RSAC 2022 举办在即，创新沙盒大赛谁将成最大赢家？ 2022年6月6-9日，RSA Conference 2022将在美国旧金山召开。作为全球网络安全行业一年一度的盛宴，RSAC大会被誉为安全界的“奥林匹克”，是网络安全的重要风向标之一。自1991年举办首届大会以来，RSAC大会即将迈入第31个年头，会议规模也从一个小型的密码学论坛，发展成如今的全球安全顶级信息安全大会，吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。其中最吸引眼球的莫过于RSAC创新沙盒大赛，被誉为是网络安全行业技术创新的代表方向，也是资本投资的重点关注对象，吸引着全球网安产业的目光。此前RSAC官方已经公布了创新沙盒10强名单，它们分别是Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq，涉及云原生安全、接入安全、软件供应链安全、数据治理、API安全和安全运营多个赛道。纵观历届RSAC大会，创新沙盒大赛的胜出者基本都得到了资本的追捧，被誉为网络安全行业的“未来之星”。RSA Conference副总裁Linda Gray Martin也曾公开表示，RSA创新沙盒大赛被普遍认为是初创公司的跳板。自2005年以来，大赛的10强公司已总共完成69次收购，获得98亿美元投资。在过去两年中，已有两家10强公司，SentinelOne (2015年) 和 SumoLogic（2012年）完成IPO。而在本次公布的10强名单中，Cado Security、Cycode、Dasera、Talon Cyber Security等多家企业在2021年就已经初现峥嵘，是年度炙手可热的网络安全初创企业。2022年6月6日，这10家初创公司将向全球观众展示他们在网络安全行业上的技术创新。那么，哪家企业能够成为最后赢家，哪条赛道又将迎来新一轮的火热？欢迎各位读者讨论、预测，看谁能押中最后的王者。创新沙盒10强初步介绍为了让读者更好地了解RSAC 2022创新沙盒10强公司，FreeBuf特对该10强企业进行简要梳理和分析，仅供大家参考，如下图所示：（数据来源：奇安投资）Araali NetworksAraali Networks成立于2018年，是一家为云原生环境提供威胁管理解决方案的公司，2020年获得了种子轮投资，可对威胁进行检测和拦截。在云原生环境中，Araali安装了一个分布式跟踪和执行模块作为Kubernetes守护程序集。策略会跟随应用程序的生命周期，而不是永久地运行在基础设施上。这点与sidecar的模式相似，但是Araali基于高性能的eBPF实现，不需要将能力重新定向到sidecar中，从而降低系统开销。在eBPF技术支撑下，用户可以在自己的私有虚拟云中制定某个身份能够执行的动作，从而防止恶意代码建立后门或进入服务器。BastionZeroBastionZero成立于2019年，最初是一家区块链安全公司，受新冠疫情影响后业务重心转向了基础设施访问控制安全，成为一家云服务提供商，可为工程团队建立进入服务器、集群、数据库等基础设施的“零信任”机制，BastionZero可与访问目标进行集成，现阶段通过Web应用程序或zli（BastionZero的命令行界面）可以为远程主机、数据库、Kubernetes 集群和Web服务器提供零信任基础设施访问服务。公司在设计过程中使用了创新型加密协议，可保证网络攻击即使能够瘫痪公司提供的服务，也不会对用户的基础设施造成影响。Cado SecurityCado Security 是一家云原生网络取证和响应平台提供商，成立于2020年4月旨在为安全团队提供更智能、更快速的方式来调查和响应云中的网络安全事件。该公司成立不久便获得150万美元种子轮融资，2021年又获得1000万美元A轮融资。代表产品Cado Response 是一个无代理的云原生数字取证平台。平台支持通过跨多云环境、临时容器、无服务器环境和本地系统进行事件响应取证调查。通过其自动化数据捕获和处理能力，可以轻松为安全团队提供取证级别的详细信息和前所未有的上下文搜索，以消除云调查的复杂性。CycodeCycode成立于2019年，专注于软件供应链安全，开发了业界首个源代码控制、检测和响应平台，并于2021年11月完成了5600万美元的B轮融资。Cycode提供一套完整的软件供应链安全解决方案，可保护软件开发生命周期各个阶段的可见性、安全性和完整性。2021年5月，该公司发布了自己的知识图谱，Cycode通过与DevOps工具和基础设施提供商集成，使用一系列扫描引擎查找硬编码机密、代码错误配置、代码泄露等安全问题来降低SDLC各阶段的安全风险。DaseraDasera成立于2019年，是一家引领数据治理与运维的公司，成立当年即获得300万美元融资，并于2021年再次获得600万美金种子轮融资。至今共获得CRN的“十大最热门云安全初创公司”、2022年网络安全卓越奖云上数据安全金奖等在内的15个奖项。Dasera通过紧密联动企业的安全团队、数据团队和合规团队，并持续自动监控上下文和执行数据治理策略，为企业存储于云上的数据提供全生命周期的防护，实现敏感数据的安全使用，同时可向员工提供更多数据库授权，应对大规模数据保护的挑战。LightspinLightspin公司成立于2020年成立当年获得了400万美元的种子轮融资，2021年获得1600万A轮融资。公司提供了一个基于图表的云原生应用程序保护平台 (CNAPP)，该平台可以识别、确定优先级并修复云堆栈中的攻击路径。同时还可以减少DevOps和安全团队保证云服务平台安全性所需要的时间、成本及资源。公司可在不同安全问题之间建立联系，并对编译、执行以及操作过程中最重要的关键问题进行确定及修复。Sevco SecuritySevco Security成立于2020年，是一家提供网络安全服务和产品的公司。目前已经过两轮融资，总金额超过2千万美元。2020年9月17日，Sevco被Welp Magazine 评选为网络安全领域50家最佳初创公司之一。Sevco Security核心产品Sevco资产管理平台，可通过集成现有资产管理平台的资产清单，对多源资产管理软件的数据融合，建立更全面的资产库，以识别企业网络中的脆弱资产，从而实时跟踪资产库中资产状态变化情况。Talon Cyber SecurityTalon Cyber Security是为分布式劳动力（远程办公）提供网络安全解决方案的提供商，目前已经过两轮融资，总金额4300万美元。作为下一代解决方案提供商，Talon旨在抵御分布式工作带来的新型威胁。该公司通过向企业提供专有安全浏览器，达到优化安全项目以及提升用户对混合工作体验的目的。Talon的主打产品是一款面向企业的安全浏览器TalonWork。TalonWork浏览器可为用户提供深度安全可见性以及SaaS应用的控制，以求简化未来工作对安全的需求。NeosecNeosec公司可通过XDR技术对API进行保护，重塑了应用安全的保护能力。公司的SaaS平台可保证专业安全人员对所有API活动实现可视化监控，同时对其进行分析，阻止潜伏其中的威胁。TorqTorq公司可为安全团队提供一个无代码自动化平台。该平台的无限制连接能力、拖放式编辑功能以及数百个模板，可完成任何处理的自动化。安全团队无论来自大型企业还是初创公司，都可以在Torq公司帮助下减少工作的复杂性，最大化的保障网络安全。云原生安全赛道迎来爆发？看完RSAC 2022创新沙盒大赛10的相关介绍，我们会发现一个非常有意思的现象：在这10家公司中，有4家参赛企业选择了云原生安全细分领域，这在历届RSAC创新沙盒大赛中都比较少见。正如上文所说，RSAC创新沙盒大赛代表着技术创新的发展方向，那么是否意味着云原生安全将会是接下来最有前景的细分领域？笔者对此表示赞同，随着云计算的广泛发展和应用，云原生安全必将迎来全面的爆发增长。近年来，云原生技术发展势头极为迅猛，已有烽火燎原之势。这里先看几组数据。据信通院发布的《云原生发展白皮书（2020）》数据显示，2019 年我国云原生产业市场规模已达350.2亿元，同时还指出，云计算的拐点已至，云原生成为驱动业务增长的重要引擎。而根据Gartner的预测，到2025年，云原生平台将成为95%以上的新数字化计划的基础，而在2021年这个比例不到40%，云原生还有着极大的发展空间。2022年，火山引擎联合IDC发布的《原生云应用 企业创新路》云原生白皮书指出，越来越多的中国企业开始接受云原生开发方式，采用云原生技术的中国企业已有接近50%将云原生技术应用到生产环境的核心和次核心系统，83%的企业未来两年将加大对云原生的投入。值得一提的是，这两年由于疫情反复，我国疫情防控措施日渐趋严，很多企业被迫远程办公。此时，云原生技术让小程序和SaaS应用快速上线，让更多的政府机构和企业体验到了云原生技术的价值。由于安全存在一定的滞后性，伴随着云原生的快速发展和应用，云上安全威胁也在快速增加。2022年，《Sysdig 2022年云原生安全和使用报告》发布并指出，越来越多的企业步入了云原生化的进程，然而由于很多已经使用云原生技术的企业急于求成，这也为后续运行埋下了不少的安全隐患。众所周知，面对云原生应用的规模扩展以及快速变化，基于边界的传统安全保障已经显的力不从心。此时，云原生安全的作用开始凸显。作为一种新兴的安全理念，云原生安全不仅解决云计算普及带来的安全问题，更强调以原生的思维构建云上安全建设、部署与应用，推动安全与云计算深度融合，是解决云原生问题的最佳选择。另一方面，经过几年的发展和实践，云原生安全也有了明显的进步。Gartner曾提出三大云原生安全管理工具，分别是CWPP、CSPM和CASB。其中，CWPP是对云工作负载进行保护，是对数据面的安全防护。随着云工作负载保护在云计算中重要性不断提升，CWPP已经可以和终端安全防护EPP扳手腕，也是目前国内很多安全厂商的重点发力方向。而3CSPM是聚焦控制面的安全属性，包括配置策略和管理工作负载、DevOps集成、保障调用云运营商API完整性等。而CASB是专注于SaaS安全，为企业提供对SaaS使用情况的可视性和安全控制，随着云原生技术的发展，CASB在企业内的使用率将进一步上升。除上述内容以外，自2020年以来，云原生安全技术又有了新的变化方向，那就是云原生应用保护平台（CNAPP），也是创新沙盒10强之一的Lightspin公司目前正在做的方向。2021年Gartner发布的云安全技术成熟度曲线增加了CNAPP，其最大的优势在于可集成了多个云原生安全工具和数据源，同时还具备强大自动化和编排能力，通过实现标准化和更深层次的防御，以提高安全性；以及允许更频繁地访问工作负载。随着我国数字化转型如火如荼地进行，以及东数西算工程的启动，上云已经成为企业必须的选择，此时因云而生的应用、技术大量落地，云原生基础设施不断完善的同时，也迫切需要一套云原生安全运维和治理的手段。这也让云原生安全迎来了大爆发的契机，并将引领下一个云安全时代。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/334473.html封面来源于网络，如有侵权请联系删除

新暗网市场 Industrial Spy 或已加入勒索软件攻击大军 近日，有观察发现，新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前，Industrial Spy并没有对受攻击的公司进行敲诈，而是将自己宣传为一个市场，公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。Industrial Spy市场提供不同级别的数据产品，其中“高级”被盗数据包价值数百万美元，而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如，Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据，以比特币支付。近日，有观察发现，新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前，Industrial Spy并没有对受攻击的公司进行敲诈，而是将自己宣传为一个市场，公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。Industrial Spy市场提供不同级别的数据产品，其中“高级”被盗数据包价值数百万美元，而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如，Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据，以比特币支付。为了推广他们的服务，攻击者会与广告软件加载程序和假破解网站合作来传播恶意软件，这些恶意软件会在设备上创建README.txt文件，而这些文件中正包含了推广信息。Industrial Spy加入勒索软件大军上周，安全研究小组MalwareHunterTeam发现了一个新的Industrial Spy恶意软件样本，然而这次看起来更像是勒索信，而不是推广的文本文件。这封勒索信称Industrial Spy的攻击者不仅窃取了受害者的数据而且还对其进行了加密。“非常不幸，我们不得不通知您，您的公司正面临着威胁，所有的文件都被加密，而没有我们的私钥您将无法将其恢复。如果您试图在没有我们帮助的情况下自行恢复，很可能会导致这些数据完全丢失”，勒索信中这样写道，“此外，我们研究了您整个公司的网络，并已将所有敏感数据下载到我们的服务器上。如果在未来3天内没有收到您的任何回复，我们将在Industrial Spy网站上公布您的数据。”经研究人员测试显示，Industrial Spy确实对文件进行加密，但不同于大多数其他勒索软件家族，它不会在加密文件的名称上附加新的扩展名，如下所示。勒索软件专家Michael Gillespie对此进行了解读，他一眼就认定它使用的是DES加密，RSA1024公钥加密。该勒索软件还使用了0xFEEDBEEF的文件标记，这是在别的勒索软件家族中从未见过的。当然，我们不应该把这个文件标记与在编程中使用的那个著名的神奇调试值0xDEADBEEF混淆。在加密文件的同时，Industrial Spy勒索软件在设备上每个文件夹中都会创建名为“README.html”的勒索记录，这些勒索记录包含一个TOX id，受害者可以使用它来联系勒索软件团伙并协商赎金。或与勒索团伙Cuba有关联？当研究勒索信中的TOX ID和电子邮件地址时，MalwareHunterTeam小组发现了一个Industrial Spy与勒索团伙Cuba的奇怪联系。上传到VirusTotal的勒索软件样本会创建一个带有相同TOX ID和电子邮件地址的勒索记录。 但是，它没有链接到Industrial Spy Tor的站点，而是链接到勒索团伙Cuba的数据泄露网站并使用相同的文件名。众所周知，!! READ ME !!.txt，是勒索团伙Cuba的赎金票据。另外还有一点值得一提，加密文件还附加了.Cuba扩展名，就像平时勒索团伙Cuba在加密文件时所做的那样。虽然这并不能百分百肯定地将这两个组织联系在一起，但研究人员推测很可能Industrial Spy的攻击者在测试他们的勒索软件是使用了勒索团伙Cuba的信息。这还有待安全研究人员和分析人士继续保持密切关注与进一步的探索。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/334468.html封面来源于网络，如有侵权请联系删除

谷歌关闭了两家俄罗斯 ISP 的缓存服务器 两家俄罗斯互联网服务提供商(ISP)收到Google的通知，称其网络上的全球缓存服务器已被禁用。缓存服务器是一个isp绑定节点，用于更快地向互联网用户提供谷歌内容，并在中断期间也可保持访问。缓存对于流行的YouTube内容是最重要的，isp可以将这些内容存储在服务器上，并更快地加载，给他们的订阅者更好的连接体验。俄罗斯新闻媒体试图确认哪些实体受到了这一举措的影响，并证实Radiosvyaz（Focus Life）和MIPT Telecom会受到此次决定的影响。不过俄罗斯最大的移动网络提供商MTS和MegaFon提供商报告称目前没有任何变化，而 VimpelCom、T2 RTK 控股和 ER-Telecom 拒绝就此事发表评论。确认受影响的两家ISP已5月 19日关闭其缓存服务器，随后几天他们也收到了Google的通知。MIPT Telecom已与RBC.ru分享了他们从 Google 收到的通知，该通知确认了报告的有效性和所提供的理由。在通知中，谷歌表示关闭缓存服务器的原因是法律实践的变化，并指出公司和关键人物被列入制裁名单。虽然此项制裁会对这两家俄罗斯ISP产生较大的影响，但好在这两家公司在俄罗斯国内的市场份额相对较小，所以也就不会对俄罗斯网民产生多大的影响。但是，如果谷歌将禁令扩大到所有俄罗斯互联网提供商，那么公司及其客户的情况都会发生巨大变化。谷歌的全局缓存可以减少70%到90%的外部流量，这取决于ISP运营商的最终用户的内容消费模式。失去服务会增加他们的运营成本，这可能会渗入订阅用户的每月账单里。除此之外，关闭缓存服务器不仅会威胁 YouTube 视频加载速度。它还将影响存储在同一系统上的服务器，例如 Google CAPTCHA。如果isp被禁用了这项服务，区分人类和机器人的系统可能无法在俄罗斯的网站上运行。值得注意的是，俄罗斯的谷歌子公司在该国第一台缓存服务器关闭之前就启动了破产程序。由于法院对Roskomnadzor因不遵守封锁要求而提出的索赔，且该公司被处以1亿美元巨额，所以该公司表示无法继续在俄罗斯开展业务。此外，莫斯科仲裁法院批准没收其价值约32,500,000美元的当地资产，以回应NTV、TNT、ANO TV-Novosti (RT)、TV Channel 360、VGTRK、Zvezda等被谷歌删除频道的YouTube频道所有者提交的几项提议。然而，谷歌的当地子公司并没有参与在俄罗斯提供缓存服务，因为这是谷歌全球业务的一部分，所以这两个问题没有联系，至少在技术层面上是这样。

勒索软件攻击已造成国家危机！该国总统说：有内鬼配合 自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等；哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果；安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。 5月16日（周一），哥斯达黎加新任总统Rodrigo Chaves在新闻发布会上表示，国内有合谋者协助Conti勒索软件团伙敲诈政府，这坐实了Conti团伙日前在网站上发布的声明内容。据阿根廷老牌媒体《国家报》报道称，哥国总统没有公布合谋的内鬼是谁，也未提及他们究竟如何与Conti团伙串通。总统称，“毫不夸张地说，我们已经身处战争。作战的对象是国际恐怖组织。目前已经有明确迹象可知，国内有人正与Conti合谋。”但他并未透露更多细节。“这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。”BRETT CALLOW, EMSISOFT公司威胁分析师上周末，安全厂商Emsisoft威胁分析师Brett Callow发现，Conti网站上发布内容，试图诱导哥国人民以“组织集会”的方式施压，迫使政府支付赎金，还声称“我们决心通过网络攻击推翻政府。”由于哥国政府“拒不配合”支付赎金，Conti团伙开出的赎金价码已经上涨一倍，目前为2000万美元，同时威胁将在一周内删除解密密钥。5月8号，哥国总统Chaves刚宣誓就任，就宣布国家进入紧急状态。再往前两天（5月6日），美国国务院悬赏1000万美元，全球征集Conti团队“关键领导者”的个人信息。Chaves在新闻发布会上表示，哥国政府已经从各部门抽调人手，组建了一支“特警小组”，负责应对4月17日爆发的这起勒索软件攻击。本次攻击至少影响到哥国27家政府机构，其中9家“受到了严重影响”，全面评估排查仍在进行当中。Chaves指出，勒索软件攻击阻碍了政府的征税工作，并导致不少公职人员工资被多发或少发了。他指责前任政府没能对网络安全进行充分投资，并向哥国人民强调“此次勒索名为安全事件，实际上是一场国家危机。”尽管Chaves并没有提供国内有合谋者协助Conti团伙的证据，但威胁分析师Callow表示，内部威胁是个由来已久且影响深远的问题。例如，一家托管服务商（为其他企业提供IT服务，并可访问客户网络的公司）的工程师就曾于2020年1月受到指控，罪名是在暗网论坛上出售客户网络的登录信息。Callow解释道，“这些团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。所以如果有内部人士在向他们提供协助，我一点也不会感到惊讶。” 转自 安全内参，原文链接：https://www.secrss.com/articles/42541封面来源于网络，如有侵权请联系删除

黑客利用 Tatsu WordPress 插件漏洞，进行数百万次攻击 Bleeping Computer 网站披露， WordPress 插件 Tatsu Builder 中存在远程代码执行漏洞 CVE-2021-25094，黑客正在利用其进行大规模网络攻击。（该插件安装在大约 10 万个网站上。）据悉，大规模攻击浪潮于 2022 年 5 月 10 日开始，四天之后达到历史高峰，目前仍在进行中。尽管四月初，运营商已经发布了一个更新补丁，但是现阶段约50000个网站仍在运行该插件的易受攻击版本。Tatsu Builder 中存在漏洞Tatsu Builder 是一个流行的 WordPress 插件，主要提供强大的模板编辑功能，能够直接集成到网络浏览器中。2022 年 3 月 28 日，研究人员 Vincent Michel 发现插件中存在安全漏洞（ 追踪为CVE-2021-25094），随后公之于众，并披露了概念验证（PoC）利用代码。在未使用 Tatsu Builder 插件更新版本的服务器中，攻击者能够利用该漏洞执行任意代码（ 3.3.12 版本之前）。漏洞披露不久后，供应商在 3.3.13 版本中发布了一个安全补丁，并于 2022年 4 月 7 日通过电子邮件提醒用户，敦促他们应用安全更新。受到攻击的网站数量Wordfence 是一家专门为 WordPress 插件提供安全解决方案的公司，一直在持续监测当前的攻击活动。据研究人员估计，有 20000 至 50000 个网站运行存在漏洞的Tatsu Builder版本。攻击细节从 Wordfence 发布的报告来看，针对 WordPress 网站的攻击达到了数百万次，2022 年 5 月 14 日阻止了高达 590 万次的攻击尝试，随后几天，攻击数量开始有所下降，但仍处在高位水平。Wordfence 检测和阻止的攻击经过对攻击事件分析，研究人员发现攻击者一直试图在 “wp-content/uploads/typehub/custom/” 目录的一个子文件夹中注入一个恶意软件dropper（下载器），并使其成为一个隐藏文件。该下载器名为 “.sp3ctra_XO.php”，其 MD5 哈希值为3708363c5b7bf582f8477b1c82c8cbf8。扩展的文件检查功能跳过隐藏文件另外，Wordfence 在报告中强调，超过一百万次的攻击仅来自以下三个 IP 地址，建议网站管理员将这些IP添加到封锁名单中。148.251.183.254；176.9.117.218；217.160.145.62。最后，网络安全专家强烈建议 Tatsu Builder 插件使用者，尽快升级到 3.3.1版本以避免攻击风险。转自 Freebuf，原文链接：https://www.freebuf.com/news/333471.html封面来源于网络，如有侵权请联系删除

警惕间谍软件！逾 200 Playstore 应用程序或存在风险 近日，研究人员观察到有超过200个Android应用程序正在传播一款名为Facestealer的间谍软件以窃取用户凭据和其他有价值的信息，如与受害者帐户相关的Facebook cookie和个人身份信息。据统计，在这些应用程序中，42个伪装为VPN服务，20个为相机程序，13个照片编辑程序。“与另一款移动恶意软件Joker类似，Facestealer经常会更改自身代码，从而产生许多变体，”趋势科技（Trend Micro）的分析师Cifer Fang、Ford Quin和Zhengyu Dong在一份新报告中这样写道，“自从被发现以来，这款间谍软件一直困扰着Google Play。”资料显示，2021年7月，Facestealer首次被Doctor Web公司发现并记录，定性为一组入侵 Android官方应用市场的欺诈性应用，其目的是窃取Facebook登录证书等敏感数据。除此之外，趋势科技还透露，它发现了40多个流氓加密货币矿工应用程序，这些应用程序瞄准了对虚拟货币感兴趣的用户，旨在诱骗用户观看广告和支付订阅服务。有些应用程序甚至会更进一步，试图窃取用于恢复加密货币钱包访问的私钥和助记短语（种子短语），例如Cryptomining Farm Your own Coin。为避免成为此类诈骗应用的受害者，研究人员向用户提供了若干建议，包括：查看差评，验证开发者合法性，避免从第三方应用商店下载应用等。新研究分析了在野外安装的恶意 Android 应用程序基于2019年至2020年期间在1170万多台设备上安装的880万应用程序，来自NortonLifeLock和波士顿大学的研究人员发表了他们所谓的“最大的设备上的潜在有害应用程序（PHA）研究”。该研究指出，“PHA在谷歌Play上的平均停留时间为77天，在第三方市场上为34天”。研究还指出，由于在PHA被发现和被移除之间存在时滞，因此有3553款应用在被移除后出现了跨市场迁移。最重要的是，研究表明，当用户切换设备并在从备份恢复时自动安装应用程序的时候，PHA 的平均停留时间要长得多。据悉，通过使用三星Smart Switch移动应用程序，已有多达1.4万个PHA转移到了 3.5万台新的三星设备上，这些应用程序在手机上的存在时间约为93天。学者表示：“Android 安全模型严重限制了移动安全产品在检测到恶意应用程序时可执行的操作，从而使 PHA在受害设备上持续存在很长时间，而当前的移动安全程序使用的警告系统也无法说服用户迅速卸载PHA。”

委内瑞拉心脏病专家被指控是 Thanos 勒索软件的幕后主使 当地时间5月16日，美国司法部指控了一名来自委内瑞拉的 55 岁医生是Thanos勒索软件的幕后策划者，并通过销售该勒索软件从中获取了大量利润。这位“幕后黑手”——现居委内瑞拉、拥有委内瑞拉和法国双重国籍的心脏病专家Moises Luis Zagala Gonzalez至少在两年前就创建了Thanos勒索软件。作为一项勒索软件即服务 (RaaS)，根据Recorded Future 在 2020 年 6 月的一项分析显示，Thanos具有 43 种不同的配置功能，并称其为第一个利用RIPlace技术绕过 Windows 10 中内置的勒索保护功能的勒索软件。从本质上讲，Thanos 是由私人研发，但Zagala的运营策略，允许购买者定制勒索软件，然后他们可以使用或将其出租给其他参与者，从而有效地扩大了攻击的范围。据信 ，Zagala 在暗网网络犯罪论坛上以每月 500 美元的“基本功能”或 800 美元的“完整功能”的价格销售该软件。同时Zagala 还为自己 RaaS 计划招兵买马，允许购买者支付“许可费”以在一段时间内使用恶意软件或加入“附属计划”，以换取勒索软件攻击的赎金分成。Zagala 接受法定货币和加密货币的付款。Zagala还和其他参与者创建了Jigsaw勒索软件 ，其中包括最臭名昭著的“世界末日”计数器功能，用于计算受害者试图消除勒索软件的操作次数。在他看来，如果用户试图消除勒索软件的次数过多，很明显是不会付钱的，所以最好的办法是擦除设备中的所有数据。今年5月左右，FBI曾短暂卧底Zagala的“附属计划”，虽被告知目前名额已满，但Zagala依然将勒索软件进行了授权，并提供了有关如何使用该软件和建立附属团队的教程。5月3日，FBI锁定了Zagala一个居住在美国佛罗里达州的亲戚的 PayPal 账户，该账户曾用于获得非法收益。同时此人也证实了Zagala的一些个人信息，包括他现居委内瑞拉，以自学的方式掌握了计算机编程。如果罪名成立，Zagala 将因企图入侵计算机而面临最高五年的监禁，并因共谋入侵计算机而面临五年监禁。转自 Freebuf，原文链接：https://www.freebuf.com/news/333454.html封面来源于网络，如有侵权请联系删除

苹果紧急更新修复入侵 Mac 和 Watch 的零日漏洞 近日，苹果发布了安全更新以解决一项新的零日漏洞，黑客可以利用该漏洞对Mac和Apple Watch设备发起攻击。5月16日发布的安全报告中，苹果方面透露，公司已经意识到这个安全漏洞“可能正被积极利用”。该漏洞是一项AppleAVD（音频和视频解码的内核扩展）中的越界写入问题，追踪代码为CVE-2022-22675，它允许应用程序以内核权限执行任意代码。该漏洞由匿名研究人员报告，随后苹果在macOS Big Sur 11.6、watchOS 8.6和 tvOS 15.5系统中对其修复并改进了边界检查。受该漏洞影响的设备包括Apple Watch Series 3及更新的机型、运行macOS Big Sur的Mac、Apple TV 4K、Apple TV 4K（第2代）和Apple TV HD等。虽然苹果公司披露了一些关于网络攻击的报告，但并没有发布任何关于这些攻击的额外信息。外界推测，苹果公司很可能是希望通过隐瞒信息进而在攻击者发现零日漏洞的细节并将它利用于其他攻击之前，让安全更新覆盖尽可能多的Macs和Apple Watch设备。虽然这个零日漏洞很可能只能被运用于针对性进攻，但苹果公司仍然强烈建议尽快安装macOS和watchOS的安全更新以阻止攻击企图。2022零日漏洞一览今年1月，苹果对另外两个被在野利用的零日漏洞进行了修补，一个漏洞使攻击者能够利用内核权限执行人任意代码（追踪编号为CVE-2022-22587），另一个漏洞使攻击者能够跟踪网页浏览活动和用户身份（追踪编号为CVE-2022-22594）。一个月后，苹果发布了一项新的安全更新，以修补另一个零日漏洞，漏洞的追踪编号为CVE-2022-22620，被用来攻击iPhone、iPad和Macs设备，导致操作系统崩溃，并在受损的苹果设备上远程执行代码。今年3月，英特尔图形驱动程序和AppleAVD解码器中也发现了两个活跃的零日漏洞，追踪编码分别为CVE-2022-22674和CVE-2022-22675，后者如今依旧活跃在旧版本macOS、watchOS 8.6和tvOS 15.5系统中。这5个零日漏洞会影响iPhone（iPhone 6s及以上）、运行macOS Monterey的Mac和多种iPad型号的设备。

加拿大空军关键供应商遭勒索攻击，疑泄露 44GB 内部数据 加拿大、德国军方的独家战机培训供应商Top Aces透露，已遭到LockBit勒索软件攻击；LockBit团伙的官方网站已经放出要求，如不支付赎金将公布窃取的44GB内部数据；安全专家称，针对国防相关企业的攻击令人担忧，因为“无从得知被盗数据最终会落入哪里”，很可能流入对手国家；LockBit是目前最流行的勒索软件即服务平台之一，据统计今年已攻击了至少650个目标组织。专门为空军提供战斗机培训服务的的加拿大公司Top Aces（顶级王牌）表示，已经遭到勒索软件攻击。该公司在周三（5月11日）的一份声明中证实，正在对攻击事件开展调查。Top Aces公司总部位于蒙特利尔，是“加拿大与德国武装部队的独家空中对抗演习供应商”，而它的名字已经出现在LockBit勒索软件团伙的泄密网站上。图：LockBit受害者页面截屏。Top Aces由一群前战斗机飞行员于2000年创立，号称拥有“全球规模最大的私营作战战斗机群”。除了与加拿大、德国、以色列等国合作之外，该公司还在2019年同美国空军签署了一份利润丰厚的合同。合同中明确提到，Top Aces负责提供用于防御俄罗斯武器的训练工具。安全厂商Emsisoft的威胁分析师Brett Callow指出，针对国防相关企业的攻击令人担忧，因为“无从得知被盗数据最终会落入哪里”。Callow表示，“即使当前攻击背后只是一群以营利为目的的恶意黑客，他们仍有可能将数据以出售或其他形式提供给第三方，包括对手国家政府。”“近年来，国防工业基础领域的企业已先后遭遇多次攻击，政府必须找出一种可行的供应链安全增强方法。”Callow还提到，此前洛克希德马丁公司的零部件供应商Visser Precision，为美国民兵III洲际导弹等核威慑武器提供支持的军事承包商Westtech International，都遭遇过网络攻击。LockBit勒索软件团伙给出的最后期限为5月15日，如果届时Top Aces仍未支付赎金，则泄露据称总计44 GB的失窃数据。LockBit已成为最活跃勒索软件之一LockBit是目前最为活跃的勒索软件团伙之一，仅在过去一年就发动了数百次攻击，并且愈发猖獗。据Recorded Future统计数据，2022年他们已经攻击了至少650个组织。该团伙最近又犯下了两起轰动一时的大案，分别是一家流行的德国图书馆服务、巴西里约热内卢财政系统。2021年8月，澳大利亚网络安全中心（ACSC）曾发布公告，警告称LockBit勒索软件攻击数量正在激增。该团伙自2019年9月起一直保持运营，但一直处于边缘位置，直到后来开发出LockBit 2.0勒索软件即服务的全新平台版本。随着Darkside、Avanddon、REvil等黑客团伙的消亡或退出，LockBit已经成为当下最为常见的勒索软件即服务平台之一。转自 安全内参，原文链接：https://www.secrss.com/articles/42385封面来源于网络，如有侵权请联系删除

游戏巨头暴雪再遭 DDoS 攻击，多款热门游戏掉线 美国东部时间 5月11日晚上7点11分，全球最大的游戏开发商和发行商动视暴雪在推特上表示，其战网服务正遭受DDoS攻击，“可能会导致某些玩家出现高延迟和连接中断的情况”。8:29分，在推文发出一个多小时后，该公司宣布恶意攻击已经结束。根据Downdetector的用户报告，玩家在《守望先锋》《魔兽世界》《使命召唤》和《暗黑破坏神III》等游戏中都遇到了问题。目前已有24,971份报告，其中报告最多的问题是服务器连接（63%），其次是登录（34%）和更新（3%）问题。此类事件时常发生，开发商很难为任何潜在的攻击做好充分的准备。动视暴雪所能做的就是尽快控制局势。去年11月遭受的DDoS攻击2021年11月，动视暴雪也遭到了来自外部的DDoS攻击，导致其服务器运行缓慢，玩家难以进入到游戏之中。期间尝试登录的玩家，也能够PC战网客户端上看到“突发新闻”相关条目。攻击发生后，在服务器检测网站DownDetector上，动视暴雪的许多服务和产品都发布了服务中断公告。有数千位玩家报告称排不上队，也有数百位玩家报告部分暴雪游戏掉线。经过调查发现，黑客选择了该公司旗下经过验证的客服推特账号作为突破口，发起持续大约一个小时的DDoS攻击。据悉，2021年11月的攻击事件是一个名为Poodle Corp的黑客组织所为，该组织在2021年8月也曾对战网发起过DDoS攻击。Poodle Corp通过Twitter表示，在暴雪刚发布《魔兽世界》的最新资料片时，就盯上了暴雪的服务器，将在转推数量超过2000之后停止对战网的攻击。Poodle Corp是LizardSquad黑客组织的分支，后者曾多次攻击过微软的Xbox平台、索尼的PS平台以及暴雪的战网（Battle.net）平台。Poodle Corp主要针对游戏服务器发起攻击，因为游戏是受到DDoS攻击影响最大的行业。相关数据显示，在2021年，有近一半的DDoS攻击是针对游戏行业发起的，即使是微软、索尼、暴雪等巨头公司，也无法避免遭到此类攻击。转自 E安全，原文链接：https://mp.weixin.qq.com/s/tuq3YrnhLxmJm9UQSiB8dw封面来源于网络，如有侵权请联系删除

商业电子邮件攻击 5 年间涉及 430 亿美元 联邦调查局日前发出警告声称，在2016年6月到2021年12月期间，商业电子邮件妥协（BEC）攻击案件所涉的金额为430亿美元。根据联邦调查局的报告，该机构的互联网犯罪中心（IC3）一共收到了241,206起投诉。BEC或电子邮件帐户妥协（EAC）是一种先进的诈骗技术，不仅针对企业员工，也针对他们为之工作的企业。而诈骗的手段则包括社交工程，作为破坏合法企业或个人电子邮件帐户或进行未经授权的资金转移的手段。联邦调查局还警告说，该骗局的另一个流行变体包括收集个人身份信息（PII），以实施额外的欺诈行为，比如与税收有关的诈骗和违反加密货币钱包。BEC/EAC诈骗统计据IC3称，美国所有50个州和177个国家都报告了存在BEC的诈骗受害者。此外，140个国家收到了欺诈性转账信息。IC3显示，位于泰国和香港的银行是欺诈资金的主要目的地，其次就是中国、墨西哥和新加坡。在IC3的公共服务公告中，与非美国受害者相比，美国受害者的损失就要大得多。在2013年10月至2021年12月期间，共有116401名美国受害者报告总损失1480亿美元，而同期，5260名非美国公民报告损失为12.7亿美元。联邦调查局认为，2019年7月至2021年12月期间，BEC诈骗激增65%的原因部分可能归因为疫情造成的。因为疫情对于正常的商业线下活动施加了限制，使得大部分的商业活动都转向了虚拟模式。据IC3报告称：在2019年7月至2021年12月期间，已确定的全球暴露损失增加了65%，而美元损失意味着上述损失包括以美元计算的实际和未遂损失。IC3补充说：“这一增长部分归因于新冠肺炎大流行期间对正常商业行为的限制，这导致更多的工作场所和个人以虚拟方式开展日常业务。”与加密货币相关的BEC欺诈IC3在公共服务公告中提到，他们收到了越来越多的BEC涉及加密货币的投诉。加密货币是一种使用加密算法保护金融交易的虚拟资产，现已在2021年11月具有了3万亿美元的市值。因此对与加密货币相关的匿名客户进行攻击在非法威胁行为者中很受欢迎，并致使他们积极地进行与加密相关的欺诈。IC3报告了涉及加密货币的BEC骗局的两种不同变体。第一个是直接转移到加密货币交易所（CE），这与传统的BEC欺诈类似。另一个涉及加密货币交易所的所谓“第二跳”。在第二跳传输中，受害者受到欺诈，向威胁行为者提供许可证或护照等识别信息，攻击者使用这些信息以受害者的名义打开加密货币钱包。一般来说，威胁行为者使用其他支持网络的骗局（敲诈勒索、技术支持和浪漫诈骗）来诱骗受害者。据IC3称，加密货币的使用者定期向他们报告，但直到2018年才被确定为“特定于BEC”的犯罪。2019年，报告有所增加，到2020年，IC3收到了加密货币损失1000万美元的报告。2021年，加密货币相关损失飙升至4000万美元。意见和建议使用双重认证来验证更改帐户信息的请求。确保电子邮件中的URL与其声称来自的业务/个人相关联。警惕可能包含实际域名拼写错误的超链接。避免通过电子邮件提供凭证或任何其他个人身份信息 (PII)。通过确保发件人的地址看起来与发件人地址一致，验证用于发送电子邮件的电子邮件地址，特别是在使用移动或手持设备时。确保启用员工电脑中的设置，以便查看完整的电子邮件扩展。定期监控财务账户的违规行为。 转自 嘶吼，原文链接：https://www.4hou.com/posts/EWDK封面来源于网络，如有侵权请联系删除

惠普推送 BIOS 更新 解决影响 200 多个计算机型号的高危漏洞 你是否拥有一台惠普笔记本电脑、台式机或PoS PC？那么你可能需要确保其BIOS是最新的。该公司刚刚为200多个设备型号发布了更新，修复了UEFI固件中的两个高严重级别漏洞。据Bleeping Computer报道，惠普已经就潜在的安全漏洞发出警告，这些漏洞可能允许以内核权限执行任意代码，这将使黑客能够进入设备的BIOS并植入恶意软件，而这些恶意软件无法通过传统的杀毒软件或重新安装操作系统来清除。这两个漏洞–CVE-2021-3808和CVE-2021-3809–的CVSS 3.1基本得分都是8.8分的高严重程度。惠普公司没有透露关于这些漏洞的任何技术细节。这一点留给了安全研究员尼古拉斯-斯塔克，他发现了这些漏洞。斯塔克写道：”这个漏洞可能允许攻击者以内核级权限（CPL==0）执行，将权限提升到系统管理模式（SMM）。在SMM模式下执行操作，攻击者就可以获得对主机的全部权限，从而进一步实施攻击。”Starke补充说，在一些惠普机型中，有一些缓解措施需要被绕过才能使漏洞发挥作用，包括惠普的Sure Start系统，该系统可以检测到固件运行时间被篡改的情况。受该漏洞影响的设备相当广泛，包括商务笔记本电脑，如Elite Dragonfly、EliteBooks和ProBooks；商务台式电脑，包括EliteDesk和EliteOne；零售点专用电脑，如Engage；台式工作站电脑（Z1、Z2系列）；还有四个瘦客户端电脑。

大规模黑客活动破坏了数千个 WordPress 网站 Sucuri的网络安全研究人员发现了一场大规模的活动，该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容，从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容，即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站，以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中，包括合法的核心WordPress文件，例如：./wp-includes/js/jquery/jquery.min.js./wp-includes/js/jquery/jquery-migrate.min.js “根据Sucuri的分析，一旦网站遭到入侵，攻击者就试图自动感染名称中包含jQuery的任何js文件。他们注入了以“/* trackmyposs*/eval(String.fromCharCode…”开头的代码…… ”在某些攻击中，用户被重定向到包含CAPTCHA 检查的登录页面。点击假验证码后，即使网站未打开，他们也会被迫接收垃圾广告，这些广告看起来像是从操作系统生成的，而不是从浏览器生成的。据Sucuri称，至少有322个网站因这波新的攻击而受到影响，它们将访问者重定向到恶意网站drakefollow[.]com。“他表示：“我们的团队发现从2022年5月9日开始，这一针对WordPress网站的大规模活动收到了大量用户投诉，在撰写本文时该活动已经影响了数百个网站。目前已经发现攻击者正在针对WordPress插件和主题中的多个漏洞来破坏网站并注入他们的恶意脚本。我们预计，一旦现有域名被列入黑名单，黑客将继续为正在进行的活动注册新域名。”对此，Sucuri也表示网站管理员可以使用他们免费的远程网站扫描仪检查网站是否已被入侵。转自 FreeBuf，原文链接：https://www.freebuf.com/articles/333044.html封面来源于网络，如有侵权请联系删除

被 Conti 攻击后，哥斯达黎加宣布进入紧急状态 在多个政府机构遭到Conti勒索组织的网络攻击后，哥斯达黎加总统罗德里戈·查韦斯（Rodrigo Chaves）宣布全国进入紧急状态。该国上一次宣布进入紧急状态，还是在2020年应对新冠肺炎肆虐的时候。据国外媒体报道，Conti勒索组织已经发布了所窃取的672 GB数据中的绝大部分内容，其中有很多都来自于哥斯达黎加各个政府机构。基于勒索攻击带来的严重影响，2022年5月8日，哥斯达黎加查韦斯签署了该命令，也正是这一天，查韦斯刚刚当选为第49任总统。查韦斯表示，“哥斯达黎加遭受网络犯罪分子、网络恐怖分子的攻击，被迫宣布国家紧急状态。我们正在签署这项法令，宣布整个公共部门进入国家紧急状态。国家授权我们的社会将这些攻击作为犯罪行为来应对。”哥斯达黎加社会保障基金 (CCSS) 发言人此前也表示，正在加大力度对Conti勒索软件的进行边界安全审查，防止CSS机构因此遭受勒索攻击。截至5月9日，Conti勒索组织已经在其网站上泄露了97%的数据，其中有大量从哥斯达黎加政府机构窃取的数据：在本次勒索攻击中，最先遭受Conti勒索组织攻击的机构是财政部，截止到目前尚未完整评估出此次事件的影响范围，以及纳税人信息、支付信息和海关系统的影响程度。早些时候，Conti勒索组织曾向哥斯达黎加索要1000万美元赎金，但是被政府拒绝了。受到Conti勒索组织攻击影响的部门包括：财政部科学、创新、技术与电信部劳动与社会保障部社会发展与家庭津贴基金国家气象研究所哥斯达黎加社会保障基金阿拉胡埃拉市各大学主校目前有安全专家已经对一小部分泄露数据进行初步分析，结果显示源代码和SQL数据库确实来自政府网站。Conti攻击者“UNC1756”及其附属机构并未将此网络攻击归咎于民族国家黑客，而是单独声称对此负责并威胁要在未来进行“更严重的”攻击。事实上，自4月18日以来，哥斯达黎加的政府程序、签名和邮票系统就已经被破坏，财政部的数字服务一直无法使用，这影响了整个“生产部门”。查韦斯总统补充说：“我们签署了该法令，以便更好地保护自己，免受勒索组织攻击带来的伤害，这也是以此对国土的攻击。”很难想象，一个国家会因为一个勒索组织的攻击就宣布进入紧急状态，同时也从侧面反映出Conti勒索组织是多么的丧心病狂，竟然敢公然挑衅政府部门，并对整个国家都造成了严重的影响。目前，勒索攻击已经成为全球的威胁，无数国家和经济都有可能因此遭受巨大损失。对于Conti勒索组织的猖獗，美国也发布了高达1500万美元的巨额奖金，奖励那些提供关于Conti勒索组织领导层和运营商关键信息的人。其中，1000万美元奖励给提供Conti勒索组织的攻击者身份和位置信息的人，另外500万美元则奖励给帮助警方逮捕的个人。公开信息显示，Conti勒索组织发布了勒索即服务，与讲俄语的 Wizard Spider 网络犯罪组织（也以其他臭名昭著的恶意软件，包括 Ryuk、TrickBot 和 BazarLoader 等）存在关联性。这已经不是该组织第一次入侵政府部门，此前他们还曾入侵爱尔兰卫生部 (DoH)，并索要2000万美元的赎金。2021年5月，FBI发出警告，Conti勒索组织正试图破坏美国十几个医疗保健和急救组织。2021年8月，Conti勒索组织内部人员反水，泄露了其核心的培训材料、运营商的信息、部署各种恶意工具的手册等。但是经过几个月的时间，Conti勒索组织勒似乎并未因此元气大伤，而是继续发起各种网络攻击。随着全球勒索攻击形势进一步加剧，我们也应该思考，如何建设好网络防护体系，并做好遭受勒索攻击之后的应急响应措施，以免因此而蒙受损失。  转自Freebuf，原文链接：https://www.freebuf.com/news/332661.html封面来源于网络，如有侵权请联系删除

CERT-UA 警告恶意垃圾邮件传播 Jester 信息窃取程序 近期，乌克兰计算机应急响应小组(CERT-UA)检测到某恶意垃圾邮件活动，该活动旨在传播名为Jester Stealer的信息窃取程序。据调查，乌克兰CERT发现的该恶意邮件主题为“化学攻击”，邮件中包含一个带有恶意链接的Microsoft Excel文件。当用户打开该Office文档并激活嵌入的宏后，整个感染过程就开始了。经过政府专家的调查，发现该恶意可执行文件是从受感染的网络资源中下载的。对此，乌克兰计算机应急响应小组及时发布了相应的公告，公告中称：政府应对乌克兰计算机紧急情况的团队CERT-UA披露了有关“化学攻击”主题的大量电子邮件以及指向带有宏的 XLS文档的链接的恶意活动。如果你打开文档并激活宏，下载并运行该EXE文件，这将激活恶意程序JesterStealer并对您的计算机造成一定伤害。据研究，JesterStealer能够从Internet浏览器、MAIL/FTP/VPN 客户端、加密货币钱包、密码管理器、邮件、游戏程序等窃取凭据和身份验证令牌。该信息窃取恶意软件实现了反分析功能（反虚拟机/调试/沙盒），但它没有实现任何持久性机制。威胁参与者使用静态配置的代理地址通过 Telegram 泄露数据。从发布的公告中得知，通过静态定义的代理地址（包括在 TOR 网络中）窃取的数据在 Telegram 中传输给攻击者。 转自Freebuf，原文链接：https://www.freebuf.com/news/332628.html封面来源于网络，如有侵权请联系删除

Red Canary 警告 Raspberry Robin 恶意软件会通过 USB 驱动器实现传播 Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件，可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月，网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来，Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。（来自：Red Canary 官网）除了潜藏旗下的恶意软件性质，我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。攻击流程图当用户将受感染的 USB 驱动器连接到他们的计算机时，Raspberry Robin 就会在暗地里开启传播。利用 ROT13.lnk 文件来修改注册表该蠕虫会将自己伪装成 .lnk 快捷方式文件，然后调用 Windows 命令提示符（cmd.exe）来启动恶意软件。Raspberry Robin 的 cmd.exe 命令接着它会利用微软标准安装程序（MSIexec.exe）连接到远程的命令与控制（C2）服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。引用设备名称的混合大小写命令Red Canary 推测，Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库（DLL）文件，以维持长期潜伏状态。Raspberry Robin 的恶意 msiexec.exe 命令然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器（fodhelper）旨在绕过用户账户控制（UAC），而 ODBC 驱动程序配置工具（odbcconf）则用于执行与配置 DLL 。恶意 rundll32.exe 命令不过安全研究人员承认这只是一个可行的假设，当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。转自cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1267401.htm封面来源于网络，如有侵权请联系删除

Google Play 中止俄罗斯用户付费应用程序下载更新 Bleeping Computer 网站披露，谷歌将禁止俄罗斯用户和开发者从 Google Play 商店下载或更新付费应用程序。Google 在其网站更新中声明：作为“合规”的一部分，2022 年 5 月 5 日起，Google Play 禁止俄罗斯用户或开发者下载付费应用程序和更新付费应用程序。据悉，俄罗斯用户和开发者目前仍然可以发布和更新免费应用程序，但所有付费应用程序的更新已经被自动阻止。鉴于不能继续订阅付费应用程序，谷歌建议用户可以授予订阅计费宽限期和免费试用期，这一做法将适用于“订阅计费宽限期和任何免费试用期”。另外，用户也可以将续订延期长达一年，此举允许用户在延期期间能够继续免费访问内容。如果用户愿意，同样可以选择免费提供应用程序，或者暂时删除付费订阅。战争爆发后，俄罗斯禁止多款应用在境内运行俄乌战争爆发后，谷歌开始制裁俄罗斯，3 月 10 日，首次暂停了其在俄罗斯的 Google Play 计费系统，以阻止俄罗斯用户购买应用程序和游戏，支付订阅或购买任何应用。3 月 23 日，俄罗斯以谷歌提供有关乌克兰持续战争不可靠信息为由，禁止了 Alphabet 的新闻聚合服务 Google News 在该国运行，并阻止境内对 news.google.com 的访问。除此之外，俄罗斯电信监管机构 Roskomnadzor 还要求 Google 停止在YouTube 视频中，传播有关俄罗斯与乌克兰战争“错误信息”的广告活动。作为回应，Google 封锁了俄罗斯国营媒体今日俄罗斯（RT）和卫星通讯社面向欧洲的 YouTube 频道。值得一提的是，3 月初，根据总检察长办公室的要求，俄罗斯封锁了 Facebook 和 Twitter 社交网络，一周后，又禁止了Instagram。转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332518.html封面来源于网络，如有侵权请联系删除

注意，NIST 更新了网络安全供应链风险指南 近日，美国国家标准与技术研究所（NIST）再次更新了《网络安全供应链风险管理》（C-SCRM）指南，提供了与供应链攻击相关的趋势和最佳实践，指导企业有效管理软件供应链风险，以及在遭受供应链攻击时该如何进行应急响应。网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期：包括硬件、软件和信息保障，以及传统的供应链管理和供应链安全实践。目前，NIST发布了“系统和组织网络安全供应链风险管理实践”，以此响应“改善国家网络安全”的美国第14028号行政命令。系统和组织网络安全供应链风险管理实践明确指出，本刊物的目的是为企业提供有关如何识别、评估、选择和实施风险管理流程以及减轻企业控制措施的指导，以帮助管理整个供应链的网络安全风险。”修订后的指南主要针对产品、软件和服务的收购方和最终用户，并为不同的受众提供建议：网络安全专家、负责企业风险管理人员、采购人员、信息安全/网络安全/隐私、系统开发/工程/实施的领导和人员等。NIST 的Jon Boyens表示，管理供应链的网络安全是一项一直存在的需求，当供应链遭到勒索软件攻击时，制造商可能因缺乏重要组件而停摆，连锁商店也可能只是因为维护其空调系统的公司得以访问其共享资料而爆发资料外泄事件，该指南的主要读者群将是产品、软件及服务的采购商与终端用户，倘若政府机关或组织尚未着手管理供应链的风险问题，那么这就是一个从零到有的完整工具。NIST的专家们进一步强调了现代产品和服务供应链安全的重要性。毕竟，一种设备可能是在一个国家/地区设计的，但是它的组件可能在全球多个国家/地区制造，只要生产这些组件的公司其中一个出现安全事件，那么就有可能会对整个供应链的产品和服务产生重大影响，大大增加了全球组织的攻击面和受影响的连锁性。例如制造商可能会因为其中一个供应商受到勒索软件攻击，而导致关键制造组件的供应中断，或者零售连锁店可能会因为维护其空调系统的公司可以访问商店的数据共享网站而遭遇数据泄露事件。转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332505.html封面来源于网络，如有侵权请联系删除

乌克兰 IT 军团和匿名者组织，持续攻击俄罗斯实体 俄乌战争爆发以来，匿名者组织就盯上了俄罗斯，一直对其实体组织进行大规模网络攻击。近日，Security Affairs 网站披露，匿名者黑客组织伙同乌克兰 IT 军继续对俄罗斯实体发起网络攻击。俄乌战争爆发以来，匿名者黑客组织一直站在乌克兰阵营上，破坏了大量俄罗斯政府和企业实体的网络系统。本周，该组织声称“干掉”了多家俄罗斯实体，并通过 DDoSecrets 平台泄露窃取的数据。遭受入侵的企业名单包括：CorpMSP：一家为中小型企业提供支持的联邦机构，背后控股股东是俄罗斯联邦。根据黑客组织 NB65  的说法，CorpMSP 是一家从事数字间谍的空壳公司，长期支持俄罗斯国防部的行动。另外，NB65 组织表示，与匿名者组织有关的团体泄露了一个 482.5GB 的档案，其中包括 75000个 CorpMSP 的文件、电子邮件和磁盘图像。LLC Capital：一家与 SAFMAR 集团合作的会计师事务所。匿名者黑客组织泄露一个20.4GB 档案，其中包含 LLC Capital 的 31990 封电子邮件。网络攻击一直在持续值得一提的是，匿名者黑客组织不仅对俄罗斯实体发起网络攻击，还向俄罗斯民众发送了超过 1 亿条信息，以瓦解莫斯科的宣传。本周，乌克兰 IT 军对俄罗斯自动化酒精核算信息系统（EGAIS）门户网站，进行了一系列大规模 DDoS 攻击。EGAIS 系统对俄罗斯的酒精分销至关重要， 此次攻击严重影响了其正常运行。受到此次网络攻击的影响，工厂暂时无法接受装有酒精的罐子，客户（包括商店和经销商）也无法收到已经交付的成品，许多工厂完全停止向仓库发货，并削减了生产速度。另外，Crowdstrike 研究人员表示，亲乌黑客组织正在使用 Docker 图像对俄罗斯政府、军队和媒体机构在内的十几个网站发动分布式拒绝服务（DDoS）攻击。值得注意的是，DDoS 攻击还针对了立陶宛三个媒体网站，攻击者试图通过暴露的 API，利用配置错误的 Docker 安装，滥用其计算机资源。转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332348.html封面来源于网络，如有侵权请联系删除

宜家加拿大分公司通报数据泄露事件 影响约 95000 名客户 当地时间5月6日，宜家（IKEA）加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家（IKEA）加拿大公司在致受影响客户的一封信中表示，可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。宜家加拿大公司已通知加拿大隐私专员，因为有95000名加拿大顾客的个人信息出现在数据泄露事件中。这家来自瑞典的家具零售商说，它被告知一些顾客的个人信息泄露风险出现在”2022年3月1日至3月3日期间，宜家加拿大公司的一名同事进行的普通搜索”的结果中。“该同事利用宜家加拿大公司的客户数据库获取了这些个人信息。我们可以确认，没有财务或银行信息被获取，”宜家加拿大公司在一份电子邮件声明中说，并补充说，”我们已经采取行动补救这种情况，包括采取措施防止数据被使用、储存或与任何第三方共享。”该公司表示，它已经向加拿大隐私专员办公室通报了这一漏洞，并已采取措施通知受影响的客户。宜家加拿大公司还表示，它已经审查了内部程序，试图防止今后发生类似事件。顾客不必采取行动，但对个人信息保持警惕并注意可疑活动始终是有必要的。该公司说：”重要的是要知道，宜家永远不会主动向你索要信用卡信息，我们建议向当地政府报告任何可疑的活动。顾客如有疑问或属于该漏洞的一部分，可致电1-800-661-9807或privacy@ikeaservice.ca，联系宜家加拿大公司。”转自cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1266321.htm封面来源于网络，如有侵权请联系删除