外媒 2 月 26 日报道，乌克兰警方于周一表示，大规模僵尸网络 Avalanche （仙女座）的组织者之一被成功逮捕。 Andromeda （仙女座）是市场上最大的僵尸网络之一，自 2011 年以来一直存在。它为世界各地的恶意软件和 DDoS（分布式拒绝服务）垃圾邮件攻击提供基础架构。乌克兰网络警察在一份声明中说， 国际犯罪平台 Avalanche 的组织者在全球范围内每天感染的设备数量约达 50 万台。 其实早在 2016 年 11 月，来自欧洲刑警组织以及其他地区的检察官和调查人员进行了一场国际执法合作，成功摧毁了国际犯罪基础设施平台 Avalanche ，并逮捕了其高层老板。欧洲刑警组织表示，在当时的行动中，数百台服务器被关闭或扣留，80 万个互联网域名被封锁，成为迄今为止最大的拆除行动之一。 在这次行动中，一位网络警察发言人向法新社证实，被捕的男子是一名乌克兰公民 Gennadiy Kapkanov。警察搜查了该名男子的公寓，并对一台笔记本电脑和存储设备进行了取证。在调查过程中，警方发现，为了隐藏犯罪行为，该名男子使用了不同身份的护照。 不过乌克兰媒体称，Gennadiy Kapkanov 似乎是失踪了。因为虽然 Gennadiy Kapkanov 被拘留在他位于乌克兰中部城市波尔塔瓦的家中，但由于当地法院并没有实行正式逮捕。 于是周一晚些时候，法院将不得不再次决定是否要正式逮捕 Gennadiy Kapkanov 。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日安全研究公司 Radware 发现了一个新的僵尸网络 “ JenX ”，其设计用途为在全球范围内劫持安全薄弱的物联网设备作为肉鸡，有趣的是安全公司发现 JenX 程序背后指向一支名为 San Calvicie 的黑客团队,而黑客团队用于分布式拒绝攻击 DDoS 的服务器控制主机位于东非的塞舌尔群岛。他们的控制主机除了执行 DDoS 攻击之外，还被用于作为R星经典游戏《侠盗猎车手:圣安地列斯》的私服主机。 僵尸网络主机可追溯到 San Calvicie 组织的官网，研究团队发现这些主机正在为 R 星游戏《侠盗猎车手:圣安地列斯》提供私服主机服务，玩家们可以在中创建 Mod，并要求其他玩家加入私服游戏。同时这些主机还提供防御 DDoS 攻击的服务，售价为每月 16 美元。 而与此同时，这些黑客也提供按需提供分布式拒绝攻击 DDoS 的服务，每次 20 美元。网站上如此宣传这项服务“神怒会砸向你要求攻击的 IP ”。这些组织最早提供 100Gbps 的 DDoS 的攻击服务，而在他们建立好 JenX 僵尸网络后，攻击流量直接升级至 300Gbps 。专家并不确定被劫持的物联网设备数量。 稿源：cnBeta，封面源自网络；

据媒体 1 月 31 日报道，“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络，它也被称为 Ismo ，它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称，这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露，据报道，这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实，Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑，每天大约会挖掘 24 个门罗币。到目前为止，据报道，“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币，约合 210 万美元。研究人员说，在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据，网络犯罪分子瞄准的是易受攻击的 Windows 系统，也使用了一种被泄露的 NSA 协议，叫做 EsteemAudit 。 根据 thehackernews.com 网站，专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到，但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样，通过在线广告进行大规模的门罗币挖掘恶意软件攻击，主要是由于有争议的加密货币挖掘和广告平台 cove，影响了全球范围内的大量用户和在线业务，包括 Youtube。 稿源：九个亿财经，封面源自网络；

外媒 1 月 25 日消息，一个名为 Hide’N Seek（ HNS ）的新僵尸网络正在世界各地不断增长，对物联网设备造成重大影响（截至目前为止，受感染的物联网设备数量已达 2 万）。据研究人员介绍，HNS 僵尸网络使用定制的点对点通信来诱捕新的物联网设备并构建其基础设施，目前 HNS 主要是针对不安全的物联网设备，尤其是 IP 摄像机。 Bitdefender 的安全研究人员发现 HNS 僵尸网络于 2018 年 1 月 10 日首次出现，和其他与 Mirai 有关的物联网（IoT）僵尸网络并不相同。因为 HNS 有着不同的起源，且不共享其源代码。事实上，Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为 HNS 与 Hajime 僵尸网络更为相似。 Bitdefender 的研究人员在 1 月 24 日发表的博客文章中写道： “ HNS 僵尸网络以复杂并且分散的方式进行通信，使用多种防篡改技术来防止第三方劫持。” 其僵尸程序可以通过与 Reaper 相同的漏洞（ CVE-2016-10401 和其他针对网络设备的漏洞），对一系列设备进行 Web 开发。 除此之外，HNS 还可以执行多个命令，包括数据泄露、代码执行和对设备操作的干扰。其僵尸程序具有类似蠕虫的特性，可以随机生成一个 IP 地址列表来获得潜在的目标，随后向列出的每个目标设备发起一个原始的套接字 SYN 连接。 一旦连接成功，僵尸程序将查找设备提供的 “ buildroot login ” 横幅，并尝试使用一组预定义凭据进行登录。如果失败，它会试图通过使用硬编码列表的字典攻击来破解设备的密码。 其次，若用户设备与僵尸程序具有相同的局域网，那么僵尸程序将会设置 TFTP 服务器，以便受害者能够下载样本。但如果是位于互联网上，僵尸程序将尝试一种特定的远程有效载荷传递方法，让用户设备下载并运行恶意软件样本。 一旦设备被感染，僵尸网络背后的黑客就可以使用命令来控制它。目前僵尸网络已经从最初的 12 个受损设备增加到 2 万多个。 但幸运的是，像大多数物联网僵尸网络一样，HNS 僵尸网络不能在受感染的设备上建立持久性。只要通过简单的设备重新启动， 受感染的设备中就可以自动删除恶意软件。 目前 Bitdefender 的研究人员尚未发现 HNS 僵尸网络具有 DDoS 功能，这意味着 HNS 将被部署为一个代理网络。另外，研究人员透露 HNS 僵尸网络仍然不断变化中，可能会被应用于多种攻击场景。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 21 日消息，俄罗斯联邦安全局（ FSB ）发现黑客组织正在实施一项加油站设备的欺诈计划，旨在利用电子加油机上安装的恶意程序，达到在抽送汽油时每加仑减少 3 ％ 至 7 ％ 的目的，从而使顾客支付比实际购买燃料更多的金额。目前 FSB 已逮捕恶意程序的开发作者，并牵涉出参与欺诈的数十名加油站员工。 据俄罗斯多家媒体报道， FSB 于上周六在俄罗斯 Stavropol 逮捕了黑客 Denis Zayev ，指控其开发了多个恶意软件程序，并将这些程序出售给加油站员工用于欺诈消费者。目前这些恶意软件仅在位于俄罗斯南部的加油站中发现。 在提审中，Zayev 承认与加油站员工瓜分了消费者多支付的油钱。此外，据 FSB 猜测，欺诈计划可能已为其带来 “ 数亿卢布 （1 人民币相当于 8.99 俄罗斯卢布）”的收益。 FSB 透露，恶意软件不仅可以在加油机上显示虚假数据，允许加油站员工为顾客抽送汽油时每加仑减少 3％ 至 7％ ，并且还能够使收银机和后端系统也录入错误数据。更为隐蔽的是，Zayev 的这些恶意软件能够掩盖加油站非法剩余汽油相关的销售数据。因此，远程监视汽油库存的检查人员和石油公司很难检测出欺诈行为。 近年来针对加油站的黑客事件并不少见： 早在 2014 年，纽约州当局就曾指控  13 名男子在 2012 年至 2013 年期间利用启用蓝牙的撇油器窃取了美国南部消费者的 200 多万美元。 2015 年，研究员 Kyle Wilhoit 和 Stephen Hilt 发布的黑帽演示文稿中也强调了美国越来越多的互联网加油机监控系统危险。他们警告称，遭暴露的 SCADA 系统能导致恶意人员针对加油机发动 DDoS 攻击，通过记录不正确的填入数据和操纵加油机提供柴油而非无铅汽油的方式损坏汽车引擎。 消息来源：ThreatPost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，FireEye 于近期发现了一种新的攻击手法——利用三个 2017 年披露的 Microsoft Office  漏洞进行恶意软件 Zyklon 的传播活动 。据悉，该活动主要针对电信、保险和金融服务等公司，试图收集其密码和加密货币钱包数据，并为未来可能发生的 DDoS （分布式拒绝服务） 攻击收集目标列表。 功能强大的 Zyklon 恶意软件 Zyklon 是一款 HTTP 僵尸网络恶意软件 ，自 2016  年就开始出现，通过 Tor  匿名网络与其 C＆C （命令和控制）服务器进行通信，从而允许攻击者远程窃取密钥和敏感数据，比如存储在 web 浏览器和电子邮件客户端的密码。此外，根据 FireEye 最近发布的报告，Zyklon 还是一个公开的全功能后门，能够进行键盘记录、密码采集、下载和执行额外的插件，包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。 而在此次攻击活动中，背后的攻击者利用  Microsoft Office 的三个漏洞通过鱼叉式网络钓鱼电子邮件传播 Zyklon 恶意软件，这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本，并从 C＆C 服务器下载最终 playload。这样一来， 用户的计算机设备就会成功受到感染。 以下为恶意软件利用的三个 Microsoft Office 漏洞： 第一个漏洞：CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序，处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象，该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。 第二个漏洞：CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误，微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似，打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。 第三个漏洞：在于动态数据交换（ DDE ），但微软不承认该漏洞的存在，而是坚称 DDE 只是一个产品功能，是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而，在过去的一年中，攻击者利用 DDE 在恶意活动取得了巨大的成功，比如在无需启用宏或内存损坏情况下在目标设备上执行代码。 FireEye 表示，目前越来越多的攻击者利用恶意软件来执行不同的任务，并且很可能会超出当前攻击目标的范围，因此对于所有行业来说保持高度警惕性变得尤为重要。 消息来源：threatpost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据媒体报道，Bitconnect 作为一个长期以来被许多人怀疑是庞氏骗局的借贷和交易平台，现在宣布即将关闭。 Bitconnect 在其网站上发布声明称，平台关闭之所以关闭是因为饱受 “ 持续的负面新闻 ”，并且收到来自德克萨斯州和北卡罗来纳州的证券委员会要求平台停止运营的信件，同时该平台还持续受到 DDoS 攻击。 虽然说该融资平台称它们将以 363.62 美元(代币在过去 15 天的平均价格水平)的价格退回所有贷款，但 Bitconnect 代币目前交易低于 80%，并且价值低于 40 美元。因此,尽管用户可能已经提前赎回所有加密货币，但从美元或比特币(这是他们原始投资)来看，肯定有很多人遭受严重的经济损失。 许多加密货币社区的人公开指责 Bitconnnect 运营一个庞氏骗局，其中就包括以太网站创始人维塔利克·布特林。 Bitconnect 通过发行一种名为 BCC 的加密货币（不要与 BCH 或 Bitcoin Cash 相混淆)，由于交易平台已经关闭，它现在基本上是没有任何意义的。最后，该代币的价格从几小时前的 200 多美元跌到了 37 美元，跌幅超过 80% 。 Bitconnect 是一个匿名运行的网站，用户可以将其加密货币借给公司，以换取巨额回报，这取决于贷款的期限。例如，1 万美元贷款 180 天，据说每月会给用户 40% 的回报，每天有 20% 的奖金。 Bitconnect 还有一个蓬勃发展的多层次转诊功能，这也使得它有点类似于一个金字塔结构，成千上万的社交网络用户都试图使用他们的推荐代码来驱动新用户注册。 该平台表示，它使用 Bitconnnect 交易机器人和“波动性交易软件”为用户生成回报，平均每天约为 1%。 当然，从市场波动和反复无常中获利是一种合法的交易策略，有许多对冲基金和机构交易员都在使用。但是Bitconnect 承诺(和支付)的数额，以及保证的回报数额，让许多人相信这是一个庞氏骗局，它们用新抵押贷款支付现有的贷款利息。 下面的图表将决定使用该平台的用户数量。 所有 Bitconnect 贷款都以美元为单位，但必须以 BCC (该平台的原生加密货币)进行交易。因此，贷款用户必须将比特币存入平台，然后以市场利率将比特币兑换成 BCC。贷款利息和本金也只以 BCC 中支付。这意味着在贷款期限结束后，用户将不得不将其转换回比特币(或是美元)。 BCC 参与贷款计划的要求导致了 BCC 的需求(和价格)自然增长。在不到一年的时间里，这个加密货币的价值从低于1美元(以百万计的市值)上升到有史以来最高的 430 美元，市值超过了 2.6 亿美元。 但是现在，由于没有其他用途，其价格可能会继续下跌。该公司确实表示，他们的 Bitconnect X 交易平台的 ICO 仍会继续，而 BCC 加密货币交易将继续在那里进行。 稿源：cnBeta、TechWeb，封面源自网络；

网络安全公司 Corero 于近期发布一份报告，宣称 2017 上半年的 DDoS 攻击数量增加一倍，起因竟是各企业及用户所使用的不安全物联网（IoT）设备。据称，只要用户设备在线联网，其拒绝服务（DDoS）攻击就将存在。倘若企业依赖互联网销售产品或协作，那么 DDoS 攻击不仅仅是一个麻烦，更将影响企业后续发展。 在过去数年内，DDoS 攻击的数量在 “猫捉老鼠” 的演变过程中呈缓慢趋势增长，即犯罪分子一旦加强攻击，其网络供应商就会进行弹性防御。然而，此类攻击一般都来自被感染的计算机和服务器组成的僵尸网络。不过，由于在僵尸网络中获取和维护这些系统的成本相对较高，因此在攻击发展的速度方面存在经济限制。 但是，僵尸网络 Mirai 的开发人员就很 “聪明”， 并未针对安全团队或安全设施开展攻击，而是把重点瞄准数百万家用物联网设备，例如利用网络摄像头与互联网路由器构建僵尸网络开展 DDoS 攻击。由于 Mirai 无需任何安全措施检测，因此它能在肆意感染的同时发起比以往更大的攻击活动。 根据 Arbor Networks 2016 年年底的报告显示，物联网设备已然成为 DDoS 攻击来源。到目前为止，这些大规模的攻击还未利用反射/放大技术展开。相关数据显示，DDoS 攻击的数量在 2015 年显著上升，其攻击的平均规模和时间也在不断增加。由卡巴斯基 2016 年第四季度 DDoS 情报报告得知，DDoS 攻击持续时间最长为 292 小时（或 12.2 天），明显长于上一季度（ 184 小时或 7.7 天），创下 2016 年的纪录。 研究人员表示，目标企业现平均每天遭受 8 次 DDoS 攻击，均由不安全物联网设备和 DDoS 出租服务导致。虽然大规模的 DDoS 攻击正得到媒体关注，但这只是攻击的一小部分。然而，最令人感兴趣的是，2017 年第二季度发生的第五次 DDoS 攻击使用了多种媒介进行，旨在规避安全软件检测。目前，只需要每小时 20 美元，任何黑客都可采用僵尸网络针对目标企业发动攻击。此外，网络犯罪分子已经将 DDoS 攻击作为一项有利可图的开发项目，这就意味着拒绝服务攻击的活动仍将继续。 关联阅读： ○ 卡巴斯基实验室 《黑色星期五威胁报告》（英文） ○ 卡巴斯基实验室《2017 年第三季度的 DDoS 攻击报告》（英文） ○ 卡巴斯基实验室《2018 年威胁预测》（英文）   消息来源：securityaffairs.co ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，瑞典三家交通机构的 IT 系统于 10 月 11 日、 12 日分别遭到黑客 DDoS 攻击，导致官网服务掉线、列车运行延误。 调查显示，黑客于 10 月 11 日针对瑞典运输管理局（ Trafikverket ）展开 DDoS 攻击，导致该机构负责管理列车订单的 IT 系统瘫痪，以及电子邮件系统与网站宕机，从而影响了旅客预定或修改订单的情况。不过，该机构随后通过 Facebook 向旅客提供了有关情况的最新信息。 瑞典交通管理局的新闻通讯官员 Pär Aronsson 证实，机构多个 IT 系统受到黑客攻击，其中包括能够显示列车位置的驱动系统。不过，虽然部分问题还在调查，但多数系统仍可正常运行。此外，知情人士透露，黑客发动的 DDoS 攻击主要针对服务提供商 TDC 和 DGC，其目的是影响机构的正常运营。 起初，安全专家认为这仅仅是一次突发事件，但第二天，另一家政府机构——瑞典交通运输局（Transportstyrelsen），以及公共交通运营商 Västtrafik 的 IT 系统遭到类似 DDoS 攻击，短暂性的破坏了官网的机票预订应用和在线旅游计划。互联网提供商 DGC 的副首席执行官 Patrik Gylesjö 表示，这可能是一场恶作剧，或者有人想要试图调查瑞典交通机构的预防措施。 目前，安全专家很难将此次攻击归因于简单的信息盗窃行为，因为他们根据俄罗斯上月开展的 “ 萨帕德 ” 军演推测，这更像是俄罗斯测试其网络能力，从而调查瑞典的交通基础设施情况。 相关阅读： 2017 “萨帕德” 军事演习：俄罗斯可能早前已在拉脱维亚测试网络武器 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

基于 Tor 隐藏服务的暗网毒品市场除了面临执法机关的打击外，现在还面临拒绝服务类的 DDoS 攻击。四大毒品市场——Dream、Tochka、Trade Route 和 Wall Street——全都在攻击下无法访问或只能访问备用地址。 安全专家表示，一两家暗网网站下线不是什么罕见的事情，但所有网站情况都相同就有点不同寻常了。目前，暂时并不清楚攻击发起者是谁，但显然严重扰乱的暗网社区。暗网网站需要通过 Tor 才能访问。计算机科学教授 Alan Woodward 怀疑这四家暗网市场使用了相同的托管商和相同的网络基础设施。 稿源：solidot奇客，封面源自网络；