1、趋势科技详细分析模仿BlackMatter功能的LockBit3.0勒索软件

趋势科技的研究人员在今年3月获悉LockBit勒索软件的新变种,距离LockBit 2.0首次出现还不到一年。LockBit 3.0,又名“LockBit Black”直到6月下旬才会发布,这与该组织新的泄密站点和漏洞赏金计划的推出相吻合。趋势科技研究人员在一篇博文中写道:“一名研究人员此后分享了LockBit 3.0的样本,以及他对新变体的初步分析。” BlackMatter是一种勒索软件即服务(RaaS)工具,它允许勒索软件的开发人员从BlackMatter黑客等网络犯罪附属机构中获利,他们将其部署到受害者身上。BlackMatter黑客攻击了许多美国组织,并要求以比特币和门罗币支付 80,000美元到15,000,000美元的赎金。研究人员指出,LockBit 3.0的部分代码似乎是从BlackMatter 勒索软件中借用的,因此称为LockBit Black。“同样,我们在调试LockBit 3.0示例期间发现BlackMatte和新的LockBit变体之间存在相似之处。”趋势科技提醒组织,随着这个最新变种的发布和LockBit的漏洞赏金计划的推出,该计划奖励其附属机构,它预计LockBit勒索软件组织在未来将更加活跃。

2、越来越多的IIS外挂被用作攻击企业服务器的后门

微软研究人员发现,IIS外挂近来逐渐被黑客当成攻击企业服务器系统如Exchange Server的后门程序。过去企业服务器攻击较少遇到恶意IIS外挂,这倒不是因为黑客不用IIS外挂攻击。主因是,黑客通常以脚本语言写成的web shell作为第一阶段的后门程序,导致恶意IIS外挂的侦测率较web shell来得低。另一个原因是IIS后门也比较难侦测到,因为它们植入的位置,多半和黑客目标应用程序所使用的合法模块位于同一个目录,也和合法模块采用同样的代码构架。大多数情况下,这些后门程序的逻辑很简单,若研究人员对合法IIS外挂的整体运作不了解,也很难判定它是恶意程序,这也进一步增加侦测感染源的难度。随着侦测技术的提升,恶意IIS外挂的案例也增加。一般情形下,攻击者开采代管应用程序,例如Microsoft 365的重大漏洞进入企业网络,先植入Script web shell,再于服务器上安装IIS后门,以暗中长期渗透攻击。在今年1月到5月间的Exchange Server攻击中,微软发现,黑客也会安装依其目的,客制化恶意IIS外挂模块,监控目标应用程序进出的呼叫,或执行其他任务,像是执行远端指令、或在用户验证Web应用程式时,于背景窃取用户凭证数据。

3、文化冲击:网络勒索软件团伙窃取艺术组织数据

加拿大、美国、英国和澳大利亚的几个主要艺术组织都受到了这次袭击的影响。攻击者的第一个受害者是多伦多交响乐团(TSO),它与文化和娱乐数字营销平台WordFly合作。7月10日,黑客禁用了WordFly的系统并窃取了该网站处理的一些TSO用户数据。被盗信息可能包括乐团订户的姓名和ID、他们的电子邮件地址以及有关该组织帐户的信息。TSO的官方公告称,它将暂时更换电子邮件提供商。乐团代表没有透露受害者人数,但保证游客的付款细节是安全的,并且该组织的IT系统在攻击期间没有受到影响。“WordFly向我们保证,没有证据表明黑客正在使用订阅者的个人数据,”TSO说。值得注意的是,潜在受害者名单上还有其他几个组织:南岸中心;皇家莎士比亚剧团;伦敦皇家歌剧院;老维克;考陶德艺术学院;美国史密森学会;悉尼舞蹈团。目前该事件正在调查中。为了更快地解决案件并减轻攻击的后果,WordFly聘请了取证和网络安全专家。该公司的代表表示情况已得到控制,但没有透露该网站何时恢复工作。

4、一种特殊类型的恶意软件威胁着俄罗斯的国家机构和行业

Positive Technologies专家分析了所有已知的39个bootkit系列,它们都以Proof of Concept格式存在(证明实现想法或方法的可能性),并用于2005年至2021年入侵者的实际攻击。研究表明 ,每隔一秒的bootkit就会被用于有针对性的攻击,尽管开发这些恶意软件的成本很高,但攻击者开始在大规模攻击中使用它们。bootkit是在操作系统(OS)加载之前运行的恶意代码。它的主要任务是帮助其他恶意软件(软件)在系统启动之前在系统中站稳脚跟。由于大多数保护系统(例如防病毒程序)与操作系统同时运行,因此检测到bootkit的可能性会降低。直到最近,人们还普遍认为,在启动低级BIOS或UEFI软件阶段引入的bootkits 际上从未在真正的攻击中发现,但这是一个神话。在分析的39个bootkit系列中,至少70%,即有27个系列被用于网络攻击,其中一半(14个)被Careto、 Winnti(APT41)、 FIN1和APT28等APT组织使用。根据Positive Technologies的说法,由于经常发现固件中的漏洞,bootkit在网络犯罪分子中越来越受欢迎。例如,对于UEFI,仅2021年就有18个条目出现在国家漏洞数据库(NDV) 中。相比之下:2020年有12个,减少了30%,而2019年只有5个条目。Bootkit功能现在被添加到各种恶意软件中:这就是勒索软件(如Satana和Petya)以及僵尸网络(如Trickbot)的开发者所做的。

5、谷歌聘请中央情报局特工控制互联网

MintPress版发现数十名前中央情报局特工为谷歌工作。此外,大量员工在非常政治敏感的领域工作,对产品的工作方式和用户在搜索结果中看到的内容具有相当大的控制权。根据前谷歌信任与安全副总裁克里斯蒂·卡内加洛 (Christy Canegallo)的说法,中央情报局特工“决定我们平台上允许哪些内容”。换句话说,他们为数十亿用户所看到的内容制定了互联网规则。前中央情报局特别工作组负责人约翰斯托克韦尔 在镜头前描述了中央情报局如何渗透到世界各地的媒体机构,建立假新闻机构并传播有关华盛顿敌人的假新闻,”他说,并补充说:“我在世界各地都有宣传人员。我们向媒体投放了数十篇关于古巴镇压的故事。我们分发了假照片,这些照片最终出现在该国几乎所有的报纸上。我们不知道古巴人犯下的任何暴行。这是纯粹、粗暴、虚假的宣传,”斯托克韦尔说。除了在暗网上积极走私毒品和武器外,许多 被列入名单的前中央情报局雇员还参与了对阿富汗和伊拉克的入侵。更重要的是,大多数员工都是直接从中央情报局雇佣来为谷歌工作的。这表明要么谷歌正在积极招募情报人员,要么硅谷与美国国家安全委员会之间达成了协议。为中央情报局和其他情报机构工作了27年的退休情报人员伊丽莎白默里解释了谷歌如何从雇佣前间谍中受益。“通过聘请中央情报局官员,公司可以节省大量资金。这些人都训练有素,并有安全许可。这在民间组织中很难实现,”她告诉MintPress。“对中央情报局的好处是,代理人可以在几年内获得独特的社交媒体技能,然后利用获得的经验为中央情报局的利益返回该机构,”默里补充道。谷歌还雇佣了几名代理人,他们拥有确保用户隐私和安全所必需的稀有和高度发达的技能。此外,数十名谷歌员工在公共网站上确认他们为中央情报局工作,并认为这没有问题。专家认为,披露此类信息充其量是不恰当的,最坏的情况是美国政府试图控制网络空间。事实上,谷歌从一开始就与CIA交织在一起。根据记者纳菲兹·艾哈迈德的调查,中央情报局和国家安全局资助了斯坦福大学研究生谢尔盖·布林的研究工作,这导致了后来谷歌的创建。

6、西班牙逮捕了破坏核辐射警报系统的黑客嫌疑人

西班牙警方宣布逮捕了两名黑客,据信他们对该国核辐射警报网络(RAR)的网络攻击负责,该网络攻击发生在 2021年3月至2021年6月之间。这两名被捕者是民防和紧急情况总局(DGPGE)为维护RAR系统而签约的一家公司的前员工,因此他们对其运作以及如何进行有效的网络攻击有深入的了解。两名被捕人员非法访问DGPGE的网络,并试图删除控制中心的RAR管理Web应用程序。与此同时,两人对传感器发起了单独攻击,摧毁了遍布西班牙的800个传感器中的300个,从根本上断开了它们与控制中心的链接并破坏了数据交换。RAR系统的作用是检测放射性水平的突然上升并发出警报,以帮助当局采取保护措施、检测和补救问题。RAR包括部署在该国特定地点的800个伽马辐射传感器,每个传感器都通过电话线连接到DGPCE总部的控制中心。网络攻击阻止了其中300 传感器将其读数传回中心,从而导致该州无法立即对过度辐射事件做出反应的严重风险。西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营着七座核反应堆,该计划满足了其大约20%的国家电力需求。

7、众议院情报委员会主席发誓要“更加重视”打击间谍软件

众议院情报委员会主席27日表示,他将更加紧迫地打击外国商业监视,称该技术是国家安全风险和对个人隐私的普遍威胁。加州民主党众议员亚当·希夫 (Adam Schiff)表示,他对强大的间谍软件的扩散感到震惊,这些间谍软件“可以用来对付该委员会或行政部门的每一位成员、每一位记者和政治活动家、每一位美国公民、每一位美国公民。拥有电子设备的世界。”希夫呼吁采取行动是在众议院情报听证会上,著名的安全研究人员和间谍软件的受害者参加了听证会。上周,委员会批准了一项立法,赋予总统和情报界更多权力,以制裁和禁止与在情报界销售军用级监视工具的公司签订合同。几天后,希夫和其他委员会成员在听证会上表达了对间谍软件不仅对情报界而且对广大公众构成的威胁的严重关切。双方成员似乎对美国公司和投资基金支持间谍软件供应商这一事实感到不安。希夫表示,美国必须采取更多措施来应对“强大的间谍工具市场,这些工具在公开市场上销售,本质上是提供复杂的信号情报功能作为端到端服务。”希夫说,间谍软件对国家安全构成严重威胁,并暗示该技术的扩散程度可能比人们意识到的要大得多。希夫指出,去年12月披露的11名在乌干达工作的美国官员的手机上发现了间谍软件,他警告说,他认为“我们很可能只看到了冰山一角。”

8、网络司令部希望加强采购办公室

准备在2024年获得“增强的预算授权”,美国网络司令部正在寻求增强其采购和采办能力,包括雇用新人员和成熟其主要技术部门以处理其额外资金。“我需要建立一个年经费从7500万美元增长的组织,以弄清楚我们如何准备好实现每年30亿美元的采购支出,”网络司令部J9采购和技术总监迈克尔克拉克27日在司令部的采购论坛上告诉记者。Cybercom是一个拥有独特服务权限的作战司令部,作为国防部内一个相对年轻的组织,它一直在进行多年的过程来提高和成熟其采办能力。克拉克说,国会已经足够满意,它取消了最初的7500万美元上限,该司令部现在每年执行超过7亿美元预算。到目前为止,军方一直担任代表Cybercom及其部队采购大型项目的执行机构。然而,到2024年,网络司令部将获得所谓的增强预算权限,这将赋予其直接控制和管理资源的规划、计划、预算和执行的责任,以维持其作战部队“当我们展望未来时,该司令部正在根据部门指导承担大约30亿美元资金的责任,这与我们确保网络作战部队准备就绪的责任直接相关,”克拉克说。“令人难以置信的增长,令人难以置信的变化,在指挥方式和部门如何摆出网络司令部承担采购责任的方式方面。”他说,为了让J9成熟以进行更大规模的承包和采购,官员们需要在内部引入更多的承包。这将需要雇用更多的人员。

9、越南攻击组织Ducktail攻击Facebook上的商业账户

7月26日,WithSecure Intelligence报告了对Facebook * Business/Ads平台的Ducktail攻击。据专家称,该组织由自2018年以来活跃的出于经济动机的黑客组成,他们于2021年对Facebook发起了第一次攻击。该公司的官方报告称,专家无法检测到绕过平台安全系统的成功或不成功尝试。然而,有一件事是众所周知的——Ducktail 继续改进和分发其恶意软件。据专家介绍,攻击者的目的是接管企业账户并窃取信息。黑客通过引诱员工访问存储恶意软件的文件托管站点来欺骗员工,这些站点伪装成与受害者组织相关联的文件。值得注意的是,该组织与任何地区无关,并在世界各地袭击受害者:欧洲、中东、非洲和北美。如果受害者的账户被成功入侵,恶意软件会窃取他们的个人信息和支付信息。此外,Ducktail会尝试将攻击者的电子邮件地址添加到受害者所在组织的电子邮件列表中。在攻击结束时,所有被盗数据都通过Telegram发送给黑客。获得必要信息后,攻击者试图购买其他公司投放的广告。

10、Telegram和Discord中的机器人已经走向黑暗面

7月26日,英特尔471研究人员发布了一篇博客文章,揭示网络犯罪分子正在使用Discord和Telegram机器人传播恶意软件。攻击者手中的智能和有用的助手成为实施网络犯罪的强大武器。英特尔471专家报告说,攻击者设法将信息窃取者注入信使中,从而悄悄地从毫无戒心的用户那里窃取凭据。最流行的恶意软件被称为“Blitzed Grabber”。她使用Discord网络挂钩来存储和传输被盗数据。据英特尔471专家称,一旦恶意软件将收集到的数据发送回Discord,攻击者就可以将其用于自己的计划,或者只是在暗网上出售。英特尔471研究人员认为,不同通信平台上的各种bot极大地帮助了攻击者分发恶意软件并从受害者那里收集数据。他们认为,如果可能,Messenger的信息安全专家应该实施基于令牌的多因素身份验证,告知用户可能使用机器人的恶意公司,并清楚地展示它们的样子。

11、新的“Robin Banks”网络钓鱼服务针对美国银行、花旗和富国银行

一个名为“Robin Banks”的新网络钓鱼即服务(PhaaS)平台已经推出,针对知名银行和在线服务的客户提供现成的网络钓鱼工具包。目标实体包括花旗银行、美国银行、第一资本、富国银行、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行。此外,Robin Banks还提供模板来窃取Microsoft、Google、Netflix和T-Mobile 帐户。根据IronNet的一份报告,其分析师发现了新的网络钓鱼平台,Robin Banks已经被部署在从6月中旬开始的大规模活动中,通过短信和电子邮件瞄准受害者。据信该组织至少从 2022 年 3 月开始就活跃起来,旨在快速制作高质量的网络钓鱼页面,以针对大型金融组织的客户。“Robin Banks网站拥有比16Shop和BulletProftLink 更复杂但用户友好的webGUI——这两个著名的网络钓鱼工具包也比Robin Banks贵得多,”IronNet在报告中评论道。新的PhaaS平台不断添加新模板并更新旧模板,以反映目标实体的样式和配色方案变化。这些优势使Robin Banks在网络犯罪领域广受欢迎,在过去的几个月里,许多网络犯罪分子都采用了它。新的高质量PhaaS平台的出现对互联网用户不利,因为它促进了对低技能网络犯罪分子的网络钓鱼,并增加了对棘手信息的轰炸。

12、人权倡导者呼吁停止联邦机构采购商业间谍软件

一位关键证人告诉立法者,美国政府应禁止联邦机构购买商业间谍软件产品,以应对外国公司构成的反情报威胁。

“目前,与联邦政府开展业务、被美国公司收购或与美国警察部门开展业务是间谍软件行业的许多人的金奖,”Citizen Labs的高级研究员John Scott-Railton精通技术的人权组织告诉众议院情报委员会的成员。“只要问题参与者仍有可能这样做,他们就会得到投资者的支持。”Scott-Railton周三(27日)在委员会面前就现在臭名昭著的NSO集团等公司制造的工具的扩散作证。Citizen Lab发现这家以色列公司的Pegasus间谍软件——它能够泄露受害者设备的内容,而无需他们点击网络钓鱼链接——被用来监视美国公民,尽管有相反的说法。《华盛顿邮报》和其他媒体的报道还揭示了来自世界各地的大量公职人员、记者和持不同政见者受到间谍软件的监视,其市场呈指数级增长,并且主要由专制政府开发。“当我们刚开始研究这个时,我们看到少数公司与少数几个州合作,现在它完全失控了,”斯科特-雷顿说。向可疑政权推销间谍软件的公司包括另一家以色列公司Cellebrite和瑞典公司Micro Systemation AB(MSAB),大西洋理事会追踪了这两家公司在俄罗斯的商品交易。俄亥俄州共和党的排名成员迈克·特纳(Mike Turner)说,“从民主政府和其他人,甚至那些我们认为是盟友的人那里得知滥用这项技术的消息令人震惊”。加利福尼亚州民主党委员会主席亚当·希夫(Adam Schiff)在听证会开始时吹捧了该小组最近通过的《情报授权法》,他说该法案“为 [国家情报总监] 提供了新的权力,以禁止情报界获取和使用外国间谍软件……[并]阻止情报委员会与全部或部分购买任何外国间谍软件工具的美国公司签订合同。”