据外媒 8 月 2 日报道，趋势科技（ Trend Micro ）研究人员于 7 月首次发现模仿 WannaCry 的 GUI（ 图形用户界面）的 Android 勒索软件 SLocker 新变种滥用社交网络 QQ 服务与锁屏功能肆意感染移动设备。目前，警方已逮捕 SLocker 开发人员，但其他非法操作人员仍逍遥法外。 调查显示，多数攻击者主要利用移动端 QQ 聊天讨论组 “ 钱来了 ” 或 “ 王者荣耀修改器 ”传播 SLocker 新变种。“ 王者荣耀 ” 是当前中国市场最受欢迎的网络游戏之一，拥有 2 亿注册用户。 图1. 赎金票据截图 SLocker 新变种除利用 GUI 诱导用户下载勒索软件外，还在内部设计上作出部分更改，即具备变换设备壁纸功能。由于 SLocker 新变种使用 Android 集成开发环境（AIDE）创建，因此可直接用于 Android 设备开发应用程序。值得注意的是，攻击者利用 AIDE 环境更加容易开发简单的 Android 工具包（APK），以吸引更多新用户输出其他变种。此外，勒索软件供应商还可使用合法云存储服务（bmob）更改解密密钥。 尽管该变种新附加功能看上去更为高级，但实际加密过程并不复杂。与上一版本使用 HTTP、TOR 或 XMP P与 C＆C 远程服务器进行通信相比，此变种甚至不使用任何 C＆C 通信技术。研究人员分析勒索软件样本后发现，一旦受感染设备执行命令，SLocker 新变种将加密目标 SD 卡中包括缓存、系统日志与 tmp 文件在内的所有文件类型。另外，SLocker 新变种似乎还使用 AES 算法与过时的 DES 算法加密文件数据。 图2. DES 加密算法的代码片段 或许是为了弥补加密 SD 卡所有文件类型这一缺陷，该变种还具备持久锁屏功能。如果受害者点击赎金缴纳界面的 “ 解密 ” 按键，将会出现管理员页面；如果点击 “ 取消 ”，攻击者就会持续劫持用户屏幕；如果点击 “ 激活 ”，该变体将重置设备 PIN 并进行锁屏。 相关数据表明，黑客目前并未放缓传播速率。研究人员建议移动用户从 Google Play 等合法应用商店下载应用、自行设置应用程序权限、定期备份数据并安装全方位傻毒软件。 附：原文报告《 新 WannaCry — SLocker 变种滥用 QQ 服务 》 原作者：Lorin Wu，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 1 日报道，Proofpoint 安全研究人员近期发现黑客组织 Carbanak 利用网络钓鱼电子邮件大规模传播新型恶意软件 Bateleur，旨在感染全美餐饮连锁企业网络系统。 黑客组织 Carbanak 此前不仅针对零售商、商业服务与供应商等酒店组织展开攻击活动，还通过非法手段窃取全球银行数十亿美元。然而，Carbanak 在此次攻击活动中主要通过后门程序绕过企业 Windows 防御系统，进行截图、窃取用户密码、执行命令等操作。 与多数网络攻击活动类似，使用网络钓鱼邮件主要是为了引诱目标用户下载恶意附件。据悉，此次攻击活动使用的恶意附件以金融支票为主题并通过伪造 Outlook 或 Gmail 地址发送至目标邮箱。另外，该附件由 “ Outlook 保护服务 ” 或 “ Google 文档保护服务 ” 进行加密处理。在此情况下，真实的防病毒公司名称将会出现在 JScript 文档管理器上，以便诱导受害者安心打开文档。如果用户打开文档编辑，该附件将会通过一系列预定任务访问恶意软件有效负载 。 此外，恶意软件 Bateleur 还具备渗透密码功能，尽管这一特定指令需要命令与控制服务器的额外模块才能运行。目前，新型恶意软件 Bateleur 攻击活动仍未停止，研究人员提醒用户时刻保持警惕，提高安全意识以防网络钓鱼攻击。 原作者：Danny Palmer，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  1 日消息，美国制药企业默克近期在线公布《 2017 第二季度财务业绩报告 》，指出勒索软件 NotPetya 于 6 月袭击公司后，大规模破坏生产、研究与销售等多个关键领域业务，影响全球逾 65 个国家数万台系统设备。 科技公司 Comae 创始人 Matt Suiche 针对此前乌克兰攻击活动中使用的 NotPetya 样本进行分析后发现该勒索软件具备擦除器功能，允许破坏磁盘 24 个扇区的同时复制恶意代码。此外，研究人员推测，攻击者可能通过转型战略隐藏境外政府针对乌克兰关键基础设施展开攻击活动。 卡巴斯基安全专家进行类似研究后得出结论：与其他勒索软件不同，NotPetya 不会加密受感染系统文件，而是针对硬盘驱动器的主文件表（ MFT ）锁定用户数据访问权限，并利用恶意代码替代计算机主引导记录（ MBR ）使其无法运行。由于攻击者利用 NotPetya 重写硬盘驱动器的 MBR，导致 Windows 设备处于崩溃状态。当受害者尝试重启计算机时，甚至位于安全模式下也无法加载操作系统。 NotPetya 攻击活动不久后，默克成为全球众多受害企业之一。调查显示，受到该起攻击活动影响的其他公司分别包括乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、航运巨头 AP Moller-Maersk、TNT 快递与律师事务所 DLA Piper 等。据悉，默克仍在努力恢复业务并尽量减少损失。目前，他们已大幅度恢复包装业务及小部分配方业务。另外，公司外部生产业务在此期间并未受到影响且仍在执行订单与产品运输。 关联阅读：联邦快递公司证实：旗下荷兰运输公司 TNT Express 尚未自 NotPetya 勒索软件攻击中恢复 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 1 日报道，安全公司 McAfee 高级威胁研究团队的三名研究人员 Mickey Shkatov、Jesse Michael 与 Oleksandr Bazhaniuk 近期在拉斯维加斯举办的 DEF CON 黑客大会上发表演讲，指出德国大陆集团（Continental AG）生产的远程控制单元（TCU）存在两处安全漏洞，或将危及宝马、福特、英菲尼迪与日产部分汽车。 TCU 是现代汽车用于数据传输的 2G 调制解调器，实现汽车与远程管理工具（如Web面板与移动应用程序）之间的通信。 第一个漏洞（CVE-2017-9647）：影响使用 S-Gold 2（PMB 8876）蜂窝基带芯片组的 TCU ，允许黑客利用 AT 指令处理过程中存在的堆栈缓冲区溢出条件物理访问易受攻击的车辆系统，并在 TCU 基带无线电处理器上执行任意代码。 第二个漏洞（CVE-2017-9633）：允许黑客利用临时移动用户识别码（TMSI）远程访问与控制存储器，并在 TCU 基带无线电处理器上远程执行任意代码。 调查显示，2009 至 2010 年生产的数款宝马车型、配备较为陈旧的福特 P-HEV、2013 年生产的英菲尼迪 JX35，以及 2014 至 2016 年生产的英菲尼迪 QX60 混合动力等车型均受 TCU 漏洞影响。 对此，相关汽车制造商表示，上述漏洞仅提供车辆娱乐信息系统访问权限，并不会对汽车关键安全功能造成直接影响。目前，英菲尼迪与日产汽车制造商承诺将通过售后服务免费帮助所有受影响客户禁用 2G 调制解调器，宝马也将为受影响客户提供类似安全服务措施。然而，福特早于 2016 年就已禁用 2G 调制解调器。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 7 月 31 日报道，网络安全公司 Endgame 数据科学技术总监 Hyrum Anderson 近期在拉斯维加斯举办的 DEF CON 黑客大会上展示了如何利用 OpenAI Gym 机器学习系统创建一款规避反病毒（AV）引擎检测的恶意软件。 OpenAI Gym 是一款用于开发与比较强化学习算法的工具包，可用于编写 PE 文件操控代理、以便基于各类黑客活动提供的赏金采取特定操作直至实现最终目标。 Anderson 表示，所有机器学习系统均存在盲区，具体攻击威力取决于黑客真实技能水平。在此次研究中，Anderson 与他的团队通过微调 Elon Musk 的 OpenAI 框架，更改部分合法代码并将其提交至安全检测程序，以提高恶意软件规避检测的能力。 此外，研究人员在对该款恶意软件进行 15 个小时调试后发现，超过 10 万个恶意软件样本能够规避某未知名安全引擎检测，其中 16％ 的恶意软件样本可突破安全系统防御体系。目前，Anderson 已在 Github 公布恶意软件代码，并鼓励其他研究人员踊跃提出改进意见。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，卡巴斯基实验室研究人员于7月中旬发现手机银行木马Svpeng新添键盘记录功能，允许黑客通过无障碍访问服务窃取用户敏感数据。 无障碍访问服务通常为残疾用户或暂时无法与设备完全交互的用户提供用户界面（UI）。倘若黑客滥用此系统功能，不仅能够从设备上的其他应用程序中窃取敏感数据，还可获取管理员权限。此外，该木马新增功能还具备卸载拦截功能。 相关数据表明，尽管当前黑客尚未大范围部署 Svpeng，但受害目标却跨越 23 个国家，其中多数受害用户位于俄罗斯（29％）、德国（27％）、土耳其（15％）、波兰（6％）与法国（3％）。值得注意的是，即使大部分受害用户位于俄罗斯，但该木马程序并不会在俄语设备上运行，因为这是俄罗斯黑客规避侦查与逮捕的标准策略。 Svpeng 恶意软件家族一向以创新闻名。自2013年以来，Svpeng 是首批攻击银行短信业务的木马软件，允许黑客利用网络钓鱼页面覆盖其他应用程序的方式窃取登录凭据、屏蔽系统设备并盗取银行账户资金。2016年，黑客通过 AdSense 与 Chrome 浏览器漏洞肆意传播恶意木马Svpeng，使其跻身高危手机恶意软件行列。 有趣的是，一旦设备感染 Svpeng 后，该木马就会自动检测设备运行语言，如果不是俄语，设备将会立即通过无障碍服务访问其他应用程序的用户界面并窃取敏感数据。此外，每当用户使用键盘按键时，该木马都会截图并上传至恶意服务器。 近期，研究人员从 Svpeng 命令与控制服务器（ CnC ）拦截到一个加密配置文件，解密后可查找受攻击的应用程序，进而获取钓鱼网址。据悉，该配置文件中不仅包含用于 PayPal 与 eBay 移动应用的钓鱼网址，还包括一款手机赚钱软件应用 Speedway。 目前，黑客还通过在恶意网站上伪造闪存播放器的方式传播木马 Svpeng。据称，该木马甚至可以在最新 Android 版本与安装更新的所有设备上运行。研究人员表示，黑客仅需访问其中一个系统功能，即可获取所有必要的附加权限。 原作者：Roman Unuchek， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 7 月 30 日报道，数字安全公司 Econocom 研究人员 Damien Cauquil 近期在拉斯维加斯举行的 DEF CON 黑客大会上使用微型计算机 Micro:bit 劫持四轴无人机设备。 Micro:bit 是一款基于 ARM 的嵌入式系统设备，由英国广播公司 BBC 设计，用于国家计算机教学。Micro：bit 由 16MHz 的 32 位 ARM Cortex-M0 CPU 提供动力，内存仅占 16KB 且售价 15 美元。此外，Micro:bit 具备蓝牙连接功能，允许黑客写入 Python 编码，即可充当无线嗅探器使用。 据悉，研究人员在耗时数月后破解微型计算机 Micro：bit 系统固件，并将其变成一款强大的黑客工具，允许攻击者通过蓝牙窃取无线键盘信息，或在四轴无人机设备飞行期间劫持控制器。另外，由于该设备体积袖珍，使得黑客能够将其隐藏在桌角以窃取受害者输入的敏感信息，例如密码与登录凭据。 研究人员表示，他们还开发出多款工具，能够与任意 2.4GHz 无线技术进行交互。目前，研究人员已在会议期间发布设备固件与相关工具源代码。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 30 日报道，黑客 Plore 于近期在线演示如何利用廉价现成设备绕过德国 Armatix IP1 智能枪支的安全防御系统展开攻击活动。 Armatix IP1 智能枪支是一款军事武器，只能由拥有相关智能手表的所有者触发识别。由于该枪支与智能手表无法通过长距离无线电信号进行连接，因此当二者相距较远时，枪支不受智能手表操控。 Plore 近期发现三种方法可以侵入 Armatix IP1 智能枪支、扩展智能手表无线电信号范围并允许任何人在智能枪支与相关手表相距十英尺外开枪。 第一种方法： Plore 在枪口附近放置一枚价值 15 美元的磁铁，允许绕过智能枪支 Armatix IP1 安全防御系统，并无需智能手表验证即可开枪。 第二种方法： Plore 使用价值 20 美元的发射机设备干扰智能枪支十英尺以内的无线电波频段（ 916.5Mhz ），允许绕过安全防御系统，以便智能手表不受无线电信号范围影响。 第三种方法：Plore 通过定制射频放大器扩展智能手表控制范围，允许攻击者触发枪支开火时，拦截智能枪支发出检测手表是否存在的信号。此外，该定制设备还允许智能手表操控范围扩展至 12 英尺，以及绕过智能枪支的安全防御系统。 Plore 表示，德国 Armatix 智能枪支的安全系统显然存在多处漏洞，目前需要研究人员及时修复，以防网络犯罪分子恶意入侵。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，网络安全公司 Flashpoint 专家近期发现黑客通过银行木马 Trickbot 新变种的蠕虫病毒攻击模块肆意传播国际金融垃圾邮件，旨在瞄准全球银行系统展开新一轮攻击活动。 调查显示，虽然 Trickbot 更新版本仍在测试，但该木马的设计理念主要是利用服务器消息模块（SMB）在线传播，与勒索病毒 WannaCry 在五月份感染 150 多个国家的 30 多万台电脑的攻击方式存在异曲同工之处。幸运的是，Trickbot 无法随机扫描 SMB 连接的外部互联网地址，这意味着它的传播范围相比 WannaCry 较小 。 Trickbot 于 2016 年首次发现，最初仅侵入亚洲、澳大利亚与新西兰银行系统。但随着木马功能的不断升级，英国、德国与加拿大各机构的客户纷纷遭受影响。目前，开发人员的身份背景尚不知晓。 银行木马 Trickbot 新变种允许黑客发起重定向攻击，诱导用户访问恶意网站输入个人凭据。据悉，攻击者大规模增加垃圾邮件每日数量、肆意传播银行木马 Trickbot，以致影响全球用户及各个地区金融指标。 目前，黑客正测试银行木马新模块，即蠕虫病毒横向移动功能，允许感染同一局域网（LAN）上的其他计算机系统并将其作为僵尸网络分发传播恶意软件。尽管蠕虫模块的当前形式过于简单，但很显然该组织是通过复制勒索病毒 WannaCry 与 NotPetya 的攻击方式后深入研究而成。 原作者：Jason Murdock， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 7 月 28 日报道，信息安全公司 IO Active 研究人员近期于拉斯维加斯 Black Hat 大会上首次披露 Ludum、Mirion 与 Digi 辐射监控设备存在多处未修补漏洞，允许黑客破坏、延迟或混淆放射性物质检测，危及公民人身安全或有助黑客偷运放射性物质。 调查显示，以下监控设备存在关键漏洞： ○ Ludlum 53 Gamma Personnel Portal Monitor：该设备部分漏洞包括最高权限硬编码密码，允许黑客通过反向工程识别系统二进制文件、检测任意方向辐射来源。此外，黑客还可利用后门程序绕过系统认证并控制 RPM 禁用相应警报。 ○ Ludlum Gate Monitor Model 4525：该设备用于检测港口货物中的放射性物质，其主要配置与安全性能存在关键漏洞，允许黑客进行 MiTM（中间人）攻击。另外，Gate Monitor 在使用端口 20034 / UDP 与端口 23 / TCP 等协议时，未进行任何加密措施，导致黑客可以任意拦截数据包、伪造信息或禁用警报。 ○ Mirion WRM2 Transmitters：WRM2 设备软件由 .Net 与 Java 编写，并使用 OEM XBee S3B 无线收发器接收数据，从而泄露加密文件 XCS-Pro 与 S3B-XSC 算法，允许黑客修改或创建恶意固件。 ○ Digi XBee-PRO XSC 900、Xbee S3B （OEM）：Digi 设备漏洞允许黑客绕过 XBee AT 命令处理、OEM 网络用户身份只读保护，以及发送接收任何 XBee 网络数据。在这种情况下，黑客还可通过干扰发送 WRM2 兼容设备帧拦截数据或向 NPP 系统发送伪造数据，从而错误解读辐射泄漏或创建拒绝服务攻击。 目前，虽然 Ludlum 证实监控设备存在安全漏洞，但当前技术水平暂时无法提供补丁修复。此外，Mirion 也承认漏洞将会影响监控系统设施，现正在积极与 Digi 合作解决问题。 详细报告内容请阅读：《Go Nuclear: Breaking Radiation Monitoring Devices》 原作者：Stuart Peck，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。