网络安全微讯早报

1、伊朗中央银行挫败网络攻击

1月7日（Prensa Latina）伊朗中央银行在挫败了针对该实体和两个相关消息平台的网络攻击后，开始了新的一周不间断的运作。伊朗电信基础设施公司执行董事阿米尔·拉耶瓦尔迪 (Amir Layevardi)在Twitter上发了一条消息，谴责试图入侵中央银行数据库以及Rubika和Bale应用程序的行为。Layevardi评论说，最近，“最多的外国攻击是针对银行和金融机构、互联网提供商和通信基础设施的”。在报告了这些被消除的攻击后，他赞扬了该国的网络安全人员为应对威胁所做的卓越努力。2022年10月，Anonymous和其他黑客组织威胁要对伊朗机构和官员发动网络攻击。直到10月25日，伊朗被动防御组织负责人Qolamreza Yalali准将报告称，在20天内抵制了针对该国基础设施的120严重 DDoS攻击。伊朗网络安全专家还在12月挫败了对该首都南部伊玛目霍梅尼机场的网络攻击，防止对该设施的运营造成任何重大破坏。

2、NCCoE在制造业发布侧重于解决应急响应和恢复的项目

美国国家标准与技术研究院(NIST)1月6日发布了一份公告，邀请行业参与者和其他感兴趣的合作者参与国家网络安全卓越中心(NCCoE)项目，该项目侧重于在运营技术中响应网络事件并从中恢复(OT)环境。NCCoE项目侧重于NIST网络安全框架(NIST CSF)的响应和恢复部分，同时指导制造组织将缓解措施设计到OT环境中以解决网络事件。随着工业 4.0的普及，企业正在将业务系统和IT网络连接到OT网络，以提高业务敏捷性和运营效率。然而，最近对OT的攻击表明，恶意行为者正从业务系统和IT网络转向OT环境。大多数OT系统历来与业务系统和IT网络隔离，因此无法抵御网络攻击。NCCoE将与商业社区成员和网络安全解决方案供应商合作，确定基于标准的、商用的和开源的硬件和软件组件，以设计制造实验室环境，以应对应对OT环境中的网络事件并从中恢复。

3、IcedID恶意软件活动针对Zoom用户

Cyble研究人员最近发现了针对流行视频会议和在线会议平台ZOMM用户的网络钓鱼活动，以传播IcedID恶意软件。IcedID银行木马于2017年首次出现在威胁领域，它具有与Gozi、 Zeus和Dridex等其他金融威胁类似的功能。最先对其进行分析的IBM X-Force专家注意到，该威胁并未从其他银行恶意软件中借用代码，但恶意代码实现了类似的功能，包括发起浏览器中间人攻击，以及拦截和窃取受害者的财务信息.IcedID恶意软件通常使用武器化的Office文档传播恶意广告活动。然而，在Cyble发现的活动中，威胁行为者使用了一个模仿合法Zoom网站的网络钓鱼网站来传播 IcedID恶意软件。专家认为，IcedID是一种高度先进、持久的恶意软件，已影响全球用户。威胁行为者不断调整他们的技术以逃避网络安全措施的检测。

4、Microsoft警告针对Apple macOS系统的不同勒索软件

Microsoft安全威胁情报团队警告四种不同的勒索软件系列（KeRanger、FileCoder、MacRansom和EvilQuest）会影响Apple macOS系统。涉及Mac勒索软件的攻击的初始向量通常依赖于用户辅助方法，例如下载和运行虚假或武器化的应用程序。勒索软件还可以作为第二阶段的有效载荷投放器或供应链攻击的一部分进行交付。专家指出，恶意软件创建者滥用合法功能并实施各种技术来利用漏洞、逃避防御或诱骗用户感染他们的设备。勒索软件最重要的功能之一是能够针对特定文件进行加密。微软研究人员观察了勒索软件家族使用的各种技术来 枚举Mac上的文件和目录。FileCoder和MacRansom使用Linux查找实用程序搜索要加密的选定文件。KeRanger、MacRansom和EvilQuest勒索软件系列结合使用基于硬件和软件的检查来避免在虚拟环境中执行分析和调试目的。微软对Mac操作系统上的勒索软件的分析显示，MAC勒索创建者使用各种技术来隐藏于自动分析系统之外，并使分析师的手动检查具有挑战性。

5、黑客利用OpenAI的ChatGPT部署恶意软件 

根据Check Point的一份新报告，黑客正在使用ChatGPT开发强大的黑客工具，并创建旨在模仿年轻女孩以引诱目标的新聊天机器人。ChatGPT还可以编写恶意软件，监控用户的键盘输入并创建勒索软件。然而，网络罪犯不知何故想出了一种方法使其成为网络世界的威胁，因为它的代码生成能力可以轻松帮助威胁参与者发起网络攻击。另一方面，Hold Security的创始人Alex Holden表示，他观察到约会诈骗者利用ChatGPT来创建令人信服的角色。诈骗者正在创造女性角色来冒充女孩以获得信任并与目标进行更长时间的对话。许多地下黑客论坛都发布了网络犯罪分子使用OpenAI开发恶意工具的事件，即使是那些没有开发技能的人。一位用户分享了他们如何滥用ChatGPT来创建暗网上市场的代码功能，例如Silk Road和Alphabay。论坛上发布了另一个工具，可用于在设备上安装后门并将更多恶意软件上传到受感染的计算机上。诈骗者还可以使用ChatGPT 构建机器人和网站来诱骗用户共享他们的信息，并发起针对性很强的社会工程诈骗和网络钓鱼活动。OpenAI尚未对这些发现做出回应。

6、Hive勒索软件团伙泄露了从领事馆医疗中心窃取的550GB敏感数据

Hive勒索软件团伙刚刚泄露了从Consulate Health Care窃取的550 GB数据，包括客户和员工PII数据。Consulate Health Care是高级医疗保健服务的领先提供商，专门从事急性后期护理。Hive勒索软件团伙本周将该公司添加到其 Tor泄漏站点，威胁要公布被盗数据。该团伙表示，攻击发生在2022年12月3日，并于2023年1月6日披露。该团伙最初泄露了被盗数据的样本作为攻击的证据，声称窃取了合同、NDA和其他协议文件、公司私人信息（预算、计划、评估、收入周期、投资者关系、公司结构等），员工信息（社会安全号码、电子邮件、地址、电话号码、照片、保险信息、付款等）和客户信息（医疗记录、信用卡、电子邮件、社会安全号码、电话号码、保险等）。受害者在其网站上发布的通知中也确认了安全泄露事件。虽然CHC的通知强调数据泄露的根本原因是对供应商的攻击，但Hive代表告诉Data Breaches，他们“没有攻击任何CHC供应商，而是直接攻击了CHC。”

7、假口袋妖怪NFT游戏安装程序让黑客劫持用户的PC

威胁者正在使用精心制作的Pokemon NFT纸牌游戏网站来分发NetSupport远程访问工具并控制受害者的设备。目前仍在在线的网站“pokemon-go[.]io”声称拥有围绕Pokemon特许经营权构建的新NFT纸牌游戏，为用户提供战略乐趣以及NFT投资利润。考虑到Pokemon和NFT的流行，恶意门户的运营商应该不难通过垃圾邮件、社交媒体帖子等吸引观众访问该网站。那些点击“在PC上玩”按钮的人会下载一个看起来像合法游戏安装程序的可执行文件，但实际上是在受害者的系统上安装了NetSupport远程访问工具 (RAT)。ASEC的分析师发现了该操作，他们报告称该活动还使用了第二个网站“beta-pokemoncards[.]io”，但此后该网站已下线。该活动的第一个活动迹象出现在2022年12月，而早期从VirusTotal检索到的样本显示，相同的操作员推送了一个伪造的Visual Studio文件，而不是口袋妖怪游戏。NetSupport RAT可执行文件（“client32.exe”）及其依赖项安装在%APPDATA%路径的新文件夹中。它们被设置为“隐藏”以帮助逃避对文件系统执行手动检查的受害者的检测。

8、Windows 7将于1月10日停止接收扩展安全更新

从2023年1月10日（星期二）开始，Windows 7专业版和企业版将不再接收针对关键和重要漏洞的扩展安全更新。Microsoft于2009年10月推出了旧版操作系统。然后，该操作系统于2015年1月终止支持，并于2020年1月终止支持。扩展安全更新(ESU)计划是客户在Windows 7系统支持终止后仍需要运行旧版Microsoft产品的最后选择。九年前于 2013年11月推出的所有版本的Windows 8.1也将在同一天到达EOS。“大多数Windows 7设备不满足升级到Windows 11的硬件要求，作为替代方案，兼容的Windows 7 PC可以通过购买和安装完整版本的软件升级到Windows 10，”微软解释说。“在投资Windows 10升级之前，请考虑到Windows 10将在2025年10月14日达到其支持终止日期。”Microsoft建议使用不符合最新Windows版本技术要求的设备的客户将其替换为支持Windows 11的设备，以利用最新的硬件功能。根据Statcounter GlobalStats的数据，目前，全球超过11%的Windows系统运行Windows 7，而 2.59%的微软客户使用Windows 8.1。

9、报告指出许多电话很快就会获得卫星连接

卫星电话公司Iridium与芯片巨头高通之间的新合作伙伴关系将在今年晚些时候为高端Android智能手机带来卫星连接。这意味着即使在没有移动覆盖的地区，手机也可以与经过的卫星通信以发送和接收消息。高通芯片存在于许多基于 Android的智能手机中。Apple于2022年9月宣布了iPhone 14的卫星功能。该服务目前仅可用于在紧急情况下发送和接收基本短信。英国智能手机制造商Bullitt率先推出了自己的卫星服务，抢在了苹果公司之前。它还旨在供紧急使用，最初将在特定地区提供。高通表示，这项名为Snapdragon Satellite的新功能最初只会包含在其高端芯片中，不太可能出现在低成本设备中。然而，它最终将推广到平板电脑、笔记本电脑甚至车辆，并且还将成为一项不限于紧急通信的服务——尽管这很可能会收费。卫星连接被广泛认为是移动电话的下一个前沿领域，因为它解决了“非热点”或没有现有覆盖区域的问题。这些在农村或偏远地区更为常见。

10、使用行为生物识别技术来防范移动恶意软件

移动威胁形势正在显着增长。移动威胁格局面临的一些主要挑战包括使用中的移动设备数量的快速增长、移动操作系统的复杂性增加以及利用 GPS、NFC、蓝牙等移动设备功能的新攻击向量的出现。应对移动恶意软件进步带来的此类挑战的潜在解决方案是使用行为生物识别技术。行为生物识别涉及使用机器学习算法来分析用户的独特行为模式，例如他们的打字速度、屏幕触摸模式以及他们握住和移动设备的方式。通过分析这些模式，可以为每个用户创建一个独特的“行为指纹”，用于验证他们的身份并检测可能表明移动设备中存在恶意软件的异常情况。行为指纹可用于各种环境，包括网络安全领域。行为指纹可以与密码保护等其他安全措施结合使用，以提供更强大的网络威胁防御。行为生物识别技术有可能为移动设备提供额外的安全层，有助于抵御最新威胁并减轻移动恶意软件带来的风险。一种方法是使用行为生物识别作为在访问敏感数据或系统时验证用户身份的手段。另一种方法是使用行为生物识别技术实时监控用户的行为，寻找可能表明存在恶意软件的异常情况。