自 21 世纪以来，微软多次在公开场合强调公司在安全方面的努力，但遗憾的是似乎仍然无法跟上当今存在的大量威胁。前微软高级威胁情报分析师凯文·鲍蒙（Kevin Beaumont）上周在个人 Twitter 上发布推文，发泄他对 OneDrive 托管恶意软件的不满。 Baumont 在推文中写道： 如果微软不能防止自己的 Office 365 平台被直接滥用于 Conti 勒索软件，那么就不应该公开宣传自己拥有 8000 名安全员工、以及是数万亿信号的安全领导者。OneDrive 的滥用现象已经持续了多年时间，请尽快修复它。 Baumont 还分享了 OneDrive 团队的报告和行动时间的收据，当联系到一个潜在的威胁时，微软的回应达到接近一个月。他在推文中写道： 比糖衣炮弹般的响应时间更令人不满的是，微软设法从其延迟的反应中获利。 有趣的是，微软消费了你的API，并在他们的安全产品中使用它来阻止你名单上的东西（我是做这个的团队成员），但没有人愿意清理网络。所以被坑了吧，非E5。 作为一名前高级威胁情报分析师，博蒙特也对竞争对手的做法提出了一些见解，其他公司也存在这样的问题。根据第三方分析公司 Abuse.ch 的数据，虽然微软在托管恶意软件的平台中排名前三，但 Google 和 Discord 位居榜首，Slack 和 Pastebin 也位居前五。恶意软件的问题并不仅限于微软，但 Baumont 的批评使该公司不断挣扎的问题变得更加突显。 微软承认 Baumont 的观点，并同意它将需要调查进一步的改进，以更好地应对和防止其产品中的恶意软件。微软表示： 滥用云存储是一个全行业的问题，我们一直在努力减少使用微软的服务来造成伤害。我们正在调查进一步的改进，以防止和快速应对本报告中列出的滥用类型。我们继续鼓励客户在网上养成良好的计算习惯，包括在点击网页链接、打开未知文件或接受文件传输时谨慎行事，我们也鼓励客户使用此表格报告滥用行为。 然而，作为一个全行业的云存储问题，该公司还需要与其他公司合作，提出更多永久性的解决方案。   （消息及封面来源：cnBeta）

据外媒报道，网络安全分析师最近发现了一种被他们称为“TangleBot”的Android恶意软件。这种恶意软件非常复杂，能够劫持手机的大部分功能。一旦被感染，手机就会成为终极间谍/跟踪设备。 Proofpoint研究人员指出，TangleBot通过向美国和加拿大的Android设备发送短信来锁定用户。这些短信被伪装成Covid-19法规和助推器的信息以及跟潜在停电有关的消息，另外还会鼓励受害者点击一个显示需要Adobe Flash更新的网站链接。 如果选择对话框，恶意网站将把恶意软件安装到智能手机上。攻击者依赖于用户无视Adobe在2020年12月停止对Flash的支持以及自2012年以来移动设备不支持Flash的事实。 如果欺骗成功，TangleBot就可以完全渗透到整个手机中。该恶意软件可以控制来自麦克风和摄像头的音频和视频、查看访问的网站、访问输入的密码集合、从短信活动和设备上的任何存储内容中提取数据。TangleBot还可以授予自己修改设备配置设置的权限并允许攻击者查看GPS定位数据。 黑客获得的功能基本上提供了全面监视和数据收集能力。TangleBot提供了一些关键的区别性功能使其特别具有威胁性，其中包括高级行为、传输能力和用于混淆的字符串解密程序。 除了间谍软件和键盘记录能力外，该恶意软件还可以阻止和拨打电话，不可避免地导致拨打高级服务的可能性。与此同时，语音生物识别能力可被用来冒充受害者。 报告指出，在TangleBot中看到的复杂程度使其在其他形式的恶意软件中脱颖而出。“与键盘记录功能、覆盖能力和数据渗透有关的特征是任何恶意软件武库中的常规行为，然而，TangleBot以高级行为和传输能力使自己与众不同，同时还展示了试图挫败生物识别语音认证安全系统的恶意软件的最新发展。TangleBot的最后一个组成部分在原来的Medusa中没有看到，它先进地使用了一个字符串解密程序以帮助混淆和掩盖恶意软件的行为。” 用来将木马软件的目的和功能隐藏在许多混淆层之下的尖端技术是导致出现TangleBot的原因。这些方法包括隐藏的.dex文件、模块化和功能化的设计特点、最小化的代码以及大量未使用的代码。 对于Google的操作系统来说，Android恶意软件和特洛伊木马变得越来越常见，而且不仅仅是通过短信，智能手机也会被暴露。GriftHorse恶意软件被成功嵌入到正式批准进入Google Play和其他第三方应用商店的应用中，使其能够感染超过1000万台设备并窃取数千万美元。 对于Android系统来说，这是一个令人担忧的状况，研究人员在报告中的结束语也呼应了这一点。 “如果说今年夏天Android生态系统向我们展示了什么，那就是Android系统充斥着聪明的社会工程、彻头彻尾的欺诈和恶意软件，这些都是为了欺骗和窃取移动用户的金钱和其他敏感信息，”研究团队说道，“这些计划可能看起来很有说服力并可能利用恐惧或情绪进而导致用户放松警惕。” 安全公司Eset最近的分析清楚地概述了这些言论，其显示了Android恶意软件在多个威胁领域的增长。   （消息及封面来源：cnBeta）

今年夏季 REvil 团伙发起了将近 3 周的大规模恶意软件攻击，美国联邦调查局（FBI）秘密扣留了密钥。该密钥本可以解密多达 1500 个网络上的数据和计算机，包括医院、学校和企业运营的网络。 援引华盛顿邮报报道，联邦调查局渗透了 REvil 团伙的服务器以获得该密钥。不过在和其他机构讨论之后，FBI 决定暂缓公开该密钥，因为担心有用户向犯罪分子通风报信。消息人士告诉《华盛顿邮报》，FBI 不希望有人向 REvil 团伙通风报信，并希望能打掉他们的行动。 不过在 FBI 介入之前，REvil 于 7 月 13 日消失了。由于还没有解释的原因，联邦调查局最终在 7 月 21 日才拿出密钥。本周二在国会问询时，FBI 局长克里斯托弗·雷（Christopher Wray）表示：“我们作为一个团体做出决定，而不是单方面的。这些都是复杂的……决定，旨在创造最大的影响，而这需要时间来对付对手，我们必须调集资源，不仅是在全国各地，而且是在全世界”。 7 月 13 日，REvil 勒索软件组织的基础设施和网站已神秘下线。该组织又称之为 Sodinokibi，利用多个明网和暗网运作，用作赎金谈判网站、勒索软件数据泄露网站和后台基础设施。 路透社13日报道称，被西方认为在俄罗斯境内活动的“REvil”至今已向受害者收取了数千万美元的赎金。过去几周，该黑客组织宣称向全球800家至1500家企业发动了袭击。美国联邦调查局（FBI）认为“REvil”是5月底导致全球最大肉类生产商JBS美国分公司运营瘫痪的罪魁祸首。   （消息及封面来源：cnBeta）

想在电脑杀毒软件检查系统RAM时将恶意代码隐藏起来？很简单，只需将其隐藏在显卡的VRAM中。最近有人在网上出售一种能够实现这种功能的概念验证工具，这对Windows用户来说可能是个坏消息。 Bleeping Computer写道，最近有人在一个黑客论坛上出售一种PoC。他们没有透露关于该工具的太多细节，但其工作原理是在GPU内存缓冲区分配地址空间来存储恶意代码，并从那里执行它。 卖家补充说，该代码只在支持OpenCL 2.0或更高版本的Windows电脑上工作。他们证实它在AMD的Radeon RX 5700和Nvidia的GeForce GTX 740M和GTX 1650显卡上可以工作。它也适用于英特尔的UHD 620/630集成图形。 8月8日，论坛上出现了宣传该工具的帖子。大约两周后（8月25日），卖家透露，他们已经将PoC卖给了别人。8月29日，研究小组Vx-underground在Twitter上说，恶意代码使GPU在其内存空间中执行二进制。它将”很快”展示这一技术。  我们过去曾见过基于GPU的恶意软件，例如你可以在GitHub上找到开源的Jellyfish攻击方式，这是一个基于Linux的GPU rootkit PoC，利用了OpenCL的LD_PRELOAD技术。JellyFish背后的研究人员还发布了基于GPU的键盘记录器和基于GPU的Windows远程访问木马的PoC。 这种方法的技术核心是通过DMA[直接内存访问]直接从GPU监控系统的键盘缓冲区，除了页表之外，在内核的代码和数据结构中没有任何挂钩或修改。对攻击代码原型实现的评估表明，基于GPU的键盘记录器可以有效地记录所有的用户按键，将它们存储在GPU的内存空间中，甚至可以就地分析记录的数据，而运行时间的开销甚至可以忽略不计。 早在2011年，安全人员就发现了一种新的恶意软件威胁，利用GPU来挖掘比特币。但是最近PoC的卖家说，他们的方法与JellyFish不同，因为它不依赖代码映射回用户空间。 （消息及封面来源：cnBeta）

根据黑莓研究与情报团队周一发布的一份新报告，近期 Go（Golang）、D（DLang）、Nim 和 Rust 编程语言的使用率迎来了较大的增幅。背后的原因，则是恶意软件开发者正试图借助冷门的编程语言来躲避安全社区的分析检测、或解决开发过程中遇到的某些痛点。 特点是，恶意软件开发者正在试图利用冷门编程语言来便携加载器和释放器。通过这套组合拳，主流安全分析手段或难以察觉初步和进阶的恶意软件部署。 黑莓团队表示，为避免在目的端点上被揪出，一阶释放器与加载器正变得越来越普遍。 一旦恶意软件绕过了能够检测更典型恶意代码形式的现有安全机制，就会进一步解码、加载和部署包括特洛伊木马在内的恶意软件。 报告中点名的恶意软件，包括了 Remcos 和 NanoCore 远程访问木马（RAT），以及常见的 Cobalt Strike 信标。 然而一些拥有更多资源的恶意软件开发者，正在将他们的恶意软件通过冷门语言来重新包装，比如 Buer 或 RustyBuer 。 基于当前的趋势，安全研究人员表示，网络犯罪社区对 Go 语言的兴趣尤为浓厚。 黑莓称，有深厚背景的高级持续性威胁（APT）组织、以及商品化的恶意软件开发者，都相当有意于通过冷门语言来升级他们的武器库。 今年 6 月，CrowdStrike 亦曝光了一款勒索软件新变种，可知其借鉴了 HelloKitty / DeathRansom 和 FiveHands 的功能，且通过 Go 语言对其主要负载进行加密封包。 之所以作出这样的假设，是因为基于 Go 语言的新样本正在“半定期”地出现。其不仅涵盖了所有类型的恶意软件，还针对多个活动中的所有主要操作系统。 此外尽管 DLang 不像 Go 那样“流行”，其在 2021 开年至今的采用率也在缓步上升。 研究人员指出，通过使用新颖或不寻常的编程语言，恶意软件开发者将对安全分析人员的逆向工程工作造成很大的阻碍。 此外他们正在避免使用基于签名的检测工具，提升目标系统的交叉兼容性，且代码库本身也可能套上一层来隐藏。 最后，黑莓威胁研究副总裁 Eric Milam 评论道：恶意软件制作者以快速适应和修改利用新技能而被业界所熟知，但行业客户也必须对这样的重要趋势提高警惕，因为将来的安全形势只会变得更加严峻。   （消息及封面来源：cnBeta）

援引 The Hacker News 报道，为了提高恶意活动的效率，LemonDuck 通过关注早期的漏洞和简化攻击流程，不断完善和加强了针对 Windows 和 macOS 的攻击技术。微软表示 LemonDuck 是一种非常活跃且功能强大的恶意软件，在攻击成功之后被用于僵尸网络和加密货币挖矿。 而且它采取了更复杂的行动并加强了运作方式。最新版本已经能够绕过安全检查，通过电子邮件传播，横向移动，窃取凭证，并衍生出了更多的黑客工具。 在感染该恶意软件之后，就会迅速向设备所在的网络进行传播，窃取设备上的用户信息，并通过利用计算机资源非法开采加密货币。具体来说，LemonDuck 作为后续攻击的加载器，涉及窃取凭证和安装下一代植入物，可以作为一些威胁的网关，其中最重要的是赎金软件。 另一个值得注意的策略是能够通过删除竞争性软件和通过修复攻击者能够访问的漏洞来防止新的感染，从而从被攻击的设备中移除额外的攻击者。 目前，LemonDuck 恶意软件的攻击目标大多是制造业和物联网行业，大多数攻击发生在俄罗斯、韩国、中国、法国、德国、印度、加拿大、越南和美国。此外，微软曝光了第二个实体 LemonCat 的运作情况，它利用 LemonDuck 完成各种目标。 据报道，LemonCat 的攻击架构在 2021 年 1 月左右浮出水面，最终导致利用微软 Exchange 服务器的漏洞进行攻击。随后篡改使用 Cat 域名导致安装后门、凭证和数据被盗，以及部署恶意软件，通常是一个被称为 Ramnit 的 Windows 木马。     （消息及封面来源：cnBeta）  

Nord Locker 安全分析师发现，在 2018-2020 年间黑客利用一个木马化恶意程序，感染了超过 300 多万台电脑，并从中攫取了 1.2T 以上的敏感信息。这款尚未命名的恶意软件从超过 325 万台 Windows PC 中收集信息，收集的数据包括 20 亿个 cookies 和 110 万个电子邮件相关的约 2600 万个凭证。 这种病毒是由不良分子通过破解的应用程序分发的，包括破解的游戏、破解 Windows 操作系统许可证的工具，甚至还有 Adobe Photoshop 2018。另一种分发病毒的方法是将其嵌入电子邮件，然后通过垃圾邮件活动分发。 该病毒非常有效，因为它很低调，可以不被发现，同时从用户的电脑中窃取数据，而消费者并不知道发生了什么。也许这个病毒最令人不安的地方是，它在感染电脑后通过电脑的摄像头拍下照片。 在这个被盗数据集合中有超过 65 万份 PDF 和 Word 文档，22.4 万张 JPG 图片，以及超过 69.6 万个 PNG 文件。虽然超过一半的被盗文件是文本文件和软件日志，但危险来自于一些用户有在文本文件中存储个人信息、密码和其他类型的私人信息的坏习惯。正如你可能暗示的那样，这些文件也落入了黑客的手中。 该木马程序成功地从超过一百万个网站中窃取了大约 2600 万个登录凭证。被盗的凭证属于各类网站的用户，包括在线游戏、在线市场、求职网站、社交媒体、生产力工具、流媒体服务和电子邮件服务。 在被盗的 20 亿个 cookie 中，约有 22% 在发现时仍然有效。Cookies 可以让黑客进入用户的在线账户，并可以协助他们了解目标的兴趣和习惯。按被盗 cookie 数量比例排名前五的网站是：eBay，超过190万；沃尔玛，26.2万；Gearbest，211万；AliExpress，48.1万；以及亚马逊，350万。   （消息及封面来源：cnBeta）

卡巴斯基研究人员称，一款 IcedID 网银木马的新变种正在迅速传播，检测峰值甚至达到了每日 100 个。截止 2021 年 3 月，其在德国（8.58%）、意大利（10.73%）、印度（11.59%）和美国（10.73%）等地区的传播力最为显著。与旧版木马相比，新变种利用了修改过的英文下载器，其中包含了经过压缩的 ZIP 格式恶意软件。 至于 IcedID 的感染过程，主要分成下载器和本体两个部分。前者将用户信息发送到服务器端，以供恶意软件本体使用。在将自身映射到内存后，后者会将恶意软件进一步渗透到受害者的系统中。 此外该木马还可启动其它恶意操作，比如允许威胁行为者绕过双因素身份验证（2FA）或运行恶意动态链接库（DLL）的 Web 注入。这两种方法，都允许下载和执行渗透到系统身处的其它恶意模块。 IcedID 攻击的地理位置分布 包括下载电子邮件收集器、Web 注入模块、密码抓取器、以及 hVNC 远程控制模块等组件，以执行 Web 注入、流量拦截、系统接管、以及密码窃取。 至于 QBot 和 IcedID 的区别，主要是新变种变得能够利用 x86-64 CPU 架构、从服务器端移除了假配置、且核心也略有改动，因为作者决定不将 shellcode 交换为包含一些加载程序数据的常规 PE 文件。   QBot 攻击的地理位置分布 最后，网络攻击涉及的一些 IP / 域名，涵盖了Karantino[.]xyz、uqtgo16datx03ejjz[.]xyz、188.127.254[.]114、以及 Apoxiolazio55[.]space 。   （消息及封面来源：cnBeta）

专注于软件供应链安全管理的研究公司 Sonatype，刚刚在官方的 Python 软件存储库（PyPI）上发现了六个包含不同恶意软件的 Python 包。这些恶意内容被藏于 setup.py 的安装说明文件中，继而导致加密货币挖矿类恶意软件被下载并安装到受害者的系统上。 Nexus 防火墙组件的分析过程（图自：Sonatype） 过去数月，这几款恶意软件包被下载量将近 5000 次，且发布者使用了 nedog123 的用户名。 learninglib 中包含的 maratlib 依赖项 以下是对应的六款恶意软件的名称与下载数： ● maratlib：2371 ● maratlib1：379 ● matplatlib-plus：913 ● mllearnlib：305 ● mplatlib：318 ● learninglib：626   LKEK 也指向了 maratlib 依赖项 其中一些明显利用了错误的单词拼接方法，并且故意碰瓷 PyPI 上热门的机器学习包文件（比如用李鬼 mplatlib 来假冒官方的 matplotlib）。 maratlib 代码中包含了严重的混淆 尽管此类攻击似乎只是为了窃取部分系统资源，但供应链安全攻击还是让 Sonatype 感到十分紧张。 0.6 代码中高亮显示的 GitHub 网址 即便代码被严重加花、并从 GitHub 上调用了其它包，但 Sonatype 还是详细解释了他们是如何检测到加密货币挖矿类恶意软件的。 aza2.sh 中的 Bash 脚本，也被发现了某些版本的 maratlib 。 最后，Sonatype 指出，此类恶意软件不大可能影响大多数运行高级反病毒防护软件的普通用户，而是更加针对那些拥有高性能 Linux 机器的机器学习研究人员们。   （消息及封面来源：cnBeta）

安全公司Sophos发表了一份新的研究报告–《“义务劳动”式恶意软件在阻止海盗湾的同时赶走软件盗版者》，其中详细介绍了一个网络攻击活动，该活动以盗版软件的用户为目标，恶意软件旨在阻止对托管盗版软件的网站的访问。 恶意软件被伪装成流行游戏的破解版，如《Minecraft》和《Among Us》，以及微软Office、安全软件等生产力应用程序。这种恶意软件并不寻求窃取密码或向计算机所有者勒索赎金，而是阻止受害者访问一长串网站，包括许多分发盗版软件的网站。从本质上讲，这是一个自带干粮义务劳动的恶意软件，它只针对软件盗版者。 伪装后的恶意软件通过BitTorrent协议从ThePirateBay（领先的数字文件共享网站）上的一个账户分发。这些链接和恶意软件文件也被托管在Discord上。 “从表面上看，对手的目标和工具表明这可能是某种粗制滥造的反盗版义务劳动。然而，攻击者庞大的潜在目标受众–从游戏玩家到商业专业人士–再加上过时的和新的工具、技术和程序（TTP）的奇怪组合，以及被恶意软件封锁的奇怪的网站列表，都使这次行动的最终目的有点模糊不清。” – 安德鲁-勃兰特，索福斯公司首席威胁研究员 修改HOSTS文件是一种粗略的方法，可以防止计算机能够到达一个网站地址。它很有效，是的，但任何人都可以从HOSTS文件中删除条目来解决问题。 恶意文件是面向64位Windows 10编译的，然后用假的数字证书签名。在现代Windows电脑上，该恶意软件必须以管理员权限用户的身份运行，因此，更有意识和谨慎的用户将能够轻松避免攻击。该恶意软件在运行时还会触发一个假的错误信息，要求人们重新安装软件。Sophos研究人员认为这可能是为了打消怀疑。   （消息及封面来源：cnBeta）