黑客组织“影子中间人”14日在推特等社交媒体上爆料说，美国国家安全局曾入侵国际银行系统，以监控一些中东和拉丁美洲银行之间的资金流动。

　　 “影子中间人”发布的文件显示，美国国家安全局利用计算机代码入侵SWIFT（环球银行间金融通信协会）服务器，并监控SWIFT信息。文件还曝光了多个入侵SWIFT系统的计算机代码和监控工具。

　　据悉，全球银行每天数万亿美元的资金交易都需要使用SWIFT银行结算系统。目前全球有200多个国家和地区的1万多家银行和证券机构在使用这个系统。

　　对于此次事件，SWIFT表示，该协会定期发布安全更新，并提示客户如何处理已知的威胁。目前没有证据表明，SWIFT的主网络系统在未授权的情况下被访问。

　　然而有媒体指出，2016年SWIFT系统就遭遇过黑客入侵。2016年2月，孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客攻击，使得该银行本地SWIFT网络系统按黑客指令，从纽约联邦储备银行向外转账，造成的损失高达8100万美元。

　　“影子中间人”此次发布的文件还曝光了一些可入侵微软公司“视窗”操作系统的程序。微软公司对此发表声明表示，微软的最新用户不受黑客声称的美国国家安全局监控工具影响，并且微软公司已针对“影子中间人”爆料的12个监控工具中的9个采取了防御措施。

　　美国前防务承包商雇员爱德华?斯诺登曾在2013年发表文件指出，美国国家安全局一直在监控SWIFT信息，其目的在于迅速发现资助犯罪活动的资金往来。

　　2016年8月13日，“影子中间人”曾通过社交平台宣称攻入美国国家安全局网络“武器库”——“方程式组织”并泄露其中部分黑客工具和数据。而斯诺登提供文件确认，这些工具是美国国家安全局软件，其中部分软件属于秘密攻击全球计算机的强悍黑客工具。

　　对于此次“影子中间人”曝光的事件，美国国家安全局暂未发表评论。

　　近日知名英文搜索引擎Ask因未知原因导致其Apache服务器状态面向公众公开，所有人都能看到Ask.com 上的实时搜索记录。

　　这一问题由研究员Paul Shapiro 在本月7号发现，目前尚不清楚这些数据对外公开了多久，而分析显示 Ask服务器曾在三天前重新启动，或许就是在重启之后服务器页面才被意外地暴露。

　　据统计，被公开的页面显示了服务器重置以来人们搜索的所有细节——440万条大约237.9GB的搜索记录等等。

　　所幸，这并非安全威胁。虽然通过日志能够清楚看到人们在搜索着什么，但这一页面并未暴露用户IP等进一步隐私信息 。事实上，日志中记录的均是内部 IP 地址，亦有可能是内部防火墙地址。

　　目前，被暴露的搜索记录页面已无法访问。

　　“维基揭秘”网站最近披露了据称是美国中情局与网络攻击相关的一批秘密文件，代号为“拱顶7”。美国信息安全公司赛门铁克１０日说，它长期跟踪的一个北美黑客组织“长角牛”所使用的黑客工具，与“拱顶7”文件所记录的黑客工具开发时间表和技术规格相吻合。虽然没有直接点出中情局，但赛门铁克公司认定这个黑客组织与这批文件来源于同一机构。

　　“维基揭秘”网站在3月份分三次披露了“拱顶7”文件。在这批文件中，有近9000份文件介绍中情局全球黑客计划的方向、恶意代码库以及可侵入IT产品的黑客工具，有12份文件揭露中情局将恶意代码植入苹果电脑和iPhone手机的技术手段，有676份源代码文件可用于迷惑调查人员，把中情局发起的病毒和黑客攻击嫁祸给中国、俄罗斯等其他国家。

　　但目前中情局并没有确认这批文件的真实性。

　　赛门铁克安全响应团队在公司官方博客上公布分析报告说，他们在3年里跟踪的一个名为“长角牛”的黑客组织所使用的黑客工具，与“拱顶７”文件所记录的黑客工具开发时间表和技术规格相吻合。“长角牛”除了使用“拱顶7”文件所包含的关于躲避调查的手段，还采用了与“拱顶7”文件所包含的一些加密协定。赛门铁克安全响应团队虽然没有指明“长角牛”成员由中情局特工组成，但认为，鉴于工具和技术手段极为相似，“长角牛”的活动与“拱顶7”文件无疑出自同一机构。

　　据赛门铁克介绍，“长角牛”至少从2011年开始活跃起来，利用一系列后门木马病毒和“零日”漏洞攻击目标。赛门铁克从2014年开始跟踪“长角牛”，发现它已经侵入亚洲、非洲、中东和欧洲16个国家的至少40个目标。这些目标都是一个国家层面的攻击者所感兴趣的，包括政府和国际组织，并涉及金融、电信、能源、航空、信息技术、教育和自然资源等领域。

　　赛门铁克还说，“长角牛”所使用的恶意代码具备一个高级网络间谍组织的所有特征。在“维基揭秘”披露“拱顶7”文件之前，赛门铁克就判断“长角牛”属于一个资源丰富、从事情报收集的机构。“长角牛”周一至周五的标准工作时间也与一个国家支持型黑客组织相符。

　　赛门铁克说，他们发现的是第一个将“拱顶7”网络攻击工具与已知的网络攻击联系起来的证据。

　　近日，国家信息安全漏洞共享平台（CNVD）收录了Microsoft Office Word存在的一处OLE对象代码执行漏洞（CNVD-2017-04293，对应CVE-2017-0199）。攻击者利用漏洞可诱使用户点击恶意文件控制用户主机。根据微步在线公司提供的监测结果，该漏洞早已被利用发起攻击，最早可溯及2017年1月，且已在尝试攻击银行用户。

　　一、漏洞情况分析

　　2017年4月7日、8日，McAfee和FireEye安全公司分别发布安全公告，披露在Micorsoft Office Word中发现的一个0day漏洞，攻击者通过发送一个带有OLE2link对象附件的邮件给目标用户，用户在打开附件时则会触发漏洞并连接到攻击者控制的恶意服务器，下载伪装成正常RTF文件的恶意.HTA文件执行并后续下载更多的带有控制、驻留目的恶意软件，进一步控制受感染用户的系统。CNVD对该漏洞的综合评级为“高危”。

　　二、漏洞影响范围

　　漏洞影响所有Office版本，其中包括Windows 10上运行的最新版Office 2016。根据微步在线公司向CNVD提供的相关情况，其捕获了利用该漏洞进行恶意代码传播的攻击样本，并发现其中涉及到针对银行用户的攻击行为。典型的样本执行流程如下：

　　用户收到含有恶意附件的钓鱼邮件。

　　打开存在 Office 0Day 漏洞的附件文档。

　　Word 进程从攻击者控制的网站（ btt5sxcx90.com） 下载伪装的.HTA 文件（ template.doc）并启动。

　　template.doc 执行后会继续从 btt5sxcx90.com 下载一个可执行程序（ 7500.exe） 和一个无害Word 文档（ sample.doc），启动 7500.exe 并打开内容空白的 sample.doc 迷惑受害者。

　　7500.exe 为一款名为 Dridex 网银木马，可进一步窃取用户的银行认证信息。

　　三、防护建议

　　微软公司目前正在发布该漏洞的补丁，鉴于该漏洞广泛存在于Office所有版本，且目前被用于发起网络攻击，CNVD强烈建议Office用户及时关注官方补丁发布情况并及时更新。

　　其他临时防护建议：

　　1. 切勿打开任何来源不明的Office Word文档。

　　2. 用户可以通过打开“受保护的视图”功能，并勾选所有选项来防止此漏洞被利用。

　　3. 为避免受到其他攻击，建议暂时禁用Office中的“宏”功能。