据外媒和多家安全企业报道，周二的时候，俄罗斯和东欧地区爆发了名叫“坏兔子”（Bad Rabbit）的新型勒索软件，三家俄媒刊登了头条报道，包括新闻机构“国际文传电讯社”（Interfax）。俄罗斯安全企业 Group-IB 称，一旦计算机被其感染，“坏兔子”就会在一个黑底红字的界面上显示“NotPetya”风格的勒索信息。

该恶意软件会要求受害人登陆“洋葱路由”下隐藏的某个服务网站，向其交付 0.5 个比特币（约合 282 美元）的赎金来解除勒索。此外“坏兔子”还会显示一个倒计时界面，声称不及时支付的话，其勒索金额就会水涨船高。目前暂不清楚“坏兔子”攻击的幕后主使者身份、受害者都有谁、以及该恶意软件是哪里产生和如何传播的。

Interfax 在 Twitter 上表示，由于网络攻击，其服务器已被关闭。此外，乌克兰敖德萨机场也在本周二遭受了破坏性的网络攻击，但不清楚此事是否与“坏兔子”有关。Group IB 发言人表示，这轮大规模网络攻击主要针对以 Interfax 和 Fontanka 为代表的俄罗斯新闻公司。另外还有敖德萨机场、基辅地铁等乌克兰基础设施。

总部位于莫斯科的卡巴斯基实验室则表示，俄罗斯是“坏兔子”的重灾区，其次是乌克兰、土耳其和德国。该公司称该恶意软件的散布“是一场针对企业网络的有意攻击”。

卡巴斯基反恶意软件小组负责人 Vyacheslav Zakorzhevsky 在声明中称：

根据我们的数据，‘坏兔子’袭击的受害者多为在俄罗斯。其通过一些感染的设备，侵入了一些俄罗斯媒体网站。

虽然该恶意软件的攻击手段与 ExPetr [NotPetya] 期间类似，但我们无法证实它们之间的关系。

总部位于捷克的另一家安全企业 ESET 亦证实有一场实时的勒索软件活动。其在一篇博客文章中写到，以基辅地铁为例，新爆发的该勒索软件至少也是 Petya 的一个变种。

NotPetya 本身也是 Petya 的一个变种，ESET 表示该公司已经检测到了“数百起”的感染。另据 Proofpoint 的一位研究人员所述，“坏兔子”是通过一个假装的 Adobe Flash Player 安装器传播的。

卡巴斯基实验室的研究人员也证实了这点，称该恶意软件的启动器是通过被感染的合法网站发布出去的，但是这可能不是“坏兔子”的唯一散播途径。据 ESET 所述，该恶意软件还会尝试感染同一本地网络下的其它计算机，比如借助早就曝光的 Windows 数据共享协议（SMB）和开源的 Mimikatz 漏洞利用工具。

一位迈克菲研究人员指出，“坏兔子”会加密各种各样的文件，包括 .doc 和 .docx 文档、.jpg 图片、以及其它文件类型。最后，有多名研究人员指出，“坏兔子”似乎借用了《权利的游戏》中的许多命名，比如卡丽熙（全名太长不赘述）的三条龙 —— Drogon、Rhaegal、以及 Viserion 。

来源：cnbeta

据外媒报道，随着 Facebook 等社交媒体网站受到压力的不断加大，Twitter 日前宣布了一项新政策：未来，他们将对其平台上运行的广告采取更加透明的处理方式，用户将能知晓平台广告买家的身份。Twitter 产品与工程收入部门总经理 Bruce Falck 表示，新政策将在未来几周内开始推行。

未来，Twitter 将会推出一个全新的透明中心（Transparency Center），它将提供以下信息：

Ο 现在网站投放的所有广告包括“只出于推广目的”的广告

Ο 广告将投放的时间

Ο 广告针对的用户群

Ο 所有政治广告背后的买家身份。

Twitter 的这一新政已经受到了来自参议员 Mark Warner 的积极评价和赞赏，他表示，这是很好的第一步，另外他还呼吁进一步提升在线政治广告的透明度。

来源：cnbeta

研究人员发现一个隐藏的微软Word功能，该功能可能被攻击者滥用以获取受害者的系统信息。 卡巴斯基实验室启发式检测组经理Alexander Liskin、高级恶意软件分析师Anton Ivanov以及安全研究人员Andrey Kryukov发现了这个隐藏的Word功能，他们在包含可疑钓鱼邮件的恶意附件中发现了这个被称为INCLUDEPICTURE的隐藏功能。INCLUDEPICTURE字段包含以Unicode格式的链接，而不是预期的ASCII格式，这会被Word忽略，并被攻击者用于发送GET请求到恶意域。

根据研究人员介绍，利用该隐藏Word功能的有针对性攻击非常难以检测，因为该恶意文档不包含宏、漏洞利用或者任何其他活动内容。

“我们仔细检查后发现，该恶意文件包含几个链接—到第三方网页资源的PHP脚本。当我们试图在Microsoft Word中打开这些文件时，我们发现该应用处理了其中一个链接。结果是，攻击者可接收有关计算机上安装的软件的信息，”卡巴斯基研究人员在其分析中写道，“该代码可有效发送有关受害者机器中安装的软件的信息，包括Microsoft Office的版本信息等。

” 研究人员指出，这个隐藏的功能存在于多个版本的Windows Office、iOS Office和Android Office中，但LibreOffice和OpenOffice等其他生产套件并没有调用恶意链接。该研究团队还指出并没有关于INCLUDEPICTURE的官方文档。

future attacks.隐藏Word功能可能允许攻击者窃取系统信息用于未来攻击。

Cymulate公司首席技术官Avihai Ben-Yossef称，系统信息盗窃可能只是攻击的第一阶段。

“了解Office系统版本将允许攻击者确定打开该Word文档的客户端是否容易受到已知漏洞利用的攻击，从而帮助他们发动攻击。试想一下，通过简单地发送数千封电子邮件给用户以及收集打开文档的用户的信息，攻击者可构建一个数据库，”Ben-Yossef称，“攻击者会知道他们的Office版本是否容易受到特定漏洞的攻击，并能够在必要时触发攻击。”

Skybox Security研究实验室负责人Marina Kidron称，鱼叉式网络钓鱼攻击活动（例如滥用这个隐藏Word功能的攻击）可能并不总是对企业构成迫在眉睫的威胁，但这种系统信息被盗窃可能造成或者触发有针对性攻击。

“在网络攻击中，情报是关键，在网络防御中，同样如此。有针对性攻击通常比分布式攻击（例如勒索软件）更复杂，因为它们具有并需要更多关于环境的背景信息。通过这些背景信息，攻击者可制造更好的逃避被检测的机会，”Kidron称，“这可表明基于签名的入侵检测系统无效，并提高良好网络安全措施（例如网络分段和漏洞管理）的重要性。如果攻击者可逃过入侵检测系统，你需要确保具有活动或可用漏洞利用的漏洞已被修复、访问受到限制、控制措施部署到位，以防止攻击蔓延。

来源：TechTarget中国