据外媒报道，Alphabet网络安全部门Chronicle的研究人员，发现了Linux版本的Winnti恶意软件。这是研究人员首次发现Winnti的Linux版本，其与中国APT组织有关。 研究人员认为，在Winnti Umbrella黑客组织的背后，有几个APT组织，包括Winnti，Gref，PlayfullDragon，APT17，ViceDog，Axiom，BARIUM，LEAD，PassCV，Wicked Panda和ShadowPad。 这些组织使用相似的策略、技术和程序（TTP），在某些情况下，甚至共享攻击手段。 研究人员在其VirusTotal平台上搜索Winnti恶意软件的样本时，发现了Linux版本的Winnti恶意软件，其可以追溯到2015年，当时被黑客用于攻击越南一家游戏公司。 根据Chronicle发布的报告，Winnti恶意软件采用模块化结构，使用插件实现不同的功能。通过进一步分析发现，Linux版本的Winnti和Winnti 2.0 Windows版本之间有许多相似之处，Linux版本也使用多种协议处理出站通信，如ICMP，HTTP以及自定义TCP和UDP协议等。Linux版本还允许黑客直接访问受感染系统。 Linux用途的扩展可能暗示了黑客们下一个目标的操作系统要求，但也可能只是尝试利用许多企业的安全盲点，与Penquin Turla和APT28的Linux XAgent变体一样。   消息来源：SecurityAffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员近日报告称，黑客组织BlackTech在中国台湾通过中间人攻击（“MITM攻击”）部署了Plead恶意软件。该组织被曝利用华硕WebStorage软件的漏洞来上传绕过身份验证的恶意软件。 根据Eset的安全研究人员的说法，黑客一直在利用华硕的WebStorage软件在受害者的计算机上安装后门。其使用的恶意软件称为Plead，主要由被称为BlackTech的黑客组织部署，该组织主要针对亚洲政府和公司。 通常，恶意软件通过网络钓鱼攻击进行传播。然而，这一次研究人员注意到一个名为AsusWSPanel.exe的进程正在激活Plead后门。该程序是华硕云存储客户端WebStorage的合法部分。 研究人员认为，黑客正在使用中间人攻击。“华硕WebStorage软件很容易受到此类攻击，”Eset的Anton Cherepanov说道。“使用HTTP请求并传输软件更新。下载更新并准备执行后，软件在执行前不会验证其真实性。因此，如果更新过程被攻击者截获，他们就可以推送恶意更新。” Plead将使用受感染的路由器作为恶意软件的命令和控制服务器。大多数受到攻击的组织使用相同品牌的路由器，其管理设置可通过互联网访问。 “因此，我们认为路由器级别的MitM攻击是最可能的情况，”Cherepanov说道。“为了应对这次攻击，华硕云已经改进了更新服务器的主机架构，并实施了旨在加强数据保护的安全措施。” Eset表示另一种可能性是黑客正在使用供应链攻击。这种类型的破坏发生在制造商的供应链中，其中安全措施可能不严格。然而，研究人员表示，尽管这种载体是可能的，但它的可能性要小得多。 Cherepanov提供了这样的建议：“对于软件开发人员来说，不仅要彻底监控他们的环境是否存在可能的入侵，还要在他们的产品中实施适当的更新机制，以抵御MitM攻击。” TechSpot就其对情况的认识与华硕进行了联系。该公司发表以下声明： “华硕云首次了解到2019年4月下旬发生的一起事件，当时一位遭受安全问题的客户与我们取得联系。在得知此事件后，华硕云立即采取行动，通过关闭华硕WebStorage更新服务器并停止来缓解攻击发布所有华硕WebStorage更新通知，从而有效地阻止攻击。 “为了应对这次攻击，华硕云已经改进了更新服务器的主机架构，并实施了旨在加强数据保护的安全措施。这将防止未来发生类似攻击。不过，华硕云强烈建议华硕WebStorage服务的用户立即运行完整的病毒扫描，以确保您的个人数据的完整性。”   （稿源：cnBeta，封面源自网络。）

美国联邦调查局（FBI）和全球执法合作伙伴周四上午称，一名策划了一项犯罪阴谋的网络黑客头目已被逮捕，该阴谋闯入了44000台电脑，可能窃取了数百万美元。欧洲警察组织和联邦调查局证实，亚历山大·科诺沃洛夫和他的同谋玛拉特·卡赞德吉因涉嫌参与所谓的Goznym犯罪网络而在格鲁吉亚受到起诉。 美国还公开了一项起诉，指控10名成员是科诺沃洛夫组建的网络罪犯队伍Goznym成员。，而卡赞德吉负责这项犯罪行动技术方面工作。Goznym犯罪组织的操作简单但非常成功，使用和Goznym同名的恶意软件入侵Windows PC，等待用户在浏览器中输入银行密码，然后将其抓取。然后他们会闯入用户的银行账户，试图将资金转移到自己的账户。他们试图窃取1亿美元，但还不清楚他们成功转移了多少资金。 IBM全球执行安全顾问LimorKessem告诉《福布斯》，在某些情况下，目标企业及其银行在资金被转移到黑客账户之前发现了欺诈性转账。欧洲刑警组织证实，在起诉书中提到名字的五名俄罗斯犯罪分子仍然在逃。其中包括所谓的GozNym恶意软件开发商Vladimir Gorin，他不仅编写了代码，而且还将其出租给其他犯罪分子。另一名俄罗斯人是被指控的垃圾邮件发送者，他们向目标发送网络钓鱼电子邮件，其中就包括包含恶意软件的附件。     （稿源：cnBeta，封面源自网络。）

据外媒报道，美国联邦调查局(FBI)和美国国土安全部(DHS)发布了一份关于ELECTRICFISH恶意软件的联合分析报告。 根据美国CERT网站上发布的报告，在追踪朝鲜黑客时发现了恶意软件ELECTRICFISH，其被朝鲜黑客组织Lazarus用来窃取数据。该恶意软件实现了一种自定义协议，允许在源IP和目标IP之间传输流量。 它不断尝试联系源系统和指定系统，并使得双方都可以发起会话。 因为该恶意软件由黑客组织Lazarus“使用代理服务器或端口和代理用户名和密码”进行配置，所以能够“连接位于代理服务器内的系统”，从而规避受感染系统的身份验证。绕过身份验证后，ELECTRICFISH将与目标IP建立会话，其位于目标网络及源IP之外。一旦在源IP地址和目标IP之间建立连接，ELECTRICFISH就可以在两台机器之间汇集网络流量，允许黑客把从受感染的计算机里收集的信息汇集到他们所控制的服务器。   消息来源：BleepingComputer， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

HackerNews.cc 5 月 9日消息，黑客正利用2018年揭露的Jenkins漏洞（CVE-2018-1000861 ）来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器，它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装，拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动，来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称，攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞，其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐，且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后，他创建了下图所示的图表（可以按照蓝色数字来理解每一步）。 Kerberods包含自定义版本的UPX打包程序，它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后，Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件，有许多方法可以修改UPX，使得用常规UPX版本解压缩文件很难。幸运的是，在本例中，UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此，将二进制文件的不同部分还原为UPX，可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限，Kerberods会将一个库加载到操作系统中，该操作系统挂钩Glibc的不同功能，就像一个木马一样。在没有root权限的情况下，恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器，它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源：Securityaffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

根据 Malwarebytes 新发布的报告，针对 Mac 用户的恶意软件威胁，已经在短短 3 个月内出现了大幅增长。与 2018 年四季度相比，今年一季度检出的恶意软件威胁增加了 60% 以上。与此同时，广告软件的涨幅，更是飙过了 200% 。Malwarebytes 在新一季的《网络犯罪策略与技术报告》中指出，针对消费者的威胁数量在下降，基于恶意软件的加密和勒索软件的数量也在上一季显著减少，整体恶意软件的检出量也下降。 然而网络犯罪分子们并没有就此收手，而是转移到了针对基础设施和商业用户的攻击上。显然，在它们的眼中，这些大目标比“小鱼小虾”有利可图多了。 最终结果是，与 2018 年四季度相比，Mac 恶意软件的数量在 2019 年一季度增长了 62% 。同时 macOS 广告软件增长了 201%，成为了增长最快的威胁类型。 2019 年一季度最臭名昭著的恶意软件是 PCVARK，它将上季度的前三名 —— MacKeeper、MacBooster、以及 MplayerX —— 分别挤到了第 2、3、7 位。 与此同时，一款名叫 NewTab 的广告软件家族的数量出现了跃升，从 60 名突然窜到了第 4 位。 此外，Mac 也在本季度遭受了新型攻击，包括使用开源代码创建后门、加密恶意软件，甚至在 macOS 桌面上发现了 Windows 可执行文件。 对于猖獗的加密货币挖矿，Mac 平台也未能幸免。此外因为有人利用钱包漏洞打造了一款特殊的带木马的版本，Mac 上比特币和以太坊钱包失窃的总额估计为 230 万美元。 Malwarebytes 指出，恶意软件开发者开始越来越多地使用开源的 Python 来编写恶意和广告软件。 从 2017 年的 Bella 后门开始，采用开源代码的恶意软件数量开始大增。2018 年的时候，我们还见到了 EvilOSX、EggShell、EmPyre、以及反向 shell（Metasploit）等恶意软件。 除了后门，恶意与广告软件开发者也对基于 Python 的 MITMProxy（中间人攻击代理）程序表现出了浓厚的兴趣，希望监测网络流量，从中挖掘出加密的 SSL 和其它数据。 开源的 XMRig 加密货币挖矿软件代码，也不幸成为了 2019 年一季度曝光的恶意挖矿软件的重要一环。 据悉，Malwarebytes 的这份报告，基于 2019 年 1 月 1 日 – 3 月 31 日期间，从其企业和消费者软件产品中提取到的数据。 展望未来，Malwarebytes 预测中小企业将看到大量新攻击，而亚太地区将被迫应对基于 WannaCry 或 Backdoor.Vools 的严重威胁。 预计今年勒索软件的数量会有所增加，但攻击可能仅限于企业。因为黑客为了实现收益的最大化，显然更喜欢向较大的目标发起挑战。   （稿源：cnBeta，封面源自网络。）

恶意软件（如病毒，广告软件或间谍软件等），通常会给用户带来了极大的烦恼，最糟糕的可能是隐私和安全威胁。很少有人会认为它们会危及生命。然而，这是一个令人恐惧的现实是，两位研究人员正在展示的一种恶意软件不仅可以改变CT扫描结果，还可以通过这种“现实主义”来设法欺骗专业人员关于癌症的存在，并可能导致误诊。 解读CT扫描和MRI图像并非易事。这可以通过软件在某种程度上完成，但人类和程序都依赖于相同的东西——需要一张准确的图像。然而，来自以色列本·古里安大学网络安全研究中心的研究人员表明，愚弄两者是多么容易。 一项涉及70项改良CT肺部扫描的盲法研究证明，放射科医生和肺癌筛查软件一直认为CT扫描结果中存在癌细胞节点，但实际情况却是没有的。相反，删除实际存在的节点的扫描同样被诊断为健康。即使被告知图像被改变，医生仍然有很高的误诊率。 这要归功于研究人员编写的恶意软件能够以惊人的准确度改变这些数字图像。然而，不仅仅是恶意软件本身的存在，还存在一个令人担忧的问题，即医院和医疗机构如何保护数据免受诸如此类恶意软件的攻击。虽然他们非常小心在机构之外共享哪些数据，但他们不太愿意在内部保护数据。这部分是由于旧软件不包括加密等安全措施，而且还因为旧的硬件和系统与更新、更安全的软件不兼容。 虽然他们可能会进行一些检查和备份以确保诊断正确，但此类恶意软件仍可能造成无法弥补的伤害。除了对患者造成情绪困扰和保险问题之外，误诊可能不仅会损害医院的名声，甚至会影响患者对医院及其系统的信任。   （稿源：cnBeta，封面源自网络。）

Check Point 最新发布的全球恶意软件报告显示，加密货币挖矿类恶意软件，仍然是互联网上最为活跃的一大威胁，前十里面有五个都是它。其主要借助浏览器的 JavaScript 脚本来作妖，当网友不慎访问到恶意网站时，其 CPU 资源占用就会迅速飙升。除了被黑客攻击的站点，一些不道德的 Web 开发者还是与恶意软件开发者同流合污，从灰色的挖矿过程中分得一杯羹。 好消息是，随着加密货币价格的暴跌，这类恶意软件的驱动力也有所下滑。甚至主打“正经挖矿”功能的 Coinhive ，都在上周宣布了正式停止运营的消息。 与此同时，GandCrab 之类的勒索软件和网银木马正在崛起，并衍生出了逃避反病毒软件追踪的新手段。 需要指出的是，尽管与 PC 相比，移动设备的境况略好一些，但这并不意味着后者就能完全免疫。 因为包括 Lotoor 和 Triada 在内的三大移动恶意软件，都能够获取设备的管理权限，允许其监视用户、窃取密码、或注入广告。 其中 Triada 借助了别出心裁的手段来攻入移动设备 —— 不是直接利用漏洞，而是将合法的应用重新打包并上传，然后引诱缺乏戒备心的用户去下载。 一旦进入系统，这些糖衣里面的炮弹就会被释放，提取安全密钥并做出更多匪夷所思的事情。   （稿源：cnBeta，封面源自网络。）

卡巴斯基实验室研究人员发现了一种新的恶意软件，通过海盗湾的torrent tracker网站进行传播。这种恶意软件以经典的俄罗斯玩偶命名，旨在通过广告软件和工具感染用户电脑，将恶意软件传播到设备上。它携带一个特洛伊木马下载程序伪装成日常电脑使用的合法软件的破解版本。 Torrent服务是希望分发恶意代码网络犯罪分子的热门目标，尤其是因为搜索非法内容的用户经常断开其在线安全解决方案连接或忽略系统警告以安装下载的内容。海盗湾使用已建立的seed服务器传播盗版，没有已知的恶意活动历史，由于其良好声誉，潜在的受害者没有理由怀疑要下载的文件是恶意木马。 安装运行后，会向受害者显示一份海盗湾网页的副本，该页面实际上是一个网络钓鱼页面，要求受害者输入凭据以继续安装。稍后，这个恶意软件使用这些证书创建新的seed服务，分发更多的盗版材料。卡巴斯基的研究表明，到目前为止，网络钓鱼链接已经被访问了大约1万次。 即使没有输入用户凭据，感染仍会继续进行。恶意软件将进一步解包恶意模块，包括一个恶意点击器，除此之外，还可以检查触发广告软件安装程序的“同意”框，用未经请求的软件“淹没“受害者的设备。卡巴斯基表示，在受害者电脑上安装的程序当中大约70%是广告软件，10%被检测为可以将其他恶意软件带到电脑上的恶意软件。     （稿源：cnBeta，封面源自网络。）

趋势科技发出警告，黑客正在测试一种感染 Mac 的新方法。其能够绕过 macOS 的 Gatekeeper 安全特性，将包含恶意软件的可执行文件部署到受害者的计算机上。据悉，这家安全企业是在分析 Little Snitch 时，发现的这一最新威胁。Little Snitch是一个易于作为洪流访问的防火墙应用程序。研究人员认为，黑客仍在研究恶意软件及其使用方式。 需要指出的是，Mac 用户无法安装 EXE 文件，这是 Windows 使用的可执行文件格式。如果 macOS 用户尝试安装 EXE 文件，那他们将看到一条错误提示。 然而黑客似乎已经找到了这个问题（尤其是攻破 Gatekeeper）的解决办法 —— 将 EXE 文件打包在 DMG 文件中（后者是 Mac 上的应用程序封装格式）。 趋势科技在报告中指出，自家安全研究人员在野外发现了其中一种恶意软件。它能够绕过 Gatekeeper，因其只检查和验证 macOS 上的本机文件。 在对 Little Snitch Setup.dmg 安装程序进行分析后，我们发现其中包含了 EXE 格式的可执行文件。 不过，目前在未发现与恶意软件相关的特定攻击模式，大多数感染发生在英国、澳大利亚、亚美尼亚、卢森堡、南非和美国地区。 由于 EXE 文件无法在 macOS 上运行，因此攻击者需要将之与 Mono 捆绑在一起。后者是一个免费框架，可让 Mac 用户运行 Windows 可执行文件。 据悉，在感染系统之后，恶意软件能够收集大量数据，包括已安装的其它应用程序、型号、名称等内容。最终，研究人员指出： 这类恶意软件是专门针对 macOS 用户设计的，因为当尝试在 Windows 上运行恶意软件时，反而会发生错误。 对此，我们的建议依然是 —— 避免从未经验证的来源下载软件和其它文件、并在 Mac 上启用多层防护。   稿源：cnBeta，封面源自网络；