近日，安全专家发现了针对 Windows Subsystem for Linux（WSL）创建的恶意 Linux 安装文件，表明黑客正在尝试用新的方法来破坏 Windows 设备。这一发现强调了威胁者正在探索新的攻击方法，并将注意力集中在 WSL 上以逃避检测。 首批针对 WSL 环境的攻击样本在今年 5 月初被发现，到 8 月 22 日之前持续每 2-3 周出现一次。在今天的一份报告中，Lumen 公司 Black Lotus Labs 的安全研究人员说，这些恶意文件要么嵌入了有效载荷，要么从远程服务器获取。 下一步是利用 Windows API 调用将恶意软件注入一个正在运行的进程，这种技术既不新鲜也不复杂。从发现的少量样本中，只有一个样本带有一个可公开路由的 IP 地址，暗示威胁者正在测试使用 WSL 在 Windows 上安装恶意软件。恶意文件主要依靠 Python 3 来执行其任务，并使用 PyInstaller 将其打包成用于 Debian 的 ELF 可执行文件。 Black Lotus Labs 表示：“正如 VirusTotal 上检测率所表明的那样，大多数为 Windows 系统设计的终端代理并没有建立分析 ELF 文件的签名，尽管它们经常检测到具有类似功能的非 WSL 代理”。不到一个月前，其中一个恶意的Linux文件仅被VirusTotal上的一个反病毒引擎检测到。对另一个样本进行刷新扫描显示，它完全没有被扫描服务中的引擎检测到。 其中一个变种完全用 Python 3 编写，不使用任何 Windows API，似乎是对 WSL 的加载器的首次尝试。它使用标准的 Python 库，这使得它与 Windows 和 Linux 都兼容。 研究人员在一个测试样本中发现了用俄语打印“Hello Sanya”的代码。除了一个与该样本相关的文件外，其他文件都包含本地 IP 地址，而公共IP则指向185.63.90[.]137，当研究人员试图抓取有效载荷时，该IP已经离线。 另一个“ELF到Windows”的加载器变体依靠 PowerShell 来注入和执行 shellcode。其中一个样本使用 Python 调用函数，杀死正在运行的防病毒解决方案，在系统上建立持久性，并每20秒运行一个PowerShell脚本。根据分析几个样本时观察到的不一致之处，研究人员认为，该代码仍在开发中，尽管处于最后阶段。   （消息及封面来源：cnBeta）

据外媒报道，南非司法和宪法发展部正在努力恢复其运作，因为最近的勒索软件攻击加密了其所有系统，导致内部和公众无法使用所有电子服务。作为攻击的后果，司法和宪法发展部表示，儿童抚养费的支付现在被搁置，直到系统重新上线。 该事件发生在9月6日，该部门启动了此类事件的应急计划，以确保该国的一些活动继续进行。 南非司法和宪法发展部发言人Steve Mahlangu表示：“（攻击）导致所有信息系统被加密，内部员工以及公众都无法使用。因此，该部门提供的所有电子服务都受到影响，包括签发授权书、保释服务、电子邮件和部门网站。” 上周，Mahlangu表示，在转为手动模式记录听证会后，法庭开庭继续进行。此外，还采取了手动程序来发布各种法律文件。 然而，勒索软件攻击影响了每月的儿童抚养费支付，这些支付被推迟到系统恢复之前。Steve Mahlangu称：“虽然该部门无法确定所需系统恢复的确切日期，但它将确保所有儿童抚养费的安全，以便在系统重新上线后支付给合法的受益人。” 该部门仍在恢复正常运作的过程中，但不能确定何时活动将再次变得正常。这项工作的一部分是建立一个新的电子邮件系统，一些工作人员已经迁移到该系统。再加上网络恢复需要很长的时间，这表明黑客没有得到报酬。 目前还不清楚谁是这次攻击的幕后黑手。许多勒索软件团伙在加密数据之前也会窃取数据，以迫使受害者在公开泄密的压力下支付赎金。 Mahlangu上周说，该部的IT专家已经发现“没有数据泄露的迹象”。到目前为止，还没有任何一个拥有数据泄露网站的团伙声称对这次攻击负责。   （消息及封面来源：cnBeta）

奥林巴斯在周日的一份简短声明中说，它”目前正在调查一起影响其欧洲、中东和非洲计算机网络的潜在网络安全事件”。“在发现可疑活动后，我们立即动员了一个包括取证专家在内的专门应对小组，目前我们正以最优先的方式解决这个问题。作为调查的一部分，我们已经暂停了受影响系统的数据传输，并通知了相关的外部合作伙伴，”该声明说。 但据一位知情人士透露，奥林巴斯正在从9月8日凌晨开始的勒索软件攻击中恢复。在奥林巴斯周日承认这一事件之前，该人士分享了事件的细节。 一张留在受感染电脑上的勒索赎金字条声称是来自BlackMatter勒索软件组。它写道：”您的网络已被加密，目前无法运行。”如果你付钱，我们将为你提供解密的程序。”赎金字条还包括一个只有通过Tor浏览器才能访问的网站的网址，众所周知，BlackMatter使用该网站与受害者交流。 EMSIsoft的勒索软件专家和威胁分析员Brett Callow表示，勒索信中的网站与BlackMatter集团有关。 BlackMatter是一个勒索软件即服务组织，它是作为几个勒索软件组织的继承者而成立的，包括DarkSide和REvil，前者在Colonial Pipeline受到高调勒索软件攻击后最近宣称金盆洗手，后者在Kaseya攻击使数百家公司充斥勒索软件后也沉寂了数月。这两次攻击都引起了美国政府的注意，政府承诺如果关键基础设施再次受到攻击，将采取行动。 像BlackMatter这样的组织出租其基础设施的访问权，附属机构利用这些访问权发动攻击，而BlackMatter则从支付的赎金中抽成。Emsisoft还发现Darkside和BlackMatter之间存在技术联系和代码上的交集。 自6月该组织出现以来，Emsisoft已经记录了40多起归因于BlackMatter的勒索软件攻击，但受害者的总人数可能要高得多。 像BlackMatter这样的勒索软件组织通常在加密前从公司的网络中窃取数据，然后威胁说如果不支付解密文件的赎金，就在网上公布这些文件。另一个与BlackMatter有关的网站，即该组织用来宣传其受害者和兜售被盗数据的网站，在发表时还没有出现奥林巴斯的条目。 总部设在日本的奥林巴斯为医疗和生命科学行业制造光学和数字照相技术。直到最近，该公司还在制造数码相机和其他电子产品，直到它在1月份出售了其陷入困境的相机部门。 奥林巴斯表示，它”目前正在努力确定问题的程度，并将在有新信息时继续提供更新信息”。奥林巴斯的发言人Christian Pott没有回复要求发表评论的电子邮件和短信。   （消息及封面来源：cnBeta）

华盛顿特区的霍华德大学在成为遭受勒索软件攻击的最新一家教育机构后取消了课程。该事件于9月3日被发现，就在学生返回校园的几周后，该大学的企业技术服务部门（ETS）检测到该大学的网络有”异常活动”，并有意将其关闭，以便进行调查。 “根据调查和我们迄今掌握的信息，我们知道大学经历了一次勒索软件网络攻击，”该大学在一份声明中说。虽然一些细节仍不清楚–不知道谁是攻击的幕后黑手，也不知道要求多少赎金–霍华德大学说，到目前为止，没有证据表明其9500名本科生和研究生的个人数据被访问或泄露。”然而，我们的调查仍在进行中，我们将继续努力澄清有关发生的事实以及哪些信息被访问。” 为了使其IT团队能够充分评估勒索软件攻击的影响，霍华德大学已经取消了周二的课程，只对基本员工开放校园。在调查过程中，校园Wi-Fi也将关闭，但基于云的软件仍可供学生和教师使用。 霍华德大学：”这是一个快速进行中的情形，我们优先保护所有敏感的个人、研究和临床数据。”我们正在与联邦调查局和华盛顿特区市政府联系，并正在安装额外的安全措施，以进一步保护大学和你的个人数据免受任何犯罪分子的破译。” 但该大学警告说，这种补救措施将是”长期的–而不是一夜之间的解决方案”。 霍华德大学是自这一流行病开始以来受到勒索软件袭击的一长串教育机构中最新的一个，联邦调查局网络部最近警告说，由于普遍转向远程学习，使用这种类型的攻击的网络犯罪分子正大力关注学校和大学。去年，加利福尼亚大学在NetWalker黑客对其医学院服务器内的数据进行加密后，向他们支付了114万美元，犹他大学向黑客支付了45.7万美元，以防止他们对外公布在对其网络的攻击中窃取的数据。 根据EMSIsoft威胁分析师Brett Callow上个月的说法，2021年迄今为止，勒索软件攻击已经破坏了58个美国教育组织和学区，包括830所单独的学校。Emsisoft估计，在2020年，有84起事件破坏了1681所个人学校、学院和大学的学习进程。 “在未来几周，我们可能会看到教育部门的事件大幅增加，”Callow周二在Twitter上说。   （消息及封面来源：cnBeta）

Ragnarok 是 2019 年开始活跃的一个勒索软件团伙，因对未打补丁的 Citrix ADC 服务器发起攻击后而打响名声。现在该团伙宣布解散并关闭，并为受害者免费发布了解密密钥。 该团伙有时候也被叫做 Asnarok，上周在暗网门户网站上列出了 12 名受害者之外，还分享了如何解密文件的简短说明。伴随着解密器的发布，EMSIsoft 的专家确认其中包含主解密密钥。这家以帮助勒索软件受害者进行数据解密而闻名的安全公司还发布了适用于 Ragnarok 勒索软件的通用解密器。 Ragnarok 以使用 Ragnar Locker 勒索软件来攻击 IT 网络而闻名。在利用 Citrix ADC 漏洞搜索易受 EternalBlue 漏洞攻击的 Windows 计算机（现在臭名昭着的 WannaCry 攻击背后的相同漏洞）后。该团伙声称有数十名受害者，并且已经支付了超过 450 万美元的赎金。 2020 年 4 月，该团伙窃取了属于葡萄牙能源巨头 EDP 的 10 TB 数据，并威胁说如果不支付 1090 万美元的赎金，就将其泄露。该团伙继续从意大利白酒巨头金巴利集团的服务器中窃取多达 2TB 的数据，包括银行对账单、员工记录和名人协议，并要求其交出 1500 万美元的赎金。 而在 11 月，这个短暂的勒索软件团伙还瞄准了日本视频游戏巨头 Capcom， 它是街头霸王、生化危机和鬼泣等游戏的幕后推手。据报道，该团伙从 Capcom 的系统中窃取了 390,000 名客户、业务合作伙伴和其他外部方的个人数据。 由于没有正式的离职通知，目前尚不清楚 Ragnarok 似乎决定退出的原因。但面对美国政府越来越大的压力，其他勒索软件团伙采取了类似的自毁策略，今年早些时候，美国政府将勒索软件列为国家安全威胁； JBS 袭击案的幕后黑手 REvil 神秘地从互联网上消失，而 Colonial Pipeline 事件幕后的幕后黑手也宣布退休。   （消息及封面来源：cnBeta）

在2019年9月至2021年4月期间，Palo Alto Network的Unit 42监测了防火墙流量和由URL过滤器检测到的钓鱼网站。当人们纷纷开始在家工作时，每周新的网络钓鱼页面的数量明显增加。 威胁者通过利用员工不受企业防火墙保护的远程工作环境，改进并加强了他们的网络钓鱼攻击。网络安全专家注意到，在2020年3月至4月期间，流量突然大幅下降，当时COVID-19开始在美国蔓延，迫使企业员工转向远程工作。 教育和高科技行业在此期间流量大幅下降，后者的下降幅度最大：教育（下降46%），很可能是由于学校关闭；高科技（下降35%），可能是因为更多的员工开始在家工作，而他们对网络安全的最佳做法了解有限。 总的来说，几乎每一个被研究的行业都看到了URL过滤流量的大幅下降，大约30%或更多。据研究人员称，观察到新的钓鱼网站的早期上升趋势，大约在2020年2月开始，在2020年6月达到高峰。 对钓鱼网站行业的检查显示，以下行业受在家办公的影响最大：电信和高科技产业、农业、教育、政府、地方政府、运输、物流、教育、媒体和娱乐、专业和法律、批发和零售。 Unit 42提供了以下建议，以更好地保护自己免受网络钓鱼攻击： 在点击可疑来源发送的电子邮件中的链接或附件时要小心，特别是那些与个人信息或账户设置有关的链接或附件 当电子邮件内容传达出一种紧迫感时，要提高警惕，拒绝立即按其要求行事的冲动 对于你收件箱中的可疑邮件，详细检查发件人的地址 在输入你的凭证之前，仔细检查任何网站的URL和安全证书 向IT部门或你的组织的信息安全部门报告可疑的网络钓鱼企图   （消息及封面来源：cnBeta）

一家位于美国的电脑零售公司成为SideWalk攻击的目标，这种攻击以前从未被发现，是一个中国高级黑客组织最近开展的活动一部分，该组织主要以专门针对东亚和东南亚实体的网络攻击而闻名。 斯洛伐克网络安全公司ESET在持续跟踪名为SparklingGoblin的高级威胁过程当中发现了这个攻击，被认为与Winnti umbrella组织有关，并指出其与另一个被称为Crosswalk的后门相似，后者在2019年被同一黑客组织使用。 SideWalk是一个模块化的后门，可以动态加载从其C&C命令和控制服务器发送的附加模块，利用Google Docs作为死循环解析器，以及Cloudflare作为C&C服务器，它还可以适当处理代理背后的通信。自2019年首次出现以来，SparklingGoblin与几个针对香港大学的攻击有关，使用Spyder和ShadowPad等后门，后者近年来已成为多个中国黑客集团的首选恶意软件。 在过去的一年里，这些集团袭击了世界各地的广泛组织和垂直行业，特别是位于巴林、加拿大、格鲁吉亚、印度、澳门、新加坡、韩国、台湾和美国的学术机构，其他目标实体包括媒体公司、宗教组织、电子商务平台、计算机和电子产品制造商以及地方政府。 SideWalk被描述为一个加密的壳代码，它通过一个.NET加载器部署，该加载器负责从磁盘上读取加密的壳代码，对其进行解密，并使用进程空心化技术将其注入合法进程。感染的下一阶段是SideWalk与C&C服务器建立通信，恶意软件从Google Docs文档中检索加密的IP地址。 除了使用HTTPS协议进行C&C通信外，SideWalk还被设计为加载从服务器发送的任意插件，积累有关运行进程的信息，并将结果外泄回远程服务器。SideWalk是SparklingGoblin APT组织使用的一个以前没有记录的后门。它很可能是由CROSSWALK背后的相同开发者制作的，它与CROSSWALK共享许多设计结构和实施细节。   （消息及封面来源：cnBeta）

公民实验室(Citizen Lab)的研究人员说，巴林人权活动家的iPhone今年早些时候被强大间谍软件悄悄入侵，打败了苹果公司为抵御秘密入侵而设计的新安全保护措施。这位仍在巴林并要求不透露姓名的活动人士是巴林人权中心的成员，该中心是一个获奖的非营利性组织，在海湾国家促进人权。 位于多伦多大学的互联网监督机构”公民实验室”分析了这位活动人士的iPhone 12 Pro，发现有证据表明它从2月份开始被黑客使用所谓的”零点击”攻击，因为它不需要任何用户互动来感染受害者的设备。零点击攻击利用了苹果iMessage中一个先前未知的安全漏洞，该漏洞被利用来将以色列公司NSO Group开发的PegASUS间谍软件推送到活动人士的手机中。 公民实验室研究人员表示，这次黑客攻击意义重大，它发现了零点击攻击成功利用了当时最新的iPhone操作系统，包括iOS 14.4和后来的iOS 14.6，苹果在5月发布了这些iOS版本。但这些黑客也规避了所有iOS 14系统内置的一项新的软件安全功能，该功能被称为BlastDoor，过滤通过iMessage发送的恶意数据来防止黑客。由于它能够绕过BlastDoor，研究人员将这个最新的漏洞称为ForcedEntry。 公民实验室已经让苹果知道了这项漏洞。但是当媒体联系苹果公司时，它没有明确说明它是否已经发现并修复了NSO正在利用的漏洞。在周二重新发布的一份模板式声明中，苹果公司安全工程和架构主管伊万-克里斯蒂奇表示，苹果公司明确谴责针对记者、人权活动家和其他寻求让世界变得更美好的人的网络攻击，这种类型所述的攻击是高度复杂的，需要花费数百万美元来开发，往往保质期很短，并被用于针对特定的个人。虽然这意味着它们对绝大多数iPhone用户来说不是一个威胁，但苹果将继续不懈努力，保护所有的客户，而且苹果正在不断为他们的设备和数据增加新的保护措施。” 苹果公司的一位发言人说，BlastDoor并不是其保护iMessage努力的终点，它已经在iOS 15中加强了防御措施，该系统预计将在下个月左右发布。公民实验室表示，巴林政府很可能是在2020年6月至2021年2月期间针对这位巴林人权活动家以及其他8名巴林活动家的幕后黑手。一些国家是Pegasus间谍软件的政府客户，其它客户包括沙特阿拉伯、卢旺达、阿拉伯联合酋长国和墨西哥。不过，NSO以保密协议为由，一再拒绝说出或确认其几十个客户名称。   （消息及封面来源：cnBeta）

援引以色列时报报道，网络安全公司 Check Point 发现了令人不安的统计数据：每周针对教育机构的网络攻击数量显著增加。学校、学院和研究机构是目标组织之一。2021 年 7 月，每个机构平均每周发生 1739 次攻击，比去年同月增长 29%。 受该问题影响最大的 3 个国家包括： ● 印度 – 平均 5196 次袭击，比 2020 年增加 29% ● 意大利 – 平均 5016 次袭击，比 2020 年增加 70% ● 以色列 – 平均 4011 次袭击，比 2020 年增加 41% 根据这些数据，很容易假设教育部门预计将成为 2021 年恶意软件和勒索软件攻击的首要目标。其中一个原因是在线平台的性质为网络犯罪分子提供了不受保护的接入点。该系统适用于大量学生。与其他行业相比，教育部门在网络安全方面的投资较少，但仍保留了大量且经常是有关学生、教授和其他学术人员的敏感信息。 CheckPoint 就加强教育网络安全提出以下建议： ● 减少攻击面是信息安全领域的常用技术。 您的数据、外围设备、应用程序和网络流量必须在传输、存储和使用过程中得到完全控制和加密。 ● 警惕可疑链接，仅从经批准的来源下载材料。 如果您收到一封带有奇怪请求的电子邮件，请检查发件人的详细信息，以确保您是在与同事交谈，而不是与网络骗子交谈。 ● 推荐使用反勒索软件 您应该使用反勒索软件，因为它采用行为分析和一般原则来检测勒索软件迹象并检测新恶意软件系列的操作 ● 阻止进一步攻击 通过检测和阻止命令和控制通信以及隔离受感染的设备来遏制攻击和破坏。然后，您可以恢复加密文件、隔离文件、终止程序并消除整个攻击链。 ● 定期检查 检查和加强用于访问电子邮件或业务应用程序等工作服务的密码非常重要。   （消息及封面来源：cnBeta）

在过去几个月里，美国企业遭受了一系列破坏性的的勒索软件攻击，有鉴于此，国土安全部的网络安全和基础设施安全局（CISA）发布了一份防止和应对此类攻击的建议清单。这份名为《保护敏感信息和个人信息免受勒索软件导致的数据泄露》的信息表包含许多建议。此外，该文件建议公司如果成为勒索软件攻击的目标，不要支付赎金。 《保护敏感信息和个人信息免受勒索软件导致的数据泄露》全文： https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet  Protecting_Sensitive_and_Personal_Information_from_Ransomware-Caused_Data_Breaches-508C.pdf 概况介绍中写道：”勒索软件对所有政府和私营部门组织，包括关键基础设施组织，都是一个严重且日益增长的威胁。作为回应，美国政府推出了StopRansomware.gov网站，这是一个集中各种资源的政府网页，提供勒索软件资源、指导和警报”。 根据该机构的文件，为防止成为勒索软件攻击的受害者，企业应采取如下步骤： 解决面向互联网的漏洞和错误配置，减少攻击者利用这一攻击面的可能性 制定、维护和行使基本的网络事件响应计划、弹性战略和相关的通信计划 保持数据的离线、加密副本，并定期验证备份 减少收到网络钓鱼邮件的可能性 坚持正确的网络健康准则 有些预防措施很容易采取，例如经常进行离线备份。这种保护策略的一个重要组成部分是在发生勒索软件事件时避免感染、删除或加密所带来的损失。实现这一目标的方法之一是确保所有软件都是最新的，无论是固件、应用程序、操作系统、框架，还是其他类型的软件。CISA还建议定期进行漏洞扫描，以确定和解决漏洞，重点是那些影响互联网相关设备的漏洞。   （消息及封面来源：cnBeta）