据Trend Micro的研究人员称，TA505黑客组织正通过一些垃圾邮件活动传播名为Gelup和FlowerPippi的新型恶意软件，它们被用来攻击来自中东、日本、印度、菲律宾和阿根廷的目标实体。Proofpoint的研究人员还发现，在今年6月，有两场垃圾邮件活动在传播名为AndroMut的恶意软件下载程序，其攻击目标是来自美国、新加坡、阿联酋和韩国的收件人。TA505黑客组织曾发起过Dridex银行木马以及名为Locky的勒索软件攻击。 TA505黑客组织使用包含.DOC和.XLS文档的垃圾邮件来传播其新的恶意软件。受害者打开恶意附件后，通过执行VBA宏命令在受攻击的机器上部署payload。据Trend Micro报道，少量垃圾邮件样本还使用了恶意的URL，导致名为FlawedAmmyy的远程访问木马（RAT）下载。 垃圾邮件样本 (Proofpoint) 新发现的恶意软件Gelup的下载程序最有趣的特性是它使用了混淆和UAC绕过技术，这是“模拟受信任目录（欺骗受信任目录中文件的执行路径），滥用自动提升的可执行文件，并使用DLL侧加载技术。”恶意软件Gelup的开发人员使用包括各种旨在阻碍静态和动态分析的技术，并通过部署多个步骤使感染过程更难跟踪。为了使攻击时间更长，恶意软件Gelup可以运行在系统回收站中启动LNK文件创建的任务，或者添加注册表运行项，这取决于用户权限。 Gelup执行的命令（Trend Micro） FlowerPippi是黑客组织TA505最近部署的第二个恶意软件，除了后门功能外，它还具有下载技巧，使其能够以可执行二进制文件或DLL文件的形式向受感染的系统释放更多的恶意payload。Trend Micro进一步指出，该后门用于收集和过滤受害者电脑中的信息，并运行从命令控制（C2）服务器接收到的任意命令。 FlowerPippi 执行的命令 （Trend Micro） 黑客组织TA505的攻击活动还在继续。除了Proofpoint和Trend Micro的研究人员所观察和记录到的活动以外，微软安全情报部门在大约两周前发布了一条安全警告，称一场活跃的垃圾邮件活动试图通过恶意的XLS附件来传播FlawedAmmyy 远程访问木马（RAT）使韩国的目标受感染。 Redmond的研究人员表示，虽然黑客们利用的微软办公软件漏洞（CVE-2017-11882 ）在两年前就已经被修补，但黑客们仍广泛地利用该漏洞进行攻击，“且过去几周的攻击活动有所增加”。FlawedAmmyy远程访问木马的payload是TA505黑客组织最喜欢利用的工具之一，可以用于各种各样的攻击。大约在一周前，Trend Micro的安全研究人员发现了一场类似于微软研究人员发现的通过恶意的. XLS附件发送FlawedAmmyy远程访问木马（RAT）的活动。 TA505黑客组织至少从2014年第三季度起就变得活跃起来[1,2]，其攻击的主要目标是通过Necurs僵尸网络传播的大型恶意垃圾邮件来攻击金融机构和零售企业。 消息来源：BleepingComputer， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Bluekeep漏洞最近扫描的源网络（图源：GreyNoise） 黑客们已经开始扫描网上易受RDP高危漏洞（CVE-2019-0708）（又名：BlueKeep）攻击的Windows系统。该漏洞影响包含 Windows XP，Windows 7，Windows 2003，Windows 2008等在内的常用Windows桌面以及服务器操作系统。微软将此漏洞划分为严重级别，并于5月19日发布了补丁，强烈建议广大用户及时更新，以免遭受攻击。 目前还没有成熟的PoC 在过去两周里，infosec社区一直密切关注攻击迹象、可以简化RDP漏洞利用以及后续攻击的PoC代码的发布。到目前为止，没有研究人员或安全公司发布此类漏洞的利用代码。原因显而易见，它可以帮助黑客展开大规模攻击。一些公司已经成功开发了Bluekeep漏洞的利用，但打算保密。 这些公司包括：Zerodium，McAfee，Kaspersky，Check Point，MalwareTech和Valthek。 NCC集团制定了网络安全设备的检测规则，以便公司可以检测到任何开发利用；Opatch开发了一个补丁，可以临时保护系统直到收到官方更新；RiskSense的安全研究员Sean Dillon还创建了一个工具，用来查看电脑是否正确地修复了BlueKeep漏洞。 Bluekeep扫描始于周末 周六，威胁情报公司GreyNoise开始检测黑客的扫描活动。其创始人Andrew Morris表示，攻击者正在使用RiskSense检测到的Metasploit模块扫描互联网，来寻找易受BlueKeep漏洞攻击的主机。他周六发推说：“仅从Tor出口节点观察到此活动，其可能由一个黑客执行。” 目前，这些只是扫描，不是实际的利用尝试。然而，至少有一个黑客投入了相当多的时间和精力来编制易受攻击的设备列表，为实际的攻击做准备。至少有6家公司透露已开发出BlueKeep漏洞的利用，并且至少可以在网上找到两篇非常详细的关于BlueKeep漏洞细节的文章[1,2]，所以黑客们开发出自己的利用方式也只是时间问题。 GreyNoise目前看到的源于Tor的扫描表明事情正趋于恶化。   消息来源：ZDnet， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，Alphabet网络安全部门Chronicle的研究人员，发现了Linux版本的Winnti恶意软件。这是研究人员首次发现Winnti的Linux版本，其与中国APT组织有关。 研究人员认为，在Winnti Umbrella黑客组织的背后，有几个APT组织，包括Winnti，Gref，PlayfullDragon，APT17，ViceDog，Axiom，BARIUM，LEAD，PassCV，Wicked Panda和ShadowPad。 这些组织使用相似的策略、技术和程序（TTP），在某些情况下，甚至共享攻击手段。 研究人员在其VirusTotal平台上搜索Winnti恶意软件的样本时，发现了Linux版本的Winnti恶意软件，其可以追溯到2015年，当时被黑客用于攻击越南一家游戏公司。 根据Chronicle发布的报告，Winnti恶意软件采用模块化结构，使用插件实现不同的功能。通过进一步分析发现，Linux版本的Winnti和Winnti 2.0 Windows版本之间有许多相似之处，Linux版本也使用多种协议处理出站通信，如ICMP，HTTP以及自定义TCP和UDP协议等。Linux版本还允许黑客直接访问受感染系统。 Linux用途的扩展可能暗示了黑客们下一个目标的操作系统要求，但也可能只是尝试利用许多企业的安全盲点，与Penquin Turla和APT28的Linux XAgent变体一样。   消息来源：SecurityAffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据TechCrunch网站报道，Instagram的一个大型数据库由于在AWS存储桶上没有受到保护，导致任何人都可以在没有身份验证的情况下访问它。该数据库首先由安全研究人员Anurag Sen发现，并立即报告给了TechCrunch网站。 该数据库拥有超过4900万条记录 ，且按小时数增长。其包含从网红、明星、品牌方等Instagram账户中爬取的公共数据，如个人经历，资料图片，粉丝数量，地理位置，私人联系方式，电子邮件地址以及电话号码等信息。数据库中还包含了所计算的每个账户价值。 据TechCrunch网站调查，该数据库属于社交媒体营销公司Chtrbox，其总部位于印度。它给网红付费使其发布赞助广告。奇怪的是，TechCrucnh网站联系的两个人证实了数据的真实性，却否认与Chtrbox公司有任何关系。 “我们随即在数据库中挑选了几个人进行联系。其中两个人确认在数据库中找到的电子邮件地址和电话号码是用于设置Instagram帐户的。” TechCrucnh网站补充说道：“他们都与Chtrbox公司没有关系。” TechCrunch网站联系了Chtrbox公司，但目前尚不清楚该公司如何获得这些数据。 Facebook宣布正在调查这一事件： “我们正在调查这个问题，以了解包含电子邮件地址及电话号码的数据是否来自Instagram或其他来源。我们也正在询问Chtrbox公司，以查明其数据来源和公开方式。” 2017年，Instagram的一个漏洞允许黑客访问高级用户的信息，包括电话号码和600万名明星的电子邮件地址。   消息来源：SecurityAffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在过去三周内，超过12,000个不安全的MongoDB数据库被删除。黑客组织只留下一条消息：“联系我们以恢复数据”。此前虽然没有达到这种规模，但至少从2017年初开始，这些针对可公开访问的MongoDB数据库的攻击已经发生。 黑客们使用BinaryEdge或Shodan搜索引擎来查找暴露的数据库服务器并删除它们。要想恢复服务，就得支付赎金。虽然攻击针对可远程访问和不受保护的MongoDB数据库，黑客在删除它们之后要求支付勒索赎金以恢复数据，但这一系列举措似乎并未要求特定的赎金数额。提供的电子邮件地址最有可能用来协商恢复数据的条款。安全研究员Sanyam Jain对此提供了一个非常合理的解释，称“黑客可能会根据数据库的敏感度收取加密货币”。 黑客留下的联系方式 研究人员使用BinaryEdge搜索引擎发现了由Unistellar黑客组织删除的12,564个未受保护的MongoDB数据库（Shodan报道的数量较少，为7,656个数据库，可能是因为查询被阻止）。根据Jain所说，目前，BinaryEdge索引了超过63,000台可公开访问的MongoDB服务器，Unistellar黑客组织似乎已经删除了约20％。研究人员于4月24日首次注意到此类攻击，当时他发现了一个被删除的MongoDB数据库。不同于过去经常发现的大量的泄露数据，其只包含以下信息：“想要恢复？联系方式：unistellar@yandex.com。” 使用BinaryEdge找到的被删除的MongoDB数据库 研究人员后来发现，在删除数据库后，黑客留下赎金票据。如果受害者想要恢复数据，向以下两个电子邮件地址之一发送电子邮件：unistellar@hotmail.com 或unistellar@yandex.com。虽然尚不清楚黑客用什么方法来查找并删除如此大量的数据库，但整个过程很可能是完全自动化的。 连接到其中一个未受保护的MongoDB数据库后发现，黑客执行此操作的脚本会不加区别地删除每个不安全的MongoDB数据库，然后添加赎金表。 正如Jain所说，Unistellar黑客组织似乎已经创建了恢复点，以便恢复他们所删除的数据库。遗憾的是，无法追踪受害者是否一直在为要恢复的数据库付费，因为Unistellar只提供电子邮件地址，并不提供加密货币地址。 （各个国家被删除的数据库数量） 保护MongoDB数据库 发生攻击的原因是MongoDB数据库可远程访问且没有得到正确的保护，因此数据库所有者可以通过相当简单的步骤来防止此类攻击。MongoDB提供了有关如何通过实施适当的身份验证、访问控制和加密来保护MongoDB数据库的详细方法，还提供了一个安全检查表供管理员遵循。防止攻击的两个最重要的措施是启用身份验证且不允许远程访问数据库。 消息来源：BleepingComputer， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，黑客已经窃取了分析服务Picreel和开源项目Alpaca Forms的数据，并修改了他们的JavaScript文件，以便在超过4,600个网站上嵌入恶意代码。 Picreel是一种分析服务，允许网站所有者记录用户正在做什么以及他们如何与网站进行互动以分析其行为模式并提高会话率。Picreel的客户，即网站所有者，在他们的网站上嵌入了一段JavaScript代码，以便运行Picreel服务。正是这个脚本被黑客入侵，并添加了恶意代码。 Alpaca Forms是一个用于构建Web表单的开源项目。它最初由企业CMS的供应商Cloud CMS开发，并于八年前开放了源代码。Cloud CMS仍然为Alpaca Forms提供免费的CDN（内容分发网络）服务。但黑客似乎已经攻破了由Cloud CMS管理的CDN，并修改了Alpaca Forms中的一个脚本。 恶意代码会记录表单字段中输入的所有数据 目前，尚不清楚黑客是如何破坏Picreel或Alpaca Forms中的CDN。恶意代码记录所有用户在表单字段中输入的内容，并将信息发送到位于巴拿马的服务器。这些信息包括用户在结帐或付款页面，联系表单和登录部分输入的数据。已在1,249个网站上发现嵌入Picreel脚本中的恶意代码，而在Alpaca Forms中的恶意代码已在3,435个域名中被发现。Cloud CMS已经介入并取消了服务于受影响的Alpaca Forms脚本的CDN。该公司正在调查这一事件，并阐明公司、客户及产品都没有安全漏洞或安全问题。然而，没有证据证明这一点，除非Cloud CMS的客户仍在他们的网站中使用Alpaca Forms的脚本。 供应链攻击对网站的威胁越来越大 在过去的两年里，类似的攻击相当普遍。实行供应链攻击的黑客组织已经意识到，破坏那些高级一点的网站并不像听起来那么简单，因此他们开始瞄准那些为网站提供“二级代码”的小企业。他们以聊天小部件、实时支持小部件、分析公司等供应商为目标。 今天的攻击有所不同，其通用性十分广泛。不管其目的如何，它针对的都是网站上的每个表单字段。   消息来源：ZDnet， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，美国联邦调查局(FBI)和美国国土安全部(DHS)发布了一份关于ELECTRICFISH恶意软件的联合分析报告。 根据美国CERT网站上发布的报告，在追踪朝鲜黑客时发现了恶意软件ELECTRICFISH，其被朝鲜黑客组织Lazarus用来窃取数据。该恶意软件实现了一种自定义协议，允许在源IP和目标IP之间传输流量。 它不断尝试联系源系统和指定系统，并使得双方都可以发起会话。 因为该恶意软件由黑客组织Lazarus“使用代理服务器或端口和代理用户名和密码”进行配置，所以能够“连接位于代理服务器内的系统”，从而规避受感染系统的身份验证。绕过身份验证后，ELECTRICFISH将与目标IP建立会话，其位于目标网络及源IP之外。一旦在源IP地址和目标IP之间建立连接，ELECTRICFISH就可以在两台机器之间汇集网络流量，允许黑客把从受感染的计算机里收集的信息汇集到他们所控制的服务器。   消息来源：BleepingComputer， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

据外媒报道，加拿大Freedom Mobile移动运营商泄露了其许多客户的详细信息，包括他们的银行卡数据。 Freedom Mobile是加拿大第四大移动网络运营商。其未受保护的数据库至少储存了150万个用户的500万条记录。泄露的记录包括电子邮件地址，电话号码，家庭住址，出生日期，与付款方式相关的IP地址，信用评分（来自Equifax和其他公司），带有CVV代码的未加密支付卡数据，位置和其他客户服务记录，以及账户详细资料。根据加拿大环球邮报报道，这次数据泄露是由第三方公司Apptium Technologies引起的。 根据国外博客vpnMentor报道，Freedom Mobile的数据库完全处于未加密状态。账号，订阅日期，结算周期日期和包括位置在内的客户服务记录也可以访问。而Freedom Mobile试图淡化这一事件，称未保护数据库中存储的总记录仅与1.5万位客户有关。 Freedom Mobile向加拿大隐私专员办公室（OPC）报告了这一事件。   消息来源：Securityaffaris， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 5 月 9日消息，黑客正利用2018年揭露的Jenkins漏洞（CVE-2018-1000861 ）来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器，它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装，拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动，来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称，攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞，其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐，且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后，他创建了下图所示的图表（可以按照蓝色数字来理解每一步）。 Kerberods包含自定义版本的UPX打包程序，它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后，Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件，有许多方法可以修改UPX，使得用常规UPX版本解压缩文件很难。幸运的是，在本例中，UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此，将二进制文件的不同部分还原为UPX，可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限，Kerberods会将一个库加载到操作系统中，该操作系统挂钩Glibc的不同功能，就像一个木马一样。在没有root权限的情况下，恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器，它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源：Securityaffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，大型MongoDB数据库泄露了约2.75亿条包含印度公民详细个人信息（PII）的记录，该数据库两个多星期没有受到网络保护。 安全研究人员Bob Diachenko经过调查发现，泄露的数据包含了姓名、性别、出生日期、电子邮件、手机号码、教育程度、专业信息(雇主、工作经历、技能、职能领域)、现有工资等信息。但是，还没有找到任何与所有者相关的信息。此外，存储在数据库中的数据集合的名称表明，收集整个简历缓存是“大规模抓取操作的一部分”，其目的不明。 Diachenko立即通知了印度CERT（计算机安全应急响应组）团队，但是目前该数据库仍保持开放和可搜索状态。该数据库是被名为“Unistellar”的黑客组织抛弃的，且Diachenko发现了以下留言： MongoDB之前也发生过类似的数据泄露事件。究其原因，是因为其很多数据库都由所有者公开访问，并且没有得到适当的保护。这意味着可以通过保护数据库实例来阻止它们。MongoDB在Documentation网站上提供了一个安全（Security）版块，其中显示了如何正确保护MongoDB数据库，以及MongoDB管理员的安全检查表。   消息来源：BleepingComputer， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接