一名前美国国家安全局 ( NSA ) 员工 12 月 1 日承认，他非法从该机构非法带走了机密文件，这些文件后来被认为由俄罗斯情报机构的黑客通过互联网从该员工家中电脑当中盗走。 美国马里兰州 Ellicott 市 67 岁的 Nghia H. Pho 承认了一项蓄意保留国防信息的罪名，这项罪名可能被判 10 年徒刑，检察官同意不会判处八年以上徒刑，而且 Pho 先生的律师 Robert C. Bonsib 则要求更宽松的判决，他在 4 月 6 日等待判决之前仍然有人身自由。 新闻媒体报道表示，Nghia H. Pho 先生是 NSA 的软件开发人员，他出生在越南，但是是美国公民。检察官向公众隐瞒了他的政府工作和相关刑事案件的许多细节，这与俄罗斯黑客行动的持续调查有关。 但在法庭文件中，检察官确实披露他在 2006 年至 2016 年期间为 NSA 的“定制访问操作”工作。该单位现在已经改为计算机网络操作，是 NSA 增长最快的部分。其黑客闯入国外计算机网络收集情报，往往留下软件植入物，继续收集文件和其他数据，并将其转发给该机构数月或数年。 稿源：cnBeta，封面源自网络；

HackerNews.cc 30 日消息，全球航运公司 Clarksons 发表声明称，公司此前发生“安全事件”被盗的内部机密数据可能会因拒付赎金而被黑客公开。Clarksons 公司表示不接受黑客威胁、将会采取有效措施应对被盗事件，并且对受影响的客户和个人深表歉意。 直至本文截稿前，被盗数据的数量和确切细节尚未被公布，Clarksons 公司只对外宣称被盗的是高度机密数据。Clarksons 表示，黑客组织访问公司内部系统可能没有利用软件漏洞这种途径，而是盗用了一个合法账户持有者的登录证书进行渗入。公司目前已将被盗帐户禁用，并采取了相应安全措施以防止今后发生类似的问题。 据 Clarksons 透露近期黑客可能会对外发布一些数据，但是作为一个负责任的全球性企业，公司选择与警方和安全专家合作处理这个事件，并与有关监管机构进行了联系。由于所涉及的是内部保密数据，所以要求律师必须采取一切必要的措施来保护信息的机密性。 Clarksons 发言人表示，目前事件正在调查，其余细节则不予透露。 消息来源：ZDNet、ESET，译者：榆榆，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，黑客于上周五通过垃圾流量致使美国最大的互联网管理公司之一 Dyn 系统瘫痪，有效地关闭了整个地区的服务及网站，类似 Twitter、Spotify、Etsy、Netflix 和软件代码管理服务 GitHub 这样的网站都无法访问。 调查显示，黑客此次攻击仅仅影响了美国与欧洲部分地区，其中断情况于两个小时后有所缓解。美国国土安全部表示，他们正在调查所有可能原因。安全人员透露，黑客主要利用电脑、路由器和安全摄像机等联网设备捆绑成僵尸网络，从而展开 DDoS 攻击，以致破坏 Dyn 服务器。 Dyn 位于新罕布什尔州，既是 DNS 服务提供商，也是一家互联网管理公司。主要帮助网站客户获得最佳的在线性能。同时也过滤了流向网站的恶意流量，这也是上周事情分崩离析的地方，攻击者通过压倒性的流量攻击瘫痪了 Dyn 服务。 网络安全公司 Flashpoint 表示，攻击 Dyn 的僵尸网络使用了之前攻击 Krebs 和法国网站 OVH 相同的恶意软件，而这两款恶意软件可以发起有史以来最强大的 DDoS 攻击。 稿源：cnBeta；封面来自网络；

HackerNews.cc 11 月 26 日消息，网络安全公司 Reversing Lab 研究人员最新发现黑客组织 Cobalt 正通过微软近期披露的 Office 漏洞（CVE-2017-11882）针对全球银行等金融机构展开网络钓鱼攻击。 该漏洞由 Embedi 研究人员率先在 Microsoft Office 组件的 EQNEDT32.EXE 模块（负责文件插入与公式编辑）中发现，是一处内存损害问题，允许攻击者利用当前登录的用户身份执行任意代码。该漏洞影响了过去 17 年来发布的所有 Microsoft Office 版本，其中包括新版 Microsoft Office 365。此外，它还可能触发所有版本的 Windows 操作系统。值得庆幸的是，CVE-2017-11882 的补丁已在本月例行安全更新中发布。 研究显示，黑客组织 Cobalt 主要在通过垃圾邮件肆意分发 RTF 恶意文档时感染目标用户系统。这一感染流程分为多个阶段： ○ 首先，用户打开 RTF 文档后系统将会自动利用 MS 方程触发 CVE-2017-11882 漏洞； ○ 随后，黑客将通过调用 Mshta.exe 文件获取并执行恶意脚本代码； ○ 最终，该脚本在运行时将会嵌入本地 playload，从而根据设备体系结构（32 位或 64 位）下载 DLL 恶意文件，以便感染目标系统。 需要留意的是，这并非 Cobalt 第一次利用微软漏洞展开攻击。知情人士透露，该黑客组织此前就曾利用微软 RCE 漏洞（ CVE-2017-8759 ）针对欧洲、美洲、俄罗斯等银行 ATM 设备以及金融机构开展攻击活动。虽然该漏洞目前已被修复，但并不能完全避免漏洞攻击的风险，因此研究人员提醒各企业管理人员在更新系统的同时，禁用 Eqnedt 模块是最保险的方法。 更多内容： ○  微软 Office 漏洞（CVE-2017-11882）概念验证（PoC）：https://github.com/embedi/CVE-2017-11882 ○  微软 Office 漏洞（CVE-2017-11882）补丁地址：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 ○  为保护系统，管理员应该需要应用最新补丁包括： KB2553204，KB3162047，KB4011276 和 KB4011262。 消息来源：securityaffairs.co，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 11 月 24 日消息，网络安全专家 Didier Stevens 于近期（比特币价格从 7,000 美元升至 8000 美元时）在其蜜罐中发现黑客正进行一项扫描活动，旨在检测在线暴露的比特币钱包后不断提出访问请求，从而试图获取钱包加密货币。这种情况极其罕见，其首次发生于 2013 年比特币价格第一次升涨时期。 黑客们除了比特币外也会将其他加密货币作为探索目标，比如以太坊（Ethereum）。研究人员 Dimitrios Slamaris 就于近期发现黑客在本地公开的 Ethereum 节点向目标 JSON-RPC 接口发出调用请求，命令系统将用户资金转移至攻击者钱包。随后，网络安全中心 Johannes Ullrich 发现两个 IP 地址通过上述请求扫描用户加密钱包: 216[.]158[.]238[.]186 – Interserver Inc .(新泽西托管公司) 46[.]166[.]148[.]120 – NFOrce Entertainment BV(Durch托管公司) 目前，如果您正在使用/运行 Ethereum 节点，那么请确保该节点未被监听查询，因为此类操作都是非常简单的 HTTP 请求，它们不受同源策略的保护，很容易被黑客利用 Javascript 窃取信息。研究人员提醒用户/管理员尽快在其服务器上禁用 JSON-RPC 接口的入站查询或代理请求，以便系统只筛选已批准的客户设备。 相关阅读： ○ 安全专家发布的互联网当前泛滥的以太坊 JSON-RPC 扫描问题 消息来源：securityaffairs.co ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球知名图片分享网站 Imgur 近日承认 2014 年受到黑客攻击，170 万包含邮箱地址和密码的账户信息被窃取。Imgur 表示由于网站并不需要用户提交真实姓名、地址或者手机号码，因此被窃取的信息中并不包含私人信息。 知情人士透露，在过去的四年时间始终没有引起媒体和用户的注意，直到近期黑客将被窃取的数据发送给 Troy Hunt。Hunt 负责运行和维护数据被窃通知服务 Have I Been Pwned。 在感恩节当天，他向 Imgur 公司发出提醒。随后公司立即发布公告，要求受影响用户账号尽快重新更改密码。Hunt 表示：“在美国感恩节期间我发现了 Imgur 的账号被窃情况，公司在不到 24 小时内做出快速反应的行为是值得称赞的。” 稿源：cnBeta，封面源自网络；

据外媒 11 月 22 日报道，网络安全公司 McAfee 与 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 似乎开始利用一款 Android 恶意软件针对韩国三星用户展开新一轮网络攻击。 Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。 调查显示，该恶意软件主要附着在一款用于阅读韩文圣经的合法 APK 中并由开发人员 GODpeople 在 Google Play 发布。截至目前，该应用已被下载 1300 多次。McAfee 经分析表示，其恶意软件主要为可执行与可链接格式（ELF）文件提供一个后门，允许攻击者完全控制受害设备。另外，该后门程序所使用的命令与控制（C＆C）服务器列表与黑客组织 Lazarus 此前使用的 IP 地址有关。   Palo Alto Networks 安全专家指出，此次活动似乎主要针对韩国三星用户展开攻击，并与此前 Lazarus 开展的 “ Operation Blockbuster” 活动存有潜在联系，例如：所使用的 Payload、恶意软件代码，以及托管的合法 APK 都极其相似等。随后，Unit 42 安全专家对上传到 VirusTotal 的 PE 文件分析后发现，这一文件被用于从 HTTP 服务器传送  ELF ARM 和 APK 文件，从而感染更多设备后允许攻击者展开大规模攻击活动。 目前，Palo Alto Networks 由证据表示，该恶意软件代码与 Lazarus 对 SWIFT 银行系统和 Operation Blockbuster 攻击活动所使用的有效负载具有重叠部分，因此这似乎意味着该组织持续使用同一系列的黑客工具展开攻击活动。对此，他们推测 Lazarus 似乎正忙于全球业务的扩张发展。 更多阅读： 来自 McAfee 的分析报告 <Lazarus Cybercrime Group Moves to Mobile Platform> 消息来源：securityaffairs.co ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

北京时间 11 月 21 日下午消息，根据加密数字货币媒体网站 CoinDesk 的报道称，数字代币初创公司 Tether 于本周一证实公司系统遭遇黑客袭击，近 3095 万美元的数字代币被盗。 知情人士透露，Tether 公司曾于此事件发生后在其网站发布了相关报道，但目前该网站消息已被删除。不过，根据此前消息称，Tehter 将此次代币被窃事件定性为外部攻击者的恶意行为。 据悉，在那则被删除的文章中，Tether 公司表示他们正积极尝试恢复代币，以防止它们流入到外部数字加密货币市场。该公司还表示会暂停后台数字钱包服务，同时将会为用户提供更新软件，以阻止被窃取的数字代币从黑客攻击者的地址再被转移。目前，部分用户认为，本次黑客攻击事件可能于周一比特币市值的极端波动有关，其比特币价格在短短一个半小时内从 8250 美元峰值瞬间下跌了 430 美元。 Tether 公司官方网站曾表示其数字代币具有法定货币支持，因此可以防止一般加密货币的行情波动。此外，Tether 数字代币还能在区块链上被存储、发送和接收，而且还支持兑换现金。 稿源：，稿件以及封面源自网络；

网络安全公司 Corero 于近期发布一份报告，宣称 2017 上半年的 DDoS 攻击数量增加一倍，起因竟是各企业及用户所使用的不安全物联网（IoT）设备。据称，只要用户设备在线联网，其拒绝服务（DDoS）攻击就将存在。倘若企业依赖互联网销售产品或协作，那么 DDoS 攻击不仅仅是一个麻烦，更将影响企业后续发展。 在过去数年内，DDoS 攻击的数量在 “猫捉老鼠” 的演变过程中呈缓慢趋势增长，即犯罪分子一旦加强攻击，其网络供应商就会进行弹性防御。然而，此类攻击一般都来自被感染的计算机和服务器组成的僵尸网络。不过，由于在僵尸网络中获取和维护这些系统的成本相对较高，因此在攻击发展的速度方面存在经济限制。 但是，僵尸网络 Mirai 的开发人员就很 “聪明”， 并未针对安全团队或安全设施开展攻击，而是把重点瞄准数百万家用物联网设备，例如利用网络摄像头与互联网路由器构建僵尸网络开展 DDoS 攻击。由于 Mirai 无需任何安全措施检测，因此它能在肆意感染的同时发起比以往更大的攻击活动。 根据 Arbor Networks 2016 年年底的报告显示，物联网设备已然成为 DDoS 攻击来源。到目前为止，这些大规模的攻击还未利用反射/放大技术展开。相关数据显示，DDoS 攻击的数量在 2015 年显著上升，其攻击的平均规模和时间也在不断增加。由卡巴斯基 2016 年第四季度 DDoS 情报报告得知，DDoS 攻击持续时间最长为 292 小时（或 12.2 天），明显长于上一季度（ 184 小时或 7.7 天），创下 2016 年的纪录。 研究人员表示，目标企业现平均每天遭受 8 次 DDoS 攻击，均由不安全物联网设备和 DDoS 出租服务导致。虽然大规模的 DDoS 攻击正得到媒体关注，但这只是攻击的一小部分。然而，最令人感兴趣的是，2017 年第二季度发生的第五次 DDoS 攻击使用了多种媒介进行，旨在规避安全软件检测。目前，只需要每小时 20 美元，任何黑客都可采用僵尸网络针对目标企业发动攻击。此外，网络犯罪分子已经将 DDoS 攻击作为一项有利可图的开发项目，这就意味着拒绝服务攻击的活动仍将继续。 关联阅读： ○ 卡巴斯基实验室 《黑色星期五威胁报告》（英文） ○ 卡巴斯基实验室《2017 年第三季度的 DDoS 攻击报告》（英文） ○ 卡巴斯基实验室《2018 年威胁预测》（英文）   消息来源：securityaffairs.co ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 11 月 21 日报道，阿尔及利亚的电信运营商 Algerie Telecom 于上周五证实，公司遭受了一系列旨在破解其系统的网络攻击事件。目前，公司已在相关部门的帮助下成功击退黑客并开启安全防御系统，以便减少企业运营损失。不过，他们尚不清楚黑客真正意图以及进一步相关细节。 此外，由于网络攻击数量的迅速增加引起了阿尔及利亚政府的担忧，特别是近期所推出的电子服务项目，例如公民采用电子支付系统缴纳水电费用。 信息与通信技术部部长 Iman Houda Faraoun 表示，通常由部长理事会批准的电子商务项目一旦通过，将会即日生效。不过，他们承诺将会充分保护电子商务流程，严禁外泄各金融交易数据、发票以及公民银行卡号等敏感信息。 消息来源：securityaffairs.co 、新华网，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。