据外媒报道，据称大约有2500名洛杉矶警察局(LAPD)警官和17500名LAPD求职者的个人信息在一次数据泄露被盗。NBCLA周一援引数位官员的话称，被盗信息包括姓名、电子邮件地址、出生日期、部分职工序列号及密码。 对此，LAPD建议受影响的警官要监控起自己的信用报告和银行账户，另外再向FTC申诉。至于这起数据泄露事件究竟是怎么发生目前并未得到公布。 “在洛杉矶警察局数据安全是最重要的，我们致力于保护跟我们机构有关的任何人的隐私，”LAPD发言人告诉NBCLA。 而针对这次事件LAPD并未立即回应置评要求。   （稿源：cnBeta，封面源自网络。）  

据外媒The Verge报道，根据周四发布的一份修订报告，美国参议院情报委员会得出结论称，所有50个州的选举系统都是与俄罗斯政府有关的黑客攻击的目标。 2017年美国国土安全部曾正式发出通告，黑客将目标对准美国21个州的选举系统。在今年4月，国土安全部和联邦调查局的一份联合报告表明，俄罗斯黑客可能试图调查美国每个州的选举系统是否存在漏洞。 目前尚不清楚参议院情报委员会对俄罗斯对每个州的探究情况有多确定，或证据可能是什么。但它确实表示，2018年收集的一些情报支持了国家安全委员会网络安全协调员Michael Daniel和国土安全部早先的假设，即每个州都被黑客入侵。 报告还写道：“俄罗斯网络行为者可以删除或更改选民数据”。然而外媒指出，美国政府仍然没有任何证据证明俄罗斯实际上篡改了任何选民数据，也没有证据表明黑客访问了实际的投票机。俄罗斯黑客似乎针对选民登记系统和投票数据库。而穆勒的报告也表明投票机公司也是俄罗斯GRU的目标。   （稿源：cnBeta，封面源自网络。）

覆盖超过40 万台物联网设备的僵尸网络对一家流媒体应用程序进行了为期 13 天的分布式拒绝服务（DDoS）攻击。 攻击始于 4 月 24 日，黑客针对身份验证组件的攻击最高达到了每秒292,000 次，使其成为了最大的第7层 DDoS 攻击之一。 负责应对此次攻击的 Imperva 公司在攻击期间始终运行该服务，并观察了来自402,000个不同IP地址的请求。 该公司在今天的一份报告中称，大多数攻击设备都位于巴西，并指出这是他们所处理的最大的第7层DDoS攻击。 “为了掩盖他们的攻击，攻击者使用了与此公司的客服应用程序相同的用户代理。” 因为攻击者拥有数量庞大的机器用来发起进攻，蛮力保护在这种情况下不会起作用。当攻击数量达到系统限制时，机器们就会等待一段时间然后再继续攻击。 这种技术被命名为“low and slow”，因为攻击者需要较长时间才能实现其目标，但由于通过模仿合法用户活动进行攻击，此种攻击方式因此也更难以防御。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

德国国家网络安全机构 BSI 发布警告称，有黑客通过将电子邮件伪装成 BSI 的官方消息传播 Sodinokibi 勒索软件。 黑客将一个微软快捷方式伪装成 PDF 文件，当受害人将其打开时便会被其指向的压缩包附件感染。 一旦执行，快捷方式将使用 PowerShell 命令启动位于 http://grouphk[.]xyz/out-1308780833.hta 的远程 HTA 文件（HTML 应用程序的简称），该命令只是将 HTTP 添加到 HTA  payload 的 URL 前。 据德国安全局称，下载 Sodinokibi（也称为 REvil 和 Sodin）payload 的网址的域名和下载 HTA 文件的域名是相同的。 下载之后，Sodinokibi 将加密受害者的文件，并为每个计算机添加一个随机且唯一的扩展名。 该软件还会在所有文件夹中创建名称为“扩展名 -HOW-TO-DECRYPT.txt”的记事本文档，其中包含前往支付网站的方式和链接。 用户将会被要求支付价值 2500 美元的比特币。若超过两天仍未付款，金额将会翻倍。勒索界面还显示了用于支付的比特币地址。 Sodinokibi 还曾被卡巴斯基观察到通过利用 Windows 7 到 10 和服务器版本的 Win32k 组件中的 CVE-2018-8453 漏洞来提升其在受感染电脑中的权限。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客入侵了俄罗斯国家情报部门FSB的承包商SyTech，并从那里窃取了该公司为FSB工作的内部项目的信息 – 包括用于对Tor流量进行去匿名化的信息。攻击事件发生在上周末，即7月13日，一群名为0v1ru $的黑客入侵了SyTech的活动目录服务器，从那里他们获得了访问该公司整个IT网络的权限，包括一个JIRA实例。 黑客从承包商的网络中窃取了7.5TB的数据，末了他们还顺手用一个“yoba face”破坏了该公司的网站，这是一个受俄罗斯用户欢迎的表情符号。 黑客在Twitter上发布了该公司服务器数据的截图，后来又与数字革命组织分享了被盗数据。数字革命是另一个黑客组织，他们去年攻破了另一家FSB承包商Quantum公司。 黑客组织之后还与俄罗斯记者在Twitter账户上更详细地分享了被盗文件。 根据俄罗斯媒体的报道，这些文件表明，自2009年以来，SyTech已经为FSB和同行承包商Quantum开展了多个项目。项目包括： Nautilus  – 一个收集社交媒体用户（如Facebook，MySpace和LinkedIn）数据的项目。 Nautilus-S  – 在流氓Tor服务器的帮助下对Tor流量进行去匿名化的项目。 Reward – 一个暗中渗透P2P网络的项目，就像BT网络一样。 Mentor  – 一个监控和搜索俄罗斯公司服务器上的电子邮件通信的项目。 Hope – 一个调查俄罗斯互联网拓扑及其与其他国家网络连接的项目。 Tax-3  – 一个用于创建封闭内联网的项目，用于存储高度敏感的州级人员，法官和当地政府官员的信息，与该州的其他IT网络分开。 另有文件显示，还有其他较旧的项目用于研究其他网络协议，如Jabber（即时通讯），ED2K（eDonkey）和OpenFT（企业文件传输）。 数字革命Twitter账户上发布的其他文件声称，FSB也在跟踪学生和养老金领取者。 虽然大多数项目只是对现代技术的研究，但有两项似乎已经在现实世界中进行了测试。 第一个是Nautilus-S，用于对Tor流量进行去匿名化。 Nautilus-S的工作始于2012年，两年后，2014年，瑞典卡尔斯塔德大学的学者发表了一篇论文，详细描述了试图解密Tor流量的出口节点的技术进展。研究人员确定了25个恶意服务器，其中18个位于俄罗斯，并运行Tor版本0.2.2.37，与泄漏文件中详述的相同。 第二个项目是Hope，它分析了俄罗斯互联网部分的结构和构成。今年早些时候，俄罗斯进行了断网测试，在此期间，俄罗斯将其国家网络与其他互联网断开。 被黑客入侵的SyTech公司自黑客入侵以来一直关闭其网站并拒绝媒体采访。   （稿源：cnBeta，封面源自网络。）

美国移动通讯运营商Sprint近日发布警告称，有黑客通过三星官网（Samsung.com）上新办号码“Add a line”页面入侵获取用户账号信息，目前尚不清楚有多少用户受到影响。Sprint在致受影响用户的信中表示：“6月22日，Sprint检测到有黑客通过三星官网‘新办号码’页面在未经你知悉和授权的情况下访问了你的Sprint账号。” Sprint在信件中表示：“黑客可能已经获取了你的个人信息，包括电话号码，设备类型，设备ID，每月经常性费用，用户ID，帐号，帐户创建日期，升级资格，姓名，帐单地址和附加服务。”Sprint表示黑客获取的信息并未构成“欺诈或身份盗窃的重大风险”，但对于受影响用户来说显然并不赞同这种评估说法。 对此Sprint表示已经要求所有受到影响的账户在3天后于6月25日重置PIN码。Sprint的安全通知内缺少了一些非常重要的细节，例如被窃用户的数量、黑客首次通过Samsung.com网站开始访问Sprint帐户的日期，以及黑客是否修改了任何客户帐户详细信息。ZDNet向Sprint提出了所有这些问题，并首先询问了Sprint如何发现这一漏洞。发言人没有及时回复。   （稿源：cnBeta，封面源自网络。）

7 月 6 日，Canonical Ltd. 的 GitHub 账号被黑了。Canonical 是 Ubuntu Linux 发行版背后的公司。 根据被攻击的 Canonical GitHub 帐户的镜像，黑客在官方 Canonical 帐户中创建了11个新的存储库。这些库都是空的。 “我们可以确认，在 2019-07-06，GitHub 上有一个 Canonical 拥有的帐户，其凭据被泄露并被用于创建存储库和 issue”，Ubuntu 安全团队在一份声明中表示，“Canonical 已从 GitHub 的 Canonical 组织中删除了该帐户，并且仍在调查违规的程度，此时没有迹象表明任何源代码或 PII 受到影响”。 “此外，我们已经断开构建和维护 Ubuntu 发行版的 Launchpad 基础设施与 GitHub 的连接，同时也没有迹象表明它已受到影响。” Canonical 表示将在调查、审核和修复完成后发布公开更新。 这并非 Canonical 经历的第一起被黑事件。Ubuntu 官方论坛曾在 2013 年 7 月、2016 年 7 月和 2016 年 12 月三次遭到黑客攻击。前两次分别有 182 万和 200 万用户的信息被窃取，而在后一次，整个论坛被破坏。 去年 5 月，官方 Ubuntu 商店也发现了包含加密货币矿工的恶意 Ubuntu 软件包。 不过，所有这些 Ubuntu 安全事件与 2016 年 2 月 Linux Mint 发生的情况相比起来，都显得苍白无力，当时黑客攻击了网站，并通过后门污染了操作系统的源代码。类似的事件发生在 2018 年 6 月的 Gentoo Linux 发行版上，当时黑客获得了对发行版的 GitHub 存储库的访问权限并且使用包含后门的操作系统版本使一些 GitHub 下载文件中毒。 目前，这个事件似乎是良性的。如果黑客已经将恶意代码添加到 Canonical 项目中，那么他就不会通过在 Canonical GitHub 帐户中创建新的存储库来引起他们的注意。 事件发生前两天，网络安全公司 Bad Packets 检测到 Git 配置文件的全网扫描。此类文件通常包含 Git 帐户的凭据，例如用于管理 GitHub.com 上的代码的凭据。 不过目前尚不能确定事件是否与此相关，还是等待 Canonical 的官方调查报告及更新吧。   （稿源：开源中国，封面源自网络。）

据外媒MSPoweruser报道，曾于2013年年底和2014年年初对游戏开发商Daybreak Game Company（前索尼在线娱乐公司）发起DDoS攻击的Austin Thompson被判入狱两年，此外他需要向该公司支付至少95000美元的赔偿金。 23岁 Thompson于2018年11月对攻击事件认罪。他承认自己是黑客组织DerpTrolling的一员，并被指控造成“受保护计算机受损，触犯了美国联邦法律18USC§1030（a）（5）（A）”。 官方新闻发布称Thompson“通常使用Twitter帐户@DerpTrolling宣布即将发起攻击，然后发布”scalps“（截图或其他照片显示受害者的服务器已经被攻击）”。 虽然汤普森目前保释在外，但他已被命令于8月23日向当局投降，以便开始服刑。该最新最高可判处十年监禁和25万美元的罚款。 Polygon报告称，美国和芬兰的检察官也成功地确认了Lizard Squad的两名成员的定罪，Lizard Squad也在2014年对Daybreak Game Company进行了DDoS攻击。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/z3FWK4vqUBGsHwavNOGYIw   一、背景 腾讯安全御见威胁情报中心近期监测到黑产团伙针对MS SQL服务器进行弱口令爆破攻击，攻击成功后再利用多个提权工具进行提权，随后，攻击者会植入门罗币挖矿木马及anydesk远程控制软件长期占有该服务器。 该团伙攻击手法与今年4月曝光的“贪吃蛇”挖矿木马团伙比较类似，病毒挖矿的同时会封堵系统的135，139，445端口，防止已被自己攻占的系统再被其他黑产团伙入侵控制。该病毒团伙尚不能确定归属于“贪吃蛇”挖矿木马团伙，腾讯安全御见威胁情报中心将其命名为“贪吃蛇2号”。 “贪吃蛇2号”木马团伙主要危害MS SQL系统管理员使用弱密码的企业网络，一旦爆破入侵成功，会利用多个提权工具采取进一步的行动。我们的监测数据表明，“贪吃蛇2号”木马团伙已控制超过500台服务器。 腾讯安全专家建议企业网管尽快为服务器安装补丁，并停止使用弱口令，数据库服务器被黑客暴力破解再完全控制会导致企业计算资源被恶意挖矿、企业关键业务信息泄露，入侵者还可能通过这些被控制的服务器继续在内网攻击传播。受害企业可使用腾讯御点终端安全防护系统或腾讯电脑管家拦截清除此类病毒。 二、详细分析 黑客通过MS SQL爆破入侵服务器，入侵成功后第一个步骤就是提权，提权工具被放置在TQ.exe的资源中，共6个提权工具，分别用了2015年-2018年的典型提权漏洞，涵盖Windows Vista至Windows 10系统及Windows Server系统。 提权工具：MS15.exe WIN8.1提权漏洞，该漏洞是2014年9月30号google报给微软的，漏洞发生在chcache.sys驱动NtApphelpCacheControl函数，2015年1月公开POC。 提权工具：MS16_32.exe 2016年的提权工具，利用漏洞编号CVE-2016-0099 受影响系统 Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1 Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1 Windows 10 Gold 提权工具：MS17.exe 利用COM组件权限许可和访问控制漏洞，漏洞公布时间为2017年5月17日，漏洞编号CVE-2017-0213 受影响系统： Microsoft Windows Server 2016 0 Microsoft Windows Server 2012 R2 0 Microsoft Windows Server 2012 0 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows RT 8.1 Microsoft Windows 8.1 for x64-based Systems 0 Microsoft Windows 8.1 for 32-bit Systems 0 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 10 version 1703 for x64-based Systems 0 Microsoft Windows 10 version 1703 for 32-bit Systems 0 Microsoft Windows 10 Version 1607 for x64-based Systems 0 Microsoft Windows 10 Version 1607 for 32-bit Systems 0 Microsoft Windows 10 version 1511 for x64-based Systems 0 Microsoft Windows 10 version 1511 for 32-bit Systems 0 Microsoft Windows 10 for x64-based Systems 0 提权工具：MS18_32.exe 2018年的内核提权漏洞，部分Windows系统win32k.sys组件的NtUserSetImeInfoEx系统函数内部未验证内核对象中的空指针对象，普通应用程序可利用该空指针漏洞以内核权限执行任意代码。 受影响系统： Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for Itanium-Based Systems ServicePack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 R2 for Itanium-Based Systems ServicePack 1 Windows Server 2008 R2 for x64-based Systems ServicePack 1 提权工具：JuicyPotato TQ失败后，则会下载新的提权工具JuicyPotato，JuicyPotato是windows平台上的一个综合提权包，主要通过拦截加载COM组件加载前后的NTLM认证数据包进行攻击。 黑客启用的HFS服务器： EW.exe是著名的内网穿透工具Earthworm，主要做内网上线用，Lcx是内网端口转发工具，scan是一个端口扫描工具，配合Earthworm使用。 2019-5.exe是一个自解压文件，包含远控工具，进程管理，挖矿组件等，解压密码bing，目录列表： Kill.exe及PH64.Exe是进程管理工具，两者都属于内核级的进程管理工具，用以结束一些反病毒工具的进程，待结束的进程列表： 挖矿组件： 1_64N中包含了挖矿组件，使用了NSSM服务模块启动挖矿程序 服务名Networks 钱包： 438uqHTH7gqPfSBJhxpELTFqgafi4y48FJroP7MQ5r9DdvJqyMXnqWGa9YqtDiHueo3HnpRygtfEsc4EqQdrS1Y1EJpKBS9.AAA 矿池（私有矿池） p1.local.xmrrr.com:80 2_crontab.exe负责写入计划任务 计划任务名为“Windows Update“，名字具有较强迷惑性,正常的Windows Update不是以计划任务形式启动的,而是以服务形式启动。 木马入侵成功后会尝试关闭掉本机一些不必要的端口，防止已被自己攻占的系统再被其他黑产团伙入侵控制。 最终会在本机安装anydesk远控工具，并接收黑客的远程控制。 三、安全建议 1、加固SQL Server服务器，修补服务器安全漏洞。使用安全的密码策略，使用高强度密码，切勿使用弱口令，特别是sa账号密码，防止黑客暴力破解。 2、修改SQL Sever服务默认端口，在原始配置基础上更改默认1433端口设置，并且设置访问规则，拒绝1433端口探测。 3、企业用户可在服务器部署腾讯御点终端及时对服务器打补丁，防止这类木马利用windows提权漏洞，从而防范此类攻击。 对于已经中毒的企业和个人用户，除了使用杀毒软件清理此病毒外，还可做以下操作手动删除： 删除文件 c:\windows\fonts\system32\taskhsot.exe c:\windows\fonts\system32\svchost.exe c:\windows\fonts\system32\jbeta.bat c:\windows\fonts\system32\cmd.bat C:\windows\fonts\system.bat C:\\Windows\\reg\\smss.exe 删除注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe 删除计划任务 Windows Update IOCs url hxxp://220.125.217.130:1231/ 钱包 438uqHTH7gqPfSBJhxpELTFqgafi4y48FJroP7MQ5r9DdvJqyMXnqWGa9YqtDiHueo3HnpRygtfEsc4EqQdrS1Y1EJpKBS9.AAA MD5 aa6e101b549aa8f96b180142bef8700b d350bb49096e00c4e6de567614fdc590 d76e1525c8998795867a17ed33573552 89909ce04d28fa31ed9095116e4635c5 6afe1d47d90f1687a3053ebeaf06e8b8 8ccf1623d36136e51b2f282f0ee0ba1b 036f82700b985d8a50b2f60c98ab9d77 5b4fa0e875703efdba091706321951eb c5cb6e274c71243c084556b24eab9241 参考链接 https://mp.weixin.qq.com/s/3J84msMXXH8PPc-J0w8FPA

美国食品和药物管理局（FDA）本周四发布公告，称美敦力（Medtronic）公司已经启动了关于MiniMed胰岛素泵的召回活动。据公司表示，部分MiniMed胰岛素泵存在一个无法修复的关键网络安全问题，从而能让黑客远程无线访问这些问题。目前召回的胰岛素泵此前曾在美国和国际市场上销售。 图片来自于 Pixabay 美敦力公司宣布于6月27日开始召回数千台MiniMed和Paradigm胰岛素泵，表示存在“潜在的网络安全风险”。公司表示这些具有无线射频连接功能的胰岛素泵型号可能被有权利的黑客访问技能和装备。 如果发生这种情况，黑客可能能够无线地改变使用泵输送给个人的设置和胰岛素的量。这样做可能会对使用者造成严重的危及生命的后果，包括患糖尿病酮症酸中毒的可能性。美国约有4,000名患者可能正在使用这些召回的泵。 幸运的是，没有关于此类黑客攻击的确认报告。美敦力表示，这个漏洞是由安全研究人员发现的。美国和国外的患者被警告要与他们的医生谈论获得不同的设备。 战略合作伙伴办公室副主任Suzanne Schwartz博士说：“虽然我们不了解可能因这一特定的网络安全漏洞而受到伤害的患者，如果这种漏洞得不到解决，患病人员受到伤害的风险很大。任何连接到通信网络的医疗设备，如Wi-Fi，公共或家庭互联网，都可能存在可能被未经授权的用户利用的网络安全漏洞。但同时，重要的是要记住无线技术的使用越来越多医疗设备中的软件和软件也可以提供更安全，更方便，更及时的医疗服务。” 目前最好的解决方案就是更换这些容易受到攻击的设备，而且美敦力会为这些召回设备用户提供预防措施会提供其他不同型号。目前公司公布的召回清单如下： ● MiniMed 508（包含所有软件版本） ● MiniMed Paradigm 511（包含所有软件版本） ● MiniMed Paradigm 512/712（包含所有软件版本） ● MiniMed Paradigm 515/715（包含所有软件版本） ● MiniMed Paradigm 522/722（包含所有软件版本） ● MiniMed Paradigm 522K / 722K（包含所有软件版本） ● MiniMed Paradigm 523/723（软件版本2.4A或更低版本） ● MiniMed Paradigm 523K / 723K（软件版本2.4A或更低） ● MiniMed Paradigm 712E（包含所有软件版本） ● MiniMed Paradigm Veo 554CM / 754CM（软件版本2.7A或更低） ● MiniMed Paradigm Veo 554/754（软件版本2.6A或更低版本）   （稿源：cnBeta，封面源自网络。）