HackerNews.cc  9 月 10 日消息，网络安全团队 MalwareHunter 在过去两周内发现黑客组织正通过操控 Facebook CDN 服务器瞄准巴西等地区肆意传播银行木马 Banload 、规避安全检测。 调查显示，黑客通过伪造地方当局的官方通讯域名发送诱导性电子邮件，其内容主要包含一个指向 Facebook CDN 的链接，以便受害用户在不知情下点击感染恶意软件。以下是该黑客组织使用的一个 Facebook CDN 链接与相关垃圾邮件内容。 https://cdn.fbsbx.com/v/t59.2708-21/20952350_119595195431306_4546532236425428992_n.rar/NF-DANFE_FICAL-N-5639000.rar?oh=9bb40a7aaf566c6d72fff781d027e11c&oe=59AABE4D&dl=1 一旦受害者点击链接，系统将会自动下载包含恶意软件的 RAR 或 ZIP 文档。该操作能够调用多数 Windows PC 端上运行的合法程序（即 Command Prompt 或 PowerShell ）来运行编码的 PowerShell 脚本。如果目标系统感染恶意软件，其 PC 端上的 PowerShell 脚本将会下载并运行另一脚本，依次循环，从而感染更多用户设备。此外，研究人员还观察到黑客组织 APT32 也正使用该操作瞄准越南地区展开网络攻击活动。 有趣的是，当受害者来自其他国家或地区时，该攻击链接将会在最后阶段下载一个空的 DLL 文件，从而中断攻击。此外，该款恶意软件结构极其复杂且资源丰富，因此研究人员提醒用户切勿轻易点击任何非可信来源的邮件链接，并始终保持系统杀毒软件更新至最新版本。 原作者：Pierluigi Paganini，编译：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国信用巨头 Equifax 上周证实逾 1.43 亿用户的敏感信息外泄。不过，公司随后上线了一个服务网站，允许用户查询自己的账号信息是否遭到泄漏。但为了同意查询，用户需要放弃自己起诉获得赔偿的合法权利。除此之外，Equifax 还在游说杀死保护数据泄漏受害者的法规。 Equifax 游说的消费数据产业联盟表示：“允许用户起诉公司并不是为大众利益或公益事业服务，企业在当前的法律下将面临严厉的民事责任条款 ”。 不过，研究人员对其网站进行验证时发现，当输入一些看似随机的姓氏与社保号码时，并不能确保返回信息是否准确。例如：任意输入 “ Test ” 作为姓氏、“ 123456 ”作为社保号码时，系统验证输出该公民 “ 可能已受到影响 ”。另外，有趣的是，两名不同用户验证同一账号时，却得到两种不同结果。目前，Equifax 并未作出任何置评。 本文根据 zdnet 与 solidot奇客 联合翻译整理，编辑：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国工控系统网络应急响应团队 ICS-CERT 于 9 月 7 日发布安全警报，宣称史密斯医疗公司生产的 Medfusion 4000 无线注射泵存在八处安全漏洞，允许黑客在未经授权下远程访问系统、修改设备预期操作。其中，该设备最为严重的漏洞（CVE-2017-12725） CVSS 分值为 9.8，与使用硬编码的用户名与密码有关。因此，如果目标用户在该设备上默认配置，那么攻击者将会自动建立无线连接进行远程访问操作。 调查显示，受影响的注射仪器由全球卫生保健专业人员用于控制急性护理药物剂量。例如新生儿或儿科重症监护室以及手术室都将需要此注射仪器传输药物。据悉，研究人员经检测发现高危漏洞主要包括： 缓冲区溢出（CVE-2017-12718）：允许黑客入侵目标系统，并在特定条件下远程执行恶意代码； 未经授权访问（CVE-2017-12720）：如果该设备允许 FTP 连接，那么黑客可在未经授权下远程操控目标系统； 窃取硬编码凭证（CVE-2017-12724）：允许黑客窃取目标系统 FTP 服务器的硬编码凭证； 缺乏主机证书验证（CVE-2017-12721）：允许黑客瞄准目标设备开展中间人（MitM）攻击； 另外，其余漏洞均属于中等程度，即允许攻击者利用它们破坏目标设备的通信与操作模块，并使用硬编码凭证进行 telnet 认证后从配置文件中获取用户密码等敏感信息。 研究人员表示，上述八处漏洞仅影响 1.1、1.5 与 1.6 版本的固件设备。据称，史密斯正试图修复漏洞并计划于 2018 年 1 月发布最新版本 1.6.1 解决问题。与此同时，研究人员建议各医疗机构采取防御措施，包括设置静态 IP 地址、监控恶意服务器网络活动、定期创建备份等方案，直至补丁发布。 原作者：PSwati Khandelwal，编译：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 9 月 7 日报道，网络安全公司 Radware 研究人员近期发现黑客组织 CodeFork 利用新型“无文件”恶意软件“Gamarue”感染目标系统、规避杀毒工具检测，旨在挖掘加密货币 Monero（门罗币）增加自身收益。 黑客组织 CodeFork 自 2015 年以来一直处于活跃状态，其主要通过出售恶意服务（例如：分发电子垃圾邮件、蠕虫病毒或下载恶意程序）攻击目标设备。目前，受害目标已广泛分布于全球不同行业。 调查显示，黑客组织 CodeFork 所使用的恶意软件“Gamarue”具备无文件持久性技术，即允许攻击者绕过目标系统安全检测后通过 C&C 服务器下达指令，从而下载并执行改进版 xmrig.exe（门罗币矿工）挖掘货币。因此，一旦攻击者利用该恶意软件感染目标系统后，其磁盘驱动器上将不会留下任何可疑文件，从而能够使攻击者在受感染机器上停留更长时间传播恶意软件、挖掘加密货币 Monero。此外，在该攻击活动中，“Gamarue”并不会入侵目标设备硬盘驱动器，而是通过已安装应用程序感染内部存储器。 目前，研究人员尚不了解黑客组织 CodeFork 攻击范围，也不清楚当前已有多少目标系统遭受感染。不过，安全专家警示，该黑客组织一定会继续分发恶意软件变种，并寻找最新途径绕过当前保护措施。 原作者：Jason Murdock ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 9 月 7 日消息，网络安全公司 Palo Alto Networks 研究人员近期发现黑客组织正利用一款恶意软件 Babar 新变种操控刚果民主共和国常设理事会（cpcc-rdc.org）官方网站，旨在破坏命令与控制（C＆C）服务器、窃取国家重要信息。 Babar 是一款强大的间谍软件，不仅能够监控当前流行媒体平台（包括 Skype、MSN、Yahoo 等）的通讯记录，还可记录受害用户击键次数，窃取登录凭证等敏感信息。据斯诺登泄露的文件显示，Babar 此前曾被法国情报机构外部安全总指挥部（DGSE ）用于监控伊朗核武器研究机构、欧洲知名企业的金融活动。 调查显示，法国黑客组织 Animal Farm 曾利用该恶意软件瞄准政府机构、军事承包商、媒体企业、私营公司展开攻击活动。然而 PaloAlto Networks 研究人员近期发表声明，宣称 Babar（也被称为 Snowball）最早可追溯至 2007 年。不过，卡巴斯基早于 2015 年就已得出该结论，但当初因缺乏证据并未分享任何相关细节。 研究人员在此次攻击活动中通过分析该恶意软件样本的加载程序发现其代码编译时间戳为 11/09/2007 11:37:36 PM。 研究人员注意到，该恶意软件新变种无法在默认的 Chrome 浏览器上收集信息。不过，Babar 变种新添另一功能，可以导致配置数据加密后以便攻击者以明文形式访问。研究人员通过分析其恶意软件代码与结构后认为，该变种可能由同一黑客组织开发。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 9 月 8 日报道，网络安全公司 Kromtech 研究人员 Bob Diachenko 近期发现国际知名退税公司 MoneyBack 运行了一台不安全数据库，导致逾 400GB 墨西哥游客敏感信息在线泄露，其中包括用户姓名、地址、电话号码、信用卡数据等。 MoneyBack 是一家向国际游客办理退税手续的公司，其全球各零售商店均与该公司合作，并鼓励游客通过境外购物以获得减税优惠。 Bob Diachenko 近期在一篇博客中表示： “ 我们于今年 8 月首次发现该数据库因无密码保护，允许任意黑客轻易访问并通过 MoneyBack.mx 告知用户虚假增值税率以骗取钱财。随后，我们于 9 月 4 日对其进行审查与分析，以便确定影响范围 ”。 研究人员通过扫描 455038 份文件发现，该数据库还包含来自美国、加拿大、阿根廷、哥伦比亚、意大利等多国公民护照信息。此外，他们检测到上传该数据库的第一份文件可追溯至 2015 年，而最近的上传日期为 2017 年 5 月。 据悉，MoneyBack 在该事件曝光后立即修改访问权限以确保用户数据安全。不过，研究人员尚不清楚数据信息是否已被黑客利用。目前，MoneyBack 并未作出任何置评。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  9 月 7 日消息，维基解密（ Wikileaks ）近期在线曝光 “ 盔甲护身 ”（Protego）项目，旨在揭露美国中央情报局（ CIA ）秘密安装导弹控制系统。不过，此次曝光文件并非黑客工具或恶意软件，而是一份间谍控制系统的详细报告。 Protego 是一款基于 PIC 的导弹控制系统，主要由美国国防承包商之一的雷神公司开发，并疑似于 2014-2015 年投入展开。此外，该系统主要安装在配备导弹发射系统（空对空/空对地）的普惠飞机（ PWA ）上。 调查显示，维基解密在线发布了 Protego 项目的 4 份机密文件，以及美国微芯科技公司（ Microchip Technology Inc ）专有硬件/软件手册的 37 份相关文件。调查显示，Protego 系统由独立的微控制器单元组成，且通过加密与认证通道进行数据和信号的转换： Ο 机载 TWA 由 “ 主处理器 ”（MP）与 “ 部署框架 ”（Deployment Box）两部分组成，而这两部分均使用主/从冗余进行分层。 Ο 该导弹系统的本身（“导弹智能交换机”，MSS）、发射管道（ “发射管道智能交换机”，TSS）和套环（发射之前托住导弹的物件）均具有微处理器功能。 Ο 只有在主处理器（MP）从信标接受到有效信号 “In Border”、“Valid GPS”、“No End of Operational Period” 后才能启动导弹。 知情人士透露，雷神也曾在此前的 CIA 泄漏文档中提及 Protego 项目，即主要由美国情报机构负责分析各黑客所使用的 TTP 通信协议。此外，Protego 的名字源自《哈利波特》电影中使用的魔法盾，旨在创造一个保护屏障，以快速进行转移。如果是这样，那么这种导弹控制系统的主要目的大概就是防御外部物理攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，欧盟（EU）28 国国防部部长于 9 月 7 日在爱沙尼亚首都塔林举行了一场联合网络战争演习，旨在测试他们如何从政治与技术角度应对大规模网络攻击与虚假社交舆论传播活动。 相关人员透露，此次演习虚构了一个网络攻击场景，即黑客利用互联网技术与社交媒体宣传手段进行双管齐下攻击、传播虚假消息并引发公民政治抗议活动。不过，各国安全专家将有 90 分钟进行响应。此外，战争演习的主办方还添加了 “ 模拟新闻视频 ”，以便增加真实效果。 安全专家表示，此类网络攻击活动不再遥不可及。美国在 2016 年的总统大选中就遭到类似攻击，疑似与俄罗斯政府有关。据称，黑客组织侵入美国政治学家的网络系统后肆意窃取个人电子邮件并公开泄露。与此同时，他们还利用包括 RT 与 Sputnik 在内的国家新闻媒体故意传播虚假政治舆论。 爱沙尼亚国防部长 Jüri Luik 表示：“ 现今，网络战争演习不管从政治亦或技术角度都极其重要，因为未来我们可能还将面临更多危机。目前，我们将积极面对与欧盟网络防御有关的所有政治问题。我们并非异想天开，我们只是希望各国明白在当今技术手段的快速发展下需要快速的政治响应。随后，我们还将举办另一场名为 CYBRID 2017 的网络战争演习，旨在加强各国网络防御体系 ”。 据路透社报道，俄罗斯自 2014 年占领乌克兰克里米亚后，爱沙尼亚就越来越重视网络战争安全。北约首席执行官 Jens Stoltenberg 在网络战争演习之前向媒体致意：“我们目前在网络领域还将面临更多的机遇与挑战。在过去一年，我们看到黑客针对北约网络系统的攻击数量增加了 60％，好在我们正与欧盟共同努力，以保障各国网络系统安全 ”。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 9 月 6 日报道，继美国私人安全公司 TigerSwan 9,400 份雇佣简历在未受保护的 AWS 数据库上泄露后，安全公司研究人员 Kromtech 再次曝光另一起 AWS 存储数据泄露事件 —— 知名云服务供应商 BroadSoft 未妥善保护时代华纳托管在亚马逊存储服务器的数据，导致逾 400 万客户信息在线泄露，其中包括客户地址、账户设置、电话号码、用户名、MAC 地址、调制解调器硬件序列号等敏感信息。 BroadSoft 是一家知名云服务企业，其上市公司在 80 多个国家拥有逾 600 家服务供应商。BroadSoft 合作伙伴通常与通信、电信、媒体或其他领域的知名企业有关，其中包括时代华纳、AT&T、Sprint、沃达丰等大型公司。此外，在全球排名前 30 的服务提供商中，有 25 家都使用 BroadSoft 基础设施。 调查显示，研究人员 Kromtech 于 8 月底针对该公司基于云服务存储数据库进行安全检查时发现，管理人员因配置错误未关闭服务器公共访问权限，导致任意用户均可匿名访问。因此，攻击者只需使用匿名登录就可从该数据库中窃取想要信息。目前，BroadSoft 并未作出任何置评，而时代华纳在事件发生后当即通知受害用户并告知供应商删除所有数据记录。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，赛门铁克于 9 月 6 日发布安全报告，宣称欧洲与北美能源部门似乎正面临俄罗斯黑客组织 “ 蜻蜓（Dragonfly）”全面攻击风险。调查显示，目前已有数十家境外基础设施遭到黑客针对性攻击，其中多数位于美国。 黑客组织 “ 蜻蜓 ”（又名：“ Energetic Bear ” 或 “ Crouching Yeti ” ）自 2011 年以来一直处于活跃状态，但研究人员表示该组织从 2014 年被曝光后隐藏近两年，随后于 2015 年年底通过部署大规模网络钓鱼邮件复苏并开始展开新一轮攻击活动。据悉，黑客组织 “ 蜻蜓 ” 此前曾依赖暗网中的自定义恶意软件感染目标系统，窃取受害用户重要数据。 调查显示，黑客组织 “蜻蜓” 于 2016 – 2017 年进行了一起以 “ 能源企业发展 ” 为主题的恶意电子邮件分发活动，旨在窃取用户敏感数据。今年，赛门铁克观察到，该组织使用了一款名为 “  Phishery ” 的工具包，而该工具包自去年以来一直于暗网公开发售并允许黑客在用户不知情下入侵目标系统。近期，美国、土耳其与瑞士等多国基础设施疑似遭该黑客组织攻击。 据悉，虽然黑客现已成功控制多数受害系统，但研究人员尚不清楚攻击者最终目标或真正意图。不过，根据黑客长久的控制操作可以推测，攻击者具备政治动机，与早前乌克兰电厂攻击活动存在异曲同工之处，尽管二者之间无明确关系。 目前，虽然研究人员尚不了解该黑客组织真实背景，但他们发现该组织通常使用公开出售的恶意软件或黑客工具包，以便隐匿自身行踪。此外，赛门铁克表示，攻击者最初入侵目标组织系统仅是收集有关资料，以便规划未来网络攻击活动策略。虽然赛门铁克当前并未发布受害者详细信息，但他们指出该黑客组织通常导致能源公司出现电力中断或电网关闭现象。不过，研究人员表示，“黑客完全接管国家关键能源系统”的 “噩梦” 目前也只是推测和理论。 原作者：Jason Murdock， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接