据外媒报道，美国报业巨头 Gannett 近日证实曾遭受网络钓鱼邮件攻击，近 18,000 名现任与前任雇员账户信息或已泄露。 今年 3 月 30 日，Gannett 发现黑客设法通过网络钓鱼邮件入侵多名 HR 电子邮件帐户。随后，该公司网络安全团队对此次网络攻击事件立即展开调查。据悉，攻击者尝试使用被劫持的账户欺诈 Gannett 转账未果，后由财务人员迅速发现异常并将该请求识别为可疑现象。在此期间，雇员出生日期、银行帐户信息、社会保障号码、薪酬、福利、工作经历与保险单信息可能已遭泄露。 Gannett 表示，目前尚未掌握攻击者窃取客户敏感信息的任何证据，而客户信息也并未受到此次网络钓鱼攻击影响。Gannett 已就钓鱼事件上报联邦执法机构并通过美国邮政服务公司告知受影响的 18,000 名员工。 此前 Verizon 发布的《 2017 年数据泄露调查报告 》就曾指出，黑客正大规模使用网络钓鱼技术面向全球用户进行敲诈活动。网络钓鱼攻击已成为攻击者最常见的社工手段，全球 43％ 数据泄露均由网络钓鱼导致。就在该起黑客事件发生后没多久， Google 与 Facebook 员工也纷纷成为网络钓鱼诈骗受害者。 原作者：Hyacinth Mascarenhas， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒 4 日报道，希腊当地安全公司在雅典国际机场、希腊 SKAI 电视台、沃达丰等全球知名企业服务器中均有发现 NSA 使用的间谍软件踪迹。 考虑到数据泄露的严重性，研究人员对 Shadow Brokers 在线泄露文档进行深入研究，同时大规模检测与分析希腊地区受 NSA 黑客工具影响情况。调查结果显示，希腊互联网公开暴露的 SMB（Port 445）约 1086 个、暴露远程桌面（Port 3389）服务 4263 个。希腊当地被安装 NSA 远程访问工具的重要机构/企业还涉及： ○ 雅典国际机场（目前尚无法确认其网络属机场基础设施还是第三方公司） ○ 希腊 SKAI 电视台部分 Web 服务器 ○ 沃达丰（或附属公司）部分服务器 ○ Interworks Cloud 内部网络管理系统部分服务器等 以上众多知名机构/企业系统均系感染了 NSA 泄露的恶意软件 “ Doublepulsar ” ，但目前尚无法确定间谍软件是由 NSA 或是第三方黑客安装。 原作者： Konstantinos Vavousis， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一份泄漏的文档显示，英国政府计划扩大其互联网监视权力，强迫 ISP 近实时的监视通信，安装后门设备去破解加密。 根据提议条款，英国想要扩大已经备受争议的调查权法案（Investigatory Powers Act），要求赋予它权力强迫 ISP 以可理解的形式，在一个工作日内交出一个人的实时通信内容，其中包括加密内容。 为了满足这一要求，ISP 将需要在其网络中引入后门。目前还不清楚该条款是否会执行，是否只影响在英国运作的互联网公司。新的条款引发了新的争议。 稿源：Solidot奇客，封面源自网络

据外媒 4 日报道，德国 O2-Telefonica 公司向 SüddeutscheZeitung 机构证实，攻击者利用 SS7 协议漏洞绕过 SFA 认证机制网络劫持银行账户资金。 SS7（ 7 号信令系统）是 20 世纪 70 年代末以来电信公司一直使用的一组协议，可使数据传输安全畅通、无泄露。而 SS7 协议漏洞则允许黑客通过重定向来电进行手机定位、发送短信至目标设备。 据悉，攻击者在利用 SS7 协议漏洞展开攻击时可绕过常见 Web 服务（例如 Facebook，WhatsApp ）的用户身份验证流程。 2014 年 12 月，德国研究人员在 Chaos Communication Hacker Congress 上透露，多数移动通信运营商使用的协议均存在严重安全隐患。尽管电信公司对其安全保障投入巨资，但使用此类漏洞协议显然导致客户面临严重的隐私泄露与安全风险问题。 网络如何确定用户位置？ 德国研究人员托比亚斯表示，网络能够根据基站信号较为准确地判断用户位置。尽管运营商管理信息的访问权限受限于网络技术操作，但通过全球 SS7 网络可发送任意语音通话与短消息至用户移动设备。 调查表明，黑客常在以往发生过的安全问题上大做文章，其中不乏 2014 年 4 月那起据称与俄罗斯黑客有关的 NKRZI 系统（乌克兰国家通信与信息化管理委员会）遭受入侵事件。专家注意到，许多乌克兰移动设备持有者已被源自俄罗斯的 SS7 数据包跟踪并窃取信息。 目前，安全专家正在紧密观察这起利用 SS7 协议漏洞窃取银行账户信息的前所未有的大规模黑客活动。经多方面来源证实，黑客在过去几个月内一直使用该种技术展开攻击活动。 据悉，黑客利用德国银行交易认证号码双因素认证系统发送垃圾邮件：首先在银行客户 PC 端传播恶意软件以收集财务信息（包括银行帐户余额、登录凭据与手机号码等）；再通过购买恶意电信供应商的访问权限重定向受害者手机号码并对其进行控制；最后登录受害人银行帐户、利用SS7协议漏洞访问帐户并授权进行欺诈性交易。 用 Diameter 协议替代 SS7 协议？ 电信专家提出在 5G 网络上利用 Diameter 协议替换 SS7 协议。不幸的是，该协议同样受到若干重要安全漏洞影响，其中包括缺乏对 IPsec 协议的强制执行等。 专家团队曾于去年进行多次测试并在由某全球移动运营商建立的测试网络上进行攻击仿真以评估连接至 LTE 网络的用户受攻击状态。在测试中，安全专家向来自芬兰的英国用户发起网络攻击并发现多种中断用户服务的方法，甚至能够临时或永久关闭整个地区范围内的所有用户连接。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒本月 3 日消息，美国旅游业巨头 Sabre 数据泄露，或危及在线预订系统相关信息。 美国证券交易委员会（SEC）备案显示，此次泄露事件涉及未经授权访问的支付信息，其中包含 Sabre Hospitality Solutions SynXis Central Reservation 系统的酒店预订处理数据。Sabre 证实，虽然未经授权访问的系统已被关闭，但目前尚未掌握足够证据排除攻击者早已访问个人身份信息（ PII ）、支付信用卡数据以及该公司管理的其他信息的可能性。 调查表明，此次事件影响可能极其严重。SynXis Central Reservation 产品是一款用于价格与库存管理的 SaaS 应用程序，目前在全球超过 32,000 家酒店内部广泛使用。安全专家 Brian Krebs 表示，Sabre 在了解情况后当即报告执法机构并聘请安全公司 Mandiant 着手调查此案。 据悉，Sabre 并非首次遭受网络攻击，传闻中国黑客早在 2015 年 8 月就已攻破 Sabre 系统。Karsten Nohl 与 Nemanja Nikodijevic 两位专家曾于 2016 年 12 月证实该系统存在严重安全隐患，缺乏应有的网络安全设计，致使攻击者极易修改、撤销任何乘客预订信息，甚至用退款为自己订票。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒本月 3 日报道，勒索软件 Cerber 新变种突现，具有多途径传播与文件加密功能，以及包括防沙箱与反杀毒软件技术在内的防御机制。 调查表明，Cerber 攻击事件不仅占 2017 年第一季度勒索软件攻击总量的 87％，还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月，趋势科技（ TrendMicro ）安全研究人员发现 Cerber 已存有六个版本，加之采用的 RaaS 出售模式可为运营商与开发人员创造数百万美元收入。 TrendMicro 威胁分析师吉尔伯特·西森（Gilbert Sison）指出，Cerber 新变种采用多种方法规避传统安全解决方案检测。而为扩大功能、保持领先地位，Cerber 自 2016 年出现以来就已经展现出勒索软件攻击链的多元化开发特征。 此外，Cerber 使用垃圾邮件作为恶意软件传播方式。Cerber 6 附带社工电子邮件，其中包含恶意 JavaScript 文件压缩附件。用户一旦打开附件，JS 文件就开始下载执行有效载荷、创建计划任务，并在两分钟后运行 Cerber 或运行嵌入式 PowerShell 脚本。TrendMicro 专家指出，在攻击链中添加时间延迟功能可使勒索软件有效规避传统沙箱检测。 研究人员指出，Cerber 6 目前可配置添加 Windows 防火墙规则，阻止系统中安装的防火墙、防病毒与反间谍软件产品的所有可执行二进制文件出站流量，限制其检测与缓解功能。此外，Cerber 进一步恶化分析工具与虚拟环境的自我认知能力（通过自我毁灭实现规避）以及针对静态机器学习的检测规避能力。据悉，Cerber 6 还在其加密环节中避免 RSA 与 RC4 算法的实现，有利于加密应用程序编程接口的维护。 原作者：Gabriela Vatu， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒本月 2 日报道，卡巴斯基目前正监控百余个黑客组织的活动，范围波及 80 多个国家的各行各业，其中不乏黑客组织 Lazarus APT 与 StoneDrill 等。 Lazarus（音译 “ 拉撒路 ”，又名 BlueNoroff ）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年即已涉足摧毁数据与破坏系统的网络间谍活动。Lazarus 还曾瞄准孟加拉国纽约联储与波兰银行展开攻击。 据卡巴斯基实验室报道，针对全球银行机构的黑客活动仍在持续。专家近期再度发现与 Lazarus APT 组织活动有关的新型恶意软件样本。以下是卡巴斯基实验室近期公布的 ATP 趋势报告最新发现： BlueNoroff 是最为活跃的黑客组织之一，主要攻击金融机构并试图感染若干地区不同受害者设备。 BlueNoroff 组织活动仍在持续。事实上，该组织最新恶意软件样本发现于 2017 年 3 月。 BlueNoroff 或为银行机构视面临的首要威胁。 此外，卡巴斯基 2017 年第一季度跟踪的其他活跃 APT 组织还包括 Shamoon 与 StoneDrill 。虽然这些组织风格迥异，但他们通力合作，使用高精度恶意软件 wiper 攻击沙特阿拉伯目标。据悉，专家将恶意软件 StoneDrill 与 Shamoon 2 及 Charming Kitten（又名 Newscaster 与 NewsBeef ）两起攻击活动相关联，发现该恶意软件被攻击者传播至沙特阿拉伯与至少一个欧洲组织。 专家们还发现 APT 组织 Shamoon、StoneDrill 与 NewsBeef 的恶意软件样式与组件存在大量相似之处。研究人员强调，APT 组织不屑创建新黑客工具，而是利用通用工具完成一系列操作。 目前，大量各式框架为网络间谍组织提供了多种选择，特别是横向活动，包括 Nishang、Empire、Powercat、Meterpreter 等。有趣的是，多数框架基于 Powershell 并允许使用无文件后门。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒本月 2 日报道，备受用户欢迎的加密货币交易平台 Btc-e 发布网络钓鱼邮件数量激增预警，推测当前趋势或为新一轮垃圾邮件或恶意软件传播活动来临前兆，提醒比特币社区用户加强安全意识。 调查表明，该垃圾邮件包含密码与 Microsoft Word 文档各一，发件人名称各不相同，包括 Pierce Cynthia 与 Parsons Dillon 等。 攻击者引诱受害者 “ 查阅附件 Btc-e 代码 ”，并声称账户信息赎回时限仅有数小时。知情人士表示，攻击者声称该 Word 文档处于加密状态（实为一份图像文件）。用户若想解密，必须输入电子邮件所附代码。一旦用户中招，恶意程序将自动下载并加密整个计算机系统。 渗透测试人员表示，此次大规模欺诈性电子邮件传播事件可能是攻击者精密部署的一次垃圾邮件攻击活动，主要采取利用 Office 新型漏洞绕过 Gmail 与雅虎过滤器的方法。 McAfee 与 FireEye 曾在近期报告中提及该 Word 漏洞可被黑客以附加文件形式利用，进而传播恶意软件与入侵工具包。补丁发布之前，数百万用户将置身危险之中。 据悉，Btc-e 曾于 2014 年遭受攻击，逾 56 万账户惨遭泄露。攻击者近期从 Btc-e、BitCoinTalk、MtGox 与  Bitcoinsec 等比特币网站与论坛窃取的数据包已在暗网售卖，内容包含电子邮件地址与密码、电话号码、出生日期及地点。目前，尽管该事件未经核实，新一轮攻击活动似乎已利用此前泄漏的信息展开攻击。专家强烈建议所有 Word 用户确保及时安装安全更新并为 Btc-e 帐户设置高强度密码。 原作者：Jason Murdock， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

根据 IBM X-Force 安全团队新近展开的一项分析，银行木马 TrickBot 已推动新一轮网络攻击，主要瞄准英国、澳大利亚与德国的私人银行、私人财富管理企业、投资银行、养老保险与年金管理机构。 报告显示，该银行木马黑客不断在攻击列表中添加重定向攻击。专家在检查每个网址后发现，攻击者一直在做大量 “ 功课 ”。调查表明，现有配置文件充斥私人银行、私人财富管理企业、投资银行，甚至养老保险与年金管理机构，位于英国的全球历史最悠久的银行之一也成为潜在攻击对象。 TrickBot 最初于 2016 年 9 月由安全公司 Fidelis Cybersecurity 研究人员发现并与银行木马 Dyre 相关联。据悉， TrickBot 主要针对澳大利亚银行（ ANZ、Westpac、St. George 与 NAB ）客户。此外，专家在分析首个 TrickBot 样本时发现攻击者利用单个数据窃取模块。数周后，研究人员又发现一个新型木马样本，其中包括疑似处于测试阶段的 Web 注入。 据悉，黑客曾于 2016 年底利用 TrickBot 针对英国与澳大利亚银行以及亚洲金融机构进行多次攻击。目前，又有 20 家私人银行沦为攻击目标，其中包括 8 家英国建筑协会、2 家瑞士银行、6 家德国私人银行平台与 4 家美国投资银行。此外，攻击者还将一家符合伊斯兰教法的银行设为目标。 Trickbot 威胁愈演愈烈。研究人员发现攻击者在一系列攻击活动中频繁使用 Trickbot。澳大利亚、新西兰与英国为此类威胁高发地区。IBM 专家预测，TrickBot 在未来数月内将持续攀升全球金融恶意软件家族排名榜，达到与 Dridex 和 Ramnit 同等威胁级别。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

韩国国防部检察团于 2 日发表 2016 年 9 月韩军军网被黑事件的调查结果，确定该案系朝鲜黑客组织所为。韩国国防部检察团表示，黑客攻击行为由朝鲜黑客组织主导，攻击代码也与朝鲜黑客常用的恶性代码类似。 检察团方面解释说，2015 年 1 月和 5 月疑似来自朝鲜的黑客针对向韩国国防部提供杀毒软件的企业进行攻击，在窃取大量杀毒软件资料后，针对软件弱点发起攻击。朝鲜黑客收集杀毒软件供货企业的电子证书和杀毒软件源码等信息，并对此加以分析后入侵韩国国防部网络杀毒中转服务器，向韩国军网服务器和电脑传播恶性代码。朝鲜黑客侵入国防综合数据中心，寻找到国防网和军网接点后，攻击国防网。感染恶性代码的电脑使用者中，未遵守安全规定的用户机密等军事资料被盗取。 韩国国防部表示，军方正在研究构建 “ 网络杀伤链系统 ”（Cyber Kill Chain），以抵御朝鲜的网络攻击。“ 网络杀伤链系统 ”是指在一系列网络攻击阶段中提前探测、切断及应对其中某一阶段的攻击，以在攻击者完成任务前成功化险为夷。 稿源：cnBeta、环球网，封面源自网络