HackerNews.cc 9 月 16 日消息，流行音乐媒体 Vevo 服务器遭黑客组织 OurMine 入侵，致使逾 3.1 TB 内部文件与视频在线泄露，其中包括 90 多名不同艺术家私人档案（例如：泰勒斯威夫特、贾斯汀比伯、凯蒂佩里、小甜甜布兰妮、麦当娜等）、公司社交媒体战略备忘录、英国 Vevo 办公室禁用报警系统说明、电商营销信息、每周音乐排行榜等内部文件。 OurMine 是一个自称安全黑客的团队，他们经常通过侵入一些大咖的社交网络账号给自己打广告。就在上个月他们还曾窃取过 HBO 和《权力的游戏》的社交媒体账号（注：窃取 1.5TB 数据的并非 OurMine 团队），但 OurMine 宣称他们仅仅 “ 在测试 HBO 系统的安全性能 ”。不过，他们此前主要攻击的目标是科技圈内的 CEO、企业与新闻网站，旨在通过漏洞入侵社交账号后兜售自家安全服务。 黑客组织 OurMine 在窃取 Vevo 大量数据后于 9 月 14 日通知公司，但遭到雇员怀疑与亵渎。不过，尽管 OurMine 已泄露大量数据，但他们还是在官网声称：“ 如果 Vevo 代表主动与我们取得联系，我们会立即删除数据 ”。最终，OurMine 删除了在线数据。随后，Vevo 在一份声明中证实并表示此次泄露事件主要是通过网络钓鱼攻击的结果。目前，Vevo 已妥善解决这个问题并正在加大调查力度，以确保公司信息安全。 原作者：Hyacinth Mascarenhas，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 9 月 15 日报道，斯洛伐克国家安全局（ NBU ）研究人员近期在编程语言 Python 的第三方存储库 PyPI 中发现 10 款含有恶意代码的 Python 安装包，旨在感染目标主机系统、窃取用户敏感信息。 调查显示，攻击者主要使用一种被称为 “误植域名” 的技术，即在上传类似合法程序安装包至索引时（ 例如：“ urlib ” 而并非 “ urllib ” ），PyPI 存储库不会执行任何类型的安全检查或审计，因此攻击者在线传播这些模块并不困难。另外，攻击者还会将恶意代码植入软件安装脚本，以便快速感染目标用户系统。 研究人员表示，由于这些软件安装包的恶意代码基本相同，因此它们的功能大同小异。不过，尽管在安装脚本 setup.py 时将会被植入恶意代码，但它们对于主机系统来说相对无害。此外，恶意代码只收集受感染主机的使用信息，例如伪造安装包的名称、版本、用户名以及计算机主机名。据悉，NBU 安全研究人员于上周联系 PyPI 管理员后，他们立即删除了这些含有恶意代码的安装包。其中存在恶意代码的软件安装包包括： – acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition) – apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms) – bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file) – crypt (uploaded 2017-06-03 08:03:14, impersonates crypto) – django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api) – pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash) – setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools) – telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib) – urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3) – urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3) 安全研究人员表示，恶意代码主要与 Python 2.x 一起使用，而运行在 Python 3.x 应用程序时将会发生错误。这些恶意软件安装包于 2017 年 6 – 9 月一直处于活跃状态，目前也有证据表明，多个恶意安装包已被开发人员使用。对此，安全专家除了要求 Python 程序人员检查他们的软件安装包是否遭受感染外，还建议他们在下载 Python 安装包时避免使用 “ pip ”（一个 Python 包安装程序），因为 pip 不支持加密签名。 原作者：Catalin Cimpanu，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

趋势科技（Trend Micro）研究人员于 9 月 13 日发布安全报告，指出 Android 恶意软件 BankBot 已成功感染逾 160 款 Google 商店中的合法应用程序。相关数据显示，该款恶意软件新变种主要瞄准 27 个国家银行机构展开攻击活动，其中 10 家受害组织来自阿联酋地区。 恶意软件 BankBot 于今年 1 月浮出水面，其主要使用虚假页面覆盖真实网页欺骗不知情用户输入登录凭证等敏感信息。此外，BankBot 还可劫持与拦截用户 SMS 信息，从而绕过基于短信的双重身份验证。 近期，研究人员再次发现 5 款受感染的新型应用程序，其中颇受用户欢迎的一款已被下载 5000-10000 次。研究人员表示，最新版本的 BankBot 变体只有安装在真实设备中才会运行。然而，一旦安装并运行 BankBot 后，它将自动检查受感染设备上是否存在银行应用安装包。倘若存在，BankBot 将立即连接至 C&C 服务器并上传安装包名称与标签。随后，C&C 服务器还会向受感染应用发送恶意链接，从而下载包含用于覆盖页面的恶意文件库，以便攻击者后续使用。 图1. BankBot 下载覆盖网页 值得注意的是，研究人员发现该款恶意软件在针对阿联酋银行应用程序时，表现略有不同。BankBot 并非直接显示虚假的覆盖页面，而是请求用户输入电话号码等信息。随后，C&C 服务器会在一个 FireBase 邮件中向目标受害者发送恶意链接。一旦用户进入指定页面，他们将会被提示输入银行具体信息。即使用户提供的信息正确，也会弹出一个 “ 错误页面 ” ，致使受害者必须再次输入信息进行确认。显然，BankBot 的开发人员想要再次核实受害者银行凭证，以便快速正确登录用户账号、窃取资金。 图2.伪造阿联酋银行应用程序屏幕 目前，BankBot 开发人员似乎正尝试使用新技术操作扩大目标攻击范围，对此，研究人员提醒用户在安装任何应用程序前（即使从 Google Play 商店下载）始终验证应用权限，以防黑客恶意攻击。 附：趋势科技原文报告《 BankBot Found on Google Play and Targets Ten New UAE Banking Apps 》 原作者：Hyacinth Mascarenhas，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc  9 月 14 日消息，趋势科技（ Trend Micro ）研究人员近期发现黑客正以 “ 比特币 ” 或 “ 金融安全准则 ” 为主题分发附带恶意 PostScript 代码的文件，旨在感染韩文处理器（HWP）系统、展开网络钓鱼攻击活动。 图一：诱导文件样本 韩文处理器（HWP）是一款颇受韩国公民欢迎的文字处理应用程序，它具备运行 PostScript 代码的功能，这是一种最初用于打印与印刷系统的编程语言。另外，PostScript 的其中一个分支被称为 Encapsulated PostScript（被封装的 PostScript 格式），它增加了运行代码的限制范围，从而使部分文档的打开更加安全。但不幸的是，较老版本的 HWP 系统并未约束这些限制。 调查显示，此类攻击手段主要是利用恶意 PostScript 代码在受害设备上获取立足接入点，以便展开攻击活动。虽然 PostScript 无法执行 shell 命令，但它确实能够操控目标设备文件。此外，研究人员表示，攻击者入侵目标设备后，首先将系统文件丢弃到各种启动文件夹中，并在等待用户重启设备前使用不同攻击方式破坏系统，其攻击方式包括： Ο 在启动文件夹中删除快捷方式执行 MSHTA.exe 文件。 Ο 删除启动文件夹中的快捷方式和％Temp％目录中的 DLL 文件。该快捷方式主要调用 rundll32.exe 执行 DLL 文件。 Ο 在启动文件夹中删除可执行文件。 图二： HWP 文件中的代码示例 目前，经调查显示，2014 年以后更新的版本不易受此类问题影响。因此，研究人员建议用户更新至最新版本，以防黑客攻击、保障系统安全。 稿源：Trend Micro，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 9 月 13 日报道，网络安全公司 FireEye 研究人员近期发现微软 Office 文档存在一处零日漏洞（ CVE-2017-8759 ），允许黑客操控受影响系统、安装间谍程序 FinSpy、更改或删除原始数据，以及诱导受害用户打开电子邮件下载特制文档或恶意应用程序。 FireEye 研究人员表示，资金充足的网络间谍组织于今年 7 月就已利用该漏洞传播恶意软件 FinSpy，其主要瞄准讲俄语的用户展开网络攻击活动。 FinSpy 是一款监控软件，由英国 Gamma 组织开发，并仅面向政府与执法机构出售，但隐私倡导者推测该软件也可能被售于专制政权机构。此外，FireEye 研究人员经调查发现间谍软件 FinSpy 在近期的攻击活动中 “ 使用 ” 了混淆代码与内置虚拟设备，以便隐藏受害系统内部进行反分析监控。 一旦受害系统感染恶意软件，FinSpy 不仅能够录制所有通信来电与短信消息，还可远程开启目标设备的摄像头、麦克风，以及实时定位与跟踪用户设备。目前，研究人员尚不清楚有多少用户已被攻击，也不了解此次攻击活动是否与俄罗斯政府有关。不过，好在作为微软每月安全更新的一部分，研究人员已发布漏洞修复补丁。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，网络安全公司 Kromtech 研究人员发现逾 4,000 台 ElasticSearch 服务器遭两款流行恶意软件 AlinaPOS 与 JackPOS 肆意感染，其中美国地区受影响情况最为严重。然而，相关调查显示，虽然受感染日期最早可追溯至 2016 年，但最近一次恶意传播发生在今年 8 月。另外，值得注意的是，近 99% 的受感染服务器托管于亚马逊网络服务（ AWS ）中。 恶意软件 AlinaPOS 与 JackPOS 自 2012 年以来一直存在且颇受网络犯罪分子欢迎。此外，研究人员发现这两款恶意软件早前就已在暗网出售并被广泛传播。 图一：2012 – 2014 年 PoS 恶意软件传播数量图 近期，Kromtech 安全研究人员通过搜索引擎发现超过 15,000 台 ElasticSearch 服务器无需安全验证即可登录访问，其中逾 4000 台（约 27%）ElasticSearch 命令和控制（C＆C）服务器存在 PoS 恶意软件。研究人员表示，攻击者使用 ES 服务器的主要原因是因为它们的配置不仅允许读取文件，还可以在无需额外确认下输入/安装外部文件。此外，部分 ElasticSearch 服务器访问无需身份验证，因此允许攻击者对暴露的实例进行完全管理控制，这也为攻击者开辟了一系列可能性，即从隐藏资源与远程代码执行开始，完全破坏此前保存的所有数据。 图二：研究人员检测结果 Kromtech 研究员 Bob Diachenko 在博客中写道：“为什么是亚马逊 AWS ？因为亚马逊网络服务提供免费的 T2 micro（EC2）实例，且存储磁盘空间最高可达 10 GB。与此同时，T2 micro 只允许安装在 ES 1.5.2 与 2.3.2 版本中使用 ”。目前，每台受感染的 ES 服务器不仅具备 POS 恶意软件客户端的命令与控制（C&C）功能，还可作为 POS 僵尸网络的其中一处节点，允许攻击者从 POS 终端、RAM 存储器或受感染的 Windows 设备中收集、加密与转移用户私人信息。 图三：恶意软件 AlinaPOS 与 JackPOS 漏洞攻击分布 Kromtech 已通知受影响公司并试图与亚马逊取得联系，不过亚马逊尚未作出任何置评。然而，对于使用 ElasticSearch 服务器的用户来说，研究人员建议他们正确配置服务器、关闭所有未使用的端口、检查日志文件、网络连接，以及流量使用情况。 原作者：India Ashok， 译者：青楚     本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 9 月 12 日报道，国际足球联合会（ Fifa ）于本周证实，英国足球协会（ FA ）已写信表达自身对黑客组织可能秘密监控足球协会网络系统、窃取球员机密信息的担忧，旨在要求他们在 2018 年俄罗斯世界杯期间加强网络系统安全。 随着俄罗斯黑客组织 “ 花式熊 ” 于去年入侵世界反兴奋剂机构 （WADA）网络系统并曝光大量服用违禁药物的金牌得主后，今年开始将注意力转向足球。8 月，该黑客组织从足球管理机构以及足球协会的往来邮件中截取一批足坛涉 “ 禁药 ” 运动员名单并在线曝光。据悉，泄露名单包括在 2010 年南非世界杯期间，被相关机构允许使用违禁药物治疗的 25 名顶级球员信息。因此，英国足球协会极其担忧其球员信息已遭黑客窃取。 目前，安全专家仍在调查该起事件，以确定国际足联的基础设施是否受到损害。不过，专家警告称，酒店、咖啡馆与机场的 WiFi 连接都可能成为黑客攻击的目标地点。此外，他们推测 “ 花式熊 ” 在线泄漏各球员信息，旨在报复世界反兴奋剂机构于去年发表调查报告揭露俄罗斯运动员使用兴奋剂参赛一事。 原作者：Jason Murdock， 译者：青楚     本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 9 月 12 日消息，网络安全公司 Armis 研究人员此前在蓝牙协议中发现 8 处零日漏洞，允许黑客远程操控 Android、iOS、Windows 与 Linux，甚至使用短距离无线通信技术的物联网设备。目前，这些漏洞影响逾 53 亿受害系统，其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow （ 6.x ）或更旧版本的 Android 设备、运行 Linux 版本的数百万智能蓝牙设备，以及商业与面向消费者的 Linux 平台（ Tizen OS ）、BlueZ 与 3.3-rc1 系统。 据悉，安全公司第一时间将漏洞上报至谷歌、苹果、微软、三星与 Linux 基金会。其 8 处漏洞分别是： Ο Android 设备中存在信息泄露漏洞（CVE-2017-0785） Ο Android 蓝牙网络封装协议（BNEP）服务中存在远程执行代码漏洞（CVE-2017-0781） Ο Android BNEP 个人区域网络（PAN）配置文件中存在远程执行代码漏洞（CVE-2017-0782） Ο Android 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞（CVE-2017-0783） Ο Linux 内核中存在远程执行代码漏洞（CVE-2017-1000251） Ο Linux 蓝牙堆栈（BlueZ）中存在信息泄漏漏洞（CVE-2017-1000250） Ο Windows 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞（CVE-2017-8628） Ο Apple 低功耗音频协议存在远程执行代码漏洞（CVE Pending） 然而，安全研究人员近期利用上述漏洞构建了一组攻击场景 “ BlueBorne ”，允许攻击者完全接管支持蓝牙的设备、传播恶意软件，甚至建立 “ 中间人 ”（MITM）连接，从而在无需与受害者进行交互时访问设备关键数据与网络。不过，要想快速实现攻击，除受害设备的蓝牙处于开启状态外，还需在攻击设备连接范围内。 另外，Armis 研究团队负责人 Ben Seri 在研究漏洞期间发现，他的团队成功创建了一个僵尸网络，并可以使用 BlueBorne 攻击顺利安装勒索软件。Seri 表示，即使是一个技术老成的黑客也难以利用这些漏洞发起全球性蠕虫攻击，因为很难同时满足条件：所有设备支持蓝牙功能、同时针对所有平台发起攻击、利用一台受害设备自动传播恶意软件。 目前，Google 与 Microsoft 已经为其客户提供了安全补丁，而运行最新版本的移动操作系统（即 10.x）的 Apple iOS 设备也是安全的。不过，Android 用户还需等待其设备厂商发布修复补丁。在此期间，研究人员建议用户可以从 Google Play 商店安装 “  BlueBorne 漏洞扫描器 ”，以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击，建议用户在不使用设备时将蓝牙关闭。 原作者：Swati Khandelwal，编译：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 9 月 11 日报道，美国中央情报局（ CIA ）正通过开发人工智能程序访问、收集与检索社交媒体情报。 美国 CIA 技术开发副主任 Dawn Meyerriecks 在情报与国家安全峰会上发表声明，宣称该机构目前正开展逾 137 个不同人工智能项目作为未来发展计划的一部分，其中多数由硅谷科技公司与 CIA 开发人员共同创建。 由于数据分析的不断发展，人工智能开始走进社交媒体平台，旨在通过公共记录收集目标用户重要信息。虽然从社交媒体收集数据的行为绝非新鲜事件，但利用人工智能做到这一点却有所不同，因为就单单收集数据的数量与速度来说较其他技术有所提高。 目前，尚不清楚 CIA 监控目标是谁，也不了解他们想要什么，以及用户公共资料被审查程度。不过，根据美国国防部的一份报告显示，CIA 运行的 137 个项目中，AI 可以根据数据与相关事件预测未来事件并自动标记视频，以便分析人员日后查看。国家地理空间情报局局长 Robert Cardillo 表示：“ 人工智能似乎是一个自然而然的进展，如果我们手动操作，预计未来 20 年的卫星图像将需要八百万分析人员共同进行。另外，我们希望人工智能能够将分析人员 75％ 的工作量进行自动化处理 ”。 原作者：Immanuel Jotham，编译：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  9 月 11 日消息，安全研究人员 Pierre Kim 近期发现台湾网络设备制造厂商生产的 D-Link 850L AC1200 双频 Gigabit 无线路由器（A、B 两个版本）存在十处零日漏洞，允许攻击者在拦截流量、上传恶意固件并获取 root 权限时远程劫持与控制受影响网络，致使所有连接设备遭受黑客攻击。目前 10 处漏洞均未被修复。 据悉，虽然 Pierre Kim 于去年发现并报告 D-Link-932B LTE 路由器存在多处高危漏洞，但并未引起公司重视。随后，类似事件于今年 2 月再次发生，研究人员发现 D-Link 产品存在 9 处安全漏洞。不过，公司仍未作出任何响应。因此，Pierre Kim 此次发现漏洞后选择公开具体细节并呼吁 D-Link 能够妥善解决此类问题。以下是 Pierre Kim 发现的 10 处零日漏洞列表，主要影响 D-Link 850L  Rev A 与 B 版本路由器： Ο 缺少适当固件保护：由于不存在固件镜像保护，因此攻击者可以向路由器上传新恶意固件。D-Link 850L Rev A 的固件完全没有保护，而 D-Link 850L RevB 的固件虽然受到保护，但使用硬编码密码。 Ο 跨站点脚本（XSS） 漏洞：D-Link 850L  A 路由器的 LAN 与 WAN 极易遭受 XSS 攻击，即允许攻击者使用经身份验证的用户账号窃取敏感数据。 Ο 检索管理员密码：D-Link 850L RevB 的 LAN 与 WAN 也很脆弱，允许攻击者检索管理员密码并使用 MyDLink 云协议将用户路由器系统添加至攻击者帐户，以便获取访问权限。 Ο 云协议薄弱：该漏洞将会影响 D-Link 850L RevA 与 RevB 版本路由器。MyDLink 协议利用未加密 TCP 通道，或将影响路由器与 MyDLink 帐户之间的通信协议。 Ο 后门访问：D-Link 850L RevB 路由器通过 Alphanetworks 进行后门访问，允许攻击者在路由器上获取 root shell。 Ο 在固件中使用硬编码专用密钥：D-Link 850L RevA 与 RevB 两者的固件中使用硬编码专用密钥，从而允许攻击者在获取后执行中间人（MitM）攻击。 Ο 未进行身份验证检查：允许攻击者通过非认证的 HTTP 请求更改 D-Link 850L RevA 路由器的 DNS 设置，将流量转发至服务器并控制路由器系统。 Ο 文件权限与凭证存储在明文中：D-Link 850L RevA 与 RevB 的本地文件权限与凭证允许攻击者公开访问。此外，路由器以明文形式存储用户凭据。 Ο 预认证 RCE 作为 root：在 D-Link 850L RevB 路由器上运行的内部 DHCP 客户端容易受到命令注入攻击，允许攻击者在受影响设备上获得 root 访问权限。 Ο 拒绝服务（DoS）漏洞：允许攻击者通过 LAN 远程操控 D-Link 850L RevA 与 RevB 后台程序。 对此，研究员 Kim 建议用户切断与受影响 D-Link 路由器的所有连接，以免发生上述攻击操作。此外，美国联邦贸易委员会（FTC）于今年早些时候就已起诉该公司，并指出 D-Link 产品存在安全问题，从而导致数千用户极易遭受黑客攻击。 原作者：Swati Khandelwal，编译：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。