据外媒 7 月 18 日报道，趋势科技（ Trend Micro ）研究人员近期发现一款新型恶意软件 SHELLBIND 利用 SambaCry 漏洞攻击中小型企业使用的网络附加存储（ NAS ）设备。 两个月前，研究人员在 Samba 文件共享服务器中发现一处存在 7 年之久的远程代码执行高危漏洞 SambaCry （CVE-2017-7494），允许黑客远程控制存在该漏洞的 Linux 与 Unix 设备。尽管漏洞补丁已于 5 月下旬公布，但目前新型恶意软件正利用该漏洞攻击物联网设备，尤其是 NAS 设备。 调查显示，SHELLBIND 是一款简单的木马程序，应用于 MIPS、ARM 与 PowerPC 等系统架构。此外，它还作为共享对象（ .SO ）文件传输至 Samba 公共文件夹并通过 SambaCry 漏洞加载。一旦部署至目标设备，恶意软件就会与位于东非的命令与控制（ C&C ）服务器建立连接、修改本地防火墙规则。如果成功建立连接，恶意软件将允许攻击者访问受感染设备并提供开源命令行 shell，通过发送任意数量与类型的系统命令实现对设备的完全控制。 目前，尚不清楚攻击者将如何利用受感染设备以及此举背后的真正意图，但研究人员已在 Samba 4.6.4/4.5.10/4.4.14 版本中修复漏洞并敦促用户及时进行系统升级。 原作者： Mohit Kumar，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 18 日消息，英国情报机构 GCHQ 近期发布威胁预警，指出英国工控系统与服务机构遭受黑客攻击，英国部分基础设施连接多个 IP 地址或与俄罗斯政府支持的黑客组织有关。 据英国知名媒体 Motherboard 报道，该声明源自国家网络安全中心（ NCSC ）发布的备忘录，并得到 BBC 证实。NCSC 负责人表示，在少许可用的信息中，似乎并没有什么值得攻击，但如果开展大规模网络钓鱼攻击活动，至少部分攻击不可避免。 知情人士透露，鱼叉式网络钓鱼攻击并未在备忘录中明确提及，不过该备忘录确实提到联邦调查局（ FBI ）与国土安全部（ DHS ）上月发布一份独立非公开报告，表明攻击者使用网络钓鱼攻击肆意传播恶意 Word 文档。此外，《 纽约时报 》于本月 15 日报道，俄罗斯政府支持的黑客组织攻击了英国部分地区运行的国家电网能源网络。这一未经证实的暗示，意味着俄罗斯黑客主要瞄准西方能源行业。事实上，FBI/DHS 表示，暂时没有迹象表明公共基础设施安全受到威胁，因为任何潜在影响似乎仅限管理与商业网络。 《 纽约时报 》透露，这是一场大规模攻击活动，旨在寻找渗透关键基础设施的方法，而并非蓄意破坏。对于多数网络发达的国家来说，这可能是一种标准做法，以确保他们有能力在必要时对潜在敌人做出反应。然而，对敌人的重要性与对关键基础设施的潜在危险不应低估。调查人员表示，尽管黑客技术还处于初级阶段，但该黑客组织模仿了俄罗斯 APT 组织 Energetic Bear 常用攻击手段。此外，研究人员至少从 2012 年开始就发现黑客针对西方能源行业发起网络攻击活动。 原作者：Kevin Townsend，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2016 年底，Cisco Talos 团队在 Memcached 系统中发现三处远程代码执行漏洞（ CVE-2016-8704、CVE-2016-8705 与 CVE-2016-8706）并发布修复补丁。然而，时隔 8 个月的调查结果显示，目前运行 Memcached 应用程序的数万台服务器仍易遭受黑客攻击，允许窃取用户敏感数据。 Memcached 是当下一款流行的开源、易部署、分布式缓存系统，允许目标对象存储在内存之中。Memcached 应用程序通过减少数据库压力加速动态 Web 应用程序（例如用 php 语言搭建的网站），帮助管理员提高性能、扩展 Web 应用。 Talos 研究人员分别于今年 2 月与 7 月两个不同场景针对运行 Memcached 应用程序的服务器进行全网扫描，结果令人惊讶。 2 月扫描结果： 互联网上公开暴露的服务器总数：107,786 台 仍存在漏洞的服务器总数：85,121 台 虽存在漏洞，但需要身份验证的服务器总数：23,707 台 分析显示，威胁指数排名前五的国家分别是美国、中国、英国、法国与德国。 7月扫描结果： 互联网上公开暴露的服务器总数：106,001 台 仍存在漏洞的服务器总数：73,403 台 虽存在漏洞，但需要身份验证的服务器总数：18,012 台 研究人员在对比两次扫描结果后发现，2 月扫描出的漏洞服务器仅有 2,958 台得到修复，剩下服务器仍易遭受黑客攻击。Talos 研究人员警示，这些易受攻击的 Memcached 服务器安装程序极有可能成为勒索软件攻击的主要目标，类似于去年 12 月下旬公布的 MongoDB 数据库攻击事件。虽然 Memcached 不是数据库，但仍包含大量敏感信息，服务中断定会危及到其他服务。 此外，Memcached 漏洞还允许黑客将缓存内容替换成用于破坏网站、提供网络钓鱼页面、勒索威胁与恶意链接、劫持目标机器的恶意程序，致使数千万用户面临网络攻击风险。 目前，研究人员建议相关用户尽快修复漏洞，即便是在“可信”环境中部署的 Memcached 服务器也不例外，因为获得访问权限的攻击者可能会针对漏洞服务器在网络中进行横向扩张。 原作者：Swati Khandelwal，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 18 日报道，物联网安全公司 Senrio 研究人员近期在 gSOAP 工具包（简单对象访问协议）开源软件开发库中发现一处重要漏洞 Devil’s Ivy（ CVE-2017-9765 ），允许攻击者远程破坏 SOAP Web 服务后台进程，并在受害者设备上执行任意代码。目前，该漏洞已置数百万台联网设备于危险境地。 据悉，gSOAP 是一款高级 c/c++ 自动编码工具，用于开发 XML Web 服务与 XML 应用程序。研究人员在分析 Axis 网络摄像头时发现该漏洞。一旦成功利用，攻击者将能够远程访问视频来源或拒绝用户访问。鉴于摄像头的特殊功能，该漏洞可导致攻击者窃取敏感数据或清除犯罪信息。 目前，Axis 已证实现有的 250 款摄像机普遍存在该漏洞，并于 7 月 6 日迅速发布固件升级补丁，敦促合作伙伴与客户尽快升级、修复漏洞。考虑到佳能、西门子、思科、日立等公司均使用了同款受影响软件，攻击者极有可能利用其他厂商联网设备。 Axis 当即与电子行业联盟 ONVIF 取得联系，确保包括上述公司在内的潜在受害者均能意识到问题的严重性并及时修复漏洞。研究人员表示，物联网设备堪称网络通信最薄弱的环节，及时更新联网设备、远离公共网络是最明智的做法。 原作者：Swati Khandelwal，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 18 日报道，联邦快递公司（ FedEx ）于近期向美国证券交易委员会（ SEC ）提交的一份 2017 年度报告中指出，公司自上月遭受 NotPetya 勒索软件攻击后，尚未重新获得总部位于荷兰运输公司 TNT Express 的全面运营控制权限。 联邦快递于 2016 年 5 月以 48 亿美元收购荷兰运输公司 TNT Express。今年 6 月下旬，NotPetya 勒索软件网络攻击首次袭击乌克兰与俄罗斯公司，旨在加密电脑私人数据并要求受害用户缴纳 300 美元赎金。调查显示，此次攻击活动通过一款广泛使用的会计软件 MeDoc 感染恶意代码在全球范围内肆意传播，而 TNT 快递在乌克兰运营中也使用了该款软件。 联邦快递表示，勒索软件能够渗透计算机系统并加密敏感数据。目前，公司无法估计 TNT 快递服务何时完全恢复，但他们已开启网络应急计划，以减少客户损失、恢复关键服务系统。知情人士透露，NotPetya 网络攻击范围最终扩大至 60 多个国家，导致联邦快递面临重大经济损失，因为他们的业务并未制定网络保险政策。不过，该公司坚称，并未泄露任何客户数据。 美国证券交易委员会文件显示，虽然所有 TNT 仓库、设施中心均在运营，但客户仍面临广泛服务与发票延误问题。此外，公司负责人表示，人工操作成为目前保持日常业务正常运转的主要流程。美联社（ AP ）获悉，FedEx 股票在 7 月 17 日开盘后下跌 3.4％，但交易结束后恢复一半损失。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 17 日报道，爱尔兰能源网络已成为鱼叉式网络钓鱼攻击目标。近期，安全专家发现黑客针对爱尔兰电力供应局（ ESB ）高级工程师的攻击事件或与俄罗斯总参谋部情报总局（ GRU ）有关。 据《 泰晤士报 》报道，黑客针对爱尔兰能源部门发起大规模攻击，旨在入侵爱尔兰国家控制系统、接管电网。此外，英美等国能源网络也成为黑客主要攻击目标。安全专家认为，GRU 黑客正利用各国基础设施测试自身网络攻击能力。考虑到某些国家是苹果、谷歌与 Facebook 等 IT 巨头欧洲总部所在地，因此该举措极有可能对欧洲地区稳定性造成不良影响。 目前，爱尔兰国家网络安全中心正着手调查该起攻击事件。调查显示，此次攻击活动旨在窃取信息与收集情报，并非蓄意破坏，即黑客使用网络钓鱼手段窃取登录凭据，进而渗透能源行业内部网络。英国皇家三军研究所（ RUSI ）本月初发布漏洞预警，指出网络攻击威胁持续增长，特别是西部地区的卫星基础设施。军民通信与全球定位系统一旦遭受攻击将对国家经济产生重大影响。当然，俄罗斯否认国家黑客参与针对西方政府或乌克兰的袭击事件，但不排除俄罗斯爱国黑客自发干预 2016 年境外大选可能。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司 Check Point 最新报告《 全球恶意软件威胁影响指数 》在线公布 6 月十大最受 “ 欢迎 ” 的恶意软件。广告恶意软件 RoughTed 因影响全球 28％ 组织机构名列榜首。以下是全球十大最受“欢迎”恶意软件列表： 1、广告恶意软件 RoughTed：大规模传播网络诈骗、广告软件、漏洞工具包与勒索软件相关恶意网站与负载链接，不仅可以攻击任意类型的平台与操作系统，还可绕过广告拦截器与指纹识别功能，提高了黑客攻击的成功率。 图一：RoughTed 受攻击地区分布 2、浏览器劫持软件 Fireball：是一款功能齐全的恶意软件下载程序，允许攻击者在受害者设备上执行任意代码、进行登录凭据窃取、恶意软件安装等广泛操作。 3、内存驻留蠕虫 Slammer：主要针对 Microsoft SQL 2000 通过快速传播实现拒绝服务攻击。 4、勒索软件 Cryptowall：最初是一款加密软件，经过扩展后成为当下最知名的勒索软件之一，主要特色是 AES 加密与 To r匿名网络 C＆C 通信，其通过入侵工具包、恶意广告软件与网络钓鱼活动传播。 5、HackerDefender Rootkit：用于隐藏 Windows 用户设备文件、进程与注册表项，还可作为后门与重定向器通过现有服务打开 TCP 端口。在这种情况下，无法采用传统手段找到隐藏后门。 图二：全球威胁风险指数（绿色：低风险；红色：高风险风险；白色：数据不足） 6、勒索软件 Jaff：自 2017 年 5 月开始由 Necrus 僵尸网络传播。 7、Conficker 蠕虫：允许攻击者远程操作、下载恶意软件。僵尸网络控制受感染设备并联系 C＆C 服务器接收指令。 8、多用途机器人 Nivdort：又名 Bayrob，用于收集密码、修改系统设置、下载其他恶意软件，通常利用垃圾邮件进行大规模传播，收件人地址以二进制编码确保唯一性。 9、银行木马 Zeus：通过捕获浏览器中间人（Man-in-the-Browser，MitB）按键记录与样式窃取银行账户信息。 10、漏洞工具包 Rig ek：于 2014 年首次推出，提供 Flash、Java、Silverlight 与 Internet Explorer 漏洞，致使感染链重定向至目标登录页面。 调查显示，Fireball 恶意软件 5、6 月全球影响范围从 20% 下降至 5%；Slammer 则影响全球 4% 组织机构；而 RoughTed 体现了网络犯罪分子采用广泛攻击媒介与目标，影响感染链各个阶段。与 RoughTed 相反，Fireball 接管目标浏览器并使之成为僵尸网络，用于安装其他恶意软件、窃取有价值证书等各种操作；Slammer 则是一款可导致拒绝服务攻击的内存驻留蠕虫。 据悉，各大组织于今年 5、6 月的重点防御对象是 WannaCry、Petya 等勒索软件。然而，本月影响指数则反映了攻击媒介呈广泛分布趋势。在此，安全专家提醒各组织机构加强安全基础架构建设，充分掌握网络犯罪分子可能使用的所有策略与手段，并采用多层次网络安全防御方法有效规避零日恶意软件新变种。 稿源：Check Point，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 17 日消息，Google Project Zero 安全研究人员近期发现思科（ Cisco ）系统在 Chrome 与 Firefox 浏览器的 WebEx 扩展中存在一处关键漏洞 （ CVE-2017-6753 ） ，允许攻击者在受害设备上远程执行恶意代码、获取系统控制权限。 Cisco WebEx 是一种流行的在线事件交流工具，包括会议、网络研讨会与视频会议，旨在帮助用户与世界各地的同事建立联系。目前，这一扩展拥有约 2000 万活跃用户。 经思科官方确认，以下版本的 Cisco WebEx 浏览器扩展受到此次漏洞的影响： 在 Google Chrome 上的 Cisco WebEx 扩展（1.0.12 之前的版本） 在 Mozilla Firefox 上的 Cisco WebEx 扩展（1.0.12 之前的版本） 据悉，目前 Cisco 已修补漏洞，并发布了针对 Chrome 与 Firefox 浏览器的更新程序 “ Cisco WebEx 扩展 1.0.12”。思科公司证实，Cisco WebEx 生产工具、适用于 Mac 或 Linux 的 Cisco WebEx 浏览器扩展、以及 Microsoft Edge 或 Internet Explorer 上的 Cisco WebEx 不受此漏洞的影响。安全专家建议用户尽快升级扩展版本；将系统软件设置为非特权用户运行，以减少漏洞攻击影响。 原作者：Swati Khandelwal，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 16 日报道，网络安全专家 Brian Krebs 近期发布一份报告，指出黑客利用红外插入式卡槽器针对美国俄克拉荷马城至少四家银行的 ATM 设备展开网络攻击活动。 插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备，隐藏在 ATM 机卡槽内捕获信用卡数据并存储在嵌入式闪存中。该设备虽然构造简单，但主要通过天线将窃取的私人数据传输至隐藏在 ATM 机外部的微型摄像头中。 调查显示，这种设计可以帮助黑客减少维护成本。例如，可直接将设备留在 ATM 机插槽中更换电池。Krebs 表示，黑客近期对设备进行了优化处理，改用嵌入式电池并仅当用户将信用卡插入 ATM 机卡槽时才会开启窃取功能。 黑客还能将摄像头巧妙安置在隐蔽的地方，例如 ATM 机旁边的置物架或 ATM 机上方的安全镜中（部分 ATM 机允许合法放置安全镜，以便用户发现身后是否有人偷窥）但通常做法是在密码键盘上方或旁边装置针孔摄像头。 目前，美国俄克拉荷马城至少有四家银行的 ATM 机受到影响。安全研究人员建议广大用户在ATM 机输入密码时用手遮挡，以防偷窥。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司 Detectify 顾问 FransRosén 于 7 月 13 日发布一份报告，指出网络管理员经常忽略亚马逊（ AWS ）访问控制列表（ ACL ）规则，导致服务器因错误配置导致大量数据在线泄露。     Detectify 公司认为，尽管服务器配置错误的原因各不相同，但在 AWS S3 存储设置访问控制时，多数漏洞服务器均由常见问题导致。随后，研究人员通过一系列不同错误配置原因证实，由于服务器与目标系统 ACL 的配置极其薄弱，导致黑客可以随时操控、监视与破坏高端网站。 据悉，在该份安全报告中，Rosén 指出 AWS 服务器中存在一处关键漏洞，允许攻击者识别 S3 存储服务器的名称信息、利用 AWS 命令行工具跟踪 Amazon API。如果操作正确，攻击者便可访问 S3 列表并读取文件获取信息。此外，攻击者不仅可以将文件写入并上传至 S3 存储服务器中，还可更改用户访问权限。研究人员表示，由于 AWS S3 的访问控制列表配置错误，攻击者在获取访问权限后允许访问服务器敏感数据。 如果将访问控制设置为 “ AuthenticatedUsers ”，就意味着任何用户均拥有一套有效的 AWS 凭据，其基本由用户注册 AWS 账户获得。不过，用户在看到这个访问控制选项时可能会将身份验证与审核授权混淆。如果 S3 存储服务器配置错误，那么攻击者唯一需要的就是服务器名称信息。 Detectify 表示，识别服务器名称信息及其所属公司的操作极其简单，存在多种不同方法强制 S3 存储服务器显示，包括查看服务器 Amazon S3 的 HTTP 响应。Rosén 表示，他无法确定近期 Verizon 服务器泄露事件缘由是否遇到同样的错误配置问题。但他发现，目前共有 40 家公司在出现错误配置时遇到不同的访问控制问题。 日前，亚马逊发表声明指出这并非漏洞。虽然 AWS S3 服务器配置不正确，可能会导致泄漏数据，但他们无法防止用户操作无错误出现。目前，AWS 已提供一些工具，以便用户更改并锁定服务器访问权限。 原作者：Tom Spring，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。