据外媒 8 月 16 日报道，安全专家近期发现黑客试图通过多次尝试，暴力破解苏格兰议员电子邮件登录凭证，或将窃取议会重要信息。        调查显示，虽然苏格兰议会（ Holyrood ）官员尚不清楚黑客在攻击期间是否成功入侵任何电子邮件帐户，但 Holyrood 议员及工作人员已被要求使用更复杂的字母、数字与特殊字符组成的混合密码保护个人信息。此外，安全专家通过检测发现，多数议员账户密码较为薄弱。 Holyrood 首席执行官 Paul Grice 通过内部电子邮件告知议会工作人员： “ 相关检测数据显示，我们已经成为暴力网络攻击目标。然而，此次攻击活动中黑客主要袭击议会 IT 帐户，其影响与此前 6 月份的威斯敏斯特议会攻击事件相似 ”。 据悉，虽然议会 IT 专家于早期就已发现这一迹象并当即实施安全措施，但目前他们尚不了解黑客真实身份与具体动机。 稿源：India Ashok， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客组织 “ 31337 ” 于 7 月 31 日在线公开泄露一份逾 337MB 的 PST 文件并发表声明，宣称自 2016 年起通过入侵 Mandiant 公司高级威胁情报分析工程师 Adi Peretz 电脑获取大量内部资料，其中包含公司内部邮件、网络拓扑结构、以色列国防军队的威胁情报概况和公司工作列表等数据。 网络安全公司 FireEye 经调查后于 8 月 7 日发表正式声明，指出尚未发现任何迹象表明黑客已入侵公司内网，而黑客在线公开发布的文件大部分是从受害者此前个人帐户中获取，或是黑客自身创建的屏幕截图。 据外媒 8 月 15 日报道，黑客组织 “ 31337 ” 再次泄露 Mandiant 转储数据，其中包含以色列银行 Hapoalim 的有关文件以及安全公司 Illusive Networks 的取证报告。 据悉，此次泄露的转储数据相对较少，仅包含 3MB 左右的文件压缩包。FireEye 在发现此事后当即展开调查，但情况依旧如此：尚无任何证据表明攻击者损害或访问公司内网。目前，仍不知晓黑客发起泄漏事件的动机有无经济利益驱使，还是仅仅想要损害网络安全公司的声誉。但作为第二次泄漏事件的一部分，黑客还在 Pastebin 网站发布一条消息，高调嘲弄 FireEye 能力。此外，他们还在泄露信息中 “ 特别感谢 ” 黑客组织 APT 28 与影子经纪人的赞助支持。 黑客写道：“ 你猜怎么着，我们就是要惩罚那些只关心股票份额的富人 ”。 FireEye 研究人员表示，虽然目前尚不清楚黑客泄露的最新数据是否来自 Mandiant 员工帐户，也不了解黑客背后的真实身份，但 FireEye 正联合执法部门继续调查此次事件并尽力解决泄露问题。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 15 日报道，Check Point 研究人员近期发布安全报告，指出一名尼日利亚黑客利用网络钓鱼邮件在过去 4 个月内针对全球超过 4000 家组织展开网络攻击活动，旨在感染企业网络系统、窃取银行数据并进行诱导欺诈，其中涉及多家关于石油、天然气、银行与建筑等行业的国际知名公司。 研究人员经调查后发现，黑客伪造来自世界第二大石油生产厂商沙特阿拉伯国有石油公司（Saudi Aramco）的银行密件抄送给众多目标企业的内部财务人员邮箱，以诱导他们披露更多公司财务信息，或点击下载感染恶意软件 NetWire 及 Hawkeye 附件。其中，受影响公司主要包括克罗地亚海洋能源解决方案公司、阿布扎比运输公司、埃及矿业公司、迪拜建筑公司、科威特石油与天然气公司与德国建筑机构。 恶意软件 NetWire 是一种远程访问木马程序，可以完全控制受感染机器，而 Hawkeye 是一种键盘记录程序，允许黑客获取敏感信息。 知情人士透露，黑客在此次攻击活动中成功感染 14 家企业并赚取数千美元。值得注意的是，虽然该名黑客技术水平较低且使用的恶意软件普遍简单，但该攻击操作仍然有效，这意味着商业电子邮件攻击（BEC）的危害极其严重。 研究人员表示，除网络攻击造成的经济损失外，该黑客使用的恶意软件可以从受感染设备中收集各种信息，这些信息的价值远超过欺诈所获得的数千美元。令人震惊的是，攻击者还设法破坏多家大型组织的防御体系，并在雷达监控下分发恶意软件。对此，研究人员强烈建议所有企业机构增强系统安全性能，防止发生网络钓鱼与企业电子邮件泄漏，并提醒企业雇员谨慎打开未经安全软件检测的电子邮件。目前，Check Point 研究团队已联合尼日利亚国际执法部门展开深入调查。 稿源：Check Point，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 14 日报道，网络安全公司 Rapid7 专家近期通过分析远程桌面协议（ RDP ）端点的数据时发现 RDP 在线暴露逾了 410 万台 Windows 终端。 Rapid7 曾于今年 5 月发表一份研究报告，揭示数百万设备因 SMB、Telnet、RDP 与其他类型的配置错误遭受网络攻击。相关数据显示， 今年第一季度的 RDP 开放终端与 2016 年初（ 1080 万台 ）相比 “ 减少 ” 360 万台。 安全专家指出，即使用户在 Windows 上默认禁用 RDP 协议，它通常也会允许管理人员在内部网络中运行与维护。据悉，微软自 2002 年以来就已处理过数十处 RDP 漏洞，其中包括影子经纪人曾在线曝光的安全漏洞 EsteemAudit（CVE-2017-0176），旨在攻击远程桌面协议服务（ 端口 3389 ）。远程桌面协议攻击是恶意软件分发的特权攻击载体。目前，多数恶意软件已使用远程桌面协议（CrySiS、 Dharma 与 SamSam）作为攻击来源系统。 Rapid7 研究报告显示，多数暴露的远程桌面协议端点（28.8％，或超过 110万）位于美国，其次是中国（17.7％，约 73 万）、德国（4.3％，约 177,000）、巴西（3.3％，约 137,000）与韩国（3.0％，约 123,000）。然而，专家注意到，与暴露的 RDP 端点相关联的 IP 地址组织，多数属于亚马逊（7.73％），其次是阿里巴巴（6.8％）、微软（4.96％）、中国电信（4.32％）等。 Rapid7 报告显示，目前超过 83％ 的远程桌面协议终端愿意继续使用 CredSSP 作为安全协议验证与保护 RDP 会话，而逾 15％ 的终端因极易遭受中间人攻击不再继续支持 SSL / TLS 协议。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 14 日报道，网络安全公司 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 瞄准美国国防承包商展开新一轮网络钓鱼攻击活动。 Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。 研究人员在分析恶意代码、诱导文件与基础设施后发现，APT 组织 Lazarus 利用内含恶意 Microsoft Office 文档的钓鱼邮件传播宏病毒。值得注意的是，该恶意邮件以美国国防承包商招聘雇员为主题诱导用户点击下载，文件内容伪装成合法公司网站上的工作职能与内部政策的英文描述。 Lazarus 在此次攻击活动中采用的黑客工具策略与以往相比大同小异，其中在 XOR 密钥中使用宏解码植入有效载荷以及在有效负载中将宏病毒输入磁盘的功能均具有重叠部分，这意味着该组织持续使用同一黑客工具展开攻击活动。此外，相关诱导文件、有效负载、命令与控制（C&C）服务器之间也存在许多联系。对此，研究人员推测 Lazarus 正忙于全球业务扩张。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 11 日报道，英国 “ 军情五处 ”（MI5）前局长洛德·埃文斯在接受 BBC 广播电台采访时声称反对削弱加密应用程序，尽管当前加密技术已成为调查恐怖主义案件的障碍，但获取通讯的能力已逐渐被恐怖分子 “ 侵蚀 ”。 埃文斯表示：“我个人并不认为我们应该削弱加密技术，因为目前存在一个同等重要的问题，那就是网络安全的涉及更加广泛。虽然我们对反恐有着强烈的担忧，但这并非国家面临的唯一安全威胁。加密技术对于我们的商业与安全利益都极其重要。” 埃文斯与前任总理罗伯特·汉尼根（Robert Hannigan）的观点一样，反对建立后门打造端对端加密（e2）计划作为拦截恐怖分子通讯的手段。汉尼根认为，最实际的解决方案是检测并跟踪滥用加密系统的恐怖分子。然而，英国内政部长阿伯·鲁德（Amber Rudd）对移动通讯服务的评论与上述观点形成鲜明对比，前者在近期发生的恐怖袭击事件后就提供了端到端加密服务技术。 原作者：John Leyden ，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 8 月 14 日消息，上个月卡巴斯基实验室发现 Netsarang 开发的远程终端模拟软件 Xmanager、Xshell、Xftp、Xlpd 等产品 nssock2.dll 模块源码被植入恶意后门。目前，研究人员已在 Xshell 5.0.1322 与 Xshell 5.0.1325 两个版本中确认后门存在。 Xshell 是一款强大的安全终端模拟软件，支持 SSH1、SSH2， 以及 Microsoft Windows 平台的 TELNET 协议。Xshell 通过互联网到远程主机的安全连接以及它创新性的设计与特色帮助用户在复杂的网络环境中享受他们的工作。此外，Xshell 还可以在 Windows 界面下访问不同系统下的服务器，从而较好的达到远程控制终端的目的。（百度百科） 受影响的产品版本： ○ Xmanager Enterprise 5.0 Build 1232 ○ Xmanager 5.0 Build 1045 ○ Xshell 5.0 Build 1322 ○ Xftp 5.0 Build 1218 ○ Xlpd 5.0 Build 1220 由于国内使用该软件的技术人员众多，存在极大安全风险。如果用户当前使用了上述受影响的 Build 版本，可以通过客户端进行检查更新，或通过官方网站手动下载最新版本以解决问题。此外，Netsarang 厂商已通知防病毒公司隔离/删除受影响的 dll 文件。 目前，官方已于 8 月 5 日发布的最新版本 Xmanager Enterprise Build 1236、Xmanager Build 1049、Xshell Build 1326、Xftp Build 1222 与 Xlpd Build 1224 中修补漏洞。我们强烈建议用户尽快全盘查杀病毒并将工具升级至最新版本。 稿源：Netsarang ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 13 日报道，安全公司 Avast 研究人员 Jakub Kroustek 近期发现一款恶意病毒 IsraBye 通过伪装成勒索软件肆意传播并永久损毁系统文件，同时可将用户桌面内容替换成反以色列画面。 以色列政府针对耶路撒冷的阿克萨清真寺采取新安全措施，引发阿克萨危机事件。然而，巴勒斯坦认为这是以色列对伊斯兰教的控制与扩张。调查显示，由于 IsraBye 在阿克萨事件发生不久后被发现，因此研究人员推测该恶意软件的出现并非偶然 。 恶意病毒 IsraBye 由 5 个不同可执行文件组成，其第一个可执行文件名为 IsraBye.exe 。当程序启动时，IsraBye.exe 会自动将以下反以色列字符串消息替换到所有连接驱动器上的文件中： Fuck-israel, [username] You Will never Recover your Files Until Israel disepeare 事实上 IsraBye 并不会对文件进行加密，而是直接毁坏文件本身内容。一旦完成操作，它将从 IsraBye.exe 可执行文件中提取并启动 4 个名为 Cry.exe、Cur.exe、Lock.exe 与 Index.exe 的文件。其中 Cry.exe 可执行文件将以反以色列的图像取代目标设备的桌面墙纸。 另外，Lock.exe 可执行文件运行以下三个功能：首先，它将寻找 procexp64、ProcessHacker、taskmgr、procexp、xns5 进程并在被检测时终止它们。其次，如果它尚未运行，将启动 Index.exe。最后，它将主 Israbye.exe 文件复制到其他驱动器的 root 目录 ClickMe.exe 中，以便传播恶意软件。 研究人员 Ido Naor 注意到，在 ％Temp％ 文件夹中创建一个名为 ClickMe.exe 的文件，可能会使 IsraBye 在第一次启动时处于崩溃状态。最后，Index.exe 可执行文件将显示锁屏，并提取 wav 文件并进行播放。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 13 日报道，澳大利亚研究人员近期发现攻击者可以使用 USB 端口数据线通过拦截目标系统设备的传输信号秘密窃取敏感数据。这一现象在技术上被定义为 “通道至通道的串扰传输攻击（channel-to-channel crosstalk leakage）”。 研究表明，如果一款恶意设备或被篡改设备插入同一个（外部或内部） USB 集线器上的相邻端口，攻击者则可当即捕获该设备上的敏感信息，也意味着用户密码或其他私人数据存在被盗风险。攻击者将恶意 USB 端口数据线插入相邻端口设备后，能够监视设备数据流、收集数据并将其传输至攻击者服务器。此外，攻击者还可以通过相邻 USB 端口收集任何以未加密形式传输的内容。 研究人员通过改良后的 USB 台灯作为实验研究设备，用于监控目标系统设备上的每一个按键记录并通过蓝牙将数据发送至另一台计算机。随后，攻击者使用计算机上运行的软件进行解密，以捕获正在输入的敏感数据。 USB 端口设计基于一种假设：所有连接都在用户的控制之下，而且一切过程都可信任。不然在数据传输之前，USB 将永远不会安全。 研究人员在测试了 50 余个 USB 装置后发现，超过 90％ 的设备容易遭受此类攻击。因此，研究人员在此提醒用户除非完全信任的情况下，不然请勿将任何重要信息通过 USB 进行连接传输。对于用户来说，这意味着不要连接其他陌生设备；对于安全组织来说，应对整个供应链进行验证以确保设备安全。据悉，研究人员将于下周在加拿大温哥华举办的 USENIX 安全会议上发表该研究报告。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 13 日报道，肯尼亚反对派领袖、总统候选人奥廷加（ Raila Odinga ）近期发表声明，宣称黑客入侵独立选举与边界委员会（ IEBC ）数据库暗中操纵选举结果，导致现任总统肯雅塔（ Uhuru Kenyatta ）再次当选。目前，奥廷加拒绝接受选举结果。 肯尼亚国家人权委员会提供的数据显示，数百名反对派支持者在总统肯雅塔当选后与多地警方发生暴力冲突，导致多人遇害。 调查显示，根据已完成的 94% 选票结果显示，肯雅塔获得 54.4% 的得票率，而奥廷加得票率仅为 44.7%。奥廷加表示，此次选举结果并不真实，黑客利用选举委员会高级 IT 官员 Chris Msando 的登录凭证入侵电子投票系统并展开大规模网络攻击，以成功篡改选举结果，导致其得票落后。 此外，奥廷加还在线公开一份来自 IEBC 服务器的日志记录，以证实黑客将肯雅塔投票结果增加 11％ 后试图隐藏操控记录，但该日志并未得到任何相关专家验证。目前，奥廷加为保护信息来源没有向公众透露更多消息。 原作者：Pierluigi Paganini， 译者：青楚     本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接