据外媒 7 月 27 日报道，Google 安全研究人员近期在 Google Play Store 中发现新型 Android 间谍软件 Lipizzan，允许黑客从移动设备中过滤任何类型数据，并将其作为监控工具使用。 Lipizzan 是一款多阶段间谍软件产品，与具备政府、情报机构背景的以色列安全公司 Equus Technologies 有关。研究人员在对恶意软件深入分析后表示，被感染应用经过两个阶段成功绕过 Google 过滤器进入应用商店下载。 第一个阶段，黑客将 Lipizzan 冒充合法应用（如 “ Backup ” 或 “ Cleaner ” 等应用），通过 Google Play 等多渠道传播。一旦安装恶意代码，Lipizzan 将下载并加载第二阶段许可证验证，即针对受害设备进行检测与验证。如果获取信息明确，那么黑客将于第二阶段利用已知漏洞将目标设备数据过滤至命令与控制服务器。 一旦感染目标设备，间谍软件除监控用户通话记录、设备麦克风、位置、摄像头外，还将收集用户联系人、短信与应用数据等信息。Google 表示，黑客成功拦截第一批受感染间谍软件的应用程序后，可通过调整绕过 Google Play Store 过滤器上传第二批受感染应用程序，包括新名称与第二阶段加密流程。 目前，仅有不到 100 台设备受到影响（占 Android 设备 0.000007％），谷歌完成检测后当即消除威胁并建议用户仅使用正规 Google Play Store 下载应用、及时更新手机系统版本。 原作者：Bogdan Popa，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 27 日报道，Aqua Security 安全研究人员 Sagie Dulce 将在 Black Hat 大会上首次展示新型攻击向量技术 LAS VEGAS，允许黑客滥用云计算平台 Docker API 植入、隐藏、存储恶意软件，远程执行任意代码。 LAS VEGAS 是开发人员用于创建与测试 Docker 容器的一款程序，通过在 Windows 下默认设置安装 Docker 平台 API 实施攻击。实现该技术分为三个阶段： 第一阶段：诱导运行 Windows Docker 的开发人员访问托管 JavaScript 特制程序的恶意网页。与此同时，JavaScript 还可绕过浏览器同源策略安全防护功能。LAS VEGAS 不仅可以使用绕过 SOP 保护的 API 命令，还可将 Git 存储库作为 C2 主机生成 Docker 容器，托管恶意攻击代码。目前只有 GET、HEAD 与 POST 等部分 HTTP 方法允许跨源。 第二阶段：创建 “ 影子容器 ” ，保证容器指令在虚拟机重启时持续运行，即攻击者将会写入一个关闭容器的脚本保存当前状态，执行网络侦察、植入恶意软件或内部网络横向移动时保持隐蔽。 第三阶段：针对企业未来进行持续性远程代码执行。目前，现有安全产品对于持续性攻击几乎无能为力。 Dulce 表示，由于此项技术允许黑客通过 TCP / HTTP 远程访问 Windows Docker 所有版本的后台程序，因此他们建议用户及时更改默认配置、关闭HTTP端口，以防黑客再次入侵。 原作者：Tom Spring，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 26 日报道，德国安全机构将于 2017 年年底通过远程通信拦截软件新版本 RCIS 2.0 扩大国家数字监控权限，破解 WhatsApp 与其他加密通信应用。 RCIS 2.0 除了可以监控公民笔记本电脑与个人计算机设备外，还可运行 iOS、Android 与 Blackberry OS 移动设备。 据德国媒体 Netzpolitik 透露，自 2016 年年初以来 RCIS 一直处于开发阶段，可以直接通过侵入目标设备、窃取信息，破解 WhatsApp 与其他通信应用的加密程序。目前，德国安全机构计划利用私营企业研发的间谍技术扩大监督权限。知情人士透露，德国政府已从 Gamma International 购买间谍软件  FinSpy 作为备用措施，以防德国联邦刑事警察局（ BKA ）泄露 RCIS 计划。 监控软件 FinSpy 不仅能够录制所有通信来电与短信消息，还可远程开启目标设备的摄像头、麦克风，以及实时定位与跟踪用户设备。 欧洲目前扩大国家数字监视权限的努力似乎仍处于不断上升趋势。据悉，德国 6 月还通过一项法律，允许警方侵入涉嫌犯罪或参与恐怖主义活动的移动设备。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 26 日报道，卡巴斯基实验室研究人员近期发现新 Windows 后门 CowerSnail 与 Linux SambaCry 恶意软件 SHELLBIND 密切相关。 SHELLBIND 利用 SambaCry 漏洞感染多数网络附加存储（NAS）设备后，将共享文件传输至 Samba 公共文件夹并通过服务器加载，允许攻击者远程执行任意代码。 调查显示，由于 SHELLBIND 与 Backdoor.Win32 CowerSnail 共享一台命令与控制（C＆C）服务器（cl.ezreal.space:20480），因此极有可能由同一组织创建。 CowerSnail 后门设计基于跨平台开发框架 Qt 编写，允许攻击者将 Unix 平台开发的恶意代码快速迁移至 Windows 环境。另外，该框架还提供了不同操作系统之间的跨平台功能与源代码转移，从而使平台传输代码变得更加容易。然而，在便捷传输的同时也增加了生成文件大小，导致用户代码仅占 3MB 文件的很小比例。 CowerSnail 在升级进程/当前线程优先级后通过 IRC 协议与 C＆C 服务器通信,实现经典后门功能，包括收集受感染系统信息（例如：恶意软件编译时间戳、已安装操作系统类型、操作系统主机名称、网络接口信息、物理内存 ABI 核心处理器架构）、执行命令、自动安装或卸载、接收更新等。 目前，安全专家推测，如果同一黑客组织开发两款特定木马且每款均具备特殊功能时，那么想必这一组织在未来将会设计更多恶意软件。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 26 日报道，意大利联合信贷银行 UniCredit 遭黑客未经授权访问，约 40 万客户数据在线泄露。 UniCredit 数据泄露事件最初发生在 2016 年 9-10 月期间，直至今年 6-7 月类似事件再次发生，银行当即开展新一轮调查。 UniCredit 业务综合解决方案首席执行官 Daniele Tonella 表示，此次数据泄露事件中，银行与客户方面均未受到重大损失，任何密码信息也未受到影响，但与个人贷款相关的客户资料（姓名与出生日期）及 IBAN 码可能已遭黑客访问并通过外部第三方商业合作伙伴在线出售。 目前，银行尚不清楚黑客获取数据主要来源，也不了解幕后黑手详细信息。但他们已向检察机关提出刑事诉讼请求，并积极采取行动关闭未授权访问系统。与此同时，UniCredit 将投资 27 亿美元，通过升级技术与数字化活动完善银行 IT 系统。 原作者：James Billington，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英国国际贸易部于近期公开发布了 2017 年 1 月 1 日至 3 月 31 日期间出口的许可证详细报告，指出该国今年早期向土耳其授权一项许可证，旨在出口监控设备。土耳其多数人权倡导者强烈反对并表示，英国向不尊重人权的国家出口监控设备是一种荒谬做法。 英国在监控技术贸易方面是全球最为活跃的国家之一。英国公司不管从互联网大规模设备还是小型捕手（catcher）都将持续出口监控系统设施。国际贸易部表示，英国对土耳其出口监控设备时，恰恰处于土耳其政府针对敌对势力、持不同政见者、记者与人权倡导者进行强制镇压期间。 知名媒体 Motherboard 表示，其中一项许可证涉及土耳其执法机构拦截通讯设备软件。目前，土耳其执法部门可能已经购买该款针对移动通信进行网络监控的 IMSI 捕手以拦截呼叫卫星电话。遗憾的是，英国政府机构目前尚未透露土耳其当局获得的技术类型。 不过，Motherboard 还发现，英国至少向土耳其出售了七项监控技术。虽然英国政府授予土耳其出口许可证，但该国却因地理位置持续遭受恐怖分子威胁。据称，土耳其政府限制所有 VPN 服务的 Tor 匿名网络权限以便监控审查。 国际贸易发言人向 Motherboard 透露，英国政府极其重视国防出口责任，运营全球最大出口管理机制，并对每一个申请监控设备的国家进行严格审查。倘若出口国家的风险水平发生变化，他们会立即暂停或吊销执照而不再提供监控技术。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 25 日报道，趋势科技（Trend Micro）与以色列安全公司 ClearSky 研究人员近期联合发布一份详细报告，指出伊朗 APT 组织 CopyKittens 针对以色列、沙特阿拉伯、土耳其、美国、约旦与德国等国家与地区的政府、国防与学术机构展开新一轮大规模网络间谍活动 “ Operation Wilted Tulip ”。 APT 组织 CopyKittens（又名：Rocket Kittens）至少从 2013 年以来就一直处于活跃状态，曾于 2015 年面向中东地区 550 个目标展开攻击。据悉，该报告详细介绍 CopyKittens 在新网络间谍活动中采取的主要攻击手段： 1、水洞攻击：通过植入 JavaScript 至受害网站分发恶意软件，其主要针对新闻媒体与政府机构网站。 2、Web 入侵：利用精心构造的电子邮件诱导受害者连接恶意网站，从而控制目标系统。 3、恶意文件：利用近期发现的漏洞（CVE-2017-0199）传播恶意 Microsoft Office 文档。 4、服务器漏洞利用：利用漏洞扫描程序与 SQLi 工具 Havij、sqlmap 与 Acunetix 有效规避 Web 服务器检测。 5、冒充社交媒体用户：通过与目标系统建立信任传播恶意链接。 趋势科技表示，为成功感染目标系统，CopyKittens 将自定义恶意软件与现有商业工具（如 Red Team 软件 Cobalt Strike、Metasploit、开发代理 Empire、TDTESS 后门与凭证转储工具 Mimikatz）结合，从多个平台向同一受害系统发动持续攻击，成功操控后转移至其他目标设备。 原作者：Mohit Kumar，编译：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 25 日报道，黑客在暗网出售逾 11 万条爱丁堡公民个人信息。此次出售是地下身份交易骗局的一部分，其泄露信息包括公民电子邮件用户名称、密码与信用卡数据等。 爱丁堡是英国著名的文化古城、苏格兰首府，总人口约 464,990 （据 2014 年统计）。此次泄露数据约占其总人口数的  24%。——编者注 为使交易更具吸引力，暗网供应商不仅为批量采购提供退款保障，还承诺售出数据准确率高达 80％。据苏格兰记者报道，伦敦数据公司 C6 在对事件展开调查后发现，与 EH1、EH4 邮编有关的公民身份信息窃取案例共计 115333 宗，是骗局中受影响程度最为严重的部分。 目前，暂无查明受害者数量的有效方法，也不清楚黑客数据获取的主要来源，更不了解幕后黑手详细信息。但研究人员表示，身份盗用需要达到一定数量才具备价值。然而，随着时间推移，黑客将收集更多信息，虽然这个过程可能耗时数周，也可能一年有余。 安全公司 Keeper Security Inc 调查报告指出，87％ 的用户访问多数网站时采用相同用户名与密码，从而导致黑客可以一次访问多个应用账户。此外，黑客还可通过点击 “ 忘记密码 ” 更改或管理多个帐户。目前，苏格兰警方已提醒用户加强自身信息保障，及时预防网络欺诈活动。 原作者：Immanuel Jotham，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 24 日报道，卡巴斯基实验室近期发布最新报告，指出 APT 组织 Spring Dragon 于过去数年内大规模开发与更新黑客工具，并在不同攻击活动中滥用恶意软件样本逾 600 款，其攻击目标主要集中在台湾、印度尼西亚、越南、菲律宾等东南亚周边国家与地区。 APT 组织 Spring Dragon（又名：Lotus Blossom）自 2012 年以来一直在国家资助下实施网络攻击活动，其主要袭击东南亚地区的军事与政府机构。相关证据显示，该组织最早活跃状态可追溯至 2007 年。 近期，台湾研究人员发现 Spring Dragon 组织开展新一轮攻击活动。卡巴斯基得到消息后当即决定调查该组织采用的恶意工具、技术手段与活动细节。目前，研究人员通过遥测数据检测发现中国南海地区重要组织机构成为主要攻击目标。此外，相关国家政党、教育机构及电信企业也受到不同程度影响。 Spring Dragon 以鱼叉式网络钓鱼与水洞攻击闻名，拥有庞大的网络武器库，管理包含 200 多个唯一 IP 地址与 C＆C 域在内的大型基础设施。数年来从未停止开发与更新各种恶意工具，其中不乏具有独特功能的后门模块。另外，APT 工具包中的所有后门模块不仅能下载更多文件至受害者设备、上传文件至攻击者服务器，还可在受害者设备上执行任何代码。据悉，Spring Dragon使用的多数C＆C服务器位于香港与美国，少数位于德国、中国与日本。 值得注意的是，研究人员还分析了恶意软件编译时间戳。结果表明，攻击者可能位于GMT + 8时区，例如中国、印度尼西亚、马来西亚等国家。此外，分析报告还透露出一个有趣的信息：恶意软件由两个不同组织编译，其中一个可能位于欧洲。 目前，研究人员已成功采集超过 600 款恶意软件样本，并推测这将是一起大规模操作，其恶意软件工具包极有可能在公共或私人论坛出售，尽管目前为尚无确凿证据。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 24 日消息，安全公司 RedLock 研究人员发现 Google Groups 在线服务出现配置错误，导致 IBM’s Weather Company 、Fusion Media Group、协助桌面支持服务提供商 Freshworks 与视频广告平台 SpotX 等数百家企业机密数据在线曝光。 Google Groups 作为企业协作工具与交流平台，负责团队通信维护与邮件管理。当这些电子邮件组被设置为公开状态而非内部共享时，无需成为内部成员即可公开查看成员之间发送的内部消息。 RedLock 研究人员发现，此次事件致使受害企业员工电子邮件地址与内容，以及员工薪酬补偿、销售渠道数据、客户密码、姓名与家庭地址等个人身份信息在线泄露，可供全球用户任意查看。 值得深思的是，引发这起数据泄露事件并非安全漏洞，仅是 Google Groups 功能设置。但这一事件表明，任何一次操作疏忽都将对企业产生毁灭性影响。一旦网络犯罪分子获取这些企业信息，就可用来劫持企业帐户、开展网络钓鱼攻击以及在线泄露敏感谈话内容等。 目前，为防止数据信息再次泄露，研究人员建议各企业立即检查 Google Groups 设置，以确保域名访问权限切换至内部成员使用。 原作者：Charlie Osborne，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。