据外媒报道，美国国家安全局（ NSA ）武器库于上周遭神秘黑客组织 “影子经纪人” 在线曝光，WannaCry 勒索软件肆意蔓延，致使全球各企业机构造成严重损失。为有效避免此类事件再次发生，美国两党议员趁热打铁于本月 17 日提出一项议案，迫使 NSA 将武器库转交至新审查委员会以确定哪些重大漏洞应尽快得到修复。 所谓 “ Protecting Our Ability to Counter Hacking Act ”（ PATCH Act ）即成立新技术审查委员会，接手审查 NSA 未披露的零日漏洞储存库，公开并及时修复更多软硬件漏洞。 尽管 NSA 一再声称，发现、保留并私藏漏洞的主要目的是为了捍卫国家网络安全，但前美国中央情报局（ CIA ）技术分析员斯诺登却直言，NSA 发现、利用、甚至在某些特殊情况下购买的漏洞多数用于政府监听与情报收集，只有极少部分用于维护自身网络安全。美国参议院国土安全和政府事务委员会主席罗恩 · 约翰逊（ R-WI ）指出，NSA 必须尽快向新技术审查委员会提供所有零日漏洞细节，以迅速制衡漏洞披露的需求与其他国家安全利益之间的关系，从而改善网络安全透明度与问责制。 目前，该议案虽然得到广大公民及全球各知名企业的支持，但具体规则却受到 “ Vulnerabilities Equities Process ” （ VEP ）约束，因 VEP 进程决定是否应该将漏洞用于网络间谍活动或公开披露。此外，立法委员会表示，虽然 VEP 尚未处于公开状态，但目前可通过监督来确保该议案的透明度与问责制。 原作者：Zack Whittaker ，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全公司 Sucuri 研究人员于近期发现，全球知名开源内容管理系统 Joomla! 3.7.0 Core 由于数据过滤不严谨出现 SQL 注入漏洞（CVE-2017-8917），允许黑客远程窃取数据库敏感信息、获得未经授权的网站访问权限。 知道创宇 404 安全团队针对该漏洞已输出分析报告： http://paper.seebug.org/305/ 考虑到 SQL 注入漏洞可使数百万网站遭受黑客攻击的风险，我们强烈建议网站管理员立即下载安装最新版本 Joomla! 3.7.1，以防黑客再度入侵网站、窃取用户信息。 本文内容翻译、整理：青楚，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 17 日报道，安全公司 DefenseCode 的研究人员发现了 Google Chrome 浏览器中存在的一个漏洞，其允许攻击者通过欺骗用户在 Windows PC 端下载恶意文件或 SCF 文件，从而窃取用户登录凭证并启动 SMB（服务器消息块）中继攻击。 研究人员表示，此次攻击活动极其简单，受害者在点击恶意链接时，将自动下载 Windows Explorer Shell 或 SCF 文件，而 SCF 文件被触发后会向攻击者发送 SMB 服务器身份验证请求，从而泄露受害者的用户名与哈希密码。 调查显示，攻击者仅需诱导受害者在 Windows 环境下使用 Chrome 浏览器访问其恶意网站，即可窃取并使用受害者的身份凭证，即便受害者并无管理员权限。此外，研究人员表示，该漏洞将影响所有 Windows 版本下的 Chrome 浏览器，甚至包括 Windows 10 系统。 Chrome 的这一漏洞目前尚未被修复。安全专家提醒用户可通过禁用浏览器自动下载功能来防范风险，同时将 SMB 服务限制在专用网络内，并配置好基于 Internet SMB 服务器连接的防火墙端口。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

网络安全公司 FireEye 专家近日发现黑客组织 APT32（也称为：OceanLotus）瞄准越南境内多家行业机构、外国政府、持不同政见的组织及记者媒体展开大范围网络间谍活动，或有越南政府背景。 FireEye 安全专家注意到黑客组织 APT32 自 2014 年以来就针对越南多家境外制造业、消费产品生产业及酒店领域进行情报搜集活动，主要收集包括目标企业的运营情况、是否遵守越南相关条例等。APT 32 所获情报均与越南国家利益有关，对其普通公民毫无用处。此外，黑客组织 APT32 还利用独特的恶意软件结合商业工具针对外围安全企业及与境外投资相关的安全公司展开网络攻击。因此，安全专家推测黑客组织 APT32 可能与越南政府有关，但越南政府当即否认参与其中。 近期，安全专家监测到黑客组织 APT32 利用恶意软件发起网络钓鱼攻击活动。有趣的是，该附件并非 Word 文档，而是包含恶意宏的 ActiveMime 文件。此外，攻击者还使用合法的基于云的邮件服务跟踪分析钓鱼邮件是否成功投放。分析显示，此次攻击活动所使用的恶意工具包括一系列定制后门，如 Komprogo、Soundbite、Phoreal 与 Beacon 等。 专家提醒，随着越来越多的国家利用廉价高效的网络活动收集情报信息，各国公民有必要保持警惕、提高安全意识以防境外情报机构的渗透。 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国数字签名巨头 DocuSign  16 日证实，黑客短暂访问了公司网络、窃取客户邮件地址并对外发送了大量钓鱼邮件。 黑客利用 DocuSign 公司的“ eSignature ” 系统作为诱饵，通过电子邮件将伪装后的会计发票发给用户以传播恶意软件 ，虽然邮件标题及正文均使用 DocuSign 品牌，但并非从 DocuSign 相关域名发出。 目前，尚不清楚黑客企图传播何种类型的恶意软件。DocuSign 表示此次数据泄露事件中仅用户邮件地址被盗，并未涉及用户名称、实际地址、密码、社会安全号码、信用卡数据或其他信息。此外，该公司正敦促所有用户倘若收到任何恶意电子邮件可将其转发至 spam@docusign.com 后，再进行删除操作。 美国执法部门展开调查后表示，如果用户没有通过 DocuSign 的 “ eSignature ” 系统发送邮件或访问文档，即 DocuSign 核心电子签名服务、信封与用户文件数据将依旧安全。 原作者：Jason Murdock，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 15 日报道，全球勒索软件 “ WannaCry ” 肆意爆发，目前已造成逾 150 个国家的 20 多万用户遭受影响。谷歌与卡巴斯基安全研究人员经调查其恶意代码发现，勒索软件 “ WannaCry ” 或与朝鲜黑客组织 Lazarus 有关。 Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业 Wiper 攻击事件及 2016 年孟加拉国银行网络攻击事件有关。 调查显示，勒索软件 WannaCry 早于今年 2 月就已在互联网中浮现，疑似从 2015 年后门代码中复制而来，是 WannaCry 加密器的一个早期变种。近期，Google 安全研究人员 Neel Mehta 首先揭示勒索病毒 WannaCry 早期版本与恶意软件 Contopee 之间的共享代码极其相似，其后者正是黑客组织 Lazarus 于去年大规模攻击孟加拉国 SWIFT 银行所采用的恶意软件。 据悉，安全专家在研究并分析数百个恶意软件样本后表示，黑客组织 Lazarus 正经营一个恶意软件工厂，通过多个独立输送机器生产新型攻击样品，而恶意软件 Contopee 就是其中一个输出样品。 此外，尽管早期 WannaCry 代码与恶意软件 Contopee 极其相似，但近期 WannaCry 样本中并未发现相似代码。安全专家表示，可能相似代码已被开发人员删除；也可能此次研究结果完全存在误判，因为同样的代码可能由不同的开发人员编写。但无论如何，Neel Mehta 发现的同源代码是迄今为止查找 Wannacry 起源的重要线索。 赛门铁克表示，安全专家自上周末起开始调查并监视勒索病毒 WannaCry 感染的已知群体。他们发现早期版本的勒索病毒 WannaCry 因不具备利用 MS17-010 漏洞展开大规模攻击的能力，因此并未引起关注。 不过，部分安全专家表示此时得出“朝鲜发动勒索软件攻击”的结论为时尚早，报告中所列依据未能使人完全信服。 原作者：Jason Murdock，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 15 日报道，维基解密再度曝光两份 Vault7 文档，揭示美国中央情报局（ CIA ）使用恶意软件 AfterMidnight 、 Assassin 后门功能操控与监视 Microsoft Windows 系统设备。 恶意软件 AfterMidnight 允许黑客在目标系统中动态加载与执行恶意 payload。其主要 payload 被伪装成系统自身的动态链接库 ( DLL ) 文件并进行 “ Gremlins ”操作，以便黑客摧毁目标软件、收集信息或为其他 “ Gremlins ” 提供内部服务。此外，恶意软件 AfterMidnight 基于 HTTPS 的 Listening Post（ LP ）服务会检查所有预设计划和执行情况，每次接收新任务后，AfterMidnight 都会下载系统组件并存储于内存之中。 Assassin 则是一个自动化植入软件，为远程运行 Microsoft Windows 操作系统的计算机提供简单的数据收集平台。一旦工具安装在目标系统中，Assassin 将在 Windows 服务过程中运行并定期返回数据。此外，Assassin C2（指挥与控制）和 LP （听力后勤）子系统能够相互配合以便 CIA 通过受感染系统执行特定任务。 原作者： Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 13 日报道，安全公司 McAfee 提供的一份报告显示，全球医疗机构于 2016 年被迫向网络犯罪分子支付赎金 1.21 亿美元（约合 9400 万英镑）。如今，黑客已将医疗机构视为当今科技环境下实现创收最有利可图的方式之一。 众所周知，医疗机构在更新安全补丁方面进展极其缓慢，部分原因是更新过程中一旦发生关键系统离线，后果将不堪设想。所以，多数医疗机构不愿更新 IT 基础设施，然而为了挽救患者生命，一般都会如数缴纳赎金找回数据，致使自身系统成为黑客袭击的 “ 软目标 ” 攻击对象。 上周末，随着全球勒索病毒的持续蔓延，英国国家医疗服务体系( National Health Service，简称 NHS )成为最大受害者，英国与苏格兰境内至少 45 家医院遭受勒索病毒攻击。据悉，NHS 成为黑客猎物很大程度上是因为 NHS 高达 90％ 的医疗机构仍在使用微软已停止提供支持的 Windows XP 系统。此外，虽然此次袭击活动并未将 NHS 机构设为直接目标，但却着实在全球范围内造成一定影响。 原作者：Tareq Haddad，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 12 日报道，安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞，可能导致用户遭受网络钓鱼攻击。 XSS（跨站脚本攻击）：攻击者在 Web 页面插入恶意 Script 代码，致使用户浏览页面时自动执行代码，从而达到恶意攻击用户的目的。 调查显示，XSS 漏洞存在于 $_SERVER[‘PHP_SELF’] 函数之中，允许攻击者发送网络钓鱼邮件。倘若用户接收邮件并 “点击链接 ” ，那么攻击者即可假冒目标用户肆意发送恶意 JavaScript 并拥有无限访问网站权限。 目前，谷歌表示该库仅是 “ 测试版本 ” ，而关于如何使用 API 与 OAuth2 协议将谷歌数据应用于其他项目的可信 Stackoverflow 论坛与教程已在线公布很长时间。所以，用户不必太过担心，谷歌承诺尽快修复补丁，以保证用户系统的安全。 原作者：Richard Chirgwin，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 与您一同跟进全球 WanaCrypt 勒索软件影响情况 【国内要闻】 中石油受比特币勒索病毒波及，超8成加油站已重新连网 因全球比特币勒索病毒爆发，全国包括北京、上海、重庆、成都等多个城市的部分中国石油旗下加油站于 5 月 13 日凌晨突然出现断网现象，导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过，加油站加油及销售等基本业务仍可正常运行。 为确保用户数据安全和防止病毒扩散，中国石油紧急中断所有加油站网络端口，并会同有关网络安全专家连夜开展处置工作，全面排查风险，制定技术解决方案。 多地公安部门、高校提醒防范“勒索”，有部分单位疑中招 多地公安部门、高校于 5 月 13 日下午均通过官方微博、微信、网站发布提醒信息：“ 新型 ‘ 蠕 ’ 式勒索病毒爆发，请广大用户升级安装补丁 ”。相关媒体走访部分医院、加油站、公安局与各高校发现，除中国石油旗下加油站与云南各高校外，其他单位网络暂未受到勒索病毒影响。目前，各单位已开始升级系统，以防勒索病毒再度传播。   【国际动态】 勒索病毒迄今已攻击至少 150 个国家，受害者达 20 万 勒索软件攻击事件已造成 150 多个国家的 20 多万人受影响，欧洲刑警组织负责人警告网络攻击威胁升级。英国和俄罗斯目前位于受害程度最严重的国家之列。安全专家警告称，新一波攻击正在临近，并且可能势不可挡。数据显示黑客留下的账户已收到约 2.85 万美元的汇款。欧洲刑警组织正在与美国联邦调查局合作，试图找出此番攻击的幕后黑手，此案涉案人员可能不只一人。 为防止勒索病毒攻击蔓延 法国雷诺部分工厂停产 法国汽车厂商雷诺公司为防止席卷全球勒索病毒攻击其计算机系统，该公司于 5 月 13 日决定暂停多家工厂生产活动以预防勒索病毒网络攻击。调查显示，雷诺是法国首家被勒索病毒影响的企业，目前该病毒已影响近 150 个国家的数万台计算机。 勒索病毒攻击者可能会调整代码并重启攻击 全球网络勒索病毒攻击不仅迫使欧洲汽车制造商停止汽车生产，还导致俄罗斯超过一半的电脑疑似感染勒索病毒。此外，部分中国学校和印尼医院的网络也纷纷受到影响。 欧洲刑警组织（Europol）下设的欧洲网络犯罪中心表示，正与成员国调查机构和私营的安全公司密切合作，打击这一网络威胁并帮助受害者恢复文件访问权限。此外，研究人员表示，攻击者可能会调整代码并重新启动循环。不过，目前还没有任何调整，但他们肯定会发生。 勒索病毒为何偏爱医院：怕耽误病情更新补丁太慢 迅速向全球扩散的勒索病毒网络攻击受害者持续增加，英国国民健康服务局( National Health Service )下属的 16 家机构受到影响，其中包括位于伦敦、英格兰西北部、英格兰中部的医院都呼吁称，处于非紧急状态下的病人最好待在家里，并全力阻止恶意软件扩散。此外，本次勒索病毒袭击活动中，多数大型企业也未能幸免，比如西班牙电信巨头 Telefonica SA 企业和美国 FedEx Corp 公司均遭受勒索病毒攻击。 本文由 HackerNews.cc 整理发布，转载请注明来源。