360 安全大腦近日捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例，攻擊者利用肺炎疫情相關題材作為誘餌文件，對抗擊疫情的醫療工作領域發動 APT 攻擊。在進一步追蹤溯源中，360 發現這起 APT 組織隸屬於印度黑客組織。

360 公司今日表示，360 安全大腦近日捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例，攻擊者利用肺炎疫情相關題材作為誘餌文件，對抗擊疫情的醫療工作領域發動 APT 攻擊。在進一步追蹤溯源中，360 發現這起 APT 組織隸屬於印度黑客組織。

據悉，該攻擊組織使用採用魚叉式釣魚攻擊方式，通過郵件進行投遞。其利用當前肺炎疫情等相關題材作為誘餌文件，部分相關誘餌文件如：武漢旅行資訊收集申請表.xlsm，進而通過相關提示誘導受害者執行巨集命令。簡單說，攻擊者其將關鍵資料存在工作表裡，工作表被加密，巨集程式碼裡面使用 key 去解密然後取資料。這裡一旦巨集命令被執行，攻擊者就能訪問某網址，並使用 scrobj.dll 遠端執行 Sct 檔案，這是一種利用 INF Script 下載執行指令碼的技術。

360 表示，目前可以確定攻擊者來源於印度的 APT 組織。該組織的攻擊目標主要為：中國、巴基斯坦等亞洲地區國家進行網路間諜活動，其中以竊取敏感資訊為主。而且在對中國地區的攻擊中，主要針對政府機構、科研教育領域進行攻擊，尤其以科研教育領域為主。

更多資訊

開發者正為Git 開發新的雜湊演算法

Git 原始碼管理系統是基於 SHA‑1 雜湊演算法，Git 庫儲存的不同物件型別都使用 SHA‑1 雜湊來進行識別。Linus Torvalds 在設計 Git 時並沒有考慮 SHA‑1 有一天可能會不安全，他沒有設計能切換到不同雜湊演算法的功能，而雜湊型別深入到程式碼之中。

但 SHA‑1 已經遲暮，Google 在 2017 年宣佈了對 SHA-1 雜湊演算法的首個成功碰撞攻擊。所謂碰撞攻擊是指兩個不同的資訊產生了相同的雜湊值。

受影響使用者或能從雅虎資料洩露事件中獲得最高100美元的賠償

眾所周知，雅虎在 2012 年至 2016 年遭受了多次資料洩露事件（包括 2013 年影響了其全部 30 億使用者的一次資料洩露）。日前該公司正在通知使用者，他們現在可以提交信用監控或現金補償的索賠，作為提議類別的一部分訴訟和解。雅虎表示，如果使用者在 2012 年至 2016 年之間的任何時候都擁有雅虎帳戶，並且是美國或以色列的居民，則集體訴訟和解可能會影響他們。

義大利電信運營商涉騷擾消費者 遭罰款2780萬歐元

據歐聯網援引歐聯通訊社報道，近日，義大利某電信運營商在營銷活動中，涉嫌隨意和非法使用消費者資料，進行業務營銷和推廣，以及不間斷的騷擾消費者。有關當局在調查了涉案公司的營銷行為後，決定對該公司處以 2780 萬歐元罰款。

谷歌在歐盟又面臨新調查 或遭受鉅額罰款

谷歌在歐盟又面臨一項新的調查，因為它對使用者位置資料的處理方式可能違反了歐盟嚴格的隱私規定。對此，愛爾蘭資料保護委員會（DPC）今日在一份宣告中稱：“這些問題涉及到谷歌處理位置資料的合法性，以及這個過程中所涉及到的透明度。”