据外媒 7 月 15 日报道，美国国务院高级情报官员的私人 Gmail 帐号遭未知名黑客以 Jonnie Walker 的虚假身份侵入并被窃取大量重要资料。随后，黑客在线群发电子邮件，声称美国国务院高级官员的私人电子邮件帐户中包含一系列机密信息，其工作重点在俄罗斯地区。 目前，虽然美国国务院既不承认也不否认黑客所泄露邮件内容的真实性，但国务院发言人表示，他们非常清楚黑客组织经常攻击美国政府与企业领导人员的电子邮件帐户。而作为政策问题，他们暂不讨论黑客的具体意图。 出于安全原因，尚未公布该名情报官员身份，但外交政策报告中指出该官员主要为国务院情报与研究部门工作。消息显示，被黑客群发的电子邮件内容主要包括俄罗斯专家与该地区中央情报局官员、其他情报机构、主流媒体、非政府组织与国际基金会之间的密切通信。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近年来，随着网络犯罪分子以组织化形式存在，黑客攻击手段已越来越多的被用于商业化发展。即网络犯罪分子可通过租用扩展黑客工具与技术（漏洞套件、勒索软件）构建威胁发动攻击，将其演变成大型企业攻击活动。调查显示，恶意软件即服务（MaaS）的普及滥用日益增加，为网络犯罪分子提供了包括勒索软件即服务（RaaS）、DDoS 即服务、网络钓鱼即服务等在内的一系列服务攻击模式。近期，两组研究人员发现两起类似服务攻击活动。 恶意软件 Ovidiy Stealer7 攻击活动 Proofpoint 安全研究人员发现恶意软件 Ovidiy Stealer7 在以俄语为主的暗网论坛中低至 7 美元出售，即便是技术小白也能轻松窃取目标设备信息。 Ovidiy Stealer 于今年 6 月开始在暗网销售，有开发团队定期更新。分析显示，该恶意软件目前具有多个版本，主要攻击包括英国、荷兰、印度与俄罗斯在内的用户设备。 研究人员发现，虽然恶意软件 Ovidiy Stealer7 单一可定制的版本价格低廉，但目标系统可执行文件仍然能够被攻击者加密并难以检测与分析。此外，恶意软件的窃取功能攻击多个应用程序与浏览器（包括 Google Chrome、Opera、FileZilla、Amigo、Kometa、Torch与Orbitum），不过网络犯罪分子也可购买仅在单个浏览器上运行的版本。目前，恶意软件正通过恶意电子邮件附件、下载恶意链接、虚假软件或各文件托管网站上的工具分发传播。 网络钓鱼攻击平台 Hackshit Netskope Threat 研究人员发现的另一种新 Phishing-as-a-Service（PhaaS）平台 Hackshit，为初学网络犯罪分子提供了低成本的 “ 自动化解决方案 ”，允许窃取用户登录凭据及其他敏感信息。 Hackshit 允许网络犯罪分子为多个目标站点（包括 Yahoo、Facebook与Google Gmail）生成独特网络钓鱼页面。 另外，Hackshit 还能够利用 Let’s Encrypt 颁发的 SSL 证书为 Web 服务器提供免费 SSL / TLS凭证，使假冒网站看起来更为逼真。 原作者：Swati Khandelwal，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 14 日报道，网络安全协会 SANS Institute 研究人员近期发现攻击者利用垃圾邮件通过 .zip 附带的恶意 JavaScript 文件感染 Windows 设备。一旦受害者点击邮件，系统将自动下载并安装勒索软件 NemucodAES 与 Kovter。 NemucodAES 是 Nemucod 木马下载器的新变种，早于 2016 年就已用其传播勒索软件 Locky 与 TeslaCrypt。Kovter 则是一款感染后难以检测与移除的恶意软件，攻击者不仅可用于实施欺诈，还可窃取用户个人信息、下载其他恶意软件或访问目标系统设备。 调查显示，垃圾邮件将恶意 .zip 存档伪装成联合包裹服务通知，以诱导受害者点击查看。目标系统在感染勒索软件 NemucodAES 后解压出恶意 JavaScript 文件并发出 HTTP 请求，从而通过 RSA-2048 与 AES-128 算法加密系统文件。一旦受害者系统文件被攻击者加密，将被要求缴纳约 1,500 美元赎金。不过，由于恶意 JavaScript 文件极易检测识别，因此用户系统的安全软件将会自动筛选过滤，以防系统下载勒索软件。 Kovter 感染目标系统后将会加密端口 80、443 与 8080 上的各种 IP 流量。至于 Kovter 攻击活动，似乎仅限于检查并输出命令与控制流量，与其他恶意软件相关的典型欺诈流量相比截然不同。目前，研究人员尚不清楚攻击者的真正意图。 原作者：Tom Spring，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员于今年 4 月发现网络安全认证协议 Kerberos 存在一处高危漏洞 Orpheus’Lyre（CVE-2017-11103），允许攻击者远程访问目标系统升级权限、窃取用户凭证。7 月 11 日，微软与多家 Linux 供应商联合发布了漏洞补丁。 Kerberos 是一种加密认证协议，其初始密码为大量未经身份验证的明文，这也意味着部分 Kerberos 信息既不加密，也不以某种直接加密方式进行保护。在某些特定情况下，这可能是多数漏洞产生的根源。尽管 Kerberos 协议存在未经身份验证的明文，但它还是极其安全可信的。不过，研究人员需要非常小心地获取每个数据细节，以便对明文进行身份验证。 调查显示，攻击者可利用 Orpheus’Lyre 漏洞直接从未受保护的密钥分配中心（KDC）中获取元数据，该漏洞甚至影响了包括微软与瑞典 KTH 皇家理工学院（Heimdal）在内的不同版本 Kerberos 协议的实施。 研究表明，用户可通过删除未加密字段防止漏洞被利用，以便在合成认证请求时强制使用加密字段。安全专家们也建议用户仔细检查每款 Kerberos 协议的运行，因为并非所有供应商都能预期修复漏洞。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据路透社报道，荷兰参议院于本周三（ 7 月 12 日）通过一项新法律法规，旨在扩大情报机构监督权限。 新情报安全法案不仅授予警方追踪可疑恐怖分子或其他严重犯罪分子的权力，还为荷兰情报机构提供新监督权限，比如允许他们保留服务提供商提供的数据长达 3 年，以及允许英特尔机构与境外包括 GCHQ、NSA 在内的同行分享情报信息。 安全研究人员表示，此项法案扩大了英特尔代理机构的监听权力，以便快速获取犯罪分子详细信息。立法委员会认为，该法案是打击恐怖主义与网络威胁的必要条件，从而加强情报与安全服务监督委员会（CTIVD）的权威。 内政部长普拉斯特克（ Ronald Plasterk ）表示：“ 保护国家安全、促进国际法律秩序、打击恐怖主义、维护高科技企业与政府免受网络攻击，需要实施现代化法律手段。” 信息科技公司 G DATA 安全宣传者 Eddy Willems 表示：“虽然情报机构监督权限的增加有效避免了一些国家安全威胁，但部分隐私组织（例如：保护数字权利独立组织 Bits of Freedom ）将会采取诉讼或其他抗议活动反对该法案的实施。 原作者：John Leyden ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，继乌克兰上月遭受勒索软件 Petya 肆意袭击后，北约加强了对乌克兰网络防御的支持。本周一（7月 10 日），乌克兰总统波罗申科在与北约联合主办的会议上发布声明，指出乌克兰将通过与北约的密切合作深化国防与安全领域的各项改革，加强国家网络安全防御体系。 “ 关键基础设施 ” 是任何一个国家在经济上最为敏感的要素之一。2017 年 6 月，乌克兰遭受勒索软件 Petya 攻击后，导致交通、银行与电力基础设施在补救与恢复工作中造成无法估量的成本代价。乌克兰关键基础设施的维护相比其他国家较为完善，因此如果同样的攻击活动转移目标，后果将不堪设想。 北约秘书长 Jens Stoltenberg 表示，北约将继续帮助乌克兰加快国防与安全领域的改革，并协助乌克兰调查 Petya 攻击活动的幕后黑手。2014 年 12 月，北约就已成立网络防御信托基金会，旨在提供必要支持、发展防御型 CSIRT 技术能力。 鉴于近期网络攻击事件的传闻，Petya 活动被认为与俄罗斯资助的黑客组织有关。因此，俄罗斯与乌克兰之间持续紧张的关系以及俄罗斯针对北约扩张的公然态度，都不可能使该地区的局势平静下来。专家表示，随着网络攻击的复杂化和对乌克兰边界以外的全球影响的明显无视，若其他国家坐视不理，乌克兰试图保护自己的想法也将是不切实际的。 原作者：Steve Biswanger，编译：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 7 月 13 日报道，Arbor Networks Security 安全研究人员发现一款新 PoS 端恶意软件 LockPoS ，它能够利用僵尸网络 Flokibot 针对巴西用户使用的命令与控制（C＆C）基础设施展开攻击活动。 Flokibot 是一款银行木马程序。自 2016 年 9 月起就已在暗网中出售。这款恶意软件由网络犯罪分子根据 2011 年泄露的 GameOver Zeus （宙斯病毒）源代码研发。 研究人员表示，LockPoS 最后一次编译于今年 6 月，并使用恶意木马 dropper 直接注入 explorer.exe 进程中肆意传播。值得注意的是，LockPoS 必须手动加载执行，然后通过从自身提取的多个组件继续下载以充当第二阶段加载器。紧接着，恶意代码将进行解密、解压与加载最终版本的 LockPoS payload。 恶意软件 LockPoS 通过 HTTP 与 C＆C 服务器进行通信。一旦感染目标系统，就会向服务器发送用户名、计算机名、bot ID、bot 版本（1.0.0.6）、CPU、物理内存、显示设备、Windows 版本与架构等重要信息。监控数据显示恶意软件 LockPoS 通过 Flokibot 僵尸网络侧重攻击巴西用户系统设备。目前，研究人员尚未调查清楚 LockPoS 是否与其他恶意软件攻击者有关、是否会在暗网中进行出售。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英国医疗保健机构 Bupa 于 7 月 12 日发布声明，指出由于其国际医疗保险部的一名雇员在与他人分享数据之前故意复制与删除信息，导致逾 10 万客户数据公开泄露。 Bupa 国际医疗保险部官员在大量数据泄露后不仅写信提醒客户高度警惕网络钓鱼或诈骗活动，还在线解释本次事件并非网络攻击或外部数据泄露，而是员工故意操作。目前，该雇员已被解雇。 Bupa 总经理 Sheldon Kenton 随后在官网中上传道歉视频并向潜在受害客户表示，此次事件并未包括任何财务或医疗数据，仅仅泄露了包括名称、出生日期、国籍与部分 Bupa 保险会员号码在内的个人信息。此外，Kenton 强调：全球 140 万国际医疗保险客户并非都受到影响。目前，Bupa 已通知英国监管机构 ICO 联合进行调查并承诺会通过法律行动制裁该名雇员。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全球知名企业资源管理公司 SAP 于 7 月 11 日发布 “ SAP Security Notes ” 安全漏洞报告，包含 23 款安全补丁程序，其中最为严重的 SAP POS 漏洞，或将影响约 5000 亿次用户安装。 安全公司 ERPScan 专家在 SAP POS Suite 服务器终端发现多处缺失授权检查漏洞，允许未经身份验证的攻击者远程访问目标系统，读取/删除/输入敏感信息、关闭易受攻击的应用程序与监控 POS 收据窗口内容。此外，ERPScan 专家团队针对 SAP 漏洞发布一份详细说明： ○ SAP PoS 中存在多处缺失授权检查漏洞（CVSS 基准分：8.1）：攻击者无需任何授权即可利用漏洞访问服务系统，从而窃取信息、升级特权或开展其他攻击活动。 ○ SAP Host Agent 中存在缺失授权检查漏洞（CVSS 基准分：7.5）：攻击者无需任何授权即可利用漏洞访问目标服务系统。 ○ SAP CRM 互联网出售管理控制平台存在多处跨站点脚本与跨站伪造请求漏洞（CVSS 基准分：6.1）：攻击者可以利用跨站脚本漏洞将恶意脚本注入页面，访问 Cookie、会话令牌与其他关键信息，以及存储与 Web 应用程序的交互。此外，未经授权的攻击者不仅可以利用 XSS 漏洞修改显示内容，还可利用用户会话通过跨站点伪造请求漏洞提出包含特定 URL 与特定参数的请求，以便执行权限功能。 ○ SAP Governance 中存在风险与合规访问控制（GRC）代码注入漏洞（CVSS 基准分：6.5）。 ○ SAP BI Promotion Management 应用程序具有 XML 外部实体漏洞（CVSS 基准分： 6.1）。 ○ SAP Business Objects Titan 具有 XML 外部实体漏洞（CVSS 基准分： 5.4）。 目前，ERPScan 并未公布任何技术细节，以避免网络犯罪分子利用漏洞展开攻击活动。安全专家强烈建议 SAP 客户尽快安装修补程序。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 12 日消息，安全公司 Preempt 专家发现 Windows NTLM 安全协议存在两处关键漏洞，允许攻击者创建新域名管理员帐户、接管目标域名。微软已于本周二补丁日（ 7 月 11 日）发布安全补丁应对漏洞威胁。 NT LAN Manager（NTLM）是 Windows NT 早期版本的标准安全协议。尽管它在 Windows 2000 中已被 Kerberos 取代，但 NTLM 仍受 Microsoft 支持并被多数组织使用。 调查显示，第一处关键漏洞涉及 NTLM 中继器内未受保护的 Lightweight Directory Access Protocol（LDAP）协议，允许攻击者利用系统权限连接 NT LAN 管理器会话、执行 LDAP 操作,包括以管理员身份更新域名对象。即使 LDAP 签名可以保护凭证转发至服务器，但该协议也无法完全防止 NTLM 免遭中继攻击。 第二处 NTLM 漏洞影响 RDP Restricted-Admin 模式，允许攻击者在不提供密码的情况下远程访问目标计算机系统。RDP Restricted-Admin 允许身份验证系统降级至 NTLM，这意味着攻击者可对 RDP Restricted-Admin 执行 NTLM 中继攻击并破解目标系统登录凭证。研究人员称，当管理员连接 RDP Restricted-Admin 时，攻击者可根据该漏洞创建虚假域管理员帐户并控制整个目标域名。 目前，微软并未承认存在 RDP 漏洞，因为他们将其列为可通过网络正确配置解决的“已知问题”。Microsoft 除建议运行 NT LAN Manager 服务器的公司尽快修补漏洞外，还提醒各企业系统管理员关闭 NT LAN Manager 、监测流量异常迹象。此外，专家还要求系统管理员在连接 LDAP 与 SMB 数据包时需要通过数字签名进行检测，以防设备凭证遭受中继攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。