欧盟提议建立统一的网络防御战线； APT 组织针对敏感区域的自定义 CS 后门； 英国网购消费

有几条安全信息无法描述，所以不做评论。 以下是今天的重要安全新闻列表：

安全策略相关：

APT事件：

一般威胁事件

欲了解更多信息，请阅读以下新闻简报：

安全政策

欧盟提议统一网络防御战线

欧盟委员会提出了一项新的网络安全政策，以确保成员国能够协调其数字防御。

欧盟网络防御政策呼吁成员国“以协调一致的方式大幅增加对现代军事网络防御能力的投资”，并强调加强欧盟与北约“重要伙伴关系”的重要性。

拟议的政策旨在加强成员国之间在国家和军事层面的协调，并确保整个欧洲的网络防御安全。 它们将由成员国与委员会和理事会合作实施一系列举措，包括为军事计算机应急响应小组 (milCERT) 和欧盟网络防御演习建立运营网络。

9 月，欧盟委员会针对从智能手机到冰箱的联网产品引入了新的安全标准，以应对网络攻击带来的日益严重的威胁。 在周四发布的一份联合通讯中，他们指出，“即使是非关键软件组件也可用于执行网络攻击。”

周四上午在布鲁塞尔举行的新闻发布会上还讨论了进攻性网络能力。 “你必须能够先发制人，你必须能够计划，你必须能够保护自己，保护自己，但你也有进攻的天赋，”法国内部市场专员蒂埃里布雷顿告诉记者。

法国在历史上一直是欧洲军队理念的坚定支持者。 根据现有的欧盟条约，国防和安全问题仍然是每个成员国的主权问题。

虽然该文件的措辞并未明确提及此类进攻行动，但确实呼吁“积极防御”。

欧盟需要为自身安全承担更多责任。 这需要现代化且可互操作的欧洲武装部队。 因此，成员国必须紧急并优先承诺增加对全频谱网络防御能力的投资，包括主动防御能力。 在完全遵守网络空间国际法和规范的同时，欧盟应表明其愿意以协调的方式使用这些能力来保护成员国免受网络攻击。

参考：

FBI 在调查中部署 Pegasus 间谍软件

《泰晤士报》报道称，FBI 官员在 2020 年底和 2021 年上半年“大力推动”在他们自己的刑事调查中使用黑客软件。

根据发送给纽约时报的经过大量编辑的文件，机构官员正处于计划向 FBI 负责人介绍间谍软件的“高级”阶段，并为联邦检察官提供了有关如何使用 Pegasus 的书面指南。

Pegasus 已被世界各地的各种政府行为者用来渗透目标的手机。 渗透者可以获得消息、电子邮件和联系人的访问权限，并能够远程打开设备的摄像头和麦克风。 它受到了人权组织的猛烈抨击。

由于其零点击黑客功能，被黑客入侵的用户无需单击链接、阅读消息或接听电话，他们的设备就会被渗透。

众所周知，FBI 获取监视工具已有一段时间了，但该机构直到现在仍坚持认为它只对用于研发目的的软件感兴趣。

NSO Group 已被美国列入黑名单，而欧盟数据保护监管机构 (EDPS) 已呼吁欧盟禁止该软件。 荷兰环境保护部上周将 Pegasus 标记为“对民主的严重威胁”，并且 Pegasus 已被用来对付世界各地的记者、活动家和政府批评者。 “

据彭博社报道，在激烈的争议中，这家以色列公司裁员了 15%，并将价格提高了约 20%欧盟支持比特币吗，以应对今年数千万美元的现金损失。

参考：

高级威胁 (APT) 事件

新的 SandStrike 间谍软件针对 Android 用户

2022 年第三季度，卡巴斯基调查人员发现了一个以前不为人知的 Android 间谍活动，名为 SandStrike。 攻击者通过分发包含高度复杂的间谍软件的 VPN 应用程序，以讲波斯语的 Baha'i 宗教少数群体为目标。

卡巴斯基专家还发现了 DeathNote 集群的高级升级，并与 SentinelOne 一起调查了前所未见的 Metatron。 卡巴斯基最新的季度威胁报告揭示了这一点和其他发现。

为了引诱受害者下载间谍软件，攻击者创建了拥有 1000 多名粉丝的 Facebook 和 Instagram 帐户，并设计了宗教主题的图片材料，为信徒制造了一个有效的陷阱。 这些社交媒体帐户中的大多数都包含指向同样由攻击者创建的 Telegram 频道的链接。

在该频道上，SandStrike 的负责人发布了一个看似无害的 VPN 应用程序，用于访问某些地区被禁止的网站，例如与宗教相关的材料。 为了使这个应用程序功能齐全，开发人员还创建了自己的 VPN 基础设施。

然而，VPN 客户端包含功能齐全的间谍软件，其功能允许攻击者收集和窃取敏感数据，包括通话记录、联系人列表，并跟踪目标个人的任何其他活动。

参考：

新的“地球龙之”APT组织了针对敏感区域的定制CS后门

至少自 2020 年以来，位于东亚和东南亚以及乌克兰的实体一直是 APT41（一个多产的高级持续威胁组织）的先前未记录的目标。

网络安全公司 Trend Micro 将间谍团队命名为 Earth Longzhi，该组织表示，根据其部署的攻击受害者的工具集，该组织的长期活动可分为两部分。

2020 年 5 月至 2021 年 2 月的第一波攻击针对敏感的东亚地区的基础设施、医疗保健行业和银行业，而 2021 年 8 月至 2022 年 6 月的一系列入侵渗透到乌克兰和几个亚洲国家。 敏感区域。

趋势科技补充说，目标域与 APT41（又名 Winnti）的独特姊妹组织 Earth Baku 发起的攻击重叠。

Earth Baku 的一些恶意网络活动与其他网络安全公司 ESET 和赛门铁克分别以 SparklingGoblin 和 Grayfly 为幌子赞助的团体有关。

Earth Longzhi 为 APT41 攻击拼图添加了另一块，该组织还共享了一个指向名为 GroupCC（又名 APT17、Aurora Panda 或 Bronze Keystone）的第三个子组的链接。

该黑客组织精心策划的攻击利用鱼叉式网络钓鱼电子邮件作为初始入口向量。 网络钓鱼电子邮件嵌入了受密码保护的存档或指向托管在 Google Drive 上的文件的链接，这些文件在打开时会启动一个名为 CroxLoader 的 Cobalt Strike 加载器。

在某些情况下，该组织被观察到将公开暴露的应用程序中的远程代码执行缺陷武器化，以提供一个能够删除称为 Symatic 的下一阶段加载程序的 webshel​​l，该加载程序旨在部署 Cobalt Strike。

作为其后期开发活动的一部分，还有一个“一体化工具”，它将几个公开可用的和自定义的功能组合在一个包中，据信自 2014 年 9 月以来就已经可用。

Earth Longzhi 发起的第二系列攻击遵循了类似的模式，主要区别在于使用了不同的 Cobalt Strike 加载器，名为 CroxLoader、BigpipeLoader 和 OutLoader，在受感染主机上投放红队框架。

最近的攻击进一步强调了使用自定义工具可以禁用安全软件欧盟支持比特币吗，使用修改版本的 Mimikatz 来转储凭据，并利用 Windows Print Spooler 组件（称为 PrintNightmare）中的缺陷来提升权限。

此外，已安装的安全解决方案通过一种称为自带漏洞驱动程序 (BYOVD) 的方法被禁用，该方法需要利用 RTCore64.sys 驱动程序中的一个已知缺陷 (CVE-2019-16098)。

这是使用 ProcBurner 执行的，ProcBurner 是一种用于杀死特定正在运行的进程的工具，另一种名为 AVBurner 的自定义恶意软件用于通过删除进程创建回调来注销端点检测和响应 (EDR)。 ) 系统安全研究员在 2020 年 8 月以笔名 brsn 详细介绍了该机制。

值得注意的是，一个过时版本的 RTCore64.sys 驱动程序仍然具有有效的数字签名，并且在过去几个月中已被 BlackByte 和 OldGremlin 等多个攻击组织使用。

参考：

Worok 黑客滥用 Dropbox API 通过隐藏在图像中的后门窃取数据

一个名为 Worok 的网络间谍组织被发现将恶意软件隐藏在看似无害的图像文件中，证实了攻击者感染链中的一个关键环节。

据捷克网络安全公司 Avast 称，PNG 文件的目的是隐藏用于促进信息窃取的有效负载。 攻击者使用 Dropbox 存储库从受害机器收集数据，攻击者使用 Dropbox API 与最后阶段进行通信。 Worok 与被追踪为 TA428 的攻击者存在战术重叠。

这家斯洛伐克网络安全公司还记录了 Worok 入侵的时间线，利用名为 CLRLoad 的基于 C++ 的加载程序为嵌入 PNG 图像的未知 PowerShell 脚本铺平了道路，这种技术被称为隐写术。

尽管一些入侵需要使用 Microsoft Exchange Server 中的 ProxyShell 漏洞来部署恶意软件，但初始攻击媒介仍然未知。

Avast 的调查结果表明，该团伙在获得执行 CLRLoad 恶意软件的初始访问权限时使用了 DLL 旁加载，但在跨受感染环境执行横向移动之前没有使用。

PNGLoad 由 CLRLoad（或称为 PowHeartBeat 的另一个第一阶段）启动，据说有两个变体，每个变体负责解码图像中的恶意代码以启动 PowerShell 脚本或基于 .NET C# 的有效负载。

PowerShell 脚本一直难以捉摸，尽管这家网络安全公司指出，它能够标记一些属于第二类的 PNG 文件，这些文件分发以隐写方式嵌入的 C# 恶意软件。

代号为 DropboxControl 的新恶意软件是一种信息窃取植入程序，它使用 Dropbox 帐户进行命令和控制，允许攻击者将文件上传和下载到特定文件夹，以及在特定文件中运行命令。

一些值得注意的命令包括执行任意可执行文件、下载和上传数据、删除和重命名文件、捕获文件信息、嗅探网络通信和泄露系统元数据的能力。

Avast 表示，柬埔寨、越南和墨西哥的公司和政府机构是受 DropboxControl 影响的几个主要目标，并补充说恶意软件的作者可能与 CLRLoad 和 PNGLoad 背后的作者不同，而且这些代码的质量有效载荷明显不同。

部署第三阶段植入物作为收集感兴趣文件的工具清楚地表明了 Worok 的情报收集目标，因此 Worok 工具在野外的低流行率表明该工具集是一个重点关注亚洲、非洲的 APT 项目以及北美私营和公共部门的知名实体。

参考：

分析师警告说，没有任何一道防线可以阻止 Cobalt Strike 恶意软件

在对野外 Cobalt Strike 实例的最新研究中，帕洛阿尔托威胁情报部门 Unit 42 警告潜在目标，他们必须采用多层防御来抵御使用恶意软件的网络攻击。

第 42 单元使用数字探测和指纹识别来跟踪 Cobalt Strike，它已经监视了几个月。 研究人员表示，单一的现代网络安全设备不足以完全覆盖像 Cobalt Strike 这样复杂的恶意工具。

只有包括防火墙、沙箱、端点代理和基于云的机器学习在内的安全解决方案组合才能集成所需的数据，以防止高级对手从端到端发动成功的网络攻击。

参考：

一般威胁事件

黑客出售 720 万条用户记录后，Whoosh 确认数​​据泄露

在黑客开始在黑客论坛上出售包含 720 万客户详细信息的数据库后，俄罗斯踏板车共享服务 Whoosh 确认发生数据泄露。

Whoosh 是俄罗斯领先的城市出行服务平台，在 40 个城市运营，拥有超过 75,000 辆电动滑板车。

周五，一名攻击者开始在黑客论坛上出售被盗数据，据称该论坛包含可用于免费访问该服务的促销代码，以及一些用户身份和支付卡数据。

该公司本月早些时候通过俄罗斯媒体的一份声明证实了网络攻击，但声称其 IT 专家已成功阻止了这次攻击。

在今天与 RIA Novosti 分享的一份新声明中，Whoosh 承认数据泄露并告知其用户群，他们正在与执法当局合作，采取一切措施阻止数据被分发。

周五，“Breached”黑客论坛上的一位用户发布了一个数据库，其中包含大约 720 万 Whoosh 客户的详细信息，包括电子邮件地址、电话号码和姓名。

在违规论坛 (BleepingComputer) 上出售 Woosh 数据

该数据库还包含 1,900,000 名用户子集的部分支付卡详细信息。 卖家还声称，被盗数据包括 3,000,000 个促销代码，人们可以使用这些代码免费租用 Whoosh 滑板车。

卖家表示，他们以每人 4,200 美元或 0.21490980 比特币的价格将数据卖给了五位买家，根据用于交易的 SatoshiDisk 平台，目前还没有人购买该数据库。

在 Telegram 上单独出售的数据中，攻击者声称它是在 2022 年 11 月对 Whoosh 的攻击中被盗的。

根据俄罗斯互联网监管机构 Roskomnadzor 于 2022 年 8 月发布的一份报告，自今年年初以来，已确认俄罗斯公司发生了 40 起数据泄露事件。

2022 年 9 月，Group-IB 发布了一份报告，声称仅今年夏天就发现了 140 起俄罗斯公司的数据库销售被盗事件，使暴露的记录总数达到 3.04 亿条。

就今年的影响而言，最显着的违规行为是外卖应用 Yandex Food 的违规行为，该违规行为导致多项辅助数据被泄露。

参考：

新的 KmsdBot 恶意软件劫持系统以挖掘加密货币并发起 DDoS 攻击

一种新发现的规避型恶意软件利用 Secure Shell ( SSH ) 加密协议来访问目标系统，目的是挖掘加密货币并执行分布式拒绝服务 (DDoS) 攻击。

这种基于 Golang 的恶意软件被 Akamai 的安全情报响应团队 (SIRT) 命名为 KmsdBot，已被发现针对各种公司，从游戏到豪华汽车品牌再到安全公司。

僵尸网络使用弱登录凭据通过 SSH 连接感染系统。 作为一种逃避检测的方法，恶意软件不会在受感染的系统上持续存在。

该恶意软件的名称来自名为“kmsd.exe”的可执行文件，该文件是在成功入侵后从远程服务器下载的。 它还旨在支持多种架构，例如 Winx86、Arm64、mips64 和 x86_64。

KmsdBot 能够执行扫描操作并通过下载用户名和密码组合列表进行自我传播。 它还可以控制挖矿过程并更新恶意软件。

Akamai 表示，第一个观察到的恶意软件目标是一家名为 FiveM 的游戏公司，这是 Grand Theft Auto V 的多人游戏模式，允许玩家访问自定义角色扮演服务器。

Web 基础设施公司观察到的 DDoS 攻击包括第 4 层和第 7 层攻击，其​​中发送大量 TCP、UDP 或 HTTP GET 请求以淹没目标服务器的资源并阻碍其处理和响应的能力。

根据卡巴斯基的遥测数据，这一发现正值易受攻击的软件越来越多地用于部署加密货币矿工，该数据从 2022 年第一季度的 12% 跃升至第四高。 第三季度为 17%。 将近一半 (48%) 的矿工恶意软件样本秘密地分析了我的 Monero (XMR)。

参考：

去年冬天，英国在线购物者因诈骗损失超过 1500 万英镑

数据显示，在去年繁忙的圣诞节购物期间，英国网上购物者平均每人损失 1,000 英镑，这促使专家在接下来的三个月内更加谨慎。

在 2021 年 11 月至 2022 年 1 月期间，他们总共损失了 1530 万英镑，而年轻的购物者更有可能成为受害者。 将近一半 (47%) 的受骗者年龄在 19 至 25 岁之间。

这些数据揭示了对当前欺诈趋势的一些有趣见解。 在向 Action Fraud 报告的 20,000 起事件中，大约一半涉及社交媒体网站，20% 涉及电子产品购买，13% 涉及手机。

第三大常见类别是车辆，占报告的 8%。 NCSC 表示，一名受害者试图在网上购买一辆露营车时损失了 7,000 多英镑。

参考：