網絡安全微訊早報

1、伊朗中央銀行挫敗網絡攻擊

1月7日（Prensa Latina）伊朗中央銀行在挫敗了針對該實體和兩個相關消息平臺的網絡攻擊后，開始了新的一周不間斷的運作。伊朗電信基礎設施公司執行董事阿米爾·拉耶瓦爾迪 (Amir Layevardi)在Twitter上發了一條消息，譴責試圖入侵中央銀行數據庫以及Rubika和Bale應用程序的行為。Layevardi評論說，最近，“最多的外國攻擊是針對銀行和金融機構、互聯網提供商和通信基礎設施的”。在報告了這些被消除的攻擊后，他贊揚了該國的網絡安全人員為應對威脅所做的卓越努力。2022年10月，Anonymous和其他黑客組織威脅要對伊朗機構和官員發動網絡攻擊。直到10月25日，伊朗被動防御組織負責人Qolamreza Yalali準將報告稱，在20天內抵制了針對該國基礎設施的120嚴重 DDoS攻擊。伊朗網絡安全專家還在12月挫敗了對該首都南部伊瑪目霍梅尼機場的網絡攻擊，防止對該設施的運營造成任何重大破壞。

2、NCCoE在制造業發布側重于解決應急響應和恢復的項目

美國國家標準與技術研究院(NIST)1月6日發布了一份公告，邀請行業參與者和其他感興趣的合作者參與國家網絡安全卓越中心(NCCoE)項目，該項目側重于在運營技術中響應網絡事件并從中恢復(OT)環境。NCCoE項目側重于NIST網絡安全框架(NIST CSF)的響應和恢復部分，同時指導制造組織將緩解措施設計到OT環境中以解決網絡事件。隨著工業 4.0的普及，企業正在將業務系統和IT網絡連接到OT網絡，以提高業務敏捷性和運營效率。然而，最近對OT的攻擊表明，惡意行為者正從業務系統和IT網絡轉向OT環境。大多數OT系統歷來與業務系統和IT網絡隔離，因此無法抵御網絡攻擊。NCCoE將與商業社區成員和網絡安全解決方案供應商合作，確定基于標準的、商用的和開源的硬件和軟件組件，以設計制造實驗室環境，以應對應對OT環境中的網絡事件并從中恢復。

3、IcedID惡意軟件活動針對Zoom用戶

Cyble研究人員最近發現了針對流行視頻會議和在線會議平臺ZOMM用戶的網絡釣魚活動，以傳播IcedID惡意軟件。IcedID銀行木馬于2017年首次出現在威脅領域，它具有與Gozi、 Zeus和Dridex等其他金融威脅類似的功能。最先對其進行分析的IBM X-Force專家注意到，該威脅并未從其他銀行惡意軟件中借用代碼，但惡意代碼實現了類似的功能，包括發起瀏覽器中間人攻擊，以及攔截和竊取受害者的財務信息.IcedID惡意軟件通常使用武器化的Office文檔傳播惡意廣告活動。然而，在Cyble發現的活動中，威脅行為者使用了一個模仿合法Zoom網站的網絡釣魚網站來傳播 IcedID惡意軟件。專家認為，IcedID是一種高度先進、持久的惡意軟件，已影響全球用戶。威脅行為者不斷調整他們的技術以逃避網絡安全措施的檢測。

4、Microsoft警告針對Apple macOS系統的不同勒索軟件

Microsoft安全威脅情報團隊警告四種不同的勒索軟件系列（KeRanger、FileCoder、MacRansom和EvilQuest）會影響Apple macOS系統。涉及Mac勒索軟件的攻擊的初始向量通常依賴于用戶輔助方法，例如下載和運行虛假或武器化的應用程序。勒索軟件還可以作為第二階段的有效載荷投放器或供應鏈攻擊的一部分進行交付。專家指出，惡意軟件創建者濫用合法功能并實施各種技術來利用漏洞、逃避防御或誘騙用戶感染他們的設備。勒索軟件最重要的功能之一是能夠針對特定文件進行加密。微軟研究人員觀察了勒索軟件家族使用的各種技術來 枚舉Mac上的文件和目錄。FileCoder和MacRansom使用Linux查找實用程序搜索要加密的選定文件。KeRanger、MacRansom和EvilQuest勒索軟件系列結合使用基于硬件和軟件的檢查來避免在虛擬環境中執行分析和調試目的。微軟對Mac操作系統上的勒索軟件的分析顯示，MAC勒索創建者使用各種技術來隱藏于自動分析系統之外，并使分析師的手動檢查具有挑戰性。

5、黑客利用OpenAI的ChatGPT部署惡意軟件 

根據Check Point的一份新報告，黑客正在使用ChatGPT開發強大的黑客工具，并創建旨在模仿年輕女孩以引誘目標的新聊天機器人。ChatGPT還可以編寫惡意軟件，監控用戶的鍵盤輸入并創建勒索軟件。然而，網絡罪犯不知何故想出了一種方法使其成為網絡世界的威脅，因為它的代碼生成能力可以輕松幫助威脅參與者發起網絡攻擊。另一方面，Hold Security的創始人Alex Holden表示，他觀察到約會詐騙者利用ChatGPT來創建令人信服的角色。詐騙者正在創造女性角色來冒充女孩以獲得信任并與目標進行更長時間的對話。許多地下黑客論壇都發布了網絡犯罪分子使用OpenAI開發惡意工具的事件，即使是那些沒有開發技能的人。一位用戶分享了他們如何濫用ChatGPT來創建暗網上市場的代碼功能，例如Silk Road和Alphabay。論壇上發布了另一個工具，可用于在設備上安裝后門并將更多惡意軟件上傳到受感染的計算機上。詐騙者還可以使用ChatGPT 構建機器人和網站來誘騙用戶共享他們的信息，并發起針對性很強的社會工程詐騙和網絡釣魚活動。OpenAI尚未對這些發現做出回應。

6、Hive勒索軟件團伙泄露了從領事館醫療中心竊取的550GB敏感數據

Hive勒索軟件團伙剛剛泄露了從Consulate Health Care竊取的550 GB數據，包括客戶和員工PII數據。Consulate Health Care是高級醫療保健服務的領先提供商，專門從事急性后期護理。Hive勒索軟件團伙本周將該公司添加到其 Tor泄漏站點，威脅要公布被盜數據。該團伙表示，攻擊發生在2022年12月3日，并于2023年1月6日披露。該團伙最初泄露了被盜數據的樣本作為攻擊的證據，聲稱竊取了合同、NDA和其他協議文件、公司私人信息（預算、計劃、評估、收入周期、投資者關系、公司結構等），員工信息（社會安全號碼、電子郵件、地址、電話號碼、照片、保險信息、付款等）和客戶信息（醫療記錄、信用卡、電子郵件、社會安全號碼、電話號碼、保險等）。受害者在其網站上發布的通知中也確認了安全泄露事件。雖然CHC的通知強調數據泄露的根本原因是對供應商的攻擊，但Hive代表告訴Data Breaches，他們“沒有攻擊任何CHC供應商，而是直接攻擊了CHC。”

7、假口袋妖怪NFT游戲安裝程序讓黑客劫持用戶的PC

威脅者正在使用精心制作的Pokemon NFT紙牌游戲網站來分發NetSupport遠程訪問工具并控制受害者的設備。目前仍在在線的網站“pokemon-go[.]io”聲稱擁有圍繞Pokemon特許經營權構建的新NFT紙牌游戲，為用戶提供戰略樂趣以及NFT投資利潤。考慮到Pokemon和NFT的流行，惡意門戶的運營商應該不難通過垃圾郵件、社交媒體帖子等吸引觀眾訪問該網站。那些點擊“在PC上玩”按鈕的人會下載一個看起來像合法游戲安裝程序的可執行文件，但實際上是在受害者的系統上安裝了NetSupport遠程訪問工具 (RAT)。ASEC的分析師發現了該操作，他們報告稱該活動還使用了第二個網站“beta-pokemoncards[.]io”，但此后該網站已下線。該活動的第一個活動跡象出現在2022年12月，而早期從VirusTotal檢索到的樣本顯示，相同的操作員推送了一個偽造的Visual Studio文件，而不是口袋妖怪游戲。NetSupport RAT可執行文件（“client32.exe”）及其依賴項安裝在%APPDATA%路徑的新文件夾中。它們被設置為“隱藏”以幫助逃避對文件系統執行手動檢查的受害者的檢測。

8、Windows 7將于1月10日停止接收擴展安全更新

從2023年1月10日（星期二）開始，Windows 7專業版和企業版將不再接收針對關鍵和重要漏洞的擴展安全更新。Microsoft于2009年10月推出了舊版操作系統。然后，該操作系統于2015年1月終止支持，并于2020年1月終止支持。擴展安全更新(ESU)計劃是客戶在Windows 7系統支持終止后仍需要運行舊版Microsoft產品的最后選擇。九年前于 2013年11月推出的所有版本的Windows 8.1也將在同一天到達EOS。“大多數Windows 7設備不滿足升級到Windows 11的硬件要求，作為替代方案，兼容的Windows 7 PC可以通過購買和安裝完整版本的軟件升級到Windows 10，”微軟解釋說。“在投資Windows 10升級之前，請考慮到Windows 10將在2025年10月14日達到其支持終止日期。”Microsoft建議使用不符合最新Windows版本技術要求的設備的客戶將其替換為支持Windows 11的設備，以利用最新的硬件功能。根據Statcounter GlobalStats的數據，目前，全球超過11%的Windows系統運行Windows 7，而 2.59%的微軟客戶使用Windows 8.1。

9、報告指出許多電話很快就會獲得衛星連接

衛星電話公司Iridium與芯片巨頭高通之間的新合作伙伴關系將在今年晚些時候為高端Android智能手機帶來衛星連接。這意味著即使在沒有移動覆蓋的地區，手機也可以與經過的衛星通信以發送和接收消息。高通芯片存在于許多基于 Android的智能手機中。Apple于2022年9月宣布了iPhone 14的衛星功能。該服務目前僅可用于在緊急情況下發送和接收基本短信。英國智能手機制造商Bullitt率先推出了自己的衛星服務，搶在了蘋果公司之前。它還旨在供緊急使用，最初將在特定地區提供。高通表示，這項名為Snapdragon Satellite的新功能最初只會包含在其高端芯片中，不太可能出現在低成本設備中。然而，它最終將推廣到平板電腦、筆記本電腦甚至車輛，并且還將成為一項不限于緊急通信的服務——盡管這很可能會收費。衛星連接被廣泛認為是移動電話的下一個前沿領域，因為它解決了“非熱點”或沒有現有覆蓋區域的問題。這些在農村或偏遠地區更為常見。

10、使用行為生物識別技術來防范移動惡意軟件

移動威脅形勢正在顯著增長。移動威脅格局面臨的一些主要挑戰包括使用中的移動設備數量的快速增長、移動操作系統的復雜性增加以及利用 GPS、NFC、藍牙等移動設備功能的新攻擊向量的出現。應對移動惡意軟件進步帶來的此類挑戰的潛在解決方案是使用行為生物識別技術。行為生物識別涉及使用機器學習算法來分析用戶的獨特行為模式，例如他們的打字速度、屏幕觸摸模式以及他們握住和移動設備的方式。通過分析這些模式，可以為每個用戶創建一個獨特的“行為指紋”，用于驗證他們的身份并檢測可能表明移動設備中存在惡意軟件的異常情況。行為指紋可用于各種環境，包括網絡安全領域。行為指紋可以與密碼保護等其他安全措施結合使用，以提供更強大的網絡威脅防御。行為生物識別技術有可能為移動設備提供額外的安全層，有助于抵御最新威脅并減輕移動惡意軟件帶來的風險。一種方法是使用行為生物識別作為在訪問敏感數據或系統時驗證用戶身份的手段。另一種方法是使用行為生物識別技術實時監控用戶的行為，尋找可能表明存在惡意軟件的異常情況。