网络黑客发起了一次针对RavnAir航空公司的网络攻击，最终导致飞机维修等关键系统关闭，迫使RavnAir航空公司取消了在阿拉斯加的一系列航班。KTUU的一份报告显示，这次恶意网络攻击是在周六被发现的，但是这份报告没有提供发起攻击的黑客具体细节。然而，有6家航班被取消，大约有260名乘客受到直接影响。 当RavnAir航空公司发现攻击之后，它立即采取行动，关闭了飞机维修系统。它表示，所有Dash 8飞机的航班都被取消。该公司在一份声明中说：“我们将在未来两天内努力增加航班数量。我们尽可能帮助受影响的乘客改订其他航班。”目前，RavnAir航空公司正在与FBI和网络安全专家合作，以恢复系统并调查网络攻击。 本月早些时候，一名前Jet2 IT承包商在访问关键系统并删除数据，导致航空公司网络下线12个小时后，被判处10个月监禁。该人使用他在公司工作期间获得的凭据，连接到关键系统并删除了所有用户帐户。这位27岁男子还设法闯入了Jet2首席执行官Steve Heapey电子邮件帐户。他的网络攻击造成了16万5千英镑的损失。   （稿源：cnBeta，封面源自网络。）

美国司法部发布报告：美国企业及金融机构盗窃案告破，其中三名犯罪分子已被监禁判刑。 该案件发生在2015至2016年间，犯罪分子主要是利用 GozNym banking Trojan病毒入侵全球的4000多台计算机来进行网络欺诈，最终盗取近1亿美元，美国和欧洲损失最为严重。而Goznym病毒的本质是一个银行木马，它由两大部分组成，分别是2012年首次出现的银行木马Gozi ISFB 以及类似勒索软件的木马下载器Nymaim。 今年五月，欧洲刑警组织捣毁这一犯罪网络，美国对该犯罪组织10名成员提出指控，5名成员当场被捕，包括开发者在内的另外五名成员潜逃。 周五，在匹兹堡的一家联邦法院，事件中担任财务的Krasimir  Nikolov以网络欺诈罪名被联邦政府指控。Nikolov于2016年9月被保加利亚当局逮捕，并于2016年12月被引渡到保加利亚。而在格鲁吉亚被逮捕起诉并判刑的另外两名成员Alexander Konovolov及Marat Kazandjian也分别被判监禁7年和5年。 该恶意软件运行流程为：先利用大规模恶意软件来攻击受害者的电脑，然后进行病毒传播，在受害者将他们的银行密码输入浏览器后，通过恶意软件来捕获账户密码，继而登录银行账户进行资金转移。 对于该案件的告破，美国检察官Scott W. Brady说到：“这是全球各执法伙伴共同合作的功劳。”   消息来源：thehackernews， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据报道，由于担心网络安全问题，美国海军已禁止TikTok应用程序工作在由政府配发的移动设备之上。路透社周五报道，美国海军在本周初发布在Facebook页面上的军事人员公告中表示，那些未删除该短视频应用程序的人将被海军内部网络拒绝访问。 海军和TikTok都没有立即回应置评请求，但五角大楼发言人在接受路透社采访时说，该禁令是“解决现有威胁和新兴威胁”举措的一部分。 发言人说，该公告“确认了与使用TikTok应用程序相关的潜在风险，并指导员工采取适当措施以保护其个人信息。”但是，海军不会透露TikTok会带来什么危险的细节。 TikTok由总部位于北京的字节跳动（ByteDance）拥有，美国官员一段时间以来对中国科技公司的产品充满了担忧，称其可能会被用于间谍活动和其他威胁性活动。 路透社指出，在参议员查克·舒默（Chuck Schumer）对使用该应用程序的陆军招募工作表示担忧之后，上个月，美国陆军已先行禁止学员使用TikTok。   （稿源：cnBeta，封面源自网络。）

对于越狱社区来说，当有人发现能越狱新设备和iOS新版本的漏洞之时，往往会令破解者和开发者充满兴奋。由@08Tc3wBB分享，随后由安全研究人员@RazMashat验证，在苹果最新、最卓越的iOS 13.3固件更新中发现了tfp0漏洞，即“task for pid 0”（即内核任务端口）的简称，包括A13处理器在内的iPhone均受影响。 外媒报道称，这个漏洞同样存在于A12（X）设备中，通过uncOver可以对最高iOS 12.4.1；通过Chimera可以对12.4进行越狱。目前唯一适用于iOS 13的越狱漏洞是checkra1n，并且仅适用于iPhone X及以下的A7-A11设备。 相关演示视频链接：https://www.bilibili.com/video/av80177899?zw 目前@08Tc3wBB并未披露关于该漏洞的详细细节。值得关注的是，确认漏洞有效的安全研究人员@RazMashat在后续推文中表示，这个漏洞已经得到了包括Chronic和Pwn20wnd在内的值得信任的黑客的关注。此外@RazMashat还表示，@08Tc3wBB尚未决定是否要公开发布tfp0错误，还是先向苹果披露以获取金钱奖励。   （稿源：cnBeta，封面源自网络。）

据外媒SlashGear报道，导致大量数据丢失的网络攻击已变得越来越普遍。黑客将目标锁定在从商店到大型医院和社交媒体平台的所有方面，使人们面临身份盗窃，财务欺诈等风险。FBI的IDLE程序旨在帮助解决该问题，该程序专注于使用诱饵数据使恶意黑客难于处理。 FBI网络参与和情报部门代理助理部门主管Long T. Chu 最近在接受Ars Technica的采访时表示，该机构正在采取更“整体”的方法来应对日益严重的网络攻击问题。FBI现在不仅向大型公司发出警报，并且在发生安全隐患后对其做出反应。此外还通过采取掩盖数据的方式，帮助企业采取积极措施来阻止这些数据盗窃企图。 该工作正在名为“ IDLE”的项目下完成，该项目代表非法数据丢失利用，其被描述为通过使用诱饵数据进行混淆的尝试。接受Ars Technica采访的消息人士称，IDLE并非是诱捕或经典的“蜜罐”，而是类似于将一堆假的拼图块混入装满正确拼图块的盒子中。 黑客将不得不非常努力地将虚假数据与真实数据区分开，从而使破坏这些公司的总体思路变得不那么有吸引力。这个想法不是通过发布诱人的（但是假的）信息来吸引攻击者。相反，这是为了帮助保护黑客已经在寻找的数据。 FBI出于明显的原因没有在谈论这个项目的复杂性，但是它没有将IDLE分类。据悉，该项目下创建的虚假数据旨在与公司用于其合法数据的格式相匹配。假数据混入批次中，但不会对公司本身造成负面影响。FBI没有透露这种混合方式是如何发生的，以避免提供可能使攻击者受益的信息。   （稿源：cnBeta，封面源自网络。）

据外媒报道，当地时间周五，美国新奥尔良市官员试图遏制针对其网络的网络攻击。据悉，该攻击导致电脑离线、办公室关闭、市政府网站关闭。不过该市目前还没有发现任何密码被破解或数据在攻击中丢失的迹象，但大量涌入的电子邮件意味着该市的系统暂时关闭。 到下午晚些时候，该市还没有发现任何密码被破解或数据在攻击中丢失的迹象，不过大量涌入的可疑电子邮件意味着该市的系统将要暂时处于离线状态。 目前还不清楚该城市系统将要离线多长时间。路易斯安那州警方、国民警卫队、FBI 和特勤局的专家都加入了调查工作中。与此同时，官员们表示，重要的公共安全服务仍会继续运行，市政厅办公室将依靠纸笔继续开展业务。 对于此次攻击的确切性质和范围还不清楚，但似乎是在当地时间12月14日上午5点左右开始。当时，市政府官员首次注意到他们的网络上存在可疑活动。8点左右，员工上班时接到可疑活动的报告。随后，官员们决定上午11点以后关闭政府系统。   （稿源：cnBeta，封面源自网络。）

据外媒报道，有人黑进了美国密西西比一户人家的环形安全摄像头，并且还用扬声器骚扰这家的8岁女孩。这名黑客告诉她自己是圣诞老人并还怂恿她破坏房间。这是近期发生的几起黑客在用户不知情的情况下登陆其Ring账号的攻击事件之一。 Ashley LeMay近日告诉媒体，她在自己女儿房间里安装了摄像头，这样她就可以在上夜班时照看她们。“在我买到它们之前做了很多研究。你知道，我真的觉得它是安全的。” 然而这次入侵就发生在她安装这款摄像头四天后，当时她正在出差，她的丈夫在家带孩子。 当她的女儿Alyssa听到自己卧室传出来声音后于是走进去看看究竟是什么。 从当事人分享的视频可以看到，Alyssa非常紧张地站在自己的房间里，黑客则远程播放了来自恐怖片《潜伏》里的歌曲《Tiptoe through the Tulips》。 “谁在那里，”Alyssa问道。 “我是你最好的朋友。我是圣诞老人。我是圣诞老人。难道你不想成为我最好的朋友吗？”黑客说道。 之后，这个匿名黑客继续骚扰Alyssa、嘲笑她并怂恿她破坏房间。 对此，这款摄像头厂商Ring在提供给媒体的声明中指出，黑客并不是通过数据泄露或破坏Ring的安全获取信息的，相反，这个人可能利用了这户人家账户的安全性。 根据声明，Ring用户经常会使用相同的用户名和密码来注册不同账户和订阅服务。“作为预防措施，我们强烈并公开鼓励所有Ring用户在其Ring账户上启用双重认证、添加共享用户（而不是共享登录凭证）、使用高安全性密码并定期更换密码。” Ashley表示，她还没有在她的设备上设置双重认证。   （稿源:cnBeta，封面源自网络。）

微软专家指出：GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。 “目前微软威胁情报中心（MSTIC）在对GALLIUM黑客组织行为逐步了解中发现，其目标是电信供应商，为了破坏其目标网络，GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。” GALLIUM 的行为表现活跃，尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络，他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。 专家指出，目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具，这工具只需稍作改动，就可以逃避检测。运营商利用低成本和易于替换的基础设施，使用动态DNS域和定期重用的跃点。 MSTIC分析指出：使用动态DNS提供商而不是符合条件的注册域名，GALLIUM的低成本、低投入成为运营趋势。 在中国大陆、中国香港和中国台湾的基础设施中，且已观察到GALLIUM基础设施建设。 威胁行为很大程度上依赖于网络shell，通过此shell获得持久网络稳定，然后进行恶意软件传输。在这个阶段中，恶意软件的有效负载将会被舍弃，且不会通过稳定网络进行程序安装。 除了标准的 China Chopper外，该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器，并进行基本的文件操作如查找、读取、写入、删除和复制，设置文件属性，渗透文件，并使用参数运行cmd.exe。 该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本，这两个版本都会修改软件使用通信方法。黑客还将QuarkBandit作为第二级恶意软件，专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前，研究人员还通过观察发现 GALLIUM使用VPN来进行网络持久的访问。 针对此问题，微软在报告中还公布了一份IOC指标列表。   消息来源：SecurityAffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

作为“技术星期二”的一部分，美国联邦调查局（FBI）刚刚向大家发出了一条建议 —— 在连接公共 Wi-Fi 网络的时候，请慎重决定是否网购。历史数据表明，每年的假日期间，针对这类人群的欺诈事件都有高发态势。同时，FBI 建议大家始终保持联网设备已处于最新状态，无论是计算机还是智能手机。 设备制造商和操作系统开发团队会定期发布软件更新，以修复新老漏洞。只要做到这一点，就能够将绝大多数野外漏洞利用挡在门外。 然而随着人们对移动生活的日渐依赖，公共 Wi-Fi 也开始被越来越多的不法分子给盯上。所以在连接公共 Wi-Fi 网络的时候，还请注意谨慎暴露任何私密信息。 如果不得已使用公共 Wi-Fi 网络，需提防被黑客嗅探网络流量、甚至拦截在线支付所需的敏感信息。作为加强，FBI 建议网民为在线账户设置更加复杂的密码。 在选择商家的时候，也尽量选择那些长期坚持良好信誉的卖家，并尽可能使用信用卡（而不是借记卡）来支付，以获得额外的保护。购买虚拟物品（数字礼物）的时候，也最好挑选那些经过大平台认证的卖家。 当然，定期更换难以破解的密码，也是保护账号的一个优先事项。如果常用的软件或服务太多，亦可挑选一款靠谱的密码管理器来保护数据和提供跨设备同步服务。 最后，FBI 告诫大家务必定期认真仔细地查看银行账单，以及时上报并撤回未经授权的交易。 （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/V2nDMiLegWL2wUGjcy3mUg 一、概述 腾讯安全御见威胁情报中心检测到，Rapid勒索病毒变种在国内开始再度活跃，该病毒首次出现于2017年，由于早期该病毒加密文件后缀为Rapid，因此得名。自该病毒出现起，该病毒每年都会给一些国内企业造成不可逆转的加密破坏。由于该变种病毒暂无有效解密工具，我们提醒政企机构提高警惕。 Rapid勒索病毒在国内主要通过弱口令爆破方式传播，本次检测到国内变种加密文件完成后，会对其文件添加扩展后缀.cryptolocker，同时，病毒还会将原始文件名进行10字符随机修改，导致受害者无法识别被加密文件。 相比较于老版本病毒版本，除部分环境判断变化外，勒索方式也进行了改进，由早期邮箱沟通方式更改为使用TOR浏览器访问暗网交易解密工具的模式。 二、分析 病毒运行前首先结束大量服务防止文件占用，同时尝试结束部分安全软件相关进程。 MsMpEng.exe（Windows Defender ） Ntrtscan.exe（趋势） Avp.exe（卡巴斯基） WRSA.exe（WebRoot） Egui.exe（NOD32） AvastUI.exe（avast） 加密前同样会结束大量数据占用类进程，与老版本Rapid对比序列一致，无太大变化： 病毒运行后将自身设置为计划任务，每隔1分钟运行一次，这也导致在病毒未清理完成前，可能导致系统内新文件被再次加密，同时将自身设置为的注册表run启动(HelloAV)。 病毒加密前先导入硬编码RSA公钥，该密钥使用Base64编码存放，使用前先对其进行解码 随后会生成用户RSA密钥对，将其存储在注册表 (HKEY_CURRENT_USER\Software\EncryptKeys)中，私钥被硬编码的RSA公钥加密，该注册表信息存放路径也与老版本Rapid一致 加密前会避开以下文件，主要为rapid病毒自身使用文件和部分系统文件 文件加密时会对每一个文件生成单独的AES密钥，AES密钥信息将会使用local_public_key进行加密 文件被加密后被修改为以下格式：10字符随机名.cryptolocker，而原始文件名同被加密的AES密钥信息，local_enc_private_key信息一同放置到文件末尾。 留下名为!DECRYPT_FILES.txt的勒索说明信息，要求用户使用Tor浏览器登录暗网进行解密交易流程。区别于老版本病毒使用邮件方式沟通，通过使用暗网进行自动化交易的模式也更加完善。 老版本病毒使用勒索信 新版本病毒使用勒索信 三、安全建议 企业用户： 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 对重要文件和数据（数据库等数据）进行定期非本地备份。 教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码； 打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 OCs MD5: 0957e81940af57c778c863cd7340191f