研究人员表示，网络犯罪分子可通过 Apache Struts 2 漏洞传播勒索软件 Cerber、攻击 Windows 系统。 3 月上旬，Apache Struts 2 被曝存在编号为 CVE-2017-5638 的远程代码执行漏洞。然而，就在安全专家发布该漏洞补丁与概念验证（ PoC ）没多久，攻击者便开始利用该漏洞传播恶意软件。多数情况下，攻击者通过后门和分布式拒绝服务（ DDoS ）机器人对 Unix 系统进行攻击，但近期专家们还发现一起针对 Windows 系统的攻击行动。 3 月 20 日至 26 日，F5 Networks 研究人员发现网络犯罪分子利用该漏洞执行 shell 命令，运行 Windows 附带的 BITSAdmin 与其他命令行工具传播勒索软件 Cerber、针对 Windows 服务器展开攻击。SANS 技术研究所的专家也在此期间对该起攻击事件进行了报道。 据悉，该勒索软件针对系统中的重要文件进行加密处理，迫使受害者必须通过缴纳赎金才能获得用于恢复文件的“特制解密软件”。经 F5 Networks 报道，在多次攻击行动中，受害者均被要求发送赎金至同一个比特币地址，该地址中的交易额高达 84 比特币（当前价值近 10 万美元）。 研究人员表示，Apache Struts 2 漏洞为攻击者提供了一个丰富的目标环境，可在扩展业务的同时感染数千台新服务器。将勒索目标设为服务器而非个人的做法更加有利可图，由于这些服务器通常属于资金相对充足、基础设施较为完善的组织机构，相应存储数据对业务发展而言可能至关重要。目前，Apache Struts 2 漏洞已感染大量产品，其中包括思科与 VMware 等品牌。 独立安全研究员 Corben Douglas 于本周三发布报告称，他在漏洞发布 4、5 天后对 AT&T 系统进行测试，结果表明系统易受攻击。此外，他还尝试在 AT＆T 服务器上执行命令，此举可使整个公司受其掌控。 原作者：Eduard Kovacs ， 译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，去年 10 月，某网络犯罪组织曾接管巴西一家银行的在线服务、破坏银行 DNS 并截获所有金融交易数据，攻击持续了五个小时。 此次攻击过程极其复杂，攻击者使用有效的 SSL 数字证书和 Google 云支持其虚假银行基础架构。卡巴斯基并未透露被袭击银行的名称，但攻击者主动泄露 36 个属于银行的域名，其中主要包括内部电子邮件和 FTP 服务器。 据卡巴斯基调查显示，黑客先是入侵银行 DNS 提供商 Registro.br 的域名服务，随后控制银行 DNS 帐户。安全专家表示，目前暂未确定该黑客组织是如何入侵 DNS 提供商的，但他们认为此次袭击事件至少在五个月之前就已经开始策划准备。当客户尝试访问银行提供的在线服务时就已感染上恶意软件，这一恶意软件旨在禁用受害者的安全软件并窃取登录凭据、电子邮件、联系人和 FTP 凭据。此外，该黑客组织在攻击期间瞄准高级银行客户发起网络钓鱼攻击，并将盗取信息发送至加拿大的特定服务器中。 安全专家称，攻击者或是通过 DNS 提供商 Registro.br 于 1 月份修复的跨站点请求伪造漏洞进行攻击，但他们发现巴西某银行并没有启用 Registro.br 提供的双因素身份认证机制。卡巴斯基专家表示，此次攻击事件是有史以来最大规模的行动之一，目前还在对其黑客组织进行调查。 原作者：Pierluigi Paganini， 译者：青楚，审核：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全公司 Lookout 与 Google 专家 4 日透露，安卓间谍软件 Chrysaor 感染移动设备逾三年终被发现。专家表示，Chrysaor 主要通过著名的安卓生根漏洞（称为 Framaroot） 感染移动设备并全面控制系统应用。 据悉，Chrysaor 是最为复杂的移动间谍软件之一，由以色列监视公司 NSO Group Technologies 开发。目前，安全专家已确定不到三十台安卓设备受到该间谍软件的攻击。调查表明，尽管间谍软件 Chrysaor 将以色列锁定为主要攻击目标，但格鲁吉亚、土耳其、墨西哥、阿联酋等国家也纷纷受到影响。 间谍软件 Chrysaor 主要实现功能： 从 Gmail、WhatsApp、Facebook、Twitter 等流行应用中窃取数据 基于 SMS 的命令远程控制设备 录制直播音频和视频 键盘记录和捕获截图 禁用系统更新以防止漏洞修补 监视联系人、短信、电子邮件和浏览器历史记录 自毁逃避检测 安全专家表示，虽然这些应用程序从未在 Google Play 中使用，但他们已经联系潜在受影响的用户禁用感染设备中的应用程序，并及时更改验证应用程序以确保用户系统的安全。 该间谍软件具有明显的自我毁灭能力，因此无法分析其攻击性能。事实上，早在 2014 年 NSO 科技公司就已在安卓操作系统中发现这一零日漏洞，并实施利用最新版本的恶意软件 Chrysaor 代码感染移动设备。 原作者：Pierluigi Paganini， 译者：青楚，审核：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据国际田联协会（ IAAF ） 3 日透露，俄罗斯黑客组织“ 花式熊 ”入侵其服务器并窃取运动员私人医疗记录。 黑客组织“花式熊”也被常称为“ APT28 ”，曾被美方指控干预 2016 年美国总统大选。此外，该组织还入侵过世界反兴奋剂机构 (WADA) 曝光大量服用过违禁药物的金牌得主。 国际田联管理机构称，黑客组织“ 花式熊 ”入侵运动员治疗性用药豁免（ TUE ）应用程序，随意窃取文件信息。国际田联发表声明表示，攻击者未经授权远程访问国际田联网络系统，安全公司早在 2 月 21 日就已注意到该黑客组织从服务器中收集运动员 TUE 数据并存储在新文件夹中。 去年 9 月，黑客组织“ 花式熊 ”入侵世界反兴奋剂机构系统并泄露国际运动员的私人医疗记录。情报官员将“ 花式熊 ”与俄罗斯军事机构 GRU 联系起来。然而，莫斯科否认与该黑客组织有任何联系。 国际田联表示，自 2012 年以来申请 TUE 的运动员信息早已被泄露。田联总裁塞巴斯蒂安·科埃（ Sebastian Coe ）称，他们对此次事件的发生表示诚挚的歉意，并承诺会竭尽全力修复漏洞，为国际田联运动员的信息创造一个安全可靠的环境。 原作者：Hyacinth Mascarenhas， 译者：青楚     本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 3 日报道，Splunk 已修复 JavaScript 代码中存在的安全漏洞，该漏洞被编号为 CVE-2017-5607 ，允许攻击者诱导已完成身份验证的用户访问恶意网页、泄露个人信息。 Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备（物理、虚拟和云中）生成的快速移动型计算机数据 。(百度百科) 无论用户是否启用远程访问功能，该漏洞都会泄漏用户的登录名称，并允许攻击者使用网络钓鱼攻击方式定位用户位置、窃取用户凭据。 调查表明，该漏洞源自 Splunk 于 Object 原型在 Java 中的使用方式。专家发布 Poc 概念验证： <script> Object.defineProperty（Object.prototype，“$ C”，{set：function（val）{ // prompt（“Splunk Timed out：\ nPlease Login to Splunk \ nUsername： ”+ val.USERNAME，“Password” ） for（var i in val）{ alert（“”+ i +“”+ val [i]）; } } }）; </ script> 受影响的 Splunk Enterprise 版本为： 6.5.x 当中 6.5.3 之前的各类版本； 6.4.x 当中 6.4.6 之前的各类版本； 6.3.x 当中 6.3.10 之前的各类版本； 6.2.x 当中 6.2.13.1 之前各类版本； 6.1.x 当中 6.1.13 之前的各类版本； 6.0.x 当中 6.0.14 之前的各类版本； 5.0.x 当中 5.0.18 之前的各类版本； 以及 Splunk Light  6.5.2 之前的各类版本。 目前，该公司已针对出现漏洞的全部版本发布修复补丁。 原作者：Pierluigi Paganini， 译者：青楚      本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

世界知名安全软件公司 ESET 于 3 月 30 日发布报告称，俄罗斯间谍组织 Turla 致力于开发各类恶意软件，其中主要包括最新发布的多个 Carbon 后门新变种。 Turla 是俄罗斯网络间谍组织之一，又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态，主要针对欧洲的外交部等政府机构和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 ESET 的研究人员表示，间谍组织 Turla 具有一个特征：一旦常用的恶意软件被揭露，他们将立即改用新变种以便继续执行间谍活动。因此，市面上出现的恶意软件新变种的互斥体与文件名存在不同也不足为奇。Turla 间谍组织通常会在部署恶意软件 Carbon 后门之前，首先对目标系统进行侦察工作。 研究人员称，一个“ 经典 ”的 Carbon 后门攻击链是从目标用户收到钓鱼邮件或访问受感染网站（通常是用户定期访问的网站）开始。一旦入侵成功，用户设备将在第一阶段安装恶意软件后门，如 Tavdig 或 Skipper。倘若侦查阶段得以完成，Carbon 后门将会成功安装在用户关键系统中。 据悉，恶意软件 Carbon 是间谍组织 Turla 最为复杂的后门程序，用于窃取目标用户的敏感信息，但也与 Turla 开发的其他恶意软件 Rootkit Uroburos 有部分相似之处。 原作者：Gabriela Vatu， 译者：青楚      本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据荷兰本土刊物《尼德兰时报》（NL Times）报道，黑客组织针对荷兰议会下议院发动勒索软件攻击并在停止前设法加密部分文件。调查表明，此次袭击事件由荷兰政府禁止两名土耳其官员在本地集会期间与外侨谈话而引发。 尽管荷兰议会发言人决定不对本次袭击事件发表任何意见，某位荷兰议员仍在推特上发布了勒索软件攻击政府计算机系统的消息。届时所有议会成员也都收到了一封描述该事件的内部电子邮件。目前，事态已在 IT 专家着手替换加密文件之前得到有效控制。 事实上，荷兰网站并非第一次遭受黑客袭击。几周前，荷兰选民用来确定投票人选的两大网站于选举日当天遭到入侵。随后，当地一家互联网安全公司立即展开调查，结果表明确实由土耳其黑客组织所为。 此外，另一次攻击事件针对荷兰分析公司 Twitter Counter 展开。黑客组织通过恶意链接方式入侵大量 Twitter 帐户，导致大量账户遭劫持并被迫发布支持土耳其总统 Recep Tayyip Erdogan 的言论，部分带有纳粹党的十字标志，因为荷兰政府被指控为“纳粹残余”。据悉，这些推文将被用于 4 月 16 日土耳其全民公投，或为 Erdogan 提供更大的权力以及连任土耳其总统的机会。 原作者：Gabriela Vatu， 译者：青楚     本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒 3 月 31 日报道，三星最新发布的旗舰机 Galaxy S8 / S8 Plus 还未上市，就被网友证实该款新机“ 面部识别 ”解锁功能存在安全隐患，只需任意一张自拍照即可轻松解锁设备并登录网站。 此前，黑客可以绕过生物识别技术入侵用户设备，其中包括指纹和虹膜扫描仪。类似问题似乎也影响了三星最新设备中“ 面部识别 ”技术的实施。 YouTube 博主 Marcianotech 在 Twitter 上发布了一段测试视频，展示了如何解锁三星 Galaxy S8 /Galaxy S8 Plus。测试结果显示，用户只需从 Facebook 获取一张自拍照片并将其呈现至锁定手机即可解锁。 目前，三星公司并没有对该视频发表任何评论。为确保新款旗舰机 Galaxy S8 / Galaxy S8 Plus 能够于 4 月 21 日成功上市，该公司正在处理“ 面部识别 ”功能存在的安全隐患。安全专家建议，准备购买该款新机的用户最好将 PIN 码、指纹或虹膜作为主要解锁方式。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据欧盟司法委员会委员 Věra Jourová 公开表示，欧盟委员会将于今年 6 月全面推动各类应用程序加密机制的后门访问能力。欧洲政府官员目前已就此问题达成共识，并将提供“三个或四个选项”，主要包括企业自愿公开权限或严格立法强制执行。 欧盟此举的目的是向执法机构提供一种监控加密应用程序用户通信内容的“快捷可靠”的方式。检察官、法官、警察以及执法机构目前只能依赖于供应商在自愿的前提下提供访问权限和证据，仅凭这点并不能确保欧洲人民的安全。 政府通常会利用立法权威迫使供应商自愿提供权限。然而，欧盟委员会显然已经预料到来自技术行业的重大阻力，尤其像 Facebook 和苹果这样的美国企业，认为自愿、非立法处理方式只是获得“快速解决方案”的临时策略，并非长久之计，相关法律法规仍有待制定与完善。 根据目前形势，欧盟委员会提供的观点并非虚张声势。尽管通过整个立法的过程需要耗时数年，但欧盟断言已为此做好一切准备。 对此，技术公司和安全专家的看法是，倘若加密后门被创建，则无法确保只有“好人”使用该特殊访问通道，在一定程度上打破了端到端加密系统与加密存储的安全性。然而，政府官员与执法机构则表示，他们并不关心具体实施过程，只希望能够访问欧洲人民的私人通信与数据存储，特别是在已经对嫌疑人发出逮捕令的情况下。 原作者：Kieren McCarthy， 译者：青楚     校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

 Imperva 的安全专家称，Mirai 僵尸网络新变种瞄准该公司某美国大学用户发起为时 54 小时的分布式拒绝服务（ DDoS ）攻击，峰值高达 37,000 RPS。专家强调，此次攻击事件打破了 Mirai 僵尸网络有史以来最高记录。 恶意软件 Mirai 最初由研究员 MalwareMustDie 于 2016 年 8 月发现，专门针对物联网设备，曾感染成千上万的路由器与物联网（ IoT ）设备，主要包括硬盘刻录机（ DVR ）和闭路电视（ CCTV ）系统。当 Mirai 僵尸网络感染设备时，会随机选择 IP 并尝试使用管理员凭据通过 Telnet 和 SSH 端口进行登录。 2016 年，Mirai 僵尸网络攻击了两大知名网站 Brian Krebs 与 the Dyn DNS service 。同年10月，Mirai 僵尸网络的源代码在线泄露，各类新变种滋生。Brian Krebs 专家称，代号为“ Anna- senpai ”的用户在知名黑客论坛 Hackforum 共享了恶意软件 Mirai 源代码链接。2017 年 1 月，专家发现一个据称是 Windows 版本的 Mirai 新变种出现，允许 Linux 木马传播至更多 IoT 设备。 经推测，Mirai 新变种由源代码泄露导致。Mirai 僵尸网络之前通过网络层展开 DDoS 攻击，而新变种则利用应用层进行攻击。 专家表示，发起攻击的僵尸网络主要由闭路电视摄像机头、DVR 和路由器组成。攻击者可能利用已知 IoT 设备漏洞打开 Telnet（ 23 ）端口和 TR-069（ 7547 ）端口。 据悉，此次攻击中使用的 DDoS 僵尸采用不同的用户代理，而非曾在默认 Mirai 版本中出现的五个硬编码样例。技术细节表明，Mirai 僵尸网络新变种已被改进并用于提供更复杂的应用层攻击。 分析显示，攻击流量来自全球 9,793 个 IP，超过 70％ 的设备位于以下国家及地区：美国（18.4％）、以色列（11.3％）、台湾（10.8％）、印度（8.7％ ）、土耳其（6％）、俄罗斯（3.8％）、意大利（3.2％）、墨西哥（3.2％）、哥伦比亚（3.0％）和保加利亚（2.2％）。 原作者：Pierluigi Paganini， 译者：青楚     校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接