外媒 1 月 22 日消息，CSE Cybsec 的恶意软件专家发现了一个大规模的恶意广告运动 EvilTraffic，利用数万个受感染的网站开展攻击。据悉，黑客在此次攻击活动中利用了一些 CMS 漏洞上传和执行用于通过广告创收的任意 PHP 页面。 研究人员介绍，参与恶意软件 EvilTraffic 活动的受感染网站运行着 WordPress CMS 的各种版本，一旦网站遭到入侵，攻击者将上传一个包含所有恶意文件的 “ zip ” 文件。尽管 “ zip ” 文件对于每一种感染都有不同的名称，但是在未压缩时，它所包含的文件始终具有相同的结构。经过研究人员分析，目前这些文件还没有被使用。 恶意文件可能被插入到相同恶意软件不同版本的路径下（“ vomiu ”，“ blsnxw ”，“ yrpowe ”，“ hkfoeyw ”，“ aqkei ”，“ xbiret ”，“ slvkty ”）。该文件夹包含以下内容： ① 一个名为 “ lerbim.php ” 的 php 文件; ② 一个与父目录具有相同的名称的 php 文件，; 它最初只有 “  .suspected ” 扩展名，只有在第二次使用 “ lerbim.php ” 文件的时候才会在 “ .php ” 文件中被修改; ③ 两个名为 “ wtuds ” 和 “ sotpie ” 的目录，其中包含一系列文件。 下图显示了这种结构的一个例子： EvilTraffic 活动中使用的“ 恶意软件 ”主要目的是通过至少两台产生广告流量的服务器触发重定向链。 文件 “ {malw_name} .php ” 成为所有环境的核心：如果用户通过网页浏览器接触到它，它首先将流量重定向到“ caforyn.pw ”，然后再重定向到 “ hitcpm.com ”，充当一个不同的网站注册到这个收入链的调度员。 这些网站可以被攻击者用来提供商业服务，目的是为其客户增加流量，但是这种流量是通过损害网站的非法方式产生的。除此之外，这些网站还可以提供虚假页面来下载虚假的东西(比如工具栏、浏览器扩展或伪反病毒)或者窃取敏感数据(即信用卡信息)。 为了提高网站的知名度，被攻陷的网站必须在搜索引擎上拥有良好的排名。因此，恶意软件通过利用包含趋势搜索词的词汇表来执行 SEO 中毒。 目前 CSE CybSec ZLab 的研究人员发现了大约 18,100 个受感染的网站。当研究人员分析 EvilTraffic 的恶意广告活动时，他们意识到最初几个星期内使用的被感染的网站在最后几天都被清理干净了。仅在一周之内，受影响的网站数量从 35 万个下降到 18 万个左右。 根据 Alexa Traffic Rank 的数据，hitcpm.com 排名世界第 132 位，全球互联网用户访问量约为 0.2367％ 。以下是 hypestat.com 网站提供的与 hitcpm.com 相关的流量统计数据： 分析显示 2017 年 10 月份的流量呈指数增长。目前专家还发现恶意软件通过各种方法分发，例如： ① 附件垃圾邮件 ② 通过不可靠的网站下载免费程序 ③ 打开 torrent 文件并点击恶意链接 ④ 通过玩网络游戏 ⑤ 通过访问受影响的网站 恶意软件的主要目的是劫持网页浏览器设置，如 DNS，设置，主页等，以便尽可能多地将流量重定向到调度器站点。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 21 日消息，俄罗斯联邦安全局（ FSB ）发现黑客组织正在实施一项加油站设备的欺诈计划，旨在利用电子加油机上安装的恶意程序，达到在抽送汽油时每加仑减少 3 ％ 至 7 ％ 的目的，从而使顾客支付比实际购买燃料更多的金额。目前 FSB 已逮捕恶意程序的开发作者，并牵涉出参与欺诈的数十名加油站员工。 据俄罗斯多家媒体报道， FSB 于上周六在俄罗斯 Stavropol 逮捕了黑客 Denis Zayev ，指控其开发了多个恶意软件程序，并将这些程序出售给加油站员工用于欺诈消费者。目前这些恶意软件仅在位于俄罗斯南部的加油站中发现。 在提审中，Zayev 承认与加油站员工瓜分了消费者多支付的油钱。此外，据 FSB 猜测，欺诈计划可能已为其带来 “ 数亿卢布 （1 人民币相当于 8.99 俄罗斯卢布）”的收益。 FSB 透露，恶意软件不仅可以在加油机上显示虚假数据，允许加油站员工为顾客抽送汽油时每加仑减少 3％ 至 7％ ，并且还能够使收银机和后端系统也录入错误数据。更为隐蔽的是，Zayev 的这些恶意软件能够掩盖加油站非法剩余汽油相关的销售数据。因此，远程监视汽油库存的检查人员和石油公司很难检测出欺诈行为。 近年来针对加油站的黑客事件并不少见： 早在 2014 年，纽约州当局就曾指控  13 名男子在 2012 年至 2013 年期间利用启用蓝牙的撇油器窃取了美国南部消费者的 200 多万美元。 2015 年，研究员 Kyle Wilhoit 和 Stephen Hilt 发布的黑帽演示文稿中也强调了美国越来越多的互联网加油机监控系统危险。他们警告称，遭暴露的 SCADA 系统能导致恶意人员针对加油机发动 DDoS 攻击，通过记录不正确的填入数据和操纵加油机提供柴油而非无铅汽油的方式损坏汽车引擎。 消息来源：ThreatPost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，FireEye 于近期发现了一种新的攻击手法——利用三个 2017 年披露的 Microsoft Office  漏洞进行恶意软件 Zyklon 的传播活动 。据悉，该活动主要针对电信、保险和金融服务等公司，试图收集其密码和加密货币钱包数据，并为未来可能发生的 DDoS （分布式拒绝服务） 攻击收集目标列表。 功能强大的 Zyklon 恶意软件 Zyklon 是一款 HTTP 僵尸网络恶意软件 ，自 2016  年就开始出现，通过 Tor  匿名网络与其 C＆C （命令和控制）服务器进行通信，从而允许攻击者远程窃取密钥和敏感数据，比如存储在 web 浏览器和电子邮件客户端的密码。此外，根据 FireEye 最近发布的报告，Zyklon 还是一个公开的全功能后门，能够进行键盘记录、密码采集、下载和执行额外的插件，包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。 而在此次攻击活动中，背后的攻击者利用  Microsoft Office 的三个漏洞通过鱼叉式网络钓鱼电子邮件传播 Zyklon 恶意软件，这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本，并从 C＆C 服务器下载最终 playload。这样一来， 用户的计算机设备就会成功受到感染。 以下为恶意软件利用的三个 Microsoft Office 漏洞： 第一个漏洞：CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序，处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象，该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。 第二个漏洞：CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误，微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似，打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。 第三个漏洞：在于动态数据交换（ DDE ），但微软不承认该漏洞的存在，而是坚称 DDE 只是一个产品功能，是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而，在过去的一年中，攻击者利用 DDE 在恶意活动取得了巨大的成功，比如在无需启用宏或内存损坏情况下在目标设备上执行代码。 FireEye 表示，目前越来越多的攻击者利用恶意软件来执行不同的任务，并且很可能会超出当前攻击目标的范围，因此对于所有行业来说保持高度警惕性变得尤为重要。 消息来源：threatpost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，Windows 用户现正沦为虚假 Meltdown 和 Spectre 升级的受害者。安全公司 Malwarebytes 警告称，假补丁虽然主要针对的是德国用户，但其非常容易被修改进而追踪到英文用户。这个虚假的 Meltdown 和 Spectre 升级文件是一个叫 Intel-AMD-SecurityPatch-10-1-v1 的 exe 文件，其在一个遭到网络攻击的主机上安装了 Smoke Loader。 Smoke Loader 则是一种恶意软件，它能打开更多有效载荷的门，而这些未来可被用到多种场合，包括窃取凭证和其他敏感数据。 Malwarebytes 解释称，一旦该恶意软件感染了电脑，那么它就会尝试连接到数个俄罗斯域名并向其发送加密信息。 而部有恶意补丁的网站链接跟其他恶意软件传播方式类似，比如电子邮件、短信等途径。所以对于用户们来说最好的办法就是通过官方网站下载，而不是任何第三方来源。微软已经就这两个漏洞发布了升级，并且已经随 Windows Update 推送或通过 Update Catalog 手动下载。 目前，反病毒解决方案正在开发中，但不管怎样作为用户最好是远离那些不能信任的内容以及未知来源。 稿源：cnBeta、封面源自网络；

 1 月 17 日凌晨消息，近期，网络安全问题日益突出，恶意软件开发者们也不断竞争，有研究人员发现了一个新的 Android 监视平台，监视内容包括基于位置的录音信息，该平台还拥有其他以前未曾见过的功能。 根据卡巴斯基实验室于周二公布的一份报告，“ Skygofree ” 很有可能是一个具有侵略性的安全类软件，该软件是由一家位于意大利的专门售卖监控软件的公司出售的。该软件自 2014 年开始一直持续在进行开发。它依赖于五个不同的技术来获得特权访问权限，可以绕过 Android 自身的安全机制。Skygofree 可以从设备的存储芯片中获取通话记录、文字短信、位置信息、日程活动、和一些与商业相关的信息，还能获取拍照和录像的权限。 Skygofree 还具有这样一个功能，当用于处在特定的位置时就自动开启受攻击手机的录音功能，能记录对话和环境噪声。还有一个新功能，那就是通过滥用 Android 系统给残障人士提供的辅助工具来偷取用户的 WhatsApp 聊天记录。另一个功能就是能使受攻击手机连接由攻击者控制的无线局域网。 卡巴斯基的研究员在报告中写道：“ Skygofree Android 应用程序是我们见过的最强大的监控软件之一。经过多次迭代开发，它具有了很多的功能。” 该报告称此恶意软件已经感染了很多意大利的 Android 手机用户。该恶意软件是通过伪造虚假网站来传播的。 稿源： ，稿件以及封面源自网络；

据外媒报道，刑事调查局 ( CIB ) 向通过网络安全知识测试的公众奖励了 250 个 U 盘，随后该主办方陆续接到报告称“累计 54 个8GB U 盘中都带有恶意软件”，该测试是去年 12 月 11 日至 15 日期间由台湾总统办公室主办的信息安全活动的一部分。 知情人士表示，一些通过测试的参赛者报告说，U 盘被其设备上的安全软件标记为含有恶意软件之前，U 盘的分发就已于 12 月 12 日停止了。目前 20 个单位已经退回该驱动器，其余的可能还在流通。 该恶意软件被标记为 XtbSeDuA.exe ，能够从 32 位计算机中窃取个人信息。根据 CIB 的说法，若是数据窃取成功该恶意软件会试图将数据传递到一个位于波兰的 IP 地址，随后该 IP 地址将数据转发给身份不明的服务器。研究人员透露该恶意程序被认为是欧洲刑警组织在 2015 年发现的网络诈骗团伙使用的。 CIB 表示，这种感染来源于当地承包商员工所使用的 “ 将操作系统转移到驱动器并测试其存储容量 ” 的工作站，其中有些驱动器是在中国大陆生产的。但警方并不认为这一起间谍活动 ，仅以“意外安全事件”作为处置。 事实上此类安全事件的发生并不在少数，例如 2008 年，澳大利亚电信公司 Telstra 在 AusCERT 安全会议上无意发布了恶意软件。此外，早在 2002 年，IBM 的 U 盘也被发现包含一种罕见的引导扇区病毒。而且去年，该公司又发生了一起涉及闪存驱动器的事故， 该公司将携带木马病毒的 U 盘与其存储系统存储在一起。 2016 年的一项调查发现，当人们遇到有问题的 U 盘时，好奇心往往会驱使他们一探究竟。在这项研究中，300 名大学生中有近一半的人没有回避插入和点击记忆卡中的文件。此外，研究 认为 U 盘的另一个问题是其经常会被误放，正如两年前在伦敦西部发现了一个包含伦敦希思罗机场敏感信息的未加密 U 盘。 Stuxnet 蠕虫病毒（超级工厂病毒）就是潜伏于 U 盘上并且造成严重破坏的重要例子： Stuxnet 蠕虫病毒于 2008 年在伊朗纳坦兹核设施造成重大的离心机损坏，据说它是通过一个 U 盘被引进到该设施的；2013 年，美国有两家未命名的发电厂被含有恶意 U 盘的软件感染；2016 年，德国核电厂使用的电脑和 18 个U 盘也被发现存在恶意软件。 消息来源：welivesecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司 AlienVault 的研究人员发现了挖掘门罗币的恶意软件，并追踪到挖掘出来的资金流入了一家朝鲜大学。这显示出，随着制裁迫使朝鲜寻找替代收入来源，朝鲜黑客盯上了数字货币。 挖掘出的资金会自动流入一个域名属于金日成大学的服务器，黑客想取得这些资金要键入三个字母的密码：KJU，这可能是朝鲜领导人金正恩 ( Kim Jong Un ) 名字的首字母。恶意程序的代码写的并不高明，意味着这更可能是一个在校生干的，而不是朝鲜精英黑客组织 “ Lazarus ” 所为。 网络安全研究人员说，近几个月来，平壤黑客专门针对门罗币，他们在受感染的银行和私人公司服务器上猎寻该加密货币。 稿源：cnBeta、solidot，封面源自网络；

前情回顾：路透社报道 12 月 28 日伊朗突然爆发反政府示威活动，且迅速蔓延至包括德黑兰、马什哈德、哈马丹、沙赫鲁德在内的多个主要城市。反对政府示威浪潮是由对经济困难、物价上涨以及腐败现象的不满所引起，这也是 2009 年以来伊朗爆发的最大规模的抗议活动。 外媒 1 月 7 日消息，网络安全公司称大规模示威之后伊朗 Infy 黑客组织可能会试图网络攻击抗议者以及其国外联络人。目前伊朗当局对抗议者和持不同政见人士的镇压涉及范围较为广泛，其中包括任何与目标群体接触的人员。 据 Palo Alto Networks 的专家介绍伊朗 Infy 黑客组织至少从 2007 年起开始活跃，其恶意软件攻击范围涉及到伊朗国内外。据悉，与伊朗其他针对外国组织的国家资助者不同，Infy 组织似乎集中在反抗者和持不同政见者身上。 Infy 恶意软件于 2007 年 8 月首次被提交到 VirusTotal，同时，有专家发现其最古老的样本中所使用的 C&C 域名与 2004 年 12 月的恶意活动也有关联。不仅如此，研究人员 Colin Anderson 证实自 2014 年年底以来，Infy 攻击者就对伊朗公民社会进行了大量恶意软件攻击事件。多年来，为了不断改进 Infy 恶意软件，其开发作者实施了许多新功能。 相关媒体称针对最近的大规模示威活动，伊朗政府还试图通过屏蔽互联网来隔离抗议活动，例如封锁 Instagram 和 Telegram 等消息服务。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

前景提要：网络安全公司 FireEye 和 Dragos 于上周报道称，新型恶意软件 Triton 和 Trisis 通过破坏关键基础设施中广泛使用的施耐德电气 Triconex 安全控制器致使中东部分机构关场停工。据悉，工业网络安全公司 CyberX 根据种种迹象推测，此次网络攻击事件的幕后黑手可能由伊朗策划，其目标疑似沙特阿拉伯的一家重要机构。美国国土安全部（DHS）的国家网络安全和通信集成中心（NCCIC）周一就此事发布了一份针对工业安全系统的恶意软件的分析报告。 HackerNews.cc 12 月 19 日消息，美国国土安全部（DHS）研究人员于近期在调查时发现另一新型恶意软件 HatMan，旨在针对国家工业控制系统（ICS）展开攻击活动。随后，国家网络安全与通信集成中心（NCCIC）在本周一发布的恶意软件分析报告中提供了缓解措施与 YARA 规则，以便减少国家工控系统的损失。 调查显示，基于 Python 编写的 HatMan 恶意软件主要以施耐德电气的 Triconex 安全仪表系统（SIS）控制器为目标，旨在监控流程并将其恢复到安全状态或在发现潜在危险情况时执行安全关闭。此外，HatMan 还通过专有的 TriStation 协议与 SIS 控制器进行通信，并允许攻击者通过添加新的梯形图逻辑操纵设备。然而，由于黑客在触发 SIS 控制器启动 “安全关闭” 功能后终止了操作，因此FireEye 专家推测攻击者可能是在侦查阶段无意触发了控制器，其最终目标可能只是针对 SIS 造成高强度的物理伤害感兴趣。 施耐德电气的 Triconex 安全检测系统（SIS）控制器主要用于核电站、炼油、石化、化工和其它过程工业的安全和关键单元提供连续的安全连锁和保护、工艺监视，并在必要时安全停车。 值得注意的是，NCCIC 在其报告中指出，该恶意软件主要有两部分组件：一部分是在受损的 PC 端运行后与安全控制器交互，另一块是在控制器上直接运行。研究人员表示，虽然 HatMan 本身并没有做任何危险动作，且被降级的基础设施安全系统也不会直接操作整个控制流程，但倘若存在漏洞的安全系统遭到恶意软件感染则可能会造成极大危害。另外，可以肯定的是，虽然 HatMan 今后可能会成为监控 ICS 的重要工具，但它或许只会被用来影响工业生产流程或者其他危险操作。总而言之，恶意软件中不同组件的构建意味着攻击者需要对 ICS 环境（特别是对 Triconex 控制器）极其熟悉，以及它需要较长的开发周期来完善这类高级攻击手法。 施耐德电气已对此事件展开调查。官方表示目前没有证据表明该恶意软件利用了产品中的任何漏洞。但安全专家还是建议客户切勿轻易将设备置于 “Program” 模式，因为当控制器设置为此“Program” 模式时攻击者就可能通过恶意软件传送 payload。 国家安全局局长 Emily S. Miller 表示：“ 攻击者有能力访问关键基础设施的安全仪器设备，并极有可能针对设备固件进行潜在更改，因此这一提醒给予关键基础设施的所有者与经营者莫大的警示。” 消息来源：Securityweek，译者：青楚，审校：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

 全球最大石油运输公司 —— 俄罗斯管道巨头 Transneft 周五（12月15日）证实，其计算机系统感染了秘密挖掘加密货币 monero 的恶意软件。目前尚未知晓有多少设备受到影响，Transneft 官方也暂未透露更多细节。 据路透社报道， Transneft 公司发言人表示，加密软件系由 Transneft 公司电脑自动下载的，后被全部清除。公司目前已加强相应的网络安全系统，以防将来发生类似事件。Transneft 公司副总裁弗拉基米尔·鲁沙洛（Vladimir Rushailo）周四给公司高层通报了恶意软件一事，并表示：“公司硬件被用于挖掘加密货币一事已经被发现，可能会对生产力造成一定的负面影响”，但没有透露更多细节。 近几个月，受比特币暴涨的利益驱使，一些企业如 海盗湾、Politifact、UFC、Showtime 等甚至在他们网站上部署 JS 挖矿代码，以暗中通过用户 CPU 挖掘虚拟货币，就连星巴克的免费 Wi-Fi 也难免被恶意网站利用。而 Transneft 是迄今为止受恶意软件影响群体中最知名的公司之一，其生产线中具备齐全的硬件资源恰好能使恶意软件高效运作，并利用闲置产能来挖掘加密货币。业内安全专家也指出，未来黑客可能更多地利用企业硬件资源来挖掘虚拟货币。 相关阅读： 即使关闭浏览窗口，某些基于浏览器的挖矿软件还会偷偷运行 调查结果显示全球约 2500 家网站被植入挖矿代码、窃取加密货币 消息来源：路透社；封面源自网络；编译：FOX