根据医疗网络安全公司Cynerio的一份新报告，医院中使用的互联网连接设备有一半以上存在漏洞，可能会危及病人安全、机密数据或设备的可用性。 该报告分析了全球300多家医院和医疗机构的1000多万台设备的数据，该公司通过连接到设备上的连接器收集这些数据，作为其安全平台的一部分。 医院里最常见的互联网连接设备类型是输液泵。这些设备可以远程连接到电子医疗记录，提取正确剂量的药物或其他液体，并将其分配给病人。报告发现，输液泵也是最有可能存在可被黑客利用的漏洞的设备，73%的设备存在漏洞。专家们担心，像这些与患者直接相关的设备被黑客利用，可能会被用来直接伤害或威胁伤害人。例如，理论上有人可以进入这些系统并改变药物的剂量。 其他常见的与互联网连接的设备是病人监护仪，它可以跟踪心率和呼吸率等生理参数，以及超声波检查。就漏洞数量而言，这两种类型的设备都在前十名之列。 医疗机构现在是黑客的一个主要目标，虽然直接攻击与互联网连接的医疗设备似乎还没有发生，但专家认为这是一种可能性。更积极的威胁来自于一些团体，他们通过一个易受攻击的设备入侵医院系统，并锁定医院的数字网络–使医生和护士无法访问医疗记录、设备和其他数字工具–并要求支付赎金来解锁它们。这些攻击在过去几年中不断升级，它们减慢了医院的运作速度，甚至会伤害到病人。 Cynerio的报告指出，医疗设备中的大多数漏洞是很容易修复的：它们是由于弱密码或默认密码或组织没有采取行动的召回通知。许多医疗机构只是没有资源或人员来保持系统的更新，可能不知道是否有关于他们某个设备的更新或警报。 但专家说，像这样的报告，再加上日益频繁的勒索软件攻击，正在推动更多的医疗机构投资网络安全。网络安全公司Censinet的首席执行官兼创始人Ed Gaudet去年秋天对The Verge说：“我认为这已经达到了一个关键程度，正在引起首席执行官和董事会的注意。”   （消息及封面来源：cnBeta）

随着道路上电动汽车数量的增加，对电动汽车(EV)充电站和这些充电站内基于互联网的管理系统的需求也在增加。然而这些管理系统面临着自己的问题：网络安全攻击。 资料图 UTSA网络安全和分析中心主任Elias Bou-Harb及其同事–迪拜大学的Claud Fachkha和蒙特利尔康科迪亚大学的Tony Nasr、Sadegh Torabi和Chadi Assi–正在揭示这些网络系统的脆弱性。 另外，他们还建议采取一些措施以保护这些网络免受伤害。 EV内置的系统通过互联网履行关键职责，包括远程监控和客户计费，并且越来越多的联网EV充电站也是如此。 Bou-Harb和他的研究人员希望探索针对EV充电系统的网络攻击的现实影响及如何利用网络安全对策来减轻它们。他的团队还评估了被利用的系统如何攻击关键基础设施，如电网。 “电动汽车是当今的常态。然而，它们的管理站很容易受到安全漏洞的影响，”Bou-Harb指出，“在这项工作中，我们努力发现它们的相关安全弱点并了解它们对EV和智能电网的影响，同时提供建议并跟相关行业分享我们的发现以便主动进行安全补救。” 据悉 ，该研究团队确定了16个EV充电管理系统，他们将这些系统分为独立的类别，如固件、移动和网络应用。他们对每个系统进行了深入的安全分析。 Bou-Harb表示，他们设计了一个系统查找和收集方法以此来确定大量的EV充电系统，然后利用逆向工程和白/黑盒网络应用渗透测试技术展开彻底的漏洞分析。 据了解，该团队在这16个系统中发现了一系列漏洞，并且还特别强调了13个最严重的漏洞，如缺少认证和跨网站脚本。通过利用这些漏洞，攻击者可以造成一些问题–包括操纵固件或伪装成实际用户并访问用户数据。 根据研究人员最近的一份白皮书研究显示，虽然有可能对EV生态系统内的各种实体进行不同的攻击，但在这项工作中，研究人员重点调查了对被攻击的充电站、其用户和连接的电网有严重影响的大规模攻击。 在这个项目中，该团队为开发者制定了若干安全措施、准则和最佳实践以减轻网络攻击。林外，他们还创建了对策来修补他们发现的每个单独的漏洞。 为了防止对电网的大规模攻击，研究人员建议开发商修补现有的漏洞，但也要在充电站的制造过程中纳入初步的安全措施。 “许多行业成员已经承认了我们发现的漏洞，”Bou-Harb说道，“这些信息将有助于对这些充电站进行免疫以保护公众，另外还能为EV和智能电网背景下的未来安全解决方案提供建议。” 研究人员计划继续分析更多的充电站以进一步了解其安全态势。他们还在跟几个行业伙伴合作来帮助从设计阶段形成新的安全产品并制定安全弹性措施进而保护脆弱的充电站不被利用。   （消息及封面来源：cnBeta）

微软周六晚间警告说，它在乌克兰的几十个政府和私人计算机网络中检测到一种极具破坏性的恶意软件，似乎在等待着一种未知行为的触发。该公司在一篇博文中说，周四，大约在乌克兰政府机构发现其网站被破坏的同一时间，监视微软全球网络的调查人员发现了该代码。微软说：”这些系统横跨多个政府、非营利组织和信息技术组织，都在乌克兰。” 访问微软文档了解更多攻击细节： https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/ 这段代码似乎是在俄罗斯外交官与美国和北约就俄罗斯军队在乌克兰边境集结举行了三天会议之后，宣布谈判基本上陷入了死胡同时部署的。 乌克兰官员将其政府网站的污损归咎于白俄罗斯的一个团体，尽管他们说他们怀疑俄罗斯参与其中。但是，早期的攻击归因经常是错误的，而且目前还不清楚污损是否与微软所说的检测到的更具破坏性的代码有关。 微软表示，它还不能确定入侵背后的团体，但它似乎不是其调查人员以前见过的攻击者。根据该公司调查人员的描述，这段代码看起来像勒索软件–它冻结了所有的计算机功能和数据，并要求以付款作为回报。但没有接受金钱的基础设施，导致调查人员得出结论，其目的是造成最大的损害，而不是获取现金。 有可能的是，这种破坏性的软件并没有传播得太广，微软的披露将使这种攻击更难转移。但也有可能，攻击者现在会推出恶意软件，并试图尽可能多地破坏计算机和网络。乌克兰方面表示，对于俄罗斯黑客而言，乌克兰经常是网络武器的试验场。 在2014年的一次总统选举中，乌克兰中央选举委员会遭到攻击，这次攻击被认为是俄罗斯方面试图改变选举结果，但没有成功。美国政府方面后来发现，这种攻击还渗透到了美国民主党全国委员会的服务器。2015年，对乌克兰电网的两次重大攻击中的第一次，使该国不同地区的灯光关闭数小时，包括首都基辅。 而在2017年，乌克兰的企业和政府机构受到了名为NotPetya的破坏性软件的攻击，该软件利用了在该国广泛使用的一种报税软件的漏洞。这次攻击关闭了乌克兰的主要经济活动，并打击了联邦快递和马士基航运公司；美国情报官员后来追踪到它是俄罗斯人所为，且那一次攻击方式至少在其整体设计上与微软周六警告的有一些相似之处。新的攻击会将硬盘擦除并彻底摧毁文件。一些国防专家说，这种攻击可能是俄罗斯地面入侵的前奏。   （消息及封面来源：cnBeta）

据报道，新的”SysJoker”后门可以攻击多个操作系统，包括macOS、Windows和Linux。来自Intezer的研究人员透露，他们发现了SysJoker，这个后门最初被发现是攻击Linux的。不久之后，同一后门的变种被发现，它们可以扩展出对Windows和macOS进行攻击。 这一发现是不寻常的，因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下，恶意软件只为攻击一个平台的特定漏洞而生成，而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析，SysJoker被认为是在2021年下半年的一次攻击中启动的。安全研究员Patrick Wardle对其macOS变种进行了分析。该代码被发现是一个涵盖英特尔和arm64构建的通用二进制文件，这意味着它可以在Apple Silicon以及带有英特尔芯片的旧Mac上运行。该代码有签名，尽管是临时性的签名。 最初运行时，该软件将自己复制到用户的库中，作为macOS的更新，用于在受感染的系统上持续存在。 运行后，该恶意软件随后试图下载一个文件，形成一个Google Drice账户，并能够下载和运行一个可执行文件，这取决于来自指定控制服务器的命令。其他命令包括解压缩下载的可执行文件，以及改变解压缩的可执行文件的权限以允许其运行。 而Windows下的分析表明，它的操作方式实际上是一样的，即假装是一个更新，联系远程服务器下载一个载荷并接收其他命令，并在目标系统上执行代码。在被研究人员发现后，该后门开始被反病毒引擎标记出来。 至于它的目的，Intezer还没有看到攻击者发送的第二阶段或命令，这表明它有一个非常具体的目的，因此很可能是来自一个”高级行为者”。人们认为其目的是”间谍活动”，尽管有可能作为后续阶段进行勒索软件攻击。 如何检测SysJoker Intezer公布了一份系统被攻击的指标清单，包括创建哪些文件和允许代码持续存在的LaunchAgent。 SysJoker创建的文件和目录包括。 /Library/MacOsServices /Library/MacOsServices/updateMacOs /Library/SystemNetwork /Library/LaunchAgents/com.apple.update.plist 持久性代码在LibraryLaunchAgents/com.apple.update.plist这个路径下。如果在Mac上发现这些文件，建议关闭所有相关进程并删除这些文件。 目前还不清楚用户如何成为SysJoker的受害者。   （消息及封面来源：cnBeta）

网络安全公司Check Point Research发布了2021年的新数据，显示在他们的客户中，与2020年相比，企业网络每周受到的总体网络攻击有明显增加。研究人员将一些集中在年底的攻击增长归因于12月发现的Log4j漏洞。 Check Point在一份报告中表示，2021年是网络攻击创纪录的一年，Log4j漏洞只会让事情变得更糟。去年与2020年相比，每周对企业网络的网络攻击增加了惊人的50% ，这是一个显著的增长。网络攻击的数字在年底达到高峰，主要是由于Log4j漏洞的利用尝试导致。 新的渗透技术和规避方法使黑客更容易执行恶意意图。最令人震惊的是，一些举足轻重的社会行业涌入受攻击最多的名单。教育、政府和医疗行业进入了全球最受攻击行业的前五名。Check Point发现，就2021年而言，每周对企业网络的总体攻击比2020年增长了50%，在第四季度，他们看到每个组织每周受到的网络攻击达到了925次，创下历史新高。 Check Point在教育和研究领域的客户每周平均每个组织处理1605次攻击，这是他们看到的最高攻击量。与2020年相比，这一数字增加了75%。政府、国防、军事和通信行业也不甘落后，每个组织每周平均约有1100次攻击。当Check Point把内部数据按地区细分时，他们发现非洲大陆的组织在2021年看到了最高的攻击量，每个组织平均每周受到1582次攻击。亚太地区的组织平均每周受到1353次攻击，而拉丁美洲每周受到1118次攻击，欧洲每周受到670次攻击。北美地区排在最后，每周平均为503次。 Check Point的数字是基于其内部的ThreatCloud工具，该工具从全球数以亿计的传感器中提取数据。Check Point预计2022年的数字会增加，因为黑客继续创新并找到执行网络攻击的新方法，特别是在赎金软件方面。   （消息及封面来源：cnBeta）

尽管开源项目有着“众人拾柴火焰高”的特性，但也难防有人使坏。Bleeping Computer 报道称：近日一位开发者似乎故意破坏了 GitHub 和软件注册 npm 上的一对开源库（faker.js 和 colors.js）。由于成千上万的用户依赖这些库，本次恶意更新导致所有相关项目受到影响。 使用遭到破坏的版本，会导致应用程序无限输出奇怪的字母与符号。从第三行文本开始，上面会呈现“LIBERTY LIBERTY LIBERTY”。 尽管 color.js 看似已更新到新版本，但 faker.js 可能还需再等待一段时间，着急的朋友可尝试降级到先前的 5.5.3 版本。 此外 Bleeping Computer 发现这两个库的开发者（Marak Squires）向 colors.js 引入了恶意提交，添加了所谓的 American flag 模块，并推出了可触发同样破坏性事件的 6.6.6 版 faker.js 库。 更奇怪的是，faker.js 的自述文件，也被改成了亚伦·斯沃茨（Aaaron Swartz）的名字。作为一位杰出的开发者，其帮助建立了 Creative Commons、RSS 和 Reddit 。 遗憾的是，2011 年的时候，其被指控窃取学术数据库 JSTOR 中的文件（本着知识理应免费分享的理念），后于 2013 年以自杀告终，但围绕此事的阴谋论一直没有停歇。 由于 faker.js 在 npm 上的每周下载量接近 250 万、colors.js 亦有约 2240 万，本次破坏事件还是给开源项目敲响了安全警钟。 深挖之后，有人将问题源头指向了 2020 年 11 月起在 GitHub 上发表的一篇帖子。 Squires 声称不想自己的努力再被财富 500 强（其已其它小企业）白嫖，并希望拿到一份年薪六位数的合同。或者分叉项目，并让其他人参与其中。   （消息及封面来源：cnBeta）

在今年 8 月出现大规模数据泄露之后，美国电信运营商 T-Mobile 在此遭受网络攻击。根据 The T-Mo Report 公布的文件，这一次攻击者进入了“少数”客户的账户。 在这份报告中，受影响的客户要么成为 SIM 卡交换攻击的受害者（这可能允许某人绕过由短信驱动的双因素认证），要么个人计划信息被暴露，或者两者都有。文件显示，被查看的客户专有网络信息可能包括客户的账单账户名称、电话和账户号码，以及他们的计划信息，包括他们账户上有多少条线路。 据报道，在 12 月的漏洞中暴露的信息不那么敏感（文件中说那些被调换 SIM 卡的客户已经重新获得了访问权），而且范围可能没有那么大。T-Mobile Help 官方发布推文：“T-Mobile 正在立即采取措施，帮助保护所有可能面临这一网络攻击风险的人。如果你有任何问题，请给我们发送DM，我们可以讨论如何提高你的账户安全”。   （消息及封面来源：cnBeta）

摄影和个性化照片巨头 Shutterfly 近日遭到 Conti 的勒索软件攻击，据称该软件已经加密了数千台设备并窃取了企业数据。大约 2 周前，Shutterfly 遭受了 Conti 团伙的勒索软件攻击，他们声称已经加密了 4000 多台设备和 120 台 VMware ESXi 服务器。勒索软件团伙要求数百万美元的赎金。 许多人将 Shutterfly 与他们的网站联系在一起，该公司的摄影相关服务通过 GrooveBook、BorrowLenses、Shutterfly.com、Snapfish 和 Lifetouch 等不同品牌面向消费者、企业和教育客户。主要网站可用于上传照片以制作照片书、个性化文具、贺卡、明信片等。 Conti 创建了一个私人的 Shutterfly 数据泄漏页面，其中包含据称在勒索软件攻击中被盗的文件截图，作为这种“双重敲诈”战术的一部分。攻击者威胁说，如果不支付赎金，将公开这个页面。 BleepingComputer 被告知，这些截图包括法律协议、银行和商家账户信息、企业服务的登录凭证、电子表格，以及似乎是客户信息，包括信用卡的最后四位数字。康蒂还声称拥有 Shutterfly 商店的源代码，但目前还不清楚这个勒索软件团伙是指 Shutterfly.com 还是其他网站。 Shutterfly 声明如下 Shutterfly, LLC 部分网络最近经历了勒索软件攻击。这一事件没有影响到我们的 Shutterfly.com、Snapfish、TinyPrints 或 Spoonflower 网站。然而，我们的 Lifetouch 和 BorrowLenses 业务、Groovebook、制造和一些企业系统的部分内容已经出现了中断。我们聘请了第三方网络安全专家，通知了执法部门，并一直在夜以继日地工作以解决这一事件。 作为我们正在进行的调查的一部分，我们也在评估任何可能受到影响的数据的全部范围。我们不存储 Shutterfly.com、Snapfish、Lifetouch、TinyPrints、BorrowLenses或Spoonflower客户的信用卡、金融账户信息或社会安全号码，因此这些信息在此次事件中没有受到影响。然而，了解可能受到影响的数据的性质是一个关键的优先事项，该调查正在进行。我们将继续提供适当的更新。 – Shutterfly。 虽然Shutterfly表示没有披露任何财务信息，但BleepingComputer被告知，其中一张截图包含了信用卡的最后四位数字，所以目前还不清楚是否有进一步的、更令人担忧的信息在这次攻击中被盗。   （消息及封面来源：cnBeta）

比利时政府官员公开承认遭到近期曝光的 Apache Log4j 漏洞网络攻击。本次攻击导致比利时国防部的部分计算机网络自周四以来一直处于关闭状态。发言人 Olivier Séverin 告诉新闻出版物 VRT：“整个周末我们的团队都被动员起来控制问题，继续我们的活动并警告我们的合作伙伴。优先事项是保持网络运行。我们将继续监测这一情况”。 Log4j 是一个广泛使用的记录软件，存在于数以亿计的设备中。据微软和 Mandiant 研究人员称，与伊朗、朝鲜和土耳其政府有关的黑客都争相利用这一漏洞。勒索软件集团也试图利用这一漏洞。比利时国防部是第一个报告的该漏洞的高调政府受害者，但鉴于 Log4j 在公共和私营部门流行的许多企业软件中无处不在，它不可能是最后一个。 Séverin 说，在发现攻击后，比利时网络的受影响部分被分割开来。截至周一上午，包括电子邮件在内的系统似乎仍然处于瘫痪状态。 比利时政府没有将这次攻击归咎于任何团体或民族国家。   （消息及封面来源：cnBeta）

在过去的一周时间里，对于 IT 管理员来说无疑是非常忙碌的，他们正在争分夺秒地应对影响世界各地系统的 Log4j 漏洞。随着安全专家不断发现日志工具中的更多漏洞，IT 管理员不知疲倦地工作，以确定和关闭任何可能使漏洞被利用的潜在访问。不幸的是，一个新发现的载体已经证明，即使是没有互联网连接的孤立系统也可能有同样的脆弱性，这使已经很严重的问题进一步复杂化。 Blumira 公司的研究人员提供了更多坏消息。虽然以前的发现表明，受影响的系统需要某种类型的网络或互联网连接，但这家安全公司最近的发现，作为本地主机运行、没有外部连接的服务也可以被利用。这一发现为研究人员指出了更多的使用案例，概述了破坏运行 Log4j 的未打补丁资产的其他方法。 Blumira 首席技术官 Matthew Warner 的一篇技术文章概述了恶意行为者如何影响脆弱的本地机器。Warner 说，WebSockets 是允许网络浏览器和网络应用程序之间快速、高效通信的工具，可以用来向没有互联网连接的脆弱应用程序和服务器提供有效载荷。这种特定的攻击媒介意味着，只要攻击者利用现有的 WebSocket 发送恶意请求，就可以破坏未连接但脆弱的资产。Warner 的帖子详细介绍了恶意行为者发起基于 WebSocket 的攻击的具体步骤。 Warner 指出，有可用的方法，组织可以用来检测任何现有的Log4j漏洞。 1. 运行 Windows PoSh 或者 cross platform，旨在识别本地环境中使用Log4j的地方 2. 寻找任何被用作”cmd.exe/powershell.exe”的父进程的.*/java.exe实例 3. 确保你的组织被设置为检测Cobalt Strike、TrickBot和相关常见攻击工具的存在。 受影响的组织可以将其 Log4j 实例更新到 Log4j 2.16，以缓解该工具的漏洞。这包括任何组织可能已经应用了以前的补救措施，即2.15版，该版本后来被发现包括其自身的一系列相关漏洞。   （消息及封面来源：cnBeta）