一份新的报告显示，在COVID-19大流行期间，网络犯罪分子的策略发生了变化，特定应用和网络应用攻击明显增加。这些网络攻击占去年所有攻击的67%。在过去的两年里，这个数字增加了一倍多。根据日本NTT《2021年全球威胁情报报告》，网络攻击在医疗保健业增加了200%，在制造业增加了300%，在金融业增加了53%。 去年，这三个行业占所有攻击的62%，比前一年增加11%。该报告对2020年1月1日至12月31日的全球攻击数据进行了统计，结论如下： 虽然去年恶意软件在特征和功能方面变得更加商品化，但由于多功能恶意软件的崛起，它也变得更加多样化。 恶意挖矿软件已经超过了间谍软件，成为使用最广泛的恶意软件，但针对特定行业的特定恶意软件变种的使用仍在不断发展。 蠕虫病毒在金融和制造业中最为常见，远程访问特洛伊木马对医疗保健业造成了严重破坏，而勒索软件则对技术行业造成了严重破坏。 由于利用未受保护的基础设施的学生中流行加密，教育部门受到了加密软件的冲击。 2020年，恶意挖矿占所有检测到的恶意软件的比例高达41%。木马病毒占总数的四分之一以上（26%），蠕虫病毒占10%，勒索软件占6%。 XMRig挖币机占所有挖币活动的82%，是“最受欢迎的”非法挖币方法。恶意挖矿行为在欧洲、中东和非洲以及美洲最常见，但在亚太地区却很罕见。 根据NTT的研究，全球50%的组织将云安全作为优先事项，使其成为未来18个月内的首要网络安全任务。     （消息及封面来源：cnBeta）

一个在4月份入侵哥伦比亚特区大都会警察局（MPD）的勒索软件团伙在周二发布了人事记录，披露了近20名警官的高度敏感数据，包括心理评估和测谎测试结果，驾驶执照图像，指纹，社会安全号码，出生日期以及居住、财务和婚姻历史。 勒索软件团伙威胁说，如果警察不付钱的话，他们就会公布警察线人的身份。根据据称是两个组织之间的聊天记录截图显示，这些数据包括在从暗网一个网站下载的161MB数据包当中。这个数据包在Babuk勒索软件集团成员和MPD官员之间的谈判破裂后曝光。 勒索软件团伙要求警方支付400万美元作为交换条件，承诺不再公布任何信息，并提供一个可以恢复数据的解密密钥。大都会警察局（MPD）对此的回答是支付10万美元，以防止被盗数据的发布。如果这个提议不被接受，那么就没有继续会谈的必要。对于大都会警察局（MPD）的回复，勒索软件团伙表示这个价格是不可接受的，并且要求外界在午夜时分关注他们的网站。 该组织网站上的一个帖子表示，双方谈判走到了死胡同，警方提供的金额不适合他们，他们在官网上又发布了20个个人文件，这些文件包含在1个有密码保护的161MB文件当中。在MPD官员拒绝提高赎金之后，勒索软件团伙后来公布了161MB文件的密码。MPD代表没有回应关于文件真实性或谈判现状的问题。 与如今几乎所有的勒索软件团伙一样，该团伙采用了双重勒索模式，不仅对解锁被盗数据的解密密钥收费，而且还以不公开任何数据的承诺作为交换。勒索软件团伙通常会泄露少量的数据，希望能促使受害者支付费用。如果受害者拒绝，未来发布的数据将包括更多的私人和敏感信息。     （消息及封面来源：cnBeta）  

网络安全公司 Pradeo 近日发现了一个先进的移动攻击活动，该活动利用网络钓鱼技术窃取受害者的信用卡信息，并使他们感染了一个冒充 Android 端 Chrome 浏览器应用程序的恶意软件。该恶意软件再利用受害者的设备作为载体，发送成千上万条钓鱼短信。Pradeo 的研究人员将其定性为 Smishing 木马。 通过结合高效的网络钓鱼技术、积极传播的恶意软件以及绕过安全解决方案的方法，这个活动特别危险。安全公司 Pradeo 评估，它的传播速度使它在过去几周内已经让数十万人受到影响。 首先，攻击者会向受害者发送要求支付海关费用以释放包裹的短信。当他们打开链接时，他们首先被哄骗去更新他们的Chrome应用，但所谓的更新是一个恶意软件。然后，他们被引导支付一小笔钱（通常最多1或2美元）。当他们这样做时，这种攻击背后的网络犯罪分子就得到了受害者的信用卡信息。 一旦用户安装虚假的 Chrome 应用程序，那么每周就会通过受害者的设备发送超过 2000 条短信，每天发送时间维持 2或3个小时，向随机的电话号码发送，这些号码似乎是相互关联的。这种机制确保了攻击活动的成功传播。为了不被发现，该恶意软件通过使用官方 Chrome 应用程序的图标和名称隐藏在移动设备上，但其软件包、签名和版本与官方应用程序没有任何共同之处。 该活动正努力绕过现有的移动安全解决方案。首先，他利用受害者的电话号码加速发送钓鱼短信，以确保这些短信不会被短信应用程序的垃圾邮件过滤器所屏蔽。其次，该恶意软件使用混淆技术并调用外部代码来隐藏其恶意行为，因此躲过了大多数威胁检测系统。第三，一旦该应用程序被大多数杀毒软件识别并引用，网络犯罪分子只需用新的签名重新包装，就可以重新躲避扫描。 Pradeo的引擎已经识别出两个假的Chrome应用程序，作为该活动的一部分。当比较我们所分析的两个应用程序时，我们看到它们99%是相同的，只有一些文件名似乎被随机改变，另一方面它们的容量也是相同的。     （消息及封面来源：cnBeta）

自 2019 年以来，勒索软件团伙已经从暗网泄露了 2103 家公司的数据。现代化勒索软件行动始于 2013 年，攻击者的方式主要是对企业数据进行加密，然后要求支付赎金来获得解密。不过自 2020 年年初以来，勒索软件行动开始进行一种新的战术，称为双重勒索（double-extortion）。 双重勒索是指勒索软件在加密网络值钱窃取未加密的文件。然后攻击者会威胁说，如果企业不支付赎金，那么就会在暗网上公开被盗的文件。由于无法恢复加密文件以及数据可能被泄露、政府罚款和诉讼的额外担忧，威胁者寄希望于这将迫使受害者更容易地支付赎金。 一位被称为 DarkTracer 的暗网安全研究员一直在追踪 34 个勒索软件团伙的数据泄露网站，并告诉 BleepingComputer，他们现在已经泄露了 2103 个组织的数据。 DarkTracer 跟踪的 34 个勒索软件团伙是 Team Snatch、MAZE、Conti、NetWalker、DoppelPaymer、NEMTY、Nefilim、Sekhmet、Pysa、AKO、Sodinokibi（REvil）、Ragnar_Locker、Suncrypt、DarkSide。CL0P, Avaddon, LockBit, Mount Locker, Egregor, Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname 和 XING LOCKER。 在这 34 个团伙中，最活跃的前 5 名团伙是Conti（338次泄密）、Sodinokibi/REvil（222次泄密）、DoppelPaymer（200次泄密）、Avaddon（123次泄密）和Pysa（103次泄密）。 3 个不再活跃的团体，比前五名中的一些团体有更多的泄漏，它们是 Maze（266次泄漏）和 Egregor（206次泄漏）。 所列的一些勒索软件团伙已不再运作，如NetWalker、Sekhmet、Egregor、Maze、Team Snatch，或改名为新名称，如NEMTY和AKO。数据勒索行业已经成为勒索软件团伙的一个重要盈利点，他们告诉BleepingComputer，受害者更担心他们的数据被泄露，而不是加密文件的丢失。   （消息及封面来源：cnBeta）

由 Epic 与苹果在法庭上展开交锋期间披露的电子邮件信息可知，2015 年的时候，共有 1.28 亿 iOS 用户下载了被 XcodeGhost 恶意软件感染的应用程序。当时逃过官方检测的 XcodeGhost，旨在通过挖掘用户数据来牟利。尽管苹果很快采取了行动，但有关 XcodeGhost 攻击影响的完整细节，仍不被外界所知晓。 在本周的 Epic Games 诉苹果 App Store 案件审理期间，我们终于对 XcodeGhost 黑客攻击事件的影响范围有了更清晰的了解。 率先曝光这一系列邮件的 Motherboard 指出：期间共有 1.28 亿用户下载了含有恶意代码的 2500 多款应用程序，且其中约 1800 万用户均位于美国地区。 邮件中还详细说明了苹果是如何努力确定攻击的严重程度，并向受害者发出通知的。 App Store 副总裁 Matt Fischer 说到：由于大量潜在的客户受到了影响，我们是否有必要向所有客户发送电子邮件通知？ 请注意，这在电子邮件的语言本地化方面也带来了一些挑战，因为 App 下载发生在全球各个区域的 App Store 市场。 对于此事，时任 iTunes 客户体验经理 Dale Bagwell 表示同意，理由是大规模的通知将极具挑战性。 我们有一款能够发送批量请求的工具，但目前仍处于测试阶段，以确保我们能够正确地向每个用户通报确切的应用程序名称。 不过 Bagwell 也提到了该工具的一些局限性，比如向 1.28 亿人发送大量电子邮件的话，可能需要耗费一周的时间。 最后需要指出的是，尽管 XcodeGhost 恶意软件在 App Store 上非常普遍，但事情并不特别复杂或危险。 当时苹果表示，没有任何信息表明它被用于任何恶意的事情、或收集可识别的个人身份信息。     （消息及封面来源：cnBeta）

Apple Insider 报道称：早在 2016 年，苹果就已经收购了恶意软件检测初创企业 SourceDNA 。但直到其被扯进 Epic Games 诉苹果 App Store 案件，外界才正式获知了这一消息。作为一家初创企业，SourceDNA 打造了一款用于检查应用程序是否存在恶意软件或恶意代码的自动化系统。而在近日的案件审理期间披露的电子邮件表明，苹果于 2015 年产生了收购 SourceDNA 的意向。 苹果应用审查流程高级主管 Trystan Kosmynka 表示，XcodeGhost 引发的问题，让他们提起了收购 SourceDNA 的浓厚兴趣。 作为一款臭名昭著的恶意软件，XcodeGhost 在 2015 年污染了苹果 App Store 上的诸多应用程序。2015 年的时候，SourceDNA 还揭示了第三方开发人员工具的一些违规行为，比如秘密地记录了某些信息。 此外由披露的电子邮件信息可知，这起收购将世界顶尖的工程师兼安全专家创始人 Nate Lawson、及其获得专利的二进制分析和定制的逆向编译器等技术，也纳入了苹果麾下。 最后，在周四的证词中，Trystan Kosmynka 扩展讲述了苹果在 App Store 在应用审核过程中用于捕获恶意软件的相关工具。 在收购了 SourceDNA 之后，他们利用这家初创企业的相关技术，重新打造了一款较新的工具。   （消息及封面来源：cnBeta）

随着互联网的普及和不断发展，躲在灰色角落的各种网络安全威胁也愈演愈烈。近年来，我们已经听到大量有关加密劫持、网络钓鱼、以及勒索类恶意软件的报道，且企业组织正在被更多攻击者给盯上。其中许多网络安全威胁，都使用了欺骗性的电子邮件作为攻击媒介，以诱使受害人在设备上安装恶意软件。 今天，软件巨头微软再次发布了面向组织机构的反诈宣传文案，并且强调了已经泛滥成灾的礼品卡骗局。 文中指出，攻击者正在利用企业电子邮件泄露（BEC）。作为一种网络钓鱼技术，其旨在访问企业信息或窃取金钱。 在本例中，攻击者利用了域名抢注，来诱骗受信任误以为发件人是老朋友，且涵盖了房地产、消费品、农业等各个领域。 在一个典型案例中，行政助理收到了一封伪装成其老板的电子邮件，称其想要鼓励员工在 COVID-19 大流行期间的艰苦工作，因而交代行政人员立即采购一批礼品卡，并通过电子邮件的形式来发放兑换码。 结果粗心的助理在这么做之后，最终发现上司从未发过这封电子邮件。尽管这套流程似乎很简单，但微软还是指出了 BEC 攻击的不同寻常之处。有些时候，攻击者甚至会扮演团队中的多个角色来忽悠受骗者。 在得逞之后，冒名者通常会立即访问特定的站点，以将礼品卡兑换成加密货币或其它形式的资产。在被微软观察到的 120 个冒名顶替域名中，大部分都是在攻击发生数日前抢注的，意味着背后的组织协调性可能也极高。 微软补充道：我们注意到这些域名并未启用隐私保护，更谈不上欧盟《通用数据保护条例》（GDPR）的合规性。 攻击者为每个冒名顶替域名留下了不同的登记邮件地址（首选 Gmail 等免费邮件服务），且注册人信息似乎也只是自动随机声称的名字和姓氏。 与往常一样，微软再次推荐了自家的 Microsoft Defender for Office 365 服务。除了帮助企业抵御潜在的攻击，它还能够鉴别用户和域名、以及增强员工之间的辨识度等。     （消息及封面来源：cnBeta）

本周，趋势科技（Trend Micro）安全研究人员分享了有关“Panda Stealer”恶意软件的详情。可知除了垃圾邮件、攻击者还选择了将它放入 Excel 文档并通过 Discord 渠道进行传播，以窃取用户的加密货币。由目前上传至 VirusTotal 的样本和调查分析可知，该恶意软件以波及美国、澳大利亚、日本和德国等地，且感染链条通常可追溯到一封网络钓鱼邮件。 安全研究人员指出，Panda Stealer 会在钓鱼邮件中将自身伪装成企业询价。在欺骗受害者打开了 .XLSM 后缀的文件并启用宏操作后，恶意软件就会尝试下载并执行主窃取程序。 此外 Panda Stealer 还有另一种感染途径，通过在 .XLS 格式的附件中插入一个隐藏了 PowerShell 命令 Excel 公式，恶意软件会在触发后尝试访问 paste.ee 这个网址，以将 PowerShell 脚本引入受害者的系统。 Trend Micro 表示，Visual Basic 中的 CallByName 导出功能，被攻击者用于从 paste.ee 网址调用内存中的 .NET 程序集。 通过 Agile.NET 混淆器加载的程序集，将把合法的 MSBuild.exe 进程掏空，然后用攻击者的有效负载替换（来自另一个 paste.ee 网址的十六进制编码的 Panda Stealer 二进制文件）。   下载完成后，Panda Stealer 将检测与以太坊（ETH）、莱特币（LTC）、字节币（BCN）、达世币（DASH）等加密货币有关的钱包密钥和地址。 此外该恶意软件能够屏幕截图、泄露系统数据、以及窃取信息，包括浏览器 Cookie、NordVPN、Telegram、Discord、以及 Steam 账户的凭据。 通过对攻击链条和恶意软件分发方式的分析，Trend Micro 认为 Panda Stealer 与 Phobos 勒索软件（以及 4 月份报告中提到的 LockBit）存在许多相似之处。 尽管未将该活动归因于特定的网络攻击者，但 Trend Micro 还是顺着命令与控制服务器，反向找到了幕后黑手的 IP 地址、以及从 Shock Hosting 租用的 VPS 服务器（后者已处于被挂起的状态）。     （消息及封面来源：cnBeta）

据外媒报道，网络安全公司卡巴斯基今日表示，它发现了一个疑似由美国中央情报局(CIA)开发的新恶意软件。卡巴斯基表示，该公司的分析师和其他安全公司在2019年2月收到的“恶意软件样本”中发现了这个恶意软件。 虽然最初的分析没有发现跟任何已知恶意软件样本有任何共享代码，但卡巴斯基最近重新分析了这些文件，结果表示发现这些样本具有在Lambert家族中发现的编码模式、风格和技术的交集。据悉，Lamberts是卡巴斯基用来追踪CIA黑客行动的内部代号。 四年前，维基解密在一系列名为Vault7的泄密中向公众披露了CIA的黑客能力，美国安全公司赛门铁克(Symantec)公开将Vault7黑客工具跟CIA和Longhorn APT（Lamberts另一个行业称呼）联系在一起。 由于这些新发现的样本跟CIA过去的恶意软件有着相似之处，卡巴斯基指出，他们现在正在追踪这个名为Purple Lambert的新恶意软件集群。 根据Purple Lambert元数据，恶意软件样本似乎是在七年前也就是2014年编译的。 卡巴斯基表示，虽然它没有在野外看到任何这些样本，但他们认为Purple Lambert样本很可能早在2014年就已经部署，最晚时间是2015年。 至于这种恶意软件的作用，卡巴斯基对其的描述似乎表明，这种恶意软件是一种后门木马，用来监听网络流量、获取特定的数据包以便在受感染的主机上激活它。   （消息及封面来源：cnBeta）

一个旨在窃取密码、银行资料和其他敏感信息的恶意软件正在 Android 平台上快速传播。这款恶意软件名为 FluBot，通过声称来自某家快递公司的短信进行安装，要求用户点击一个链接来追踪某个包裹。这个钓鱼链接要求用户安装一个应用程序来跟踪假的快递，但实际上会窃取用户的敏感数据。 一旦安装，FluBot 还可以访问受害者的通讯录，允许它将受感染的短信发送给他们所有的联系人，进一步传播恶意软件。英国国家网络安全中心（NCSC）已经发布了关于如何识别和删除FluBot恶意软件的安全指南，而包括Three和Vodafone在内的网络供应商也已经就短信攻击向用户发出警告。 最常见的就是来自 DHL 的信息，此外包括亚马逊、Asda、Argos 也有用到。如果安卓用户点击该链接，他们会被带到一个网站，该网站将把用户带到一个第三方网站，下载一个恶意的APK文件（安卓软件包文件）。这些文件通常在默认情况下被阻止，以帮助保护安卓用户免受攻击，但假网站提供了如何绕过这些保护措施并允许 FluBot 被安装的信息。 一旦安装，FluBot 获得所有必要的权限，以访问和窃取敏感信息，包括密码、网上银行细节和其他个人信息，以及将自己传播给他人的能力。正是这种利用联系信息的机制使 FluBot 的传播如此迅速。 NCSC 警告收到诈骗短信的用户不要点击短信中的链接，如果有提示也不要安装任何应用程序。相反，他们被敦促将该信息转发到7726，一个由电话运营商提供的免费垃圾邮件报告服务–然后删除该信息。   （消息及封面来源：cnBeta）