俄罗斯关联黑客组织舒适熊（Cozy Bear）曾发起臭名昭著的 SolarWinds 间谍活动，而现在又利用 Google Drive 将魔爪伸向了新的受害者。根据 Palo Alto Networks 旗下 Unit 42 威胁情报团队本周二的报告，有俄罗斯对外情报局(SVR)背景、被美国联邦政府归类为高级持续威胁 APT29 的舒适熊组织利用 Google 的云存储服务隐藏它们的恶意软件和活动。 根据 Unit 42 披露的信息，APT29 在近期的活动中使用了全新的策略，在今年 5 月初至 6 月期间对葡萄牙和巴西的外交使团和外国使馆发起了攻击。 研究人员表示：“攻击者采用了全新的策略，利用 Google 云存储服务的普遍性以及基于全球数百万用户对其的信任传播恶意软件，而意味着如何检测出这些恶意软件面临着巨大的挑战。在使用经过加密且值得信任的服务时，大多数人都会直接打开文件，而要检测黑客活动中的所有恶意软件是极端困难的”。 事实上这并非是 ATP29 组织首次滥用合法的网络服务。在今年 5 月，根据安全机构 Mandiant 披露的报告，该组织利用 Dropbox 针对各种政府机构传播各种带命令和控制的恶意文件。不过 Dropbox 发言人表示在发现这些动机之后立即禁用了这些账号。 Unit 42 披露了 ATP29 在 Google Drive 和 Dropbox 上的活动情况。目前 Google 并未做出回应。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1294921.htm 封面来源于网络，如有侵权请联系删除

自 Windows 11 系统 2021 年 6 月发布以来，不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制，但现在又卷土重来，而且破坏力明显升级。 网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动，看起来非常像是微软的官方网站。由于使用了 Inno Setup Windows 安装程序，它分发的文件包含研究人员所说的“Inno Stealer”恶意软件。 恶意网站的URL是“windows11-upgrade11[.com]”，看来 Inno Stealer 活动的威胁者从几个月前的另一个类似的恶意软件活动中吸取了经验，该活动使用同样的伎俩来欺骗潜在的受害者。 CloudSEK说，在下载受感染的ISO后，多个进程在后台运行，以中和受感染用户的系统。它创建了Windows命令脚本，以禁用注册表安全，添加 Defender 例外，卸载安全产品，并删除阴影卷。 最后，一个.SCR文件被创建，这是一个实际传递恶意有效载荷的文件，在这种情况下，新颖的 Inno Stealer 恶意软件在被感染系统的以下目录中。恶意软件有效载荷文件的名称是”Windows11InstallationAssistant.scr”。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1259879.htm 封面来源于网络，如有侵权请联系删除