据外媒近日报道，安全专家监测到一种针对 WordPress 安装程序的新型威胁：攻击者可通过僵尸网络 Sathurbot 爆破 WordPress 帐户并利用被入侵网站进行恶意软件传播。 Sathurbot 采取种子传播机制。被入侵网站将被用于托管伪造的电影与软件种子。调查表明，Sathurbot 可自行更新并下载启动其他可执行文件。受害者在搜索电影或下载软件时会收到含有可执行文件的恶意链接，点击该链接可令系统当即加载 Sathurbot DLL，致使受害者机器完全受外界控制。此外，Sathurbot 还执行黑帽 SEO 技术，主要通过搜索引擎提供恶意链接。 据悉，每当成功感染目标网站，恶意软件就会将结果报告至 C＆C 服务器并连接监听端口进行通信。Sathurbot 在等待其他指令的同时定期与 C＆C 服务器取得联系。机器人将收集到的域名发送至 C＆C 服务器，攻击者使用不同机器人尝试对同一网站的不同登录凭据展开分布式 WordPress 密码攻击。由于每个机器人在对每个网站进行一次登陆尝试后即转移至下一个域名，可以有效避免遭受拦截。安全专家表示，攻击者还倾向将目标锁定在运行 CMS 的其他网站，如 Drupal、Joomla、PHP-NUKE、phpFox 与 DEdeCMS 框架网站等。 机器人通过集成 libtorrent 库实现恶意软件传播，但并非所有机器人都执行此功能，其中一些仅作为Web爬虫或用于网站爆破。近期，安全专家在对日志与系统文件进行检查后推测，Sathurbot 至少从 2016 年 6 月起就一直处于活跃状态，迄今已感染逾 20,000 台计算机。 原作者：Pierluigi Paganini ， 译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

国际互联网协会在给二十国集团（G20）经济领导人发表的博客中表示：为确保数字化世界发展、限制攻击者频繁访问执法相关部门，呼吁二十国集团全面加密互联网系统。 ISOC 首席执行官凯瑟琳·布朗（ Kathryn Brown ）表示，只有互联网足够强大与安全，数字化经济才会得以发展并为公民创造机会；倘若没有一定的加密基础，全球数字化经济或将处于危险之中。 据悉，下一届 G20 会议将于 2017 年 7 月在德国举办，其议题之一是数字技术的传播及对经济增长的影响。布朗表示，德国希望能够达成一项具体计划，主要包括 2025 年在全球普及经济实惠的互联网接入及通用技术标准与数字化学习。目前，3.6 亿用户参与跨境电商，其中成熟经济体系输出占 28％，互联网每年为此贡献 6.6 万亿美元（约占二十国集团 GDP 的 7.1％）。预计 2020 年参与跨境电商人群将增加到 10 亿以上。事实证明，经济体需要在一个安全、可信的环境中才能稳定运行。 互联网协会指出，强大的加密功能对于世界经济体的未来至关重要，这就是为什么它可以成为所有在线交易的规范标准。布朗也表示，互联网协会呼吁二十国集团推进全面加密互联网政策。他们坚信这是数字化经济信任的最好基础并期望得到二十国集团的支持。 原作者：Gabriela Vatu， 译者：青楚 ，审核：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。。

俄罗斯籍黑客 彼得·列瓦绍夫 上周末在西班牙巴塞罗那市被捕。“今日俄罗斯”电视台报道，列瓦绍夫 牵涉美国所谓俄罗斯对美国总统选举进行干涉的黑客攻击。俄罗斯驻西班牙大使馆发言人 9 日证实，列瓦绍夫已被警方转移至马德里，使馆方面没有透露列瓦绍夫被捕原因。 据悉，美国司法部刑事局发言人彼得·卡尔称，美国大选受干涉的案件“ 仍处于保密状态 ”，目前无法提供相关信息。路透社援引一名司法部官员的话报道，这是一起刑事案件，同国家安全没有明显联系。 计算机安全和网络犯罪网站 KrebsOnSecurity 表示，列瓦绍夫是一家垃圾邮件僵尸网站的“ 幕后黑手 ”。这家网站自 2010 年利用僵尸网络 Kelihos 发送垃圾邮件，数年内感染 7 万至 9 万台电脑，每天可发送大约 15 亿封垃圾邮件。目前这一僵尸网络活动已被停止，美国政府声称，一旦用户系统遭受感染，列瓦绍夫将通过电脑入侵受害者邮件服务器。此外，在针对列瓦绍夫的案件中，联邦调查局注意到，其中一个僵尸网络服务器不断登录至 mail.ru 电子邮件账户。根据法庭文件显示，该帐户已注册“ Pete Levashov ”，并还以类似名称与 Apple iCloud 帐户保持联系。 为阻止僵尸网络 Kelihos 再次发布攻击，安全专家切断列瓦绍夫与电脑的所有联系，并通过法庭命令将受感染机器的互联网流量重新定向至调查员控制的虚拟服务器内。联邦调查局推测，僵尸网络 Kelihos 目前已感染 25,000 至 100,000 台计算机，约 5％ 至 10％ 分布于美国。 本文据 HackerNews、cnBeta 报道翻译、整理，封面来源于网络。

据外媒 10 日报道，IPv6 在满足更多用户及设备联网通信需求的同时也为黑客规避检测窃取数据提供便利。 就职于爱沙尼亚北约合作网络防御中心与塔林理工大学的网络安全研究人员发现，IPv6 基于隧道的过渡机制存在漏洞，允许攻击者绕开检测创建后门，实现悄无声息的信息窃取与远程目标系统控制。为此，研究人员建立了攻击概念验证，可在规避 Moloch、Snort、Bro与Suricata 等多种网络入侵检测系统的条件下发送与接收网络流量。 研究人员表示，现有 NIDS 很难实时检测出任何复杂的数据渗透方法，特别是在数据被分割成较小块且使用不同连接或协议的情况下（如 IPv4 与 IPv6 ）。 据称，攻击者使用 IPv6 协议进行复杂攻击活动的频率将持续增加。由于 IPv6 安全问题主要通过 RFC 协议更新与过时转换机制弃用解决，安全解决方案开发者（厂商）与与实施者（消费者）层面需要对此类问题保持关注。 由于需要在跟踪、关联不同数据流语境的同时对网络流量解释与解析的方式进行根本性的改变，为安全设备增添 IPv6 支持的做法无法有效解决该问题。此外，虽然可以通过关联不同流量近实时检测信息的方式检测经 IPv6 隧道机制发送的恶意网络流量，但是这种方法会导致网络速率显著减缓、检测系统误报情况频发。 研究人员建议，用户需要了解如何正确配置、部署与监控安全解决方案，从最大程度上获取对计算机网络的正确感知。考虑到有效阻止黑客进行此类攻击的方法仍无从知晓，计划针对高级内部威胁检测展开深入研究、调查 IPv6 协议在 IoT 操作系统内核与通用型操作系统内核中的具体实现。 原作者：Mary-Ann Russon， 译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据路透社报道，赛门铁克( Symantec )的安全研究人员周一表示，“ 维基解密 ”最近曝光的绝密黑客工具曾与 16 个国家的 40 余次网络攻击有关。 调查表明，这些攻击可能与美国中央情报局（ CIA ）的特工组织 Longhorn 有关。Longhorn 组织自 2011 年以来一直处于活跃状态，使用木马后门和零日漏洞攻击目标。赛门铁克表示，除了攻击金融、电信、能源、航空航天、信息技术、教育和自然资源部门以外，该组织还渗透政府与国际运营机构，尽管他们没有透露任何信息。此外，除了欧洲，中东、亚洲和非洲也有目标受到攻击。据悉，一台美国电脑被病毒感染，而几个小时后病毒被清除，这看起来可能像是一次意外，但却是因为所有的程序都被用来打开后门、收集和删除文件的副本，而不是摧毁任何东西。 维基解密发布的文件隐约展示了中情局内部对入侵手机、电脑和其它电子设备的各种讨论，以及部分工具编程代码。多位知情人士向路透社透露，这些文件来自中情局或其承包商。目前，中情局并未承认维基解密披露文件的真实性，但中情局发言人霍尼亚克( Heather Fritz Horniak )表示，维基解密的任何披露均旨在打击美国情报组织，不仅危害了美国情报人员及其行动，还让对手获得了伤害他们的工具和信息。 霍尼亚克称：“ 中情局在法律上被禁止对美国国土的个人进行电子监控，其中包括美国人在内，而中情局也不会这样做。” 赛门铁克研究员 Eric Chien 此前表示，维基解密所披露的中情局工具不涉及对普通民众的监控，其所有攻击目标都是政府实体，或者由于其它原因具有合法的国家安全价值。 此外，上周六，一个名为“ 影子经纪人( The Shadow Brokers )”的黑客组织披露了另外一批窃取美国国家安全局( NSA )的黑客工具。该组织同时还发布了一篇博客，批评唐纳德·特朗普总统空袭叙利亚，摆脱保守政治立场。目前，还不清楚，“ 暗影经纪人 ” 背后谁在支持以及他们是如何获取这些文件。 本文由 HackerNews、cnBeta 翻译整理，封面来源于网络。

据卡巴斯基安全实验室消息，黑客通过新型恶意软件 “ATMitch” 采用“无文件攻击”方式，一夜之间成功劫持俄罗斯 8 台 ATM 机窃走 80 万美元。 这起网络劫持事件成功引起了安全专家的注意，他们在分析闭路电视录像时发现一名男子至 ATM 机旁并未与机器交互即可获取现金。据悉，受影响银行的安全团队并未发现任何恶意软件入侵迹象，唯有一家目标银行表示曾在 ATM 中发现两份入侵日志： “Take the Money Bitch!” “Dispense Success.” 卡巴斯基 2017 年 2 月就 “ATMitch” 恶意软件发布分析报告表示，黑客曾利用恶意软件 ATMitch 攻击 140 家机构，其中包括银行、电信公司与 40 余家政府单位。 银行安全团队表示，他们不仅发现 Microsoft 域控制器（ DC ）的物理内存中存在其代码副本，还发现黑客将恶意代码直接注入受感染内存中与恶意软件一同在 RAM 系统中运行。目前卡巴斯基安全专家已将该此类恶意软件标记为 MEM：Trojan.Win32.Cometer 与 MEM：Trojan.Win32.Metasploit。 近期，在圣马丁举行的卡巴斯基安全分析高峰会期间，安全专家 Sergey Golovanov 和 Igor Soumenkov  提供了两家俄罗斯银行 ATM 机被黑客攻击的进一步调查。安全专家表示，该恶意软件首次在俄罗斯和哈萨克斯坦被发现。攻击者通过 SSH 隧道连接 ATM 机、安装恶意代码，并指示 ATM 机分配现金。由于恶意软件 ATMitch 利用机器现有的合法工具远程发送命令以分配资金，所以只需几秒即可快速运行，致使清空 ATM 机而不留痕迹。 安全专家强调，为避免触发警报，攻击者在 ATM 上钻出高尔夫球大小的洞孔，通过物理方式访问 ATM 机面板获取钞票。 研究人员提醒设备制造商与银行，黑客已横跨俄罗斯和欧洲银行对其采取 “ATM 电钻攻击”。目前不能确定攻击 ATM 机背后的具体犯罪团伙，但他们注意到攻击使用的源代码中包含俄语内容。此外，卡巴斯基发现该黑客组织使用的技术方法与网络犯罪团伙 Carbanak 和 GCMAN 存在相似之处。 原作者：Pierluigi Paganini ， 译者：青楚 ，审核：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 9 日报道，英国网贷公司 Wonga 数据泄露或影响 27 万客户信息，其中主要包括 245,000 名英国用户与 25,000 名波兰用户。Wonga 公司宣称正在紧急调查非法与未经授权的访问记录。调查表明，黑客已获取客户姓名、地址、电话号码、银行帐号与银行区号。 研究人员表示，该事件于上周初被发现，原本以为并无数据泄露，直至上周五 Wonga 公司意识了事件严重性才立即通知受影响客户并设立电话专线提供咨询服务。 此次事件是英国涉及财务信息最大的数据泄露事件之一。对于受影响的客户而言事情变得有些微妙，因为黑客已获取客户银行卡后四位数字，这一信息恰恰是被部分金融机构作为网络账户登录过程的一部分。 Wonga 公司发表声明深表歉意，并表示已通知受影响客户保持警惕。此外，他们正在与当局密切合作调查该事件的具体过程。尽管 Wonga 公司并不相信黑客设法获取用户贷款账户，但他们还是建议客户保持警惕并留意任何可疑活动，小心犯罪分子利用电话或电子邮件索要个人信息。 调查表明，涉及财务细节的数据泄露与黑客窃取管理员凭据及电子邮件地址与密码事件相比相当罕见。目前，尚不清楚 Wonga 公司是否加密过客户银行信息。 原作者：Gabriela Vatu ， 译者：青楚 ，审核：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 7 日报道，Palo Alto Networks 的安全专家 Rotem Kerner 近期透露，一种新型僵尸网络 Amnesia 允许攻击者利用未修补的远程代码执行漏洞攻击其硬盘录像机( DVR )设备。 消息显示僵尸网络 Amnesia 主要瞄准零售商系统硬盘录像机进行两项操作： 1、验证主机是否属于目标零售商 2、立足于本地网络，入侵 POS 机系统 安全专家 Kerner 曾在去年 3 月上报此漏洞但并未得到供应商答复，一年后，他选择公开披露漏洞具体信息。Amnesia 是僵尸网络 Tsunami 的新变种，主要针对嵌入式系统设备发起 DDoS 攻击，尤其是中国制造的 DVR 设备。 调查表明这一安全漏洞至今仍未得到修复。目前，全球约有 227,000 个 DVR 设备存在安全隐患，主要分布于台湾、美国、以色列、土耳其与印度等地区/国家。 安全专家表示，僵尸网络 Amnesia 可通过虚拟机逃逸技术躲避沙箱，以便对其目标设备展开网络攻击。 虚拟机逃逸技术通常与 Windows 或安卓恶意软件相关联。如果僵尸网络 Amnesia 运行于 VirtualBox、VMware 或 QEMU 虚拟机中，它将通过删除文件系统中的所有文件去除虚拟化 Linux 系统。据悉，这不仅影响 Linux 恶意软件分析沙箱的正常运行，还会导致 Linux 服务器出现异常。 PaloAlto 专家认为，Amnesia 会逐渐成为威胁网络安全的主要僵尸网络之一，被利用于进行大规模网络攻击， 原作者：Pierluigi Paganini ， 译者：青楚 ，审核：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，朝鲜黑客窃取美韩两国秘密作战计划 ，曾导致美韩联合部队瞄准朝鲜发动战争的计划全面曝光，该计划主要包括首次攻击目标与军队部署策略。 OPlan 5027 于 20 世纪 70 年代后期制定，自 1994 年以来每两年更新一次。最新 OPlan 5015 作战计划于 2015 年拟定，其中包括美韩针对潜在核运载系统的进攻性立场。 2016 年中旬，朝鲜黑客入侵韩国防御系统国防综合数据中心（ Defense Integrated Data Centre ），导致“ OPlan 5027 ”作战计划泄漏。国防官员承认部分资料被盗，低调处理此次事件。一位政府知情人士表示，黑客组织仅仅访问了该计划的部分内容，并未窃取完整文件。 据《 朝鲜日报 》报道，朝鲜在过去几个月内发射导弹的频率持续飙升，基于朝鲜已访问 OPlan 5015 作战计划，韩国时刻保持警惕并正在商讨是否修改作战计划。 2016 年，韩国国防官员承认，朝鲜恶意软件入侵并感染韩国约 2000 台互联网电脑与 700 台内网计算机。政府官员表示，他们已经在韩美联合部队司令部和参谋长联席会议的计算机网络中检测到渗透迹象，但难以衡量该黑客组织窃取了哪些机密信息。 2009 年，韩国政府官员使用不安全 USB 存储器下载 “ OPlan 5027 ”作战计划时，也发生过类似事件。据悉，朝鲜黑客当时就已访问了该机密信息，这或许与韩国军事安全管理欠缺有关。 据悉，朝鲜和美国的紧张局势在今年持续升温，特朗普对于北方的军事行动也越来越明显。与此同时，网络安全公司卡巴斯基于 4 日发布报告并提供证据，证明朝鲜黑客攻击全球金融公司，其中包括去年孟加拉国中央银行 8100 万美元被盗事件。 原作者：Jason Murdock， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，因 IT 服务公司 Genpact 员工 SQL 服务器配置不当导致 60GB MSSQL 数据库暴露，致使史考特银行约两万用户私人贷款申请记录遭受泄露。 史考特是美国最大的券商之一，史考特证券是一家私有的证券交易商，公司的历史可以追溯到1980年。在全美有441家分支机构，还有专门的华语服务分行。（百度百科） 此次事件由 IT 服务公司 Genpact 将敏感数据上传至亚马逊托管服务器时未对存档文件进行加密保护导致。安全专家 Chris Vickery 发现该存档文件并下载了 158.9GB Microsoft SQL 数据库后决定将此安全隐患报告给史考特银行。 Vickery 表示，存档文件包含明文帐户密码，泄露内容涉及用户姓名、地址、社会保险号等敏感信息。史考特银行展开调查后发现事件起因在于 Genpact 员工未对 SQL 服务器进行正确配置。Genpact 官方 4 月 2 日承认了这一事件并在接到违规通知后立即删除线上存档记录。 目前，Genpact 正对日志文件和环境展开分析，确定哪些数据可能已被访问，并聘请了一家知名取证公司协助调查。Genpact 与史考特均已证实，此次事件并非由双方内部服务器遭受网络攻击造成。据悉，史考特曾于 2015 年 10 月发生过一起涉及 460 万用户的数据泄露事件。 原作者：Pierluigi Paganini，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接