援引法国 ZDNet 报道，法国法院近日宣判已破产的 BTC-e 加密货币交易所创始人有期徒刑 5 年，并处以 10 万欧元的罚款。罪名是为包括勒索软件组织在内的网络犯罪分子洗钱。 现年 41 岁的亚历山大·温尼克（Alexander Vinnik）是俄罗斯人，在法国检察院未能证明 BTC-e 创始人直接参与了 Locky 的创建和发行之后做出了如上宣判。Locky 是肆虐于 2016-2017 年的勒索软件。 Alexander Vinnik在希腊的监狱 图片来自于 globalwitness 律师 Timofey Musatov 和 Alexander Vinnik 图片来自于 globalwitness 在法官的宣判中写道 ：“Vinnik先生，因没有证据表明你参与到了 Locky 的网络攻击行为中，因此法院免除你这方面的指控。不过你被判犯有组织洗钱罪”。经过漫长而复杂的法律斗争，Vinnik于今年秋天在巴黎受审。他最初于2017年7月在希腊北部的避暑胜地度假时被捕。         （消息来源：cnBeta；封面来源于网络）

12月7日，研究人员公布了一个安卓间谍软件的功能。该软件由一个受制裁的伊朗黑客组织开发，可以让攻击者从流行的即时通讯应用程序中监视私人聊天，强迫Wi-Fi连接，自动接听特定号码的来电，以窃听通话。 今年9月，美国财政部对伊朗黑客组织APT39（又名Chaffer、ITG07或Remix Kitten）实施制裁。在制裁的同时，美国联邦调查局（FBI）发布了一份威胁分析报告，描述了Rana Intelligence Computing公司使用的几种工具，该公司充当了APT39组织进行恶意网络活动的幌子。 FBI正式将APT39的活动与Rana联系起来，详细列出了8套独立且不同的恶意软件。这些恶意软件是该组织用来进行电脑入侵和侦察活动的，其中包括一款名为“optimizer.apk”的Android间谍软件，具有信息窃取和远程访问功能。 该机构表示：“APK植入程序具有信息窃取和远程访问功能，在用户不知情的情况下，可以在Android设备上获得根用户访问权限。” “主要功能包括从C2服务器检索HTTP GET请求、获取设备数据、压缩和AES加密收集的数据，并通过HTTP POST请求将其发送到恶意C2服务器。” ReversingLabs在最新发表的一份报告中，对这种植入程序（“ com.android.providers.optimizer”）进行了更深入的研究。 据研究人员Karlo Zanki称，这种植入程序不仅可以出于政府目的进行音频录制和拍摄照片，还可以添加自定义的Wi-Fi接入点并强制受损设备连接。 Zanki在分析报告中表示：“这项功能的引入可能是为了避免因目标手机账户上数据流量的异常使用而被发现。” 除此之外，它还可以自动接听来自特定电话号码的电话，从而允许攻击者按需打开对话。 除了支持接收通过SMS消息发送的命令外，联邦调查局引用的最新“optimizer”恶意软件还滥用了辅助功能，以访问即时消息应用程序，如WhatsApp、Instagram、Telegram、Viber、Skype和一个名为Talaeii的非官方伊朗电报客户端。 值得注意的是，在伊朗人权中心（CHRI）以安全考虑为由披露消息后，Telegram此前曾在2018年12月向Talaeii和Hotgram的用户发出“不安全”警告。 Zanki总结说：“当目标锁定个人时，攻击者通常希望监控他们的沟通和行动。手机最适合实现这样的目标，因为大多数人都会随身携带。由于安卓平台占据了全球智能手机最大的市场份额，因此它是移动恶意软件的主要目标。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

今年早些时候，一个以电子商务网站为目标的网络犯罪组织发起了一场“多阶段恶意活动”，目的是散布信息窃取器和基于JavaScript的支付窃取器。 新加坡网络安全公司Group-IB在今天发布的一份新报告中，将这一行动归因于同一个组织，该组织与另一次针对网商的攻击有关。该攻击使用窃取密码的恶意软件，用伪造的JavaScript-sniffers（JS-sniffers）感染他们的网站。 这项活动从2月开始到9月结束，共分四波进行。攻击者利用钓鱼网页和带有恶意宏的诱饵文件，将Vidar和Raccoon信息窃取器下载到受害者系统上。 研究人员指出，这次攻击的最终目的是通过几种攻击载体和工具窃取支付和用户数据，从而传播恶意软件。 这些假网页是使用Mephistophilus网络钓鱼工具包创建的，攻击者可以利用该工具创建和部署专为分发恶意软件而设计的网络钓鱼登录页面。 去年11月，IB集团的研究人员在对网络犯罪组织的策略进行分析时表示：“攻击者将伪造的页面链接发送给受害者，告知受害者缺少正确显示文档所需的插件。如果用户下载了该插件，则他们的计算机就感染了窃取密码的恶意软件。” 在今年2月和3月的第一波攻击中，Vidar密码窃取器可以拦截用户浏览器和各种应用程序的密码，但随后的迭代改用Raccoon窃取器和AveMaria RAT来实现目标。 去年Cybereason首次记录的Raccoon具有许多功能，可以与命令控制（C2）服务器进行通信，以窃取数据——包括截图、信用卡信息、加密货币钱包、存储的浏览器密码、电子邮件和系统详细信息。 Raccoon的独特之处在于，它通过向电报通道（“blintick”）发出请求以接收C2服务器的加密地址，从而绕过C2服务器的阻拦。此外，它还通过聊天服务为社区问题和评论提供24×7的客户支持。 同样，AveMaria RAT具有持久性，可以记录击键信息、注入恶意代码以及窃取敏感文件等。 Vidar和Raccoon都以恶意软件即服务（MaaS）的形式出售。Vidar窃取器的租金为每月250美元到300美元不等，Raccoon每月的租金为200美元。 除了上述四个阶段外，Group-IB还观察到了一个过渡阶段，即2020年5月至2020年9月。在此期间，20家网店感染了FakeSecurity系列改良版本的JS-sniffer。 有趣的是，用于分发Vidar和Raccoon窃取器的基础设施与用于存储sniffer代码和收集被盗银行卡数据的基础设施有相似之处。 今年1月初，国际刑警组织抓获了三名与“GetBilling”组织有关联的人。这三个人参与了代号为Night Fury的行动。他们在印度尼西亚开展了一个JS-sniffer活动。         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

在宣传 Play Store 的时候，谷歌表示它不仅仅只是一个 Android 应用商城，更是你可以信赖且安全的应用来源。不过这并不代表着就百分百安全了，近日谷歌对存在于 Google Play Core Library 中的安全漏洞进行了修复，不过由于应用开发者尚未完全跟进，意味着依然有不少应用和它们的用户存在风险。 顾名思义，Google Play Core Library 是谷歌移动服务最基础的组件之一。它提供了包括下载其他语言、管理特征模块的分发或者功能之类的功能，而不需要通过 Play Store 更新应用程序本身。几乎所有的 Play Store 应用都利用了这些功能，从而让 Core Library 成为所有 Android 应用程序的关键部分。 不幸的是，Core库中的一个严重缺陷利用了该功能，以使库实际上执行恶意代码。 Check Point Research详细介绍了漏洞利用的工作方式，如果不加以解决，这是一个非常可怕的漏洞。幸运的是，Google已于去年4月修补了Play Core Library，然后于8月公开披露了该漏洞。 不过安全研究人员对该漏洞的调查并未停止，并警告称仍有不少应用程序开发人员尚未更新升级至最新的 Play Core Library。与Google最终完成所有工作的服务器端修补程序不同，这种修补程序必须由应用程序开发人员通过更新其应用程序以使用库的固定版本来自行应用。根据最近的统计，他们估计 Google Play 商店中尚未有 13％ 的应用程序没有更新。       （消息及封面来源：cnBeta）

跨站泄露，也被称为 “XS-Leaks”，是网络设计中的一类问题，它允许网络应用相互交互，即使它们不相关。这导致用户数据在不同的Web应用之间共享，通常会带来严重的安全漏洞。依靠跨站泄密的安全漏洞日渐增多，为了解决这一问题，谷歌宣布建立了一个知识库，以便开发者和安全研究人员更好地了解这个问题，并围绕它建立防御措施。 这一知识库被称为 “XS-Leaks Wiki”，包含的文章解释了跨站点泄漏的概念，演示一些常见的攻击，以及你介绍针对它们设置的防御措施。除了每种攻击的细节，还提供概念验证代码。 这个知识库的另一个目标也是帮助开发者了解浏览器提供的各种安全功能，以防止跨站泄漏，如跨源资源策略和SameSite cookie。 谷歌希望将这个知识库提供给公司、安全研究人员和网络开发人员，以使所有相关方提供的多年经验基础上，通过保护所有用户免受利用这种行为的威胁，使网络对所有用户更加安全。 你可以通过访问谷歌的专门网站了解更多关于跨站泄密的信息，这里是谷歌的专门网站，或者这里是相关的GitHub仓库。         （消息来源：cnBeta；封面来自网络）

外媒报道称，美国刚刚与澳大利亚签署了一份双边协议，以允许美国网络司令部（USCYBERCOM）与澳大利亚国防军信息战部门（IWD）共同开发和分享虚拟网络培训平台。通过将 IWD 的反馈意见纳入 USCYBERCOM 的模拟培训领域，两国将努力推动持久性网络训练环境（PCTE）的目标实现。 美方签字代表 Elizabeth Wilson 表示，该项目是美澳合作的一个里程碑，也是美国陆军与盟国之间建立的首个网络协议，凸显了澳大利亚在该领域的合作伙伴价值。 与以往每次都要耗费数月时间来搭建的虚拟场景相比，新方法能够极大地减少美国与盟军网络部队开发联合虚拟培训平台所需的时间。 此外通过调整陆军的战略思维，PCTE 旨在应对已知和潜在的威胁，并将精力集中到新兴和智能技术上，以增强战斗能力和克敌制胜。 PCTE 现提供了一个协作式培训平台，以便 USCYBERCOM、IWD 和盟军（包括但不限于“五眼”情报联盟情报合作伙伴）在单独或协作式培训期间重复使用或二次开发。 USCYBERCOM 指出，其长期目标是为相关作战人员提供网络空间培训、认证、以及任务演练等能力。可定制的模拟培训环境，还具有高保真和可伸缩的现实特性。 据悉，作为美军“联合网络作战架构”的一部分，该项目于 2020 年 2 月启动。而近日与澳大利亚签署的新协议，将在未来六年内投入 2.519 亿美元的开发资金。       （消息来源：cnBeta；封面来自网络）

鉴于 UEFI SecureBoot 诞生初期种种令人头疼和担忧的问题，对于资深的 Linux 用户来说在听到微软正以安全的名义开发另一个固件级别的标准这无疑会引起更多的担忧… 微软和英特尔一直牵头平台 Runtime 机制（PRM），将代码从系统管理模式（SMM）中挪出来并在 OS/VMM 内容中执行。 目前 PRM 仍在开发中，不过已经邀请 Windows Insider 项目成员进行测试。而 Linux 的支持将会在 ACPI 规范完成之后提供。PRM 已经上线一年多时间了，主要目的是将更多的代码从“潜伏的黑箱子”–SMM中挪出来，并移入到 OS/VMM 内容中进行执行。虽然，微软将 SMM 称其为“黑盒子” 有点讽刺意味，但 SMM 存在恶意 Rootkit 和其他问题，让很多人都对 SMM 有所关注。 但是，除了围绕SMM的安全问题外，还可能存在性能影响和其他因素，因此英特尔和微软一直在推动将不需要 SMM 特权的 SMI 处理程序挪出来，通过暂定的 PRM 来进入操作系统中运行。SMM 依然保留部分需要提权的处理程序。 通过 TianoCore 的 edk2 过渡 PlatformRuntimeMechanisms 分支，稳定了PRM的开源通用基础结构实现。还提供了开放源代码的示例PRM模块以及文档。实际的 PRM 规范虽然仍待 ACPI 和 UEFI 工作组确定，但听起来将在 2021 年敲定。最新的 Windows Insider 版本已经提供了初步的支持，而 Linux 对 PRM 的支持将在 PRM 规范发布之后部署，并且内核代码经历了通常的上游审查过程。       （消息来源：cnBeta；封面来自网络）

Debian 项目今天正式发布了 Debian 10.7 维护版本更新。本次发行版本修复了诸多安全问题并对部分“严重问题”进行了调整。和所有 Debian 维护版本更新一样，如果你已经安装了该分支的 Debian 版本那么可以自动更新升级至 10.7 新版本。 Debian 10.7 对诸多核心组件进行了更新，包括 Linux Kernel、OpenJDK，Ruby，SQLite，systemd，Tor，Thunderbird，Firefox ESR，MariaDB，Wordpress和Transmission。 Debian 10 于2019年7月份发布，并将持续支持到 2022 年。到期之后它将会移交给 Long-Term Support 团队，持续提供到 2024 年。下个版本 Debian 11 依然没有准确的公布时间，但应该会在 2021 年发布。         （消息及封面来源：cnBeta）

在感恩节周末，我们在npm注册表中发现了新的恶意软件：远程访问木马（RAT）。 恶意软件包为： jdb.js db-json.js …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1421/       消息及封面来源：sonatype，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

直升机制造商Kopter在黑客入侵其内部网络并加密公司文件后，成为勒索软件攻击的最新一例受害者。在Kopter拒绝与黑客接触后，勒索软件团伙已于周五在互联网上公布了该公司的部分文件。许多勒索软件团伙在特殊的 “泄密网站”上上传并分享受害者的数据，作为其策略的一部分，向被黑客攻击的公司施加压力，逼迫他们谈判，或者迫使他们支付巨额赎金。 Kopter的企业内部数据已经发布在暗网托管的一个博客上，这一博客由LockBit勒索软件团伙运营。该网站上共享的文件包括商业文件、内部项目以及各种航空航天和国防工业标准文档。 LockBit勒索软件的运营者在一封电子邮件中告诉ZDNet，他们上周利用一个VPN设备入侵了Kopter的网络，该设备使用了一个弱密码，并且没有启用双因素认证（2FA）。 LockBit团伙还表示，他们在暗网上运营着一个门户网站，在那里他们向黑客公司展示有关攻击的细节，包括赎金要求。LockBit运营商表示，Kopter公司有人访问了赎金页面，但该公司并没有在提供给黑客的聊天渠道中与他们接触。 Kopter公司没有在其网站上或通过商业电讯公开披露安全漏洞，公司发言人也没有回复寻求对勒索软件攻击发表评论的电子邮件，周五拨打的电话也仍然无人接听。 这家总部位于瑞士的公司成立于2007年，以其中小型民用直升机系列而闻名。2020年1月，意大利航空航天和国防公司莱昂纳多以未披露的金额收购了Kopter。       （消息来源：cnBeta；封面来源于网络）