洲际酒店集团（ IHG ）近期发布了一份新数据泄露报告，指出至少 1200 家酒店支付卡系统遭黑客攻击。本次网络攻击后果远远要比最初设想的更加糟糕。 2017 年 2 月，IHG 首次承认皇冠假日酒店、假日酒店、烛木套房、金普顿酒店及度假村等连锁酒店公司于去年 12 月底被发现数据泄露迹象。随后，该公司发表声明表示“攻击范围相当微弱，仅影响 IHG 管理的 12 家品牌公司” IHG 安全团队在调查后发现攻击者能够依赖酒店支付卡处理系统在服务器上安装恶意软件，以窃取用户信用卡磁条中的所有信息，如持卡人姓名、卡号与内部验证码，并允许攻击者利用客户信息克隆信用卡进行欺诈性支付。 IHG 通知受影响客户后，悄然发布有关违规的其他信息以结束此次事件，但受影响客户似乎并不满意此举措。IHD 发言人证实已有 1,200 家 IHG 品牌特许经营酒店系统遭黑客攻击。 IHG 表示，攻击者利用恶意软件于 2016 年 9 月 29 日至 12 月 29 日期间入侵酒店前台电脑系统，窃取用户信用卡数据。尽管 12 月 29 日以后，并未掌握未授权访问的任何证据，但在 2017 年 2 月与 3 月财产调查时，可以确认恶意软件已被全部消除。 目前，IHG 正利用一种新型搜索工具，逐一检查客户信息。此外，酒店连锁店还免费提供受感染电脑系统进行取证，以推动公司实施安全支付解决方案（ SPS ）、加密持卡人信息。IHG 也与支付卡网络商以及安全公司合作，确保恶意软件已从酒店系统的每个位置消除。 IHG 表示此事件开始之前，实施了 IHG 安全支付解决方案（SPS）的特许经营酒店并未受到影响，SPS 方案的实施确实有效阻止了恶意软件再次窃取酒店数据。调查显示，攻击者并非仅以 IHG 酒店的客户信息为目标，去年，凯悦酒店承认其在  54 个国家的 250 家酒店系统也遭到恶意软件感染。 原作者：Charlie Osborne，译者：青楚，译审：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近期，网络安全公司 Radware 维护的蜜罐中检测到一款新型恶意软件 BrickerBot ，主要通过锁定 Linux 中使用 BusyBox 工具包的物联网设备进行暴力攻击，从而破解设备账户与密码信息。 分析显示，恶意软件 BrickerBot 在成功入侵系统后，会执行一系列 Linux 命令破坏存储空间，致使受感染设备永久性拒绝服务（ PDoS ）攻击，也称为“ 变砖 ”。Radware 表示，这种攻击会严重损害系统设备，一旦遇上则必须替换或重新安装硬件设备。调查表明，恶意软件 BrickerBot 一些行为也与 Mirai 相似，都会通过预植的用户密码进行暴力破解以窃取账户。 目前，Radware 并未列出网络连接设备，而常见的网络摄像头、玩具甚至智能灯泡都存在存在被网络攻击的风险。 研究人员表示，攻击者也对 Ubiquiti 网络中的设备进行定位并针对目标设备发动攻击。恶意软件进入设备系统会立即执行一系列命令、删除默认网关与设备文件，禁用 TCP 时间戳，打乱设备内存数据。 研究人员表示，恶意软件将增加额外命令，刷新所有 iptables 防火墙与 NAT 规则，并添加规则有效擦除所有感染痕迹。不幸的是，即使在恢复出厂设置也无法恢复设备。调查表明，由于设备制造商通过 Tor 匿名网络隐藏位置，目前还无法确定攻击来源。 恶意软件 BrickerBot 的出现促使美国国土安全部的网络应急响应团队（ CERT ）发布预警通告，指出目前还未收集到关于被攻击设备类型与数量的统计报告。研究人员表示，这一恶意软件或许已经危及 2100 万台物联网设备，但尚不清楚 BrickerBot 攻击意图。 原作者：Zack Whittaker，译者：青楚，译审：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 18 日报道，管理 10,000 余家金融机构资金转移的全球银行平台 SWIFT 已关注美国国家安全局（ NSA ）利用微软产品漏洞监视客户事件，敦促用户增强安全意识。 上周，神秘黑客组织 Shadow Brokers （影子经纪人）发布一份重磅文档，揭露 NSA 黑客通过入侵中东与拉丁美洲第三方服务访问 SWIFT 网络系统。据悉，该组织曾泄露 NSA “ 网络武器 ”文件。 SWIFT 于 4 月 17 日发表声明，敦促客户密切关注自身安全，在选择服务机构与其他第三方提供商时需慎重考虑。及时安装安全更新、补丁与安全软件是保护软件与系统免遭入侵的关键所在。SWIFT 通过定期发布安全更新与强化产品功能防止系统受到攻击。 分析泄露文件的安全专家表示，黑客组织 Shadow Brokers 揭露美国间谍于 2013 年至少瞄准两家服务机构，而为用户提供 SWIFT 连接与反洗钱服务的迪拜 EastNets 就是其中一家目标企业。相关文件显示，NSA 黑客瞄准官方承包商的九台服务器进行攻击，而另一份被泄露的电子表格则显示包括卡塔尔首家投资银行、迪拜黄金、商品交易所在内的中东银行机构与科威特石油公司均被列为关注对象。 网络安全公司 Comae Technologies 创始人 Matt Suiche 在博客中写道，如经证实，NSA 的动机表现为试图完全控制国际金融体系主干、监视 SWIFT 服务机构甚至整个 SWIFT 网络系统。Matt Suiche 表示，这是关于 SWIFT 服务机构实际运作方式以及内部基础设施信息的首次披露。这些信息（如基础架构图、脚本、工具等）对攻击者而言极具价值。 SWIFT 于本周一系统更新中说明，虽然这些信息“ 已成为历史 ”，但与服务机构之间仍保持密切联系，以此提醒自身将具有网络犯罪威胁告知用户并实施全新安全检查的职责。安全专家表示，攻击者在未经授权的情况下尝试获取两家服务机构的数据访问权限，目前尚未掌握未授权访问的任何证据，可以确认未对 SWIFT 基础架构或数据造成任何影响。 4 月 14 日，微软强调 NSA 黑客利用的漏洞已于近期安全更新中修复。当天，EastNets 首席执行官 Hazem Mulhim 否认黑客入侵 EastNets Service Bureau（ENSB），尽管屏幕截图显示的情况刚好相反。据悉，继去年孟加拉国中央银行网络遭受入侵攻击后，此次事件成为 SWIFT 近年来第二大丑闻。 原作者：Jason Murdock，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，Snapchat 首席执行官 Evan Spiegel 因出言不逊惹恼印度黑客，致使 170 万用户凭证遭泄露。 根据上周 Snapchat 前雇员提出的诉讼声明，Spiegel 取消了向某些国际市场扩张的计划并声称 Snapchat 仅供“ 富人 ”使用，不愿扩张至印度、西班牙等贫穷国家。 随后，Snapchat 官方出面澄清，Snapchat 可供全球每个用户免费下载使用，此前不实言论由公司心怀不满的前雇员随意捏造。公司感谢印度与其他国家 Snapchat 社区为 Snapchat 的发展做出贡献。 据悉，此份诉讼声明引起广泛抵制运动，印度用户及黑客要求 Spiegel 公开道歉。知情人士透露，印度黑客曾在 2016 年挖出 Snapchat 数据库漏洞并借此窃取 170 万用户凭证。更糟糕的是，该数据库已泄露于暗网之中。目前， Snapchat 公司尚未确定印度黑客是否已经成功窃取用户数据。 事态的发展出人意料，群众因未经证实的言论而感到愤懑的做法可谓有失理智，尤其考虑到指控来源与当事人所处境遇。虽然 Snapchat 公司进一步作出解释，指出该雇员因表现欠佳而被解雇，结果反招致更多质疑。 抵制的呼声如野火般迅速蔓延，并无削减之势。报告显示，Snapchat 在印度约有 400 万用户。目前还不清楚这 170 万用户来自哪些国家，其中是否包括印度用户。 原作者：Gabriela Vatu，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Forcepoint 安全专家表示，CradleCore 作者正在许多地下犯罪论坛提供该勒索软件源码，允许犯罪分子请求代码定制版本，有别于典型的 ransomware-as-a-service ( RaaS ) 模式。 勒索软件 CradleCore 采用 C++ 源码，配合必要的 PHP Web 服务器脚本与支付面板。两周前，该款恶意软件售价 0.35 比特币（约合 428 美元），接收议价。 恶意软件开发者一般通过 RaaS 商业模式牟利。只有在具体做法不可行的情况下才会考虑出售恶意软件源码。据悉，该销售模式将导致 CradleCore 衍生更多变体。 CradleCore 功能相对完整，采用 Blowfish 进行文件加密，此外还允许离线加密。其恶意代码可以实现沙箱对抗机制并通过 Tor2Web 网关与 C2 服务器通信。调查表明，目标系统一旦感染，勒索软件 CradleCore 将对文件进行加密处理并向受感染系统发送 “ 死亡威胁 ”。加密后的文件被附加 .cradle 扩展名。 虽然 CradleCore 的广告网站托管在暗网上，但该网站的 Apache 服务器状态页面显示为可查询状态。日志显示，托管 Onion 网站的 Apache 服务器还有一个托管 clearnet 网站的虚拟主机（ VHost ），允许多个网站托管在一台机器与一个 IP 地址之上。 Linode 分配的托管网站 IP 地址看似专用。这实质上意味着服务器或遭受入侵、被滥用托管 CradleCore 网站，或 clearnet 网站与 CradleCore 属于同一所有者。 由此看出，CradleCore 是又一款可供网络犯罪分子利用的新型勒索软件。作为源码销售的原因可能是作者对恶意软件商业模型了解有限，或为开发者寻找额外收入的首个项目或附加项目。也就是说，购买者不仅可以更新该款勒索软件，还可将源码分享至他人。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧盟用户或许记得微软承诺通过 “ 通用数据保护条例 ”（简称 GDPR）来加强成员国内的数据安全，且这家公司会在 2018 年 5 月 28 日正式遵从 GDPR 。 在一篇博客文章中，微软全球副总裁兼总顾问 Rich Sauer 披露，该公司已经开始向公众提供符合欧盟法律规定的服务，旨在带来‘ 与 GDPR 相关的重要保障 ’。Sauer 表示：“ 我们坚信隐私是基本权利，而 GDPR 是澄清这点的重要一步。借助后续更新，我们可以让你遵从新规。在这个过程中，我们会继续推进个人隐私的防护 ”。 对于大企业来说，迎合新法规需要预先经过诸多调整，不过这家软件巨头在 “ Trust Center ”页面给出了一些建议（涵盖所有必须的信息，提到了 Windows / Windows Server，以及 Azure 和 Office 365 等云服务），以供业内参考。 GDPR 向欧盟用户提供了对自己部分数据集的控制权利（data subject rights）这包括 —— ● 用通俗语言阐明如何访问现有信息、以及将个人信息用于何处； ● 访问个人数据； ● 删除或更正错误的数据； ● 可在某些情况下调整和擦除个人数据；（简称 “ 被遗忘权 ”） ● 限制或反对处理个人数据； ● 索取一份个人数据的副本； ● 反对将数据用于某些特定的用途，比如营销和分析。 稿源：cnBeta；封面源自网络

据外媒 17 日报道，垃圾邮件攻击者正在通过名为 “ IRS Updates.jar ” 与 “ Important_PDF.jar ” 的附件传播基于 Java 的远程访问木马 jRAT，主要攻击目标为税务人员。该木马一旦成功执行，攻击者即可获取被入侵终端访问权限。 互联网安全公司 Zscaler 在跟踪 jRAT 的过程中发现，上个月针对 Android 手机的部分攻击活动可能与木马 Loki 有关。Zscaler 安全研究员 Sameer Patil 表示，该恶意软件继续利用当前漏洞与相关事件引起不知情受害者注意并以此展开攻击。 2017 年 3 月，微软公布了一系列通过税务诈骗传播 Zdowbot 与 Omaneat 银行木马的网络钓鱼活动。4 月 18 日，也就是纳税期限的前一天，相关部门出示警告，为税务诈骗案高发季节再添波澜。 Patil 表示，用户一键点击即可成为 jRAT 木马受害者，使个人或企业网络陷于囹圄。据悉，jRAT 有效载荷能够从 C2 服务器接收命令，在受害者设备中下载与执行任意有效载荷，以悄悄激活相机拍摄照片的方式窥探受害者信息。尽管使用基于 Java 的 RAT 并非仅此一例，这款 RAT 与近期发现的其他 RAT（如利用 EPS 漏洞的 ROKRAT 以及针对 Android 设备的 SpyNote RAT ）起到的作用形成对比。 Patil 指出某个 jRAT 样本利用的混淆级别——晦涩难懂、不易反编译。一旦收件人打开恶意 Java 归档（ JAR ）附件，VBScript 就会在 Windows “ ％APPDATA％ ”目录中放置一个名为 “ Retrive <Random number>.vbs ”的文件。随后，dropper 为现有防病毒软件或防火墙软件运行检查。研究人员表示，JAR 文件只是 jRAT 主文件的一个 dropper 与 decrypter，基本上包含了加密形式的 jRAT 样本。具体加密通过嵌入式 AES 密钥实现，而该 ASE 密钥则通过 RSA 密钥进行加密。 调查表明，攻击者利用包含机器人通信细节的加密配置文件与 C2 服务器进行通信，经由系统重启时自动启动的注册表项实现主机上的持久功能，通过硬编码 URL（workfromhomeplc[.]ru/dmp/PO％233555460.exe）下载其他恶意可执行文件，但 URL 在分析之时并不处于活跃状态。研究人员指出，URL 也被用于承载 Loki 木马。 上个月，多家手机制造商生产的移动设备供应链被曝发现预先安装恶意软件，其中六台设备被查出感染 Loki 木马。 Loki 木马具有持久性机制，不仅可以通过广告展示产生收益，还可以拦截 Android 设备的通信与渗透数据。 原作者：Tom Spring，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据彭博社报道，手游的流行让庞大的玩家群体成为黑客攻击的目标。日本出现了黑客伪装游戏促销进行钓鱼攻击的事件，并且黑客的目标并非玩家的帐号密码或个人信息那么简单，而是通过黑进手机进一步窃取玩家雇主企业的机密信息。一位日本科技公司的员工就因贪图便宜而不幸中招。玩家收到一封貌似《龙族拼图》（Puzzle & Dragons）游戏发来的邮件，邮件恭贺该玩家成为该游戏的首批玩家并声称将为前 100 名玩家提供的免费的 300 颗“ 魔法石 ”（游戏货币），点击信中链接即可领取。 安全软件公司 FireEye Inc. 的统计显示，网络犯罪分子开始流行用这种手段潜入企业员工手机，进而打入企业网络窃取机密。虽然确切受影响的企业数量并不清楚，但 FireEye Inc. 称每月有数百家企业受到威胁，并且这个数字还在上升。虽然这种“ 鱼叉式网络钓鱼 ”（ spear phishing ）攻击手段并不新鲜，但黑客们似乎发现模拟游戏促销的伎俩异常好使。《龙族拼图》已被下载超过 4500 万次。 FireEye 指出，虽然“魔法石”骗局的幕后黑手尚未得到确认，但有迹象显示可能来自中国和朝鲜政府支持的黑客。且攻击目标针对能源、化工和建筑领域的特定企业。 日本于 2014 年 11 月 颁布了《网络安全基本法》，并于次年成立了网络安全策略和事件应对国家中心（ NISC ），但并没有法律条文要求公司披露受遭到的攻击，除非涉及到个人资料的丢失。 稿源：cnBeta 内容节选；封面源自网络

研究人员发现一种“几乎无法检测”的新型钓鱼攻击，就连最细心的网民也难以辨别。黑客可通过利用已知漏洞在 Chrome、Firefox 与 Opera 浏览器中伪造显示合法网站域名（例如：苹果、谷歌或亚马逊等），窃取登录或金融凭证等敏感信息。 说到辨别钓鱼网站的最佳方式，我们最先想到的是检查地址栏并查看网址是否已开启 HTTPS，然而，如果浏览器地址栏显示的是“www.аррӏе.com”，你是不是 100% 确信它是苹果官网呢？ △ 网址 www.аррӏе.com 是 Wordfence 安全专家为演示漏洞而创建的欺诈网址，实际为域名“epic.com ”。 Punycode 网络钓鱼攻击 Punycode 是一种供 Web 浏览器将 Unicode 字符转换为支持国际化域名（ IDN ）系统 ASCII（ AZ，0-9 ）有限字符集的特殊编码。例如，中文域名 “ 短.co ” 在 Punycode 中表示为“ xn--s7y.co ”。通常情况下，多数 Web 浏览器使用“ Punycode ”编码表示 URL 中的 Unicode 字符以防御 Homograph 网络钓鱼攻击。 研究人员表示，上图演示的漏洞依赖于 Web 浏览器仅将一种语言的 Punycode URL 作为 Unicode 的事实（如仅限中文或仅限日文），而对于域名包含多种语言字符的情况则无效。这一漏洞允许研究人员注册一个在所有存在漏洞的 Web 浏览器（如 Chrome、Firefox 与 Opera ）上显示为 “ apple.com ” 的域名 xn—80ak6aa92e.com ，并绕过保护措施。 换句话说，你以为看到的是苹果官网 “apple.com”，实际上它是网站“xn—80ak6aa92e.com”，也就是“epic.com”。不过，经过小编们的大胆尝试发现，这一钓鱼网址在微信上并不管用。 △ 网址一模一样是吧？然而假网址“www.аррӏе.com” 在微信上不会显示蓝色链接 不过，大家可以放心，IE、Microsoft Edge、Safari、Brave 与 Vivaldi 浏览器上面并不存在这个漏洞。 Google 即将推出补丁，Mozilla 还在路上 据悉，研究人员已于今年 1 月向受影响浏览器厂商（包括 Google 与 Mozilla ）报告此问题。目前，Mozilla 仍在讨论解决方案，而 Google 已在 Chrome Canary 59 中修复该漏洞并将于本月末伴随 Chrome Stable 58 发布提供该漏洞的永久性修复补丁。 对此，安全专家建议用户在 Web 浏览器中禁用 Punycode 支持，并对网络钓鱼域名加以识别的做法以暂时缓解此类攻击造成的影响。 Firefox 用户缓解措施（不适用于 Chrome 用户） Firefox 用户可按照以下步骤手动申请临时缓解措施： 1. 在地址栏中输入 about:config，然后按Enter键。 2. 在搜索栏中输入 Punycode； 3. 浏览器设置将显示参数 IDN_show_punycode，通过双击或右键单击选择 Toggle 的方式将值从 false 改为 true。 然而，Chrome 或 Opera 不提供手动禁用 Punycode 网址转换的类似设置，因此 Chrome 用户只能再等几周获取官方发布的浏览器最新版本。 知道创宇 404 安全专家表示，倘若攻击者利用这一漏洞结合钓鱼邮件发至重要企事业单位，很有可能导致重要信息外泄。对此，专家们建议广大网民访问重要网站时选择手动输入网址，不要轻易访问未知网站或电子邮件中提及的任何链接，以防中招。 原作者：Mohit Kumar，译者：青楚，译审：游弋、狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 16 日报道，以色列汽车网络安全公司 Argus 的研究人员发现，博世（Bosch）公司推出的 Drivelog Connector 电子狗与手机 APP 存在安全漏洞，甚至允许黑客远程关闭汽车引擎。      安全人员在模拟驾驶员通过蓝牙连接汽车时发现了这个漏洞。今年  2 月，Argus 就漏洞调查结果进行通报，博世安全响应团队（ APIRT ）也已联系 Argus 开始解决此类问题。 此次发现的安全漏洞主要有： 1、Drivelog Connector 加密狗与 Drivelog Connect 智能手机 APP 之间身份验证过程存在漏洞，致使 PIN 信息泄露。 2、Drivelog Connector 加密狗中的消息过滤器存在安全漏洞。 APP 和加密狗进行身份验证过程中存在的安全漏洞允许攻击者连接目标设备，研究人员在分析认证过程中发现，攻击者可暴力破解获得 PIN 信息，一旦设备之间建立连接，攻击者即可将恶意代码发送至 CAN 总线甚至不被驾驶员察觉。对黑客而言唯一的挑战是需要在目标车辆的蓝牙范围内进行操作。安全人员强调，同样的攻击可能对（使用这一产品的）绝大多数目标都凑效。 此外，Drivelog Connector 加密狗中的消息过滤器也存在安全漏洞，攻击者可以利用过滤器的 OEM 特定消息对车辆产生物理作用。 博世安全专家表示，目前已采取措施应对这些安全威胁。为进一步提高认证过程的安全性，官方也会尽快发布 APP 与加密狗固件的安全更新。 原作者： Pierluigi Paganini，译者：青楚，译审：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。