这年头诈骗之风盛行，FreeBuf 安全快讯早前报道过谷歌和 Facebook 这种大公司被诈骗1亿美元，甚至都没用上黑客技术手法，而是纯粹的骗术——不过这多少也算风控的一部分。而这位从事诈骗的犯罪分子近期终于要引渡去美国了。前天，一家 CoinDash 平台网站在线上进行 ICO 融资的时候，3分钟就遭遇黑客入侵，融资瞬间走进黑客口袋，这也算是针对投资者骗术的高级方式了。所以企业安全仍是任重而道远的，怪不得思科和赛门铁克最近的收购动作也相当频繁——吸收新技术是第一要务。

今天的 BUF 早餐铺为各位呈现的主要内容有：黑客入侵 CoinDash 官网，获取约700万美元融资；俄罗斯被指针对爱尔兰能源网络发动攻击；思科 WebEx 会议插件曝远程代码执行漏洞；IBM推出最新的Z14大型机，一键点击全部内容就加密；诈骗谷歌和 Facebook 公司超1亿美元的罪犯，即将引渡至美国。

【国际时事】 CoinDash 平台官网遭黑客入侵，ICO融资近700万美元被洗劫

前天，一名黑客入侵 CoinDash 平台官网，洗劫价值700万美元的以太币（Ethereum）。事情经过是这样的，前天 CoinDash 正在进行 ICO——所谓的 ICO 其实跟 IPO 差不多，许多初创公司现在都采用 ICO 的方式来融资，只不过融资用的是加密货币。CoinDash 就在自家网站公布了一个加密货币地址，投资者可由此将钱汇进去。在 ICO 过后，公司会给投资者发放 token，就类似于现实世界的股票。

从 CoinDash 后来发布的声明来看，在 CoinDash 发布 ICO 的3分钟之后，有个黑客就接管了这家网站，并修改页面上的以太币钱包地址。这样一来，投资者的钱就汇给了黑客。按照这家公司所说，在前3分钟时间里，公司就拿到了大约600万美元融资。但在此之后，黑客接管网站：当前这名黑客的以太币钱包中余额43,438以太币，大约相当于780万美元。CoinDash 预计其中有700万都来自其投资者。

CoinDash 已经向所有投资者通知此事，并且已经决定为所有汇钱的人发放 token 。针对那些把钱汇给了黑客的投资者，CoinDash 提请这部分人填写一张表格。有关此次攻击的细节信息未知，CoinDash 也仍在对此进行调查。[来源：BleepingComputer]

爱尔兰能源网络遭遇攻击，又是俄罗斯干的？

在北美揭露的各种具有国家背景的黑客行动中，俄罗斯似乎已经成为千夫所指，上周我们才报道过美国能源企业遭遇入侵，疑似俄罗斯所为。《时代杂志》最近发布报道称，爱尔兰能源网络遭遇鱼叉式钓鱼攻击，幕后主使可能就是俄罗斯国家背景支持的黑客。

服务于北爱尔兰和爱尔兰共和国的 Electricity Supply Board 高级工程师遭遇一波鱼叉式钓鱼攻击，报道称这次攻击是俄罗斯攻击者发动的，攻击者应该和俄罗斯GRU情报机构有关。攻击以爱尔兰共和国的能源部门为目标，意欲渗透控制系统，接管电网。

安全专家认为，GRU攻击者可能是在针对国家基建测试其网络攻击能力，或者攻击者对爱尔兰本身就比较感兴趣。当前爱尔兰国家网络安全中心已经对此发起调查。[来源：SecurityAffairs]

【安全漏洞】 思科 WebEx 会议插件曝严重RCE漏洞 #p#分页标题#e#

Chrome 和 Firefox 版本的思科 WebEx 会议浏览器插件最近曝出 Critical 级别的安全漏洞 CVE-2017-6753。未经授权的攻击者利用该漏洞，可以浏览器权限执行任意代码。漏洞影响到 Windows 系统之上的 WebEx 插件，影响的产品包括 Cisco WebEx Meetings Server ，Cisco WebEx Centers 以及 Cisco WebEx Meetings 。

攻击者只需要构造一个恶意页面，让受害者点击就能触发该漏洞——通过远程代码注入攻击者可劫持目标计算机设备。鉴于 Chrome/Firefox 使用 WebEx插件用户数量超过2000万人，所以此漏洞波及范围较大。

思科表示这个漏洞是“设计缺陷”所致，当前已经针对此漏洞发布了公告，并在最新的 1.0.12 版本中修复了该漏洞。有关此漏洞的详情可点击这里查看FreeBuf的报道。[来源：Cisco]

研究人员基于 ETERNALSYNERGY 开发出升级版 Exploit，可攻击大部分 Windows 系统

ETERNALSYNERGY 实际上也是早前 Shadow Brokers 黑客组织公布的，来自 NSA 组织内部的exploit工具。微软在技术分析中提到，该 exploit 针对 SMB 服务暴露于外部连接的 Windows 设备（利用 SMBv1 协议的 CVE-2017-0143 漏洞），攻击者可利用其在设备上执行代码，不过由于后续的各种内核安全更新，这款 exploit 支持的 Windows 版本有限。

近期泰国安全研究人员 Worawit Wang 基于 ETERNALSYNERGY 造了款改良版 exploit，适用于更新版本的 Windows 系统。研究人员表示，他打造的 exploit 利用的仍是该漏洞，只不过利用技术存在差别，而且不会“让目标崩溃”。其支持的系统版本包括 Windows 2016 x64/2012 R2 x64/8.1 x64/2008 R2 SP1 x64/7 SP1 x64/8.1 x86/7 SP1 x86。所以改良版的 exploit 除了 Win10 之外，支持的 Windows 版本还是比较全的，影响到当前75%的 Windows PC。

研究人员已经在其 GitHub 页面提供 exploit 代码下载，可点击这里查看。还有一名研究人员还发布了一个教程，一步步教授如何使用该 exploit。[来源：BleepingComputer]

【企业安全】 IBM 推出 Z 系列最新大型机，一键实现全部数据加密

IBM 最近推出了 Z 系列大型机的第14代产品，其中一大宣传特性就是一步完成大型机上所有数据的加密。对现如今的企业而言，数据加密是相当有必要的。这款 z14 采用新的加密引擎，首次实现一键加密所有数据，包括数据库、应用或者云服务，而且据说对性能没有影响。这种新的加密引擎每天能够执行超过120亿次加密处理。

此外，其加密技术也支持 API 和加密密钥更快的加密，IBM宣称相比 z13，其加密性能提升7倍，比 x86 服务器快18倍。它还能运行全球最大型 MongoDB 实例，并且 Node.js 性能相比 x86 系统快2.5倍，可容纳200万 Docker Container，或者1000并发 NoSQL 数据库。另外，IBM 还宣布其 IBM Cloud BlockChain 数据中心在全球6个城市开启，都采用 z14 大型机。这些数据中心会采用 z14 加密技术来提供安全云服务。预计 IBM 的这种大型机本季度就会出货。[来源： NetworkWorld]

诈骗谷歌和Facebook公司超1亿美元的罪犯，即将引渡至美国 #p#分页标题#e#

今年3月份，48岁立陶宛男子 Evaldas Rimasauskas 在美国当局要求下于波罗的海被捕。此人被控于2013-2015年间伪装成亚洲一家大型硬件供应商，对谷歌和Facebook两家美国公司实施欺诈。美国方面的检察官表示，Rimasauskas伪造发票、联系人和信件骗取这两家公司超过1亿美元。他还用邮件账户，伪装各种来自这家亚洲生产商的员工和代理商的互通信息。

整个过程完全采用骗术，公司系统并未遭遇技术上的黑客入侵。谷歌已对其内部流程进行升级，期望预防类似事件再度发生。谷歌发言人表示，“我们检测到了针对供应商管理团队的欺诈，并立即通知了当局；我们已经追回钱款，问题已经解决。”Facebook方面则没有做出回应。Rimasauskas可能面临最久20年的监禁。美国法庭本周一宣判此人必须引渡至美国。[来源：SecurityWeek]

【系统安全】 GhostCtrl：一款能做很多事情的 Android 后门正在活跃

趋势科技最近针对一种后门恶意程序发出预警，此后门名为 GhostCtrl，基于著名的 OmniRAT。这款恶意程序以 Android 系统为目标，伪装成合法应用名，如 MMS、WhatApp、Pokemon GO。这次的 GhostCtrl 在产生的威胁方面已经非常多样，它能够窃取各种信息，且具备很强的持久性。

OmniRAT 先前就在黑市出售，价格在 25-75 美元之间。而 GhostCtrl 已经经过三次迭代，C&C 通讯是加密的，且指定目标和内容具有“弹性”。其实现的特性包括实时监控手机传感器数据，下载图片做成壁纸，向 C&C 服务器上传文件，发送短信/彩信到某个指定的号码；还有像是控制系统红外发射器、偷偷录制视频和音频、利用文字转语音特性、让手机播放不同音效、结束正在进行的通话、利用蓝牙搜索连接其它设备。窃取的数据当然也很全面，如通话记录、短信记录、联系人、SIM序列号、地理位置等等。

其隐蔽性和传播性也很强，在由某个 wrapper APK 点击后会要求用户进行安全该恶意 APK，即便用户取消提示，信息也会很快弹出。恶意 APK 本身隐藏图标，com.android.engine 进程让用户误以为这是合法的，另外恶意程序攻击链还融合了混淆技术来隐藏恶意行为。FreeBuf 很快会针对此恶意程序发布更为详细的分析文章。[来源：HelpNetSecurity]