Hackernews 编译，转载请注明出处： 周三，伦敦一家陪审团发现黑客组织Lapsus$的一名青少年成员入侵了Uber和金融科技公司Revolut，然后勒索了最畅销游戏《侠盗猎车手》的开发者。 18岁的Arion Kurtaj于2022年9月开始独自进行网络犯罪，先是针对Revolut，两天后又针对Uber。 然后，他入侵了Rockstar Games，并威胁要在Slack上向所有Rockstar员工发布计划中的《侠盗猎车手》续集的源代码。 他无法接受法律审判，所以南华克刑事法庭的陪审团被要求查明他是否犯下了这些行为，而不是作出有罪或无罪的判决。 Kurtaj此前曾在2021年入侵并勒索英国最大的宽带提供商—英国电信集团和移动运营商EE，并在2022年2月入侵并勒索芯片制造商英伟达公司。 陪审团周三裁定，Kurtaj犯下了12项罪名，包括3项勒索、2项欺诈和6项违反《计算机滥用法》的指控。 Kurtaj的案件与一名17岁少年一起进行审理，由于法律原因，这名少年的名字无法透露。这名17岁的少年被指控参与了对英国电信和英伟达的黑客攻击，但陪审团否决了其一项勒索罪和一项与英国电信有关的计算机滥用法罪的成立。 这名17岁的少年此前承认了一项违反《计算机滥用法》的指控，以及一项与英国电信黑客攻击有关的欺诈指控。 在警方于2022年逮捕他几周后，他还承认了一项与黑客入侵伦敦市警察局云存储有关的《计算机滥用法》罪行。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Monti勒索软件是一个同时具有Windows和Linux变种的勒索软件。其在2022年6月被首次发现，当时也引起了不少的关注。它不仅在名称上与臭名昭著的Conti勒索软件相似，而且在威胁行为上也非常类似。该小组以“Monti”为名，并故意模仿了Conti团队广为人知的战术、技术和程序（TTPs），整合了大量Conti的工具，甚至使用了Conti泄漏的源代码。自被发现以来，Monti团队一直在持续针对公司进行持续攻击，并在泄露的网站上公开曝光受害公司的数据。 Industry Count Legal 3 Financial services 2 Healthcare 2 Others 6 表1： Monti勒索软件泄露网站上出现的公司的行业（数据日为2023年3月至8月） Monti勒索软件被曝光两个月后，又开始了恶意活动，这一次他们的目标是政府部门。与此同时，一个新的基于Linux的Monti变种（Ransom.Linux.MONTI.THGOCBC）出现，其与先前的基于Linux的变种有显著差异。早期版本主要基于泄露的Conti源代码，新版本采用了不同的加密器，并具有额外的不同行为。截至撰写本文时，在VirusTotal上只有三家安全厂商将样本标记为恶意。 通过使用BinDiff将新变种与旧变种进行比较，我们发现它们的相似性仅为29%，而旧变种和Conti的相似性率为99%。 我们建议采取后续安全措施来保护重要数据: 实施多因素身份验证（MFA），以阻止攻击者在网络中横向扩展并获得对敏感数据的访问权限。 遵循3-2-1备份指南来生成关键文件的备份。该指南要求创建三个备份副本，使用两种不同的文件格式，并将一个副本存储在不同的位置。这种方法确保了冗余，并最大限度地降低了数据丢失的可能性。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3010/ 消息来源：trendmicro，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国 IT 软件公司 Ivanti 今天提醒客户，一个关键的 Sentry API 身份验证绕过漏洞正在被恶意利用。 Ivanti Sentry（前身为 MobileIron Sentry）在 MobileIron 部署中充当 Microsoft Exchange Server 等企业 ActiveSync 服务器或 Sharepoint 服务器等后端资源的守门员，它还可以充当 Kerberos 密钥分发中心代理（KKDCP）服务器。 网络安全公司 mnemonic 的研究人员发现并报告了这个关键漏洞（CVE-2023-38035），未经身份验证的攻击者可以通过 MobileIron 配置服务（MICS）使用的 8443 端口访问敏感的管理门户配置 API。 攻击者利用限制性不足的 Apache HTTPD 配置绕过身份验证控制后，就可以实现这一点。 成功利用后，他们就可以在运行 Ivanti Sentry 9.18 及以前版本的系统上更改配置、运行系统命令或写入文件。 Ivanti 建议管理员不要将 MICS 暴露在互联网上，并限制对内部管理网络的访问。   Ivanti 表示：”截至目前，我们仅发现少数客户受到 CVE-2023-38035 的影响。该漏洞不会影响其他 Ivanti 产品或解决方案，如 Ivanti EPMM、MobileIron Cloud 或 Ivanti Neurons for MDM”。 随后，该公司补充说：”在得知该漏洞后，我们立即调动资源修复该问题，并为所有支持版本提供了RPM脚本。我们建议客户首先升级到支持的版本，然后应用专门为其版本设计的 RPM 脚本”。 四月份以来被攻击利用的其他 Ivanti 漏洞 自 4 月份以来，国家支持的黑客已经利用了 Ivanti 的 Endpoint Manager Mobile (EPMM)（以前称为 MobileIron Core）中的另外两个安全漏洞。 其中一个（被追踪为 CVE-2023-35078）是一个重要的身份验证绕过漏洞，该漏洞作为零日漏洞被滥用，入侵了挪威多个政府实体的网络。 该漏洞还可与一个目录遍历漏洞（CVE-2023-35081）结合，使具有管理权限的威胁行为者能够在被入侵系统上部署网络外壳。 CISA在8月初发布的一份公告中说：高级持续威胁（APT）组织至少在2023年4月至2023年7月期间利用CVE-2023-35078作为零日漏洞，从多个挪威组织收集信息，并访问和入侵了一个挪威政府机构的网络。 在CISA与挪威国家网络安全中心（NCSC-NO）发布联合公告之前，本月早些时候曾发布命令，要求美国联邦机构在8月15日和8月21日前修补这两个被主动利用的漏洞。 一周前，Ivant 还修复了其企业移动管理（EMM）解决方案 Avalanche 软件中的两个关键的基于堆栈的缓冲区溢出，被追踪为 CVE-2023-32560，利用后可能导致崩溃和任意代码执行。     转自Freebuf，原文链接:https://www.freebuf.com/news/375839.html 封面来源于网络，如有侵权请联系删除

澳大利亚知名数字支付和贷款公司Latitude在财报中表示，公司因今年3月的安全事件损失惨重，不仅计提了7590万美元（折合人民币5.53亿元）的准备金，并且由于业务中断等原因，上半年净亏损了近亿美元。 8月22日，澳大利亚企业在2023财年遭受了一系列网络攻击。从健康保险公司Medibank到电信运营商Optus，各家企业都面临人力短缺和应对网络犯罪能力不足的严峻现实。虽然可以通过网络保险减轻损失，但是网络攻击会切实影响运营，导致企业无法关注核心业务。 公司因为网络攻击计提7600万美元损失 澳大利亚数字支付和贷款服务上市公司Latitude就是一家受到网络攻击严重影响的企业。 今年3月16日，Latitude报告称，在系统上发现了一些恶意活动，并表示“这些活动据信源自Latitude合作的一家主要供应商。”该事件导致800万客户的个人信息被窃取，公司业务被迫中断。 图：公司花费了数月时间进行事件响应 Latitude为此付出了1180万美元的直接成本，并额外筹集了6410万美元，主要用于赔偿客户。这还不包括潜在的监管罚款、集体诉讼、未来系统增强成本，也没有考虑保险赔款。 事件发生六周以来，网络攻击对Latitude业务运营造成了重大影响。在此期间，Latitude无法开立新的客户账户，这对金融业务的业务量产生了影响。 事件对业务造成了极大干扰 据2023年上半年财报数据，Latitude的净利润下降了479.5%，亏损达到1.163亿美元。尽管年初1月/2月的新业务量同比增长了12.5%，但上半年的总业务量仅有36亿美元，同比下降3%。下降原因是网络事件导致业务中断。 Latitude总裁兼首席执行官Bob Belan表示：“2023年前六个月，Latitude经历了历史上最具挑战性的时期。同事们展示出了非凡的恢复力和应对能力，我感到十分骄傲。现在，我们开始看到的强劲复苏，令人欣慰。Latitude上半年的业绩说明，金融服务行业长期面临困难的大环境。这种困境当然也包括2023年3月网络攻击造成公司的运营中断。” Latitude在澳大利亚和新西兰地区的销售金融业务（包括GO Mastercard和Gem Visa）的销售额达18亿美元，较2022年下半年下降了14%。这反映了通货膨胀压力对消费者的影响、零售销售额的下降趋势，以及网络事件对信贷发放系统的干扰。 公司积极改善业绩，降低事件影响 从积极的方面来看，公司的28°万事达全球白金卡业务继续从世界旅游热潮中受益。这一业务的销售额达到10亿美元，较上一年增加了29%。这些数据大有追赶疫情爆发前销售额的趋势（约为20亿美元）。 Latitude还和一些新商家签约，包括JB Hi-Fi新西兰和BSR 集团。此外，Latitude还有一个强大的潜在新商家项目。其与David Jones的战略合作伙伴关系计划预计将于2024年初启动。 谈到网络攻击事件和公司前景，Bob Belan表示，“我们将继续努力，对我们的系统进行持续审查，增强系统安全性。更重要的是，我们会加快更新战略，专注于改善客户体验，提升支付和金融等核心部门的财务业绩。” “我们不仅进一步整合了全新的Symple贷款平台，还完成了Hallmark保险出售工作，交出了亮眼的成绩单。藉此，我们释放了约9900万美元的资本，增强了资产负债表。” Latitude将继续与监管机构合作，对其信息处理实践进行审查，并与保险公司合作，研究是否能通过保险赔付减轻部分或全部成本。公司确认其全年现金净利润的指导范围为1500万至2500万美元，其市值将保持在10亿美元以上。   转自安全内参，原文链接:https://www.secrss.com/articles/58037 封面来源于网络，如有侵权请联系删除

近日，谷歌正在测试 Chrome 浏览器的一项新功能。该功能可在已安装的扩展程序从 Chrome 网上商城删除时向用户发出恶意软件提示警告。 在Chrome 应用商店里一直有人源源不断的发布浏览器扩展程序，有很多都会通过弹出式广告和重定向广告进行推广。 这些扩展程序是由诈骗公司和威胁行为者制作的，他们利用这些扩展程序注入广告、跟踪用户的搜索历史、并将用户重定向到联盟网页，或者在更严重的情况下窃取用户的 Gmail 电子邮件和 Facebook 账户。 问题是，这些扩展程序推出得很快，就在谷歌从 Chrome 浏览器网络商店删除旧扩展程序的同时，开发者又发布了新的扩展程序。 不幸的是，如果你安装了这些扩展，即使谷歌检测到它们是恶意软件并将它们从商店中删除，它们仍然会安装在你的浏览器中。 有鉴于此，谷歌正在为浏览器扩展程序提供安全检查功能，当某个扩展程序被检测为恶意软件或从商店中删除时，谷歌就会向 Chrome 浏览器用户发出警告，提醒他们从浏览器中卸载这些扩展程序。 该功能将在 Chrome 浏览器 117 中启用，但现在可以在 Chrome 浏览器 116 中通过启用浏览器的试验性 “安全检查扩展模块 “功能来测试该功能。 要启用该功能，只需将 Chrome 浏览器 URL “chrome://flags/#safety-check-extensions “复制到地址栏并按回车键。你将进入 Chrome 浏览器标志页面，并突出显示 “安全检查中的扩展模块 “功能。 现在将其设置为已启用，然后按提示重启浏览器以启用该功能。 谷歌浏览器扩展安全检查 启用后，”隐私和安全 “设置页面下将出现一个新选项，提示您查看从 Chrome 网上商城删除的任何扩展，如下图所示。 Chrome扩展的安全检查 来源：谷歌 单击此链接将进入扩展页面，其中列出已删除的扩展以及删除的原因，并提示您卸载它们。 从 Chrome 浏览器网络商店移除潜在恶意扩展程序  图源：Google 谷歌 谷歌表示，这些扩展程序从Chrome 浏览器网络商店中移除的原因是它们不是由开发者发布的、且违反政策，或直接被检测为恶意软件。 谷歌方面建议用户立即删除那些被检测为恶意软件的扩展程序，这样不仅能更好的保护自己的数据，还能防止电脑遭遇外部攻击。 另外，还有一些因其他原因被移除的扩展软件，谷歌也建议用户移除。这些软件从严格意义来说虽然不算恶意软件，但可能违反了其他政策。 谷歌有一个专门的 Chrome 浏览器网络商店政策页面，详细说明了哪些内容或行为可能导致扩展从商店中删除。   转自Freebuf，原文链接:https://www.freebuf.com/news/375515.html 封面来源于网络，如有侵权请联系删除

2023年5月，德国商报发文称特斯拉存在数据泄露事件，时间跨度从 2015 年至 2022 年 3 月，覆盖了美国、欧洲和亚洲特斯拉车主报告的投诉。在此期间特斯拉车主报告了 2400 多起自动加速问题和 1500 多起制动问题，其中包括 139 起“意外紧急制动”报告和 383 起错误碰撞警告导致的“幽灵刹车”报告，客户纷纷表达了对安全的担忧。 而据国内多家媒体报道，近日特斯拉向其员工以及美国执法部门通报了“100G数据泄露事件”的具体规模及原因。 8月18日，美国缅因州总检察长办公室发布消息称，2023年5月，特斯拉数据泄露事件影响超过7.5万人，其中包括与员工相关的各种敏感信息，例如姓名、住址、电话、电邮、薪资等等。 位于特斯拉欧洲超级工厂所在地勃兰登堡州数据保护官Dagmar Hartge表示，“这是印象中规模最大的一次数据泄露事件”。正因为数据量如此庞大，超出当时相关部门处理权限，所以该案件已经移交至荷兰当局。 根据相关法规，若是在调查中证实特斯拉确实存在违规行为，特斯拉可能要面临高额处罚，也就是其年销售额4%的罚款，大概在35亿美元（约合人民币247亿）。 特斯拉对此事进行回应，“心怀不满的前员工”滥用了他们作为服务技术人员的权限，违反了特斯拉的 IT 安全和数据保护政策，特斯拉将对涉嫌泄密的个人采取法律行动，并且没收其电子设备，禁止前雇员进一步使用、访问或传播数据等等。 换句话说，特斯拉已经承认了这一事件，指出这是“内部不法行为”的结果。此次数据泄露事件的严重性不容忽视。特斯拉作为全球领先的电动汽车制造商，在全球保有量如此之高的情况下，还需进一步加大对数据安全和隐私保护方面的投入，并真正将其落到实处。 事实上特斯拉曝出数据安全问题已经不是第一次，除了驾驶问题外，特斯拉还出现过严重的客户信息泄露问题。我们关注到，今年4月6日路透社就曾报道称，在 2019 年至 2022 年期间，特斯拉员工竟通过内部消息系统私下分享车载摄像头记录的音视频内容。   转自Freebuf，原文链接:https://www.freebuf.com/news/375599.html 封面来源于网络，如有侵权请联系删除

谷歌本周三宣布推出首个开源的抗量子（量子弹性）FIDO2安全密钥，该产品是谷歌OpenSK安全密钥计划的一部分。 谷歌研究人员Elie Bursztein和Fabian Kaczmarczyck表示：“该密钥的开源硬件优化实现使用了一种新颖的ECC/Dilithium混合签名模式，该模式受益于ECC面对常规攻击的安全性以及Dilithium抵御量子攻击的弹性。” OpenSK是用Rust编写的安全密钥的开源实现，支持FIDO U2F和FIDO2标准。 不到一周前，谷歌表示计划在Chrome116中添加对抗量子加密算法的支持，以在TLS连接中设置对称密钥。 抗量子硬件密钥的问世是网络安全业界推广和普及抗量子加密算法的一次重大突破。 谷歌表示：“幸运的是，随着最近包括Dilithium算法在内的公钥量子弹性加密技术的标准化，我们现在有了一条明确的途径来保护安全密钥免受量子攻击。” 与Chrome的混合机制（X25519和Kyber-768的组合）类似，谷歌提出的FIDO2安全密钥实现是椭圆曲线数字签名算法（ECDSA）和最近标准化的抗量子签名算法Dilithium的混合。 谷歌与苏黎世联邦理工学院合作开发的混合签名模式是一种基于Rust的内存优化实现，仅需要20KB内存，非常适合在安全密钥受限的硬件上运行。 谷歌表示：“希望看到这种实现（或其变体）能作为FIDO2密钥规范的一部分进行标准化，并得到主要网络浏览器的支持，以便保护用户的凭据免受量子攻击。”     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/QR7Bw6ciOO0JUFOeYgOhpA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在过去的六个月里，利用Cloudflare R2托管网络钓鱼页面的攻击者增加了61倍。 Netskope安全研究员Jan Michael说:“大多数网络钓鱼活动的目标是微软的登录凭证，尽管也有一些页面针对Adobe、Dropbox和其他云应用程序。” Cloudflare R2类似于Amazon Web Service S3、Google Cloud Storage和Azure Blob Storage，是一种面向云的数据存储服务。 与此同时，恶意软件下载的云应用总数已增至167个，其中微软OneDrive、Squarespace、GitHub、SharePoint和Weebly占据了前五名。 Netskope发现网络钓鱼活动不仅滥用Cloudflare R2来分发静态网络钓鱼页面，而且还利用该公司的Turnstile产品(CAPTCHA替代品)，将此类页面放置在反机器人屏障后面以逃避检测。由于CAPTCHA测试失效，这样做可以防止像urlscan这样的在线扫描程序到达实际的网络钓鱼站点。作为规避检测的附加层，恶意站点被设计为仅在满足某些条件时加载内容。 “恶意网站要求引用网站在URL中的散列符号后面包含时间戳，以显示实际的网络钓鱼页面，”Michael说。“另一方面，引用网站需要将网络钓鱼网站作为参数传递给它。” 如果没有传递URL参数到引用站点，访问者将被重定向到www.google[.]com。 一个月前，这家网络安全公司披露了一场网络钓鱼活动的细节。黑客在AWS Amplify上托管虚假登录页面，窃取用户的银行和微软365凭证，还通过Telegram的Bot API窃取银行卡支付细节。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

2023年年初，Synack Red Team (SRT) 成员 Neil Graves、Jorian van den Hout 和 Malcolm Stagg 发现了CVE-2023-33871、CVE-2023-38257、CVE-2023-35763 和 CVE-2023-35189 漏洞 。 2023年7月，总部位于法国的软件公司 Iagona 在其 ScrutisWeb 网络应用程序的 2.1.38 版本中修补了这些漏洞。 一直以来，Synack 红队（SRT）全球安全研究人员经常会在 Synack 客户的基础架构和网络服务器中发现漏洞，在某些 Synack 目标上，SRT 成员可以相互协作，最大限度地发挥广泛的技能组合。 在最近与 Synack 客户的一次合作中，SRT 某团队发现了 ScrutisWeb 中存在的软件缺陷，ScrutisWeb 是一种用于监控银行和零售 ATM 机群的安全解决方案。 ScrutisWeb的开发商Iagona表示，ScrutisWeb可通过任何浏览器访问，帮助全球各组织监控自动取款机，并在出现问题时缩短响应时间。ATM 机群可包括支票存款机等敏感设备以及连锁餐厅的支付终端。 ScrutisWeb 具有一系列功能： 重新启动或关闭一个终端或整个机群 检索银行服务信息 监控（ATM）银行卡读卡器 发送和接收文件（至 ATM） 远程修改数据（在自动取款机上） 目标枚举 Synack 客户在此次合作中有超过 1,000 个唯一 IP 地址需要评估。在初步侦查期间，安全研究人员注意到有一个网络服务器向访问者发送了一个超大的 23MB JavaScript 文件。该文件中包含一个允许客户端下载服务器 webroot 中完整路径的函数： this.window.location.href = “/Download.aspx?folder=” + name； 安全研究人员发现，提供”/”的文件夹名称会导致 ScrutisWeb 压缩整个网络根，并将其作为下载文件发送到浏览器。于是他们按照设计的功能使用该功能下载了网络根目录。在检查 Download.aspx 时发现它调用了 “Scrutis.Front.dll “库，该库似乎负责处理大部分用户功能。 CVE-2023-33871： 绝对路径遍历 安全研究人员还注意到 “Download.aspx “的参数为 “文件 “或 “文件夹”。同时，他们还很快就找到了真正有趣的部分，即处理单个文件下载的字符串： str = !path1.Contains(“:”) ? this.Server.MapPath(path1) : path1.Contains(“:”)； 这段代码查看的是作为 URL 的 “file “参数传递给该方法的 “path1 “变量。如果参数中不包含冒号，网络服务器将返回与网络根相关的文件，例如，”https://example.com/Download.aspx?file=thisfile.txt “将下载位于 “https://example.com/thisfile.txt “的文件。但是，如果参数中包含冒号，网络服务器就会返回与系统相关的文件，例如 “https://www.example.com/Download.aspx?file=c:\file.txt” 将下载服务器上位于 “c:\file.txt “的文件。成功！我们可以从服务器上下载配置、日志和数据库。 CVE-2023-35189： 远程代码执行 安全研究人员进一步检查 Scrutis.Front.dll 后，发现了 AddFile() 方法。AddFile() 接受多部分表单 POST 请求，并将上传的文件存储到网络目录”/Files/telechar/”中。 这意味着未经身份验证的用户可以上传任何文件，然后通过网络浏览器再次查看。其中一个问题是，最终存放上传文件的目录已被配置为允许解释和执行上传的脚本。我们创建了一个运行简单命令 “ipconfig /all “的概念验证（poc.asp），并将其上传到服务器。随后，他们访问了 “https://[redacted]/poc.asp “网站，服务器执行了系统命令 “ipconfig /all “并返回了响应，成功命令注入。 通常，人们会认为 RCE 是漏洞利用链的高潮。在这种情况下，通过利用其余漏洞获取 ATM 控制器的用户访问权限，可以实现更大的恶意价值。可以在 Scrutis.Front.dll 中找到每个有漏洞的调用，并在未经身份验证的情况下使用。 CVE-2023-38257： 不安全的直接对象引用 安全研究人员发现 GetUserDetails 方法原型是将单个整数作为 HTTP POST 请求的输入。[HttpPost］public UIUser GetUserDetails([FromBody] int idUser) 同时， idUser 参数似乎是一个从数字 1 开始的连续整数值。通过向该函数发送数字为 1 的 POST，服务返回了用户 “administrateur “的信息，包括加密密码。 CVE-2023-35763 硬编码加密密钥 由于密码显然已加密，安全研究人员决定尝试逆向工程加密机制。在方法名称中搜索 “crypt “一词，显示了一个解密函数，该函数将密码文本作为输入，并返回一个明文 UTF8 字符串。该函数中有一行披露了明文字符串，该字符串被用作加密/解密用户密码的加密密钥： public static string Decrypt(string cipherString, bool useHashing) { … numArray = cryptoServiceProvider.ComputeHash(Encoding.UTF8.GetBytes(“ENCRYPTIONKEY”))； … return Encoding.UTF8.GetString(bytes)； } 安全研究人员编写了一个简单的 python 脚本，它可以获取使用 CVE-2023-38257 发现的加密密码，并将密码解密为明文。至此已经可以以管理员身份登录 ScrutisWeb了。 影响 CVE-2023-38257 和 CVE-2023-35763 这两个漏洞让以管理员身份登录 ScrutisWeb 管理控制台成为可能。恶意行为者可以监控机群中各个自动取款机的活动。控制台还允许将 ATM 降为管理模式、上传文件、重新启动和完全关闭。需要进行进一步检查，以确定是否可以将定制软件上载到个别自动取款机上，以执行银行卡外渗、Swift 转账重定向或其他恶意活动。不过，此类额外测试不在评估范围之内。 CVE-2023-35189 还可用于清除 ScrutisWeb 上的日志，并删除恶意行为者曾在那里活动的证据。从客户端基础架构中的这一立足点可能会发生额外的漏洞利用，使其成为恶意行为者面向互联网的支点。 修复漏洞：更新至 ScrutisWeb 2.1.38 版 值得一提的是，Iagona 非常重视安全问题，在及时向研究人员通报进展的同时，还迅速解决了四个发现的问题。     转自Freebuf，原文链接:https://www.freebuf.com/news/374875.html 封面来源于网络，如有侵权请联系删除

Reptile 是一个针对Linux系统的开源内核模块rootki（其可在 GitHub 上获取）。爬虫可隐藏自身及其他恶意软件，主要针对目标为：文件、进程和网络通信等。爬虫的隐藏功能不仅包括它自己的内核模块，还包括文件、目录、文件内容、进程和网络流量。 与其他通常只提供隐藏功能的恶意软件不同，Reptile可以提供了一个反向shell，允许威胁参与者轻松控制系统。端口敲门是爬虫所支持的最显著的特性，当打开恶意软件时受感染系统的特定端口会进入到备用状态。威胁者会向系统发送Magic Packet，而接收到的数据包也会作为与C&C服务器建立连接的基础。 该方法类似早期Avast在报告中提到的Syslogk，但主要的区别在于Syslogk是基于另一个Adore-Ng的开源Linux内核rootkit而开发的。但两者间的相似点在于：被Magic Packet 触发之前在受感染的系统中会处于待机状态，且会使用定制的 inySHell (即Rekoobe)作为攻击的后门。 在GitHub上开放源代码后，Reptile一直被用于攻击中。Mandiant最新报告证实一个位于中国的威胁组织在利用Fortinet产品中的零日漏洞持续进行的攻击过程中攻击中使用了爬虫。此外，ExaTrack在分析Mélofée恶意软件的报告中也发现了Reptile rootkit。ExaTrack将此归因于位于该事件时中国的Winnti攻击组织行为。 本文我们将简要分析Reptile的基本结构和功能，并整理出它被用于攻击韩国公司的事件概述。最后，我们将根据恶意软件的安装路径或伪装的目录名，总结与Mélofée恶意软件案例的相似之处。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3004/ 消息来源：AhnLab，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。