据外媒 6 月 17 日报道，荷兰开发人员 Luke Paris 创建了一款隐藏在 PHP 服务器模块中的新型 rootkit 程序，允许攻击者托管 Web 服务器并可有效规避检测。 众所周知，传统 rootkit 可在操作系统最低级别拦截内核操作、执行恶意活动。Paris 近期成功创建一款与 PHP 解释器交互的 rootkit 程序，从而取代了更为复杂的操作系统内核功能。Paris 表示，将 rootkit 写成 PHP 模块的原因显而易见，具体如下： 操作简单：将 rootkit 写成 PHP 模块要比学习编写内核模块容易得多，因为代码库本身体积更小、文档更完善，操作更简单。即使没有良好的文档或教程，任何一个开发新手在学习 PHP 模块编写基础知识后均可做到。 更加稳定：对于运行在内核的传统 rootkit 而言，编写不当可导致整个系统崩溃。而对于 PHP rootkit 而言，最糟糕的情况莫过于导致分段错误、中断当前请求（注：多数 Web 服务器在错误日志中均上报此类恶意操作）。 有效规避检测检测：由于系统缺乏对 PHP 模块的检测机制，PHP rootkit 可有效规避检测。而传统 rootkit 要求对每个进程进行系统调用，大大降低用户设备运行速度，更易引发怀疑。 易便携：PHP rootkit 具有跨平台功能，因为 PHP 模块多数情况下与平台相独立。 Paris 在社交平台 GitHub 上发布 PHP rootkit 概念证明。据悉，该开源项目代码连接至 PHP 服务器的 “ 哈希 ” 与 “ sha1 ” 函数，并仅由 80 行代码组成，因此极易隐藏在合法 PHP 模块中。 安全专家建议，管理员在安装 PHP 后应保留模块哈希列表。此外，还可使用定时功能尝试对扩展目录中的所有文件进行散列排序并将其与当前散列对比。目前，Paris 已发布 Python 脚本，用于检查用户设备 PHP 模块 SHA1 哈希值。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 18 日报道，安全研究人员在跟踪黑客组织 APT-C-23 与 Two-Tailed Scorpion 后发现一起新网络间谍活动，涉及伪造巴勒斯坦绝密文件传播恶意软件 Kasperagent。 调查显示，黑客组织通过利用 Windows 恶意软件“Kasperagent” 和 “Micropsia” 以及安卓恶意软件 “SecureUpdate” 和“Vamp” 针对巴勒斯坦选举展开网络攻击行动，美国、以色列、埃及等国也纷纷受其影响。 今年 4、5月份，威胁情报机构 ThreatConnect 的安全专家在分析巴勒斯坦中东领土机构的伪造文件中发现数十个恶意软件 Kasperagent 样本，攻击者将恶意软件植入合法文件中并发布在众多新闻网站和社交媒体上。此外，攻击者为了诱导受害者打开文件，还利用政治敏感内容（诸如：暗-杀哈马斯军事指挥官马赞·福卡哈等重要领导人、禁止加沙地区巴勒斯坦政党法塔赫通行 之类）的虚假信息诱导受害者打开文件，从而自动下载恶意软件 Kasperagent。 分析显示，攻击者还能利用恶意软件 Kasperagent 作为侦察工具和下载器。安全专家从最近的恶意软件样本中还检测到部分额外功能，如从浏览器中窃取用户密码、截取屏幕信息与记录击键数据等。早期恶意软件 Kasperagent 变体使用 “ Chrome ” 作为用户代理，但近期则改用 “ Opaera ” ——可能由于拼写 “ Opera ” 浏览器错误导致。 调查显示，该起网络间谍活动的发起时间恰逢加沙地区政治局势日益紧张。ThreatConnect 观察到，黑客组织于近期使用的恶意软件托管在 IP 地址 195 [.]154 [.]110 [.] 237 上。该地址关联了四个域名，其中两个（upfile2box [.] com 与 7aga [.]net）由加沙地区的网络开发人员注册。目前研究人员尚未了解攻击者的真正意图，但他们推测此次网络间谍活动很有可能针对哈马斯、以色列或法塔赫党，而且巴勒斯坦地区也已成为黑客组织主要攻击目标。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 17 日报道，美国纳百川旗下服装零售商 Buckle 公司发布官方声明，证实其商店支付系统感染恶意软件。 网络安全专家 Brian Krebs 16 日上午收到金融界知情人士关于 Buckle 商店信用卡支付违规消息后，当即向该公司反馈信用卡数据或被泄露的情况。随后Buckle 公司立即展开深入调查，并聘请全球领先安全专家审查公司支付系统设备。 调查显示，网络犯罪分子在使用恶意软件捕获磁条数据、复制用户信用卡信息后，还迅速删除了入侵记录。虽然恶意软件于 2016 年 10 月 28 日至 2017 年 4 月 14 日期间就已存在窃取用户信用卡数据的迹象，但攻击者并未获取到用户社会保障号码、电子邮件地址或实际地址，buckle.com 网站在线销售业务和客户也暂未受到影响。 Buckle 公司表示，旗下所有零售店均配备了 EMV 智能卡终端系统，使用芯片卡支付的用户不会受到信用卡违规影响。目前，公司正积极配合专家进行取证调查，Buckle 公司表示，他们极其重视对用户信用卡数据的保护工作，任何可能受影响的个人都将收到银行提醒通知。此外，Buckle 公司建议用户密切留意个人信用卡账单，以防犯罪分子窃取资金。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 16 日报道，安全研究人员近期发现一款新型 “无文件” 勒索软件 Sorebrect，允许黑客将恶意代码隐身注入目标系统中的合法进程（svchost.exe）并终止其二进制代码以规避安全机制检测，还能通过使用 wevtutil 删除受影响系统的事件日志阻碍取证分析。 勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制（C＆C）服务器中。与其他勒索软件不同的是，Sorebrect 专门针对各行（制造、技术与电信）企业系统注入恶意代码，以便在本地系统和共享网络中加密文件。 研究人员注意到，勒索软件 Sorebrect 首先通过暴力攻击等手段入侵管理员账户，然后利用 PsExec 命令控制系统实现文件加密处理。“虽然攻击者可以使用远程桌面协议（RDP）和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件，但与使用 RDP 相比，利用 PsExec 更为简单”。趋势科技表示，PsExec 可使攻击者能够执行远程命令，而非使用交互登录会话或将恶意软件手动传输至远程机器设备。 调查显示，研究人员首次在中东国家 Kuwait 与 Lebanon 地区发现该勒索软件迹象。随后，他们于近期观察到加拿大、中国、俄罗斯与美国等国家系统也纷纷遭受勒索软件 Sorebrect 攻击。趋势科技安全专家建议用户限制 PsExec 权限、主动备份文件，实时更新系统与网络安全机制以防止黑客攻击。 原作者：Pierluigi Paganini，译者：青楚，译审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

趋势科技于近期发现一款极其狡诈的新型木马程序 “ANDROIDOS_XAVIER.AXM ” （简称 Xavier ）。该木马程序能够使用多种方式覆盖活动痕迹并在用户不知情的情况下发送用户数据至远程服务器上。 首先，这款恶意程序会嵌入到常规的应用中，例如铃声录制和图片编辑应用，受感染的用户绝大多数来自亚洲东南部国家，如越南、菲律宾和印度尼西亚，美国和欧洲的感染人数较少。趋势科技发现携带有该恶意程序的应用数量已经超过 800 款，而且部分应用在 Google Play 上的下载量已经超过数百万次。 而该恶意程序另一个狡诈的地方在于它们会嵌入到应用的代码中。在应用使用过程中并不会出现明显的恶意代码，因此在提交至 Play Store 审核的时候并不会触发任何 flag。然而，一旦从隐蔽的服务器下载和安装恶意代码，那么就会自动执行。而这些操作都是在用户不知情的情况下在后台进行操作的。 分析人员表示：“如果设备已经被 root，那么该恶意程序就会静默安装其他类型的 APK 文件。” 对比此前恶意广告木马，Xavier 的功能及特征更为复杂。首先他具备远程下载恶意代码并执行的能力。其次，它通过使用诸如字符串加密，Internet 数据加密和模拟器检测等方法来保护自己不被检测到。Xavier 窃取用户数据的行为很难被发现，它有一套自我保护机制，来躲避静态和动态的检测分析。此外，Xavier 还具有下载和执行其他恶意代码的能力，使它的威胁性大大增加。 稿源：cnBeta；封面源自网络

据外媒报道，路由器几乎是每一个网络的前门，除了提供访问入口，它还能为阻止远程网络攻击提供一定的安全保护作用。所以，如果路由器沦陷，那么也就意味着攻击者可以看到用户在网上做的每一个动作。根据维基解密最新曝光的文件显示，CIA 就拥有能够做到这点的工具。 根据文件描述了解到，CIA 一个叫做 Cherry Blossom 的项目可以通过一个修改过的给定路由器固件将路由器变成一个监控工具。一旦部署成功，Cherry Blossom 就能让在被攻击者的网络上展开远程代理监控、扫描诸如密码的实用信息甚至还能重定向被攻击者想要访问的网站。 获悉，维基解密曝光的文件来源于 2012 年 8 月，所以现在并不清楚 CIA 在这 5 年间是否有升级过 Cherry Blossom ，或许它已经停止使用。另外，从曝光的文件了解到，Cherry Blossom 对来自华硕、贝尔金、Buffalo、戴尔、DLink、Linksys、摩托罗拉、Negear、Senao、US Robotics 这 10 家厂商的近 25 种不同的设备都有效。 此外，文件还提到，CIA 通过 Claymore 工具或一个供应链操作将 Cherry Blossom 固件植入到无线设备中。“ 供应链操作 ” 很有可能指的是在工厂和用户之间拦截设备，这是间谍活动的常用手段。目前并不清楚该固件植入的使用范围有多广，不过文件指出该类型攻击只针对特定目标发起，而非大规模监控。 稿源：cnBeta，封面源自网络

在“暗网（Dark Web）” 上出现了两款针对 Mac 电脑的全新恶意软件，这两款 Mac 恶意软件分别是 MacSpy 和 MacRansom ，并通过 Maas 和 Raas 方式攻击。两款恶意软件来自一个开发者，安全公司 Fortinet 和 AlienVault 认为，这位开发者经验不足，并指出恶意软件缺少数字签名文件，这意味着标准安装的 macOS 可以躲开恶意软件。 MacSpy 的威胁并不大，但 MacRansom 非常危险，因为恶意软件有能力永久摧毁用户的文件。庆幸的是，MacSpy 和 MacRansom 目前都没有大规模传播，因为开发者要求购买者与其联系，并直接进行价格谈判。 不过，Mac 安全研究人员 Patrick Wardle 表示，越来越多的黑客将目标转移至苹果电脑。此外，macOS 和 iOS 用户的安全知识并不够，很有可能成为黑客的目标。虽然这次的 MacSpy 和 MacRansom 没有大规模的传播，但未来也许会有一款影响巨大的恶意软件或勒索软件出现。 针对 Mac 电脑的恶意软件在2016年增长了 744%，虽然大部分都是捆绑在软件中的广告插件。如果想要保持安全，安全专家建议用户在 Mac App Store 以及受信任的第三方开发者网站下载应用和程序。虽然苹果一直将 Mac 宣传为不会中毒的电脑，但Wardle 还是提醒苹果粉丝，不要掉以轻心，不能过于自信。 稿源：cnBeta、MacX，封面源自网络

据外媒 6 月 12 日报道，杀毒软件公司 ESET 研究人员发现一款新型恶意软件 Industroyer，旨在破坏工控系统（ ICS ）工作流程（ 特别是变电站 ICS ）。近期，研究人员发表详细报告并推测该恶意软件与发生在 2016 年 12 月的乌克兰变电站攻击事件有关。 Industroyer 是一款集成了后门、发射器、数据擦除工具，以及至少四个负载组件的复杂、模块化恶意软件。Industroyer 后门允许黑客在目标系统上执行各种命令。当 C＆C 服务器隐藏在 Tor 网络时，黑客可通过编程将其设定为指定时间内处于活跃状态，并有效规避安全软件检测。此外，该后门除了安装用于启动数据擦除器与负载的发射器组件外，还将第二个后门伪装成恶意版本的 Windows 记事本应用程序。 数据擦除器组件用于攻击活动的最后阶段，以隐藏踪迹并使目标系统难以恢复。负载允许恶意软件控制断路器，实现工业通信协议。因此，ESET 研究人员认为恶意软件开发者对电网运营与工业网络通信有着深入了解。研究人员集中分析 Industroyer 核心组件负载（例如：IEC 60870-5-101、IEC 60870-5-104、IEC 61850与过程控制数据访问 OPCDA）后发现黑客可在发动攻击时控制目标系统断路器。 根据工控安全公司 Dragos 提供的理论攻击描述，黑客使用恶意软件 Industroyer 在 HMI 中将断路器开启命令设置为无限循环操作，导致目标系统变电站频繁出现断电现象。此外，目标设备操作人员无法通过操控 HMI 关闭断路器。为恢复正常通信，操作人员必须先用变电站扰乱通信后手动修复该问题。另外，黑客还可通过开启无限循环使断路器不断开关，触发保护机制、致使变电站关闭。 目前，ESET 与 Dragos 收集的证据均已证实，Industroyer 与 2016 年俄罗斯黑客组织 ELECTRUM 攻击乌克兰基辅地区电网事件有关。ELECTRUM 与 Sandworm APT 组织之间存在直接联系。ESET 强调，虽然这两家黑客组织在 2015 年与 2016 年乌克兰攻击活动中使用的恶意软件并无相似之处，但部分组件概念却极其相同。 详细报告请戳 →《 WIN32/INDUSTROYER：A new threat for industrial control systems 》 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 12 日报道，韩国网络托管公司 Nayana 上周末遭受网络攻击，导致旗下 153 台 Linux 服务器与 3,400 个网站感染 Erebus 勒索软件 。 安全专家表示，勒索软件 Erebus 滥用 Event Viewer 提权，允许实现用户账户控制（ UAC ）绕过，即用户不会收到允许以较高权限运行程序的提示。此外，勒索软件 Erebus 还可将自身复制到任意一个随机命名的文件中修改 Window 注册表，以劫持与 .msc 文件扩展名相关内容。 一旦 60 种目标文件扩展名遭 Erebus 加密，桌面就会出现一张赎金交纳通知，受害者在点击 “ 恢复文件 ” 后页面将跳转至 Erebus Tor 支付网站。勒索软件 Erebus 赎金金额已由今年 2 月约 90 美元（ 0.085 比特币）飞涨至 29,075 美元（ 10 比特币 ），最近价格为 15,165 美元（ 5.4 比特币）。 目前，韩国互联网安全局、国家安全机构已与警方展开联合调查。Nayana 公司表示，他们将积极配合，尽快重新获取服务器控制权限。 原作者：Ms. Smith，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软安全团队报告了一个恶意程序家族，将英特尔 Active Management Technology (AMT) Serial-over-LAN ( SOL ) 接口用作文件传输工具。 AMT SOL 是英特尔 Management Engine(ME) 的一部分，运行独立的操作系统，能在主机关闭的情况下工作，它被广泛批评是安全隐患或后门。 据悉，通过 AMT 的未经授权访问不会被主机记录下来，当 AMT 启用之后，所有的网络数据包会重定向到 ME，然后再到 AMT，绕过了主机操作系统，使用 AMT SOL 窃取数据不会被主机操作系统安装的防火墙和安全产品发现。 微软将开发该恶意程序的黑客组织称为 PLATINUM，它被认为是某个国家的网络间谍团队，主要目标是南中国海附近的东南亚国家。PLATINUM 活跃的最早时间不晚于 2009 年，每年专注于少数目标，以避免暴露。 稿源：cnBeta、solidot奇客，封面源自网络