一个未知初始访问代理被揭露为三个不同的攻击者提供入口点，攻击活动包括利益驱动的勒索软件攻击和网络钓鱼活动。 黑莓的研究和情报团队将这个实体命名为“Zebra2104”，该组织负责为MountLocker和Phobos等勒索软件集团，以及名为StrongPity(又名Promethium)的高级持续威胁(APT)跟踪提供技术手段。 据我们所知，网络威胁领域越来越多地被一类被称为初始访问代理(IABs)的玩家所控制，他们为其他网络犯罪集团提供服务，包括勒索软件附属公司，通过持续进入受害者网络的后门，在不同地区和行业的众多潜在组织中立足，成功地建立了远程访问的定价模型。 黑莓研究人员在上周发表的一份技术报告中指出:“通常IAB先进入受害者的网络，然后在暗网的地下论坛上把这一访问权限卖给出价最高的买家。”“后来，中标者通常会在受害者的设备里部署勒索软件或其他经济利益相关的恶意软件，这取决于他们活动的目标。” 2021年8月，一份超过1000访问列表的分析文件在暗网地下上论坛上售卖，该文件发现,从2020年7月到2021年6月网络访问的平均费用为5400美元的,其中最有价值的信息可以提供包括企业系统域管理员权限。 这家加拿大网络安全公司的调查始于一个名为“trashborting[.]”的域名，发现时它正在传送Cobalt Strike 信标，用于把更广泛的基础设施与一些恶意垃圾邮件活动联系起来，这会引起勒索软件有效载荷的传输。有一些勒索软件于2020年9月攻击澳大利亚房地产公司和州政府部门。 最重要的是，“supercombination[.com]”，trashborting[.]另一个姐妹域名，被发现与恶意软件MountLocker和病毒Phobos有关，即使域名解析为IP地址“91.92.109[.]174”，在去年4月至11月，它也被用来托管第三个域名“mentiononecommon[.]com”并在2020年6月与StrongPity相关的攻击中作为C2服务器使用。 IAB的反复出现和广泛的攻击目标让研究人员觉得，运营商“要么有大量的人力，要么在互联网上设置了大量“陷阱”，使MountLocker、Phobos和StrongPity能够访问目标网络。 研究人员说:“这项研究中看到的恶意攻击技术和工具联结关系表明，网络犯罪集团在某些情况下的运作方式与跨国组织没有什么不同，这在某种程度上反映了一个合法商业世界。”他们建立伙伴关系和联盟来帮助推进他们的目标。如果有什么不同的话，可以肯定的是，这些威胁组织的‘商业伙伴关系’将在未来变得更加普遍。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑莓（Blackberry）的网络安全团队，刚刚在一份新报告中分享了如何在 Intel 芯片平台上模拟运行 ARM macOS 内核，以轻松开展针对 Apple Silicon 的安全研究。这份由黑莓研究与情报团队撰写的报告，为安全研究和渗透测试人员提供了一种利用 QEMU 开源计算机仿真器，来成功模拟 macOS ARM64 内核的方案。 报告指出，苹果硬件的最新发展，使得安全研究人员难以及时跟进，但业界对于以 ARM 为目标的测试环境的需求也在不断增长。 好消息是，黑莓提出的这一理论，给出了如何使用仿真来操纵和控制内核，以查找关键错误和修复特定的内核区域的方法。 如此一来，安全研究人员便可借助这个精简的 macOS 内核，轻松开展调试和漏洞发现工作。 据悉，该仿真是为响应诸如 M1 之类的 Apple Silicon 芯片而开发的，且主流操作系统对 ARM64 的支持也越来越普遍。比如 Linux 内核的下一个主要版本，就将提供对 Apple Silicon 的初步支持。 而为了在配备英特尔酷睿处理器的 Linux 主机上虚拟化 ARM64 macOS 环境，黑莓团队不仅介绍了如何下载 macOS Big Sur 安装程序包，还设计 QEMU 的配置、以及其它文件和设置的调整。 正如研究人员所指出的那样，跨平台虚拟化并不是什么新鲜事物。早在 2009 年，我们就已经见到过可在 Intel 主机上虚拟化的 ARM 系统，且后续也有发布在 macOS 主机上模拟 iOS 内核的方案。 综上所述，基于 Unix 衍生内核的苹果 XNU 也将迟早加入。感兴趣的朋友，可移步至 BlackBerry Cylance GitHub 主页了解相关资源和其它详情。   （消息及封面来源：cnBeta）  

黑莓方面宣布推出一个新的开源工具“PE Tree”，旨在减少逆向工程恶意软件所需的时间和精力。该公司表示，PE Tree 使得逆向工程师可以使用 pefile 和 PyQt5 在树状视图中查看可移植可执行（Portable Executable，PE）文件，从而降低了从内存中转储和重建恶意软件的门槛，同时提供了社区可以建立的开源 PE 查看器代码库。 PE Tree 还与 HexRays 的IDA Pro 反编译器集成在一起，从而可以轻松导航 PE 结构，以及转储内存中的 PE 文件并执行导入重建， 在识别和阻止各种恶意软件方面至关重要。 该工具采用 Python 开发的，并支持Windows、Linux 和 Mac 操作系统。它可以作为独立应用程序或 IDAPython 插件安装和运行，从而使用户可以检查任何可执行的 Windows 文件并查看其组成。 图 1 独立应用程序 图 2 IDAPython 插件 使用 Ero Carrera 的 pefile 模块分析 PE 文件，然后再映射到树视图中。在那里，用户可以查看 headers 的摘要，包括 MZ header、DOS stub、Rich headers、数据目录等。 此外，左侧的“rainbow view”提供了 PE 文件结构的高级概述，并传达了每个区域的 offset/size/ratio。用户可以单击每个区域以跳至树状视图，或者单击鼠标右键以保存到文件或导出到 CyberChef。 黑莓研究运营副总裁埃里克·米拉姆（Eric Milam）称：“随着网络犯罪分子不断发展，网络安全社区需要在其武器库中使用新工具来捍卫和保护组织和人员。现在市场上已有超过 10 亿个恶意软件，而且这个数字还在以每年 1 亿个以上的数量持续增长。因此我们创建了此解决方案，以帮助网络安全社区进行这场斗争。” 更多详细内容可查看官方博客：https://blogs.blackberry.com/en/2020/08/blackberry-open-source-pe-tree-tool-for-malware-reverse-engineers 相关链接 PE Tree 的详细介绍：点击查看 PE Tree 的下载地址：点击下载   （稿源：开源中国，封面源自网络。）  

据外媒报道， 美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)去年发布了《网络犯罪报告》。报告显示，网络犯罪在2019年造成了35亿美元的巨大损失。攻击者利用赎金软件从企业和个人用户身上套取金钱。黑莓的安全研究部门最近发现了一种新的赎金软件，影响了欧洲一家教育机构。与迄今为止发现的大多数赎金软件不同的是，这种新的赎金软件模块被编译成一种Java图像文件格式（JIMAGE）。 JIMAGE是一种存储自定义的JRE映像的文件格式，它的设计是为了在运行时被Java虚拟机（JVM）使用。 以下是攻击的过程： 为了在受害者的机器上实现持久化，攻击者使用了一种名为映像劫持（Image File Execution Options，IFEO)注入的技术。IFEO设置被存储在Windows注册表中。这些设置给了开发者一个选项，在目标应用程序执行过程中，通过附加调试应用程序来调试他们的软件。 随后一个后门与操作系统的微软Windows屏幕键盘（OSK）功能一起执行。 攻击者利用ProcessHacker工具禁用了组织的反恶意软件解决方案，并更改了活动目录服务器的密码。这使得受害者无法访问他们的系统。 攻击者的大部分文件都被进行了时间限制，包括Java库和执行脚本，文件日期时间戳为2020年4月11日15:16:22 最后，攻击者执行了Java赎金软件模块，对所有文件服务器进行了加密，包括连接到网络的备份系统在内的所有文件服务器都进行了加密。 在提取出与该赎金软件相关的zip文件后，以 “大亨 “为名，共有三个模块。所以，黑莓团队将这个赎金软件命名为 “大亨”。 下面来看看 “大亨 “的赎金说明：     （稿源：cnBeta，封面源自网络。）

近年来，智能家居设备已经变得日渐普及。但是安装专家们频频发出警告，物联网基础设施存在着巨大的安全隐患。好消息是，为了让物联网世界变得更加安全，曾经在智能手机领域叱咤多年的黑莓（BlackBerry），已决定向智能家居设备制造商们，开放自家的安全技术授权。在激烈的市场竞争下，消费者已经能够享受到包括灯泡、冰箱、电视等在内的“物美价廉”的智能产品。不过黑莓提供的付费安全技术（BlackBerry Secure），能够为你的体验加上一道“放心锁”。 随着黑莓逐渐远离智能手机制造这项“主营业务”，此举标志着该公司移动技术的一次重大转型。 黑莓高级副总裁、兼移动解决方案经理 Alex Thurber 在一份声明中称 ——  2019 将是消费者开始用钱包投票，寻找更高的安全性和数据隐私性的一年。 BlackBerry 的其中一项产品，是在制造时，为智能小工具嵌入微处理器的加密密钥 —— 如遭受黑客攻击，芯片会改变其密钥，并导致设备停止工作。 此外，黑莓还发布了一款软件，能够阻止未经批准的代码在设备上运行。2016 年的时候，全球曾爆发过针对物联网设备的 Mirai 攻击。 当时黑客将大量的联网设备（比如家用路由器和安防摄像头）纳入了僵尸网络，以便将一台重要的互联网服务器搞得宕机。不过黑莓的安全方案，有望阻止类似事件的再次发生。 此外，黑莓还为工厂或企业环境里的设备，提供了一套管理服务。其旨在让企业更加严格地控制存储在设备上的信息，制定允许设备通过 Wi-Fi 或蓝牙等协议进行通信的规则。 当然，黑莓并不是这方面的先行者。早在 4 月份的时候，微软就已经发布了 Azure Sphere 微芯片。 其允许企业在联网设备上部署安全芯片和软件，此外亚马逊和谷歌也提供了各自的解决方案（Android IoT / AWS IoT），以便为联网设备提供充分的防护。 不过，对于黑莓及其合作伙伴来说，目前正是一个不错的介入时机。 在经历了 2018 年的 Facebook 数据收集、谷歌隐私、以及前一年的大规模 Equifax 漏洞之后，消费者终将渴望寻求更加安全的替代品。 物联网市场分析机构 J. Gold Associates 负责人 Jack Gold 表示： 鉴于黑莓手机的‘安全性’已深深植入每个人的脑海，该公司显然可以顺水推舟，将这一标签打向物联网世界。   稿源：cnBeta，封面源自网络；

媒体 1 月 16 日早间消息，加拿大软件制造商黑莓本周一发布了一个新的网络安全软件，它能够辨识无人驾驶汽车所使用的程序中所含有的漏洞。这个软件名为 Jarvis，除了无人驾驶汽车之外，它还可以被用在医疗健康以及工业自动化领域。黑莓公司希望凭借这个软件完成从手机制造商到软件制造商的转型。 黑莓公司表示，汽车制造商可以使用这个软件在软件开发的各个阶段对软件代码进行扫描，以此来寻找代码中的漏洞。 去年在世界范围内爆发的 WannaCry 勒索软件让黑莓的安全软件业务受到了人们的注意，黑莓的这项业务专注于移动设备上的安全连接。 黑莓表示他们已经与于著名汽车制造商塔塔汽车旗下的捷豹路虎一起对 Jarvis 进行了测试。捷豹路虎 CEO 表示，Jarvis 能够让代码审核所需要的时间从 30 天减少到 7 分钟。 去年 9 月，黑莓还宣布他们将于汽车零部件制造商德尔福一起开发无人驾驶汽车软件操作系统。本月早些时候，黑莓与百度签署了一项协议，双方将联合开发无人驾驶技术。除此之外，黑莓最近还与芯片制造商高通、汽车零部件制造商电装以及福特汽车公司签署了与汽车相关的协议。 稿源：cnBeta、，稿件以及封面源自网络；

科技公司是否在破解加密通信上帮助政府目前是一个受争议的话题，执法部门对科技公司在其产品中使用的强加密表达了强烈不满，政府高官甚至以 “负责任的加密” 的名义建议科技公司使用弱加密。黑莓的通信也使用加密保护。 公司 CEO 程守宗在伦敦举行的黑莓安全峰会上表示，如果政府有合法的法庭命令，黑莓会尝试破解它使用的加密。程守宗说，今天的加密已经到达这样一个程度，即使他们自己去破解自己的加密也非常困难。破解加密并非易事，因此黑莓只会在法庭命令下尝试去破解。 稿源：solidot奇客，封面源自网络；

据路透社报道，黑莓于本周四（ 7 月 20 日）表示，该公司已赢得向美国联邦政府出售加密语音通话与消息工具的权利，而这些工具也获得了美国国家安全局（NSA）的认可。 黑莓表示，该公司已经获得了美国国家安全局下属国家信息安全保障合作组织（以下简称 “ NIAP ” ）的认可，该组织对商用科技产品进行审核，以确定它们是否能满足供政府使用的增强版安全标准。 NIAP 还曾向黑莓竞争对手开发的工具颁发过相关认证，比如苹果和三星电子，这些竞争对手在消费类智能手机的较量中曾经击败过黑莓。近年来，有关对不法分子正在窃听政府通信的担忧急剧上升，比如在 2014 年初，一位美国国务院高级官员和美国驻乌克兰大使之间的未加密手机通话就遭到窃听，谈话内容被发布到网上。 可供美国联邦政府使用的黑莓工具是基于 Secusmart 技术打造，Secusmart 是德国的一家创业公司，在 2014 年被黑莓收购。在一位美国情报机构前承包商宣称德国总理安吉拉·默克尔（Angela Merkel）的手机遭到美国国家安全局的窃听后，Secusmart 赢得一项政府合同，专门向默克尔提供手机产品。 德国检察官在 2015 年放弃了对有关默克尔手机遭窃听说法的调查，称他们并未发现足够的证据以继续推进这项调查。黑莓表示，欧洲、拉美、东南亚和非洲等地区的 20 个国家的政府机构都在使用该公司的加密语音与消息产品。德国也是黑莓公司最大的政府客户。 稿源：cnBeta、网易科技；封面源自网络

据麦格理分析师 Gus Papageorgiou 透露，黑莓公司目前正与至少两家车企研发一项安全服务，可远程扫描汽车电脑病毒及安装安全补丁。如果车辆处于危险之中，该服务系统还将提醒驾驶员靠边停车。 关注黑莓公司已有 15 年之久的 Papageorgiou 指出，此项服务最早将于明年推出，可为黑莓每辆车带来每月 10 美元收入。Papageorgiou 在 5 月 15 日的一份报告中表示，阿斯顿马丁和路虎揽胜正在测试黑莓推出的该项安全服务。但阿斯顿马丁发言人 Matthew Clarke 在一封邮件中表示，他们对该品牌测试黑莓汽车安全服务一事并不知情，其路虎揽胜公司捷豹路虎尚未做出回应。黑莓 QNX 部门负责人 John Wall 和公司发言人 Sarah McKinney 也拒绝做出回应。 据悉，该消息被曝出后，黑莓股票上涨 5.3%，在短暂到达 14.15 加元之后，以 13.84 加元收盘，创 2015 年 3 月以来最高股价。过去十年里，黑莓公司智能手机市场份额不敌苹果及其它手机生产商，因此黑莓大力发展汽车安全领域业务，预计汽车安全相关技术能够为其带来利润增长。 稿源：cnBeta、盖世汽车网，封面源自网络

如果你购买了这样一部号称安全性无懈可击的定制黑莓手机，那听到这个消息肯定不会特别开心。荷兰警方证实正在解密嫌疑人使用黑莓手机发送的 PGP 加密消息。 PGP（Pretty Good Privacy）一个开源的端到端加密标准，可用于电子邮件、文件、文档或磁盘分区。 2016 年 4 月荷兰警方逮捕了一名 36 岁男子，他涉嫌洗钱并参与向罪犯出售带有 PGP 安全加密的定制黑莓手机。同时，警方还查获 Ennetcom 公司的服务器，警方认为服务器中存储有大量与犯罪集团相关的数据。网络服务商 Ennetcom 使用 PGP 加密保护系统为黑莓设备的 BES 服务提供专门的通讯网关服务，从而允许黑莓设备用户实现更安全的加密通讯。 今年一月，荷兰调查人员声称他们可以使用商业工具解密存储在 PGP 黑莓加密设备上的电子邮件，但只适用于当局查获的黑莓设备。最新消息的消息显示荷兰警方可读取服务器上所有的加密消息。荷兰警方和公诉机关将解密此前发现的 360 万条加密消息。这些解密信息将成为证据，以帮助警方调查数十起刑事案件，涉及暗杀、武装抢劫、贩毒、洗钱、谋杀和其他有组织犯罪。警方最后还补充到 PGP 加密系统的“密钥”是由 Ennetcom 公司的服务器生成的，而不是由设备生成的，此外，黑莓手机的解密密钥也存储在 Ennetcom 服务器上。 原作者：Pierluigi Paganini，译者：M帅帅 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。