最近，我们观察到了Silent Librarian APT黑客组织针对全球范围内大学的网络钓鱼活动。10月19日，通过伪装的COVID-19调查，我们确定了针对哥伦比亚大学（UBC）员工的新型网络钓鱼文档，该文档是一个会自动下载勒索软件并勒索受害者的恶意Word文件。幸运的是，基于UBC网络安全团队的迅速对应措施，该网络钓鱼活动并未成功。 … 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1390/       消息来源：Malwarebytes，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

日本知名的游戏公司CAPCOM今天上午发布官方公告，称该公司服务器11月2日遭到第三方未授权访问。这次外部未授权的方位主要集中在公司的邮件及文件服务器，目前尚未发现用户资料和信息被盗取的证据。据悉，CAPCOM内部的邮件和文件服务器在11月2日凌晨被未授权的第三方访问，事件发生后CAPCOM立刻停止了集团内部部分网络。 CAPCOM在公告中表示目前还没有任何迹象表明用户信息遭到破坏，而且这次网络攻击也没有影响CAPCOM旗下游戏的网络功能。接下来CAPCOM将联合警方及相关部门进行调查并逐步恢复网络等系统功能。 和以往黑客的大规模攻击不同，这一次针对CAPCOM内部服务器的黑客行动显然是冲着内部资料来的，也许未来不远的一段时间里就会不断有CAPCOM相关游戏的泄露情报出现吧。       （消息及封面来源：cnBeta）

本周谷歌从官方Play Store删除了17款Android应用程序。据来自Zscaler的安全研究人员Viral Gandhi称，这17个应用程序全部感染了Joker（又名Bread）恶意软件。他说：“这个间谍软件旨在窃取短信、联系人名单和设备信息，同时，也在悄悄地为受害者注册高级无线应用协议（WAP）服务”。 这17款应用分别是： All Good PDF Scanner Mint Leaf Message-Your Private Message Unique Keyboard – Fancy Fonts and Free Emoticons Tangram App Lock Direct Messenger Private SMS One Sentence Translator – Multifunctional Translator Style Photo Collage Meticulous Scanner Desire Translate Talent Photo Editor – Blur focus Care Message Part Message Paper Doc Scanner Blue Scanner Hummingbird PDF Converter – Photo to PDF All Good PDF Scanner 谷歌已经从Play Store中删除了这些应用程序，并启动了Play Protect禁用服务，但用户仍然需要手动干预从设备中删除这些应用程序。 Joker是游戏商店的祸根。截止本次，这已经是最近几个月，谷歌安全团队第三次处理Joker感染的应用程序。 本月初，谷歌团队刚删除6款被感染的应用。而在此前的7月，谷歌安全研究人员也发现了一批被Joker感染的应用程序。 据调查发现，这批病毒软件从3月份开始活跃，已经成功感染了数百万台设备。 这些被感染的应用程序采用的是一种叫做“滴管（dropper）”的技术。这种技术能让受感染的应用程序绕过Google的安全防御系统，直达Play Store，并分多个阶段感染受害者的设备。 从谷歌的角度来看，这项技术非常简单，但却很难防御。 首先，恶意软件的创造者会克隆合法的应用程序功能，并上传到Play Store。通常来讲，此应用程序功能齐全，可以请求访问权限，但首次运行时不会执行任何恶意操作。由于恶意操作往往会延迟数小时或数天，谷歌的安全扫描也不会检测到恶意代码，因此，此类应用程序通常会出现在Play Store商店内。 但一旦用户安装到设备上，应用程序就会在设备上下载并“丢弃”（由此得名为droppers或loaders）其他组件或应用程序，而这些组件或应用程序包含了Joker恶意软件或其他恶意软件。 今年1月，谷歌发表了一篇博文，声称Joker是过去几年来，他们应对过的最持久、最先进的威胁之一。同时，谷歌也表示，自2017年以来，其安全团队已从Play Store删除了1700多个应用程序。总之，防范Joker很困难，但是如果用户在安装具有广泛权限的应用程序时能够谨慎一些，可以降低被感染的可能。 此外，Bitdefender也向谷歌安全团队报告了一批恶意应用，其中一些应用程序仍然可以在Play Store上使用。Bitdefender没有透露应用程序的名称，只透露了上传应用程序的开发者帐户名称，并表示安装了这些开发人员的应用程序的用户应立即将其删除。       （消息及封面来源：cnBeta）

网络安全研究人员披露了一项针对韩国侨民的新的Watering Hole攻击的细节，该攻击利用谷歌Chrome和Internet Explorer等浏览器的漏洞，部署恶意软件进行间谍活动。 Trend Micro称其为“Operation Earth Kitsune”，该活动包括使用SLUB（用于SLack和githUB）恶意软件和两个新的后门（dneSpy和agfSpy）来过滤系统信息并获得对受损机器的额外控制。 网络安全公司称，这些攻击发生在3月、5月和9月。 Watering Hole允许攻击者通过插入漏洞攻击（意图访问受害者的设备并用恶意软件感染）来危害精心选择的网站，从而危害目标企业。 据说，“Earth Kitsune”行动已经在与朝鲜有关的网站上部署了间谍软件样本，但是，这些网站的访问被阻止，因为这些网站是来自韩国IP地址的用户。 多元化的运动 尽管此前涉及SLUB的操作是利用GitHub存储平台将恶意代码片段下载到Windows系统，并将执行结果发布到攻击者控制的私人Slack渠道上，但最新的恶意软件攻击的目标是Mattermost，一个类似slacko的开源协作消息传递系统。 Trend Micro表示：“这次行动非常多样化，他们在受害者机器上部署了大量样本，并使用了多个命令和控制（C&C）服务器。”“总的来说，我们发现该活动使用了5台C&C服务器，7个样本，并利用了4个N-day的漏洞。” 攻击者利用一个已经修补过的Chrome漏洞（CVE-2019-5782），通过一个特别制作的HTML页面，在沙箱中执行任意代码。 另外，Internet Explorer中的一个漏洞 （CVE-2020-0674）也被用来通过被攻击的网站传递恶意软件。 dneSpy和agfSpy-全功能间谍后门 尽管他们的感染媒介不同，但利用链的步骤相同——启动与C&C服务器的连接，接收dropper，然后检查目标系统上是否存在反恶意软件解决方案，之后继续下载三个后门示例（以“.jpg”格式）并执行它们。 这次的改变是使用Mattermost服务器跟踪多台受感染机器的部署情况，此外还为每台机器创建一个单独的通道，从受感染主机检索收集的信息。 在其他两个后门dneSpy和agfSpy中，前者被设计成收集系统信息、截图、下载并执行从C&C服务器接收到的恶意命令，这些命令的结果被压缩、加密并过滤到服务器上。 “dneSpy一个有趣的方面是它的 C&C pivoting行为，”Trend Micro的研究人员说，“中央C&C服务器的响应实际上是下一级C&C服务器的域/IP，dneSpy必须与该域/IP进行通信才能接收进一步的指令。” 与dneSpy相对应的agfSpy自带自己的C&C服务器机制，用于获取shell命令并返回执行结果。它的主要特性包括枚举目录和列表、上载、下载和执行文件的功能。 研究人员得出结论：“Earth Kitsune”使用新样本来避免被安全工具发现。 “从Chrome exploit shellcode到agfSpy，操作中的元素都是自定义编码的，这表明操作背后有一个组织。这个组织今年似乎非常活跃，我们预测他们将继续朝这个方向发展一段时间。”     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌的 Project Zero 团队近日披露了存在于 Windows 系统中的零日漏洞，会影响从 Windows 7 至 Windows 10 Version 1903 系统版本。在博文中，谷歌表示已经有证据表明有攻击者利用该漏洞发起了攻击，可提升权限以执行远程代码。 有趣的是，这个标记为 CVE-2020-17087 的漏洞和上周披露的另一个 Chrome 零日漏洞（CVE-2020-15999）配合使用，能够从沙盒中逃逸。外媒 ZDNet 的 Catalin Cimpanu 解释说，恶意行为者可以通过这两个漏洞逃避浏览器的安全环境，在受感染的目标设备上执行任意代码。 披露的博文中，微软将会在今年 11 月的补丁星期二活动日（10日）中修复该漏洞。不过由于 Windows 7 系统的主流支持已经停止，因此仅面向那些订阅了扩展安全更新（ESU）的用户。自从该漏洞被积极利用以来，这家搜索巨头的团队为微软提供了 7 天的时间来修补该漏洞，然后才在今天公开予以披露。 在最新的 Chrome 86.0.4240.1111 版本更新中，谷歌已经修复了漏洞。至于Windows错误，该漏洞位于Windows内核密码驱动程序（cng.sys）中，谷歌 Project Zero 团队对其进行了详细说明。该公司还附加了概念验证代码，以显示该漏洞如何使系统崩溃。 此外，Google 威胁分析小组的负责人谢恩·亨特利（Shane Huntly）已确认该漏洞和即将到来的美国总统大选没有任何关系。       （消息来源：cnBeta；封面来自网络）

据外媒报道，就在美大选前几周，黑客通过操纵发票的手段从威斯康辛州共和党那里窃取了230万美元。据悉，这起盗窃案在10月22日被注意到，威斯康辛州共和党主席Andrew Hitt表示，FBI目前正在调查此案。 据Hitt介绍，黑客使用了来自竞选团队合作的几家供应商的伪造发票，这些发票主要用于竞选邮递和特朗普周边商品等。这些文件没有提供供应商的付款信息，而是将钱转给了黑客。 这种黑客攻击实际上是一种相当常见的骗局：Facebook和谷歌在2017年也曾遭受过类似的网络钓鱼攻击，当时涉案金额高达1亿美元。骗子经常使用假发票来针对企业、组织和其他团体，希望能在合法发票的基础上偷到假发票。考虑到在大选前最后几周进行竞选活动是多么得疯狂，所以很容易想象那些诈骗发票是如何漏掉的。 威斯康辛州被认为是特朗普和拜登在即将到来的选举中必不可少的州。     （消息及封面来源：cnBeta）

医院长期以来一直是勒索软件攻击的热门目标。随着医疗设施在Covid-19患者的压力下紧张起来，FBI警告说要提防新的攻击活动。据报道，过去几天已经有几家医院遭到袭击。FBI、卫生与人类服务部（HHS）和国土安全部网络安全与基础设施安全局（CISA）联合发布了一份网络安全预警，称他们收到了关于美国医院和医疗机构面临的网络犯罪威胁增加且迫在眉睫的可靠信息。 CISA、FBI和HHS分享这一信息是为了向医疗服务提供者提供警告，以确保他们及时采取合理的预防措施，保护他们的网络免受这些威胁。Hold Security公司的首席执行官Alex Holden表示，上周他在监测到几家医院的攻击企图后向当局发出警报。Holden补充说，犯罪分子一直在利用暗网讨论针对400家医院和其他医疗机构的计划，并向每个目标索要500万至1000万美元的赎金。 网络安全公司Mandian的首席技术官Charles Carmakal已经确定该犯罪团伙为俄语UNC1878，他称其为 “我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一”。攻击者正在使用Trickbot恶意软件提供Ryuk勒索软件，去年对Key Biscayne和Lake City政府的攻击以及上个月对Universal Health Services（UHS）的攻击都使用了该软件。美国有线电视新闻网（CNN）报道称，纽约的圣劳伦斯卫生系统、俄勒冈州的天湖医疗中心和UHS（再次）在过去几天里成为攻击目标。 虽然这些攻击事件恰逢美国大选，但据说犯罪分子完全是出于利益的考虑。与勒索软件的一贯做法一样，当局建议受害者不要以加密货币方式支付赎金，因为它不能保证他们的文件会被恢复。但正如我们之前所看到的那样，绝望的医院往往别无选择，只能交钱。     （消息及封面来源：cnbeta）  

网络安全报告书由网络安全基础设施安全局（CISA）、联邦调查局（FBI）和美国网络司令部国家宣教部队（CNMF）联合撰写，主要描述了针对朝鲜高级黑客组织Kimsuky网络攻击所使用的战术、技术和程序（TTP）。 本文描述了截止2020年7月已知的Kimsuky黑客网络攻击事件，旨在保护相关组织免受该黑客影响。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1384/     消息来源：us-cert.cisa.gov ，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，当佛罗里达州州长Ron DeSantis在周一前去投票时一名投票工作人员告诉他，他的地址跟指定的投票地点不符。他的地址在他不知情的情况下被更改了，州长立即联系了警方调查发生了什么。 根据警方的记录，调查将警方引向了20岁的Anthony Steven Guevara的家。 Guevara告诉警方，他可以用公开信息改变地址如州长的姓、名和他的生日。 距离美国选举日还只有不到一周的时间，网络安全官员们都在警惕试图影响投票的黑客，无论是通过对竞选活动展开的直接攻击还是通过社交媒体上进行的虚假信息活动。 虽然黑客不太可能改变选票计数，但他们仍能攻击选举基础设施如选民登记数据库。FBI警告称，伊朗黑客正在利用选举记录对佛罗里达州的选民进行攻击和恐吓。2016年美国总统大选期间，该州也受了网络攻击，当时俄罗斯黑客访问了选民数据库。 但DeSantis的地址变更并不是由复杂的网络攻击造成，对此，佛罗里达州务卿Laurel Lee称其选举系统是安全的。 科利尔县警长办公室表示，他们是在要求对DeSantis的选民登记记录进行时间戳更改后才找到Guevara的。警方表示，他们收到了一个跟这起变更有关的Comcast IP地址并向该互联网供应商发出了传票以此提供该地址。 调查人员在查看了Guevara的电脑后发现他登录了佛罗里达州务院的网站并在维基百科上查找了DeSantis的名字。法庭记录没有显示Guevara是如何改变DeSantis的地址的完整细节，该州的选举官员也没有回答这是如何发生的或安全问题是否已经得到解决。 佛罗里达州执法部门表示，Guevara还访问了迈克尔·乔丹和勒布朗·詹姆斯等名人的选民登记，但没有改变他们记录的任何细节。 根据警方的记录，Guevara被控未经同意更改选民登记并需缴5000美元的保释金。     （消息及封面来源：cnbeta）

微软表示，由伊朗政府支持的黑客针对两个国际安全和政策会议的100多名高调的潜在与会者发动攻击。这个名为Phosphorus（或APT35）的组织发送了伪装成慕尼黑安全会议（国家元首出席的主要全球安全和政策会议之一）和定于本月晚些时候在沙特阿拉伯举行的Think 20峰会组织者的伪装邮件。 微软表示，这些伪造的电子邮件是发给前政府官员、学者和政策制定者，目的是窃取密码和其他敏感数据。 当被问及这次行动的目标是什么时，微软没有发表评论，但该公司的客户安全和信任主管汤姆-伯特表示，这些攻击是为了 “情报收集目的”。攻击成功地损害了几名受害者，包括前大使和其他高级政策专家，他们帮助制定各自国家的全球议程和外交政策。微软表示，已经与会议组织者合作，并将继续警告他们的与会者，微软正在披露我们所看到的情况，以便每个人都能对这种攻击方法保持警惕。 微软表示，攻击者会给目标写一封用完美英语书写的邮件，邀请目标参加会议。在目标接受邀请后，攻击者会试图欺骗受害者在一个虚假的登录页面上输入他们的电子邮件密码。随后，攻击者再登录邮箱，窃取受害者的电子邮件和联系人。该组织之前的黑客活动也曾试图窃取高知名度受害者的密码。由于伊朗驻纽约领事馆网站瘫痪，无法联系到伊朗领事馆发表评论。 众所周知，Phosphorus（或APT35）的目标是高调的个人，比如政治家和总统候选人。但微软表示，这次最新的攻击与即将举行的美国总统选举无关。去年，微软表示已经通知了超过1万名国家支持的黑客攻击的受害者，这些黑客包括包括Phosphorus和另一个伊朗支持的组织Holmium，也就是APT 33。3月，这家科技巨头获得了一项法院命令，要求控制Phosphorus使用的域名，这些域名被用来使用虚假的谷歌和雅虎登录页面窃取凭证。     （消息来源：cnbeta；封面来自网络）