据外媒 6 月 4 日报道，IBM 安全专家于近期发现成百上千的客户Active Directory 域在受到银行恶意软件 QakBot 攻击后被锁定。 Active Directory（ 活动目录 ）是面向 Windows Standard Server、Windows Enterprise Server 以及 Windows Datacenter Server 的目录服务。活动目录服务是 Windows Server 2000 操作系统平台的中心组件之一。（百度百科） 恶意软件 QakBot 是一种主要通过共享驱动器或移动设备实现自我复制的网络蠕虫。该恶意软件主要针对企业银行账号窃取用户资金与私人数据，例如：数字证书、缓存凭证、HTTP（S）会话认证数据、Cookie、身份验证令牌以及 FTP 、POP3 登录凭证等。近期，QakBot 被发现针对美国政府机构、银行开展攻击活动，其中包括美国国家财政部、企业银行与商业银行。 调查显示，恶意软件 QakBot 除了使用了特殊的检测机制规避沙箱外，还利用了 dropper 执行 explorer.exe 并在进程中自动注入 QakBot 动态链接库（DLL），以破坏其原始文件传播恶意软件。 安全专家表示，银行恶意软件 QakBot 为了在目标网络中进行传播，还能使用 C＆C 服务器的特定命令实现随需应变。此外，QakBot 还能利用“浏览器中间者”(Man-in-the-Browser，MitB)攻击，将恶意代码注入在线银行会话中，以便通过被控制的域名获取脚本。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，卡塔尔国家通讯社遭黑客网络攻击 10 天后，邻国巴林外交部长哈利德（Sheikh Khaled bin Ahmad Al-Khalifa）的 Twitter 帐号被黑。 巴林虽然是一个占地面积极小的国家，但却拥有着美国海军第五舰队与英国海军的基地。据悉，该起网络攻击事件是因为逊尼派君主制的警方袭击了一名主要什叶派教士的故乡，导致 5 人死亡、286 人被捕，致使网络战争一触即发。 据悉，哈立德的 Twitter 中遭黑客发布了一系列令人不安的图片推文，其中包括血腥的尸体、遭毁坏的清真寺，以及看似为描绘战争的儿童画。 巴林外交部虽然已证实此次网络攻击活动由恐怖组织引发，但并未透露该事件其他具体细节。巴林外交部表示，定将追究责任，保证国家网络安全。 稿源：本文根据 ibtimes、msn新闻翻译整理 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

FireEye 安全研究人员于近期发现 ExternalBlue （永恒之蓝）漏洞已被黑客利用传播 Nitol 后门与恶意软件 Gh0st RAT。 恶意软件 Gh0st RAT 是一款针对 Windows 系统的木马程序，该恶意软件主要被用于攻击政府机构、政治积极分子与其他政治目标；Nitol 后门则与影响旧版 IE 浏览器的 ADODB.Stream ActiveX Object 远程代码执行漏洞有关。 此次黑客传播 Nitol 后门与恶意软件 Gh0st RAT 所使用的技术与勒索软件 WannaCry 较为相似。一旦机器被成功感染，该恶意程序首先会自动打开一个 shell 并将指令写入 VBScript 文件中，然后执行程序获取另一台服务器中的 payload。 图：EternalBlue “永恒之蓝” 的利用机制 目前研究人员已在新加坡与南亚地区检测到一些恶意样本。安全专家预测，在未来几周或数月内，或将有更多攻击者利用不同 payload 将 Nitol 后门与恶意软件 Gh0st RAT 传播至世界各地。安全专家建议用户除了对系统与网络进行常规补丁管理外，系统管理员还需启用入侵检测与预防系统，禁用过时或不必要的协议与端口、主动监控网络流量、保护端点与部署安全机制。 FireEye 详细研究报告请戳这里。 原作者：Tom Spring，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络犯罪分子近期开始针对配置不当的 Hadoop Clusters 与 CouchDB 服务器展开攻击活动。目前全球因 Hadoop 分布式文件系统（HDFS）配置不当导致的数据泄露或达 5,120 TB。 据搜索引擎 Shodan 分析显示，全球将近 4500 台设备因使用 Hadoop 分布式文件系统（ HDFS ）时配置不当，致使服务器出现数据泄露现象，这些服务器主要位于美国（ 1,900 ）、中国（ 1,426 ）、德国（ 129 ）与韩国（ 115 ）等。调查显示已暴露的 HDFS 多数托管于云端，其中涉及亚马逊的有 1,059 个服务器、阿里云 507 个服务器。 据 Shodan 创始人约翰·马瑟利 （ John Matherly ） 透露，今年早些时候出现的针对数据库的勒索软件仍在发生，不仅危害着 MongoDB 同时也影响 HDFS 的部署。目前，约翰·马瑟利 在线分享了如何使用搜索引擎 Shodan 复制检测设备的所有必要步骤。此外，安全专家建议企业设备管理人员在安全模式下，按照指令说明正确配置 Hadoop 服务器。 原作者：Swati Khandelwal ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

法国政府网络安全机构（ ANSSI ）总负责人 Guillaume Poupard 于 6 月 1 日发出警示，由于黑客攻击活动的破坏性越来越大，网络空间或将面临着 “ 永久性战争 ” 的风险。 Poupard 在接受美联社（ Associated Press ）的采访中表示，“ 如今我们所看到的犯罪攻击活动多数来自境外各国，其中主要包括一些间谍活动与网络欺诈。目前，各国之间缺乏共同管理网络空间的规则，我们需要共同努力，否则全球 ‘ 永久性网络战争 ’ 或将迫在眉睫 ”。 美国国家安全局（ NSA ）局长 Michael Rogers 曾于 5 月 9 日向参议院军事委员会提交了一份声明，指出 “ 网络效应 ” 只是各国在短暂战争中维持主动权的一项措施， “ 网络战争 ” 也并非未来概念或电影奇观，而是真实存在的现象。 Poupard 表示，国家与国家之间、国家与犯罪分子或恐怖组织之间或将开展一场永久性战争。他们彼此相互攻击，没有谁会知道对方做了什么。这是一种普遍的混乱，或将影响整个网络空间。 稿源：Associated Press ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 1 日报道，知名网络安全公司 Check Point 发现一个疑似由中国企业 Rafotech 支持的恶意软件 Fireball ，允许黑客操控受害者浏览器、更改搜索引擎并窃取用户私人数据。目前，该恶意软件已感染 2.5 亿台电脑，或将引发全球网络安全危机。 恶意软件 Fireball 远离合法服务器，具有运行代码、下载文件、安装插件、更改计算机配置与监视用户等功能，甚至还可作为一款高效的恶意软件释放器。 调查显示，印度 2530 万台设备（ 10.1％ ）、巴西 2410 万台设备（ 9.6％ ）、墨西哥 1610 万台设备（ 6.4％ ）、印度尼西亚 1310 万台设备（ 5.2% ）与美国 550 万台设备（ 2.2% ）均遭受恶意软件感染，影响范围波及全球 20% 企业网络。 Check Point 表示，该恶意软件与一家声称为 3 亿客户提供数字营销与游戏应用的中国企业 Rafotech 存有潜在联系。恶意软件 Fireball 可通过 “ 浏览器劫持 ” 将自身捆绑至看似合法的软件上进行传播，致使用户无法更改受感染设备上的浏览器主页、默认搜索引擎。 调查显示，恶意软件利用 Rafotech  “ Deal WiFi ” 、“ Mustang Browser ” 、“ Soso Desktop ” 与 “ FVP Imageviewer ” 等产品软件进行附带传播。此外，Rafotech 还可利用虚假域名、垃圾邮件、甚至从黑客手中购买插件等方法传播该恶意软件。对此，Rafotech 目前尚未发表任何评论。 安全专家表示，用户可以使用一些简单的方法检查设备是否感染恶意软件 Fireball。首先，打开浏览器检查是否能将其更改为另一款搜索引擎，如 Chrome、Firefox 或 Explorer ；其次，检查默认搜索引擎是否也可进行更改。最后，扫描所有浏览器扩展程序。倘若无法修改上述选项，则表示该设备已感染恶意软件 Fireball。 目前，安全专家建议受影响用户从 Windows 控制面板中的程序与功能卸载恶意软件或使用 Apple 设备 “ 应用程序 ” 文件夹中的 Finder 功能从 PC 端删除该恶意软件。此外，受影响用户应将浏览器恢复为默认设置。 原作者：Jason Murdock，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球领先密码管理服务提供商 OneLogin 于 6 月 1 日证实，公司在美国数据区域检测到未经授权的访问记录。目前，虽然 OneLogin 并未透露关于此次网络攻击事件的具体细节，但该公司发布声明表示大量用户数据已失密泄露。 OneLogin 是一家基于云密码管理与身份管理的软件公司，旨在提供一项 “ 确保所有用户、所有设备与每个应用程序之间的连接 ” 服务。 调查显示，该公司在美国数据中心提供服务的所有客户均受到影响，其数据信息已经失密。此外，被盗数据还包括 “ 解密加密数据的能力 ”。目前，OneLogin 已阻止未经授权的访问权限并积极与执法机构和安全公司合作调查此次事件影响程度。 OneLogin 为客户提供以下操作清单，致力保护自身数据并尽量降低安全风险： ○ 为所有客户强制重置密码； ○ 生成新安全凭证、OAuth令牌、以及用于应用程序与网站的证书； ○ 回收秘密存储在 OneLogin 中的安全记录。 安全专家提醒用户留意近期的网络钓鱼邮件，因为这通常是数据泄露后网络罪犯的下一步措施。网络钓鱼旨在窃取用户更多详细信息。 原作者：Swati Khandelwal，译者：青楚，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

外媒 31 日报道，莫斯科威胁情报公司 Group-IB 近期发表了一份报告，揭示黑客组织 Lazarus 与朝鲜“秘密关系”的最新证据。 Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业 Wiper 攻击事件及 2016 年孟加拉国银行网络攻击事件有关。 黑客组织 Lazarus 攻击活动于 2014 年至 2015 年激增，其组织成员多数采用自定义恶意软件展开网络攻击活动。Group-IB 安全专家表示，该组织针对全球银行 SWIFT 系统的攻击活动留下了众多线索。 研究人员目前已检测并彻底分析了 Lazarus 如何使用复杂僵尸网络基础设施访问目标银行系统的相关细节。此外，他们还发现该黑客组织通过 SSL 发送加密数据、利用合法 VPN 隐匿真实身份。研究人员表示，自 Operation Blockbuster 报道过一份关于 Lazarus 组织成员的大量信息后，该黑客组织当即改变了攻击战略。 Lazarus 长期使用的两个 C＆C 服务器地址之一 —— 210.52.109.22 属中国网通 IP 段，但据调查显示 IP 210.52.109.0/24 范围早已被分配给了朝鲜。而另一 IP 地址 175.45.178.222 指向朝鲜互联网服务提供商，它被分配给了朝鲜 Potonggang 区域，“巧合”的是朝鲜最高军事机构也在这里。 此外多项证据也显示，黑客组织 Lazarus 正将其攻击活动伪装成俄罗斯黑客所为，即伪造恶意软件中的标志代码欺骗调查人员，以嫁祸俄罗斯黑客。 更多细节分析可阅读：Group-IB 报告《 Lazarus 的兴起 ：构架、技术与归属》 原作者：Pierluigi Paganini，译者：青楚，译审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

神秘黑客组织 “影子经纪人” 于近期重申，6 月起每月将向付费订阅的 “  Wine of Month Club ” 私人会员出售 NSA 新零日漏洞与黑客工具。 影子经纪人已发布参与每月订阅模式的相关说明，即在 2017.06.01 至 2017.06.30 期间向 z_address 支付 100 Zcash（ 约 21,519 美元 ）并转账时注明用于接收信息的收件地址，完成支付后客户所填邮箱地址将会受到付款确认邮件。等到 7 月 1 日至 17 日，影子经纪人将会向所有订阅会员发送包含机密文档的链接与密码。 此次影子经纪人并未透露更多关于机密文档的信息，但据此前预告显示，即将被公布的信息或包括： 1、适用于操作系统的零日漏洞，包括 Windows 10 2、适用于网络浏览器、路由器与智能手机的黑客工具 3、来自银行与 Swift 提供商的私人敏感数据 4、俄罗斯、中国、伊朗与朝鲜的核导弹方案 鉴于此前因 NSA 黑客工具已引发过一次全球安全危机，影子经纪人所带来的影响不容忽视，安全专家建议各大厂商提前做好应对准备。此外，影子经纪人还表示，如果安全公司每月以 21,000 美元购买 6 月数据转储信息，那么他们将在获取新漏洞之前确保不再曝光该产品漏洞相关细节。 本文据外媒 thehackernews 报道翻译整理，译者：青楚。封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 29 日报道，奥地利社会民主党（ SPÖ ）与奥地利人民党（ ÖVP ）目前正全力争取公民即时通讯应用程序的监控权限，致力打击恐怖犯罪分子袭击活动。安全专家表示，奥地利政府还将于今年 10 月国会选举结束后取消匿名移动设备 SIM 卡的使用。 曼彻斯特竞技场于近期发生的恐怖袭击事件，推动了奥地利政府针对打击恐怖袭击活动的国家监督措施的讨论。联邦宪法保护与反恐局局长 Peter Gridling 表示，恐怖袭击活动迫在眉睫且具有显著破坏风险。 奥地利 ÖVP 首席执行长 Sebastian Kurz 正敦促执法部门与情报机构进一步打击恐怖犯罪分子。此外，ÖVP 还于今年 3 月提交了一份针对以往数据保留的后续措施并提议更新法律，以便监控公民通讯应用程序 Whatsapp 与 Skype。 目前，奥地利政府已批准一项安全方案，允许政府监控公民 Skype 与 Whatsapp 使用权限。据悉，该方案措施存在一个主要问题，即在不使用加密算法后门的监控软件情况下，无法实现端到端加密通信的监控。另外，奥地利政府正协商讨论另一项安全措施，针对匿名移动设备 SIM 卡的最终调节。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接