上周，黑客攻占了印度 Uttar Haryana Bijli Vitran Nigam（UHBVN）电力公司的计算机系统，窃取了客户的账单数据。 攻击者对电力公司进行了勒索，索要一个 1 RS Core 或者 1000 万卢比才肯归还数据，1000 万卢比相当于 15 万美元。 据新印度快报报道，黑客在 3 月 21 日凌晨获得了计费系统的访问权，员工在 22 日到公司时，发现他们的电脑上闪烁着赎金信息，要求 1 个 RS Core 来恢复数据。电力公司正在通过日志以及其他来源回复数据。账单数据的丢失意味着电力公司无法对之前的客户用量进行计算。 稿源：freebuf，封面源自网络；

据外媒报道，利用 Carbanak 和 Cobalt 木马攻击全球 100 多家金融机构的 Carbanak 犯罪团伙头目近期在西班牙阿利坎特市被警方逮捕，该行动由欧洲刑警组织、FBI、西班牙警方、以及罗马尼亚、白俄罗斯、中国台湾的网络安全公司、金融机构和执法机构联合开展。 自 2013 年来，Carbanak 犯罪团伙就开始利用他们设计的恶意软件（Carbanak 、 Cobalt ）开展攻击活动，至今已有 40 多个国家和地区的银行、电子支付系统和金融机构受到影响，导致金融行业累计损失超过 10 亿欧元。（犯罪团伙仅使用 Cobalt 每次就能窃取 1000 万欧元。） 在所有这些攻击活动中，Carbanak 犯罪团伙都使用了类似的操作手法：他们冒充合法公司向银行职员发送带有恶意附件的钓鱼邮件，进而远程控制职员受感染的设备、访问内部银行网络并感染控制 ATM 服务器。 以下为 Carbanak 犯罪团伙套钱的方式： – 自动取款机被远程指示在预先确定的时间发放现金，其中一名团伙成员在机器旁等待自动提款机吐钱; -电子支付网络用于将资金转移到犯罪账户中; -修改账户信息的数据库，使银行账户的余额增多； 然后 Carbanak 犯罪团伙借助加密货币洗钱，通过利用与加密货币钱包挂钩的预付卡购买豪车和房屋等。 欧洲刑警组织负责人史蒂文威尔逊表示， 这次联合行动不仅对国际刑警组织来说是巨大的胜利，也对以后打击网络犯罪的国际联合行动产生了重大影响。 欧洲刑警组织发布的安全公告： 《 MASTERMIND BEHIND EUR 1 BILLION CYBER BANK ROBBERY ARRESTED IN SPAIN》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客组织利用 Cacti“Network Weathermap”插件中一个存在 5 年之久的漏洞，在 Linux 服务器上安装了 Monero 矿工，赚了近 75,000 美元。来自美国安全公司趋势科技的专家表示，他们有证据证明这些攻击与过去发生在 Jenkins 服务器上的攻击有关：黑客组织利用 CVE-2017-1000353 漏洞在 Jenkins 设备上安装 Moner 矿工，获得了约 300 万美元。 这次，攻击者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一个基于 PHP 的开源网络监视和图形工具，更具体地说，是在其 Network Weathermap 插件中负责可视化网络活动。 就像在以前的攻击一样，黑客利用这个漏洞获得底层服务器的代码执行能力，在这些服务器上他们下载并安装了一个合法的 Monero 挖掘软件 XMRig 的定制版本。 攻击者还修改了本地 cron 作业，每三分钟触发一次“watchd0g”Bash 脚本，该脚本检查 Monero 矿工是否仍处于活动状态，并在 XMRig 的进程停止时重新启动它。 攻击者使用这种简单的操作模式收获了大约 320 XMR（75,000 美元）。所有受感染的服务器都运行 Linux，大多数受害者位于日本（12％），中国（10％），台湾（10％）和美国（9％）。 由于 Cacti 系统通常设计为运行并密切关注内部网络，因此不应在线访问此类实例。 稿源：cnBeta、开源中国，封面源自网络；

美国司法部周五宣布针起诉 9 名伊朗人，指控他们袭击全球数百所美国大学和其它国家的大学。这 9 名伊朗人所在组织的名称被认定为“马布纳黑客”，据称袭击了 22 个国家的 320 所大学，其中 144 所在美国。 美国司法部助理副部长德斯坦斯坦在新闻发布会上表示，黑客窃取了大学的研究成果并将其出售给伊朗以谋利。罗森斯坦说：“学术机构是外国网络犯罪分子的主要目标。大学只有在他们的工作免受盗窃时才能持续研发和创意。” 同样在周五，美国财政部宣布对伊朗黑客进行制裁，并且将另外一名伊朗人 Behzad Mesri 加入起诉行列，指控其负通过互联网攻击 HBO 服务器，并在去年夏天泄露了尚未发布的“权力的游戏”电视剧。 据司法部称，“马布纳黑客“组织还针对美国联邦能源委员会，劳工部和联合国进行了攻击，另外还有 47 家私人公司遭遇他们攻击，这些攻击是代表伊朗政府完成的。 罗森斯坦说，总的来说，这些大学被黑客偷窃和出售的研究开发成本达到34亿美元。官员说，该组织被指控窃取超过 31 TB 的大学数据，这些数据是通过向大学教授发送具有钓鱼链接的欺骗性电子邮件渗透进入大学而被盗取。 稿源：cnBeta，封面源自网络

外媒 3 月 21 日消息，波多黎各电力局（PREPA）本周一证实其计算机基础设施曾在周末遭受了黑客入侵。目前 PREPA 确认此次事件没有对用户带来风险，因为黑客并没有访问其客户服务系统，数据信息也没有受到破坏。 值得注意的是，美国政府几天前曾发出警告称俄罗斯资助黑客组织发起针对美国关键基础设施 的网络攻击。 不过目前并没有证据表明俄罗斯黑客参与了 PREPA 的攻击事件，因为黑客人士采用了复杂的技术来隐藏自己，使得调查该网络攻击变得非常困难。 根据 PREPA 发言人的说法，目前有关部门正在对该事件进行调查，但拒绝透露有哪些政府部门参与 。 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日，FireEye 发布安全分析报告称，一个名为 TEMP.Zagros（又被称为 MuddyWater）的伊朗黑客自 2018 年 1 月至 3 月期间针对亚洲和中东地区发起了大规模的网络钓鱼攻势。在近期的活动中，该黑客利用了最新的代码执行和持久性技术向这些地区分发一个基于宏的恶意文档，与以往不同的是，该文档删除了一个 VBS 文件和一个包含 Base64 编码的 PowerShell 命令的 INI 文件。一旦被成功执行，恶意文档将会安装一个 POWERSTATS 后门。 在该恶意活动中，TEMP.Zagros 的战术、技术、程序、以及目标在一个月之内发生了较大的改变。上图为该钓鱼活动的简要时间轴。 TEMP.Zagros 通常会使用具有地缘政治主题的网络钓鱼攻击电子邮件和恶意宏文件，例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。在分析这些文件时，FireEye 观察到TEMP.Zagros 重用了 AppLocker 旁路和用于间接代码执行的横向移动技术。此外，研究人员还在 TEMP.Zagros 使用的恶意代码中发现了中文字符串，这些字符串被留作虚假标志使得查询归属变得更加困难。 FireEye 分析报告： 《 Iranian Threat Group Updates Tactics, Techniques and Procedures in Spear Phishing Campaign 》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 17 日消息，波兰执法部门于上周星期五对外宣布著名网络犯罪分子 Tomasz T 已在波兰被警方逮捕。据悉，Tomasz T 被广泛认为是 Polski、Vortex 和 Flotera 勒索软件家族的开发作者。 波兰警方在此次逮捕行动中搜查了 Tomasz T 的住所并扣留了其电脑设备。通过该设备以及其远程服务器，一些重要数据被成功恢复，其中包括加密密钥。目前波兰警方正在鼓励 Polski、Vortex 和 Flotera 勒索软件的受害用户向地方当局提交正式诉讼，以便于获取其文件的解密秘钥。 目前这名自 2013 年起就开始活跃的网络犯罪分子被指控了 181 项不同的罪行，并且法院已批准其暂时拘留三个月。 消息来源：bleepingcomputer.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

此前遭受黑客攻击的日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐私性的加密货币门罗币（Monero）、达世币（Dash）和 Zcash。据《日本时报》报道，此举可能是应日本金融局（FSA）提出的交易所安全性改善要求。 稿源：，稿件以及封面源自网络；

外媒3月14日消息，安全公司 ESET 发布分析报告称 OceanLotus APT 组织（“ 海莲花 ”，也被称为 APT32 和 APT- c -00） 在其最近的攻击活动中使用了新的后门，旨在获得远程访问以及对受感染系统的完全控制权。 OceanLotus 组织自 2013 年起至今一直保持活跃状态，据有关专家介绍，该组织是一个与越南有关的国家资助的黑客组织，其中大部分分布在越南、菲律宾、老挝和柬埔寨。根据调查，OceanLotus 除了针对多个行业的组织之外，也针对外国政府、持不同政见人士和记者。 目前来看，OceanLotus 的攻击分两个阶段进行，第一阶段黑客利用一个通过鱼叉式钓鱼信息传递的 dropper 来获得目标系统的初始据点，第二个阶段是其恶意代码为部署后门做好准备。   △ dropper 部分有以上执行流程 △ 后门有以上执行流程 目前 OceanLotus 会在其攻击活动中不断更新工具集，这显示了该组织通过选择目标保持隐藏的意图。此外，OceanLotus 也限制其恶意软件的分发以及使用多个不同的服务器来避免将注意力吸引到单个域名或 IP 地址。 ESET 分析报告： 《 ESET_OceanLotus.pdf 》 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

本周三举行的年度 Pwn2Own 黑客大赛上，趋势科技举办的 Zero Day Initiative（ZDI）活动上，有两起针对苹果 Safari 浏览器的攻击，其中一次取得了成功。根据博客分享的细节，来自 phoenhex 的 Samuel Groß 利用包含 macOS 提权漏洞的三个 BUG 链成功入侵了 Safari。 根据官方新闻稿提供的细节，这个漏洞还能对 MacBook Pro上TouchBar 的文本进行篡改。凭借着这个 BUG 链，Groß 成功的获得了 6.5 万美元，并以 6 分的成绩获得了梦寐以求的“ Master of Pwn ”头衔。 去年 11 月举办的 Mobile Pwn2Own 大会上，曾经利用两个 Safari BUG 绕过 iPhone 7 安全协议的 Richard Zhu 在本次大会上尝试利用 Safari 漏洞发起攻击的。但是遗憾的是，在本届 Pwn2Own大 会上，Zhu 无法在规定的 30 分钟时间内从沙箱中逃脱。 不过，Zhu 成功利用 Windows 内核 EoP 破解了微软 Edge，使用了两个 UAF 漏洞和整数一处漏洞。Groß 的 phoenhex 队友 Niklas Baumstark 成功对 Oracle VirtualBox 发起攻击。 稿源：cnBeta，封面源自网络；