HackerNews.cc 10 月 31 日消息，研究人员近期发现马来西亚通信与网络运营供应商的大量数据在线泄露，超过 4600 万移动用户的敏感记录于暗网出售，其泄露数据包括用户姓名、预付费和后付费电话号码、地址、客户详细信息，以及 SIM 卡数据。 调查显示，暗网中所出售的数据还包括马来西亚医务委员会（MMC）、马来西亚医学协会（MMA）和马来西亚牙科协会（MDA）等超过八万条受损记录。此外，据马来西亚在线新闻网站 Lowyat.net 透露，这是网站第一次就数据泄露事件进行详细报道，其马来西亚约 3200 万人口，这意味着泄露的数据可能属于具有多个手机号码的用户，也可能是国外游客，亦或访问本国老人的境外人群。 目前，研究人员尚不清楚这些大量数据是如何被泄露并于暗网出售，也不了解暗网对于这些数据的单条售价是多少。据称，用户数据可能已被地下论坛发布，也可能已被成功交易。不过，研究人员已将所有从暗网收集到的被盗数据样本移交至马来西亚通信与多媒体委员会（MCMC）。随后，他们将继续展开深入调查。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，开发人员近期推出密码恢复工具最新版本 Hashcat 4.0.0，可用于支持 256 位密码的破解。 Hashcat 是当前最流行的密码恢复工具，被标为全球最快的密码破解软件，其适用于 Windows、Linux 与 OS X 系统，并分布在 CPU 或基于 GPU 的应用程序中。 调查显示，该版本的实现耗时数月，几乎每个 OpenCL 内核程序都经过了重新编写。除支持 256 位密码破解外，Hashcat 4.0.0 还包括一项自检功能，用于启动时检测断开的 OpenCL 运行时间，这是第一次在 Hashcat 工具中添加此类特性。 知情人士透露，在这个版本中，Hashcat 尝试在启动时使用已知的密码破解已知的哈希排列。如果未能破解一个简单哈希值话，那就可用来测试系统是否正确设置。另外，Hashcat 4.0.0 添加的 Hash-mode 2501 = WPA/WPA2 PMK 模式，允许研究人员针对 hccapx 运行 PMK 列表。 然而，为了预先计算 PMK 列表，开发团队建议使用来自 hcxtools 的 wlanhcx2psk，因为它是捕获 WLAN 流量并将其转换为 hashcat 格式的一种解决方案。此外，Hashcat 4.0.0 还改进了 macOS 系统的支持，以便加速破解系统的密码与 Salt 哈希值。 新版本的工具还添加了以下算法的实现： ○ Added hash-mode 2500 = WPA/WPA2 (SHA256-AES-CMAC) ○ Added hash-mode 2501 = WPA/WPA2 PMK 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 30 日消息，荷兰政府近期推出一项新法律法规–信息和安全服务法案（Wet op de inlichtingen-en veiligheidsdiensten），旨在赋予当局拦截与分析互联网流量的权限。尽管其他国家也有类似的法律，但该法律的特殊之处在于当局有权通过 “伪造密钥” 技术进行秘密攻击，从而获取网络犯罪分子加密通信数据。据悉，该法案将于 2018 年 1 月生效。 然而，Mozilla 工程师担心荷兰当局会在该法案生效后通过当地政府运营的认证机构（CA）签发不信任证书，允许他们创建 SSL 代理并在网络监视行动中，对所有用户实施 “中间人”（MitM）攻击。对此，Mozilla 正讨论取消对国营荷兰 TLS / HTTPS 提供商的支持。如果该计划得到批准，Mozilla Firefox 将不会再信任由荷兰认证机构签发的所有证书，并试图通过拦截显示 SSL 证书错误，以便吸引用户注意某些恶意攻击。 研究人员 Chris van Pelt 表示，如果政府继续在国家主要互联网传输节点上运行 CA 签发的证书，那么未来将会对所有 Mozilla 用户的安全造成损害。对此，Mozilla 与荷兰其他主要的浏览器厂商将逐步取消 HTTPS 提供商的支持，尽管这个过渡阶段极其缓慢。 原文作者：Catalin Cimpanu，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，比特币企业家 Roger Ver 在法国电台接受采访时发布了一份有关比特币钱包的私人密钥和 QR 码作为观众奖品，并表示节目在播出后第一位访问该账户的人员可以转账并保留这笔奖金。当时，Ver 并不知道法国法律禁止电台播放账户私钥和 QR 码。因此，电台在未获取法院权限播出时模糊了 QR 码相关细节。 但是，这一消息还是立即引发了法国黑客与比特币爱好者的兴趣，他们开始寻找各种途径还原账户 QR 码，以获取这项观众奖金。不久，两名法国研究人员 Michel Sassano 和 Clement Storck 在率先复原了这个模糊的 QR 码后转走了比特币钱包中的 1000 美元。Michel Sassano 表示，他们共计耗费了 16 个小时对这个模糊的图像进行了逆向工程，并试图将模糊的点与 QR 码的标准格式联系起来，从而恢复了这份模糊的 QR 码图像。 由此可见，在社交网络上发布模糊的二维码或条形码图片是不安全的，因此研究人员建议用户在分享数据时，应使用完全的颜色块处理敏感细节，从而防止网络犯罪分子利用黑客工具获取其敏感信息。 详细分析报告：传送门 原文作者：Catalin Cimpanu，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 29 日报道，网络安全公司 Malwarebytes 研究人员 Jérôme Segura 近期发现勒索软件 Matrix 卷土重来，旨在通过媒体广告肆意传播恶意代码后掀起新一轮攻击浪潮。 勒索软件 Matrix 虽然最早可追溯至 2016 年，但研究人员 Brad Duncan 于 2017 年 4 月才在揭露一起 EITest 恶意广告活动时，发现黑客通过 RIG 漏洞分发这一恶意软件。此后 Matrix 完全隐去踪迹。起初，研究人员以为这是勒索软件研发失败的情景，而就在近期 Matrix 卷土重来且正通过触发 IE 漏洞 （CVE-2016-0189）与 Flash 漏洞（CVE-2015-8651）传播恶意代码。 调查显示，当目标设备感染勒索软件 Matrix 时，其恶意代码将会加密受害机器上的所有文件，并将 .pyongyan001@yahoo.com 扩展名添加至该文件名中。此外，该勒索软件还会删除所有加密文件的浏览记录并在其文件夹中存留一份勒索赎金信函，要求受害用户缴纳赎金后才可解密文件。 目前，由于研究人员尚不了解黑客此次攻击的真正意图，因此他们仍在继续展开调查。另外，他们建议用户要想保护自身系统免遭攻击，则需要将计算机上的所有软件更新至最新版本，同时加强系统安全、及时备份设备重要数据。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，安全研究人员近期发现暗网市场 Basetools 遭黑客入侵并在线泄露了其数据库部分信息。黑客随后威胁暗网市场管理员支付 5 万美元赎金，否则就将其运营者身份以及相关数据移交至美国联邦调查局（FBI）、国土安全部（DHS）、司法部（ DoJ）和其他机构。 Basetools 是一所地下交易市场，经常在俄语网络犯罪论坛发布广告，允许暗网供应商出售垃圾邮件工具、信用卡数据、黑客账户，以及其他东西。据称，该暗网市场号称拥有超过 15 万的用户，并提供逾 2 万种销售工具，以及 7*24 的服务支持。 安全专家表示，黑客在入侵 Basetools 数据库后兜售了一些工具，包括后门、shell 和 C-Panel 账户的登录凭证、托管在黑客攻击服务器上的垃圾邮件，以及此前其他互联网平台泄露的用户数据。消息显示，由于担心被泄露的工具可能会被其他网络犯罪分子用来发动恶意攻击，运营者在黑客泄露数据后已立即将网站下线。 虽然网络犯罪分子和敌对的暗网市场互相攻击并不是一种新现象，但此类攻击在多数情况下都是由经济动机推动。据研究人员介绍，AlphaBay 和 Hansa 两大最受欢迎的暗网市场于前段时间被查处关闭，从而导致网络犯罪事件于近期陷入了混乱和分散状况。 原文作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  10 月 28 日消息，网络安全公司 IBM 研究团队 X-Force 近期发现黑客正通过新型技术肆意分发银行木马 Ursnif，旨在感染日本金融行业、窃取目标用户敏感信息。据称，黑客主要通过网页注入攻击和页面重定向等操作展开网络钓鱼活动。 银行木马 Ursnif（又名：Gozi）首次于 2007 年在英国的一起网络银行诈骗中发现。随后，该恶意软件源代码于 2010 年意外泄露，并被其他黑客重新利用、创建木马，比如 Vawtrak 和 Neverquest。据悉，除北美、澳大利亚和日本之外，黑客此前还一直瞄准西班牙、波兰、保加利亚和捷克共和国的银行开展网络攻击活动。 知情人士透露，为了能在日本大规模分发 Ursnif 有效负载，其黑客以日本金融服务与信用卡支付通知为主题伪造电子邮件，从而分发恶意软件感染目标企业。研究人员表示，该邮件中包含一份 JavaScript 文件（.zip）。一旦用户点击打开，其系统将重定向至另一恶意页面，从而启动 PowerShell 脚本后从远程服务器上获取有效负载，并与 Ursnif 一起感染用户。 值得注意的是，黑客似乎已经将攻击活动的范围扩展到用户本地网络邮件、云存储、加密货币交易平台和电子商务网站等。另外，黑客在近期的恶意软件 Ursnif 的分发时还使用了一种宏规避技术，即用户在关闭恶意文件后，它会再次启动 PowerShell 脚本获取有效负载。研究人员表示，这种技术可以帮助恶意软件规避安全措施检测。 目前，基于安全考虑该事件的研究人员并未发布具体文件信息，而是联系了当地的执法部门继续追查幕后黑手真实身份。此外，研究人员强烈建议受影响的金融行业，其员工不要随意点击未经检验的电子邮件、加强系统防御体系，以便抵御黑客网络钓鱼攻击活动。 原文作者：Hyacinth Mascarenhas，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 26 日消息，网络安全公司 IOActive 研究人员近期发现 Stratos Global 公司专为船舶卫星通讯设计的 AmosConnect 8 产品存在两处安全漏洞，可允许黑客通过后门账户获取系统特权，并在登录表单的数据库中注入恶意代码。 AtmosConnect 8 产品是一个受密码保护的在线平台，具备卫星通信（SATCOM）系统，即主要通过卫星为全球船舶、石油钻机或其他海上工具提供互联网连接。 Stratos Global 公司于 2009 年被移动卫星服务公司 Inmarsat Group 收购，不过 IOActive 可能不会收到公司针对该漏洞发布的任何补丁修复程序，因为 Stratos Global 于 2017 年 6 月就已发表声明，宣称停止提供与支持 AmosConnect 8 系统服务。 据悉，研究人员在 AtmosConnect 源代码中发现一个名为 “authenticateBackdoorUser” 的函数，允许任何黑客通过后门访问 AtmosConnect 8 平台系统。然而，他们在调查代码时发现通过后门访问的账号是唯一的，且与每台 AtmosConnect 8 登录页面上显示的 ID 一样，这意味着任何人都可以通过查看 AtmosConnect 源代码逆向出真实密码。 目前，除了后门攻击外，平台也受到登录表单 SQL 注入漏洞的影响，允许攻击者访问内部数据库的凭据、控制 AmosConnect 服务器。不过，研究人员也表示这些漏洞的利用条件较为苛刻且难以被大规模利用，因为攻击者能够通过特定漏洞访问敏感网络的几率极小，但对于有国家资助的黑客团队而言这都只是时间问题。研究人员 Ballano 表示，由于我们的全球物流供应链依赖于海上网络安全，因此网络犯罪分子正寻求越来越多的攻击方式危及各卫星通信系统。对此，研究人员建议相关机构趁早加强海上网络安全防御措施，以抵御来自境内外可能的黑客攻击活动。 原文作者：Catalin Cimpanu，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据路透社 10 月 26 日报道，美国网络安全公司 McAfee 近期发表声明，宣称不再允许境外政府审查其产品源代码，从而防止国家支持的黑客组织实施网络攻击活动。 知情人士透露，俄罗斯国防部门要求俄罗斯使用的所有软件都需要通过安全设施 “Clean Rooms” 的审查，旨在确保境外产品的软件中没有隐藏 “后门”。但安全专家和前美国官员表示，这些视察使俄罗斯有机会发现可能在进攻性网络行动中被利用的安全漏洞。 McAfee 发言人在一份声明中表示，公司于今年 4 月脱离英特尔后，就已决定不再允许境外政府审查其产品源代码，只是目前并没有提供更精确的时间表。 原文作者：Msmash，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 26 日报道，继 JS 挖矿引擎 CoinHive 被黑后， jQuery 的官方博客（blog.jquery.com）于近期遭网名为 “str0ng” 和 “n3tr1x” 的黑客篡改。目前，虽然没有证据表明存放在主机系统文件的服务器已遭黑客入侵，但可以确定黑客通过  jQuery 管理人员 Leah Silber 的账号发布了一篇诋毁官网的文章（如下图）。 调查显示，由于 jQuery 官方博客使用了 WordPress 平台的内容管理系统（CMS），因此黑客还有可能通过 WordPress 已知或零日漏洞获取未经授权访问权限。 jQuery 团队在发现博客官网被黑后立即删除了黑客所发布的帖子。 研究人员表示，由于数百万网站直接由 jQuery 服务器调用脚本，因此该攻击活动可能导致的后果更为糟糕。另外，这已经不是 jQuery 网站第一次受到攻击。据报道，jQuery 主要域名（jQuery.com）曾于 2014 年遭黑客入侵，其网站访问者被重定向至恶意页面。 原文作者：Swati Khandelwal，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。