微软近年来安全事件频发，为何仍然牢牢把持美国政府安全服务的“铁饭碗”？为什么美国参议员斥责微软是美国国家安全的严重威胁？为什么政府要避免被一股独大的科技企业锁定？ Wired 最新报道指出：无论从营收、市场份额、还是技术和产品的领导力来看，微软都是当之无愧的网络安全龙头企业，也是美国政府高度依赖的科技企业。与此同时，微软已经成为网络安全行业的“公敌”，同时被看作是美国国家关键基础设施的最大单一故障点。 安全创收“成瘾” 微软因向其客户收取“高级安全服务”（例如更好的威胁监控、防病毒、日志存储和用户访问管理）的额外费用而引发了网络安全行业的声讨。2023年1月，微软声称其安全部门的年收入已超过200亿美元。 “微软已经将网络安全当成了摇钱树，”安全公司SentinelOne的研究副总裁 Juan Andrés Guerrero-Saade 评价道。他的同事 Alex Stamos 最近写道：利字当头的微软已经严重扭曲了其安全产品设计决策。 “微软威胁论”2021年初被引爆，当时美国国会和新上任的拜登政府开始调查俄罗斯黑客的 SolarWinds 远程访问工具（RAT）攻击活动。 在通过 SolarWinds 软件入侵政府网络后，俄罗斯特工欺骗了微软的云平台，获得了广泛的访问权限，窃取了大量机密信息。令人震惊的是，如此严重的数据泄露的原因并非黑客的技术有多么高超，而是因为大多数美国政府机构没有付费购买微软的“高级服务”，因而没有必要的网络活动日志来检测入侵。 事件曝光后，议员们对微软向政府收取基本安全功能的额外费用感到愤怒，白宫官员在接下来的两年半时间里私下敦促微软为所有客户提供免费日志数据。微软终于在2023年7同意免费提供该服务（在曝出又一次重大黑客事件八天之后，该事件是由付费获取日志数据的机构发现的）。 当被问及微软的网络安全生意经与“安全为先”的社会责任是否存在冲突时，Faehl 说：“我们不同意这种说法。”此外，微软在安全漏洞的修复上未能迅速和充分地采取行动，也招来众多安全专家的批评。 一位著名的网络政策专家表示，微软并未“调整其安全投资水平和思维模式以适应威胁”。网络安全审查委员会（CSRB）也猛烈抨击微软未能防止公司历史上最严重的黑客事件之一。CSRB 在报告指出，微软的“安全文化不足，需要彻底改革”。 最大的单点失败 微软在网络安全领域的主导地位引起广泛担忧，因为微软成了最大的单一故障点。美国政府高度依赖单一科技公司，意味着黑客可以轻松通过攻击一家公司的产品来破坏大量关键基础设施和服务。一些专家指出，分散的安全投资更安全，没有什么比电子邮件更能证明美国政府对微软高度依赖的风险。一位曾在微软竞争对手工作的美国前网络安全官员预测，一场使微软电子邮件平台瘫痪的攻击将大大降低政府的运营能力。 关于微软“一股独大”的警告可以追溯到20年前，但现在才开始引起政策制定者的更多关注。 “美国政府对微软的依赖对美国国家安全构成严重威胁，”美国参议员罗恩·怀登指出：“表面上是因为微软的疏忽导致美国政府系统多次被外国黑客实施严重攻击，实际上，问题的本质是美国政府被困在了微软的产品中。”上周一，怀登宣布了一项草案立法，将为联邦政府设定四年期限，停止购买微软 Office 等办公协作技术，批评者称这些技术无法很好地与第三方竞争服务集成。 专家表示，减少政府对单一供应商的依赖不仅会使政府受益，还能把攻击风险分散到更多公司身上，减轻微软保护如此庞大系统组合的压力。微软自身的巨大目标使其成为网络犯罪分子和政府黑客的热门目标，这也是它漏洞频发的部分原因。 政府不敢批评的企业 Wired 指出，微软并不仅仅依靠其市场主导地位来抵制政府监管。自上世纪90年代与政府的反垄断斗争以来，微软制定了复杂的公共政策战略，既包括真诚呼吁保护网络空间，又无处不在地参与政策制定和立法。“在这些问题上，微软是科技行业中最老练的一家公司，” 安德鲁·格罗托( Andrew Grotto)说，他曾是白宫高级网络官员，现在领导着斯坦福大学地缘政治、技术和治理项目，并为微软的一些竞争对手提供咨询。“他们25年前就吸取了这个教训，并一直将其付诸实践。” 微软的威胁情报团队几乎比任何其他公司和大多数政府都更了解恶意网络活动，他们定期发布有关网络威胁的研究，并与执法部门合作开展捣毁黑客基础设施的行动。微软还帮助资助像网络和平研究所 (CyberPeace Institute) 这样的组织，倡导更安全的互联网，并帮助非政府组织抵御黑客攻击。微软还将自己定位为政策制定者的战略合作伙伴，向迫切希望解决网络安全问题但不知道从何入手的政策制定者提供建议，有时还会向立法者提供立法草案参考文本。 专家们表示，凭借其市场主导地位和政治敏锐度，微软确保政府官员几乎从未公开批评它。 “由于美国政府完全依赖微软，因此对微软的批评往往欲言又止。” 民主防务基金会网络和技术创新中心的高级主任马克·蒙哥马利(Mark Montgomery)说道。 甚至在外国黑客闯入没有支付微软高级安全功能费用的美国政府机构的电子邮件系统之后，白宫国家安全委员会和美国网络安全和基础设施安全局(CISA)都拒绝批评微软。CISA的一位高级官员承认，微软的商业模式 “没有产生我们寻求的那种安全结果”，但他拒绝直接责备微软，而是坚持谈论与该公司富有成效的对话。 结论：政府应该避免被一股独大的企业“锁定” 微软的安全问题凸显了政府对单一科技供应商过度依赖产生的系统性风险。尽管微软一再承诺改进其安全措施，但它似乎不愿意进行伤筋动骨的根本性改变。这使得美国政府和其他依赖微软产品的组织容易受到攻击。破解技术供应商“锁定”风险需要采取多种措施。政府应该减少对微软的依赖，转向更分散的采购方法。微软也需要对其安全文化进行重大改革，并投资于更强大的安全措施。   转自E安全，原文链接：https://mp.weixin.qq.com/s/CUt1atf2SGElHi1kNt4etQ 封面来源于网络，如有侵权请联系删除

近期是微软 2024 年 4 月补丁日，近期的安全更新修复了 150 个缺陷，其中 67 个为远程代码执行漏洞（RCE）。本月的补丁日不包含针对 Microsoft 披露的0day漏洞的任何修复程序。 超过一半的 RCE 缺陷是在 Microsoft SQL 驱动程序中发现的，可能存在一个共同的缺陷。 每个漏洞类别中的漏洞数量： 31个特权提升漏洞 29个安全功能绕过漏洞 67个远程代码执行漏洞 13个信息泄露漏洞 7个拒绝服务漏洞 3个欺骗漏洞 150 个漏洞总数不包括 4 月 4 日修复的 5 个 Microsoft Edge 缺陷和 2 个 Mariner 缺陷。Mariner 是  Microsoft 为其 Microsoft Azure 服务开发的开源 Linux 发行版。 微软呼吁紧急关注一个让黑客完全控制 Azure Kubernetes 集群的漏洞。 微软在安全公告中表示，该漏洞编号为CVE-2024-29990，允许未经身份验证的黑客窃取凭据并影响超出 Azure Kubernetes 服务机密容器 (AKSCC) 管理的安全范围的资源。 微软安全响应团队表示，Azure Kubernetes 服务错误的 CVSS 严重性评分为 9/10，可被利用来接管其可能绑定的网络堆栈之外的机密来宾和容器。 微软警告说：“未经身份验证的攻击者可以将相同的工作负载转移到他们控制的机器上，而攻击者是root用户。” Azure Kubernetes 服务错误是一个大型补丁包的头条新闻，其中包括针对 Microsoft Defender for IOT 中的三个远程代码执行错误的修复以及标记为已被利用的严重 Windows 安全启动绕过。 4月补丁日修复了数十个影响 WIndows 操作系统和软件组件、Microsoft Office 生产力套件、Microsoft SQL Server、DNS Server、Visual Studio 和 Bitlocker 的远程代码执行问题。 据跟踪软件补丁发布的公司ZDI称，这是微软至少自 2017 年以来最大的一次发布，且不包括对今年 Pwn2Own 黑客大赛中所利用漏洞的修复。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/y4h9TzbL8xJwTyMWqHASOg 封面来源于网络，如有侵权请联系删除

近日，微软联合伦敦大学发布了一份有关英国企业网络攻击的报告。数据显示，英国仅有13%的企业能够抵御网络攻击，另外有48%的企业经常受到攻击，还有39%面临破坏性网络事故的高风险。 微软敦促各企业增加对人工智能技术和解决方案的投资，以应对网络威胁行为者日益将人工智能武器化的问题。 每年英国企业因网络攻击损失约 870 亿英镑 研究人员表示，虽然防御系统和流程已经到位，但还需要额外的投资和支持来建立恢复能力。只有少数企业将人工智能用作安全工具。在报告中，被视为 “高风险 “的是那些对网络安全关注有限的企业，它们大多根本没有在业务中使用人工智能。 英国组织的网络安全绩效 研究发现，英国企业每年因网络攻击损失约 870 亿英镑，而加强网络安全每年可为英国经济节省 520 亿英镑。有52% 的企业高管和68%的高级安全专业人员在接受调查时对此表示担心，他们认为当前的地缘政治紧张局势将增加其组织面临的网络风险。还有约 70% 的高级安全专业人员担心人工智能会给他们的企业带来风险，有49%的企业高管也提到了这一点。 虽然现实中的确存在这种安全隐患，但事实上只有 55% 的企业做好了应对网络威胁的准备。其中有49%的高管重视企业员工所需的网络安全技能，仅有 56% 的企业为员工提供了网络意识培训。另外有约 27% 的英国企业高管称他们不知道一次成功的网络攻击会给他们的组织带来多大的损失，有 53% 的人表示并不知道企业历经一次攻击后的恢复时间需要多久。 在网络安全中引入人工智能 报告中还提到，将人工智能纳入安全战略的企业可将攻击成功后的经济损失降低 20%。 在安全领域使用人工智能的企业发生事故的平均成本为16,600英镑，而未使用这些工具的企业则为20,700英镑。 根据研究人员的计算，在网络防御中使用人工智能的企业平均可以抵御 254 次成功攻击，然后相当于其年收入的部分就会化为乌有。而没有部署人工智能的企业则仅能抵御 106 次攻击。 然而，目前只有 21% 的企业在检测网络漏洞时部署了人工智能，只有 27% 的企业专门使用人工智能来加强网络防御。 报告强调，人工智能为英国企业提供了一个机会，使其在与网络犯罪分子的斗争中处于有利地位。 伦敦大学金史密斯学院创新总监Chris Brauer博士认为： 英国在人工智能的应用方面具有引领世界的巨大潜力，而这是一个前所未有的机会，可以为英国经济注入新的活力，并改变公共服务。但这一切必须建立在安全的基础之上。 目前，有诸多网络事件已经证实企业极易受到网络犯罪的侵害，此次的研究也揭示了这一问题的紧迫性。 微软宣布Copilot安全软件全面上市 2024年3月13日，微软宣布其Copilot for Security产品将于4月1日起在全球范围内全面上市。 该大型语言模型（LLM）旨在协助安全团队履行各种职能，包括对事件进行分类和响应、撰写调查报告以及分析组织的内部和外部攻击面。 微软安全营销副总裁Andrew Conway在3月12日的微软安全简报电话会议上透露，这家科技巨头目前正在整个微软安全产品组合中嵌入安全Copilot。 他认为，网络安全已成为人工智能最重要的应用领域。过去客户在与威胁行为者的对抗中一直处于劣势，但现在人们已经看到了企业利用生成式人工智能后所取得的优势。   转自Freebuf，原文链接：https://www.freebuf.com/news/395194.html 封面来源于网络，如有侵权请联系删除

安全内参3月14日消息，微软日前宣布，将于4月1日正式推出订阅式AI安全服务Copilot for Security（也称Security Copilot）。 为了展示微软对软件即生产力的承诺，该公司在周二邀请了数位记者参加媒体简报会。会议期间，记者们向参会员工和客户询问微软提供的自动化服务细节。 早在去年10月，微软就开放了Copilot for Security的预览版访问。Copilot for Security提供了两种模式，既可以作为独立门户与第三方产品集成，也可以嵌入微软安全产品如Sentinel、Defender XDR、Purview、Priva和Entra等。 基于GPT-4和微软专用安全模型，Copilot for Security能够接受来自人或脚本的输入内容，通过编排器层、上下文层和应用插件传递文本，然后由底层AI模型返回响应。期间会涉及文档总结、标记可疑交互，或者生成加强安全实践的建议等任务。 无论哪种情况，Copilot for Security都将通过与Azure云服务绑定的“按使用付费”许可来提供服务。微软已经创建了一个名为Security Compute Unit的新计费单元，预计将按月收费，费率为每小时4美元。 网络威胁态势日益恶化，亟需提升智能防御手段 微软负责安全、合规、身份与管理的副总裁Vasu Jakkal表示：“过去一年里，各类攻击的速度、规模和复杂性有了极大提升。” “身份验证仍然是安全主战场。据我们观察，每秒会发生4000次密码攻击。仅在两年前，每秒只有567次密码攻击。同期的身份验证攻击数量从30亿次增加到了300亿次，一年增长了10倍。” “攻击者获取数据的时间也在缩短。一旦用户点击了钓鱼链接，攻击者平均最多只需要72分钟即可获取用户数据、侵入用户收件箱。” Jakkal指出，除了上述困难，安全人才也存在严重短缺。 Jakkal表示，设计Copilot for Security“旨在帮助客户和用户以机器速度进行防御，捕捉到其他人可能忽略的问题，缓解我们面临的人才短缺，让每个人都得到想要的结果。” Jakkal解释说，Copilot for Security的设计初衷是保障安全运营、保护任务免受威胁，比如进行威胁调查、恶意软件逆向、事件报告和引导式事件响应计划。在去年10月，这项服务已扩展到与身份、数据安全和IT技能相关的任务。 最新版Copilot for Security包含以下功能：1.支持自定义提示手册，客户可以为常见任务制作并保存自己的提示；2.公司特定的知识库集成；3.支持八种语言的提示和响应，通过独立界面提供25种语言；4.与合作伙伴服务的第三方集成；提供显示团队如何使用Copilot的使用报告。 Jakkal说：“我坚信这将是我一生中最重要的技术。” Copilot在分析/总结场景提效佳，响应场景略不足 Copilot for Security的主要价值在于提高生产力。根据微软官方对Microsoft XDR的研究报告，与比没有AI辅助的用户相比，使用安全服务并得到Copilot for Security协助的用户在分析脚本、事件报告及总结事件等任务上平均快22%。 不过，并非所有工作都能实现生产力提升。对于响应任务，Copilot反而会让响应速度变慢约26%。研究报告称：“我们还注意到，Copilot目前往往需要20多秒才能打开。这必然会减慢Copilot用户的速度。后续通过产品改进需要减少等待时间，将进一步降低Copilot用户的时间成本。” 总体而言，微软的数据对Copilot for Security表示肯定，指出这一产品改进了准确性和质量，提高了员工积极性。 瑞士信诺工业集团安全运营中心经理Rui Correia告诉外媒The Register，他们自去年11月以来一直在使用Copilot for Security，主要用于恶意软件分析、事件响应和警报调查等任务。 他说：“每当公司发生可疑事件并生成警报时，我们都利用Copilot加速调查。” Correia表示，通过对比使用和不使用Copilot的调查过程，发现“每个步骤，Copilot都要快出20%到50%，因为人工操作需要访问并登陆多个门户，并等待所有内容加载。”   转自安全内参，原文链接：https://www.secrss.com/articles/64430 封面来源于网络，如有侵权请联系删除

据国外媒体报道，大型科技公司及其附属的网络安全、人工智能产品很可能会推出类似的安全研究，尽管这会引起用户极度地隐私担忧。大型语言模型被要求提供情报机构信息，并用于帮助修复脚本错误和开发代码以侵入系统，这将很可能会成为常态。 由于科技巨头能够将其与伊朗、朝鲜和俄罗斯等其他主要国家支持的黑客团体联系起来。OpenAI和与其主要投资者微软之间将开展联合研究，结合微软庞大的威胁情报，对恶意账户进行检查与分析，并最终进行封禁。 某网络安全和隐私专家指出，这证明了，尽管大型科技和AI公司广泛推动将隐私标准内化到他们的产品中，但拥有AI产品的公司倾向于筛查聊天记录和用户互动中的滥用行为，最主要的理由是考虑网络和国家安全。 CyberSheath的首席执行官埃里克·努南说：“尽管微软和OpenAI的报告中未提及隐私方面的问题，但这很明显是客观情况，想要观察到恶意用户的活动就意味着有一定程度的监视或监控。” 微软威胁情报策略总监Sherrod DeGrippo则指出，微软和OpenAI采取行动对抗已知的恶意行为者——这些行为者是微软威胁情报持续跟踪的300多个威胁行为者中的一部分，包括160个国家支持的行为者，50个勒索软件团体，以及许多其他行为者。我们的重点是识别和阻止这些我们在威胁空间中活跃的已知恶意身份、特征和基础设施。 研究人员和官员在过去一年中警告说，像OpenAI的ChatGPT或微软的Copilot这样的面向消费者的AI聊天工具的出现，可能会帮助建立起来的国家支持的黑客增强他们的能力，或者使经验不足的网络犯罪分子能够自动化部署程序，从而关闭网站或从网络中窃取敏感信息。 安全专家经常强调，网络战中新兴的AI元素是双刃剑，它帮助防御者和攻击者一样多。但是这两家公司采取的传统方法最终只是浏览消息历史并关闭相关账户，类似于社交媒体巨头分析帖子中的仇恨内容并终止用户。 这种动态在未来的网络和AI研究中可能会继续，这意味着用户可能会期望科技公司有时会深入聊天历史，并将其与网络犯罪分子或国家相关的黑客集团联系起来。鉴于我们已经看到的AI用例示例，AI隐私担忧是完全有根据的，其中用于学习模型的数据泄露或不恰当地被发现，没有适当的防护措施来保护数据。 美国公民自由联盟的隐私和技术高级政策顾问科迪·文兹克表示，任何提供在线服务的大型公司经常会引发隐私担忧，尽管许多隐私法律承认公司在减轻欺诈或解决安全漏洞时的作用。问题在于科技公司关于如何使用收集的数据的透明度通常不清楚。例如检查AI聊天记录是否阻止了攻击者并为网络安全威胁创造了缓解措施，或者这类信息是否被用在其他地方？ 大型科技公司及其附属的AI或网络安全产品可能会在未来发布类似的报告，这些报告涉及扫描聊天记录以检测黑客。尽管这可能不会导致全面监控，但像Mandiant这样的网络安全巨头——其母公司谷歌最近将其Bard AI聊天机器人重新品牌化——将有动力使用他们手头的每一个工具来保障网络安全。   转自Freebuf，原文链接：https://www.freebuf.com/news/391967.html 封面来源于网络，如有侵权请联系删除

近日，微软称正在调查安装2023年12月的Office安全更新补丁后，一打开.ICS日历文件就会触发Outlook安全警报的问题。 受到此问题影响的Microsoft 365用户报告称，在双击保存在本地的ICS文件时，会弹出包含“ Microsoft Office已发现潜在的安全问题”和“此位置可能不安全”内容的警告对话框。 微软支持文档中解释称，正常情况下用户打开 .ICS 文件时不会出现这种行为，所以这是一个漏洞，将会在后续的更新中得以解决。 该公司还透露，在部署修补 CVE-2023-35636 Microsoft Outlook 信息泄露漏洞的安全更新后，将显示安全警告。如果不对该漏洞进行修补，黑客就会利用该安全漏洞诱骗未修补 Outlook 安装的用户打开恶意制作的文件，从而窃取 NTLM 哈希值（其混淆的 Windows 凭据）。黑客可以利用它们来验证被攻击用户的身份、访问敏感数据或在网上传播。 微软 Outlook ICS 安全通知 可通过注册表键值禁用安全提示 在找到解决方案之前，Redmond 为受影响的用户提供了一个临时修复方案，即通过注册表键值禁用安全提示。 不过采取了这个方法后，除了收不到 ICS 日历提示，也无法再收到所有其他潜在危险文件类型的安全提示。受到这个漏洞影响的用户必须添加一个新的 DWORD 键，值为 “1”： HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security （组策略注册表路径） Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Security （OCT 注册表路径） 受影响的客户还可以按照 “在 Office 程序中启用或禁用超链接警告消息 “支持文档中提供的分步说明禁用对话框。 本月早些时候，微软修复了另一个已知的 Outlook 问题，该问题导致台式机和移动电子邮件客户端在使用 Outlook.com 账户时无法连接。 去年12 月，该公司又解决了两个导致用户在发送电子邮件时遇到大量文件夹的漏洞，以及一个导致 Outlook 桌面客户端在从 Outlook.com 账户发送电子邮件时崩溃的漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/391656.html 封面来源于网络，如有侵权请联系删除

今天是微软2024 年 1 月补丁日，修复了总共 49 个漏洞，其中包括 12 个远程代码执行漏洞。有两个漏洞被列为严重级别，一个是 Windows Kerberos 安全功能绕过，另一个是 Hyper-V RCE。 按漏洞类别分类为： 10个特权提升漏洞 7个安全功能绕过漏洞 12个远程代码执行漏洞 11个信息泄露漏洞 6个拒绝服务漏洞 3个欺骗漏洞 微软敦促 Windows 集群管理员优先考虑 Windows Kerberos 中的功能绕过问题和 Windows Hyper-V 中的竞争条件问题。 Windows Kerberos 安全功能绕过缺陷（编号为CVE-2024-20674），该漏洞可能导致远程代码执行攻击以及 Windows Hyper-V 中的竞争条件问题。 未经身份验证的攻击者可以通过建立中间机 (MITM) 攻击或其他本地网络欺骗技术来利用此漏洞，然后向客户端受害者计算机发送恶意 Kerberos 消息，将其自身欺骗为 Kerberos 身份验证服务器。 成功利用此漏洞要求攻击者在发起攻击之前首先需要获得对受限网络的访问权限。 Windows Kerberos 漏洞的 CVSS 严重性评级为 9 （满分 10 ）。 微软还敦促立即修补Windows Hyper-V 漏洞（编号：CVE-2024-20700），警告竞争条件会使操作系统遭受远程代码执行攻击。 微软补丁日更新发布还涵盖了 Microsoft Office、Azure、SQL Server、Internet Explorer、Windows LibArchive 和 SharePoint Server 中的其他数十个安全问题。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JST8pEWDmfHcgNd3W7u9yw 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软关闭了一项旨在简化应用程序安装的功能，有黑客组织利用该功能传播恶意软件。 这项名为 ms-appinstaller 协议的功能基本上允许人们在向设备添加 Windows 应用程序时跳过一两个步骤。微软在一篇文章中说，网络犯罪分子发现它还提供了一种安装加载恶意软件的方法。 微软表示：“攻击者之所以选择 ms-appinstaller 协议处理程序，可能是因为它可以绕过旨在保护用户免受恶意软件攻击的机制，比如 Microsoft Defender SmartScreen 和内置的浏览器下载可执行文件格式警告。” 禁用该协议意味着 Windows 应用程序不能直接从服务器安装到设备上。相反，用户必须先下载软件包，然后运行应用安装程序。 微软将这些活动归因于他们追踪的 Storm-0569、Storm-1113、Storm-1674和Sangria Tempest。“Storm”这个标签指的是一个来历不明的团体。长期存在的网络犯罪组织 Sangria Tempest 也被网络安全研究人员追踪为 FIN7，并与 Clop 等勒索软件组织有关联。 微软表示，这些组织在11月和12月被发现“欺骗合法应用程序，引诱用户安装冒充合法应用程序的恶意MSIX软件包，并逃避初始安装文件的检测”。 网络犯罪分子的目标是安装允许进一步感染的加载器恶意软件，包括常见的数据泄露工具比如 IcedID，或勒索软件比如 Black Basta。 该公司对每个 Storm 小组活动的总结： Storm-0569 是一个访问代理，专注于通过恶意广告和包含恶意下载网站链接的网络钓鱼邮件下载被入侵后的有效载荷，比如 BATLOADER。 Storm-1113 是一个威胁行为者，它既是一个通过搜索广告传播恶意软件的访问代理，也是一个提供恶意安装程序和登陆页面框架的‘即服务’实体。 Storm-1674 是一个访问代理，以使用基于公开可用的 TeamsPhisher 工具来分发 DarkGate 恶意软件而闻名。 与此同时，Sangria Tempest 被发现投放了 Carbanak，“这是该演员自2014年以来使用的一个后门，反过来又提供了 Gracewire 恶意软件。”微软此前曾在5月份报道过该组织。     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

Hackernews 编译，转载请注明出处： 微软周一表示，与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞，获取受害者的电子邮件。 研究人员在3月份的一份报告的更新中表示，被微软追踪为 Forest Blizzard，同时也被称为 Fancy Bear 及 APT28 的黑客，早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。 该漏洞被追踪为 CVE-2023-23397，它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。 今年春天，俄罗斯黑客利用该漏洞攻击了“欧洲政府、交通、能源和军事部门的部分组织”，微软对此进行了修补。 研究人员说:“用户应该确保微软的 Outlook 安装了补丁，并保持更新，以减轻这种威胁。” 波兰网络司令部与微软合作调查了这些攻击，该司令部表示，成功的攻击可以让黑客访问受害者的电子邮件通信。在波兰网络安全机构调查的案件中，黑客利用 Outlook 的漏洞进入了包含“高价值信息”的邮箱。 根据微软的说法，当攻击者向用户发送特制的消息时，攻击就开始了。如果 Windows 设备上的 Outlook 打开，用户甚至不需要与此消息交互。利用该漏洞几乎不会留下痕迹，因此很难检测到黑客活动。 Fancy Bear 被网络安全研究人员称为高级持续威胁(APT)组织，主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。该组织与俄罗斯军事情报机构(GRU)有关。 去年10月，法国指责该组织以大学、企业、智库和政府机构为目标。今年9月，该组织曾试图袭击乌克兰的一个重要能源设施。 黑客通常利用公开可用的漏洞。除了微软的 Outlook 漏洞，他们还瞄准了 WinRAR 的工具，以进行鱼叉式网络钓鱼操作，主要针对乌克兰政府目标。 微软表示，该组织“资源充足，训练有素”，这对“归因和追踪其活动构成了长期挑战”。波兰网络司令部表示，该组织对微软 Exchange 邮件系统的架构和机制有着高度的复杂性和深入的了解。     Hackernews 编译，转载请注明出处 消息来源：therecord，译者：Serene

微软发布了一个以英语为母语的威胁行为者的详细资料，该威胁行为者具有先进的社会工程能力，被追踪为 Octo Tempest，该威胁行为者的目标是进行数据勒索和勒索软件攻击的公司。 自 2022 年初以来，Octo Tempest 的攻击稳步发展，将攻击目标扩大到提供有线电信、电子邮件和技术服务的组织，并与 ALPHV/BlackCat 勒索软件组织合作。 从帐户盗窃到勒索软件 最初观察到威胁行为者出售 SIM 卡交换并窃取拥有加密货币资产的知名人士的账户。 黑客通常通过高级社会工程获得初始访问权限，该社会工程以具有足够权限的技术管理员（例如支持和服务台人员）的帐户为目标，以进一步实施攻击。 他们对公司进行研究，以确定可以模仿的目标，达到模仿电话中个人的语音模式的程度。 通过这样做，他们诱骗技术管理员执行密码重置并重置多重身份验证 (MFA) 方法。 初始访问的其他方法包括： 诱骗目标安装远程监控和管理软件 通过网络钓鱼网站窃取登录信息 从其他网络犯罪分子那里购买凭证或会话令牌 短信网络钓鱼员工带有可捕获凭据的虚假登录门户的链接 SIM 卡交换或呼叫转移 直接暴力威胁 一旦获得足够的访问权限，Octo Tempest 黑客就会通过枚举主机和服务并收集允许滥用合法通道进行入侵的信息来开始攻击的侦察阶段。 “用户、组和设备信息的初始批量导出之后，紧随其后的是在虚拟桌面基础架构或企业托管资源中枚举可供用户配置文件随时使用的数据和资源”- Microsoft 然后，Octo Tempest 继续探索基础设施，枚举跨云环境、代码存储库、服务器和备份管理系统的访问和资源。 为了提升权限，威胁行为者再次求助于社会工程、SIM 交换或呼叫转接，并启动目标帐户的自助密码重置。 在此步骤中，黑客通过使用受损帐户并表现出对公司程序的了解来与受害者建立信任。如果他们拥有经理帐户，他们会自行批准增加权限的请求。 只要他们有访问权限，Octo Tempest 就会继续寻找其他凭证来扩大他们的影响力。他们使用 Jercretz 和 TruffleHog 等工具来自动搜索代码存储库中的明文密钥、机密和密码。 为了隐藏自己的踪迹，黑客还针对安全人员的帐户，这使他们能够禁用安全产品和功能。 “利用受感染的帐户，威胁行为者利用 EDR 和设备管理技术来允许恶意工具、部署 RMM 软件、删除或损害安全产品、窃取敏感文件的数据（例如带有凭据的文件、信号消息数据库等），并部署恶意负载”——微软 据微软称，Octo Tempest 试图通过抑制更改警报并修改邮箱规则来删除可能引起受害者怀疑存在违规行为的电子邮件来隐藏其在网络上的存在。 研究人员提供了 Octo Tempest 在攻击中使用的以下附加工具和技术： 开源工具：  ScreenConnect、  FleetDeck、  AnyDesk、  RustDesk、  Splashtop、  Pulseway、  TightVNC、LummaC2、Level.io、Mesh、  TacticalRMM、  Tailscale、  Ngrok、  WsTunnel、  Rsocx和 Socat 部署 Azure 虚拟机以通过 RMM 安装实现远程访问或通过 Azure 串行控制台修改现有资源 向现有用户添加 MFA 方法 使用隧道工具 Twingate，该工具利用 Azure 容器实例作为专用连接器（不暴露公共网络） 黑客还使用一种独特的技术将窃取的数据转移到他们的服务器，其中涉及 Azure 数据工厂和自动化管道，以融入典型的大数据操作。 为了导出 SharePoint 文档库并更快地传输文件，攻击者经常注册合法的 Microsoft 365 备份解决方案，例如 Veeam、AFI Backup 和 CommVault。 微软指出，由于使用了社会工程、靠地生活技术和多样化的工具，在环境中检测或追捕这种威胁行为者并不是一件容易的事。 不过，研究人员提供了一组通用指南，可以帮助检测恶意活动，首先是监视和审查与身份相关的进程、Azure 环境和端点。 Octo Tempest 出于经济动机，通过窃取加密货币、窃取数据勒索或加密系统并索要赎金来实现其目标。   转自安全客，原文链接：https://www.anquanke.com/post/id/291047 封面来源于网络，如有侵权请联系删除