微软最近对Windows Defender的排除权限进行了更新，没有管理员权限就无法查看排除的文件夹和文件。这是一个重要的变化，因为威胁者往往会利用这一信息在这种被排除的目录中提供恶意软件的载荷，以绕过防御者的扫描。 然而，这可能无法阻止ZeroFox最近发现的一个名为Kraken的新僵尸网络。这是因为Kraken只是简单地将自己添加为一个排除项，而不是试图寻找排除的地方来传递有效载荷。这是一种绕过Windows Defender扫描的相对简单和有效的方法。 ZeroFox已经解释了这是如何工作的。 在Kraken的安装阶段，它试图将自己移到%AppData%/Microsoft.Net中。 为了保持隐藏，Kraken运行以下两个命令： powershell -Command Add-MpPreference -ExclusionPath %APPDATA%\Microsoft attrib +S +H %APPDATA%\Microsoft\% ZeroFox指出，Kraken主要是一个偷窃资产的恶意软件，类似于最近发现的微软Windows 11官网外观相同的欺诈网站。这家安全公司补充说，Kraken的能力现在包括窃取与用户的加密货币钱包有关的信息，让人联想到最近的假KMSPico Windows激活器恶意软件。 最近增加的功能是能够从以下位置窃取各种加密货币钱包： %AppData%\Zcash %AppData%\Armory %AppData%\bytecoin %AppData%Electrum\wallets %AppData%\Ethereum\keystore %AppData%\Exodus\exodus.wallet %AppData%\Guarda\Local Storage\leveldb %AppData%\atomic\Local Storage\leveldb %AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb 你可以在官方博客文章中找到更多关于Kraken工作方式的细节： https://www.zerofox.com/blog/meet-kraken-a-new-golang-botnet-in-development/   （消息及封面来源：cnBeta）

一位研究人员将苹果公司的一个AirTags发送到德国一个神秘的”联邦机构”，以确定其真正的办公室，并帮助证明它确实是一个情报机构的一部分。苹果公司的AirTags已经在涉及追踪个人的案件中被用得有声有色，但现在一位德国研究人员在揭露政府机密时使用了一个。 活动家Lilith Wittmann声称，她已经发现德国鲜为人知的“联邦电信服务“（Bundesservice Telekommunikation）机构实际上是一个秘密情报机构的”伪装机构”。最初她写道，她如何”意外地发现了一个不存在的联邦机构”。 Wittmann详细介绍了她随后为证明自己的怀疑而进行的极其彻底的尝试。她有条不紊地经历了了解该情报机构的每一步，包括它在哪里。她详述的一些步骤已不可能重现，例如她最初只是在网上查找联邦当局的名单。同样，维特曼还包括与一位官员的电话记录，她报告说这位官员的手机号码后来停止了工作。 通过电话、IP搜索，甚至开车到大楼实地调查，维特曼努力追踪神秘的Bundesservice Telekommunikation，即联邦电信服务。   她确立了多种理由相信它是联邦内政部（BMI）的一部分，并最终得出结论，实际上有两个”伪装”当局。据称，两者都是情报机构联邦宪法保卫局的秘密分支。不过，与她交谈的每个人都否认是这个情报机构的一部分。但她能证明这个”联邦机构”的邮政地址实际上通向情报机构的办公室。她写道：”为了了解邮件的最终去向，[你可以做]大量的人工研究。或者你可以简单地发送一个定期传输其当前位置的小设备（所谓的AirTag），看看它的落脚点。” 她发送了一个带有AirTag的包裹，并通过苹果的Find My系统观察到它通过柏林分拣中心被送到科隆-埃伦费尔德的一个分拣处。然后毫不意外地出现在科隆的宪法保护办公室。因此现实情况就是一个寄给位于德国某地的电信局的AirTag，最终出现在位于该国另一地区的情报机构的办公室里。 Wittmann的研究现在也在德国维基百科的联邦电信服务条目中得到了详细说明。它叙述了在她2021年12月的最初发现之后，随后的政府新闻发布会上否认称根本就没有“Bundesservice Telekommunikation”。 Wittmann在她的最新帖子中详细介绍了她的研究，她说她将在即将发布的系列的第三部分中继续介绍。同时，她写道，情报部门可以留下她的AirTag自己用，”我听说它们应该是非常昂贵的，”她总结道。   （消息及封面来源：cnBeta）

Google和IBM在参加白宫关于开源安全问题的会议后，敦促科技组织联合起来，确定关键的开源项目。这次会议由白宫网络安全领导人Anne Neuberger领导，与会者包括Apache、Google、苹果、亚马逊、IBM、微软、Meta、Linux和Oracle等组织的官员，以及国防部和网络安全与基础设施安全局（CISA）等政府机构。 这次会议是在各组织继续解决Log4j漏洞的情况下召开的，该漏洞自12月被发现以来一直引起关注。 Google和Alphabet的全球事务总裁肯特-沃克说，鉴于数字基础设施对世界的重要性，现在是时候开始用我们对待物理基础设施的方式来考虑它了。 沃克说：”开源软件是大部分网络世界的连接组织–它应该得到我们对道路和桥梁的同样关注和资助。”在一篇博文中，沃克解释说，在会议期间，Google就如何在Log4j漏洞发生后继续前进提出了几个建议。沃克说，需要建立一个公私合作关系，以确定关键开源项目的清单，而关键性应根据项目的影响力和重要性来确定。该清单将帮助企业确定优先次序，并为最基本的安全评估和改进分配资源。 IBM的企业安全执行官杰米-托马斯赞同沃克的意见，并表示白宫会议”明确了政府和行业可以共同改善开源的安全实践”。 托马斯说：”我们可以从鼓励广泛采用开放和合理的安全标准开始，确定应该满足最严格的安全要求的关键开源资产，并促进国家合作，扩大开源安全的技能培训和教育，奖励在该领域取得重要进展的开发者。”沃克介绍了像OpenSSF这样的组织的工作，此前Google向其投资了1亿美元，这些组织已经在寻求建立这样的标准。 他还说，Google提议成立一个组织，作为开源维护的市场，将企业的志愿者与最需要支持的关键项目相匹配。他指出，Google已经”准备好为此举贡献资源”。 博文指出，目前没有官方的资源分配，也没有什么正式的要求或标准来维护关键开源代码的安全。大多数维护和加强开放源代码安全的工作，包括修复已知的漏洞，”都是在临时的、自愿的基础上完成的”。 “长期以来，软件界一直对这样的假设感到欣慰，即由于开源软件的透明度和’许多眼睛’都在注视着发现和解决问题，所以开源软件一般是安全的。但事实上，虽然有些项目确实有很多眼睛在盯着它们，但其他项目却很少或根本没有，”沃克说。 阿帕奇软件基金会的营销副总裁Joe Brockmeier在一份声明中说，要解决开源供应链固有的安全问题，将需要消费和运送开源软件的公司和组织进行上游合作。 科技巨头Akamai也有代表参加了白宫会议，它支持Google和IBM建议的许多措施，并补充说，政府和技术界需要在发现漏洞时建立可靠的遏制计划，在首次发现漏洞时改善跨政府和行业的信息共享，并扩大政府对解决方案的授权以增加防御能力。 Akamai首席安全官Boaz Gelbord表示，次会议的一个重要收获是，大家都认识到需要做更多的工作来支持开源社区在不断变化的威胁环境中成长。 “作为开源和开放标准的突出支持者，Akamai认为特别需要加强信息共享、强大的漏洞管理和建立遏制计划，以控制攻击的爆炸半径，”Gelbord说。”我们期待着扩大我们在开源社区的努力，并为这次白宫会议提出的重要的下一步措施做出贡献”。   （消息及封面来源：cnBeta）

在美国遭受多次利用开源软件漏洞的攻击后，包括苹果在内的科技公司高管将于周四参加白宫的网络安全会议。1月13日星期四的会议是由于发现了开源Log4j软件的漏洞而专门召开的，该软件在国际上被用于应用程序的数据记录。 白宫国家安全顾问杰克-沙利文在12月写信给大科技公司的首席执行官，说这种开源软件是一个”关键的国家安全问题”。 据路透社周四上午的报道，与副国家安全顾问安妮-诺伊贝尔格的会议将讨论如何提高开源软件的安全性。除了苹果、亚马逊和IBM，预计还将包括微软、Meta、甲骨文以及国防部等机构的高管。 这次讨论也是在包括2021年SolarWinds黑客事件之后进行的，该事件访问了政府的电子邮件和电话。它也是在2020年美国财政部被入侵后发生的。 目前还不清楚谁将作为公司的代表参加会议，基于防疫因素，这次会议预计也是线上举办的。   （消息及封面来源：cnBeta）

永远不要低估骗子的狡猾。不法分子从人们尤其是不太懂技术的人那里偷钱的方法多得令人眼花缭乱。最近在美国几个城市发现的一个做法是在停车咪表上贴上不属于设备本身的二维码，引导用户进入虚假网站，然后收集受害者的付款信息。 奥斯汀和圣安东尼奥的执法部门在假期期间发现了一些出现在停车表上的二维码贴纸，并发出了警告。Click2houston网站发布了一张这些代码所指向的现已下线的”Quick Pay Parking”网站的屏幕截图。 虽然许多人可能会认识到这个可疑的网站地址及其非常糟糕的页面设计本身就会提醒人们这是诈骗手法，二维码贴纸本身看起来也与计价器上的位置很不相符，但骗子很可能至少骗了几个人交出了他们的资料。 当局建议任何可能将自己的信息输入该欺诈性网站的人向警方报案，并联系他们的银行卡供应商以撤销任何付款。据悉，休斯顿市从没有在其停车计时器上使用二维码，也不接受通过这种方式付款。 对于那些不使用传统硬币、钞票或信用卡的人来说，最安全的停车支付方式是通过从Google Play或苹果应用商店下载的官方应用程序。 QR码自1994年诞生以来一直存在，最早是在制造过程中追踪车辆时用于高速部件扫描。将它们用于恶意目的并不是一个新现象；它们作为传播恶意软件的一种方式长期以来一直很受欢迎。   （消息及封面来源：cnBeta）

印度相关的黑客组织 Patchwork 自 2015 年 12 月以来一直很活跃，主要通过鱼叉式网络钓鱼攻击针对巴基斯坦。在 2021 年 11 月底至 12 月初的最新活动中，Patchwork 利用恶意 RTF 文件投放了 BADNEWS（Ragnatela）远程管理木马（RAT）的一个变种。但有趣的是这次活动却误伤了他们自己，使得安全研究人员得以一窥它的基础架构。 本次活动首次将目标锁定在研究重点为分子医学和生物科学的几位教员身上。令人讽刺的是，攻击者利用自己的 RAT 感染了自己的电脑，从而让安全公司 Malwarebytes 收集到了他们电脑和虚拟机的按键和屏幕截图。 通过分析，Malwarebytes 认为本次活动是 BADNEWS RAT 的一个新的变种，叫做 Ragnatela，通过鱼叉式网络钓鱼邮件传播给巴基斯坦的相关目标。Ragnatela 在意大利语中意为蜘蛛网，也是 Patchwork APT 使用的项目名称和面板。 在本次活动，当用户点击这些恶意 RTF 文档之后，就可以利用 Microsoft Equation Editor 中的漏洞植入 RAT 程序，它会以 OLE 对象存储在 RTF 文件中。在设备感染之后，它会和外部的 C&C 服务器建立连接，具备执行远程命令、截取屏幕、记录按键、收集设备上所有档案清单、在特定时间里执行指定程序、上传或者下载恶意程序等等。 Ragnatela RAT 是在 11 月下旬开发的，如其程序数据库 (PDB) 路径 “E:\new_ops\jlitest __change_ops -29no – Copy\Release\jlitest.pdb” 所示，并被用于网络间谍活动。 Ragnatela RAT 允许威胁参与者执行恶意操作，例如： ● 通过 cmd 执行命令 ● 屏幕截图 ● 记录键盘按键 ● 收集受害者机器中所有文件的列表 ● 在特定时间段收集受害者机器中正在运行的应用程序列表 ● 下载附加有效载荷 ● 上传文件 为了向受害者分发RAT，Patchwork用冒充巴基斯坦当局的文件引诱他们。例如，一个名为 EOIForm.rtf 的文件被威胁者上传到他们自己的服务器 karachidha[.]org/docs/。该文件包含一个漏洞（Microsoft Equation Editor），其目的是破坏受害者的计算机并执行最终的有效载荷（RAT）。 不过，Malwarebytes 发现 Patchwork 自己也感染了 Ragnatela。通过 RAT，研究人员发现了该组织开发的基础框架，包括跑Virtual Box、VMware作为Web开发及测试环境，其主机有英文及印度文双键盘配置、以及尚未更新Java程式等。此外他们使用VPN Secure及CyberGhost来隐藏其IP位址，并透过VPN登入以RAT窃得的受害者电子邮件及其他帐号。   （消息及封面来源：cnBeta）

计算机科学与随机系统研究所（IRISA）的一支研究团队，刚刚介绍了其新开发的一套恶意软件检测系统，特点是利用树莓派来扫描设备中的特定电磁波。团队成员中宝库了 Annelie Heuser、Matthieu Mastio、Duy-Phuc Pham 和 Damien Marion，且由于这套装置专注于电磁（EM）信号，因而无需在目标设备上安装任何东西。 （图自：IRISA） 换言之，这套恶意软件检测方案的一切工作，都可通过外部实体来处理，因而不受给定机器上潜在恶意软件的任意控制级别的影响。 不过为了达成这一目标，IRISA 研究团队还是让树莓派接受了安全与恶意数据集的专项训练，以帮助定义潜在的威胁参数。 此外树莓派上配备了一个 Picoscope 6407 示波器、以及一个 H-Field 探头，用于检测电磁（EM）场的变化。 （传送门：ACM Digital Library） 在《于混淆中揭露：利用电磁信号开展恶意软件分类工作》的研究论文中，IRISA 团队介绍了如何利用卷积神经网络（CNN）来评估相关数据威胁。 结果让人相当欣喜，可知经过训练的恶意软件检测系统模型，能够在测试期间实现高达 99.82% 的准确率。   （消息及封面来源：cnBeta）

据CNBC报道，加密货币交易所BitMart此前承诺向全平台2亿美元黑客攻击事件的受害者提供全额补偿，但一些用户仍未拿回他们的钱。12月4日，黑客利用盗取的隐私密钥进入BitMart的一个热钱包，也就是连接到互联网上的加密货币钱包，然后盗取了各种代币。 事件发生后不久，BitMart宣布，它将使用自己的资金“来支付这一事件并赔偿受影响的用户”。然而，据CNBC报道，仍有一些沮丧的用户尚未看到他们的资金返回。 CNBC的报道详细介绍了一位伊朗难民的经历，他说他在BitMart上存储了价值53000美元的SafeMoon，其中40000美元是来自贷款。该媒体还与一位堪萨斯州的投资者取得了联系，他有3.5万美元的资金处于停滞状态–他声称，如果不采取任何措施来解决这一情况，他和其他6800名投资者可能会对BitMart提起集体诉讼。 在BitMart黑客攻击中被盗的所有代币中，区块链安全公司PeckShield的数据显示，SafeMoon受到的冲击最大。正如CNBC所指出的，SafeMoon的持有者正在Twitter上进行反击，并在网站上充斥着#WenBitMart的标签，要求归还他们的资金。这可能是用户认为他们可以呼吁关注这个问题的唯一方式，因为CNBC报道说，一些用户在联系BitMart检查他们丢失的资金的状态时，没有得到明确的回应。 目前还不清楚BitMart计划如何补偿所有受影响的用户。CNBC指出，虽然该交易所可以买回所有丢失的代币，但它可能会在这些代币处于更高的价值时这样做。其他用户质疑BitMart是否会使用某种形式的保险来偿还用户。The Verge向BitMart提出了评论请求，但没有立即得到回复。   （消息及封面来源：cnBeta）

针对有用户报告称存在未经授权的登录尝试之后，LastPass 方面表示目前并没有证据表明存在数据泄漏。LogMeIn 全球公关部高级主管 Nikolett Bacso-Albaum 向 The Verge 表示，用户收到的警报和“相当常见的机器人活动”有关。 他表示涉及到使用电子邮件地址和密码登录 LastPass 账户的恶意尝试，这些密码是破坏者从过去第三方服务（即不是 LastPass）的漏洞中获得的。 Basco-Albaum 说：“需要注意的是，我们没有任何迹象表明账户被成功访问或 LastPass 服务被未经授权的一方破坏。我们定期监测这类活动，并将继续采取旨在确保 LastPass、其用户和他们的数据得到保护和安全的措施”。即使 LastPass 实际上没有被破坏，用多因素认证加固你的账户仍然是一个好主意，多因素认证在你登录你的账户之前使用外部资源来验证你的身份。   （消息及封面来源：cnBeta）