据美国官员发表于《华盛顿邮报》的报告显示，佛蒙特州公共事业公司已侦测到有俄罗斯恶意软件的证据。感染恶意软件的是伯灵顿电气部门内一台（并未联网）的笔记本电脑，公司证实其确实违背有关条例。佛名特州公共事业专员表示，该台电脑可利用网络寻找合适的政党并使其断网。电器通信部门迅速扫描所有电脑上恶意软件的特征，所幸伯灵顿的电脑并未连接到内部组织的网络，其他公司亦是如此。 今天的恐慌让人们想起了俄罗斯“入侵”国家基础设施事件。今年 12 月 25 号乌克兰就曾受到“网络外部的干扰”再次遭遇断电事件，也被怀疑是俄罗斯黑客所为。 前日，美国总统奥巴马下令驱逐 35 名俄罗斯外交官，作为此前俄罗斯干扰美国总统大选的报复措施。对此俄罗斯总统普京选择直接无视奥巴马的挑衅，拒绝以针锋相对的手段与美国对抗，强调未来的俄美关系取决于特朗普而非奥巴马。 稿源：cnBeta，有删改；封面：cnBeta

KillDisk 是一款臭名昭的恶意软件，专门用来擦除受害者硬盘驱动器上的文件，如今它已配备勒索功能可锁定受害者电脑并且勒索赎金。 KillDisk 由“ TeleBots ”黑客组织开发，该团体也开发了同名的后门木马，并声称为 2016 年对乌克兰公司的网络攻击事件负责。除此之外，乌克兰银行也曾遭受过包含该木马的网络钓鱼邮件攻击。 一旦恶意软件感染系统，KillDisk 将替换系统文件，修改文件扩展名，随着系统文件的损坏电脑将无法再次启动。KillDisk 要求受影响用户支付 222 个比特币的天价赎金，相当于约 21 万 5000 美元。此外，KillDisk 采用强加密，通过使用 AES 密钥加密每个文件，并使用 RSA-1028 密钥加密 AES 密钥。这实际上使解密难于登天，因为至少在这一点上，尚且没有已知的方式可用来解密被感染的文件。 想要解密则需联系恶意软件的开发人员支付赎金，最终获取解密钥匙进行恢复。 稿源：cnbeta 有删改，封面来源：百度搜索

据卡巴斯基实验室报道，研究员发现了两个特别的 Android 木马版本，它们并非对用户设备进行攻击、窃取信息，而是攻击用户连接 Wi-Fi 网络的路由器。木马会暴力破解路由器 Web 管理界面的用户名和密码，并更改路由器设置中的 DNS 服务器地址，最终劫持流量重定向至恶意网站。 两种木马 acdb7bfebf04affd227c93c97df536cf;包名 – com.baidu.com 64490fbecefa3fcdacd41995887fe510; 包名 – com.snda.wifi 木马（ com.baidu.com ）伪装成百度安卓客户端，另外一个木马伪装成“ WiFi 万能钥匙”。 为了增加可信度，网络犯罪分子甚至创建了一个网站用于传播恶意软件，并将软件命名为“ WiFi 万能钥匙显密码版”，宣称为用户提供明文密码方便电脑连接网络。 执行过程 1、获取网络 BSSID 并与 C＆C 服务器进行通信。 2、获取互联网服务提供商名称，并选择用于劫持路由器的 DNS 地址。 三种 DNS 服务器地址 101.200.147.153 （作为默认选择） 112.33.13.11 120.76.249.59 3、使用词典暴力破解路由器 Web 管理界面的用户名和密码。 如： admin:admin；admin:123456； 根据输入字段的硬编码名称和木马试图访问 HTML 文档的结构来看，目前木马的 JavaScript 代码仅适用于 TP-LINK Wi-Fi 路由器 Web 管理界面。 4、更改路由器 DNS 设置劫持网络流量。 正常的 DNS 查询 被劫持的 DNS 查询 影响范围 路由器设置被篡改，受影响的不再是个体，所有连接 WiFI 网络的设备都将受影响。 从网络罪犯分子的 C＆C 网站的统计结果可知至少有 1280 台路由器受影响，受害者主要在中国地区。 解决办法 1、查看路由器 DNS 设置，是否存在以下流氓 DNS 服务器地址。 101.200.147.153 112.33.13.11 120.76.249.59 2、Web管理界面不要采用默认用户名和密码，以防止此类攻击发生。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国 FBI 和 CIA 认为俄罗斯黑客是美国大选期间网络攻击幕后黑手，他们认为这次的网络攻击在某种程度上协助了共和党的特朗普。而就在近日，加州尔湾网络安全公司 CrowdStrike 的一份报告显示，乌克兰军方遭到俄罗斯黑客攻击。据其披露，俄罗斯黑客从 2014 年开始利用一款叫做 X-Agent 的 Android 恶意软件追踪乌克兰军事人员，并且有迹象表明发起该攻击的黑客隶属俄罗斯政府。 CrowdStrike 联合创始人 Dmitri Alperovitch 称，民主党全国委员会( DNC )邮箱攻击中使用到的恶意软件与入侵乌克兰网络的恶意软件为同一系列的软件变种，并且该软件很有可能是俄罗斯黑客组织 Fancy Bear（也称 APT 28 ）编写的，这个黑客组织也被认为一直未俄罗斯军事情报机构工作。据悉，Fancy Bear 植入恶意程序的软件是一款针对乌克兰火炮军方开发的合法 Android 软件，它能够协助军事人员更加快速地处理目标数据。Alperovitch 补充称：“这不大可能是一个犯罪团伙，因为他们需要跟俄罗斯军方保持紧密联系”。 稿源：cnbeta有删改，封面来源：百度搜索

俄罗斯再次被指控攻击外国政府使用的电脑。路透社的一份声明中透露，据立陶宛网络安全中心的负责人 Rimtautas Cerniauskas指控， 2015 年俄罗斯黑客首先试图用间谍软件感染立陶宛政府电脑，同时今年年内又发生了 20 起类似的尝试。 更糟糕的是，间谍软件在被种植 6 个月后才被发现，这种间谍软件被用来将文档和密码传输至俄罗斯间谍机构。目前还未知是否有任何机密文件或国家机密被盗，但立陶宛官员表示，一些受感染的电脑曾被中、低职位的政府官员用于起草政府决策草案。 Cerniauskas 警告说，俄罗斯正在成为网络安全领域更大的威胁，所有国家必须准备好应对与克里姆林宫政府有联系的团体发起的攻击波。 俄总统普京的发言人德米特里·佩斯科夫谴责这些指控“十分可笑”，同时表示俄罗斯政府才是间谍软件的目标。俄罗斯指责外国情报机构计划本月初对该国进行重大网络攻击，但地方官员说，所有的尝试都成功地被阻止。 稿源：cnBeta有删改，封面来源：百度搜索

据外媒报道，近日安全公司  CrowdStrike 发布研究报告称，俄罗斯黑客组织“梦幻熊”（Fancy Bear）通过安卓恶意软件成功入侵乌克兰炮兵部队的军事系统。 报告显示，恶意软件在 2014 – 2016 年间被用来跟踪乌克兰部队，如追踪苏联制造 D-30 榴弹炮单位，已有证据表明恶意软件已将乌克兰东部炮兵部队的地理信息等数据发送至俄罗斯军队。 被感染恶意软件的应用原本由乌克兰炮兵军官 Yaroslav Sherstuk 开发，能将火炮武器瞄准时间从数分钟缩短到 15 秒以内。 “奇幻熊”将恶意程序放置于乌克兰军事论坛中，成功感染多名乌克兰炮兵部队工作人员手机。统计结果显示，目前至少 9000 台安卓设备感染了含恶意软件的安卓应用。 稿源：本站翻译整理，封面：百度搜索

今年 9 月份的苹果发布会上，任天堂正式宣布经典游戏《超级马里奥跑酷》将于 12 月 15 日率先登陆 iOS 平台。《超级马里奥跑酷》上架不到 12 小时，就已登上美区 App Store 的免费榜和畅销榜的榜首，人气远超任天堂的上一爆款游戏《Pokemon GO》（精灵宝可梦），安卓版将在明年发布，目前，该游戏还没有上线中国市场，一旦上线，用户群体将更加庞大。 然而，巨大的市场利润也引来了犯罪分子的觊觎。据趋势科技报道，游戏正式版本发布之前网络上已经开始流传“抢先版”《超级马里奥》。自 2012 年以来，趋势科技已经发现超过 9000 款“马里奥”手游，其中三分之二的应用程序存在恶意行为，包括显示广告、未经用户同意下载应用程序等。 目前这些恶意应用已被下载超过 90000 次，其中大部分是由以下国家的用户下载。下载量前三名分别为印度尼西亚（ 41 % ）、印度（ 33 % ）、墨西哥（ 8 % ）。 大多数恶意应用程序只是显示广告，但部分应用存在强制下载、安装不必要程序的现象。 如以《超级马里奥》为名的 ANDROIDOS_DOWNLOADER.CBTJ 恶意应用程序，当用户试图运行这个程序，游戏并不会启动。它声称需要更新，并“提示”用户安装其他应用程序。 另外一个恶意应用程序 ANDROIDOS_DOWGIN.AXMD ，虽然游戏操作和剧情很符合模拟器版本，但却要求异常的权限许可，如接受短信、阅读并修改 SD 卡数据、查询账户等。它会创建不必要的图标、显示弹出式广告和横幅广告、安装其他应用程序并执行其他侵入活动无需用户授权。点击这些广告或图标将链接到成人网站或恶意网站，并诱使用户安装其他应用程序。恶意程序会申请激活“设备管理器”，执行其他恶意操作。 小贴士 玩家用户在下载游戏时，一定要在正规的第三方平台下载应用，避免下载伪装成正版游戏的恶意软件。此外，对于破解版应用游戏，应更加警惕小心。随着热度的发酵，会有越来越多的恶意应用伪装成“超级马里奥跑酷”游戏感染玩家设备。 稿源：本站翻译整理，封面来源：百度搜索

不久前，我们报道过一个新的恶意广告活动“ Stegano ” ，攻击者在主流新闻网站的广告图片像素中嵌入恶意代码并执行恶意操作。 现在，安全公司 Proofpoint 研究人员发现攻击者开始利用该恶意广告“ Stegano ”技术传播恶意软件 DNSChanger。DNSChanger 和其他恶意软件不同，它并不依赖于浏览器或者设备漏洞，而是利用家庭或小型办公室的路由器漏洞。DNSChanger 将更改 DNS 设置、劫持网络流量，进行中间人、欺诈、网络钓鱼攻击。 攻击原理： 攻击者在主流网站的广告图片中隐藏恶意代码，点击广告会重定向受害者至恶意网页下载恶意软件 DNSChanger 开发套件。 包含恶意 JavaScript 代码的图片会触发 WebRTC （网络通信协议）向 Mozilla 的 STUN 服务器发送请求，STUN 服务器会返回一个 ping 值包含 IP 地址和客户端端口号。如果目标的 IP 地址在攻击范围内，受害者将收到一个包含恶意代码的 PNG 图像广告，并再次使用恶意广告技术下载恶意软件 DNSChanger 。 恶意软件会利用路由器固件漏洞或者尝试破解弱密码入侵路由器。一旦路由器被入侵，恶意软件会改变 DNS 服务器设置，定向到攻击者控制下的恶意服务器。恶意 DNS 服务器可重定向网络流量至钓鱼网站。攻击者还可以注入广告、重定向搜索结果、尝试下载安装驱动等。 影响范围 目前，上百款路由器型号都受到影响，包括 · D-Link DSL-2740R · NetGear WNDR3400v3 (一系列型号) · Netgear R6200 · COMTREND ADSL Router CT-5367 C01_R12 · Pirelli ADSL2/2+ Wireless Router P.DGA4001N 解决方案 建议用户确保路由器运行最新版本的固件，使用强密码。此外还可以禁用远程管理，更改其默认本地 IP 地址，用不易修改的硬编码格式设置一个值得信赖的 DNS 服务器。 稿源：本站翻译整理，封面来源：百度搜索

近日，安全公司 ESET 发布研究报告称，一种名为 TeleBots 的新恶意软件针对乌克兰金融行业进行攻击，通过鱼叉式网络钓鱼攻击传递恶意 Excel 文档感染计算机。据 ESET 分析 TeleBots 背后团队的作案方式与 2016 年初乌克兰电网被黑的手法非常相似，甚至怀疑 BlackEnergy 团队已经转变成了 TeleBots 团队。 ESET 报告显示，攻击者会将带有恶意宏的 Excel 作为初始媒介附在电子邮件中，通过鱼叉式网络钓鱼攻击目标电脑、自动下载恶意软件，同时进一步感染系统、盗取文件甚至渗透整个网络。攻击者能够从电脑中获取想要的任何信息。 ESET 研究员透露 “攻击者利用 excel 执行宏主要是为了通过 explorer.exe 获取木马下载器、使目标感染其他恶意软件。这个木马下载器由 rust 语言编写” 。 TeleBots 会使系统无法开机 此时受害者电脑中会存在一种 Python 编写的 “Python/TeleBot.AA” 后门，这是 TeleBots 的主要部分， “TeleBots” 之名也因此得来。攻击者还会在系统中部署 BlackEnergy 的 KillDisk 组件，使计算机或其中关键系统无法正常启动。 BlackEnergy 和 TeleBots 恶意宏代码的相似之处 系统感染 TeleBots 后，KillDisk 组件便会删除系统文件并将开机页面改为 Mr. Robot 的电视节目画面。 报告指出，KillDisk 本身并不存储这张图片，而是利用 Windows GDI 实时画出了这幅图。很显然，攻击者也是投入了大量精力在编写这段绘制图片的代码上。 俄罗斯黑客或是幕后黑手？ 目前 TeleBots 的感染范围尚未可知。安全公司在溯源过程中发现可与 TeleBots 进行通讯的 BCS 服务器，其中包含部分俄语说明文档，俄罗斯黑客也一度被怀疑是幕后黑手。 稿源：本站翻译整理， 封面：百度搜索

Android 智能手机和平板设备固件中预装有恶意软件，恶意软件可暗中收集设备数据、显示广告、自动下载无用的 APK 文件。 俄罗斯反病毒厂商 Dr.Web 的安全研究人员发现，基于联发科平台运行的 26 款 Android 设备固件中存在两种类型的下载器木马。值得注意的是，这些受影响的设备大多投入在俄罗斯市场。 这两种木马都能够联系 C&C 服务器、自动更新自己、后台下载安装软件、随开机重新启动。恶意广告程序 H5GameCenter 会显示广告且没有选项可以禁用它，即使用户删除该应用程序，固件木马 Android.DownLoader.473.origin 将重新下载安装应用程序。木马 Android.Sprovider.7 也可自动下载 Android 应用程序文件、拨打电话到特定号码、在状态栏上方显示广告。 木马很可能是参与固件开发的外包公司为赚取外快所为。 Dr.Web 已经通知了联发科和相关设备制造商。受感染用户应该尽快联系厂商以获取最新更新，重装系统软件。 稿源：本站翻译整理，封面来源：百度搜索