据外媒 24 日报道，以色列安全研究团队近期开发出一项新型技术，可通过恶意软件控制扫描仪，从物理隔绝网络 PC 端窃取数据信息。该团队由本古里安大学（Ben-Gurion University）网络安全研究中心研究生 Ben Nassi 及其导师 Yuval Elovici 组成。此项研究基于杰出密码学家 Adi Shamir 的观点。 攻击者可以利用该技术在物理隔绝网络目标机器上运行的恶意代码与攻击者之间建立一个隐蔽信道，通过平板扫描仪向目标受害者网络上运行的恶意代码发送命令。 研究人员表示，“ 我们的方法对攻击者传输至平板扫描仪的光加以利用，通过安装在组织机构中的恶意软件进行光提取。我们将组织机构内部扫描仪作为内网网关，在恶意软件与攻击者之间建立一个隐蔽信道。攻击者可在距离扫描仪很远的位置控制光源。” 为了从物理隔绝网络传输数据，研究人员使用扫描仪附近光源接收命令。扫描仪在检测到玻璃板上的反射光源后将其转换成二进制文件与图像。扫描仪对周围环境中的任何光线变化都极其敏感，甚至当在玻璃上覆盖一张纸或光源是红外线时也能立即感知。此外，攻击者还可通过劫持安装在扫描仪附近的光源向恶意软件发送消息，使其误以为是智能灯泡。 研究人员在测试时发现，专家团队能够通过激光向隔着玻璃围墙 900 米外的目标系统发送 “ erase file xxx.doc ” 命令，进而删除文件。在实际攻击情景下，可在无人机内部安置一把激光枪，以便在目标机构窗外飞行时进行控制。为了保证攻击行动顺利完成，除了必须在目标设备上安装恶意软件，还需使连接 PC 端的扫描仪盖子部分开启以接收光源。此外，攻击者还可以利用此项技术实施勒索软件攻击、从停车场发送命令加密汽车数据，或通过三星 Galaxy S4 蓝牙控制震动灯泡。 据悉，攻击者在驾车时手持三星 Galaxy S4 ，通过安装在手机上的特制应用程序执行攻击。应用程序扫描 MagicBlue 智能灯泡并建立连接，通过从 BLE 信道发送的一系列 “ 开 ”（ 1 比特）与 “ 关 ”（ 0 比特）信号变换既定指令，实现对光序列的控制。 攻击过程中使用的扫描仪可以检测智能灯泡的亮度变化（光强度减少 5％ 以及持续时间少于 25 毫秒的情况）。人眼无法察觉具有这种特征的攻击。 研究人员提出一个使扫描仪断开内网连接的潜在对策，但考虑到可能会对目标公司员工日常工作造成影响，最终认为该方案并不可行。最好的对策是设置一个代理系统，使扫描仪通过线缆（例如，使用 USB 接口）连接至内网上的一台计算机（代理）、而不是直接连接至该网络，防止攻击者在无需采取极端变化的情况下建立隐蔽信道。代理将提供一个 API，计算机在接收扫描请求后启动扫描并处理分类器输出，对恶意扫描进行有效监测。 原作者： Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 17 日报道，垃圾邮件攻击者正在通过名为 “ IRS Updates.jar ” 与 “ Important_PDF.jar ” 的附件传播基于 Java 的远程访问木马 jRAT，主要攻击目标为税务人员。该木马一旦成功执行，攻击者即可获取被入侵终端访问权限。 互联网安全公司 Zscaler 在跟踪 jRAT 的过程中发现，上个月针对 Android 手机的部分攻击活动可能与木马 Loki 有关。Zscaler 安全研究员 Sameer Patil 表示，该恶意软件继续利用当前漏洞与相关事件引起不知情受害者注意并以此展开攻击。 2017 年 3 月，微软公布了一系列通过税务诈骗传播 Zdowbot 与 Omaneat 银行木马的网络钓鱼活动。4 月 18 日，也就是纳税期限的前一天，相关部门出示警告，为税务诈骗案高发季节再添波澜。 Patil 表示，用户一键点击即可成为 jRAT 木马受害者，使个人或企业网络陷于囹圄。据悉，jRAT 有效载荷能够从 C2 服务器接收命令，在受害者设备中下载与执行任意有效载荷，以悄悄激活相机拍摄照片的方式窥探受害者信息。尽管使用基于 Java 的 RAT 并非仅此一例，这款 RAT 与近期发现的其他 RAT（如利用 EPS 漏洞的 ROKRAT 以及针对 Android 设备的 SpyNote RAT ）起到的作用形成对比。 Patil 指出某个 jRAT 样本利用的混淆级别——晦涩难懂、不易反编译。一旦收件人打开恶意 Java 归档（ JAR ）附件，VBScript 就会在 Windows “ ％APPDATA％ ”目录中放置一个名为 “ Retrive <Random number>.vbs ”的文件。随后，dropper 为现有防病毒软件或防火墙软件运行检查。研究人员表示，JAR 文件只是 jRAT 主文件的一个 dropper 与 decrypter，基本上包含了加密形式的 jRAT 样本。具体加密通过嵌入式 AES 密钥实现，而该 ASE 密钥则通过 RSA 密钥进行加密。 调查表明，攻击者利用包含机器人通信细节的加密配置文件与 C2 服务器进行通信，经由系统重启时自动启动的注册表项实现主机上的持久功能，通过硬编码 URL（workfromhomeplc[.]ru/dmp/PO％233555460.exe）下载其他恶意可执行文件，但 URL 在分析之时并不处于活跃状态。研究人员指出，URL 也被用于承载 Loki 木马。 上个月，多家手机制造商生产的移动设备供应链被曝发现预先安装恶意软件，其中六台设备被查出感染 Loki 木马。 Loki 木马具有持久性机制，不仅可以通过广告展示产生收益，还可以拦截 Android 设备的通信与渗透数据。 原作者：Tom Spring，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

17 日，中国移动对外宣布，近日发现数万名安卓手机客户感染了一种“ 彩信推广 ”类手机恶意软件，造成话费损失。据介绍，该软件伪装成手机系统升级链接，诱导客户下载安装，用户下载后，将在手机应用列表增加“ Google 升级设置 ”或其他类似应用文件。 中国移动表示，用户一旦不小心安装该软件，手机就被会不法分子操控，连接恶意控制端地址获取不良内容和目标号码，并使用客户话费发送涉及淘宝代刷、赌博等不良内容的彩信。 中国移动称，中国移动手机恶意软件集中监控系统监测到该软件后，全网共拦截相关垃圾彩信近 10 万条，阻断恶意控制端地址访问次数达 200 万次，及时遏制了该类恶意软件的传播。 中国移动建议，广大客户进一步提高个人信息安全防护意识，不要点击短信中的可疑链接，即便是熟人发送的短信，也要先行确认；不随意接入陌生 WiFi，不轻易提供个人隐私信息；选择可信渠道下载手机应用。 稿源：cnBeta；封面源自网络

FireEye 安全研究人员发现，编号为 CVE-2017-0199 的 Microsoft Word 零日漏洞与乌克兰冲突中的网络间谍活动存在某种联系。 据悉，攻击者将特制的 Microsoft Word 文档伪装成俄罗斯军事训练手册，受害者一旦打开文档就会传播由 Gamma Group 开发的恶意监控软件 FinSpy 。按规定，FinSpy 仅面向政府与执法机构出售，但隐私倡导者推测该软件也可能被售与专制政权。 FireEye 公开表示，CVE-2017-0199 漏洞在经披露之前就已被充分用于经济与国家民族利益动机。调查表明，攻击者早在今年 1 月与 3 月就曾使用该漏洞传播恶意软件 FinSpy 与 LatentBot 。此外，研究人员发现这两款恶意软件的传播方式具有相似性，疑似从某个共享源获取攻击代码。目前，专家们仍在调查攻击的最终目标，而该诱饵文件似乎已在俄罗斯支持的乌克兰分裂地区“ 顿涅茨克人民共和国 ”发布。 早在 2017 年 1 月 25 日，CVE-2017-0199 漏洞就已通过伪装成《俄罗斯国防部法令》与“ 顿涅茨克人民共和国 ”境内发行手册的诱饵文档提供恶意软件 FinSpy 的有效载荷。虽然目前具体目标尚无法确定，FinSpy 已由 Gamma 集团出售给多个国家地区的客户。研究人员介绍，该恶意软件将与零日漏洞一并用于网络间谍攻击。 恶意文档 СПУТНИКРАЗВЕДЧИКА.doc（MD5：c10dabb05a38edd8a9a0ddda1c9af10e）是一份广泛传播的军事训练手册。值得注意的是，这个版本据称已在“ 顿涅茨克人民共和国 ”（由乌克兰东部反基辅反叛分子控制）发布。据悉，这本训练手册可以下载额外有效载荷以及冒充《俄罗斯森林管理计划审批法令》的另一个伪造文件FireEye 专家怀疑黑客可能已经使用恶意软件 FinSpy 入侵政府运营商等目标。此外，专家还发现暗市中流通的零日漏洞曾于今年 3 月引发同样的攻击流量。 FireEye 补充，早在 2017 年 3 月 4 日，恶意软件 LatentBot 就已通过 CVE-2017-0199 漏洞进行传播。迄今为止， FireEye iSIGHT Intelligence 仅在经济动机攻击活动中观察到具有凭据盗窃能力的恶意软件。此外，近期攻击活动中使用的通用诱饵与经济黑客使用的方法相一致。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，黑客正在利用 Microsoft Word 中尚未披露的零日漏洞发动攻击。安全人员表示，黑客可以利用该漏洞静默安装恶意软件 Dridex 操控百万用户设备。 相关报道称，该漏洞不同于多数与文档相关的漏洞。它尚未被修复，而且不依赖于宏命令。Office 通常会在用户启用宏命令文档时提醒用户存在风险。相反，该漏洞的触发方式为引诱用户打开一个伪装的 RTF 文档，该文档将从服务器下载恶意 HTML 应用程序，之后该程序将下载并执行恶意脚本，最终为用户计算机植入恶意软件 Dridex 。 恶意软件 Dridex 侵略性攻击，人们本该对附在电子邮件上的任何 Word 文档保持警惕，即使它由熟知的收件人发送。安全研究人员 McAfee 率先于上周五发现该漏洞并发表声明，由于 HTML 应用程序可以执行，允许黑客在目标计算机上绕过系统保护机制运行代码。另一家安全公司 FireEye 也在上周六公布了相似报告，并表示已经向微软报告了该漏洞。 FireEye 安全人员称，该问题与 Windows Object Linking and Embedding (OLE)  功能有关，OLED 功能则主要用于 Office 和 Windows 内建文档查看器 WordPad ，在过去几年该功能已经引发多个漏洞。值得一提的是，该漏洞影响所有的 Office 版本，包括最新版本 Office 2016 ，而攻击从今年 1 月就已经开始。 本文据 HackerNews、天极网 报道翻译、整理，封面来源于网络。

据外媒报道， “Rensenware”是一种能锁住用户文件的新型恶意软件。不过与其他恶意软件有所不同的是，这款恶意软件并不要求受感染的用户支付一笔费用来解锁文件，而是要求用户在一款弹幕射击类游戏中获得高分来解锁文件。 这种恶意软件要求玩家在《东方星莲船 ～ Undefined Fantastic Object.》的最高难度 “Lunatic” 中取得 2 亿分的高分。 “Rensenware” 恶意软件创造者 Tvple Eraser 随后向公众致歉：“我把它当成一个玩笑，只是希望希望东方官方系列作品的人们也能开怀大笑。” Tvple Eraser 随后也发布了一个工具来帮助那些任何可能错误地下载原始版本的人进行解锁。Tvple Eraser 已经用更安全的“剪切”版本替换了 “Rensenware” 版本，其不会通过强制加密文件来锁住文件。 稿源：cnBeta，封面源自网络

研究人员表示，网络犯罪分子可通过 Apache Struts 2 漏洞传播勒索软件 Cerber、攻击 Windows 系统。 3 月上旬，Apache Struts 2 被曝存在编号为 CVE-2017-5638 的远程代码执行漏洞。然而，就在安全专家发布该漏洞补丁与概念验证（ PoC ）没多久，攻击者便开始利用该漏洞传播恶意软件。多数情况下，攻击者通过后门和分布式拒绝服务（ DDoS ）机器人对 Unix 系统进行攻击，但近期专家们还发现一起针对 Windows 系统的攻击行动。 3 月 20 日至 26 日，F5 Networks 研究人员发现网络犯罪分子利用该漏洞执行 shell 命令，运行 Windows 附带的 BITSAdmin 与其他命令行工具传播勒索软件 Cerber、针对 Windows 服务器展开攻击。SANS 技术研究所的专家也在此期间对该起攻击事件进行了报道。 据悉，该勒索软件针对系统中的重要文件进行加密处理，迫使受害者必须通过缴纳赎金才能获得用于恢复文件的“特制解密软件”。经 F5 Networks 报道，在多次攻击行动中，受害者均被要求发送赎金至同一个比特币地址，该地址中的交易额高达 84 比特币（当前价值近 10 万美元）。 研究人员表示，Apache Struts 2 漏洞为攻击者提供了一个丰富的目标环境，可在扩展业务的同时感染数千台新服务器。将勒索目标设为服务器而非个人的做法更加有利可图，由于这些服务器通常属于资金相对充足、基础设施较为完善的组织机构，相应存储数据对业务发展而言可能至关重要。目前，Apache Struts 2 漏洞已感染大量产品，其中包括思科与 VMware 等品牌。 独立安全研究员 Corben Douglas 于本周三发布报告称，他在漏洞发布 4、5 天后对 AT&T 系统进行测试，结果表明系统易受攻击。此外，他还尝试在 AT＆T 服务器上执行命令，此举可使整个公司受其掌控。 原作者：Eduard Kovacs ， 译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，来自 McAfee Labs 最新公布的《 威胁报告( Threat Report ) 》显示，2016 年，Mac 上的恶意软件攻击暴涨 744%。不过 Mac 用户无需为此太过担心，因为它们大部分为 adware。adware 虽然会让用户看到心烦，但比起会劫持设备或导致设备无法正常使用的真正的恶意软件攻击，这个还不算那么令人感到恐慌。 McAfee 报告指出，Mac 设备上总共发现了 46 万个恶意软件，对比 15 年，出现了大幅增长，不过只有很小一部分为主流恶意软件。 虽然 Mac 剧增的恶意软件大部分为广告软件，但在剩余的部分中则存在一些比较令人担忧的网络攻击，如通过可信的 BitTorrent 客户端 Transmission、Backdoor.MAC.Eleanor、Xagent 等流传的勒索恶意软件。想要避开这些恶意软件或 adware 的 Mac 用户最好直接从 Mac App Store 或可信的开发商那里下载应用。 稿源：cnBeta；封面源自网络

近日，维基解密又对外公布了来自” Vault 7 “的部分数据，进一步曝光了 CIA 的间谍工具。这次主要曝光的是一个叫做 Marble 的代码混淆框架。维基解密称：“ Marble 用于阻碍取证调查员和杀毒软件公司将病毒、木马和网络攻击怀疑到 CIA 身上。”对此，一些专家表示不认同。 Rendition Infosec 创始人 Jake Williams 表示，自己在对维基解密公布的代码经过半个小时分析之后发现，这套Marble 无法让调查人员将其网络攻击的国籍来源变成其他国家。这位专家指出，源代码显示 Marble 不仅只用了英文展开测试，同时它还会使用中文、俄文、韩文、阿拉伯语和波斯语–这则能让探员将恶意软件开发者所使用语言变成其他国家的语言，而这确实能混淆调查人员的视线，让他们误以为来自其他国家。 实际上 Marble 就像恶意软件市场上的许多相类似工具，主要起到的是一个模糊作用。据悉 ，CIA 最近一次使用 Marble 则是在去年年底。 稿源：cnBeta；封面源自网络

世界知名安全软件公司 ESET 于 3 月 30 日发布报告称，俄罗斯间谍组织 Turla 致力于开发各类恶意软件，其中主要包括最新发布的多个 Carbon 后门新变种。 Turla 是俄罗斯网络间谍组织之一，又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态，主要针对欧洲的外交部等政府机构和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 ESET 的研究人员表示，间谍组织 Turla 具有一个特征：一旦常用的恶意软件被揭露，他们将立即改用新变种以便继续执行间谍活动。因此，市面上出现的恶意软件新变种的互斥体与文件名存在不同也不足为奇。Turla 间谍组织通常会在部署恶意软件 Carbon 后门之前，首先对目标系统进行侦察工作。 研究人员称，一个“ 经典 ”的 Carbon 后门攻击链是从目标用户收到钓鱼邮件或访问受感染网站（通常是用户定期访问的网站）开始。一旦入侵成功，用户设备将在第一阶段安装恶意软件后门，如 Tavdig 或 Skipper。倘若侦查阶段得以完成，Carbon 后门将会成功安装在用户关键系统中。 据悉，恶意软件 Carbon 是间谍组织 Turla 最为复杂的后门程序，用于窃取目标用户的敏感信息，但也与 Turla 开发的其他恶意软件 Rootkit Uroburos 有部分相似之处。 原作者：Gabriela Vatu， 译者：青楚      本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接