网络安全研究人员将该 APT 组织追踪为 UNC3524，并强调在某些情况下，该组织可以对受害者环境进行超过 18 个月的访问，展示了其 “先进 “的隐匿能力。 在每一个 UNC3524 受害者环境中，攻击者都会针对一个子集的邮箱，集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。 获取权限后，立刻窃取数据 Mandiant 表示，一旦 UNC3524 成功获得受害者邮件环境特权凭证后，就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 环境提出 Exchange 网络服务（EWS）API 请求。 另外，UNC3524 在不支持安全监控和恶意软件检测工具的网络设备上，部署一个被称为 QUIETEXIT 的后门（以开源的 Dropbear SSH 软件为灵感开发），以保持长期攻击。 在一些攻击中，UNC3524 也会在 DMZ 网络服务器上部署 reGeorg 网络外壳（注：该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联），以创建一个SOCKS 隧道作为进入受害者网络的替代接入点。 UNC3524 隧道 UNC3524 通过这些设备（如无线接入点控制器、SAN 阵列和负载平衡器）上部署的恶意软件，大大延长了初始访问与受害者检测到其恶意活动，并切断访问之间的时间间隔。 值得一提的是，Mandiant 表示，即使延长了时间，UNC3524 组织也没有浪费时间，一直使用各种机制重新破坏环境，立即重新启动其数据盗窃活动。 QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分，该僵尸网络通过默认凭证，破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。 在获得访问权并部署其后门后，UNC3524 获得了受害者邮件环境的特权凭证，并开始通过 Exchange 网络服务（EWS）API请求，瞄准企业内部的Microsoft Exchange或Microsoft 365 Exchange Online邮箱。 值得注意的是，UNC3524 组织通常窃取执行团队和从事企业发展、并购或 IT员工的所有电子邮件，而不是挑选感兴趣的电子邮件。   转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332061.html 封面来源于网络，如有侵权请联系删除

据调查，在近半年的时间里，英国国家卫生系统(NHS)的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动，其中一些活动旨在窃取Microsoft登录信息。在劫持合法的NHS电子邮件帐户后，这些攻击者于去年10月开始使用它们，并至少在今年4月之前将其继续用于网络钓鱼活动。据电子邮件安全INKY的研究人员称，已经从英格兰和苏格兰员工的NHS电子邮件帐户发送出1000多条网络钓鱼邮件。 研究人员跟踪了来自NHS的两个IP地址的欺诈性消息，这些IP地址来自139名NHS员工的电子邮件帐户。INKY在其客户中检测到来自这两个地址的1,157封欺诈性电子邮件。随后NHS也确认这两个地址是用于管理大量账户的邮件系统。 在大多数情况下，网络钓鱼邮件带有虚假链接，根据邮件提示需要点击链接才能执行下一步操作，而虚假链接则会跳转到要求填写Microsoft凭据的钓鱼网站上面。为了使电子邮件更加可信，攻击者在邮件底部添加了NHS保密免责声明。 在INKY研究人员收集的其他样本中，网络钓鱼邮件通过添加公司徽标来冒充Adobe和Microsoft等品牌。并且钓鱼活动的范围很广泛，除了试图窃取凭证之外，还有一些预付费用的情况，比如攻击者告知接受者有200万美元的巨额捐款。当然，接收资金需要潜在受害者以个人详细信息（例如全名和地址、手机号码）的形式支付费用。 甚至还有人使用了Shyann Huels 的名字并假装自己是“杰夫·贝索斯先生的国际事务特别秘书”。 上图中的相同名称和消息已在4月初的诈骗中出现，该操作背后的个人拥有一个加密货币钱包地址，该地址收到了大约4.5个比特币，目前价值约 171,000 美元。 自从发现网络钓鱼活动以来，INKY一直与NHS保持联系。这家英国机构在4月中旬之后通过从本地 Microsoft Exchange 部署切换到云服务来解决风险。这一举措确实起到了不错的效果，虽然INKY客户继续收到欺诈信息，但数量要少得多。这是由于NHS为该国数以万计依赖各种技术解决方案的组织（例如医院、诊所、供应商、医生办公室）提供了基础设施。INKY的安全战略副总裁Roger Kay强调说，这些活动不是入侵 NHS电子邮件服务器的结果，而是单独劫持了帐户。   转自 FreeBuf ，原文链接：https://www.freebuf.com/articles/332063.html 封面来源于网络，如有侵权请联系删除

尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的，但他们散播的成品也并非毫无破绽。比如近日，安全研究人员 John Page（又名 hyp3rlinx）就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知，John Page 专精于找到恶意软件本身的漏洞，并于近日分享了阻止勒索软件加密受害者文件的方法。 视频截图（来自：malvuln / YouTube） 据悉，许多勒索软件都会被 DLL 劫持所影响。通常攻击者会利用这种动态链接库来诱骗程序加载，以运行他们预期中的恶意代码。 但转念一想，你也大可合理利用该技术来“反劫持”并阻止某些类型的勒索软件。 视频链接：https://tv.sohu.com/v/dXMvODIyMjQwNTMvMzQ2MTE1MDg2LnNodG1s.html John Page 在网站上分享了针对 REvil、Wannacry、Conti 等最新版恶意软件的漏洞和自定义 DLL 的详情。 可知要顺利解套，DLL 需在攻击者可能放置恶意软件的潜在目录中守株待兔。 截图（来自：Malvuln 网站） John Page 还建议采用分层策略，比如将之放在包含重要数据的网络共享上。 由于动态链接库不会在勒索软件访问它们之前被调用，因而此举可无视绕过反病毒软件防护的勒索软件活动。 遗憾的是，DLL 反劫持套路只适用于微软 Windows 操作系统，而无法轻松照搬到 Mac、Linux 或 Android 平台上。 此外它只能尝试避免被勒索软件加密文件，而不能阻止被攻击者访问系统和泄露数据。   转自cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1265609.htm 封面来源于网络，如有侵权请联系删除

电动汽车（EV）革命来了。在过去的十年里，插电式混合动力电动车已经从16000辆增长到超过200万辆，汽车高管们预计到2030年，超过50%的美国汽车将是全电动的。不难看出，专家们为何做出如此乐观的预测。除了不断增长的电动汽车车队，今年早些时候签署的美国国会两党基础设施协议将包括75亿美元，以帮助规划和建设全国各地的电动汽车充电站的广泛网络，这是确保全面采用该技术的关键任务。 目前的加油站网络花了几十年时间从美国的一端延伸到另一端，现在电动汽车充电站也在进行类似的工作。如此规模的基础设施项目毕竟需要全面的规划和大量的投资。 在电动车的使用和保持电池满载的计划中，一个对许多发展中的技术而言非常熟悉的挑战浮出水面：电动车充电站网络的安全。 今年早些时候，一名19岁的技术安全专家利用第三方软件应用，入侵了世界各国的25辆特斯拉汽车。这是第一起报道的第三方应用程序被用来入侵并获得对车辆数据和控制的完全访问的事件。对特斯拉来说，网络安全是一个致命的严重问题，但黑客仍然找到了破坏其系统的方法。随着电动汽车的不断发展和占领道路，全国各地数以千计的可能没有保护的电动汽车充电站成为网络攻击者的诱人目标。如果不大力强调网络安全，这些充电站可能成为黑客的超级高速公路。 如果电动车充电站没有配备灵活、彻底的网络安全措施，就很容易受到黑客攻击。从本质上讲，电动汽车充电基础设施是一个等待另一个设备连接并开始通信的设备，没有第三方防火墙或其他网络安全设备作为保护，所以网络安全技术必须直接建立在充电站本身。第三方往往是必要的安全技术，因为它往往缺乏适当的网络保护。电动汽车充电站的快速采用也助长了其脆弱性，因为某些安全措施可能被忽视。正因为如此，电动汽车充电站在黑客面前显得非常脆弱。 保护充电站不被入侵的最佳策略是持续监测网络攻击，包括已知和未知的攻击。例如，在开发的后期阶段利用技术解决方案，是确保联网车辆和智能移动生态系统安全的一个重要方面，使公司能够实时监控他们的整个基础设施和车辆，利用汽车专用的分析方法来检测威胁。 电动汽车充电基础设施与其他任何连接设备一样容易受到网络威胁。然而，技术的复杂性和匆忙的演变使它特别容易受到威胁。我们很容易忘记，它们需要同样的保护，以确保它们不会为网络犯罪分子敞开大门。随着电动车车队的不断扩大，我们必须专注于先进的网络安全措施，以保证每个人在路上的安全，并确保我们的车辆所包含的关键数据的安全。   转自cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1264343.htm 封面来源于网络，如有侵权请联系删除

美国联邦调查局警告食品和农业公司，要做好准备，防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出，以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的，2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。 “网络犯罪分子可能将农业合作社视为有利可图的目标，由于它们在农业生产中扮演着时间敏感的角色，他们愿意付费，”BlackFog首席执行官兼联合创始人Darren Williams博士说。”去年，我们看到最大的肉类加工公司之一JBS食品公司、价值数十亿美元的乳制品公司Schreiber、位于明尼苏达州的农场供应和谷物营销合作社Crystal Valley以及位于爱荷华州的农场服务提供商NEW Cooperative等受到攻击后，食品供应中断了。 Williams补充说：”不幸的是，勒索软件攻击正在以无与伦比的速度增加，许多组织仍然依赖过时的技术来防御它们，因此，针对我们的食品供应的破坏性攻击的机会比以往任何时候都高。” 俄罗斯与乌克兰之间近期爆发的战争也凸显了粮食安全问题，这可能会看到许多国家认真对待这一威胁，英国也已经发布了类似的指导意见。 Comparitech公司的安全专家Brian Higgins说：”农民和食品生产已经被网络犯罪分子盯上一段时间了。英国国家网络安全中心（NCSC）在2020年12月发布了指南，美国当局也在跟进，这并不奇怪。犯罪分子总是会在最脆弱的地方攻击他们的目标，以最大限度地施加压力来满足他们的要求。这就是为什么种植和收获季节是农业界特别感兴趣的原因。再加上COVID-19大流行带来的持续的供应链困难，你就会明白为什么这个行业需要提高它的游戏规则并认真对待这些威胁。农民的利润率传统上是非常微薄的，所以一次成功的攻击可能对个别企业或集体造成难以置信的伤害。如果网络犯罪分子来敲门，基本的网络保护必须到位。” Armis公司的首席信息官Curtis Simpson警告说，”许多食品和农业供应链也是由小型企业促成的。其中一些业务已经受到大流行病的影响，任何此类攻击都可能使他们永远失去业务。再一次，当这种情况发生时，从食品服务提供者到餐馆到医院和消费者的下游业务都会遭遇产品采购问题。”   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261517.htm 封面来源于网络，如有侵权请联系删除

以美国为首的“五眼”网络安全部门，刚刚向其盟友（包括英国、加拿大、澳大利亚和新西兰）发出了关键网络基础设施的维护警告。美国家安全局（NSA）给出的理由是 —— 受俄罗斯支持的黑客组织，或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕，并遵循联合咨询中提当过的缓解措施，以增强 IT 和 OT 网络。   （来自：CISA） 周三的联合公告，建立在 FBI、CISA 和 NSA 于今年 1 月发布过的类似公告的基础之上，揭示了针对美国关键基础设施部门的俄罗斯黑客攻击威胁有所加剧。 CISA 主任 Jen Easterly 补充道：近期情报表明俄政府正探索针对美国关键基础设施的潜在网络攻击选项。 而与跨机构国际合作伙伴共同发布的此公告，旨在强调受俄政府支持和结盟的网络攻击组织的威胁和能力。 在官方给出的建议中，包括了对组织里的关键基础设施加强防御，以保护其信息技术（IT）和运营技术（OT）网络不受各种网络威胁的影响 —— 包括勒索软件、破坏性恶意软件、DDoS 攻击、以及网络间谍活动等。 CISA 建议优先修补那些已在野外被积极利用的漏洞、落实多因素身份验证，并为远程桌面协议（RDP）套上一道安全门。 同时对于终端用户来说，也应开展有针对性的培训，以提升其对于网络安全的忧患意识。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260917.htm 封面来源于网络，如有侵权请联系删除

虽然这家俄罗斯安全公司近几个月来已经失宠，但卡巴斯基宣布它已经成功破解了Yanluowang勒索软件（没错，它真的叫阎罗王，字面上Yanluowang。）这一充满了东方文化气息的恶意软件是去年由赛门铁克公司首次发现的，现在，卡巴斯基已经发现了它使用的加密算法中的一个漏洞。这使得该公司能够开发一个免费的解密工具，赎金软件的受害者可以用它来取回他们的数据，而不需要支付一分钱。 据了解，Yanluowang已经在包括美国、巴西和土耳其在内的多个国家发动袭击。已经开发的解密器显然将受到受害者的欢迎，但卡巴斯基提示说，至少需要一个被加密的原始文件才能发挥作用。 卡巴斯基在关于发布该免费工具的帖子中说： 卡巴斯基专家对该勒索软件进行了分析，发现了一个漏洞，可以通过已知文本攻击解密受影响用户的文件。这所需的一切都被添加到Rannoh解密工具中。 要解密一个文件，你应该至少有一个原始文件。如前所述，阎罗王勒索软件将文件沿着3千兆字节的阈值分为大文件和小文件。这就产生了一些必须满足的条件，以便解密某些文件。 – 要解密小文件（小于或等于3GB），你需要一对大小为1024字节以上的文件。这足以解密所有其他小文件。 – 要解密大文件（超过3GB），你需要一对大小不低于3GB的文件（加密的和原始的）。这将足以解密大文件和小文件。 根据以上几点，如果原始文件大于3GB，就有可能解密受感染系统上的所有文件，包括大文件和小文件。但如果有一个小于3GB的原始文件，那么只有小文件可以被解密。 更多信息请见卡巴斯基的《如何恢复被阎罗王加密的文件》一文： https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260543.htm 封面来源于网络，如有侵权请联系删除

Project Zero 是由 Google 专家和分析师组成的内部团队，负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二，该团队发布公告称，在 2021 年共发现了 58 个已被黑客利用的漏洞，刷新了历史记录。 零日漏洞是指开发人员刚刚意识到的安全缺陷，因此，他们有“零天”时间来修复或“打补丁”。如果不被发现，这种缺陷可能导致数据泄露和勒索软件攻击。去年，微软警告用户 Windows 10 和其他软件的零日漏洞，包括 Microsoft Exchange和Microsoft Office，然后及时为100多个潜在风险发布了安全更新补丁。 自 2014 年成立以来，Project Zero 检测和披露的零日漏洞的最高数量出现在 2015 年，共有 28 个，不到2021年检测的一半。同比之下，反差更大，2020年仅有20个零日漏洞被检测和披露。 这一峰值可能表明网络攻击的增长趋势，在正在进行的COVID-19大流行和加密货币的日益普及期间，网络攻击已经上升，但Project Zero表示，可能的罪魁祸首是检测和报告零日发生的改进。 该报告指出，绝大多数零日漏洞的使用”与以前的[和]公开的漏洞类似”，只有两个事件因其”技术复杂性”或逻辑而脱颖而出。因此，尽管检测到的零日漏洞有所增加，你的在线安全似乎并不比前几年更危险，至少在涉及零日漏洞时是这样。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260329.htm 封面来源于网络，如有侵权请联系删除

眼下，勒索软件已经成为互联网上的一种趋势，它的目标包括企业、政府机构、医院和学校。这是一个几十年前就存在的问题，但在过去几年中变得非常普遍。最初，黑客以个人为目标，要求提供几百美元的比特币，但现在他们追求更大的目标，他们可以勒索更大的金额，并且被勒索放在没有电脑和服务器的情况下无法继续正常使用 密苏里州的阿弗顿高中只是去年被勒索软件入侵的大约1000所美国学校之一。2021年2月24日，该学校的所有系统都受到了勒索软件攻击的影响。 那一天，学校所在地区的技术总监Adam Jasinski被一位老师发来的电子邮件惊醒，其中有一张带有赎金字条的截图。 “我很快就知道出事了，因为我可以看到我在桌面上使用的屏幕，它变蓝屏了，”学校的一名教师Brain Esselman曼告诉媒体Motherboard，”它当然说了一些非常粗鲁的话，我马上意识到这是一个问题。” Jasinski称，当他开车赶去上班的路上一直非常恐慌。到学校之后，他检查了机房，校长则叫停了学校的工作。 “你们任何类型的设备上的每个字节都被加密了。不要试图使用备份，因为它也被加密了。要找回你所有的数据。联系我们，”勒索信写道。 Jasinski表示，他很快得出结论，黑客从学区的人力资源部门窃取了数据，其中包含社会安全号码和约1000人的其他个人数据。幸运的是，学校的备份没有受到影响。因此，Jasinski甚至根本不需要跟黑客联系或接触。 当赎金支付发生时，像Chainalysis这样的公司可以通过区块链追踪比特币来识别黑客的钱包，并跟执法部门合作从而试图收回资金或识别黑客本身。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1259627.htm 封面来源于网络，如有侵权请联系删除

本周三，包括美国能源部（DOE）、网络安全和基础设施安全局（CISA）和联邦调查局（FBI）在内的多个机构，向关键基础设施运营商发出了严重的潜在攻击警报。近年来，某些持续威胁（APT）参与者创建了许多定制工具，并在针对工业控制系统（ICS）、监控和数据采集设备（SCADA）等关键基础设施的攻击事件中发挥了相当大的威力。 （来自：CISA） 具体说来是，此类攻击多针对施耐德电气的 PLC（通用控制器）、欧姆龙 Sysmac N PLC 和开放平台统一通信架构（OPC UA）服务器而发起。 鉴于上述产品亦在美国诸多重要的工业设施中得到了广泛的使用，美国多个联邦部门在警报中发出了严厉的提醒： 一旦被攻击者获得对相关运营技术（OT）的最终访问权限，特定工具将能够对内网进行扫描、破坏和建立远程控制能力。 此外针对工控主板驱动漏洞的利用，也潜在于基于 Windows 操作系统的工程信息技术（IT）或 OT 环境的工作站中。 通过制定和维护对 ICS / SCADA 设备的访问权限，APT 参与者可顺利提权、在 OT 环境中四处游荡，进而破坏关键设备或系统功能。 正因如此，有关部门才不厌其烦地在每一份馆建设施实施警报中给出相关检测和缓解建议。 本轮攻击波及施耐德电气的 MODICON 和 MODICON Nano PLC，影响 TM251、TM241、M258、M23、LMC058 和 LMC078 等型号。 欧姆龙 Sysmac NJ NX8 PLC 亦有在列，受影响的产品涵盖了 NEX NX1P2、NX-SL3300、NX-ECC203、NJ501- 1300、S8VK 和 R88D-1SN10F-ECT 等型号。 ICS 网络安全软件公司 aDolus Technology 首席技术官 Eric Byres 在接受 The Record 采访时指出：基于通用的“共同合作协议”，OPC UA 的大多数供应商系统都允许配合多方的产品使用。 安全公司 Dragos 首席执行官 Robert Lee 补充道，他们一直在追踪此类针对 ICS 的恶意软件。可知其最初以施耐德电气和欧姆龙等厂家的产品为目标，且会利用本机功能来逃避安全检测。 庆幸的是，大部分此类恶意软件尚未在目标网络中被激活，意味着广大基础设施运营商仍有机会在灾难发生前迅速落实防御措施。 据悉，此类恶意软件最初似乎特别针对液化天然气和电力等能源基础设施。但从本质上来剖析，可知其亦可在各种各样的工业控制器和系统上运行。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1258133.htm 封面来源于网络，如有侵权请联系删除