周日，DoppelPaymer勒索软件感染并破坏了墨西哥国有石油公司 PetróleosMexicanos（Pemex）的系统。 黑客向Pemex提出的金额为565 比特币。 此外，DoppelPaymer的TOR网站更新后的文字如下： “我们还收集了所有的私人敏感数据。如果你拒绝付款，我们会将这些数据传播给其他人，这可能会损害您的商誉。” pic.twitter.com/BoHi1lVigF — MalwareHunterTeam（@malwrhunterteam），2019年11月12日 据该公司称，公司只有不到5％的计算机感染了勒索软件。 图片来自BleepingComputer “和其他国际政府以及金融公司和机构一样，Pemex 经常收到威胁和网络攻击。” 该公司发布的安全公告中写道。“11月10日星期日，这家国有生产公司遭遇了网络攻击，这些攻击最终被及时消除，并且只影响了不到5％的个人计算机设备的运行。此次事件过后，Pemex重申其燃料生产，供应和库存是有安全保障的。” Petróleos Mexicanos 声称它迅速解决了此事件，同时强调其运营和生产系统没有受到影响。 Pemex确认其基础设施与所有主要的国家和国际政府以及金融组织一样，正不断面对来自黑客的攻击，因此公司正在持续加强安全措施。 DoppelPaymer勒索软件是BitPaymer勒索软件的 forked 版本，它可能是由某些网络犯罪团伙以TA505身份开发的。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称，遭到勒索软件的攻击，这也是2019年遭到攻击而下线的第三家大型网络托管公司，黑客不仅破坏了该公司的托管业务而且还对客户服务器上的数据进行了加密。   SmarterASP.NET官方表示正在努力恢复客户数据，但尚不清楚该公司是支付了赎金，还是从备份中进行了恢复。目前该公司并没有回复外媒的评论请求。 根据其官网显示的信息，该公司承认遭到了黑客攻击。该消息说：“您的托管帐户受到攻击，黑客已经加密了您的所有数据。我们现在正在与安全专家合作，尝试解密您的数据，并确保不会再发生这种情况。” 本次网络攻击不仅对客户数据进行了加密，SmarterASP.NET官网也被迫下线。在周六全天下线之后，在周日上午恢复重新上线。服务器恢复工作进展缓慢。许多客户仍然无法访问其帐户和数据，这些被加密的客户数据包括网站文件和后台数据库。   （稿源：cnBeta，封面源自网络。）

两名前 Twitter 员工已被指控代表沙特阿拉伯政府监视数千个 Twitter 用户帐户，其目的是为了找出不同政见者。 根据11月5日公开的起诉书，这两名前雇员是美国公民 Ahmad Abouammo 和沙特阿拉伯公民 Ali Alzabarah。两人均已于2015年12月离开公司。 两人2014年开始便为沙特阿拉伯政府工作，任务是收集沙特阿拉伯王国和反对王室的 Twitter 账号。 Abouammo 和 Alzabarah有权访问用户的个人资料，包括电子邮件地址，使用的设备，用户提供的个人信息， 生日，用户浏览器信息，用户在Twitter上的所有操作记录，以及IP地址和电话号码。 根据起诉书，Alzabarah 于2013年8月以“站点可靠性工程师”的身份加入Twitter，他于2015年5月21日至11月18日为沙特阿拉伯服务。据指控，他涉嫌监视6000多个Twitter帐户，沙特政府曾经向Twitter请求披露其中的数十个账户的具体信息。 Abouammo 被指控在美国境内充当外国间谍，还向FBI提供了伪造记录，以干扰他们的调查。他还从社交媒体平台删除了某些信息，比如应沙特政府官员的要求删除了某些Twitter帐户。当然，他还能够帮助沙特阿拉伯政府揭露某些用户的身份。 根据起诉书中的内容，沙特阿拉伯官员通过伪造发票的方式，向Abouammo支付了高达30万美元的报酬。该文件还指出，该男子收到了Hublot金陶瓷手表。 美国司法部还对沙特国民Ahmed al Mutairi提出了指控，这是一家与沙特王室有联系的社交媒体营销公司。Ahmed al Mutairi担任 Twitter 的两名前雇员与沙特阿拉伯政府官员之间的中介。 Abouammo 于周二在西雅图被 FBI 逮捕，其他两名嫌犯仍在逃。 “许多Twitter用户在与全世界分享他们的观点的同时也面临着很多危险。我们会保护他们的隐私和发声的权利” Twitter在声明中说。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/PILcMXKLnLLMKd2ikHbG8g   一、背景 腾讯安全御见威胁情报中心捕获到一例伪装成某公司的用户投诉调研文档的钓鱼邮件攻击。黑客在投递的恶意文档中嵌入恶意宏代码，一旦用户在打开文档时选择执行宏，就会在用户电脑上执行一段Powershell，通过多次解码后，执行Poweshell版开源远控木马powerfun。该远控木马采用Powershell实现，可作为控制端段或被控端运行，安装后会搜集系统信息上传，下载安装其他模块，执行任意远程指令。 为了掩盖其行动，黑客精心伪装攻击文档内容，使得其与真实的用户调研文档十分相似。同时其中嵌入的恶意Powershell代码经过多层混淆，采用“无文件”的攻击方式来保证攻击过程不易被发现。 腾讯电脑管家、腾讯御点均可查杀拦截该诱饵文档。 二、详细分析 载荷投递 打开文档时microsoft office程序提示文档中被嵌入的宏被禁用，问询是否启用内容，一旦启用，恶意代码便会执行。 文档标题：HSS Hire Services Complaint form（HSS Hire服务投诉表）。引语：（译文）“我们致力于提供高质量的护理和服务以满足您的需求，我们重视您的反馈，包括投诉。请告诉我们还有哪些地方可以改进我们的服务。“ 根据该文档的导航信息，文档内容包含6个部分，各部分主题分别如下： 第1部分：客户详情。 第2部分：请提供反馈涉及的服务的详细信息。 第3部分：请详细说明你的反馈问题。 第4部分：你对这个问题已经采取了哪些行动？ 第5部分：你希望通过提供反馈得到什么样的结果？ 第6部分：声明(签字和日期)。 从文档中提取出宏代码，可以看到在AutoOpen()函数中定义了一个字符串变量veqTMFKmz，并在变量中通过拼接的方式赋值Powershell -ec “xxxxx”，最终执行一段经过base64编码的命令。 在Powershell代码执行时，还会通过MsBox()提示一段话，告诉用户文档创建时使用的microsoft office版本过低导致，需要联系作者将文档另存为一个新的格式，以此来掩盖其恶意代码执行过程。用于迷惑用户的提示内容如下： “This application appears to have been made with an older version of the Microsoft Office product suite. Please have the author save this document to a newer and supported format. [Error Code: -219]” base64编码的Powershell命令解码后如下，该命令将核心代码重新进行base64编码，并且以命令 powershell -noexit -e  “xxxxxxx”的格式执行。 核心代码首先通过DllImport引入了四个系统函数： calloc memset VirtualProtect CreateThread 然后利用引入的函数calloc申请内存，memset将二进制代码写入内存，VirtualProtect修改内存为可执行属性，最后CreateThread创建线程指向该片内存执行恶意代码。 而创建线程执行的恶意代码为另一段经过压缩编码的Powershell命令，该段命令解压后为公开的Powershell实现的远控木马powerfun （github地址: https://github.com/rapid7/metasploit-framework/blob/master/data/exploits/powershell/powerfun.ps1）。 远控木马 木马通过参数设置通信类型及方式，“bind” 设置为绑定443端口，作为控制端进行监听连接请求，”reverse”反向连接服务器，作为被控端建立连接。”Sslcon“为是否采用SSL协议连接。此次代码设置的控制端服务器端地址为34.65.251.183:443。 接着获取用户名和机器名上传，根据列表下载模块安装，以及循环读取接受到的Powershell命令执行。 三、安全建议 1、建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 2、建议升级office系列软件到最新版本，对陌生文件中的宏代码坚决不启用； 3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击，个人用户启用腾讯电脑管家的安全防护功能； 4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统; IOCs Md5 f3672638b9773c1445e262bfc87e1e1a fda067e9998f3c815c08caca4bc8a19c C&C 34.65.251.183:443

勒索软件攻击了加拿大Nunavut地区，政府的所有联网服务都受到了影响。Nunavut地区面积超过190万平方公里，人口约36,000。 当地政府称：“在2019年11月2日（星期六），一种新型的勒索软件影响了整个城市。勒索软件会加密各种服务器和工作站上的单个文件。除了Qulliq能源公司以外，所有需要访问GN网络上存储的电子信息的政府服务都受到了影响。” 特区区长乔·萨维卡塔克（Joe Savikataaq）说：“我向Nunavut保证，我们正在尽全力解决这个问题。基本服务将不会受到影响，并且在此期间GN将继续运行。重新上线时可能会导致些许延迟，我感谢大家的耐心和理解。” 一半的GN IT系统今天清晨被针对公共服务的病毒入侵。我们会全天候工作，排查问题并让电脑恢复上网功能。在问题获得全面解决之前，您将无法访问您的GN帐户。 据CBC报道，勒索信息具体内容如下： “您的网络已被渗透，全部文件已被强大的算法进行了加密。我们可以为您提供解密软件。如果您一直未进入链接取得密钥，您的数据将被完全删除。” 专家注意到，勒索信息要求受害者下载加密的浏览器并在21天内访问指定的URL，专家注意到勒索信息是用生硬的英语书写的。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2017 年，一个名叫 Shadow Brokers 的神秘黑客团体，在网络上公布了名为“Lost in Translation”的数据转储，其中包含了一系列据称来自美国国家安全局（NSA）的漏洞利用和黑客工具。此后臭名昭著的 WannaCry、NotPetya 和 Bad Rabbit 勒索软件攻击，都基于这里面提到的 EternalBlue 漏洞。现在，卡巴斯基研究人员又发现了另一座冰山，它就是一个名叫 sigs.py 的文件。 （题图 via ZDNet） 据悉，该文件是一个名副其实的情报数据宝库。作为内置的恶意软件扫描程序，黑客利用它来扫描受感染的计算机，以查找是否存在其它高级可持续威胁（APT / 通常指背后能量巨大的黑客团体）。 总 sigs.py 脚本包括了用于检测其它 44 个 APT 的签名，但在 2017 年泄密之初，许多网络安全行业从业者并没有对此展开深入研究，表明 NSA 知晓且有能力检测和追踪许多敌对 APT 的运行。 在上月的一份报告中，卡巴斯基精英黑客手雷部门 GReAT 表示，他们终于设法找到了其中一个神秘的 APT（通过 sigs.py 签名的 #27 展开追踪）。 研究人员称，DarkUniverse 组织从 2009 到 2017 年间一直活跃。但在 ShadowBrokers 泄漏后，他们似乎就变得沉默了。 GReAT 团队称：“这种暂停或许与‘Lost in Translation’泄漏事件的发生有关，或者攻击者决定改用更加现代的方法、开始借助更加广泛的手段”。 该公司称，其已在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白罗斯、以及阿联酋等地，找到了大约 20 名受害者。其中包括了民间和军事组织，如医疗、原子能机构、以及电信企业。 不过，卡巴斯基专家认为，随着时间的推移和对该集团活动的进一步深入了解，实际受害者人数可能会更多。至于 DarkUniverse 恶意软件框架，卡巴斯基表示，其发现代码与 ItaDuke 恶意软件 / APT 重叠。   （稿源：cnBeta，封面源自网络。）

Capital One黑客Paige Thompson在等待审判期间于周二从联邦拘留所释放。 Thompson 从Capital One盗窃1.06亿张记录，此前曾在8月份要求释放联邦拘留所，但最初由于当时法官认为她有飞行危险而被拒绝。 但是，在本周一，主审法官援引汤普森的观点，认为Thompson没有对社区或她本人构成足够的威胁，所以她不应该在等待审判期间受到监禁。Thompson希望获得释放，因为她认为作为一个被关押在男子监狱的变性人，她可能会患上抑郁症或伤害自己。 作为释放条件的一部分，美国地方法院法官Robert Lasnik命令Thompson移居到联邦中途房屋。在那里，Thompson 将一直受到GPS监控，将被禁止访问互联网或使用计算机，手机或任何其他电子设备，除非获得法院许可。 Thompson引起的数据泄露事件影响了美国1亿人和加拿大600万人。据Capital One称被盗取的是2005年至2019年之间的数据，与消费者向银行申请信用卡时所提供的信息有关。其中包括大约一百万个加拿大社会保险号，14万个美国社会保险号和8万个银行帐号。 美国检察官还指控Thompson窃取了其他30多家公司的数据。 据美国检察官说：“服务器是在Thompson的卧室中查获的，其中不仅包括从首都一号偷走的数据，还包括从其他30多家公司，教育机构和其他产业盗取的多达几TB的数据。” Thompson于7月被捕，目前正面临有关电汇欺诈和网络欺诈等起诉。 她的审判定于明年三月进行。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis，这是NTT Data Group旗下的IT咨询公司，其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER，其在官网发表了声明，确认公司遭遇了攻击。 两家公司都要求员工关闭计算机，并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工，是受影响最大的公司之一。该公司其他分支也受到了影响，勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图，显示勒索软件 BitPaymer 攻击了 IT 公司，该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片：Alex Barredo（Twitter@somospostpc） 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一，因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议，敦促公司改善网络安全措施，并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象，但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动，有人担心自己被感染，选择关闭程序来检查系统。 网上还出现了谣言，有人猜测除了Everis之外，其他IT公司也受到了影响。金融咨询公司毕马威（KPMG）的西班牙支部和软件巨头埃森哲（Accenture）今天早些时候在Twitter上发布声明，告诉用户他们没有受到感染，并且一切正常。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

ZDNet 报道称，近期曝光的一个 Android 漏洞，导致黑客能够利用设备上的近场接触（NFC）功能，向受害者传播植入恶意软件。CVE-2019-2114 漏洞报告指出，问题源自一项鲜为人知的 Android OS 功能，它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备，都会受到影响。 据悉，NFC 广播通过设备内部的 Android OS 服务（Android Beam）来工作。 （截图 via ZDNet） 这项服务允许 Android 设备使用近场通讯（NFC）技术来替代 Wi-Fi 或蓝牙，将图像、文件、视频、甚至应用程序，发送到另一台设备上。 通常情况下，通过 NFC 传输的 APK 安装包会存储在设备上，并在屏幕上显示相关通知，询问用户是否允许安装未知来源的应用程序。 然而今年 1 月，一位名叫 Y. Shafranovich 的安全研究人员发现：在 Android 8（Oreo）或更高版本的系统上通过 NFC 广播来发送应用程序，并不会显示这一提示。 相反，该通知允许用户一键安装应用程序，而不发出任何安全警告。 尽管缺少一个提示，听起来似乎并不那么重要，但它还是成为了 Android 安全模型中的一个重大问题。 庆幸的是，谷歌已在 2019 年 10 月修复了这个影响 Android 设备的 NFC Beaming 漏洞。 “未知来源”的定义，特指通过官方 Play 商店之外安装的任何东西，其默认都被视为不受信任和未经验证。 若用户需要侧载外部应用，必须前往设置菜单，然后手动启用“允许从未知来源安装应用”。 Android 8 Oreo 之前，这项设置并没有什么问题。然而从 Android 8 Oreo 开始，谷歌将这种机制重新设计为基于 App 的设置。 在 CVE-2019-2114 漏洞中，Android Beam 竟然被列入了白名单，获得了与官方 Play 应用商店相同的信任权限。 谷歌表示，Android Beam 服务从来就不是安装应用程序的一种方式，而仅仅是一种在设备之间传输数据的方式。 即便如此，该公司还是在 2019 年 10 月的 Android 安全补丁中，将 Android Beam 踢出了这款移动操作系统中的受信任来源列表。 （图自：LG）   对于数百万仍处于危险之中的 Android 用户，我们在此建议大家尽快升级手机的安全补丁、或者尽量在不使用时关闭 NFC 和 Android Beam 功能。   （稿源：cnBeta，封面源自网络。）

强烈建议：Chrome用户请尽快升级浏览器！在谷歌今天发布的紧急补丁程序中修复了两个严重的零日漏洞，而其中一个已经被黑客利用。Chrome安全小组表示，这两个漏洞均为use-after-free形式，允许黑客在受感染设备上执行任意代码。其中一个漏洞存在于浏览器的音频组件中，而另一个存在于PDFium库中。Windows、macOS和GNU/Linux三大平台版本均受影响。 互联网安全中心警告说：“在Google Chrome中发现了多个漏洞”，并表示CVE-2019-13720和CVE-2019-13721的严重等级都很高。在后续警告中写道：“这两个漏洞允许攻击者在浏览器中执行任意代码、获取敏感信息，绕过安全限制并执行未经授权的操作或导致拒绝服务情况”。 Google Chrome小组在博客中说，稳定版已经升级至78.0.3904.87，修复了这两个问题： 此更新包括2个安全修复程序。下面，我们重点介绍由外部研究人员提供的修复程序。请参阅Chrome安全性页面以获取更多信息。 [$7500] [1013868]高CVE-2019-13721：PDFium组件中的Use-after-free。由 banananapenguin在2019-10-12报道。 [$TBD] [1019226]高CVE-2019-13720：音频组件中的Use-after-free。卡巴斯基实验室的Anton Ivanov和Alexey Kulaev于2019-10-29报道 谷歌承认已经有黑客利用CVE-2019-13720漏洞向Chrome用户发起攻击。目前尚无法披露有关安全漏洞的详细信息。   （稿源：cnBeta，封面源自网络。）