据英国《每日电讯报》10 月 25 日报道，百慕大离岸律师事务所 Appleby 近期遭黑客攻击，其海外合法客户的财务细节在线泄露。知情人士获悉，全球最富有的部分客户普遍遭受威胁。目前，他们正委托律师与公关公司维护自身与企业名誉。 律师事务所 Appleby 近期证实，公司已收到国际调查记者协会（ICIJ）对于此次泄露事件的调查报告。另外，“全球左倾媒体组织联盟”也宣称于未来数天内公布相关信息。 国际调查记者协会（ICIJ）成立于 1997 年，是一支跨国调查记者联盟，旨在维护国际公共利益。此外，他们所关注的问题包括跨国犯罪、腐败以及权力问责等重大事件。据悉，该组织曾于 2015 年针对律师事务所 Mossack Fonseca 泄露的巴拿马文件进行了调查，在线曝光了全球数百名公众人物的金融隐藏交易。 Appleby 公司表示：“此次泄露事件的发生对于我们的业务造成了一定影响，导致部分客户对公司进行了多项指控。目前，我们已针对此次事件进行了彻底的调查，结果显示并没有证据表明存在任何不当行为，无论是公司还是客户。因此，我们驳斥任何指控，并很乐意配合所有合法授权的调查。” 此外，公司还发表声明称：“我们致力于保护客户的数据，因为在去年发生的数据安全事件后，我们已经严格对其系统的网络安全与数据访问进行了审查安排，并得到知名 IT 取证团队的审阅和测试，我们相信我们的数据极其安全 ”。目前，并没有任何关于黑客攻击或系统受到影响的细节暴露，不过 Appleby 正通知客户，其信息存在安全隐患。 原文作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 25 日消息，网络安全公司 Kromtech 研究人员 Bob Diachenko 近期发现美国最受欢迎的化妆品公司 Tarte 因两台 MongoDB 数据库未设置加密权限，导致近 200 万用户信息在线泄露且被黑客组织 Cru3lty 的访问，其中包括客户姓名、地址、电子邮件、购买历史以及信用卡号码的最后四位数字。 知情人士透露，Kromtech 于 10 月 18 日发现此次数据泄露后立即向 Tarte 发出安全警报，虽然公司并未做出回应，但与该公司挂钩的所有数据库均在事件曝光后设置了访问权限。Diachenko 表示，他并不是唯一一个发现该公司数据泄露的人。经调查显示，黑客组织 Cru3lty 于早期就已访问该公司数据库信息并对其进行删除与加密操作。据悉，该组织还在公司数据库中留下了一封勒索赎金信函，要求公司支付比特币后才能对其进行恢复。目前，尚不清楚 Tarte 是否已经与 Cru3lty 取得联系并缴纳赎金，也不了解该数据库在线暴露时长。不过，公司发表声明： “保障客户信息安全是我们的首要任务。现今，我们已经意识到事态发展的严峻程度，且正与执法部门取得合作。与此同时，我们还采取了安全措施，以确保公司数据得到最高保护。另外，公司也已通知受损客户与其合作伙伴增强防御体系。” 研究人员表示，不管是大公司还是小企业，一旦客户数据系统遭黑客入侵，其部分数据的泄露，或将导致犯罪分子可以交叉引用这些数据进行其他入侵，以获取客户完整卡号或更多信息。此外，如果受害者没有数据备份或安全防御措施，就可能对其造成极大损失。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 10 月 23 日消息，CSE CybSec ZLab 实验室研究人员近期在暗网调查恶意代码时发现一份以 “NetflixAccountGenerator.exe” 命名的应用软件，其承诺为用户免费提供 Netflix 网站高级帐号。然而用户一旦下载该软件将会自动安装僵尸程序感染自身系统，从而被动参与黑客发起的网络攻击活动。目前，该恶意程序被用于僵尸网络 Wonder 传播。 调查显示，研究人员在分析这款 “exe” 应用文件时发现只有一个网站于 9 月 20 日首次上传该恶意软件后被提示存在风险。对此，研究人推测可能是恶意软件开发人员为其设置了 “隐身” 程序。此外，该款恶意软件的命令与控制服务器的接口隐藏在虚假页面链接中。（如下图） 对此，研究人员经检验证实，位于虚假页面 “wiknet.wikaba.com” 左侧链接上的 “support.com” 指向僵尸网络 C&C 服务器前端。有趣的是，它的每个链接指的都是原始页面。只要点击一个链接，研究人员就将被重定向至 “support.com” 相应页面。另外，研究人员还发现了一些隐藏的路径，其中包含僵尸程序使用的信息和命令。（如下图） 知情人士透露，该恶意软件由两部分组成： Ο 下载器：它是一个 .NET 可执行文件，其唯一目的是下载并执行真正的僵尸程序代码后上传到 “pastebin.com/raw/E8ye2hvM” 上。 Ο 真正的僵尸程序：当它被下载和执行时，将会感染主机、设置持久机制并启动恶意操作。 CSE Cybsec ZLab 发布的报告中还包括 IoCs 和 Yara 规则的进一步技术细节，感兴趣的用户可通过以下链接下载完整报告进行查看：《Malware Analysis Report: Wonder Botnet》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2017 年 9 月 6 日，西班牙加泰罗尼亚议会通过了一项有关独立公投的法案，并于 10 月 1 日举行公投，决定是否脱离西班牙建国。不过，西班牙政府随后就该法案向宪法法院提出异议，要求加泰罗尼亚宣告放弃独立。10 月 17 日，西班牙宪法法院宣布加泰罗尼亚于 9 月 6 日通过的公投法案无效。 不过，此次事件似乎并未结束。西班牙国家安全局（DSN）于 10 月 20 日发表声明，宣称国家网站在过去数周内屡遭同一主题的不同网络攻击。此外，安全专家还通过与其关联的 Twitter 账户发现，国际黑客组织 “匿名者”（Anonymous）在线透露，将于 21 日对其政府网站进行大规模网络攻击。 随后，黑客组织 “匿名者” 果真于 10 月 21 日入侵西班牙宪法法院的网站系统，导致平台瘫痪不可访问且还在其官网上发布了 “解放加泰罗尼亚” 的宣传视频。调查显示，“匿名者” 主要针对目标网站的服务器展开 DDoS 网络攻击，从而迫使网站处于离线状态。虽然这并不被认为是一种复杂的攻击形式，但对于网站来说，它可能很难迅速恢复。知情人士透露，黑客在多数情况下利用这一点进行攻击的原因，通常是为了支持某一政权。 相关人士根据 “匿名者”在各政府网站发布的抗议视频推测，该组织似乎想让西班牙政府允许加泰罗尼亚的人民通过公投的方式表达自己的意愿，从而减少社会各阶层的主流观点。 目前，西班牙宪法法院的发言人表示：“虽然我们知道匿名者会针对网站进行攻击，但我们并不知道攻击的主要来源。不过，好在其他的 IT 系统并没有受到影响，现仍可正常访问。此外，我们将继续针对此次事件进行深入调查”。然而，到目前为止，加泰罗尼亚负责人并未发表任何置评。 原文作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，eBay 员工 Chris Barcellos 于 10 月 12 日在亚太网络信息中心（APNIC） 托管的 Whois 数据库中发现哈希密码在线泄露，或可导致相关域名遭黑客劫持，从而允许攻击者访问与修改域名的所有权限。随后，研究人员立即上报 APNIC 进行处理。据悉，公司于本周一证实，APNIC 在该问题被曝光的第二天已妥善解决。 APNIC 副总监表示：“虽然密码的详细信息是散列分布的，但如果黑客使用正确的工具进行破解，那么他们极有可能从哈希表中排出正确密码后在域名维护程序中植入自己的详细信息，从而有效接管合法网站。 调查显示，在线暴露的密码主要用于保护 Whois 数据库管理员和 IRT 目标对象的访问记录。顾名思义，Whois 数据库管理员主要针对域名授权管理人员/组织信息的存储；IRT 目标对象主要针对公司安全事件响应团队的信息存储。APNIC 表示，此次事件的发生是因为技术人员在 APNIC Whois 数据库升级期间无意将哈希密码存储在 2017 年 6 月的可下载列表中。 不过，公司现已经将所有管理人员和 IRT 目标对象的密码进行了安全转移。好在，尚未发现任何滥用迹象。目前，研究人员正进行事后审查，以确保此类事件不再发生。 原文作者：Catalin Cimpanu，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 22 日报道，网络安全公司 Proofpoint 研究人员近期发现黑客组织 APT28 正利用 Microsoft Word 附件、通过 Adobe Flash 漏洞（CVE-2017-11292）分发恶意软件。研究人员表示，该漏洞近期刚刚被修复，不过攻击者似乎想要在用户安装补丁前展开网络攻击活动。 ATP28（又名 Sofacy、Fancy Bear 或 Tsar Team）是一支由俄罗斯政府资助的黑客组织，其主要针对境外国家的航空航天，以及私营部门展开攻击活动。据悉，该组织除针对丹麦国防部展开网络间谍活动外，还曾干预法国德国重大选举事件。 据悉，尽管研究人员所收集的信息有限，但他们目前已经大致了解攻击者的目标分布范围，其包括欧洲与美国的一些政府机构和航空航天私营部门。知情人士获悉，该漏洞补丁于 10 月 16 日在线公布时，卡巴斯基就已经发现黑客组织 BlackOasis APT 利用该漏洞开展网络攻击活动。 目前，研究人员推测 APT28 已经获取了一种利用 CVE-2017-11292 漏洞的方法，不过他们尚不清楚该组织是通过购买还是自身发现，亦或是反向分析 BlackOasis 攻击活动获得。不过，值得注意的是，黑客组织 APT28 一直利用恶意软件 DealersChoice 展开攻击活动。据称，当目标用户打开此类诱导文件时，DealersChoice 会自动联系远程服务器，下载并执行漏洞开发代码。 研究人员根据相关证据表明，黑客组织 APT28 似乎想要在 Flash 漏洞补丁被广泛部署前肆意分发恶意软件。不过，由于 Flash 仍存在于多数系统上，且此漏洞影响所有主要操作系统，因此用户立即更新Adobe 补丁至关重要。Proofpoint 研究人员证实，公司正试图取消与 DealersChoice 攻击框架相关的 C＆C 服务器连接。此外，研究人员提醒用户，尽快安装补丁或更新系统至最新版本。 附：Proofpoint 安全报告原文链接《APT28 racing to exploit CVE-2017-11292 Flash vulnerability before patches are deployed》 原文作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

思科 Talos 团队近期发现黑客组织 APT28 正利用诱导文件开展新一轮网络攻击活动。有趣的是，该文件是一份关于美国会议 “网络冲突” 的宣传单张，其由北约网络防御中心于今年 11 月 7 日至 8 日在华盛顿举办。值得注意的是攻击活动与此前大不相同，该诱导文件虽然并未通过任何开发手段或零日漏洞展开攻击，但他们使用了恶意 Visual Basic Applications（VBA）宏病毒嵌入 Microsoft Office 文档，以便分发恶意软件 Seduploader 新变种。 俄罗斯 ATP28 黑客组织（又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team）除针对丹麦国防部展开网络间谍活动外，还曾涉嫌参与多起欧洲国家网络攻击事件，其中包括攻击欧洲防务展览会、干预法国德国重大选举、针对联邦议院发起鱼叉式网络钓鱼攻击等。 调查显示，诱导文件以 Conference_on_Cyber_Conflict.doc 命名，包含 2 页与组织者和赞助商的标识。此外，由于该文件确切的内容可以在会议网站查询，因此攻击者可能对其内容进行复制/粘贴后利用 Word 创建恶意文档。不过，根据文件的性质，研究人员推测攻击者的目标人群可能是网络安全领域的相关人士。此外，研究人员通过查看诱导文件发现 VBA 会在感染目标设备后分发恶意软件 Seduploader 新变种，这款侦察恶意软件已被 APT 28 使用多年。 知情人士透露，攻击者的思维与时俱进，其懂得利用美国 “网络冲突” 为主题吸引读者注意从而达成攻击的目的。目前，研究人员仍在进行调查，因为他们不希望黑客能够通过任何漏洞确保恶意软件的存活几率。 附：Cisco Talos 原文报告《 “网络冲突” 诱导文件用于真实的网络冲突 》 稿源：Cisco Talos，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据路透社报道，美国国土安全部（DHS）联合 FBI 近期发布了一份罕见的警示报告，宣称富有经验的黑客组织似乎正在瞄准美国能源和工控企业展开新一轮网络攻击。目前，最新迹象表明，网络攻击越来越成为危及电力行业和其他公共基础设施的主要威胁。 美国国土安全部和联邦调查局于 10 月 20 日晚发布的一份安全报告指出，核、能源、航空、水和关键基础设施制造行业已经成为黑客主要攻击目标，其最早可追溯至今年 5 月。然而，虽然这些机构警示黑客已经有针对性的破坏了国家部分网络系统，但研究人员尚未指明具体受害设备，也未描述任何破坏行动的成功案例。 调查显示，攻击者通过发送恶意电子邮件感染知名网站后进行网络攻击，以便获取访问目标计算机网络的登录凭证。目前，国土安全部的专家根据证据推测，这场攻击战役仍在进行，其黑客正针对他们的主要目标开展长期攻击活动。 原作者：EditorDavid ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 10 月 21 日消息，网络安全公司 ESET 研究人员近期发现 macOS 平台下的 Elmedia Player 与 Folx 两款应用程序已被植入恶意软件 Proton，旨在窃取目标用户敏感信息后擦除系统访问记录。 恶意软件 Proton 是一款远程访问木马，其最早可追溯至 2016 年，被发现在网络犯罪论坛高价出售。调查显示，该恶意软件具备多种功能，其中包括执行控制台命令、访问用户网络摄像头、击键记录、捕获屏幕截图和打开 SSH / VNC 远程连接。此外，Proton 还可以在用户的浏览器中注入恶意代码，以显示弹出窗口、询问受害者信息，例如信用卡账号及登录凭证等。 值得注意的是，该恶意软件可能会侵入受害者的 iCloud 帐户，即使用户开启了双因素身份验证。知情人士透露，Proton 于三月的售价就已高达 50,000 美元。据悉，ESET 在发现该恶意软件后及时上报至 Elmedia 并帮助其迅速展开补救措施。 研究人员表示，如果用户于 10 月 19 日之前下载了 Elmedia Player 或 Folx 程序，其系统可能会受到影响。不过，用户可对以下文件和目录进行扫描，以检查自身设备安装是否存在恶意软件： /tmp/Updater.app/ /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist /Library/.rand/ /Library/.rand/updateragent.app/ 如果上述任何一份文件或目录受到感染，其恶意软件可以规避受害设备的杀毒软件进行分发传播。目前，Eltima 研究人员表示，受害用户只能通过重新安装系统，才可消除此类感染。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 10 月 20 日消息，网络安全公司 Check Point 研究人员近期发现一波新型物联网（IOT）僵尸网络神秘来袭，全球百万企业已被感染，其中美国、澳大利亚等地区受影响情况最为严重且感染数量仍在持续增加。据称，它与此前影响全球的僵尸网络 Mirai 有多数相似之处。 调查显示，该僵尸网络于今年 9 月出现，且可能要比想象的更加复杂。黑客试图利用各种 IP 摄像机模型中的已知漏洞展开攻击，其受影响设备包括 GoAhead、D-Link、TP-Link、AVTECH、NETGEAR、MikroTik、Linksys 与 Synology。研究人员推测，一旦目标设备感染恶意软件，其自身就会进行扩展传播。 据悉，研究人员在调查受影响的 GoAhead 设备时发现，攻击者主要通过触发漏洞 CVE-2017-8225 侵入目标设备的 System.ini 文件，并依赖恶意软件感染分发。值得注意的是，攻击者不仅通过系统文件窃取用户凭据，还利用设备 “Netcat” 命令打开设备 IP 、反向 shell。 Check Point 研究人员指出，此次攻击来自不同国家的不同类型设备，其约 60％ 的 Check Point ThreatCloud 企业网络遭受感染。目前，他们已在线公布易受攻击的物联网设备列表。虽然尚不了解幕后黑手真正意图，但他们根据证据推测攻击者极有可能发动大规模 DDoS 攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接