据The Register网站消息，微软已在本周推出两项新服务，让企业安全运营中心 (SOC) 更广泛地访问其每天收集的大量威胁情报。 这两项服务分别是Defender Threat Intelligence和Defender External Attack Surface Management (EASM)，都使用了微软在 2021 年以 5 亿美元收购网络安全公司 RiskIQ时继承的技术。微软致力于通过自己的产品和Azure云安全能力来保护企业系统，这很大程度上是处理大量的信号和威胁情报来实现。Defender EASM服务让企业以局外人的眼光看待自己的攻击面，扫描互联网及其连接，以创建其环境图，并找到企业可能不知道但可被攻击利用的面向互联网的资源。 微软负责安全合规、身份和管理的公司副总裁Vasu Jakkal在宣布新服务的博文中表示，得益于微软自身强有力平台搜集的大量情报及独特洞察力，企业不仅能从中获得关于威胁者活动、行为模式和目标的可靠预测，还可以映射他们的数字环境和基础设施，以攻击者的眼光看待他们的组织。这种由外而内的方式提供了更深入的洞察力，可以帮助企业预测恶意活动并保护未受管理的资源。 据悉，微软每天都会收集大量网络威胁信息，其安全团队跟踪了 35 个勒索软件系列以及来自 250 多个国家和地区的网络犯罪分子，该公司的 Azure 公共云每天处理和分析超过 43 万亿个安全信号。所有这些信息都会同步至供应商及其安全服务平台，包括其 Defender 以及 Azure 中的 Sentinel 安全信息和事件管理 (SIEM) 服务，并提供实时威胁检测。 随着去年的收购，RiskIQ的收集和安全情报技术也并入微软，通过检测威胁和可疑活动以及补救漏洞来保护企业的攻击面。它与微软的云计算合作，也可用于其他公有云，包括亚马逊网络服务，并被企业内部服务所使用。 Jakkal认为，有了组织的完整视图，企业可以将这些未知的资源、端点和资产置于其安全信息和事件管理（SIEM）以及扩展检测和响应（XDR）工具的安全管理范围内来降低风险。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340995.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基发出警告，他们监测到一种名为Luna的新型勒索软件系列正在肆虐。Luna可加密运行多个操作系统的设备，包括 Windows、Linux 和 ESXi 等主流操作系统。 卡巴斯基安全研究人员在公司暗网威胁情报主动监控系统中的某个暗网勒索软件论坛广告发现了Luna 勒索软件的身影，有意思的是，该勒索软件似乎专门是为讲俄语的攻击者所设计。 卡巴斯基在报告中指出，Luna的背景和俄语密不可分，例如它只与讲俄语勒索组织进行合作；而在它的二进制文件中硬编码的赎金记录存在语法拼写错误，习惯性拼写“a little team”而不是“a small team”。这意味着，Luna背后的勒索组织必定是以俄语交流为主。 在俄语中，Luna的意思是“月球”，截止到目前，Luna还是一款较为基础的勒索软件，深度功能还在开发之中，且基于可用的命令行选项功能有限。但是这依旧需要引起注意，因为Luna使用了一种不太常见的加密方案，使用了X25519 椭圆曲线 Diffie-Hellman 密钥交换与高级加密标准 (AES) 对称加密算法相结合。 基于 Rust 的跨平台勒索软件 勒索组织在Rust中开发了这种新型的勒索软件，并利用其与平台无关的特性将其移植到多个平台，而对源代码的更改很少。 Luna 证实了跨平台勒索软件的趋势：当前的勒索软件团伙严重依赖 Golang 和 Rust 等语言。一个值得注意的例子包括 BlackCat 和 Hive。这些语言与平台无关，用这些语言编写的勒索软件可以很容易地从一个平台移植到其他平台，因此攻击可以同时针对不同的操作系统。 例如Linux 和 ESXi 样本都是使用相同的源代码编译，与 Windows 版本相比有一些细微的变化。其余代码与 Windows 版本相比没有重大变化。除此之外，跨平台语言有助于规避静态分析。 卡巴斯基表示，鉴于该组织刚刚被发现并且其活动仍在受到监控，因此关于使用 Luna 勒索软件对哪些受害者进行加密的数据非常少。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339729.html 封面来源于网络，如有侵权请联系删除

在很多人的印象中，一旦设备感染勒索软件都需要支付高昂的赎金才能取回自己的数据。不过现在出现了一种新型的赎回方式，那就是做善事。CloudSEK 的威胁情报研究团队最近发现了一个名为“GoodWill”的勒索软件，受害者如果想要获得密钥，就必须做一些善事：给不幸的人提供食物、毛毯，或者向病人捐钱。总的来说，受害者必须参与三项活动才能恢复数据。 如下所示，第一个活动要求您为路边有需要的人提供衣服和毯子，并制作自己这样做的视频。该视频还必须发布到社交媒体上以鼓励他人。然后必须将此信息通过电子邮件发送给攻击者作为完成的证据。 第二个活动要求您从快餐连锁店喂养五个孩子，并在这样做的同时善待他们。受害者还必须与他们自拍，并再次在社交媒体上发布这些照片和视频。然后必须将餐厅账单的图像以及指向社交媒体帖子的链接发送给攻击者。 第三个活动迫使您去医院并为需要经济援助的人支付医疗费用。这些人也必须自拍，并且必须记录音频对话作为证据。然后，必须在社交媒体上发布一篇关于援助的“漂亮文章”，并且您必须向人们解释如何成为 GoodWill 的勒索软件基本上是发生在您身上的最好的事情。 一旦攻击者验证了所有信息，他们将发送一个解密工具，以便您可以恢复您的文件。 CloudSEK 能够将 IP 地址和电子邮件地址追溯到印度一家据称管理端到端安全性的 IT 公司。 GoodWill 与 HiddenTear 勒索软件有相似之处，但 CloudSEK 也能够在用 Hinglish 编写的代码中找到字符串，例如“error hai bhaiya”，翻译为“有一个错误，兄弟”。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1273523.htm 封面来源于网络，如有侵权请联系删除

长久以来，安装付费(PPI)恶意软件服务已经成为网络犯罪生态系统不可分割的一部分。恶意软件运营者提供支付、恶意有效载荷和目标信息，负责运行服务的人把分发和传播部分外包出去。可访问性和合适的成本使得恶意软件运营商可以利用这些服务作为一种武器，用于快速、批量和地理定位的恶意软件感染。 通过了解这些服务是如何扩散的，防御者可以更好地识别这些活动，并阻止它们对组织的 IT 堆栈造成严重破坏。本报告重点介绍了 PrivateLoader 模块化下载程序，该下载程序由 C++程式语言编写，连接到一个未经确认的 PPI 服务。PrivateLoader 位于此操作的前端，并与其后端基础设施通信，以检索 url，从而将恶意有效负载“安装”到受感染的主机上。正如与 PPI 服务绑定的下载一样，PrivateLoader 传送了各种数据，比如哪些有效载荷被下载并成功启动。 分发活动通常依靠搜索引擎优化(SEO)增强的网站网络，吸引毫无防备的搜索盗版软件的受害者下载并执行恶意软件。它通常会发送一个密码保护的存档，其中包含一个安装文件，该文件在受感染的主机上嵌入并执行多个恶意有效负载，如GCleaner、PrivateLoader、Raccoon、Redline、Smokeloader和Vidar恶意软件。我们估计，这些攻击活动从2021年5月起开始纳入PrivateLoader。 本报告调查了其背后的 PPI 服务和运营商使用的获取“安装”的方法，并提供了服务提供的恶意软件组的详细信息。     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1829/ 消息来源：intel471，封面来自网络，译者：Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

漫游螳螂(Roaming Mantis)是一种恶意攻击，目标是 Android 设备，通过钓鱼短信散播移动恶意软件。我们发现了漫游螳螂在2021年的一些新活动，以及 Android 木马 Wroba.g (或Wroba.o，又名 Moqhao，XLoader)的一些变化，这些变化主要用于本次攻击活动。此外，我们发现除了日本、台湾和韩国外，法国和德国也是“漫游螳螂”的主要目标。 我们对“漫游螳螂”的最新研究表明，攻击者正专注于通过向欧洲用户发送钓鱼短信来扩大感染范围。法国和德国的攻击非常活跃，引起了德国警方和法国媒体的注意。他们提醒用户注意钓鱼信息和受到攻击的作为登陆页面的网站。     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1827/ 消息来源：Kaspersky，封面来自网络，译者：Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2021年6月，Kaspersky ICS CERT 专家发现了一个恶意软件，其加载程序与 Manuscrypt 恶意软件有一些相似之处，Manuscrypt 是 Lazarus APT 组织的武器库的一部分。2020年，该组织在攻击不同国家的国防企业时使用了Manuscrypt。这些攻击在报告中被描述为[“Lazarus用ThreatNeedle攻击国防工业”](https://ics-cert.kaspersky.com/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/)。 奇怪的是，恶意软件的数据外泄通道使用了 KCP 协议的一个实现，这个实现以前只被看作是 APT41组织工具集的一部分。 我们将新发现的恶意软件命名为 PseudoManuscrypt。 PseudoManuscryptd的加载程序通过一个 MaaS 平台进入用户系统，这个 MaaS 平台在盗版软件安装档案中分发恶意软件。具体举例，PseudoManuscrypt 下载器是通过 Glupteba 僵尸网络安装的，Glupteba 僵尸网络的主要安装程序也是通过盗版软件安装程序分发平台发布的。这意味着，使用PseudoManuscrypt的攻击者所使用的恶意软件分发策略并没有显示出特定的目标。 在2021年1月20日至11月10日期间，卡巴斯基的产品在全球195个国家的35000多台电脑上阻止了 PseudoManuscrypt 恶意软件。如此大量的受攻击系统数量并不是 Lazarus 组织或 APT 组织攻击的特点。 攻击的目标包括大量的工业和政府组织，包括军事工业复合体的企业和研究实验室。 根据我们的遥测数据，至少有7.2% 受到了PseudoManuscrypt的攻击的计算机与工业控制系统有关，而这些系统被工程、智能建筑、能源、制造、建筑、公用事业和水管理等行业的组织所使用。 主要的 PseudoManuscrypt 模块具有广泛而多样的监视功能。它包括盗取 VPN 连接数据、记录按键、截取屏幕截图和视频、用麦克风录音、盗取剪贴板数据和操作系统事件日志数据(这也使盗取 RDP 认证数据成为可能)等等。从本质上讲，PseudoManuscrypt的功能几乎为攻击者提供了对受感染系统的完全控制。     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1790/ 消息来源：Kaspersky，封面来自网络，译者：Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

我们通过IE11/Edge Legacy和MS Teams在Windows 10上发现了一个驱动代码执行漏洞，该漏洞由Windows 10/11默认处理程序中MS -officecmd: URI的参数注入触发。 通过其他浏览器进行攻击，受害者需要接受一个不显眼的确认对话框。或者，通过执行不安全URL处理的桌面应用程序，恶意URI也可以传递。 微软漏洞赏金计划 (MSRC) 响应不及时:起初，他们判断错误，并且完全忽略了这个问题。在我们反映后，该问题被归类为“关键，RCE”，但对其进行了分类的悬赏广告只获得了十分之一的奖励（5千美元与5万美元的差距）。他们在5个月后提交的补丁未能正确解决基本参数注入（目前在Windows 11上仍然存在）。 我们的研究过程很简单：我们决定两周内在默认的Windows10 URI处理程序中发现一个代码执行漏洞。考虑到Windows附带的URI处理程序的数量，很可能其他处理程序也可以找到漏洞。         更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1784/ 消息来源：PositiveSecurity，封面来自网络，译者：Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。