据外媒 8 月 30 日报道，网络安全公司 ESET 研究人员近期发现了一项针对全球各领事馆部委与大使馆的新型后门恶意软件 Gazer 监控，疑似与俄罗斯 APT 组织 Turla 有关。 Turla 是俄罗斯网络间谍组织之一，又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态，其主要针对欧洲外交部等政府机构与军工企业展开攻击活动。历史上的典型受害目标有瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 此次调查显示，恶意软件 Gazer 由开发人员采用 C ++ 程序编写，经鱼叉式钓鱼攻击进行传播，可由攻击者通过 C＆C 服务器远程接收加密指令，并可使用受损合法网站（ 多数使用 WordPress ）作为代理规避安全软件检测。研究人员表示，该后门的使用最早可追溯至 2016 年，且整体组件与 Turla 开发的 Carbon 与 Kazuar 后门存在相似之处。此外，Gazer 后门还使用代码注入技术控制受损设备并长期隐藏自身，以便窃取用户更多敏感信息。 恶意软件使用的 “ Solid Loop Ltd ” 有效证书 目前，研究人员已证实 Gazer 后门恶意软件存在四种不同变种，欧洲地区政府机构受影响情况最为严重。有趣的是，不仅早期版本的 Gazer 签发了 Comodo 颁发的 “ Solid Loop Ltd ” 有效证书，而最新版本也签发了 “ Ultimate Computer Support Ltd. ” 颁发的 SSL 证书。对此，研究人员建议系统管理员启用全方位检测与预防系统，禁用过时的协议与端口、主动监控网络流量与部署安全机制。 相关链接： ○ ESET 研究报告《Gazing at Gazer : Turla’s new second stage backdoor》 ○ 卡巴斯基有关 Gazer 后门的细节报告 历史资讯： ○ 俄间谍组织 Turla 持续开发 Carbon 后门新变种 ○ 俄网络间谍组织 Turla 使用新 JavaScript 恶意软件针对欧洲外交部 原作者：Danny Palmer，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 29 日报道，法国安全研究人员近期在荷兰的一台 “ 开放且可访问 ” 的垃圾邮件服务器上发现一个庞大的数据库，其中包含逾 7.11 亿电子邮件地址，以及来自全球数百万个 SMTP 登录凭证。调查显示，匿名攻击者主要利用该批电子邮件账户群发银行木马病毒 Ursnif。 研究人员经调查发现，通常情况下垃圾邮件主要是为发布广告以获取流量收益， 但这次的垃圾邮件群发主要是为了盗取银行账号信息，即邮件冒充各种通知信件或订单确认信息等，诱骗受害者点击链接进入攻击者事先设置的钓鱼网站。与此同时，攻击者还利用该邮件传播木马病毒 Ursnif。目前，研究人员称全球超过 10 万台电脑已感染该病毒。 据悉，群发垃圾邮件进行广告营销或者钓鱼攻击本身不是新鲜事件，因绝大多数邮箱也会自动拦截这钓鱼邮件。但这次事件中的攻击者改变了策略：利用其它资料泄露事件暴露的正常邮箱分批群发垃圾邮件躲避拦截。网上现今仍可找到诸如 LinkedIn 等泄露的数据，其中很多用户的电子邮件账户密码至今还未进行更改。因此攻击者利用这些正常邮件账户群发垃圾邮件可有效躲避拦截，最终达到广告传播并进行钓鱼攻击的目的。 目前，基于安全考虑该事件的研究人员并未发布具体文件信息，而是联系了当地的执法部门迅速获取这些数据，之后将由执法部门继续追查服务器所有者以及背后操纵者真实身份。此外，研究人员强烈建议受影响用户当即更改密码并启用双重身份认证。 本文根据 thehackernews 与 蓝点网 联合翻译整理，编辑：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，黑客继去年利用大量不安全物联网设备发动 DDoS 攻击后开始转向另一种极其流行且安全的设备展开新一轮攻击，即运行 Google Android 系统的智能手机与平板设备。 调查显示，攻击者利用官方应用商店传播的恶意程序创建 Android 僵尸网络发动 DDoS 攻击。据悉，被称为 WireX 的僵尸网络在其高峰时最高控制 100 多个国家逾 12 万 IP 地址。然而，当前各企业很难抵御这种 IP 地址遍布全球的 DDoS 攻击。 研究人员表示，他们已在 Google 官方应用商店中发现 300 余款应用软件与僵尸网络 WireX 有关，其中多数应用主要提供铃声、视频或存储管理器等服务。目前，Google 经证实后紧急下架部分应用以减少目标设备沦为 DDoS 攻击的动力来源。据悉，这些应用程序多数由俄罗斯、中国与其他亚洲国家的用户下载，尽管 WireX 僵尸网络当前仅在小规模攻击活动中处于活跃状态。 幸运的是，在该 Android 僵尸网络膨胀到难以控制前，包括 Cloudflare、Akamai、Flashpoint、Google、Dyn 等在内的科技公司已积极采取行动并对其进行联合打击。此外，如果用户设备运行的是 Android 操作系统的最新版本，那么该系统中包含的 Google Play Protect 功能将会自动移除已下载的恶意 WireX 应用。目前，研究人员建议用户从 Google 官方商店下载应用程序并始终在移动设备上保持全方位杀毒软件，以便在感染设备前阻止恶意程序下载。 本文根据 thehackernews 与 solidot奇客 联合翻译整理，编辑：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 8 月 27 日消息，网络安全公司 Proofpoint 研究人员近期在受攻击的 C&C 服务器中发现一款新型勒索软件 Defray，允许攻击者通过附带 Microsoft Word 文档的电子邮件发送至教育、医疗机构展开针对性网络钓鱼攻击。 据悉，研究人员于 8 月 15 日及 8 月 22 日分别观察到一起专门针对特定组织展开的网络攻击活动： 8 月 15 日，攻击者瞄准制造业与技术领域以 “ 订单/报价 ” 为主题发送包含嵌入式可执行文件（ OLE 对象包装程序）的 Microsoft Word 文档进行恶意软件肆意传播。此外，该附件还引用英国水族馆标志诱导用户点击下载。 8 月 22 日，攻击者主要针对医疗与教育机构展开攻击活动，攻击操作与此前类似，即通过发送包含嵌入式可执行文件（ OLE 对象包装程序）的 Microsoft Word 文档感染目标系统。另外，攻击者除了伪造医院信息管理与技术总监的身份发送钓鱼邮件外，还在邮件右上方设有英国医院标志作为诱饵，诱导用户点击查看。 研究人员表示，勒索软件 Defray 幕后黑手虽然要求受害用户支付 5000 美元赎金，但该票据包含多个电子邮件地址，或是为提供给受害用户在进行谈判或提问时使用。然而，值得注意的是，Defray 勒索软件主要针对硬编码的文件类型列表，不会更改文件扩展名。在加密完成后，Defray 勒索软件可能会通过禁用恢复功能或删除快照来对系统造成其他破坏。在 Windows 7 上，它则使用 GUI 来监视和关闭正在运行的程序，例如任务管理器和浏览器等。 目前，仅有两起针对性攻击活动已被证实，研究人员推测勒索软件可能作为一种恶意服务被网络犯罪分子私下使用，尽管它可能继续用于有限的针对性攻击，但短时间内也不会被大规模传播。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，赛门铁克 Dinesh Venkatesan 近期公布一份安全报告，声称 Trojan Development Kit app for Android（即针对 Android 平台开发木马开发套件软件）提供了一个极易使用的界面。目前，它正在中国的社交网络平台上传播，其整个过程不需要用户编写任何代码，而这一切均可在智能手机上就能完成。 该软件可以定制勒索信、解密密匙、图表、代码算术运算以及在主机设备上播放动画类别内容等。当填好所有信息之后，用户就能按下 “ Create（生成）” 这个按钮。赛门铁克的这篇文章指出，虽然目前这款软件的目标是中文用户，但修改界面语言非常简单并且它未来还将有可能出现在其他方言地区。 Venkateswaran 解释称，这些应用不仅能让那些经验不足但却有野心的网络犯罪提供帮助，甚至连老练的恶意软件开发者也发现这些易于使用的工具包是一种有效的替代方式。另外，他还称，随着这些开发工具包的不断普及，未来在移动客户端出现的勒索软件种类将会变得越来越多。 稿源：cnBeta，封面源自网络；

据外媒报道，来自网络安全公司 Proofpoint 的一份安全报告显示，一个 “ 有针对性的邮件运动 ” 正在以《权力的游戏》剧透为诱饵向不知情的用户传播恶意软件。 据悉，该家公司在 8 月 10 日首度收到一份标题为 “ 想要提前看到《权力的游戏》吗 ” 的电子邮件，宣称有一些来自还未播出的内容。此外，里边还提供了一个 Word 附件–实际上，里边藏了恶意软件。一旦下载，它就会尝试在用户设备上安装一个 9002 远程控制木马（RAT）。 今年 7 月底，黑客公布了 1.5TB 来自 HBO 的数据，其中包括了《权力的游戏》一些演员的联系方式、未播出的内容和脚本。 证据表明 HBO 的数据泄露和现在这些恶意软件传播存有关联。这些恶意软件幕后黑手只是通过《权力的游戏》诱骗用户上当。 稿源：cnBeta，封面源自网络；

据外媒报道，法国公司 Fireworld 近期在推出监控软件后备受谴责，因该公司推出了一款能够帮助用户入侵并监控目标 Facebook 帐号是否访问同性网站的间谍软件。 据 BBC 报道，Fireworld 在推出该软件时发布的一篇文章，还配上了一张《少狼》“ 队长 ” 科尔顿·海恩斯（Colton Haynes）的照片，他在去年宣布出柜。海恩斯曾透露，他的父亲因为他是名同性恋而自杀。Fireworld 于 21 日发布的这篇文章被法国青年 LGBT 权利组织 L’Amicale des jeunes du Refuge 发现，并在 Twitter 传播。 法国国务卿 MarlèneSchiappa 转发了权利组的推文，并补充说：“同性恋歧视与性别歧视根源在同一性别刻板印象上，我们将平等对待他们。随后，Fireworld 删除了这篇文章。Fireworld 发言人表示，“我们为造成的苦恼和伤害表示歉意 ”。他表示，内容仅仅是为了提升网站的搜索引擎优化，“不是被人们阅读”。这名发言人补充说：“我们应该更多地考虑到后果。” 稿源：cnBeta，封面源自网络；

据外媒 8 月 24 日报道，卡巴斯基实验室（Kaspersky Lab）研究人员近期发现黑客正利用  Facebook Messenger 进行跨平台攻击活动，即通过社工手段以目标用户好友身份发送特殊视频链接。一旦点击链接，则会根据用户浏览器与操作系统将其重定向至虚假网站并诱导用户下载安装广告软件，从而获取暴利。 例如，当 Windows Mozilla Firefox 用户点击该链接时，将会被其重定向至虚假 Flash 播放器更新网站。如果用户点击更新，则会自动下载一款提供 Windows 可执行文件的广告软件。 然而，Google Chrome 用户则会被重定向至虚假的 YouTube 网站，同时该网站会诱导受害者从 Google 应用商店下载恶意 Chrome 扩展程序，从而自动下载恶意广告软件至受害者设备。 此外，苹果 Mac OS X Safari 用户最终则会被重定向至 Firefox 页面，其中将会出现虚假的 Flash 媒体播放器更新窗口。如果用户点击更新，则会自动下载提供 OSX 可执行文件的广告软件。 调查显示，攻击者实际上并未使用任何银行木马或漏洞感染平台用户，而仅仅是通过恶意广告文件牟取暴利。对此，为保障用户系统安全，研究人员建议用户切勿轻易点击任何非可信来源的图像或视频链接，并始终保持系统杀毒软件更新至最新版本。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 22 日报道，安全公司 FireEye 研究人员 Zain Gardezi 与 Manish Sardiwal 近期发现：黑客利用 Neptune 漏洞开发工具包通过合法网站弹出的虚假广告将用户重定向至特定网页，并利用浏览器漏洞投放挖矿工具。 图1. 遭受 Neptune 漏洞开发工具包影响的国家分布情况 调查显示，攻击者在某知名徒步旅游网站上伪造看似 “ 合法 ” 的弹出式广告窗口，诱导用户点击后重定向至特定页面，并通过检测 IE 浏览器漏洞确定是否投放挖矿工具。这些虚假广告多数情况出现在高流量领域或多媒体托管网站。一旦用户被重定向后会立即下载恶意软件。目前，研究人员尚未透露弹出式广告服务商名称，但强调了该企业在 Alexa 排名前 100。 漏洞开发工具包的登录页面运行多处漏洞，其中包括瞄准 IE 网站展开攻击的三处漏洞（ CVE-2016189、CVE-2015-2419、CVE-2014-6332），及以 Flash 为目标的两处漏洞（CVE-2015-8651、CVE-2015-7645） 。 研究人员表示，此类攻击活动主要是黑客通过开发工具包领域的统一资源标识符（URI）将 payload 作为普通可执行文件运行。目标设备被感染后就会尝试使用攻击者电子邮件地址账号登录到加密货币采矿池 minergate[.]com。 图2. 虚假广告页面 原作者：Chris Brook，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

8 月 23 日上午消息，出于对间谍软件的恐慌，谷歌从其在线应用程序商店删除超过 500 款应用程序。本周，网络安全公司 Lookout 研究人员透露，发现超过 500 款应用程序可通过 Google Play 进入用户手机传播间谍软件。在应用程序中使用的某些软件，可在不提醒应用程序制造商的情况下，秘密将用户的个人数据转移到其设备上。 目前，多数应用程序开发人员可能并不知道这些安全漏洞的存在。Lookout 列举了两款受影响的应用程序——Lucky Cash 和 SelfieCity，两者随后均被锁定。虽然该公司没有透露其他受影响的应用程序，但他们表示，其中包括面向青少年的手机游戏、天气应用程序、在线电台、照片编辑、教育、健康、健身和家庭摄像机应用程序。 所有受影响的应用程序都使用了同一软件开发工具包（SDK），它可以帮助公司根据用户喜好对应用程序中的广告进行定向，收集用户数据。Lookout 人员发现，嵌入在应用程序中的 Igexin 广告 SDK 能够使这些应用程序与外界服务器进行交流，安全公司说，后者曾经向人们提供过恶意软件。 尽管应用程序偶尔与这些服务器进行通信的情况并不少见，但 Lookout 研究人员注意到一个奇怪的例子——其中一个应用程序似乎正在 “ 从这些服务器下载大型加密文件 ”。这一行动提示研究人员，黑客正在利用 SDK 中的一个漏洞。当应用程序被安装在设备上后，可能向外传播恶意软件。 虽然应用程序开发商有义务告知用户他们收集数据的方法，但 Lookout 指出，开发商可能并不知道的 Igexin SDK 可以为恶意软件大开方便之门。研究人员称，他们已将发现的安全楼道内通知谷歌公司，后者随后立即采取行动，在应用商店里删除了这些应用，或更换到不存在同样网络安全漏洞的新版本。 稿源：cnBeta、，稿件以及封面源自网络；