美国有关单位 8 月 24 日表示，中国籍人士俞平安（Yu Pingan，音译）因被控窃取数百万美国政府雇员安全通关纪录于 21 日在洛杉矶国际机场被捕。 据悉，俞平安遭美国联邦刑事指控，即与其他黑客共谋使用恶意软件 Sakula 入侵联邦人事管理局（OPM）后窃取美国国家工作人员敏感信息。调查显示，该起事件首次于 2015 年曝光，其中逾 2000 万公民信息文档被盗，包括 560 万的指纹记录及 420 万美国政府雇员档案。此外，他还被指控向中国黑客提供高级恶意软件，后者则劫持了由 Microsoft 在韩国经营的合法领域。 美国联邦调查局表示，他们在截获俞平安的通讯记录中发现，该黑客早于 2011 年 4 月就已经开始以网名 GoldSun 与中国黑客讨论境外网络攻击与恶意软件使用的相关情况。另外，他们除了在愈平安使用的电子邮件  goldsun84823714@gmail.com 中发现恶意软件 Sakula 样本的解密密钥 “Goldsunfucker” 外，还证实了他在向攻击者提供恶意软件 Sakula 之前就已经与其他网络犯罪分子有过非法交易。目前，联邦调查局还在对该起事件进行深入调查。 本文根据 theregister.co 与 环球网 联合翻译整理，译者：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国国会每年都会通过一项新情报授权法案，旨在为国家未来一年提供最新间谍情报支持。今年，虽然该法案以 14：1 获得参议院情报委员会通过，但其过程存在小小插曲：参议员罗恩·怀登（Ron Wyden）反对新法案为维基解密贴上 “ 非国有敌对情报机构 ”  标签。 美国知名媒体透露，新法案 “ 非国有敌对情报机构 ” 条款一经在线公布后当即惹恼多数执法人员，因为该法案意味着美国情报机构将拥有更多权限调查任一目标网站。然而，Wyden 反对该条款的推出并非在为维基解密辩护，因为该条款一旦推出，将会受到法律、宪法与政策方面的影响，尤其是针对那些为政府调查机密情报的工作团队。此外，美国政府还针对 “ 非国有敌对情报机构 ” 采取一系列未公开行动，这同样令人感到不安。 随后，维基解密在 Twitter 上发表声明，回应美国政府对其日益增加的政策压力。维基解密创始人朱利安·阿桑奇指出，美国国会认为维基解密是 “ 非国有敌对情报机构 ”的想法极其荒谬。在众多媒体机构中，维基解密敢于公开发表并揭露事件真实缘由。与此相比之下，如果该条款适用于维基解密，那么它同样也将约束其他媒体。 长期以来，虽然维基解密在多数场合中泄露有关国家内部的重要信息，但国会不应该在国家面临新挑战的同时，以一种可能对国家宪法产生负面影响的方式做出响应。另外，该参议员此前曾设法对该法案进行过三处修改： ○ 要求美国与俄罗斯联手打击网络犯罪机构、调查黑客行动。如果该计划被推出，国会将必须告知哪些情报需要共享； ○ 要求情报机构上报境外敌对势力使用 SS7 漏洞监控公民设备的证据； ○ 要求美国情报官员与财政部和金融情报机构加强合作，旨在针对俄罗斯犯罪分子在美国的洗钱行为进行深入调查。 目前，该参议员调整后的法案还需提交至众议院与参议院获得修改与批准，但该修正案能否通过，还取决于国会及特朗普的进一步抉择。 原作者：Iain Thomson，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，英特尔安全公司 Mimecast 研究人员 Francisco Ribeiro 于 8 月 22 日发布安全警告，宣称攻击者在无需访问用户收件箱时即可利用新型攻击漏洞 ROPEMAKER 绕过安全检测，远程截取并任意更改已送达邮件。 研究人员表示，该攻击手段利用了电子邮件设计功能，允许攻击者基于 HTML 电子邮件远程更改 CSS（层叠样式表）。一旦受害者电子邮件客户端自动连接到远程 CSS（通常用于检索电子邮件类型）时，允许攻击者利用 ROPEMAKER 漏洞将合法链接替换成恶意网址，或通过更改电子邮件内容嵌入有害信息。 研究显示，虽然该漏洞并不影响 Gmail、Outlook Web Access 或 iCloud 等浏览器电子邮件客户端，但 Microsoft Outlook 、Apple Mail 以及 Mozilla Thunderbird 都能成为 ROPEMAKER 漏洞牺牲品。目前，攻击者可采取以下两种方式通过远程 CSS 利用 ROPEMAKER 漏洞展开攻击活动： 第一种方式：允许攻击者调用交换机后发送远程 CSS 代码，以便将合法 URL 转换为恶意 URL。虽然这两个 URL 均以原始电子邮件发送，但攻击者可以通过远程编辑 CSS，从而在邮件中隐藏/显示特定恶意链接。 第二种方式：称为 “ 矩阵漏洞利用 ”，允许攻击者按字符发送 ASCII 文本矩阵后使用远程 CSS 控制收件人最终显示的电子邮件内容。这种攻击方法难以预防，因为电子邮件过滤服务器无法检测仅存在字符的目标网站。此外，攻击者还可通过伪装 ASCII 文本中的恶意链接，规避安全软件检测并更好的诱导受害者点击恶意网站。 目前，虽然研究人员尚未发现 ROPEMAKER 漏洞已被攻击者大规模利用，但这并不意味着攻击者没有在其他领域使用，也不意味着攻击者没有借用 ROPEMAKER 组件进行其他攻击活动。 原作者：Tom Spring，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基实验室（ Kaspersky  Lab ）研究人员于  23 日发布《 2017 年 Q2 垃圾邮件与网络钓鱼分析报告》，指出在全球电子邮件流量中垃圾邮件的平均份额已达到 56.97％，相比上一季度增长 1.07 个百分点。调查显示，其中多数群发的垃圾邮件均以各种研讨会与培训为主题附带恶意软件进行肆意传播。 图一：2017 年第二季度十大最受 “ 欢迎 ” 的恶意软件家族 报告指出，卡巴斯基反钓鱼系统于 2017 年第二季度成功阻止全球用户超过 4650 万次的网络钓鱼页面访问。目前全球有 8.26% 的目标用户受到 “ 钓鱼者 ” 攻击，值得注意的是，“ 钓鱼者 ” 在早期攻击活动中依靠用户的粗心与低水平技术窃取敏感数据，然而，随着用户变得越来越精通网络，钓鱼者不得不想出新颖的花样引诱用户访问钓鱼网站，比如伪造知名组织域名。 图二：攻击者伪造苹果域名页面 研究人员表示，巴西（18.09％）是 2017 年第二季度受到网络钓鱼攻击影响最大的国家，尽管其份额比上季度下降 1.07 个百分点。此外，遭受攻击的中国用户百分比下降 7.24 个百分点（达 12.85％），目前居全球第二。 图三：2017 年第二季度受网络钓鱼攻击最为严重的十大国家 图四：2017 年第二季度反钓鱼系统被触发的用户数量分布 图五：2017 年第二季度垃圾邮件来源国家 研究人员在不同类别的金融组织中发现，银行（23.49％，-2.33 pp）、支付系统（18.40％，+4.8 pp）与在线商店（9.58％，-1.31 pp）是 2017 年第二季度网络钓鱼攻击的主要目标。 图六：2017 年第二季度，不同类别的金融组织受网络钓鱼攻击影响分布 卡巴斯基研究人员提醒用户不要轻易点击非官方域名或打开未知名电子邮件、关闭网络文件共享功能并确保用户安装全方位杀毒软件以避免遭受网络钓鱼攻击。 卡巴斯基详细报告内容请点击右侧链接《 Spam and phishing in Q2 2017 》 原作者：Kaspersky  Lab， 译者：青楚    本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，美国海军第七舰队于 8 月 21 日发布声明，指出 “ 约翰 · 麦凯恩 ” 号导弹驱逐舰于当天在新加坡东部沿海地区与一艘商船相撞，导致 10 名船员失踪、5 名受伤，其船体与船舱也遭到严重损坏。这已是今年美国军舰发生的第四起碰撞事故，研究人员推测此类事故或与黑客入侵军舰系统有关。 此前美国军舰发生的碰撞事故还有： ○ 2017 年 1 月：美国 “ 安蒂塔姆 ” 号巡洋舰在日本横须贺附近海域触礁，至今仍未恢复执勤； ○ 2017 年 5 月：美国 “ 张伯伦湖 ” 号巡洋舰在朝鲜半岛外海与一艘渔船相撞，造成 7 名船员丧生、3 名受伤； ○ 2017 年 6 月：美国 “ 菲茨杰拉德号 ” 驱逐舰在日本横须贺港西南部海域与一艘菲律宾籍货船发生碰撞。 美国海军作战部长 John Richardson 宣称，由于 “ 约翰·麦凯恩 ” 在马六甲海峡发生事故，美军将对全球舰队进行调查并暂停为期一天的航海运行。此外，虽然调查人员表示，“ 约翰·麦凯恩 ” 碰撞原因可能是机械或系统程序失灵导致转向失败，但这也并不能排除美国军舰被黑的可能 。目前，美军在联合新加坡、马来西亚展开搜索救援的同时，仍在针对军舰系统进行深入调查。 原作者：Ananya Roy，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 22 日报道，安全公司 FireEye 研究人员 Zain Gardezi 与 Manish Sardiwal 近期发现：黑客利用 Neptune 漏洞开发工具包通过合法网站弹出的虚假广告将用户重定向至特定网页，并利用浏览器漏洞投放挖矿工具。 图1. 遭受 Neptune 漏洞开发工具包影响的国家分布情况 调查显示，攻击者在某知名徒步旅游网站上伪造看似 “ 合法 ” 的弹出式广告窗口，诱导用户点击后重定向至特定页面，并通过检测 IE 浏览器漏洞确定是否投放挖矿工具。这些虚假广告多数情况出现在高流量领域或多媒体托管网站。一旦用户被重定向后会立即下载恶意软件。目前，研究人员尚未透露弹出式广告服务商名称，但强调了该企业在 Alexa 排名前 100。 漏洞开发工具包的登录页面运行多处漏洞，其中包括瞄准 IE 网站展开攻击的三处漏洞（ CVE-2016189、CVE-2015-2419、CVE-2014-6332），及以 Flash 为目标的两处漏洞（CVE-2015-8651、CVE-2015-7645） 。 研究人员表示，此类攻击活动主要是黑客通过开发工具包领域的统一资源标识符（URI）将 payload 作为普通可执行文件运行。目标设备被感染后就会尝试使用攻击者电子邮件地址账号登录到加密货币采矿池 minergate[.]com。 图2. 虚假广告页面 原作者：Chris Brook，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 8 月 21 日消息，流行加密货币投资平台 Enigma 于近期在线发布声明，指出黑客已成功入侵官网系统、slack 账户及电子邮件通讯账号，并已窃取价值逾 47.1 万美元以太币。 调查显示，黑客通过网站通讯传播附带虚假以太坊（ ETH ）地址的预售页面并诱导用户点击汇款： 0x29d7d1dd5b6f9c864d9db560d72a 247c178ae86b 即使该虚假地址已被以太网区块链的流行搜索引擎 Etherscan 标记为 “ 垃圾网站 ”，但仍有部分 Enigma 用户向该地址汇款。目前，黑客在收到超过 1,487.90 以太币后开始秘密转移资金。安全专家表示，尚不清楚黑客如何进入 Enigmas 网络系统并劫持网站及相关用户账号。 Enigma Project 在博客中写道：“当我们努力构建数据、加密交易并思考未来投资时，我们更应该多花点时间探讨一下安全问题。因为以太币社区已成为黑客攻击的首选目标 ”。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 21 日报道，趋势科技（ Trend Micro ）研究人员近期发现加密货币勒索软件 Miner，允许黑客利用 Windows 管理工具 WMI 与安全漏洞 “ 永恒之蓝（EternalBlue）” 进行肆意传播。据悉，该勒索软件首次于今年 7 月发现，受其影响最严重的国家包括日本（43.05%）、印度尼西亚（21.36%）、台湾（13.67%）、泰国（10.07%）等。 图1. 2017 年 7 月至 8 月感染勒索软件 Miner 分布情况 研究人员表示，该勒索软件使用 WMI 作为无文件持久性机制，即由 WMI Standard Event Consumer 脚本应用程序（scrcons.exe）执行。此外，Miner 还使用 EternalBlue 漏洞感染系统网络。研究显示，无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。 Miner 的感染流程分为多个阶段。首先，Miner 感染目标系统后会通过 EternalBlue 漏洞删除并运行系统后门（BKDR_FORSHARE.A）；其次，系统在安装各种 WMI 脚本后，会将其连接到 C＆C 服务器并获取指令；最终，目标系统将下载运行该恶意软件与其相关组件进行肆意传播。 图2. 感染流程 目前，安全专家提醒各机构 IT 管理员限制或禁用 WMI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外，管理员也可选择禁用 SMBv1 以减少设备进一步受到危害。 附：趋势科技原文报告《 Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filelessly 》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司 Check Point 于 8 月 21 日发布最新报告《 全球恶意软件威胁影响指数 》，指出 7 月十大最受 “ 欢迎 ” 的恶意软件。其中，广告恶意软件 RoughTed 影响全球组织的比率虽然由 28％ 下降至 18%，但目前仍名列榜首。以下是全球十大最受 “ 欢迎 ” 恶意软件列表（箭头代表与上个月相比的改变）： 1、↔广告恶意软件 RoughTed：大规模传播网络诈骗、广告软件、漏洞工具包与勒索软件相关恶意网站与负载链接，不仅可以攻击任意类型的平台与操作系统，还可绕过广告拦截器与指纹识别功能，提高了黑客攻击的成功率。 2、↑HackerDefender Rootkit：用于隐藏 Windows 用户设备文件、进程与注册表项，还可作为后门与重定向器通过现有服务打开 TCP 端口。在这种情况下，无法采用传统手段找到隐藏后门。 3、↓浏览器劫持软件 Fireball：是一款功能齐全的恶意软件下载程序，允许攻击者在受害者设备上执行任意代码、进行登录凭据窃取、恶意软件安装等广泛操作。 图一：浏览器劫持软件 Fireball 4、↑多用途机器人 Nivdort：又名 Bayrob，用于收集密码、修改系统设置、下载其他恶意软件，通常利用垃圾邮件进行大规模传播，收件人地址以二进制编码确保唯一性。 5、↑Conficker 蠕虫：允许攻击者远程操作、下载恶意软件。僵尸网络控制受感染设备并联系 C＆C 服务器接收指令。 6、↓勒索软件 Cryptowall：最初是一款加密软件，经过扩展后成为当下最知名的勒索软件之一，主要特色是 AES 加密与 To r匿名网络 C＆C 通信，其通过入侵工具包、恶意广告软件与网络钓鱼活动传播。 7、↑银行木马 Zeus：通过捕获浏览器中间人（Man-in-the-Browser，MitB）按键记录与样式窃取银行账户信息。 图二：宙斯 Zeus 8、↑Pykspa 蠕虫：通过从设备中提取个人用户信息，并使用域名生成算法（DGA）与远程服务器进行通信。 9、↑木马 Pushdo：除了可以感染系统、下载 Cutwail 垃圾邮件模块外，还可用于安装其他第三方恶意软件。 10、↑恶意软件 Hancitor：允许攻击者在目标机器上安装银行木马或恶意软件下载器。通常，Hancitor 也被称为 Chanitor，因为攻击者可以通过发送附带恶意软件的邮件、传真或发票感染收件人网络系统。 此外，Check Point 专家还在该报告中指出 7 月份全球三大最受 “ 欢迎 ” 的手机恶意软件： 1、间谍软件 TheTruthSpy：允许攻击者隐匿安装并跟踪与记录设备数据。 2、黑客工具 Lotoor：允许攻击者通过 Android 操作系统漏洞在受攻击的移动设备上获得 root 权限。 3、恶意软件 Triada：适用于 Android 模块化后门程序，可利用管理员权限下载恶意软件并将其嵌入至移动设备系统进程。 调查显示，虽然来自具有高度传染性恶意软件变种影响各组织的几率在不断减少是件令人鼓舞的事情，但这并不意味着他们可以放松警惕。尽管恶意软件 RoughTed 影响规模有所下降，但在七月仍有近五分之一的组织受到感染。一旦关闭攻击者通道，网络犯罪分子仍会迅速设计出新恶意软件形式，使每个行业的组织都必须采用多层次方式保障自身网络系统安全。 稿源：Check Point，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 20 日报道，前美国国家安全局（NSA）合同制员工爱德华·斯诺登（Edward Snowden）最新曝光的 NSA 文档揭露了美国在澳大利亚北部偏远小镇设立的一家秘密设施机构，以密切监测无线通信信号、协助美军展开军事行动。  调查显示，该文档来自斯诺登于 2013 年从 NSA 窃取的大量机密资料，介绍了美国政府全球监控计划的规模。美国知名新闻媒体 The Intercept 在线公布该机密文档详细内容，其中提及了这家代号为 “ Rainfall ”、正式名称为 “ Pine Gap 联合防务设施 ” 的秘密机构。 Pine Gap 位于爱丽丝泉城外，以支持美国与澳大利亚的国家安全为目标，部署了帮助美军特种部队与无人机设施定位目标的先进卫星技术，在核查军控与裁军协议并监督军事发展方面做出重大贡献。此外，Pine Gap 实际功能要比澳大利亚或美国政府公开承认的能力更为强大。 Pine Gap 使用的卫星 geosynchronous 位于地表上空逾 20,000 英里的轨道，其通过配备强大的监控地面无线通信信号（例如：移动设备、无线电与卫星上行链路发射与接收的信号）技术实现 “ 对地同步 ”。据透露，这些卫星除收集军事战略与战术、科学、政治、经济通信信号、密切关注目标国家导弹或武器测试外，还窃取境外国家军事数据系统情报、为美军提供监控支持。 此外，该设施机构不仅收集信号，还会对其进行分析，因为它几乎可以对地面至太空的导弹、高射炮或战斗机进行侦测、收集、记录、处理、分析与输出报告。据《悉尼先驱晨报》于 2013 年报道，Pine Gap 在一项颇具争议的美军无人机行动中扮演重要角色，导致数百名无辜平民伤亡。 五眼联盟成员内部分享秘密情报并不罕见，但在特朗普领导下，无人机与特种部队作战数量较以往翻一番，这在一定程度上放松了防止空袭造成平民伤亡的战场规则，尽管 Pine Gap 官员一再声辩将平民伤亡数量减少到最小程度属于高优先级。 原作者：Check Point，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接