据外媒The Verge报道，科威特国家新闻社（KUNA）周三表示，其Twitter帐户遭到黑客攻击，并被用来散布有关美军撤出该国的虚假信息。据路透社报道，现已删除的报告指出，科威特国防部长已收到美国的一封信，信中称驻科威特美军将在三天内离开该国。 该新闻社在后续的推文中说，其“绝对否认”在其社交媒体账户上发布的报道，科威特新闻部正在调查这一问题。 在伊朗将军苏莱曼尼被杀之后，有消息称美国发出了一封信，暗示该国将撤离伊拉克，但随后五角大楼官员迅速澄清该文件是错误发送的草稿信件。 目前尚不清楚谁是制造这起黑客入侵事件的罪魁祸首。   （稿源:cnBeta，封面源自网络。）

据外媒报道，黑客成功侵入美国一个政府网站，并在上面发布了一张美国总统唐纳德·特朗普脸被打嘴里流着血的图片。美国土安全局的一名官员证实，该网站隶属于联邦存储图书馆计划(FLDP)，不过该图片现在已被撤下。 这个被攻击的网站向用户展示了一个黑色页面，其中包括特朗普被打的照片以及一条声称黑客组织是代表“伊朗伊斯兰共和国”行事的信息。 “我们不会停止支持我们在该地区的朋友：巴勒斯坦被压迫的人民、也门被压迫的人民、叙利亚人民和政府、伊拉克人民和政府、巴林被压迫的人民、黎巴嫩和巴勒斯坦真正的圣战者抵抗；（他们）总是得到我们的支持。”信息写道。 据了解，网站上的特朗普流血图跟最近导致Qassem Soleimani少将死亡的美国空袭有着直接的关系。 尽管该信息表明伊朗黑客是幕后黑手，但美国官员称在这方面还没有明确证据。“我们知道联邦存储图书馆计划(FDLP)的网站被亲伊朗、反美国的信息所破坏。目前还没有证据表明这是伊朗国家支持的行动者所为。（目前）该网站已被关闭，无法访问。CISA正在跟FDLP以及我们的联邦伙伴一起监控情况。”   （稿源：cnBeta，封面源自网络。）

Synoptek 是一家总部位于美国加利福尼亚州的IT管理和云托管服务提供商，其在前段时间遭遇了Sodinokibi勒索软件攻击，并向其支付了赎金以解密其文件。 最近几周，Sodinokibi 勒索软件在美国的攻击行动异常活跃，去年12月，美国主要数据中心提供商之一CyrusOne也遭到了该勒索软件的打击。 Synoptek 拥有的客户超过1100个，包括地方政府，金融服务，医疗保健，制造业，媒体，零售和软件。 感染时间发生在12月23日，黑客首先入侵了公司网络，然后安装了勒索软件。 该公司证实了此次攻击，但没有说明是否会向黑客支付赎金。 “12月23日发生了勒索事件，但我们对此采取了应对措施。” Synoptek在周五美国东部时间下午6点之前在推文中写道，“我们立即采取了行动，并正在与客户一起努力解决这个问题。” Synoptek首席执行官蒂姆·布里特（Tim Britt）在一封电子邮件中告诉 CRN，此次攻击仅影响到了Synoptek的部分客户。Britt 称其员工在26号圣诞假期结束之前已经解决了大多数客户的问题。 Sodiniokibi团伙似乎专注于针对美国IT提供商。该恶意软件于2019年8月感染了PercSoft公司，并于12月感染了Complete Technology Solutions的系统。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一个 Google Chrome 扩展程序被发现在网页上注入了 JavaScript 代码，以从加密货币钱包和加密货币门户网站窃取密码和私钥。 该扩展名为 Shitcoin Wallet（Chrome 扩展 ID：ckkgmccefffnbbalkmbbgebbojjogffn），于 12 月 9 日启动。 据介绍，Shitcoin Wallet 允许用户管理以太（ETH）币，也可以管理基于以太坊 ERC20 的代币-通常为 ICO 发行的代币（初始代币发行）。用户可以从浏览器中安装 Chrome 扩展程序并管理 ETH coins 和 ERC20 tokens；同时，如果用户想从浏览器的高风险环境之外管理资金，则可以安装 Windows桌面应用。 然而，MyCrypto 平台的安全总监 Harry Denley 则在近日发现了该扩展程序包含恶意代码。 根据 Denley 的说法，对用户而言，该扩展存在有两种风险。首先，直接在扩展内管理的任何资金（ETH coins 和基于 ERC0 的代币）都处于风险中。Denley表示，该扩展会将通过其接口创建或管理的所有钱包的私钥发送到位于 erc20wallet[.]tk 的第三方网站。 其次，当用户导航到五个著名和流行的加密货币管理平台时，该扩展还可以主动注入恶意 JavaScript 代码。此代码将窃取登录凭据和私钥，将数据发送到同一 erc20wallet[.]tk 第三方网站。 根据对恶意代码的分析，该过程如下： 用户安装 Chrome 扩展程序 Chrome 扩展程序请求在 77 个网站上注入 JavaScript（JS）代码的权限 [listed here] 当用户导航到这77个站点中的任何一个时，扩展程序都会从以下位置加载并注入一个附加的 JS 文件：https://erc20wallet[.]tk/js/content_.js 此 JS 文件包含混淆的代码 [deobfuscated here] 该代码在五个网站上激活：MyEtherWallet.com，Idex.Market，Binance.org，NeoTracker.io，和 Switcheo.exchange 一旦激活，恶意 JS 代码就会记录用户的登录凭据，搜索存储在五个服务的 dashboards 中的私钥，最后将数据发送到 erc20wallet[.]tk 目前尚不清楚 Shitcoin Wallet 团队是否应对恶意代码负责，或者 Chrome 扩展是否受到第三方的破坏。 参考消息：https://www.zdnet.com/article/chrome-extension-caught-stealing-crypto-wallet-private-keys/   （稿源：开源中国，封面源自网络。）

外媒报道称，微软刚刚清理了由朝鲜网络黑客组织 APT37 运营的 50 个域名。软件巨头称，这些域名一直被 Thallium（亦称作 PT37）组织用于发动网络攻击。通过持续数月的关注、监视和追踪，该公司数字犯罪部门（DCU）和威胁情报中心（MSTIC）团队得以厘清 Thallium 的基础架构。 12 月 18 日，总部位于雷德蒙德的微软，在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久，美当局即批准了法院命令，允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。 此前，这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点，窃取凭证，从而获得对内部网络的访问权限，并执行后续针对内网的升级攻击。 微软表示，除了追踪该组织的网络攻击，该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示： “攻击主要集中在美、日、韩三国的目标，受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。 在诸多案例中，黑客的最终目标是感染受害机器，并引入 KimJongRAT 和 BabyShark 两个远程访问木马（RAT）。 Tom Burt 补充道：“一旦将恶意软件安装在受害者计算机删，它就会从中窃取信息，保持潜伏并等待进一步的指示”。 当然，这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。 此前，微软曾对有俄方背景的 Strontium（又名 APT28 或 Fancy Bear）黑客组织发起过 12 次行动（上一次是 2018 年 8 月）、并成功撤下了 84 个域名。 以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus（APT35）运营的 99 个域名。   （稿源：cnBeta，封面源自网络。）

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序，该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现，被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃，活动目标是窃取全球范围内的企业支付卡信息，目前疑似已经袭击了100多家美国公司，袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月，臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉，并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外，BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看，BOOSTWRITE也是一个与FIN7组织相关联的加载程序，它也能够将恶意软件直接放入内存，但BIOLOAD通过二进制植入技术，采用dll的劫持方法，将恶意代码加载到合法程序中。 在研究过程中，Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库，这个链接库从windows 10 1803中开始清理安装Windows OS.此外，研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看，BIOLOAD装载机样本于分别2019年3月和7月进行了编制，而BOOSTWRITE样本于5月编制。在加载器上，BIOLOAD不支持多个有效载荷，而使用XOR来解密有效载荷，并不是ChaCha密码。在秘钥连接上，BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示，BIOLOAD加载器主要被用来进行程序攻击，并进行Carbank病毒传输。专家发现，这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明：BIOLOAD是由FIN7网络犯罪集团开发的，很可能是BOOSTWRITE的前身。 Fortinet因此得出结论：“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件，Fin7拥有最新工具的共享代码库，以及同样的技术和后门，导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议：由于加载程序是专门为每台目标计算机构建的，需要管理权限才能部署，因此建议相关部门要注意收集有关目标网络的信息。   消息来源：securityaffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

马斯特里赫特大学（Maastricht University）成为了勒索软件的最新受害者，黑客于圣诞节前夕（12月23日）入侵并破坏了该大学的Windows系统。这家位于荷兰的大学在12月24日发布的公告中表示，几乎所有Windows系统都感染了勒索软件，电子邮件系统影响尤为严重。 在12月27日发布的后续更新中，该大学工作人员日夜不停地进行恢复工作。并解释称团队已经付出最大努力，希望最大程度地减少对教育、科研人员以及学生的影响。在公告中并未提及黑客部署的勒索软件类型，也不确定黑客是否已经获得了数据访问权限，并且在被勒索软件感染之前提取了相关信息。 在最初的公告中写道：“马斯特里赫特大学（UM）正在研究解决方案。UM正在调查网络攻击者是否有权访问此数据。目前尚不清楚UM需要多少时间来找到解决方案，但是，要使这些系统再次完全投入运行，肯定会需要一段时间。” 马斯特里赫特大学解释说，它已经向执法部门提交了一份报告，目前正在与专家合作进行进一步调查，并在袭击发生后进行康复。“自发现攻击以来，UM的IT人员以及该领域的外部专家一直在全力以赴。当前阶段主要是进行相关调查和维护工作。而且团队正在开发解决方案，确保大学未来能够收到更全面的保护，免受此类攻击。” 团队表示：“为了尽可能安全地工作，UM暂时将所有系统脱机处理。一切目的都是为了让学生和员工尽快（可能分阶段）访问系统。考虑到攻击的规模和程度，尚无法指出何时可以准确地做到。目前也无法确认哪些系统受到影响那些没有，这需要进一步的调查。”   （稿源：cnBeta，封面源自网络。）

援引外媒报道，泰国南部春蓬府一所监狱的闭路监控电视系统遭到黑客攻击，随后在YouTube网站上进行现场直播。目前官方并未公布有关黑客入侵的具体细节，不过当地警方表示是因为收到曾在直播视频中出镜的记者报告才发现的。 根据美联社报道，黑客以BigBrother’s Gaze的名字在YouTube上进行视频直播，持续了数小时时间。在直播视频中显示了多个安全监控摄像头，由此可以相信黑客可以访问整个监控系统。 泰国当局在随后发表的声明中表示，南部春蓬府Lang Suan监狱所属的摄像头系统受到境外黑客攻击而受到损害，但是并没有提供本次黑客攻击行为的更多信息，尚不清楚是谁发起了本次攻击，以及是如何攻入该监狱系统的。 泰国惩教署总干事纳拉特·萨瓦塔南上校表示，在监狱相关官员意识到这个问题之后立即采取了行动，关闭了整个监控系统。目前当地警方已经在调查中。美联社表示，在YouTube直播频道中错误的表示这些视频来自于曼谷监狱，但圣诞节当天已经被YouTube清理掉了。在撰写本文时，该YouTube频道没有任何录像，很可能是帐户所有者删除了该录像。 该频道写道：“我想向那些可能因我的直播而冒犯的人致歉。事实上这并没有入侵行为，所有摄像头机位均来自于公共领域。附言：可能让你失望的是，该频道可能不会再次出现此类内容。再附言：在安装视频监控器时，请更改标准密码。”   （稿源：cnBeta，封面源自网络。）

Maze勒索软件近期发布2GB的文件，有消息称这些文件正是从彭萨科拉市所盗取。 本月彭萨科拉市遭到勒索软件攻击，该市的通信系统受到影响，网络系统几近瘫痪。据Bleeping Computer证实，这一事件的发生正是因为受到Maze勒索软件的攻击。昨天，Maze勒索软件也发布了32GB文件中的2GB文件，他们声称这些文件来源于在加密网络前就已盗取该市的网络数据，若想解密数据，需花费赎金100万美元。 在Bleeping Computer与Maze相关黑客人员的商讨中，Maze方透露，他们所盗取的文件远不止发布的2GB. “这是媒体报道的错误，我们所盗取的数据远不止如此，我们也不想给这座城市造成压力，也早已表明了真实的意图，但现在还没到我们想到的预期。” 当Bleeping Computer询问他们是否打算发布其余的数据时，他们的回答是“这取决于彭萨科拉市政府”。   消息来源：bleepingcomputer， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

由于被一个名为Mozi的P2P僵尸网络入侵，Netgear、D-Link和Huawei路由器正积极检测Telnet弱密码。因该僵尸网络再次使用了部分代码，可判定该事件与 Gafgyt恶意软件相关。 360 Netlab的安全研究人员在发现该僵尸网络后，对其进行了为期四个月的监控，发现该僵尸网络主要目的是用于DDoS网络攻击。攻击行动首先会在torrent客户端和其他P2P端存储节点信息，然后通过DHT协议进行网络扩散。而这样的扩散行为会使得在无需服务器情况下建立的僵尸网络传播速度更快，也会导致大量僵尸网络在DHT协议中巧妙藏身，更难被检测。 此外，Mozi还使用了ECDSA384和XOR算法来保证僵尸网络组件和P2P网络的完整性和安全性。 恶意软件使用telnet并利用漏洞向新的易受攻击的设备进行传播，该行为主要通过登录加密性弱的路由器或CCTV DVR来实现，在成功利用未修复的主机后立刻执行负载。而恶意软件一旦载入受攻击设备，新激活的bot将自动加入Mozi P2P成为受攻击的新节点。在受感染后，新的网络节点将接收并执行僵尸网络主机的命令，此时Netgear、D-Link和华为路由器也会收到影响。 针对此现象，研究人员做出解释：Mozi在通过DHT协议建立p2p网络后，配置的网络设备会同步更新，相应的任务也会根据配置文件中的指令即刻启动。 以下是自360 Netlab研究人员自2003年9月监测Mozi以来发现的10个受感染的P2P未修补设备： 像Nugache、Storm（又名Peacomm）、Sality P2P、Waledac、Kelihos（又名Hlux）、ZeroAccess（又名Sirefefef）、Miner和Zeus这样的P2P僵尸网络从2006年初开始，就为他们的主人组建了庞大的僵尸网络系统，但现在大部分已经灭绝，而另一些设备如Hajime 、Hide’N Seek（简称HNS），他们仍在寻找易受攻击的设备。 2018年9月，Hide’N Seek在短短几天内感染9万多台设备，而Hajime自2016年秋季首次被发现以来，在短短6个月内，感染约30万台设备。 众所周知P2P僵尸网络对打击他们的下沉式攻击具有很强的弹性，但也不乏一些例子证明ZeroAccess和Kelihos是易受攻击的。 在更多关于Mozi的相关信息被检测出来之前，关于对它进行深层次攻击可能性的猜测从未间断。但可以肯定的是，在此项检测之前，若相关目标还未被修补，Mozi对信息的搜集扩散范围会越来越大。 除上述僵尸网络外，另一个名为Roboto的P2P僵尸网络在8月下旬被被同一个研究小组发现，该网络在互联网上还会对未修补Webmin安装的Linux服务器进行扫描，而有关这个新的P2P僵尸网络更多信息可在360 Netlab的Mozi报告末尾了解。   消息来源：bleepingcomputer， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链