据卡巴斯基实验室周四报道，被称为“ Turla ”的俄罗斯网络间谍组织正在使用一种新的 JavaScript 恶意软件针对欧洲外交部机构。 Turla 是一个俄罗斯网络间谍 ATP 组织（也称为 Waterbug 、Venomous Bear、KRYPTON ）自 2007 年以来一直处于活跃状态，主要针对欧洲的外交部等政府组织和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部。 去年 11 月，卡巴斯基实验室和微软发现了一种新的恶意软件“ KopiLuwak ”，据博客中介绍它使用多个 JavaScript 层来逃避检测。恶意代码通过在目标机器上创建注册表项以获得持久性。一旦感染了目标系统，恶意代码可执行一系列命令并收集信息，被窃取的数据将被加密并存储在一个临时文件中。恶意软件的 C＆C 服务器 IP 地址以硬编码的形式存储在恶意代码中，并允许操作者通过 Wscript.shell.run() 执行任意命令。恶意软件仍利用 Office 文档的宏功能、借助钓鱼邮件传播。 目前已发现了一个受害者：攻击者伪装成卡塔尔驻塞浦路斯大使馆向塞浦路斯政府外交机构发送 “ 国庆招待会（ Dina Mersine Bosio 大使的秘书）.doc ”公函文件。卡巴斯基的研究人员认为恶意软件“ KopiLuwak ”将在未来更多地被使用。 从内容上推断，它可能是卡塔尔大使的秘书发送给塞浦路斯外交事务机构的。这意味着攻击者至少控制了一个卡塔尔外交部网络系统，从而发送钓鱼邮件。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

去年震惊全台湾的第一银行 ATM 吐钞案已正式审结，台湾当地法院 25 日宣布三名涉案外籍人员全部判处五年有期徒刑、罚款 60 万元新台币，并将在服刑完毕之后被驱逐出境。 去年 7 月，台湾第一银行旗下 41 台 ATM 机遭遇黑客入侵，被盗领超过 8000 多万新台币，当地警方随后抓获了三名涉案外籍人员并追回赃款 6000 多万台币，这也是台湾银行遭遇的首宗使用恶意软件控制 ATM 吐钞的跨国黑客盗窃案。之后 8 月份泰国发生的银行 ATM 窃案也被怀疑与此案有所关联，疑似同一伙人所为。 据悉，当初共有来自六个国家的 22 名黑客参与了攻击事件，已被抓获的三名涉案外籍人员分别来自拉托维亚、罗马尼亚和摩尔多瓦。英国广播公司报道称，检察官原本欲以“严重扰乱金融秩序、引起公众恐慌”等罪名判处三名嫌疑人 12 年有期徒刑，但最终只做出了 5 年有期徒刑、罚款 60 万元的判决。而在法院开庭之前，三名嫌疑人也曾表示若被定罪将继续上诉。目前仍有 19 名涉嫌参与 ATM 窃案的外籍人士尚未缉拿归案。 稿源：HackerNews.cc 翻译/整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

据安全公司 Dr. Web 报道，数千个 Linux 设备感染了新木马 Linux.Proxy.10 。正如木马的名字所暗示的，该木马可以在受感染的设备上运行基于 Satanic Socks Server 源代码的 SOCKS5 代理服务器。攻击者将受感染的设备作为跳转代理进行恶意行为，从而隐藏其真实信息。 Linux.Proxy.10 最初是由杀毒公司 Doctor Web 的研究人员在 2016 年底发现的，据研究报道显示，该木马已经攻击了数千台 Linux 设备、恶意代码仍在继续传播。木马不包含任何攻击 Linux 系统的模块，而是使用其他木马和技术入侵设备，并创建一个名为“ mother ”密码为“ f**ker ”的后门账户。一旦后门安装成功，攻击者将通过 SSH 协议登录设备，并安装 SOCKS5 代理服务器。此外，研究人员调查了一台用于传播 Linux.Proxy.10 木马的服务器，发现其中除了包含目标设备的攻击列表，还有一个匿名代理管理员面板和一个已知的 Windows 间谍软件 BackDoor.TeamViewer 。 建议： Linux 用户和管理员限制或禁用 root 用户通过 SSH 远程登录设备，并监控新生成的登录用户、观察其是否存在恶意行为。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

据外媒报道，Gmail 将很快部署阻止 JavaScript 电邮附件运行的措施。从 2 月 13 日起，用户将无法再添加 .js 类型的附件，因其被很多形式的恶意攻击所利用。如果用户不小心下载了一个恶意 JavaScript 文件，攻击者可以利用它来获得 PC 的访问权限，窃取数据或执行其它破坏性操作。 Android Police 指出，JavaScript 已成为继 .exe .bat .msc 之后，被 Gmail 严格限制分享的又一个附件类型。虽然此举无法彻底杜绝被嵌入 .zip 等压缩包中的恶意文件，但斩断直接发送的途径，对大多数普通用户来说确实是件有助于提升 Gmail 邮件服务安全性的好事。 如果有特殊的需求，也可以考虑通过谷歌网盘或云存储等方式，发送和分享一个 JavaScript 文件。试图发送此类附件的 Gmail 用户，将会看到一则“禁止上传”的警告提示。 稿源：cnbeta 有删改；封面：百度搜索

Android 用户想要减少中招几率，常规建议是只通过 Google Play 商城下载和安装应用程序，尽量减少或者不使用其他第三方下载途径。去年爆发的 HummingBad，让我们知道 Play 商城也不能完全杜绝恶意程序。这款恶意程序每个月能够产生 30 万美元的营收，感染用户数量已经超过 8500 万台，在 Check Point 公布的“全球最流行恶意软件”排行中位居第四。现在，这款恶意软件卷土重来，在Google Play商城上已经找到新变种–HummingWhale。 援引 Check Point 报道，目前已经有多款应用被 HummingWhale 所感染，在应用商城中假冒中国开发者名字进行发布。受感染的应用通常采用这样的结构，com.[name].camera（例如  com.bird.sky.whale.camera 和 com.color.rainbow.camera），但是应用名称都不相同。 Check Point 指出这些应用中都包含一个 1.3MB 的加密文件–“assets/group.png”，通 HummingBad 的 “file-explorer” 文件相似。这实际上是一个 APK 安装文件，允许在受害 Android 设备上下载和安装其他应用。 这款恶意程序使用 DroidPlugin 的 Android 框架，显示各种虚假广告，或者创建一个虚假的引荐 ID 来为攻击者利用盈利。通过对文件头的深入分析，相信 HummingBad 的幕后团队是 Yingmob。目前 Google Play 上已经有 40 款应用在传播这款恶意程序。 稿源：cnbeta，有删改，封面来源：百度搜索

臭名昭着的黑客组织 Carbanak 不断寻求“隐身”技术来逃避侦测，近日安全公司 Forcepoint 发现，黑客组织使用武器化的 RTF 格式文档传播恶意软件并利用 Google 服务来进行 C&C 通信隐藏通信流量，减少被发现的几率。 该恶意软件归属于黑客组织 Carbanak （也称为 Anunak ）。此前黑客组织 Carbanak 在 2015 年利用该软件从全球 30 个国家 100 多家的金融机构窃取了 10 亿美元。   Forcepoint 安全实验室发现，犯罪团伙以钓鱼邮件形式将恶意软件隐藏在 RTF 附件中。该文档中嵌入了一个 OLE 对象，其中包含此前恶意软件 Carbanak 的 Visual Basic 脚本（ VBScript ）。当用户打开文档时，他们将看到一个图像，该图像旨在隐藏文件中嵌入的 OLE 对象，并诱使受害者双击打开它。 越来越多的网络罪犯开始使用 Microsoft Office 的 OLE 对象嵌入功能来隐藏恶意软件，而不是现在烂大街的宏功能。 研究人员还发现了一个“ ggldr ”脚本模块，该脚本会通过 Google Apps 脚本、 Google Sheets spreadsheet 和 Google Forms 服务发送和接收命令。对于每个受感染的用户，系统都会动态创建一个唯一的 Google Sheets spreadsheet，以便管理每个受害者。首先恶意软件使用感染用户的唯一 ID 与硬编码的 Google Apps 脚本网址进行通信联系，C＆C 会回应不存在该用户信息。接下来，恶意软件会向另一个硬编码的 Google Forms 网址发送两个请求，为受害者创建唯一的 Google Sheets spreadsheet 和 Google Forms ID 。下次请求 Google Apps 脚本时，C＆C 会回应这些详细信息。 由于很多企业机构都使用 Google 服务，所以一般都不会拦截合法的 Google 流量，从而大大增加攻击者成功建立 C＆C 通信渠道的可能性。   稿源：HackerNews.cc 翻译整理，封面：securityaffairs 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

据外媒报道， 本月 11 日以色列军方官员证实，哈马斯武装人员利用“美人计”入侵了几十名以色列士兵智能手机。 哈马斯武装人员在 Facebook 上使用虚假资料和美女诱人照片，通过社交网络联系了部分以色列士兵，诱使他们长时间聊天。约有几十名低等级士兵陷入“美人计”当中，并在智能手机上安装了病毒程序，导致哈马斯武装人员能够监控他们的手机。官方补充道，病毒程序对军队士兵的实际伤害有限，已经得到适当处理，但军队仍决定公开这一问题警告士兵社交网络的潜在威胁。消息人士指出“任何潜在威胁都有可能成为危害以色列安全的真正威胁”。 目前，哈马斯官员尚未对事件作出回复。以色列和巴勒斯坦武装分子自 2008 年以来在加沙地区进行了多次战争较量。虽然以色列和加沙之间的边界相对平静，但双方仍然是敌人。去年 3 月，来自加沙的一名巴勒斯坦人被指控入侵以色列军事无人机。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

安全公司 FireEye 的安全专家发现 ATM 恶意软件 Ploutus 的新变种 Ploutus-D ，恶意软件已感染了拉丁美洲的 ATM 系统。 2013 年恶意软件 Ploutus 首次在墨西哥被发现，是最先进的 ATM 恶意软件系列之一。攻击者可通过外接键盘连接 ATM 或者发送 SMS 消息传播恶意软件，操作 ATM 系统窃取现金。 FireEye 实验室分析变种代码后发现，新恶意软件可针对 ATM 软件提供商 KAL 公司的 Kalignite ATM 软件平台。据统计显示 Kalignite ATM 平台目前被至少 80 个国家 40 多个不同厂商使用，潜在影响范围或将扩大。 ATM 软件供应商 KAL 公司的 “Kalignite ATM” 软件平台，基于 XFS 标准、适用于 Windows 10，Windows 8，Windows 7 和 XP ，系统功能丰富可满足所有类型的 ATM 自助服务。 KAL 公司的软件也被中国金融机构广泛使用，国内客户列表包含：中国工商银行、中国建设银行、交通银行、深圳发展银行、兴业银行（ CIB ）、中国光大银行、平安银行等。 新恶意软件 Ploutus-D 版本改进点有： 它适用于 Kalignite 多供应商 ATM 平台。 它可以运行在 Windows 10，Windows 8，Windows 7 和 XP 操作系统的 ATM 上。 它被配置为控制 Diebold ATM。 它有一个不同于 Ploutus 的 GUI 界面。 它配备一个启动器，尝试识别和杀死安全监控进程，以避免检测。 它采用了更强大的 .NET 混淆器。 Ploutus 和 新版本 Ploutus-D 之间的共性有： 主要目的是清空 ATM，不需要插入 ATM 卡。 攻击者必须使用外部键盘连接 ATM 并与恶意软件进行交互。 激活码都是由攻击者自己生成，且有效期只有 24 小时。 两者都是在 .NET 中创建的。 可以作为 Windows 服务或独立应用程序运行。 恶意软件会将自己添加到“ Userinit ”注册表项中，以便在每次重新启动都可执行，密钥位于： \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit。 攻击者必须将键盘连接到 ATM USB 或者 PS/2 接口与启动器进行交互。一旦启动器安装完成，便可通过外部键盘的“ F 组合键”发出指令。 Ploutus-D 可以允许攻击者在几分钟内窃取数千美元，作案时间相当短从而降低在窃取钱财时被捕的风险。不过，要打开 ATM 以露出 USB 或者 PS/2 接口还是有些难度的，是撬开 ATM 还是在机箱上钻洞呢？ 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

据外媒报道，上周恶意软件感染了英国最大 NHS 信托机构 “Barts Health” 的计算机系统，导致医院不得不关闭部分网络以防未识别的恶意软件更大规模扩散。 英国巴兹保健和国民信托( Barts Health NHS Trust )是英国最大的 NHS （英国国家医疗服务）信托机构，负责监测 Mile End 医院、纽汉大学医院、伦敦皇家医院、巴茨医院、伦敦胸科医院和 Whipps Cross 大学医院。 Barts Health 发言人证实已拔掉一些 IT 设备电源作为预防措施，而此前关于勒索软件大爆发的消息或有误传。目前病人的护理并没有受到影响，官方也已发布相关声明指出： 本月 13 日，Barts Health 意识到遭受了网络攻击、紧急启动调查程序，并使一些机器离线作为预防措施。当前确认 Cerner Millennium 患者管理系统和用于放射治疗的临床系统不受影响。相关部门也已制定应急方案尽一切努力确保患者护理不受影响。 Check Point 的北欧威胁预防负责人 Aatish Pattni 表示，电脑设备感染恶意软件可能是来自员工不小心点击电子邮件中的错误链接造成，又或者是黑客的针对性网络攻击导致。 英国国家医疗服务（ NHS ）医院很少感染恶意软件，但并不等于没有。Barts 本身也曾经是恶意软件的受害者，2008 年 11 月，Barts 三家医院的 PC 系统感染 MyTob 蠕虫被迫离线，甚至短暂扰乱了救护车路由器与医院管理系统的运行。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

据外媒报道，洲际酒店集团（ IHG ）近期正在调查美国部分酒店的客户消费后信用卡遭盗刷事件，酒店怀疑黑客通过某种手段获得了客户信用卡信息。 洲际酒店集团（ IHG ）总部位于英国，在全球 100 多个国家和地区经营着 5000 多家酒店，旗下酒店品牌有洲际酒店及度假村、皇冠假日酒店、智选假日酒店、英迪格酒店等。 上周，知名安全网站 KrebsOnSecurity 的调查员 Brian Krebs 收到多个金融机构反欺诈部门人士提供的信息，暗示犯罪分子通过洲际酒店集团系统的某些漏洞获取了客户信用卡信息，并进行了消费提现。对此，洲际酒店发言人表示，公司已经收到了类似的投诉，并已经雇佣了一家安全公司协助其调查事件真相。洲际酒店集团（ IHG ）还发表了以下声明：IHG 非常重视保护客户的支付卡数据。对于近期部分客户在酒店消费后信用卡遭盗刷的投诉，公司已经雇佣了安全公司进行调查。同时，公司建议个人应密切监控其支付卡消费帐单，出现问题及时和银行联系。 2016 年以来，拉斯维加斯硬石赌场酒店酒店、特朗普酒店、千禧酒店及度假村等公司都表示系统感染了 PoS 恶意软件，客户数据被窃取。随着元旦假期的来临，广大消费者需要提高安全意识，避免个人信息泄露。此外，应密切关注信用卡账户的资金变动。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。