作者： 中国电信安全帮

黑客组织Chimera APT Group攻击台湾多家半导体厂商 奥义科技的CyCraft AI 实验室在2018年至2019年期间，发现了几起针对位于台湾新竹科学园区的多家半导体厂商的攻击事件。根据攻击中使用的攻击技术和战术，研究人员将背后的攻击者命名为Chimera APT Group，其攻击的主要目的似乎是窃取情报，具体来说就是窃取有关集成电路芯片、软件开发工具包（SDK）、集成电路设计、源...

谷歌移除36款带有恶意广告的虚假安卓安全应用 谷歌已经删除了36个Android应用程序，它们偷偷溜进了官方Play商店，伪装成安全和性能提升应用，但这些应用只包含了模仿此类应用行为的代码。 参考来源: bleepingcomputer PiKarma Python 脚本有助于识别恶意 WiFi 网络 2017年12月发布的一个开源项目PiKarma，是土耳其安全研究人员Besim Altinok...

Facebook 发布新的证书透明度工具 继2016年12月发布证书透明度监控实用程序之后，Facebook 决定为使用证书透明度框架的开发人员发布新工具。去年的工具可以被用于访问 Facebook 在自行监测 TLS 证书发行服务中搜集的数据。 参考来源: http://www.securityweek.com/facebook-releases-new-certificate-transpar...

近5500个wordpress 站点受到带有键盘记录功能的恶意脚本感染 近5500家WordPress网站传染了恶意脚本，这些脚本会记录键盘输入，有时候会加载挖矿程序。恶意脚本是从”cloudflare.solutions”域名，跟Cloudflare没有任何关系，这个脚本会记录下用户输入的任何东西。这段脚本会在网站的前端和后端运行，也就是说它能够在你登陆网站后台时记录用户名密码。参考来源: ht...

11月29日，以“创新引领，智能协同”为主题的安全服务创新联盟启动仪式暨2017安全帮年度发布会在北京召开。 据了解，本次大会上中国电信北京研究院将携手绿盟、安华金和、启明星辰和安恒发起《安全服务创新联盟》，并发布中国电信北京研究院最新安全创新成果“安全帮云WAF”，此外还有最新权威技术报告发布：《2017数据库安全研究报告》和《2017物联网安全研究报告》，一场高大上的大会来袭！值得期待！ 提前...

Wp-Vcd WordPress 恶意软件活动正在复苏 WordPress 站点看起来又应该小心谨慎起来了，因为最近隐藏在正常 WordPress 文件之后的 wp-vcd 恶意软件正在活跃。它通过添加秘密的管理员账户和提权操作最终会掌管整个受感染的站点。这款恶意软件最早是在今年夏天被意大利研究员Manuel D’Orso发现的。参考来源： https://www.bleepingcomputer...

GitHub安全新机制：开发者引入不安全的库时会出现提醒 代码托管服务GitHub增加了新功能，现在它能够警告开发人员他们的项目中有存在漏洞的软件库，并且会提出修复方法解决问题。GitHub最近引入了依赖关系图，该功能会列出项目使用的所有库。新功能支持JavaScript和Ruby，公司还计划在明年增加对Python的支持。参考来源： https://www.bleepingcomputer.co...

热门动漫网站crunchyroll.com被劫持散发恶意软件 流行的动漫网站Crunchyroll.com被劫持用来分发恶意软件，一旦发现黑客，运营商已经发出警告，通知访客不访问该网站，后来他们把它下线。假冒网站会提示访客下载使用新的桌面版本Crunchyroll软件，这款软件中暗藏病毒。这个软件是个假的桌面应用程序，不是由Crunchyroll网站提供的。根据Crunchyroll的说法，攻击者...

反不正当竞争法修订草案获通过，刷单最高罚两百万 11 月 4 日下午，全国人大常委会表决通过了反不正当竞争法修订草案。根据新法，经营者采用刷单、炒信等方式，帮助自己或其他经营者进行虚假宣传或引人误解的商业宣传，情节严重的，最高可处 200 万元罚款，吊销营业执照。据悉，修订后的反不正当竞争法自 2018年1月1日起施行参考来源: http://securityaffairs.co/wordpres...

快递隐私面单落地：快递员手写补全信息用户嫌麻烦 今年以来，京东（微笑面单）、顺丰（丰密面单）、菜鸟（隐私面单）、圆通（隐形面单）等快递平台和企业都在逐步推广“隐私面单”，虽然具体叫法不同，但做的事情相似。从目前的反馈来看，隐私面单落地难背后不外乎三个方面的原因，快递员不习惯、用户嫌麻烦、小型快递公司认为成本太高。对于快递员来说，原来照着传统面单就能直接联系用户，使用隐私面单之后，要先用手机扫描二维...

 中国黑客发现iOS11系统漏洞：可远程破解   10月24日，GeekPwn2017国际安全极客大赛在上海举办。一位中国选手现场演示了利用自己发现的苹果公司最新上市的手机iPhone 8最新系统漏洞，在用户打开黑客的链接后，黑客就能获得iPhone 8最高权限，盗取用户手机内的照片，并在手机中安装非来自于苹果官方App Store的应用。由于iPhone 8采用最新的iOS 11系统，这也意味着...

微软在Win10 中加入游戏反欺诈防护 随着Windows10 秋季Creators Update的发布，可以看到微软首次增加了游戏反欺诈引擎 TruePlay ，类似于Valve的VAC系统。游戏开发者可以在它们的游戏中接入该引擎的API来监测用户行为。TruePlay让开发者在受保护的进程中进行游戏的开发，可以自动防护来自游戏欺诈者的特定类型攻击（如 aimbots和 wallhacks）。 ...

美国研发新技术：脑机接口让人用思维群控无人机 无人机技术在最近几年取得了快速的进步，而且即将迎来另一次巨大的跳跃。美国亚利桑那州立大学以人为导向机器人和控制实验室的负责人 Panagiotis Artemiadis 正在研发一种导航系统，能够让一位无人机驾驶员只借助他的思维同时操控一群无人机。无人机目前主要通过操纵杆或者手机操控，这意味着一位飞行员只能够同时操控一架无人机。借助脑机接口技术，一位飞...

中国惊现挖矿脚本，浏览器采矿日益流行及恶化 安全专家表示，一开始出现利用访问者浏览器挖门罗币的 JS 脚本时，人们称赞它是一种替代侵入式广告的方式，能为网站带来新的收入。随着嵌入 JS 脚本的网站增加，提供类似服务的 JS 挖矿程序也越来越多。 据称，中国也出现了一个叫 ProjectPoi 的挖矿脚本。目前，有多少嵌入挖矿脚本的网站放弃了广告？多少网站通知了用户或者提供了方法让用户选择关闭挖矿程...

浏览器大厂集体将说明文档网站统一   Mozilla，Microsoft，Google，Samsung 和 W3C 达成一致，将他们的文档说明网站统一为Mozilla’s MDN 。 MDN 以前被称为 Mozilla 开发人员网站，而如今它更名为 MDN Web Docs，它将会收录所有关于 web 标准的文档以及跨浏览器的使用说明。 Mozilla，Microsoft，Google，...