据外媒 8 月 11 日报道，安全公司 FireEye 研究人员近期发现俄罗斯黑客组织 “ 花式熊 ”（ Fancy Bear ）正利用今年四月影子经纪人在线泄露的安全漏洞 “ EternalBlue ”（永恒之蓝，CVE-2017-0143）攻击欧洲与中东部分酒店系统，目前至少有 7 家欧洲与 1 家中东酒店陆续遭到攻击。 黑客组织 “ 花式熊 ” 也被常称为 “ APT28 ”，曾被美方指控干预 2016 年美国总统大选。此外，该组织还入侵过世界反兴奋剂机构 （ WADA ）曝光大量服用过违禁药物的金牌得主。 调查显示，黑客组织 “ 花式熊 ” 起初向酒店雇员发送网络钓鱼邮件，其中包含恶意文件 “ Hotel_Reservation_Form.doc ”。一旦雇员打开该文件，其附带的恶意软件 GameFish 将感染目标酒店网络，并通过 EternalBlue SMB 漏洞横向扩展至整个内部系统，以便远程操控酒店 Wi-Fi 网络。如果黑客成功控制，该恶意软件还将通过开源工具 Responder 窃取客户登录凭证。 研究人员表示，该组织可能主要针对在国外旅行的企业与政府人员，他们经常依赖酒店 Wi-Fi 网络进行办公，因此极易遭受此类攻击。令人疑惑的是，研究人员在检测受感染的酒店系统后发现并没有任何客户身份被盗。然而，在 2016 年秋季发生的另一起事件中，“ 花式熊 ” 曾通过酒店 Wi-Fi 网络盗取客户登录凭证后进行过初步访问。目前，研究人员并不清楚该起攻击活动主要意图。 据悉，由于黑客组织 “ 花式熊 ” 还在继续扩大与完善新型感染载体，因此研究人员在此提醒各酒店管理人员加强网络系统防御体系以保障客户信息安全。 原作者：India Ashok， 译者：青楚     本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 8 月 11 日报道，网络安全公司 SophosLabs 研究人员近期发现银行木马 Emotet 使用频率显著增加，旨在感染目标企业 Windows 操作系统窃取客户银行凭证。 Emotet 是一款银行木马，首次于 2014 年被趋势科技（ Trend Micro ）研究人员发现，其主要以 “ 嗅探 ” 网络活动窃取用户敏感信息闻名。 调查显示，银行木马 Emotet 在此次攻击活动中主要通过垃圾邮件进行肆意传播。据悉，该木马通常夹杂在一个恶意 Microsoft Word 文件中。一旦用户打开，就会自动从承载该软件的多个互联网域名中下载 Emotet。此外，黑客还通过创建存储恶意软件的新 URL 规避安全软件检测。 目前，研究人员尚不清楚在最近的感染事例中，哪些国家的 Windows 操作系统是其主要目标，也并未提及具体受害者人数的统计数据。总而言之，这意味着用户在使用 Windows 操作系统时要以往更加小心恶意软件 Emotet。因此，研究人员提醒用户及时更新软件至最新版本、不要轻易打开未知名电子邮件、关闭网络文件共享功能并确保用户没有默认使用管理员权限。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 8 月 10 日消息，研究人员近期在 Google Play 商店发现一款新型恶意软件 SonicSpy，不仅可以窃取用户通话记录、音频图像，还可以监控用户日志调用、联系方式与 Wi-Fi 接入站点等信息。总而言之，SonicSpy 允许攻击者远程执行 73 种不同命令。此外，该恶意软件还被怀疑是伊拉克开发人员的研究成果。    调查显示，恶意软件 SonicSpy 主要作为消息应用程序出售，以避免用户在下载时产生任何疑惑，在感染用户设备后能够自动窃取数据并将其传输至命令与控制服务器。目前，研究人员在 Google Play 商店中发现三种不同版本的 SonicSpy（称为 soniac、hulk messenger 与 troy chat），其每个版本都可作为一种监控信息应用程序。虽然 Google 在检测后已删除上述恶意程序，但在第三方应用程序市场中可能仍存在其他版本。据悉，soniac 在 Google 移除时已被下载 1,000 至 5,000 次。 研究人员在分析 SonicSpy 样本后发现，它与间谍软件 Spyote 存在相似之处。SonicSpy 与 Spynote 不仅共享同一代码，还都使用动态 DNS 服务且运行在非标准的 2222 端口。对此，研究人员猜测上述两款恶意软件可能由相同的开发人员研发。 研究人员 Michael Flossman 表示，恶意软件幕后黑手利用加密通信应用程序也显示了他们对收集敏感信息的强烈兴趣。虽然 SonicSpy 目前已从 Google Play 商店中移除，但它极有可能还会再次进入。为防止用户设备遭受感染，研究人员建议用户在安装任何应用程序前（即使从 Google Play 商店下载）始终验证应用权限并仅授予应用程序必要权限。 原作者：Danny Palmer，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国知名网络通讯设备厂商瞻博网络（ Juniper Networks ）于 8 月 10 日发布安全警报，宣称 Juniper 路由器与交换机的开源 GD 图形库（ libgd ）2.1.1 版本存在 CVSS 分值 8.1 的高危漏洞（ CVE-2016-3074 ），允许黑客远程操控部分版本的 Junos OS 系统。 调查显示，受影响的 Junos OS 系统版本为 12.1 X46、12.3 X48、15.1 X49、14.15、15.1、15.1 X53、16.1 与 16.2，其中运行上述软件的硬件产品包括 Juniper 路由器 T 系列与 MX 系列，以及四款 Juniper 交换机。Juniper 安全顾问表示，该漏洞允许黑客在用户处理 gd2 压缩数据出现堆溢出时，执行任意代码或实施拒绝服务攻击。 据悉，使用以上漏洞产品的企业在过去一年内普遍遭受影响，其中不乏知名企业 HP Enterprise、Red Hat、Fedora 与 Debian 等。目前，各家企业已发布安全公告，建议用户更新软件、限制关键基础设施联网设备可利用攻击面，并使用访问列表或防火墙过滤器限制访问可信网络设备。 原作者：Tom Spring，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 9 日报道，卡巴斯基实验室（Kaspersky Lab）研究人员近期发现勒索软件 Mamba 卷土重来，瞄准巴西与沙特阿拉伯各组织机构展开新一轮攻击活动。 Mamba 是一款典型的加密硬盘驱动器的恶意软件，首次于 2016 年 9 月被 Morphus Labs 安全专家在巴西能源公司的机器设备上发现。此外，黑客曾于同年 11 月利用该勒索软件针对旧金山市政交通局展开大规模攻击活动。 调查显示，Mamba 仍使用合法的磁盘加密开源工具 DiskCryptor 锁定目标计算机硬盘，对其进行数据加密处理。一旦感染 Windows 设备，它将强制系统重新启动，然后自定义修改主引导记录（ MBR ）并使用 DiskCryptor 工具加密磁盘分区。如果整个加密过程顺利完成，计算机系统将再次重新启动。此外，Mamba 感染目标设备后将出现一份不寻常的 “ 赎金票据 （如下图）”，其受害者并不需要缴纳任何费用，只被要求提供两个电子邮件地址与一个 ID 号码即可恢复系统页面。 遗憾的是，研究人员暂时无法解密使用 DiskCryptor 实用程序加密的数据，因为该程序利用了强大的加密算法。目前，卡巴斯基研究人员提醒用户远离恶意网站、安全上网，以降低勒索软件锁定硬盘数据风险。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，匈牙利国民银行（ MNB ）于 8 月 8 日发表声明，指出黑客自 6 月以来针对匈牙利三大国有银行展开一系列网络钓鱼攻击活动，但并未提及受影响金融机构与可疑黑客组织的名称。 MNB 作为匈牙利共和国中央银行、国家金融市场监管机构以及欧洲中央银行系统（ ESCB ）成员公开表示，黑客通过网络钓鱼电子邮件与短信方式大规模攻击银行客户，骗取帐户持有者泄露银行帐户详细信息与登录凭据。据悉，黑客此次使用的克隆网站较以往更加令人信服，不依赖任何翻译软件，直接使用匈牙利语误导用户认为站点合法安全。 虽然该起攻击活动并未造成用户资金损失，但受影响金融机构已积极采取安全补救措施，加强自身网络系统防御体系建设。尽管如此，MNB 警示，其他银行仍可能于近期遭受类似攻击。 目前，黑客越来越多地通过精心制作的网络钓鱼工具、恶意软件、银行木马等技术手段攻击全球金融机构。根据安全公司 PhishMe 近期调查结果，91% 定向网络攻击始于网络钓鱼电子邮件。对此，PhishMe 联合创始人兼首席技术官 Aaron Higbee 表示：“ 持续曝光可以有效降低员工遭受网络钓鱼攻击的几率，应鼓励员工积极举报此类行为，哪怕很小的举动也有助于事件响应团队阻止潜在数据泄露。” 原作者：Tom Spring，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 8 月 9 日消息，神秘漏洞众测平台 Bugcrowd 将于 9 月开始为期 8 周的漏洞赏金计划，旨在招募更多高级安全专家寻找产品虚拟机（ VM ）越狱漏洞。据悉，该平台为此项计划悬赏高达 25 万美元。 据悉，Bugcrowd 推出的漏洞赏金计划并非任何黑客均能参加，其仅限安全专家邀请。此外，该计划还要求参与者提交一份关于此项目的研究报告、潜在想法以及任何其他相关信息（不管他们是否达到既定目标）。Bugcrowd 表示，如果安全专家均未能找到虚拟机越狱漏洞，其部分黑客将有机会获得 1 万美元的奖励作为工作补偿。目前已有 27 位安全专家被邀请加入该项计划。 微软于上月推出 Windows 漏洞赏金计划，允许任何一名黑客通过该公司虚拟化软件 Microsoft Hyper-V 寻找管理程序与主机内核远程代码执行漏洞，其最高悬赏 25 万美元。此外，苹果公司也曾于去年 Black Hat 大会上宣布一项 20 万美元的私人漏洞赏金计划，用于寻找 iOS10 远程越狱漏洞。 安全专家表示，25 万美元的赏金阵容足以反映漏洞赏金计划在当今互联网时代的发展趋势，此类项目正日益成为微软、谷歌、Facebook 与苹果等公司用于招募白帽黑客寻找关键漏洞的主流模式。 原作者：Tom Spring，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 8 日报道，英国政府于近期推出一项新安全法案，旨在保障国家关键基础设施安全。该法案指出，提供能源与交通等基本服务的供应商需要制定一份安全紧急方案，以解决电力故障或环境灾难所带来的严重影响。倘若此类公司未能有效实施网络安全措施，或将面临巨额罚款 ，其金额最高可达 1700 万英镑。目前，该法案集数字、文化、媒体与运动为一体，符合欧盟《网络与信息安全指令》（ NIS 指令 ）的要求并将于明年 5 月生效执行。 NIS 指令于 2016 年 7 月 6 日通过审核后在同年 8 月生效，旨在促进成员国安全战略协作与信息共享、提升欧盟网络安全水平。此外，欧盟成员国需要在 NIS 指令生效的 21 个月内将其纳入国家立法，并另有 6 个月可识别指令涉及的主体范围。 调查显示，由于英国提供关键基础设施的组织于近期在勒索软件 WannaCry 与 NotPetya 攻击事件中普遍遭受影响，因此政府不得不加快安全法案的制定。日前，英国政府发表声明：“ 罚款只是一时的手段，它并不适用于对风险进行充分评估、采取适当安全措施但仍遭受攻击的组织机构。” 英特尔首席技术官詹姆斯·查普尔（James Chappell）表示，虽然英国政府的提案比 NIS 指令更加严格，但该法案的制定并不是单纯的执行惩罚措施，而是为了促进提供关键基础设施的供应商加强网络防御体系。 原作者：John Leyden ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 8 日报道，乌克兰国家邮政服务机构 Ukrposhta 近期遭受黑客为期两天的分布式拒绝服务（DDoS）攻击，导致计算机网络系统运行缓慢，甚至出现中断现象。 国家邮政服务机构 Ukrposhta 由乌克兰基础设施部管理，主要通过全国近 1.2 万个邮政网点提供超过 50 项服务。目前，该机构拥有逾 7.6 万名员工，其中 1.3 万名是邮政服务运营商。 据 Interfax 通讯社消息，受害计算机网络系统与包裹在线跟踪系统有关。黑客利用僵尸网络向 Ukrposhta 服务器发送大规模流量，强制网站离线。Ukrposhta 发言人表示，此次攻击活动导致官网与相应服务普遍遭受影响。当前，技术人员正努力解决上述问题，以便尽快恢复工作流程。 7 月下旬，Ukrposhta 曾在一份季度报告中证实，黑客通过乌克兰会计公司使用的 MeDoc 软件自动更新传播勒索病毒 NotPetya，导致公司自动化邮件系统完全崩溃。截至目前，NotPetya 已感染 60 多个国家不同行业的网络系统，与 5 月中旬爆发的勒索软件 WannaCry 具有明显相似之处。 原作者：Jason Murdock ，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 7 日报道，英国情报机构（NCSC）发现黑客于今年 4 月针对爱尔兰与北爱尔兰国有电力供应商 EirGrid 展开攻击，或有政府背景。  EirGrid 自 2006 年起在爱尔兰与北爱尔兰地区运行高压电网、操控电力流动，并由当地供电局（ESB）负责维护修缮。此外，EirGrid 旗下还设有北爱尔兰电力系统运营商（SONI）为其提供分销网络服务。 调查显示，黑客在入侵 EirGrid 使用的沃达丰（Vodafone）网络系统后利用恶意软件拦截威尔士与北爱尔兰 Web 路由器中传输的所有未加密通信数据。此外，NCSC 还发现黑客通过多个英国 IP 地址入侵其他先进国家基础设施、攻击能源与制造行业的系统网络。 知名媒体 Independent 8 月 6 日透露，调查人员将监视并检测依赖沃达丰被黑互联网专线接入（DIA）服务的所有通信记录与文件。虽然目前并不清楚爱尔兰电网控制系统是否被安装恶意软件，但他们注意到，一旦如此，或将导致大规模停电现象。 EirGrid 发言人 David Martin 表示，对于 EirGrid 来说，计算机网络与电力控制系统的安全至关重要。虽然 EirGrid 就网络安全具体操作问题不做任何公开评论，但能源企业与国家基础设施显然已成为黑客重点攻击对象。此外，英国政府通信总部（GCHQ）也警示合作伙伴密切关注能源行业的黑客攻击活动。 相关阅读：黑客瞄准爱尔兰能源网络展开攻击，或有俄罗斯政府背景 作者：Jason Murdock，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。