近期，Arbor Networks 的安全专家发现了一个新恶意软件 Acronym。此恶意软件用于调试 C＆C 服务器的 URL 恶意代码，与 “Potao” 网络间谍行动有潜在联系。意大利研究人员 Antelox 在 Twitter 上分享了一个 VirusTotal 链接，引起了安全专家的关注并展开了调查。 自 2011 年以来恶意软件 Potao 就已经存在，被称为“ 通用模块化的网络间谍工具包 ”，允许黑客利用恶意代码进行操作 。2015 年，世界知名安全公司 ESET 首次对其进行详细分析，根据 ESET 发布的一份名为 “Potao 行动” 的网络间谍活动报告显示，该攻击依赖于俄语版带有后门的 TrueCrypt 进行扩散，攻击目标主要瞄准乌克兰、俄罗斯、格鲁吉亚和白俄罗斯等国家。 据调查表明，恶意软件 Acronym 和 Dropper 组件于 2017 年 2 月就已被编译，并与 Potao 行动相互关联。 根据 Dropper 组件的分析显示，它将杀死任何名为“ wmpnetwk.exe ”的 Windows 进程，并将其替换为恶意代码。随后，该恶意软件联系 C＆C 服务器，向其发送受感染计算机的信息。一旦初始阶段完成，它将指挥控制其服务器，并通过六个 IP 端口对其重复发送反馈信息。 恶意软件 Acronym 不仅可以使用注册表或任务计划程序获得持久性功能，还能通过捕获屏幕截图、下载和执行其他有效内容运行系统插件。遗憾的是，由于 C＆C 服务器在 Arbor Networks 进行分析时处于离线状态，研究人员没能获取可用插件信息。 据研究人员称，Potao 木马和 Acronym 恶意软件不仅使用相同的 C＆C 基础设施，而且在同一端口上联系 C＆C 域，并以“ HH ”开头的临时文件命名。虽然这两种恶意软件具有相同模块化结构，但它们之间还是存在着加密和传递机制的差异。 据专家称，现在评估 Acronym 在 Potao 行动里的发展状况还为时过早，但它确实与其存在着潜在联系。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

功能强大的智能手机当中保存着使用者太多的秘密，而如何保护这些信息成为让人头疼的事情。往往人们认为良好的使用习惯和安装一款靠谱的防护软件就能保万无一失，但来自美国科学家的最新研究却令人心凉。想要黑掉一台智能手机，只需要播放一段声音这么简单。 隶属美国国土安全部的工业控制系统网络应急响应小组（ ICS-CERT ）在当地时间 3 月 15 日在官网发布警告称，五大世界知名传感器制造商生产的加速度计存在硬件设计漏洞，可导致智能手机被“黑”。 据悉，这条预警基于美国密歇根大学和南卡罗来纳大学的一项研究，该研究指出利用特定频率的声音，来干扰甚至篡改手机传感器的输出值，从而操纵“无脑”信任传感器的手机系统。研究者称其为“声波病毒”。 在实验过程当中，研究人员测试了来自 5 家知名生产商的20种加速度计品牌，其中 75% 的加速度计会被干扰，而 65% 的加速度计的输出结果可以被操控。这 5 家传感器生产商是：美国 ADI （ Analog Devices ）、德国博世（ Bosch ）、美国应美盛（ InvenSense ）、日本村田制作所（ Murata Manufacturing ）和意法半导体（ STMicroelectronics ）。 研究者表示，此次发现的声波病毒不仅仅会对智能手机设备的信息安全造成威胁，而且还能干扰到无人驾驶汽车甚至是人工心脏，危害巨大。 稿源：cnBeta；封面源自网络  

现今，犯罪组织的手段变得越来越复杂，特别是涉及到高科技设备的使用。近期， 一个名为 “CC Buddies” 的组织推出了一款新型非接触式克隆银行卡设备 Infusion X6 。该设备一经推出即引发广泛关注，犯罪组织甚至不需要将业务隐藏在网络黑市中进行销售。 Infusion X6 可用于“ 捕获银行卡 ”，每秒存储 21 张银行卡信息，能在 15 厘米范围内进行操作。与只能复制 15 张银行卡信息的 Infusion X5 相比是一个明显的升级。新的设备具有较小的模型和好看的外观，可以系缚到手腕上隐藏于袖子里不被发现。该设备还具有锁定系统的功能。因此，就算当局抓住犯罪分子，他们也能立即加密数据进行存储，使其无法访问。 Infusion X6 可根据银行卡中的无线电芯片进行数据的复制，并将数据存储在内部存储器中，通过随机附带的 USB 电缆传输到 PC 端。该设备可以收集完整的数据集，包括数量和日期以及 RFID 芯片中保存的其他数据，例如个人详细信息。当提取数据时，设备需要由 CC Buddies 提供的软件进行解密。随后，犯罪分子使用空白卡开始伪造借记卡，进行信息的复制。 据悉，普通的 Infusion X6 在市面上的价格为 1.5 比特币，大约是 1700 美元。此外，还有其他几个高达 1.6 比特币的额外卡套餐可以选择。有趣的是，这个犯罪组织很是特别，他们并未像其他犯罪分子那般将新型工具隐藏于暗网中销售。 原作者：Gabriela Vatu， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，美国当局发现一境组织正在跟踪并监视政府官员和外交官员的电话通信。 据华盛顿 Free Beacon 报道：专家注意到华盛顿特区存在频率异常活跃的手机信号。令人担忧的是，一个未知组织正试图监视多数人的通信交流，包括美国政府和外交官员。在查看内部文件以及询问安全人员之后，专家认为此次攻击手法表明已有境外黑客组织参与其中，攻击者甚至从美国移动运营商控制的基站中窃取了大量的位置数据进行跟踪。 此次攻击事件由美国国土安全部和 ESD 防护计划的程序发现，ESD 防护计划在分析所收集的信息后发现 DC 地区数据异常，随后又在美国其他地区发现同类异常数据，一系列证据表明有未知身份的第三方组织正在大量跟踪手机信息。通过这样方式甚至能够克隆手机、引入恶意软件进行间谍活动，也能轻而易举跟踪当地官员。 DHS 公共事务人员表示，ESD 防护计划于 1 月 18 日开始 90 天的试点使用。参与 ESD 防护计划的官员也证实了 DHS 计划的存在。据悉，美国移动通信的监控一直是国会最为关心的问题。上周三，国会议员请求美国国土安全部发布防御措施，以防止外来威胁者再次进行监视通信。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据赛门铁克研究人员称，朝鲜 APT 组织“Lazarus”曾对全球 31 家银行进行了一系列网络攻击。其中，孟加拉国央行、韩国索尼损失最为严重。 专家表明， 2014 – 2015 年 Lazarus APT 组织的攻击活动频繁增加，其成员主要使用专门定制的恶意软件对各组织进行攻击。Lazarus 自 2009 年以来一直活跃在朝鲜领域，或许早在 2007 年，该组织就已经参与了网络间谍活动。 赛门铁克专家表示，Lazarus 在使用“ loader ”进行攻击的同时，还会安装其他恶意程序。美国和韩国政府指责过来自朝鲜的攻击，但朝鲜政府并没有出面做出解释，目前暂时赛门铁克也无法提供 Lazarus 窃取受害人钱财方面的证据。 据赛门铁克的专家调查显示：Lazarus 上月发起的网络攻击曾导致了整个波兰银行系统感染恶意软件。波兰银行也证实，他们的工作人员在访问波兰金融监管局（KNF）的网站后系统受到感染。据赛门铁克专家表明，这一攻击事件背后实施者与 2016 年 10 月攻击全球 31 家银行的黑客来自同一组织。 在本次事件中，攻击者 IP 地址显示他们来自 31 个国家的 104 个特定组织。其中，受害者人数最多的是波兰，其次是美国和墨西哥。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，趋势科技发现了一种新的 PoS 机 恶意软件，命名为 MajikPOS 。MajikPOS 恶意软件旨在窃取用户密码，目标主要针对北美和加拿大的业务。 专家表示，虽然 MajikPOS 与其他 PoS 恶意软件的功能相同，但其模块化的执行方法却是极其独特的。2013 年 1 月底，研究人员第一次发现这款恶意软件。MajikPOS 的模块化结构与传统 POS 恶意软件不同，它只需要来自服务器的另一个组件来获取内存信息。MajikPOS 是由“.NET框架”编写而成，并建立加密通信通道以规避检测。 MajikPOS 可通过攻击虚拟网络计算（ VNC ）和远程桌面协议（ RDP ）猜测密码，访问 PoS 系统。在某些情况下，网络罪犯分子利用 FTP 或 Ammyy Admin 的修改版来安装 MajikPOS 恶意软件。一旦安装在机器上，恶意代码便会连接到 C＆C 服务器并接收具有三个条目的配置文件，以供稍后使用。 进一步研究发现，Magic Panel 服务器的注册人还注册了一些用于销售被盗信用卡数据的网站。Trend Micro 补充说：其中一些网站早在 2017 年 2 月就在名为“ MagicDumps ”的用户上进行了宣传，他们主要根据位置更新了垃圾网站的论坛 – 主要是美国和加拿大。 专家常常建议商家使用端到端加密的方式正确配置芯片和个人信用卡，然而不幸的是目前仍有很多商家尚未能提供足够的保护措施。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Linux 内核漏洞（ CVE-2017-2636 ），允许攻击者本地提权或导致拒绝服务，在潜伏了七年后被研究人员发现并迅速修复。 Positive Technologies 的安全专家 Alexander Popov 发现了 n_hdlc 驱动程序中存在竞争条件的问题，允许攻击者在操作系统上获得本地特权的升级。 编号为 CVE-2017-2636 的漏洞在 Linux 内核中存在长达七年之久，如今就连安全专家也无法确认该漏洞是否已被其他黑客所利用。 此驱动程序提供 HDLC 串行线路的规则，并作为多数 Linux 发行版中的内核模块，在内核配置中具有 CONFIG_N_HDLC = m 。攻击者只需要利用存在漏洞的模块，就可以自动加载。然而非特权用户则需打开伪终端，并调用 TIOCSETD ioctl 设置 N_HDLC 线路规则，才会自动加载模块。CVE-2017-2636 漏洞影响了大多数流行的 Linux 发行版本，包括 Ubuntu 、RHEL 6/7 、Fedora 、SUSE 和 Debian 。 Linux 用户可以选择安全更新或手动禁用存在漏洞的模块。Popov 解释说，根据 Linux 系统的年龄，该漏洞普遍存在于 Linux 系统中。据专家介绍，漏洞是在 2009 年 6 月 22 日引入的，时隔多年，安全专家在使用 syzkaller 进行系统调用 fuzz 测试时发现了此漏洞并报告给 kernel.org，同时还提交了一个修复补丁以及漏洞利用 PoC。 CVE-2017-2636 细节已于 3 月 7 日公开披露，目前官方已迅速修复了漏洞，并对其进行了安全更新。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

当提及网络安全，无疑透露了安全技术人员在过去一年所面临的繁忙事务。网络攻击在 2016 年创下了新的记录，这也导致 2017 年的互联网环境变得更加危险。让我们来看一看有关 2017 年网络安全领域的四大发展趋势。 勒索软件的变脸时代 随着越来越多的数据被存储在移动设备上，勒索软件将继续成为网络罪犯的主流工具。这是一个利润丰厚的商业模式，攻击者将内容强制进行加密，受害者在不缴纳赎金的情况下根本无法恢复数据。勒索软件变得越来越复杂，以致于现在可以瞄准任何网络设备。 另一种观点也显示：网络犯罪分子广泛地利用垃圾邮件进行钓鱼勒索的攻击。他们通常瞄准的目标是具有重要信息的管理人员。 物联网开放的季节 目前，数十亿的物联网产品正在连接企业网络。考虑到许多不定因素的存在，网络设备的广泛使用也使黑客目标数量相应增长。去年 10 月的 Dyn 攻击事件表明，网络犯罪分子正在对物联网进行着大规模地操控。其中，颇具威胁的是黑客部署的 Mirai 恶意软件攻击计划，他们操控 IoT 设备发起 DDoS （分布式拒绝服务） 攻击，由于 Mirai 源代码和其他攻击工具的泄露，如今互联网上任何人都能在此基础上组建自己的僵尸网络。 移动安全威胁无处不在 近期，大约 4％ 的移动设备感染了恶意软件，约有将近一半的用户敏感数据面临安全风险。 员工忽视公司协议将未授权的软件下载至企业网络设备中，即使他们遵循公司相关法则但仍具有风险。开发者可通过创建隐藏恶意程序的虚假软件混入知名应用商店，诱使企业员工使用或链接内网从而导致更多设备沦陷。 如今越来越多的企业员工选择通过移动设备连接企业网络，也注定使他们成为更多网络攻击的目标。 政治黑客成为主流 目前欧美国家正在进行定期的网络间谍排查活动。研究表明国家支持的网络攻击不能再局限于工业间谍活动。美国民主党代表也透露过黑客是如何利用所窃取的信息进行挑拨、传播，推进其政治目标的典型例子。研究表明，即使那些不直接参与政治的企业也需要更新其威胁评估。事实上，任何组织都有可能站在对抗国家的十字路口上。 网络安全的威胁不仅仅来源于国家与民族，就连安全从业者也需防御各类欲利用网络攻击达到政治目的的黑客所带来的威胁。 原作者：Charles Cooper， 译者：青楚 本文由 HackerNews.cc 翻译整理、略有改动；封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近期，在土耳其与荷兰的外交危机事件后，大量的高级 Twitter 帐户被劫持。 黑客通过许多 Twitter 帐户发布了土耳其相关的政治消息。这些消息的主题包括#Nazialmanya（纳粹德国）和#Nazihollanda（纳粹荷兰）。被劫持的知名帐户包括大赦国际、欧洲议会、杜克大学、美国儿童基金会、福布斯、路透社日本和英国广播公司北美等组织。 目前，大多数组织已经恢复了他们的 Twitter 帐户，并且也向拥护者们告知了事件进展。 黑客利用奥斯曼帝国的徽章形象篡改了被劫持帐户的界面。此次大规模活动发生在土耳其公民投票（4月16日）之前一个月，外界猜测这或许会影响到总统选举。随后，土耳其政府当即表示暂停与荷兰的高级外交关系，而荷兰政府也阻止了其部长在外籍土耳其人中的演讲，大大加深了两个北约联盟之间的紧张关系。 据悉，此次黑客是通过应用程序 Twitter Counter 的漏洞，入侵多个 Twitter 帐户。安全专家建议用户撤销对  TwitterCounter 应用程序的权限，以防止 Twitter 帐户再次被黑客入侵。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

来自格拉茨科技大学的科学家团队揭示了一种新方法，可以从英特尔  SGX （软件防护扩展）enclaves 获取加密数据。 英特尔 SGX 是一组来自英特尔的新指令，它允许用户级代码分配专用区域的内存，称为 enclaves 。与正常的内存处理方法截然不同，它不仅受到了保护，也避免了高级权限运行的影响。 安全研究团队根据 PoC 开发的“超级恶意软件 ”表明，恶意软件攻击 enclaves 主机系统的可能性是存在的。他们也证实了在 enclaves 内的缓存攻击是根据其分离的加密密钥的定位所进行的。 研究人员表示，恶意软件能够通过监视 RSA 模块签名过程，利用高速缓存的访问模式来恢复 RSA 密钥，防止 enclaves 在读取或操纵内存时，遭受硬件的攻击。为了保护包围区代码的完整性，加载过程由 CPU 测量。如果得到的测量值与开发者指定的数值不匹配，CPU 将拒绝运行 enclaves 。 稿源：digitalmunition.me ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接