Guardicore Labs 的安全研究人员发布了一份报告，该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动，代号“Nanshou”，且这一攻击源头是中国黑客。 报告称，包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击，一旦受到攻击，目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。 这并非典型的加密攻击，它使用 APT （Advanced Persistent Threat，高级持续性威胁，本质是针对性攻击）中经常出现的技术，例如假证书和特权升级漏洞。 该攻击活动于 4 月初被首次发现，但可以追溯至 2 月 26 日，每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载，这期间每周至少会有一个新的恶意负载被创建，受感染的计算机数量在一个月内就已翻倍。 在使用管理权限成功登录身份验证后，攻击者在受感染系统上执行一系列 MS-SQL 命令，以从远程文件服务器下载恶意负载，并以 SYSTEM 权限运行它。 在后台，有效负载利用已知的权限提升漏洞（CVE-2014-4113）来获取受感染系统的 SYSTEM 权限。 然后，有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。 研究人员还发布了一份完整的 IoC（危害指标）列表和一个免费的基于 PowerShell 的脚本，Windows 管理员可以使用它来检查他们的系统是否被感染。 由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合，因此，强烈建议管理员为账户设置一个复杂密码。 调查报告完整版：https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/   （稿源：开源中国，封面源自网络。）

本月早些时候，巴尔的摩（Baltimore）市政府遭到勒索软件攻击，锁定了大约 10000 台政府计算机，导致该市一系列重要的公共服务被关闭。在拒绝向黑客支付赎金之后，当地政府着手启动了恢复计划。不过在恢复过程中该市官员又遇到了新的问题–谷歌阻止该市政府部门使用新创建的Gmail账号。   援引当地媒体Baltimore Sun报道，在5月7日该市政府系统网站遭到了勒索软件攻击，并要求支付13个莱特币（当前市值约 10.2 万美元）赎金。勒索软件已经让巴尔的摩全市沦为了人质，因为市政府无法访问电子邮件账户，甚至连给雇员发工资都做不到。此外，市民无法支付一系列公共事业费用，房地产相关的交易也无法顺利展开。 报道称暗虽然官员处理这个问题还需要数月时间才能修复，但是已经有用户开始注册免费的Gmail账号以继续运营。Gmail将用户群划分为普通个体和来自企业或者其他机构的用户，而后者需要为服务支付一定的费用。根据Baltimore Sun报道，谷歌的系统将城市官员划归到机构中，并且已经关闭了临时账号。本周四，该市卫生部门、市议会助理和市长办公室所发送的电子邮件都被退回操作。 谷歌发言人随后在一份声明中表示，该公司的安全系统在短时间内检测到多个账户的创建，并自动将其关闭。对此发言人表示：“我们已经恢复了对巴尔的摩市官员Gmail帐户的访问权限。由于在同一网络下批量创建了多个消费级Gmail账户，我们的自动安全系统禁用了这些账户。”   （稿源：cnBeta，封面源自网络。）

本月早些时候，黑客成功地在巴尔的摩市部署了一批勒索软件。在两周的时间里，它已经导致了该市一系列重要的公共服务被关闭。外媒指出，本次攻击锁定了大约 10000 台政府计算机。虽然攻击者的真实身份不得而知，但其向政府勒索 13 个莱特币（当前市值约 10.2 万美元），否则就不予恢复设备上的正常数据。 （图 via：Bleeping Computer，文自：BGR） 显然，勒索软件已经让巴尔的摩全市沦为了人质，因为市政府无法访问电子邮件账户，甚至连给雇员发工资都做不到。此外，市民无法支付一系列公共事业费用，房地产相关的交易也无法顺利展开。 令人欣慰的是，市政官员表示他们无意支付这部分赎金，因为只要妥协过一次，无疑会鼓励别有用心者在未来发起更多类似的攻击。 只是在此期间，巴尔的摩市正在耗费大量的心力、以恢复基础服务的正常运行。 在数日前发布的新闻稿中，巴尔的摩市市长 Bernard Young 说到：“我们建立了一套基于 Web 的事故指挥方案，将操作转换到了手动模式，并会通过其它方案来继续向公众提供服务” 巴尔的摩市将继续调整和完善那些被中断服务的交付，同时寻求重新激活任何完全中断的服务的方法。 在恢复的过程中，我们还与 FBI 合作展开了调查，不过具体的细节还无法向大家分享。如被允许，我们将继续向公众通报相关进展。 Bernard Young 补充道：作为控制勒索软件并实施工具更新的一部分，该市正在与业内顶尖的网络安全专家合作，以确保此类事件不再发生。 至于一切恢复正常运转的时间，目前暂不得而知。不过按照估计，部分系统可能要画上几个月的时间，才能完全恢复。 正如许多大企业那样，巴尔的摩市拥有数千套系统和相关应用程序。当前的重点是让关键服务优先上线，并在期间将安全性视为首要任务之一。 市民们可在未来几周内看到部分服务开始恢复运转，但一些较复杂的系统，可能需要几个月才能彻底恢复。 实际上，这并不是巴尔的摩市首次遭遇勒索软件攻击。因为去年的时候，该市的 911 应急报警系统就曾遭遇过一次。幸运的是，这次勒索软件并没有影响到 911 系统。 至于本轮勒索软件攻击的细节，《巴尔的摩太阳报》指出，罪魁祸首是被称作 RobbinHood 的勒索软件变种。在对其展开深入研究后，专家称其是由经验丰富的编程者捣鼓出来的。   （稿源：cnBeta，封面源自网络。）

据外媒报道，Alphabet网络安全部门Chronicle的研究人员，发现了Linux版本的Winnti恶意软件。这是研究人员首次发现Winnti的Linux版本，其与中国APT组织有关。 研究人员认为，在Winnti Umbrella黑客组织的背后，有几个APT组织，包括Winnti，Gref，PlayfullDragon，APT17，ViceDog，Axiom，BARIUM，LEAD，PassCV，Wicked Panda和ShadowPad。 这些组织使用相似的策略、技术和程序（TTP），在某些情况下，甚至共享攻击手段。 研究人员在其VirusTotal平台上搜索Winnti恶意软件的样本时，发现了Linux版本的Winnti恶意软件，其可以追溯到2015年，当时被黑客用于攻击越南一家游戏公司。 根据Chronicle发布的报告，Winnti恶意软件采用模块化结构，使用插件实现不同的功能。通过进一步分析发现，Linux版本的Winnti和Winnti 2.0 Windows版本之间有许多相似之处，Linux版本也使用多种协议处理出站通信，如ICMP，HTTP以及自定义TCP和UDP协议等。Linux版本还允许黑客直接访问受感染系统。 Linux用途的扩展可能暗示了黑客们下一个目标的操作系统要求，但也可能只是尝试利用许多企业的安全盲点，与Penquin Turla和APT28的Linux XAgent变体一样。   消息来源：SecurityAffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员近日报告称，黑客组织BlackTech在中国台湾通过中间人攻击（“MITM攻击”）部署了Plead恶意软件。该组织被曝利用华硕WebStorage软件的漏洞来上传绕过身份验证的恶意软件。 根据Eset的安全研究人员的说法，黑客一直在利用华硕的WebStorage软件在受害者的计算机上安装后门。其使用的恶意软件称为Plead，主要由被称为BlackTech的黑客组织部署，该组织主要针对亚洲政府和公司。 通常，恶意软件通过网络钓鱼攻击进行传播。然而，这一次研究人员注意到一个名为AsusWSPanel.exe的进程正在激活Plead后门。该程序是华硕云存储客户端WebStorage的合法部分。 研究人员认为，黑客正在使用中间人攻击。“华硕WebStorage软件很容易受到此类攻击，”Eset的Anton Cherepanov说道。“使用HTTP请求并传输软件更新。下载更新并准备执行后，软件在执行前不会验证其真实性。因此，如果更新过程被攻击者截获，他们就可以推送恶意更新。” Plead将使用受感染的路由器作为恶意软件的命令和控制服务器。大多数受到攻击的组织使用相同品牌的路由器，其管理设置可通过互联网访问。 “因此，我们认为路由器级别的MitM攻击是最可能的情况，”Cherepanov说道。“为了应对这次攻击，华硕云已经改进了更新服务器的主机架构，并实施了旨在加强数据保护的安全措施。” Eset表示另一种可能性是黑客正在使用供应链攻击。这种类型的破坏发生在制造商的供应链中，其中安全措施可能不严格。然而，研究人员表示，尽管这种载体是可能的，但它的可能性要小得多。 Cherepanov提供了这样的建议：“对于软件开发人员来说，不仅要彻底监控他们的环境是否存在可能的入侵，还要在他们的产品中实施适当的更新机制，以抵御MitM攻击。” TechSpot就其对情况的认识与华硕进行了联系。该公司发表以下声明： “华硕云首次了解到2019年4月下旬发生的一起事件，当时一位遭受安全问题的客户与我们取得联系。在得知此事件后，华硕云立即采取行动，通过关闭华硕WebStorage更新服务器并停止来缓解攻击发布所有华硕WebStorage更新通知，从而有效地阻止攻击。 “为了应对这次攻击，华硕云已经改进了更新服务器的主机架构，并实施了旨在加强数据保护的安全措施。这将防止未来发生类似攻击。不过，华硕云强烈建议华硕WebStorage服务的用户立即运行完整的病毒扫描，以确保您的个人数据的完整性。”   （稿源：cnBeta，封面源自网络。）

据外媒报道，美国联邦调查局(FBI)和美国国土安全部(DHS)发布了一份关于ELECTRICFISH恶意软件的联合分析报告。 根据美国CERT网站上发布的报告，在追踪朝鲜黑客时发现了恶意软件ELECTRICFISH，其被朝鲜黑客组织Lazarus用来窃取数据。该恶意软件实现了一种自定义协议，允许在源IP和目标IP之间传输流量。 它不断尝试联系源系统和指定系统，并使得双方都可以发起会话。 因为该恶意软件由黑客组织Lazarus“使用代理服务器或端口和代理用户名和密码”进行配置，所以能够“连接位于代理服务器内的系统”，从而规避受感染系统的身份验证。绕过身份验证后，ELECTRICFISH将与目标IP建立会话，其位于目标网络及源IP之外。一旦在源IP地址和目标IP之间建立连接，ELECTRICFISH就可以在两台机器之间汇集网络流量，允许黑客把从受感染的计算机里收集的信息汇集到他们所控制的服务器。   消息来源：BleepingComputer， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

HackerNews.cc 5 月 9日消息，黑客正利用2018年揭露的Jenkins漏洞（CVE-2018-1000861 ）来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器，它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装，拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动，来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称，攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞，其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐，且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后，他创建了下图所示的图表（可以按照蓝色数字来理解每一步）。 Kerberods包含自定义版本的UPX打包程序，它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后，Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件，有许多方法可以修改UPX，使得用常规UPX版本解压缩文件很难。幸运的是，在本例中，UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此，将二进制文件的不同部分还原为UPX，可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限，Kerberods会将一个库加载到操作系统中，该操作系统挂钩Glibc的不同功能，就像一个木马一样。在没有root权限的情况下，恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器，它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源：Securityaffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一种名叫Evil Clippy（邪恶大眼夹）的工具现在正在帮助黑客感染您的Office文档。白帽黑客一边写病毒一边玩上了怀旧梗，还配上了剧情：“多年的嘲笑使得大眼夹走向黑暗的一面。”来自荷兰的安全研究人员刚刚发布了这一“协助安全专家和测试人员创建恶意MS Office文档的工具”。 Evil Clippy可以使恶意的Microsoft Office文档无法被反病毒软件检测到，它可以隐藏VBA宏，并让流行的宏分析工具发生混淆。 该应用程序依赖于Office功能才能够运行，例如“VBA Stomping”。如果检测到已知MS Office版本，则可以使用伪代码替换恶意VBA源代码，而恶意代码仍将通过p-code执行。这样一来，该应用程序可以欺骗任何分析VBA源代码的工具，包括防病毒软件。 安全研究人员可以在此处找到该工具的最新源代码）。     （稿源：cnBeta，封面源自网络。）

根据 Malwarebytes 新发布的报告，针对 Mac 用户的恶意软件威胁，已经在短短 3 个月内出现了大幅增长。与 2018 年四季度相比，今年一季度检出的恶意软件威胁增加了 60% 以上。与此同时，广告软件的涨幅，更是飙过了 200% 。Malwarebytes 在新一季的《网络犯罪策略与技术报告》中指出，针对消费者的威胁数量在下降，基于恶意软件的加密和勒索软件的数量也在上一季显著减少，整体恶意软件的检出量也下降。 然而网络犯罪分子们并没有就此收手，而是转移到了针对基础设施和商业用户的攻击上。显然，在它们的眼中，这些大目标比“小鱼小虾”有利可图多了。 最终结果是，与 2018 年四季度相比，Mac 恶意软件的数量在 2019 年一季度增长了 62% 。同时 macOS 广告软件增长了 201%，成为了增长最快的威胁类型。 2019 年一季度最臭名昭著的恶意软件是 PCVARK，它将上季度的前三名 —— MacKeeper、MacBooster、以及 MplayerX —— 分别挤到了第 2、3、7 位。 与此同时，一款名叫 NewTab 的广告软件家族的数量出现了跃升，从 60 名突然窜到了第 4 位。 此外，Mac 也在本季度遭受了新型攻击，包括使用开源代码创建后门、加密恶意软件，甚至在 macOS 桌面上发现了 Windows 可执行文件。 对于猖獗的加密货币挖矿，Mac 平台也未能幸免。此外因为有人利用钱包漏洞打造了一款特殊的带木马的版本，Mac 上比特币和以太坊钱包失窃的总额估计为 230 万美元。 Malwarebytes 指出，恶意软件开发者开始越来越多地使用开源的 Python 来编写恶意和广告软件。 从 2017 年的 Bella 后门开始，采用开源代码的恶意软件数量开始大增。2018 年的时候，我们还见到了 EvilOSX、EggShell、EmPyre、以及反向 shell（Metasploit）等恶意软件。 除了后门，恶意与广告软件开发者也对基于 Python 的 MITMProxy（中间人攻击代理）程序表现出了浓厚的兴趣，希望监测网络流量，从中挖掘出加密的 SSL 和其它数据。 开源的 XMRig 加密货币挖矿软件代码，也不幸成为了 2019 年一季度曝光的恶意挖矿软件的重要一环。 据悉，Malwarebytes 的这份报告，基于 2019 年 1 月 1 日 – 3 月 31 日期间，从其企业和消费者软件产品中提取到的数据。 展望未来，Malwarebytes 预测中小企业将看到大量新攻击，而亚太地区将被迫应对基于 WannaCry 或 Backdoor.Vools 的严重威胁。 预计今年勒索软件的数量会有所增加，但攻击可能仅限于企业。因为黑客为了实现收益的最大化，显然更喜欢向较大的目标发起挑战。   （稿源：cnBeta，封面源自网络。）

移动安全公司Lookout发现，一款强大的间谍软件正瞄准iPhone用户，并窃取他们的隐私信息。研究人员宣称，这款软件的开发者滥用了苹果公司颁发的企业证书，绕过其应用商店审查，感染毫无戒心的受害者设备。 这种伪装软件被安装后，它可以悄无声息地获取受害者的联系人、音频记录、照片、视频和其他设备信息，包括他们的实时位置数据。 研究人员发现，这款应用还可以被远程触发，监听人们的谈话。尽管没有数据显示谁可能成为攻击目标，但研究人员指出，这款恶意应用出现在意大利和土库曼斯坦手机运营商的虚假网站上。此前，也曾出现针对安卓设备的类似间谍软件Exodus。 Lookout高级安全情报工程师亚当·鲍尔（Adam Bauer）表示，这两款软件都使用了相同的后端基础设施，而iOS版本使用了多种技术，使得分析网络流量变得非常困难，显然有专业团体负责开发这些软件。 研究人员表示，他们不知道有多少苹果用户受到了影响。苹果还没有就此置评。   （稿源：网易科技，封面源自网络。）