据外媒报道，与巴勒斯坦伊斯兰抵抗运动组织哈马斯有关的阿拉伯黑客组织加沙网络黑帮 Gaza Cybergang 近日重返江湖，其攻击目标定位为中东与北非（MENA）地区。 Gaza Cybergang（ 又名 “ Gaza 黑客军团 ”或 Molerats ）疑似政治黑客，早在 2012 年就处于活跃状态，自 2015 年第二季度起影响不断加剧，主要攻击目标为政府实体/使馆、石油与天然气、媒体/新闻出版机构、政客与外交官等。据推测，该组织可能由巴勒斯坦哈马斯军方组成，欧洲与美国组织机构也受到不同程度影响。调查显示，黑客广泛搜集情报，配合使用高级社工等方式通过含有宏病毒的 Office 附件或恶意链接的鱼叉式网络钓鱼邮件展开攻击。 今年初，网络安全公司 Palo Alto Networks 发现黑客组织 Gaza Cybergang 利用恶意软件 DustySky 开展新兴网络间谍活动。据悉，他们通过 Downeks 下载器与 Quasar 或 Cobaltstrike 远程访问工具（RAT）向政府机构的 Windows 设备发动攻击，以便获取远程访问与数据渗出能力。卡巴斯基表示，该组织主要针对 MENA 地区的石油天然气公司展开攻击活动。其黑客入侵公司系统后，渗出数据已长达一年之久。此外，Gaza Cybergang 武器库还于今年 4 月新增一款安卓木马，最初由卡巴斯基在一台命令与控制服务器上发现，很可能被用于针对以色列士兵。 自 6 月起，Gaza Cybergang 利用攻击链触发微软公司 4 月修复的漏洞 CVE 2017-0199。据称，这种做法更加行知有效，可通过未经修复的 Windows 系统直接实现代码执行能力。Microsoft Access 数据库文件可用于维持低级别检测，是传播恶意软件的常见方法。这些开发有助于黑客继续开展行动，甚至绕过传统防御，持续长时间作业。 专家坦言，由于黑客不断改善工具包、减少曝光率，近期此类攻击活动在数量与质量上都将有增无减。建议组织机构：提高安全防范意识、及时修复漏洞；使用成熟的企业级安全解决方案有针对性地分析、捕捉异常网络攻击事件；向雇员提供最新的威胁情报数据（例如入侵指标与 YARA 规则）以强化威胁防范与查找发现措施。 原文作者：Pierluigi Paganini，译者：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全人员近期发现暗网里的部分网站正在销售企业内部设备的 RDP 远程桌面协议的凭证，以便直接访问目标企业内网。据悉，这种不需要借助恶意软件和木马病毒就可窥探企业内网的凭证，目前正在暗网逐渐兴起并产生市场竞争。 据悉，这些 RDP 凭证涉及卫生保健以及教育和企业组织等多种类型，最低价格仅仅只需要 3 美元即可。此外，远程桌面协议允许个人通过网络连接后直接访问对应设备。然而，通常此类设备都是虚拟桌面或者远程管理系统。因此攻击者如果可借助凭证访问 RDP 的话，即可顺利进入内网窃取数据，且企业并不会察觉任何异常情况。另外，依据操作系统的不同，存在售价差异。例如：Windows XP 系统的 RDP 凭证最低仅只需要 3 美元即可，而 Windows 10 系统的 RDP 凭证则需 9 美元起。 经调查发现，成立于 2016 年年初的 UAS 终极匿名服务网站是暗网里销售 RDP 远程桌面连接凭证最活跃且最受欢迎的商店。据称，UAS 商店可以提供涵盖各个国家不同操作系统的 RDP 凭证，其高峰期掌握超过 35,000 份 RDP 凭证可提供出售，其中包括中国和巴西以及美国的数万台设备的凭证，而价格最高的 RDP 凭证也仅仅只需要 15 美元。 暗网和低下黑市中并不是只有 UAS 商店提供 RDP 凭证销售，实际上诸如 xDedic 等同行竞争对手亦在销售凭证。xDedic 的 RDP 凭证价格从 10美元到 100 美元不等，但研究人员称似乎并未发现这些凭证与 UAS 的有太大区别。但不可否认的是 RDP 凭证已经逐步形成了活跃的黑色市场，这对于多数企业和机构来说绝对不是什么好事情。很多企业的 RDP 凭证实际已经泄露但却毫无察觉，在这种情况下攻击者借助 RDP 潜伏和窃取数据可持续很久。目前，研究人员建议使用此类协议的企业和机构应定期检查系统安全性， 尤其是凭证密码更应该定期更换防止泄露。 稿源：蓝点网，封面源自网络；

据外媒报道，安全研究人员近期发现暗网市场 Basetools 遭黑客入侵并在线泄露了其数据库部分信息。黑客随后威胁暗网市场管理员支付 5 万美元赎金，否则就将其运营者身份以及相关数据移交至美国联邦调查局（FBI）、国土安全部（DHS）、司法部（ DoJ）和其他机构。 Basetools 是一所地下交易市场，经常在俄语网络犯罪论坛发布广告，允许暗网供应商出售垃圾邮件工具、信用卡数据、黑客账户，以及其他东西。据称，该暗网市场号称拥有超过 15 万的用户，并提供逾 2 万种销售工具，以及 7*24 的服务支持。 安全专家表示，黑客在入侵 Basetools 数据库后兜售了一些工具，包括后门、shell 和 C-Panel 账户的登录凭证、托管在黑客攻击服务器上的垃圾邮件，以及此前其他互联网平台泄露的用户数据。消息显示，由于担心被泄露的工具可能会被其他网络犯罪分子用来发动恶意攻击，运营者在黑客泄露数据后已立即将网站下线。 虽然网络犯罪分子和敌对的暗网市场互相攻击并不是一种新现象，但此类攻击在多数情况下都是由经济动机推动。据研究人员介绍，AlphaBay 和 Hansa 两大最受欢迎的暗网市场于前段时间被查处关闭，从而导致网络犯罪事件于近期陷入了混乱和分散状况。 原文作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 26 日报道，继 JS 挖矿引擎 CoinHive 被黑后， jQuery 的官方博客（blog.jquery.com）于近期遭网名为 “str0ng” 和 “n3tr1x” 的黑客篡改。目前，虽然没有证据表明存放在主机系统文件的服务器已遭黑客入侵，但可以确定黑客通过  jQuery 管理人员 Leah Silber 的账号发布了一篇诋毁官网的文章（如下图）。 调查显示，由于 jQuery 官方博客使用了 WordPress 平台的内容管理系统（CMS），因此黑客还有可能通过 WordPress 已知或零日漏洞获取未经授权访问权限。 jQuery 团队在发现博客官网被黑后立即删除了黑客所发布的帖子。 研究人员表示，由于数百万网站直接由 jQuery 服务器调用脚本，因此该攻击活动可能导致的后果更为糟糕。另外，这已经不是 jQuery 网站第一次受到攻击。据报道，jQuery 主要域名（jQuery.com）曾于 2014 年遭黑客入侵，其网站访问者被重定向至恶意页面。 原文作者：Swati Khandelwal，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，近日有消息称，有黑客攻破了伦敦一家知名整容医院并从中偷走了大量照片和来自名人甚至还有皇室成员的敏感信息。而一个叫做 Dark Overlord 宣称为伦敦桥整形（LBPS）的网络攻击负责。 Dark Overlord 最早是在去年出现在大众面前，当时它从一些学校、医疗中心甚至一家跟 Netflix 合作的制片厂那里盗取了信息并以此勒索他人或机构。 这次，Dark Overlord 告诉外媒 Daily Beast，他们最近对 LBPS 发起的网络攻击是成功的，他们已经掌握了数 TB 的数据库、名字以及其他一切信息，并且当中还有一些皇室家族。另外，Dark Overlord 还称他们获得了大量病人照片和特写照片–一些则展示了男性和女性生殖器的手术，一些展示了病人术后的样子。据了解，这个黑客组织扬言要将这些整形照片公布于众。 对此，LBPS 证实了漏洞的存在，但他们还不确定究竟哪些数据遭到了泄露。另外他们还补充称，安全和病人个人信息保密对于他们来说一直都是最重要的，为此他们投资了市场先进的安全技术。 稿源：cnBeta，封面源自网络；

2017 年 9 月 6 日，西班牙加泰罗尼亚议会通过了一项有关独立公投的法案，并于 10 月 1 日举行公投，决定是否脱离西班牙建国。不过，西班牙政府随后就该法案向宪法法院提出异议，要求加泰罗尼亚宣告放弃独立。10 月 17 日，西班牙宪法法院宣布加泰罗尼亚于 9 月 6 日通过的公投法案无效。 不过，此次事件似乎并未结束。西班牙国家安全局（DSN）于 10 月 20 日发表声明，宣称国家网站在过去数周内屡遭同一主题的不同网络攻击。此外，安全专家还通过与其关联的 Twitter 账户发现，国际黑客组织 “匿名者”（Anonymous）在线透露，将于 21 日对其政府网站进行大规模网络攻击。 随后，黑客组织 “匿名者” 果真于 10 月 21 日入侵西班牙宪法法院的网站系统，导致平台瘫痪不可访问且还在其官网上发布了 “解放加泰罗尼亚” 的宣传视频。调查显示，“匿名者” 主要针对目标网站的服务器展开 DDoS 网络攻击，从而迫使网站处于离线状态。虽然这并不被认为是一种复杂的攻击形式，但对于网站来说，它可能很难迅速恢复。知情人士透露，黑客在多数情况下利用这一点进行攻击的原因，通常是为了支持某一政权。 相关人士根据 “匿名者”在各政府网站发布的抗议视频推测，该组织似乎想让西班牙政府允许加泰罗尼亚的人民通过公投的方式表达自己的意愿，从而减少社会各阶层的主流观点。 目前，西班牙宪法法院的发言人表示：“虽然我们知道匿名者会针对网站进行攻击，但我们并不知道攻击的主要来源。不过，好在其他的 IT 系统并没有受到影响，现仍可正常访问。此外，我们将继续针对此次事件进行深入调查”。然而，到目前为止，加泰罗尼亚负责人并未发表任何置评。 原文作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据 Deadline 报道，因为涉及到 2014 年好莱坞的名人私照泄露事件，关键黑客目前已被控诉。报道称，这名男子承认自己黑入了 550 部电脑，其中多数的拥有者是好莱坞女星。男子名叫 Emilio Herrera，他目前或将面临最高 5 年的联邦监狱惩罚。 不过，Herrera 并不是这批照片、视频的直接泄露者，目前来看，他仅仅是一名技术达人，帮着破解到了名人的 iCloud/Gmail 等账户密码。据悉，该黑客的具体是通过伪装成互联网运营商发送邮件，诱导名人点击恶意链接，从而被植入木马或者远程连接。 稿源：cnBeta、快科技，封面源自网络；

据外媒 10 月 22 日报道，网络安全公司 Proofpoint 研究人员近期发现黑客组织 APT28 正利用 Microsoft Word 附件、通过 Adobe Flash 漏洞（CVE-2017-11292）分发恶意软件。研究人员表示，该漏洞近期刚刚被修复，不过攻击者似乎想要在用户安装补丁前展开网络攻击活动。 ATP28（又名 Sofacy、Fancy Bear 或 Tsar Team）是一支由俄罗斯政府资助的黑客组织，其主要针对境外国家的航空航天，以及私营部门展开攻击活动。据悉，该组织除针对丹麦国防部展开网络间谍活动外，还曾干预法国德国重大选举事件。 据悉，尽管研究人员所收集的信息有限，但他们目前已经大致了解攻击者的目标分布范围，其包括欧洲与美国的一些政府机构和航空航天私营部门。知情人士获悉，该漏洞补丁于 10 月 16 日在线公布时，卡巴斯基就已经发现黑客组织 BlackOasis APT 利用该漏洞开展网络攻击活动。 目前，研究人员推测 APT28 已经获取了一种利用 CVE-2017-11292 漏洞的方法，不过他们尚不清楚该组织是通过购买还是自身发现，亦或是反向分析 BlackOasis 攻击活动获得。不过，值得注意的是，黑客组织 APT28 一直利用恶意软件 DealersChoice 展开攻击活动。据称，当目标用户打开此类诱导文件时，DealersChoice 会自动联系远程服务器，下载并执行漏洞开发代码。 研究人员根据相关证据表明，黑客组织 APT28 似乎想要在 Flash 漏洞补丁被广泛部署前肆意分发恶意软件。不过，由于 Flash 仍存在于多数系统上，且此漏洞影响所有主要操作系统，因此用户立即更新Adobe 补丁至关重要。Proofpoint 研究人员证实，公司正试图取消与 DealersChoice 攻击框架相关的 C＆C 服务器连接。此外，研究人员提醒用户，尽快安装补丁或更新系统至最新版本。 附：Proofpoint 安全报告原文链接《APT28 racing to exploit CVE-2017-11292 Flash vulnerability before patches are deployed》 原文作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

思科 Talos 团队近期发现黑客组织 APT28 正利用诱导文件开展新一轮网络攻击活动。有趣的是，该文件是一份关于美国会议 “网络冲突” 的宣传单张，其由北约网络防御中心于今年 11 月 7 日至 8 日在华盛顿举办。值得注意的是攻击活动与此前大不相同，该诱导文件虽然并未通过任何开发手段或零日漏洞展开攻击，但他们使用了恶意 Visual Basic Applications（VBA）宏病毒嵌入 Microsoft Office 文档，以便分发恶意软件 Seduploader 新变种。 俄罗斯 ATP28 黑客组织（又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team）除针对丹麦国防部展开网络间谍活动外，还曾涉嫌参与多起欧洲国家网络攻击事件，其中包括攻击欧洲防务展览会、干预法国德国重大选举、针对联邦议院发起鱼叉式网络钓鱼攻击等。 调查显示，诱导文件以 Conference_on_Cyber_Conflict.doc 命名，包含 2 页与组织者和赞助商的标识。此外，由于该文件确切的内容可以在会议网站查询，因此攻击者可能对其内容进行复制/粘贴后利用 Word 创建恶意文档。不过，根据文件的性质，研究人员推测攻击者的目标人群可能是网络安全领域的相关人士。此外，研究人员通过查看诱导文件发现 VBA 会在感染目标设备后分发恶意软件 Seduploader 新变种，这款侦察恶意软件已被 APT 28 使用多年。 知情人士透露，攻击者的思维与时俱进，其懂得利用美国 “网络冲突” 为主题吸引读者注意从而达成攻击的目的。目前，研究人员仍在进行调查，因为他们不希望黑客能够通过任何漏洞确保恶意软件的存活几率。 附：Cisco Talos 原文报告《 “网络冲突” 诱导文件用于真实的网络冲突 》 稿源：Cisco Talos，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 19 日消息，黑客组织 Leviathan 近期正瞄准全球国防、政府及海军等机构展开新一轮网络钓鱼攻击，旨在窃取国家机密信息。 黑客组织 Leviathan 自 2014 年以来一直处于活跃状态，其美国、西欧与中国南海等地区普遍遭受影响。据悉，网络安全公司 McAfee 和 F-Secure 研究人员发现 Leviathan 曾于 2015 年 2 月至 10 月入侵中国南海地区工控系统。另外，菲律宾司法部门、亚太经合组织组织及国际律师事务所也在此期间纷纷遭受攻击。 调查显示，黑客组织 Leviathan 于今年 9 月针对一家美国造船公司和一所与军队相关的美国大学研究中心展开了新一轮网络钓鱼攻击，其钓鱼邮件常以 “ 工作简历 ” 和 “鱼雷恢复实验” 等为主题、诱导用户下载并安装恶意软件。目前，尚不清楚黑客是否成功窃取他们最新活动的任何机密数据。 Proofpoint 研究人员在博客中表示：“工具、技术和目标始终将他们的工作联系起来，特别是考虑到他们对海军与国防利益的密切关注。此外，虽然与军事相关的国防承包商和学术研究中心应该始终认识到国家网络攻击的潜在威胁，但还需特别警惕那些看似合法却未经验证的电子邮件。” 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。