握 CCleaner 恶意软件在服务器上发送受感染主机信息的数据库资料，这意味着研究人员拥有受 CCleaner 恶意软件（第一和第二阶段有效负载）影响的所有主机列表（服务器宕机的 40 小时内除外）。 相关数据显示，逾 160 万台计算机感染第一阶段的恶意软件 Floxif 并上报至 C＆C 服务器后，研究人员经过严格过滤筛选后发现，逾 160 万台计算机中存有 40 台隶属科技巨头企业的计算机感染了第二阶段恶意软件。 图：受 CCleaner 第二阶段恶意后门影响的设备信息 此外，研究人员还从备份服务器检索的过滤规则中发现，攻击者在 9 月 10 日之前已针对不同公司设备分发恶意软件，如 HTC、Linksys、Epson、Vodafone、Microsoft 等。随后，Avast 在官方博客表示，该起攻击活动主要针对特定的科技巨头企业与电信公司展开攻击，其主要利用 CCleaner 恶意软件感染用户后选择性针对目标开展二轮攻击。 目前，研究人员发现该款恶意软件的 PHP 代码、myPhpAdmin 日志等资料与 Axiom 类似，因此他们推测该起攻击事件与中国 APT 组织有关。不过，研究人员在分析了两台服务器上的所有登录信息后发现，攻击者活跃时间并非 UTC+8，因此暂时无法确认幕后黑手真正身份。 原作者：Catalin Cimpanu，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 9 月 22 日报道，加拿大国家银行于上周发表声明，宣称由于技术原因网站出现故障，导致逾 400 名客户敏感信息在线暴露，其中包括客户姓名、出生日期、电话号码与电子邮件地址等。 加拿大国家银行表示，该故障与其网站上的电子表格信息录入相关，即允许客户在线填写表单后建立分支预约，从而查看此前所有数据。然而，由于技术人员设置不当，导致前面客户完成表单填写后，其他客户再次打开网站的表单时可以看到前面客户所填写的所有信息。不过，好在国家银行在接到通知后立即对其进行了处理。 目前，银行已通知受影响客户并将为其提供免费信用监控。此外，加拿大国家银行还建议客户警惕任何潜在的身份窃取或网络钓鱼攻击活动。 原作者：Hyacinth Mascarenhas，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc  9 月 23 日消息，网络安全公司 ProofPoint 研究人员近期发现黑客利用银行木马 Retefe 新变种通过 NSA 漏洞 EternalBlue（永恒之蓝，CVE-2017-0143）瞄准奥地利、瑞典、瑞士、日本等多国银行网站展开新一轮攻击活动。虽然该款木马并未达到诸如 Dridex 或 Zeus 等知名恶意软件的传播规模与影响范围，但它所针对的地区与实施方式却值得研究人员注意。 调查显示，与 Dridex 或其他依靠网络注入劫持银行在线业务的银行木马不同，Retefe 主要通过各种代理服务器（通常托管在 TOR 网络上）操控路由流量或目标银行系统。此外，研究人员还观察到攻击者使用附带嵌入式 Package Shell Objects 或 Object Linking、Embedding Objects 的恶意文档发布网络钓鱼邮件，以便感染更多银行系统。 一旦用户打开附件，该款木马就会自动触发执行 PowerShell 命令，旨在下载一份托管在远程服务器上的自解压缩存档。存档中包含了一个具有多条配置会话参数的 JavaScript 安装程序，根据研究人员的说法，其中一个参数（pseb:“pseb”）被添加执行 “永恒之蓝” 漏洞脚本。 研究人员推测，Retefe 新变种的幕后黑手或将通过 EternalBlue 漏洞进行更多针对性攻击活动。9 月 20 日，研究人员发现该恶意软件中的  “ pseb：”参数部分被 “ pslog：” 取代。然而，这部分模块只包含了 EternalBlue 记录功能。目前，虽然尚不清楚多少网站遭受攻击，但他们在发现此类攻击活动后立即通知各银行机构，并建议他们关闭 IDS 系统与防火墙的相关通信，从而预防网络钓鱼攻击活动。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc  9 月 22 日消息，网络安全公司 Doctor Web 研究人员近期发现黑客利用新型物联网（ IoT ）僵尸网络 Linux.ProxyM 肆意发送钓鱼邮件，旨在感染更多 Linux 设备、开展 DDoS 匿名攻击活动。 调查显示，该僵尸网络自 2017 年 5 月以来一直处于活跃状态，其感染 Linux.ProxyM 的设备数量已多达 1 万台左右。然而，值得注意的是，僵尸网络 Linux.ProxyM 所分发的恶意软件能够在任何 Linux 设备（包括路由器、机顶盒与其他设备）上运行、还可规避安全检测。 目前，安全专家针对基于 x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000 与 SPARC 架构的设备识别出两款 Linux.ProxyM 木马。一旦 Linux.ProxyM 木马感染上述其中一台设备，它都能够连接至命令与控制（C＆C）服务器，并下载两个互联网节点域名。如果用户在第一个节点提供登录凭证，那么跳转至第二个节点时将通过 C＆C 服务器发送一个包含 SMTP 服务器地址命令，用于访问用户登录凭据、电子邮件地址和邮件内容。此外，相关数据显示，每台受感染的设备平均每天可以发送 400 封这样的钓鱼邮件。 研究人员表示，虽然尚不清楚受感染设备总计数量，也不了解黑客真正的攻击意图，但目前巴西、美国、俄罗斯、印度等国普遍受到影响。现今，由于物联网攻击活动一直都是网络犯罪分子的目标焦点，因此研究人员推测，黑客在未来还将继续扩展 Linux 木马所执行的功能范围，从而肆意开展 DDoS 攻击活动。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，Kromtech 安全中心研究人员近期发现汽车追踪设备公司 SVR Tracking 因亚马逊 AWS S3 存储器配置不当，导致逾 54 万用户登录信息在线暴露，其中包括电子邮件地址、用户密码、车辆识别号码 VIN、GPS 设备的 IMEI 号码，以及有关车辆状态与维护跟踪记录数据的 339 份日志文件。 调查显示，SVR 密码是一款由美国国家安全局（NSA）20 年前设计的弱加密算法 SHA-1，因此黑客能够轻松破解并对其进行登录访问。有趣的是，暴露的数据库还包含在车辆中完全隐藏物理跟踪单元的信息。研究人员表示，由于多数经销商或客户的车辆均具有跟踪设备功能，因此在线暴露的设备总数可能要比调查数据多得多。 另外，由于 SVR 的汽车跟踪设备在过去 120 天内一直对车辆进行监控，因此任何能够访问 SVR 用户登录凭据的攻击者都可实时跟踪车辆，并使用互联网连接设备创建目标车辆在每个位置的详细日志，从而在汽车主人不在时进行偷窃或抢劫。目前，虽然 Kromtech 在警告公司 AWS S3 存储器配置不当后，SVR Tracking 当即对其进行了保护，但尚不清楚黑客是否已经访问泄露数据。 关联阅读： 美国媒体巨头 Viacom 因亚马逊存储器配置不当，致使大量内部数据在线泄露 美国媒体巨头 Viacom 因亚马逊存储器配置不当，致使大量内部数据在线泄露 安全报告：亚马逊 S3 存储服务器错误配置引发数据泄露 原作者：Swati Khandelwal，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc  9 月 23 日消息，安全研究人员 Derrick Farmer 近期发现黑客组织 Phantom Squad 已向全球数千家企业发送勒索信函，要求支付 0.2 比特币赎金否则将于 9 月 30 日开展大规模 DDoS 攻击。调查显示，亚洲、欧洲与美国公司的教育、制造业与技术部门普遍遭受威胁。 研究人员表示，此次攻击活动似乎于 9 月 19 日开始。不过，由于受害者人数较少、赎金要求较低，Phantom Squad 还不太可能会对目标展开攻击活动，截止到目前为止调查人员尚未发现攻击样本。倘若黑客组织想要发起一系列 DDoS 攻击，还需大量资源，因此短期内他们只是发送勒索信函，并不会真正开展网络攻击活动。 日本计算机紧急响应组织随后也发表警示，表明 Phantom Squad 发送的勒索邮件与 2016 年黑客组织 Armada Collective 发送的邮件类似。研究人员推测，对于网络犯罪分子来说，一个几乎没有任何投资的情况下就可赚取大量资金的活动可能会给他们经济上带来巨额利润。因此，多数黑客组织都在模仿这种做法，并使用知名组织 “无敌舰队”、“匿名者” 或 “蜥蜴队” 等代号发送赎金邮件，从而赢得 “ 信誉 ”，以便勒索活动的开展更加顺利。 目前，尚不清楚有多少家企业已收到 Phantom Squad 威胁信函，以及是否有任何公司支付赎金。但安全专家建议各企业在面临这样的威胁时，不要支付赎金，而是在专业人员的协助下，加强网络安全防御体系、预防黑客组织攻击活动。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc  9 月 21 日消息，网络安全公司 ESET 研究人员近期发现至少两个国家的互联网服务提供商（ISP）涉嫌分发间谍软件 FinSpy 新变种。研究人员推测，攻击者极有可能通过控制 ISP 进行 MitM (中间人)攻击，以传播恶意软件 FinSpy 新变种，并试图将 WhatsApp、Skype、Avast、WinRAR、VLC Player 等应用软件的下载重定向至其他恶意链接。 FinSpy 是一款监控软件，由英国 Gamma 组织开发，并仅面向政府与执法机构出售，但隐私倡导者推测该软件也可能被售于专制政权机构。此外，FinSpy 不仅能够录制所有通信来电与短信消息，还可远程开启目标设备的摄像头、麦克风，以及实时定位与跟踪用户设备。 近期，研究人员通过监测间谍软件 FinSpy 在两个受影响国家中的地理分布分析，怀疑 FinSpy 可能不是通过本地网络，而是利用 ISP 进行 MitM 攻击传播。消息指出，此前维基解密泄露的文件曾透露，销售 FinFisher 间谍软件的公司提供过一个可在 ISP 级别安装的软件包，已知的两国受害者恰好都使用着同一个互联网服务提供商（ISP），但目前尚不清楚 ISP 是否主动参与其中。 以下图表详细显示了 FinSpy 新变种的感染机制： 研究人员表示，FinSpy 新变种在很大程度上得到了优化，即利用自定义代码虚拟化保护部分组件，从而使入侵目标设备时处于隐身状态以规避安全措施检测。此外，整个代码均具备反拆卸功能，致使研究人员的分析更加困难。经调查显示，这可能是 FinFisher 首次利用 ISP 分发恶意软件。然而，黑客除通过 ISP 开展 MitM 攻击外，还利用恶意软件此前的机制于其他五个国家进行分发。目前，ESET 在告知开发公司 Gamma 后立即也通知了受害国家，以避免将用户置于危险之中。 原作者：Catalin Cimpanu，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 9 月 21 日报道，网络安全公司 RIPS Technologies 研究人员发现全球知名内容管理系统 Joomla! 的登录页面存在一处高危漏洞（CVE-2017-14596），致使管理员登录凭证在线暴露。目前，受影响版本包括 Joomla! 1.5 — 3.7.5。 调查显示，当用户使用轻量级目录访问协议（LDAP）身份验证时，该漏洞将会影响 Joomla! 安装。此外，Joomla! 主要通过 TCP/IP 从插件管理器启用本机验证插件实现 LDAP 访问。然而，研究人员却发现，当启用 LDAP 认证插件时，攻击者可以尝试从登录页面逐个猜测管理员凭证，从而劫持账号信息。一旦成功登录，攻击者将接管 Joomla! 后台页面，并上传自定义插件，以获取 Web 服务器远程执行代码的扩展。 解决方法: ο 研究人员已在线发布漏洞概念验证（ PoC ） ο Joomla! 于本周发布补丁修复程序，建议用户升级至最新版本 Joomla! 3.8。 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc  9 月 20 日消息，美国网络安全公司 FireEye 研究人员近期发现伊朗黑客组织 APT33 似乎开始瞄准多国航空、国防与能源设施展开新一轮网络攻击活动。目前，受影响机构包括美国航空航天公司、沙特阿拉伯商业集团，以及韩国石油石化公司。 黑客组织 APT33 至少于 2013 年就已针对多国关键基础设施、能源与军事部门发起攻击，旨在收集情报、窃取商业机密信息。 调查显示，黑客组织 APT33 通过发送附带恶意链接的网络钓鱼邮件感染目标设备，其主要使用的恶意软件包括 DROPSHOT（病毒传播器）、SHAPESHIFT（恶意软件删除器）与 TURNEDUP（自定义后门）。有趣的是，虽然该组织仅仅利用 DROPSHOT 传播 TURNEDUP 后门，但他们却在攻击活动中发现多款 DROPSHOT 释放样本。此外，恶意软件 SHAPESHIFT 则主要用于擦除磁盘信息并删除文件记录的操作。 目前，FireEye 推测，APT 33 针对沙特阿拉伯与韩国等开展网络攻击活动似乎与伊朗政府机构 NASR 有所联系，因为近期他们部分商业机构处于竞争关系。不过伊朗并未作出任何置评。 原作者：Swati Khandelwal，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 9 月 20 日报道，网络安全公司 UpGuard 研究人员 Chris Vickery 近期发现美国媒体巨头 Viacom 因亚马逊 AWS S3 存储器配置不当，导致大量敏感数据在线泄露，其中包括公司旗下各品牌内部数据、公司服务器详细列表与登录密码，以及 AWS 帐户的访问密钥等 72 份压缩文件。尽管部分数据使用 GPG 加密，但令人不安的是，该存储器中还包含相关解密密钥。 知情人士透露，虽然 Viacom 尚未向 UpGuard 声明这台存储器存在的主要目的，但根据泄露内容似乎可以看出与公司 IT 系统的基础设施配置文件有关。另外，该云存储器中泄露的文件主要由公司运营 IT 系统的跨平台计算服务组织 MCS 负责，这似乎又进一步证实了 Viacom 将公司基础设施的主要信息迁移至亚马逊 AWS 云存储器。 跨平台计算服务组织 MCS（ Multiplatform Compute Services ）：主要负责 Viacom 旗下各品牌 IT 基础设施管理，其中包括 MTV、美国喜剧电台中心 Comedy Central 与 Nickelodeon 等。 目前，尽管 Viacom 在收到通知后立即删除云服务存储器信息，但尚不清楚黑客是否已掌握这些数据。对此，研究人员极其担忧，因为黑客一旦利用这些数据，极有可能操控公司服务器、窃取重要信息并大规模开展网络钓鱼攻击活动。 关联阅读： 时代华纳逾 400 万客户信息在线泄露，又是亚马逊 AWS S3 配置错误惹的祸？ 美国 TigerSwan 因第三方 AWS 漏洞泄露数千份敏感简历，或含美驻印尼大使、中情局前员工信息 美国媒体巨头 Viacom 因亚马逊存储器配置不当，致使大量内部数据在线泄露 安全报告：亚马逊 S3 存储服务器错误配置引发数据泄露 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接