新浪科技讯 北京时间7月16日上午消息，当地时间15日，Twitter遭遇史上最大规模的网络攻击，数十位政商界知名人士账号被盗，黑客在他们的账户上发布了骗取比特币的推文。一家比特币追踪公司称，黑客骗取了价值至少12万美元的比特币，这些资产中超过一半已经被转移到其他账户中。 这起骗局的幕后黑手侵入了包括亚马逊首席执行官杰夫·贝索斯和特斯拉创始人埃隆·马斯克在内的部分企业高管的Twitter账号，并在这些账号上发布信息，要求Twitter用户将比特币直接转到三个账号中的其中一个上。黑客还承诺会对汇入的比特币加倍返还。在汇入账号的12万美元中，大约6.5万美元已经被转移到了其他比特币账号地址，其中一个账号在过去一直保持活跃，并在美国一家交易所注册。黑客在这起诈骗案中获得的资金约有一半来自美国，四分之一来自欧洲，其余则来自亚洲。 对资金进行追踪将帮助到调查人员，因为美国交易所通常都会对用户进行严格的身份验证，因此很可能会有账号的姓名信息。但搜寻嫌犯需要时间，并且具有挑战性，这取决于黑客们下一步如何做，也取决于他们如何套现。如果他们试图利用一个受到监管的美国交易所，那么找到他们将很容易。但如果这些嫌犯试图通过不受监管的小型交易所来套现，那么找到他们将会变得非常困难。 虽然比特币很难追踪，但已经有一些追踪公司在从事这项业务，以帮助执法部门。交易所和其他供应商也已经开始收集更多的客户信息。执法机构在过去已经多次对被盗比特币进行过成功追踪。 除了一些著名政商领袖，本次黑客还成功侵入了许多加密公司，比如双子星交易所（Gemini exchange）。 美国最大的比特币交易所Coinbase已经开始阻止用户向黑客账户汇款。Coinbase发言人埃利奥特·萨瑟斯（Elliott Suthers）说：“我们已将黑客账号列入了黑名单。“ 双子星交易所的发言人说，他们也封锁了黑客的账户。目前，随着有关这起诈骗事件的消息开始成为头条新闻，向诈骗账号汇款的速度已经放慢。 比特币是一个对诈骗犯很有吸引力的标的物，因为它可以在全球范围内使用。虽然比特币的价格在新冠病毒爆发之初有所下降，但此后又开始回升，自年初以来已上涨约30%。（樵风）     （稿源：新浪科技，封面源自网络。）

自2020年以来，网络攻击规模相比于去年，激增了300％。而像医院、药房、医疗设备供应商等关乎到每个人生命健康的机构，比以往任何时候，都要面临更大的安全隐患。 即使这系列的攻击，有时候不是直接针对某个医疗物联网设备（IoMT），但它也可以通过医院的内部网络，感染用于诊断和治疗患者的设备，如静脉泵、患者监控器、呼吸机和x光机。 正如美国医院协会(AHA)网络安全和风险高级顾问约翰·里吉(John Riggi)所说：“最坏的情况是，这些用于挽救生命的医疗设备，可能在被感染后直接无法使用。” 对医院而言，防止网络攻击和保护IoMT设备不受感染的最佳方法，是将最脆弱和最关键的设备，彼此隔离或保持虚拟距离，也就是所谓的网络分段。 医院可以采取以下实际步骤，来分段临床网络，减少攻击面，并保护患者免受网络攻击： 1.首先明确谁来负责 传统意义上，医疗设备安全一直是生物医学工程设备专家的责任。 然而，随着IoMT设备的日益普及和针对医疗保健的网络攻击的增加，医院信息科室的IT团队不得不在医疗设备安全方面投入更多的精力。因此，信息科室和生物医学工程研究团队之间需要紧密合作，为临床网络设计和实施安全有效的安全政策。 为确保医疗设备的安全，并将IT和生物医学团队进行跨部门整合，这时候就需要一个单独的、最终的IoMT网络安全政策决策者。一些大型机构，甚至增设医疗设备安全员（MDSO）的角色，直接负责整个医院整个临床网络中的医疗设备安全。 2.创建可靠的设备清单 如果没有对医院连接的医疗设备、设备上的配置文件、通信模式，有足够深入了解，就无法设置网络分割策略。 自动化库存工具，还必须能够在了解IoMT设备行为、临界性、脆弱性的情况下，对设备进行持续分析。 3.评估每种设备的风险 风险评分，应根据设备可能造成的危急程度和医疗影响来计算。风险评估应持续进行，并持续监控网络异常行为。为了评估风险，必须考虑以下因素： 与正常设备功能所需的外部服务器通信(即供应商通信) 设备需要存储和发送ePHI，以及用于什么目的? 设备使用模式 设备是否运行不支持的操作系统或有任何已知的漏洞？如果是，是用补丁，还是用网络分割方法来保护设备？ 4. 实时关注监管指南和规则 如果医院不遵守联邦和州监管标准，将面临数百万美元的罚款。抛开金钱损失不谈，不遵守网络安全准则会使医疗设备面临风险，并可能危及患者的安全、商业诚信和医院的声誉。 涉及医疗保健和医疗设备的准则和条例定期更新。为了保持合规，医院必须密切关注州联邦机构发布的监管标准和更新，包括： 美国食品和药物管理局(FDA) 医疗设备信息共享和分析(MDISS)倡议 《健康保险可携性和问责法》(HIPAA) 5. 设计、验证和执行分段策略 分段策略用以减少攻击面，并阻止潜在威胁。网络分段还可以通过将流量限制到指定区域和减少网络负载，来帮助网络更顺畅地运行。 然而，在临床网络上执行任何分段策略之前，应测试其安全性和有效性。医院安全团队应始终验证分段策略，然后在网络上执行，以确保医疗服务和临床操作的连续性。     （稿源：雷锋网，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/GnXrOJ2Ep469c0WUbMplag   一、概述 腾讯安全威胁情报中心检测到一款名为FushenKingdee的勒索病毒正在活跃，已有企业遭受攻击。该病毒系Scarab勒索病毒的变种，会使用RSA+AES的方式对文件进行加密。病毒不仅会加密文件内容，同时还会使用RC4+非标准的Base64对文件名进行加密编码，被攻击后系统内文件将被修改为“固定名的编码数据.cov19”格式。 攻击者留下勒索信，要求联系指定邮箱FushenKingdee@protonmail.com购买解密工具。被该病毒加密破坏的文件，目前暂不能解密恢复，腾讯安全专家提醒用户小心处理不明邮件，政企用户须强化网络安全管理措施，避免受害。 FushenKingdee勒索病毒作者疑似来自俄语地区，病毒加密时会排除俄罗斯、白俄罗斯、乌克兰等地。根据攻击者在受害电脑残留的processhacker（一款安全分析工具），NetworkShare v.2.exe（网络共享扫描）等工具，腾讯安全专家推测攻击者不仅限于加密一台电脑，还有进行网络扫描横向扩散的意图，攻击者可能采用钓鱼邮件、弱口令爆破、或漏洞入侵等方式尝试入侵，再释放勒索病毒。 目前，腾讯电脑管家、腾讯T-Sec终端安全管理系统均可查杀FushenKingdee勒索病毒。 二、安全建议与解决方案 腾讯安全专家建议用户采取必要措施提升网络安全性，避免遭遇勒索病毒攻击。 企业用户 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆； 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问； 3、采用高强度的密码，避免使用弱口令密码，并定期更换。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理； 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器； 5、对重要文件和数据（数据库等数据）定期备份，至少保留一份非本地的备份； 6、建议企业终端用户谨慎处理陌生电子邮件附件，若非必要，应禁止启用Office宏代码； 7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。. 8、建议全网安装腾讯T-Sce终端安全管理系统（腾讯御点，https://s.tencent.com/product/yd/index.html）。 御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户 1、建议启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码； 2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 三、样本分析 FushenKingdee勒索病毒使用了复杂的加密流程，在没有获得私钥的情况下，无法完成解密，因而中招后会损失惨重。 加密部分分析 病毒运行后首先从内存中使用ZLib解压出大量要使用的明文字串信息，其中包含了硬编码的RSA 2048公钥信息。 随后生成本地RSA 512密钥对信息，将其RSA 512 Private Key（N , D）导出后拼接保存待用。 之后再使用解压后配置中硬编码的RSA 2048 Public Key对其RSA 512 Private Key进行加密，加密结果待进一步处理。 RSA 512 Private Key被加密后，再进行以下3个流程处理： 计算RSA 512 Private Key被加密后的内容长度：下图（Offset:0x0，Size: 0x8）； 对RSA 512 Private Key被加密后的内容进行CRC32校验，保存其Hash：下图（Offset:0x8,Size:0x4）； 将其RSA 512 Private Key被加密后的内容进行ZLib-Level 2压缩，去除其压缩前2字节压缩标志，去除尾5字节后保存（Offset:0xC,Size:压缩后大小）。 最后再对其处理后的3部分数据使用修改过的Base64进行编码： 标准Base64-Table为： ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 病毒修改后的Base64-Table为： ABCDEFGHIJKLMNOPQRSTUVWXYZ+=0123456789abcdefghijklmnopqrstuvwxyz 非标准Base64处理后的结果将保存作为用户ID，即勒索信中的personal identifier部分内容。 病毒加密文件前，会使用rdtsc对每个文件单独生成共计0x30（0x10+0x20两部分）字节的随机密钥数据。 其生成大小0x20字节部分会被首先作为Key，并结合使用RC4对其文件名进行加密 随后对RC4加密过的文件名数据进行非标准Base64编码，编码后的字串就是文件加密后的随机文件名，例如下图中文件名cef_100_percent.pak最终将被重命名为iDQbLSy99iHpsRqiT2f7kwmrQhhHKOcKFaq5TnhlZgEX5gLATUo.cov19 文件加密则使用了AES-256 CBC模式，之前生成的0x10字节数据将再次作为IV，0x20字节部分随机数据为作为Key，对文件内容进行加密。 文件内容加密完成后，再把随机生成的0x30字节数据拼接到一起使用本地生成的RSA 512 Public Key进行加密，最后附加到文件末尾，由于RSA 512 Private Key信息被硬编码RSA 2048 Public Key加密后再Zlib压缩Base64编码存放在勒索信中，无法获取其明文，故被加密文件在无私钥情况下无法解密。 其他行为分析 该病毒作者疑似来自俄语系国家，病毒加密会避开以下地域0x7（俄罗斯），0x177（白俄罗斯）,0x17C（乌克兰） 病毒会加密大量扩展后缀文件，几乎包括所有的数据文件类型： 由于病毒会删除系统备份，文件卷影信息，被加密后的文件也无法通过文件恢复的方式找回，系统内大量文件将被加密为”乱码.cov19”形式，且病毒会对文件修改时间进行重设置以防止时间相关的随机生成参数被爆破的可能。 在病毒的实际攻击环境中，同时还发现了攻击者留下的processhacker（一款安全分析工具），NetworkShare v.2.exe（网络共享扫描）等工具，这说明攻击者并不满足于只加密一台机器，攻击者还会尝试扫描攻击局域网内其它机器以扩大战果。 IOCs MD5 aa87be1b17d851905ea3fa5d93223912

泰国Android设备用户正受到“ WolfRAT”的DenDroid升级版的攻击，目前，它主要针对如WhatsApp，Facebook Messenger和Line等社交软件。该升级版主要由臭名昭著的Wolf Research进行操作。其操作水平相当业余，主要进行代码重叠，开源项目复制粘贴，类的实例化，不稳定的程序打包和不安全的面板操作。 相关背景 思科Talos根据DenDroid恶意软件系列的泄漏发现了一种新的Android恶意软件，由于该恶意软件（其命令和控制（C2）基础结构）与Wolf Research之间的结构重合以及字符串的引用，因此我们将其命名为“ WolfRAT”。目前该开发团队似乎已经关闭，但黑客们还是非常活跃。 我们发现了一些针对泰国用户及其设备的攻击活动，部分C2服务器就在泰国。它的面板中有着泰文的JavaScript注释、域名还有泰式食品的引用，通过这些策略，诱使用户对这些面板进行访问，其过程并不复杂。 运作过程 该恶意软件模仿一些合法服务进程，如Google服务，GooglePlay或Flash更新。其操作主要是对于网络上大量的公共资源进行复制粘贴。 造成的后果 在被丹麦的威胁情报公司CSIS Group公开谴责之后，Wolf Research被关闭但成立了一个名为LokD的新组织，该组织致力于Android设备的安全保护。但由于设备的共享以及面板名被遗忘，我们认为该组织的黑客依然活跃而且还在进行开恶意软件的深层开发。此外，在C2面板上我们还发现了Wolf Research与另一个名为Coralco Tech的塞浦路斯组织之间存在潜在联系，而这个组织还在进行技术拦截研究。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1216/     消息来源：talosintelligence， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2019年秋，相关网站发布了一篇文章，其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的，目前该恶意软件的开发者们还在开发新的功能。同年11月下旬，相关搜索引擎发现了一个新的木马，其之前发现的代码高度相似，经过进一步的研究表明，它使用的是与COMPFun相同的代码库。 本次恶意活动幕后操纵者聚焦于外交实体上，其目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中，但恶意代码是如何传递到目标中的这点我们尚不清楚。     …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1212/     消息来源：securelist， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，微软周四宣布，该公司正在将其收集的与新冠病毒相关的黑客攻击活动的威胁情报公开。“作为一个安全情报社区，当我们分享的信息能够提供更完整地了解攻击者的转移技术时，我们就会更强大，”微软威胁情报团队在一篇博文中说。“这种更完整的视图使我们都能更主动地保护、检测和防御攻击。” 微软决定开放其feed，以提高人们对攻击者在新冠大流行期间不断变化的技术的认识–尤其是对于那些可能不具备该公司所拥有的广泛可见性的人来说。该安全团队写道：“微软每天处理跨越身份、端点、云端、应用和电子邮件的数万亿个信号，这为我们提供了广泛的COVID-19主题攻击的可视性，使我们能够在整个安全栈中检测、保护和应对这些攻击。” 由26个成员组成的网络安全威胁共享非营利组织 “网络威胁联盟”（Cyber Threat Alliance）总裁兼首席执行官迈克尔-丹尼尔（Michael Daniel）表示，大流行期间犯罪活动的转变首次将目标锁定在使用新平台的人身上。 “总的来说，安全行业的恶意活动数量并没有增加；但是，我们看到这种犯罪活动的重点发生了迅速而急剧的转移，”前白宫网络安全协调员Daniel告诉CyberScoop。“坏人已经试图利用人们的恐惧、整体信息的匮乏以及许多在线平台的首次用户的增加等因素，将重点转移到了COVID-19的相关主题上。” 在网络犯罪分子和国家行为者开始用新冠病毒和医疗保健主题的鱼叉钓鱼邮件或虚假的移动应用程序在全球范围内瞄准受害者几个月后，微软进行了这一举动。微软正在提供的信息包括在大流行病相关的鱼叉钓鱼电子邮件活动中的恶意附件中使用的文件散列指标。其中包括的许多电子邮件诱饵都模仿了世界卫生组织和红十字会的品牌，而其他诱饵似乎是在与目标共享有关COVID-19的信息。 微软分享的283个威胁指标可以通过微软的Graph Security API或Azure Sentinel的GitHub页面获得。 Mandiant Threat Intelligence的高级首席分析师Sarah Jones告诉CyberScoop，这种公开的共享很可能会对致力于打击新冠病毒相关威胁的中小型企业有所帮助。“我们还没有机会观察到微软的这一功能，不过，拥有多种方式整合和查询外部的intel feeds，对于网络防御者来说总是有帮助的。”ones说。“此外，向客户发布高质量的和经过审核的‘Compromise指标’馈送，对于中小型企业来说，可以成为一种力量的倍增器。” Cofense首席技术官Aaron Higbee对这一举措表示欢迎，但他补充说，滥用微软Office 365的网络钓鱼邮件非常猖獗。 “我们赞扬所有的努力，以保护人们免受网络钓鱼攻击的攻击，这些攻击利用了人们对大流行病的恐惧和担忧。”Higbee告诉CyberScoop。“Cofense的客户对微软无法过滤掉网络钓鱼邮件表示出越来越多的不满。当他们得知钓鱼邮件来自于Office 365账户，并且钓鱼套件托管在Office 365上时，他们就会变得特别恼火。我很好奇，在微软选择分享的283个网络钓鱼指标中，有多少个是托管在Office 365内的。” 几个星期前，多个网络安全志愿者团体联合起来，帮助医疗机构在大流行期间应对突发的网络安全威胁。其他公司此前已经宣布，他们正在更广泛地提供服务。   （稿源：cnBeta，封面源自网络。）

你的电脑很可能又被黑客盯上了。近日，据外媒报道，一名荷兰研究人员 Ruytenberg 展示了黑客如何通过 Thunderbolt 实施物理访问进而攻击电脑，并指出了 7 类漏洞 ： 固件验证方案不足 弱设备认证方案 未经验证的设备元数据的使用 使用向后兼容性降低攻击级别 未经验证的控制器配置的使用 SPI 闪存接口缺陷 在 Boot 营地没有雷电安全 研究者指出，这些漏洞适用于自 2011年以来所有装有 Thunderbolt 的计算机，并且允许拥有物理访问权限的攻击者从加密的驱动器和内存中快速窃取数据。 更可怕的是，即便你的设备即使处于睡眠模式或锁定的状态、设置安全引导、使用强 BIOS 和操作系统帐户密码以及启用完全磁盘加密，攻击仍然有效，并且这种攻击不会留下任何痕迹，也不需要任何形式的网络钓鱼，还可以从加密驱动器中窃取数据，而完成这一过程只需要 5 分钟。 研究人员将这一漏洞命名为 Thunderspy。值得注意的是，这是个硬件级漏洞，只要几百美元的设备就能攻破该漏洞。 在 Mac 电脑和部分 Windows 电脑上，Thunderbolt 端口能够被用来连接外围设备，比如显示器、高速网络适配器、普通硬盘和容量更大的存储阵列。在笔记本电脑上，一个 Thunderbolt 插接站就可以让你的电脑接入闪存读卡器、电源电缆、HDMI 显示器、以太网以及 USB 鼠标和键盘。 但一直以来，Thunderbolt 有一个让安全研究人员都很担心的问题：因其更快的数据传输速度，并且允许比其他端口更直接地访问计算机内存，所以导致漏洞的风险也更大。 3 个月前，Ruytenberg 向英特尔报告了这一漏洞，经核查，英特尔承认了这一漏洞。 英特尔表示：“虽然潜在的漏洞并不是新出现的，而且在去年的操作系统发布版中就已经解决了，但是研究人员在没有启用这些缓解措施的系统上使用定制的外围设备，演示了新的潜在物理攻击载体。 但他们并没有证明 DMA 攻击能够成功地攻击启用了这些缓解措施的系统。对于所有系统，我们建议遵循标准的安全实践，包括只使用受信任的外围设备和防止未经授权的物理访问计算机。英特尔将继续改进 Thunderbolt 技术的安全性，感谢来自埃因霍芬理工大学的研究人员向我们报告了这一情况。” 不过，Ruytenberg 有不同的看法，因为在实验中，他们没有发现任何一台戴尔电脑安装了上述保护措施，只有部分惠普和联想笔记本安装了。 此外，这些漏洞也无法通过软件更新修复，因为它们本质上与硬件设计有关，即使用户在操作系统中调整了安全设置，也不能完全避免此类攻击，所以只能靠今后重新设计硬件才能完全解决。 也就是说，目前还无法解决这个威胁。黑客如何在无密码解锁的情况下攻入你的电脑的？ 为了进一步证明这个漏洞的影响，Ruytenberg 在 youtub 上传了一段分析视频 详情请见：https://www.youtube.com/watch?v=3byNNUReyvE 在演示视频中，他卸下了电脑的后盖，将 SPI 编程器和主板上的雷电控制器连接起来。 然后在另一台电脑上的雷电接口上插入一个自制破解设备，运行 PCI Leech 软件（一种内核插入和攻击工具），通过改变控制 Thunderbolt 端口的固件，允许任何设备访问，而整个过程只用了 5 分钟。 这样一来，攻击者可以永久禁用 Thunderbolt 安全并阻止所有未来的固件更新。该攻击只需要价值约 400 美元的装备，包括一个 SPI 编码器和价值 200 美元的 Thunderbolt 外设。当然，除了上面要拆开笔记本的方法外，Thunderspy 攻击还有一种无需物理侵入的方法。即通过创建任意的雷电设备身份，克隆用户授权的雷电设备，最后获得 PCIe 连接以执行 DMA 攻击。 这样，无需打开电脑外壳，即可绕过目标设备的锁定屏幕。但是，只有将雷电接口的安全性设置为允许受信任设备的默认设置时，这种无需物理侵入的 Thunderspy 攻击才有效。 目前，英特尔尚未发布任何 Thunderspy 漏洞的 CVE 信息，并且不计划发布针对市场上已有系统的修复程序。苹果则决定不为 Thunderspy 提供修复程序。 所以，对于用户来说，怎样保护电脑不被黑客攻击呢？安全研究人员也给出了一些建议。 通过免费的开源工具 Spycheck，验证是否受到 Thunderspy 的攻击： 验证地址：https://thunderspy.io/ 只连接自己的 Thunderbolt 外设；不要把它们借给任何人； 避免开机时无人值守系统，即使屏幕被锁定； 避免让 Thunderbolt 外设无人看管； 存储系统和任何 Thunderbolt 设备(包括 Thunderbolt 供电的显示器)时，确保适当的物理安全； 避免使用睡眠模式(内存挂起)。   （稿源：雷锋网，封面源自网络。）

过去几周内的黑客活动因疫情隔离的影响变得更加活跃，索尼顽皮狗《最后的生还者2》泄密也被认为是黑客所为。隔壁任天堂在此前NNID账户被盗之后近日又被不法者盯上，导致了Wii主机的完整源码/设计方案和N64技术演示流出，可以说已经成为任天堂史上最大规模的泄露案件。 根据ResetEra论坛上的汇总，所有的数据都直接从一家和任天堂合作的公司内部窃取。BroadOn在Wii的硬件和游戏上和任天堂都有过交互合作，通过攻击BroadOn服务器黑客获得了Wii主机的所有源代码、数据表、设计框图以及每一个配件的Verilog文件（Verilog是一种硬件描述语言，通过代码文本来描述硬件结构和行为）。 除了Wii和N64的主机相关资料外，本次任天堂被泄露的还有大量《宝可梦》相关档案，包括了《宝可梦黄/蓝》、《宝可梦金/银》的调试版本和源码、《宝可梦日月/终极日月》的调试版本等。 鉴于Wii主机的档案属于商业机密，任天堂和BroadOn显然会付诸法律行动。尽管泄露出来的内容都已经过时，但从规模和性质上来讲，这都称得上是任天堂游戏史上性质最恶劣的黑客攻击。   （稿源：cnBeta，封面源自网络。）

目前，一场严重的黑客攻击行动正在进行中，已经有数十家公司被黑客攻击。在过去的24小时里，黑客们一直在互联网上大规模扫描Salt，这是一种用于管理和自动化数据中心、云服务器集群和企业网络内部服务器的软件。 攻击者一直在利用最近被修补的两个BUG来访问Salt服务器，然后部署一个加密货币矿机。今天早些时候，据ZDNet报道，黑客成功入侵了移动操作系统LineageOS的服务器。在我们最初报道后的几个小时后，第二个重大黑客事件浮出水面。第二个受害者是Ghost，这是一个基于Node.js的博客平台，据称是WordPress更简单的替代品。在一个状态页面中，Ghost开发团队表示，他们在UTC凌晨1点30分左右检测到了黑客入侵他们的后端基础设施系统。 Ghost开发人员表示，黑客利用CVE-2020-11651（身份验证绕过）和CVE-2020-11652（目录遍历）来控制其Salt主服务器。该博客公司表示，虽然黑客能够访问Ghost(Pro)网站和Ghost.org计费服务，但他们没有窃取任何财务信息或用户凭证。相反，Ghost表示，黑客们安装了一个加密货币挖矿器。Ghost开发人员表示：”这次挖矿尝试使我们的CPU使用率激增，并迅速使我们大部分系统超载，这让我们立即警觉到了这个问题。” 与LineageOS类似，Ghost开发者们在几个小时后，拿下了所有服务器，打了系统补丁，并在几个小时后重新部署并且重新上线。 一位安全研究员表示，这些攻击很可能是通过自动漏洞扫描器进行的，该扫描器检测到了过时的Salt安装，然后自动利用这两个漏洞安装了加密货币恶意软件。   （稿源：cnBeta，封面源自网络。）

据外媒报道，苹果公司表示，目前没有任何证据表明网络攻击者可以利用iPhone和iPad邮件（Mail）应用程序中的新漏洞进行黑客攻击。此次发现漏洞的Mail应用在全球可能有超过10亿用户。 苹果公司正在反驳网络安全公司ZecOps的说法。ZecOps称，苹果的软件缺陷为黑客潜入iPhone及其他iOS设备中提供了可能，且这一漏洞已经存在了一年之久。苹果公司发起了一项调查，并在一份声明中表示，Mail问题本身并不足以让网络攻击者绕过苹果内置的安全机制。同时，苹果公司补充说，它将很快发布一个补丁。 苹果公司表示：“我们已经彻底调查了研究人员的报告，并根据所提供的信息得出结论，这些问题不会对我们的用户构成直接的风险。研究人员在Mail中发现了三个问题，但仅凭这些漏洞并不足以让黑客绕过iPhone和iPad的安全保护，目前我们还没有发现任何证据表明它们可以被用来攻击苹果用户的隐私。” 总部位于旧金山的ZecOps上周五对苹果的否认做出了回应，重申它发现的漏洞确实被“一些组织”利用了。ZecOps公司在一份声明中对苹果的新补丁表示了感谢，同时宣称将在补丁发布之后“更新更多信息”。 上周三，ZecOps发布了关于漏洞的报告。报告称，当iPhone或iPad在Mail应用程序上打开一封经过特别设计的电子邮件时，网络攻击者就可以利用这些漏洞。ZecOps公司在报告中称，这一漏洞已经被“一个高级威胁的运营商”用于实施攻击了。ZecOps公司表示，遭到网络攻击的用户中有“来自北美财富500强企业的个人”、“日本一家航空公司的高管”以及“欧洲的一名记者”。 据ZecOps称，网络攻击者可能从2018年1月就开始利用这些漏洞了。ZecOps预测，当苹果发布beta版更新时，这些漏洞会被公开披露，而网络攻击者“很可能会利用这段时间，在补丁发布之前攻击尽可能多的设备”。   （稿源：新浪科技，封面源自网络。）