網絡空間對抗資訊快報

1、趨勢科技詳細分析模仿BlackMatter功能的LockBit3.0勒索軟件

趨勢科技的研究人員在今年3月獲悉LockBit勒索軟件的新變種，距離LockBit 2.0首次出現還不到一年。LockBit 3.0，又名“LockBit Black”直到6月下旬才會發布，這與該組織新的泄密站點和漏洞賞金計劃的推出相吻合。趨勢科技研究人員在一篇博文中寫道：“一名研究人員此后分享了LockBit 3.0的樣本，以及他對新變體的初步分析。” BlackMatter是一種勒索軟件即服務(RaaS)工具，它允許勒索軟件的開發人員從BlackMatter黑客等網絡犯罪附屬機構中獲利，他們將其部署到受害者身上。BlackMatter黑客攻擊了許多美國組織，并要求以比特幣和門羅幣支付 80,000美元到15,000,000美元的贖金。研究人員指出，LockBit 3.0的部分代碼似乎是從BlackMatter 勒索軟件中借用的，因此稱為LockBit Black。“同樣，我們在調試LockBit 3.0示例期間發現BlackMatte和新的LockBit變體之間存在相似之處。”趨勢科技提醒組織，隨著這個最新變種的發布和LockBit的漏洞賞金計劃的推出，該計劃獎勵其附屬機構，它預計LockBit勒索軟件組織在未來將更加活躍。

2、越來越多的IIS外掛被用作攻擊企業服務器的后門

微軟研究人員發現，IIS外掛近來逐漸被黑客當成攻擊企業服務器系統如Exchange Server的后門程序。過去企業服務器攻擊較少遇到惡意IIS外掛，這倒不是因為黑客不用IIS外掛攻擊。主因是，黑客通常以腳本語言寫成的web shell作為第一階段的后門程序，導致惡意IIS外掛的偵測率較web shell來得低。另一個原因是IIS后門也比較難偵測到，因為它們植入的位置，多半和黑客目標應用程序所使用的合法模塊位于同一個目錄，也和合法模塊采用同樣的代碼構架。大多數情況下，這些后門程序的邏輯很簡單，若研究人員對合法IIS外掛的整體運作不了解，也很難判定它是惡意程序，這也進一步增加偵測感染源的難度。隨著偵測技術的提升，惡意IIS外掛的案例也增加。一般情形下，攻擊者開采代管應用程序，例如Microsoft 365的重大漏洞進入企業網絡，先植入Script web shell，再于服務器上安裝IIS后門，以暗中長期滲透攻擊。在今年1月到5月間的Exchange Server攻擊中，微軟發現，黑客也會安裝依其目的，客制化惡意IIS外掛模塊，監控目標應用程序進出的呼叫，或執行其他任務，像是執行遠端指令、或在用戶驗證Web應用程式時，于背景竊取用戶憑證數據。

3、文化沖擊：網絡勒索軟件團伙竊取藝術組織數據

加拿大、美國、英國和澳大利亞的幾個主要藝術組織都受到了這次襲擊的影響。攻擊者的第一個受害者是多倫多交響樂團（TSO），它與文化和娛樂數字營銷平臺WordFly合作。7月10日，黑客禁用了WordFly的系統并竊取了該網站處理的一些TSO用戶數據。被盜信息可能包括樂團訂戶的姓名和ID、他們的電子郵件地址以及有關該組織帳戶的信息。TSO的官方公告稱，它將暫時更換電子郵件提供商。樂團代表沒有透露受害者人數，但保證游客的付款細節是安全的，并且該組織的IT系統在攻擊期間沒有受到影響。“WordFly向我們保證，沒有證據表明黑客正在使用訂閱者的個人數據，”TSO說。值得注意的是，潛在受害者名單上還有其他幾個組織：南岸中心；皇家莎士比亞劇團；倫敦皇家歌劇院；老維克；考陶德藝術學院；美國史密森學會；悉尼舞蹈團。目前該事件正在調查中。為了更快地解決案件并減輕攻擊的后果，WordFly聘請了取證和網絡安全專家。該公司的代表表示情況已得到控制，但沒有透露該網站何時恢復工作。

4、一種特殊類型的惡意軟件威脅著俄羅斯的國家機構和行業

Positive Technologies專家分析了所有已知的39個bootkit系列，它們都以Proof of Concept格式存在（證明實現想法或方法的可能性），并用于2005年至2021年入侵者的實際攻擊。研究表明 ，每隔一秒的bootkit就會被用于有針對性的攻擊，盡管開發這些惡意軟件的成本很高，但攻擊者開始在大規模攻擊中使用它們。bootkit是在操作系統(OS)加載之前運行的惡意代碼。它的主要任務是幫助其他惡意軟件（軟件）在系統啟動之前在系統中站穩腳跟。由于大多數保護系統（例如防病毒程序）與操作系統同時運行，因此檢測到bootkit的可能性會降低。直到最近，人們還普遍認為，在啟動低級BIOS或UEFI軟件階段引入的bootkits 際上從未在真正的攻擊中發現，但這是一個神話。在分析的39個bootkit系列中，至少70%，即有27個系列被用于網絡攻擊，其中一半（14個）被Careto、 Winnti(APT41)、 FIN1和APT28等APT組織使用。根據Positive Technologies的說法，由于經常發現固件中的漏洞，bootkit在網絡犯罪分子中越來越受歡迎。例如，對于UEFI，僅2021年就有18個條目出現在國家漏洞數據庫(NDV) 中。相比之下：2020年有12個，減少了30%，而2019年只有5個條目。Bootkit功能現在被添加到各種惡意軟件中：這就是勒索軟件（如Satana和Petya）以及僵尸網絡（如Trickbot）的開發者所做的。

5、谷歌聘請中央情報局特工控制互聯網

MintPress版發現數十名前中央情報局特工為谷歌工作。此外，大量員工在非常政治敏感的領域工作，對產品的工作方式和用戶在搜索結果中看到的內容具有相當大的控制權。根據前谷歌信任與安全副總裁克里斯蒂·卡內加洛 (Christy Canegallo)的說法，中央情報局特工“決定我們平臺上允許哪些內容”。換句話說，他們為數十億用戶所看到的內容制定了互聯網規則。前中央情報局特別工作組負責人約翰斯托克韋爾 在鏡頭前描述了中央情報局如何滲透到世界各地的媒體機構，建立假新聞機構并傳播有關華盛頓敵人的假新聞，”他說，并補充說：“我在世界各地都有宣傳人員。我們向媒體投放了數十篇關于古巴鎮壓的故事。我們分發了假照片，這些照片最終出現在該國幾乎所有的報紙上。我們不知道古巴人犯下的任何暴行。這是純粹、粗暴、虛假的宣傳，”斯托克韋爾說。除了在暗網上積極走私毒品和武器外，許多 被列入名單的前中央情報局雇員還參與了對阿富汗和伊拉克的入侵。更重要的是，大多數員工都是直接從中央情報局雇傭來為谷歌工作的。這表明要么谷歌正在積極招募情報人員，要么硅谷與美國國家安全委員會之間達成了協議。為中央情報局和其他情報機構工作了27年的退休情報人員伊麗莎白默里解釋了谷歌如何從雇傭前間諜中受益。“通過聘請中央情報局官員，公司可以節省大量資金。這些人都訓練有素，并有安全許可。這在民間組織中很難實現，”她告訴MintPress。“對中央情報局的好處是，代理人可以在幾年內獲得獨特的社交媒體技能，然后利用獲得的經驗為中央情報局的利益返回該機構，”默里補充道。谷歌還雇傭了幾名代理人，他們擁有確保用戶隱私和安全所必需的稀有和高度發達的技能。此外，數十名谷歌員工在公共網站上確認他們為中央情報局工作，并認為這沒有問題。專家認為，披露此類信息充其量是不恰當的，最壞的情況是美國政府試圖控制網絡空間。事實上，谷歌從一開始就與CIA交織在一起。根據記者納菲茲·艾哈邁德的調查，中央情報局和國家安全局資助了斯坦福大學研究生謝爾蓋·布林的研究工作，這導致了后來谷歌的創建。

6、西班牙逮捕了破壞核輻射警報系統的黑客嫌疑人

西班牙警方宣布逮捕了兩名黑客，據信他們對該國核輻射警報網絡(RAR)的網絡攻擊負責，該網絡攻擊發生在 2021年3月至2021年6月之間。這兩名被捕者是民防和緊急情況總局(DGPGE)為維護RAR系統而簽約的一家公司的前員工，因此他們對其運作以及如何進行有效的網絡攻擊有深入的了解。兩名被捕人員非法訪問DGPGE的網絡，并試圖刪除控制中心的RAR管理Web應用程序。與此同時，兩人對傳感器發起了單獨攻擊，摧毀了遍布西班牙的800個傳感器中的300個，從根本上斷開了它們與控制中心的鏈接并破壞了數據交換。RAR系統的作用是檢測放射性水平的突然上升并發出警報，以幫助當局采取保護措施、檢測和補救問題。RAR包括部署在該國特定地點的800個伽馬輻射傳感器，每個傳感器都通過電話線連接到DGPCE總部的控制中心。網絡攻擊阻止了其中300 傳感器將其讀數傳回中心，從而導致該州無法立即對過度輻射事件做出反應的嚴重風險。西班牙在卡塞雷斯、塔拉戈納、瓦倫西亞、瓜達拉哈拉、薩拉曼卡和科爾多瓦的六座發電廠中運營著七座核反應堆，該計劃滿足了其大約20%的國家電力需求。

7、眾議院情報委員會主席發誓要“更加重視”打擊間諜軟件

眾議院情報委員會主席27日表示，他將更加緊迫地打擊外國商業監視，稱該技術是國家安全風險和對個人隱私的普遍威脅。加州民主黨眾議員亞當·希夫 (Adam Schiff)表示，他對強大的間諜軟件的擴散感到震驚，這些間諜軟件“可以用來對付該委員會或行政部門的每一位成員、每一位記者和政治活動家、每一位美國公民、每一位美國公民。擁有電子設備的世界。”希夫呼吁采取行動是在眾議院情報聽證會上，著名的安全研究人員和間諜軟件的受害者參加了聽證會。上周，委員會批準了一項立法，賦予總統和情報界更多權力，以制裁和禁止與在情報界銷售軍用級監視工具的公司簽訂合同。幾天后，希夫和其他委員會成員在聽證會上表達了對間諜軟件不僅對情報界而且對廣大公眾構成的威脅的嚴重關切。雙方成員似乎對美國公司和投資基金支持間諜軟件供應商這一事實感到不安。希夫表示，美國必須采取更多措施來應對“強大的間諜工具市場，這些工具在公開市場上銷售，本質上是提供復雜的信號情報功能作為端到端服務。”希夫說，間諜軟件對國家安全構成嚴重威脅，并暗示該技術的擴散程度可能比人們意識到的要大得多。希夫指出，去年12月披露的11名在烏干達工作的美國官員的手機上發現了間諜軟件，他警告說，他認為“我們很可能只看到了冰山一角。”

8、網絡司令部希望加強采購辦公室

準備在2024年獲得“增強的預算授權”，美國網絡司令部正在尋求增強其采購和采辦能力，包括雇用新人員和成熟其主要技術部門以處理其額外資金。“我需要建立一個年經費從7500萬美元增長的組織，以弄清楚我們如何準備好實現每年30億美元的采購支出，”網絡司令部J9采購和技術總監邁克爾克拉克27日在司令部的采購論壇上告訴記者。Cybercom是一個擁有獨特服務權限的作戰司令部，作為國防部內一個相對年輕的組織，它一直在進行多年的過程來提高和成熟其采辦能力。克拉克說，國會已經足夠滿意，它取消了最初的7500萬美元上限，該司令部現在每年執行超過7億美元預算。到目前為止，軍方一直擔任代表Cybercom及其部隊采購大型項目的執行機構。然而，到2024年，網絡司令部將獲得所謂的增強預算權限，這將賦予其直接控制和管理資源的規劃、計劃、預算和執行的責任，以維持其作戰部隊“當我們展望未來時，該司令部正在根據部門指導承擔大約30億美元資金的責任，這與我們確保網絡作戰部隊準備就緒的責任直接相關，”克拉克說。“令人難以置信的增長，令人難以置信的變化，在指揮方式和部門如何擺出網絡司令部承擔采購責任的方式方面。”他說，為了讓J9成熟以進行更大規模的承包和采購，官員們需要在內部引入更多的承包。這將需要雇用更多的人員。

9、越南攻擊組織Ducktail攻擊Facebook上的商業賬戶

7月26日，WithSecure Intelligence報告了對Facebook * Business/Ads平臺的Ducktail攻擊。據專家稱，該組織由自2018年以來活躍的出于經濟動機的黑客組成，他們于2021年對Facebook發起了第一次攻擊。該公司的官方報告稱，專家無法檢測到繞過平臺安全系統的成功或不成功嘗試。然而，有一件事是眾所周知的——Ducktail 繼續改進和分發其惡意軟件。據專家介紹，攻擊者的目的是接管企業賬戶并竊取信息。黑客通過引誘員工訪問存儲惡意軟件的文件托管站點來欺騙員工，這些站點偽裝成與受害者組織相關聯的文件。值得注意的是，該組織與任何地區無關，并在世界各地襲擊受害者：歐洲、中東、非洲和北美。如果受害者的賬戶被成功入侵，惡意軟件會竊取他們的個人信息和支付信息。此外，Ducktail會嘗試將攻擊者的電子郵件地址添加到受害者所在組織的電子郵件列表中。在攻擊結束時，所有被盜數據都通過Telegram發送給黑客。獲得必要信息后，攻擊者試圖購買其他公司投放的廣告。

10、Telegram和Discord中的機器人已經走向黑暗面

7月26日，英特爾471研究人員發布了一篇博客文章，揭示網絡犯罪分子正在使用Discord和Telegram機器人傳播惡意軟件。攻擊者手中的智能和有用的助手成為實施網絡犯罪的強大武器。英特爾471專家報告說，攻擊者設法將信息竊取者注入信使中，從而悄悄地從毫無戒心的用戶那里竊取憑據。最流行的惡意軟件被稱為“Blitzed Grabber”。她使用Discord網絡掛鉤來存儲和傳輸被盜數據。據英特爾471專家稱，一旦惡意軟件將收集到的數據發送回Discord，攻擊者就可以將其用于自己的計劃，或者只是在暗網上出售。英特爾471研究人員認為，不同通信平臺上的各種bot極大地幫助了攻擊者分發惡意軟件并從受害者那里收集數據。他們認為，如果可能，Messenger的信息安全專家應該實施基于令牌的多因素身份驗證，告知用戶可能使用機器人的惡意公司，并清楚地展示它們的樣子。

11、新的“Robin Banks”網絡釣魚服務針對美國銀行、花旗和富國銀行

一個名為“Robin Banks”的新網絡釣魚即服務(PhaaS)平臺已經推出，針對知名銀行和在線服務的客戶提供現成的網絡釣魚工具包。目標實體包括花旗銀行、美國銀行、第一資本、富國銀行、PNC、美國銀行、勞埃德銀行、澳大利亞聯邦銀行和桑坦德銀行。此外，Robin Banks還提供模板來竊取Microsoft、Google、Netflix和T-Mobile 帳戶。根據IronNet的一份報告，其分析師發現了新的網絡釣魚平臺，Robin Banks已經被部署在從6月中旬開始的大規模活動中，通過短信和電子郵件瞄準受害者。據信該組織至少從 2022 年 3 月開始就活躍起來，旨在快速制作高質量的網絡釣魚頁面，以針對大型金融組織的客戶。“Robin Banks網站擁有比16Shop和BulletProftLink 更復雜但用戶友好的webGUI——這兩個著名的網絡釣魚工具包也比Robin Banks貴得多，”IronNet在報告中評論道。新的PhaaS平臺不斷添加新模板并更新舊模板，以反映目標實體的樣式和配色方案變化。這些優勢使Robin Banks在網絡犯罪領域廣受歡迎，在過去的幾個月里，許多網絡犯罪分子都采用了它。新的高質量PhaaS平臺的出現對互聯網用戶不利，因為它促進了對低技能網絡犯罪分子的網絡釣魚，并增加了對棘手信息的轟炸。

12、人權倡導者呼吁停止聯邦機構采購商業間諜軟件

一位關鍵證人告訴立法者，美國政府應禁止聯邦機構購買商業間諜軟件產品，以應對外國公司構成的反情報威脅。

“目前，與聯邦政府開展業務、被美國公司收購或與美國警察部門開展業務是間諜軟件行業的許多人的金獎，”Citizen Labs的高級研究員John Scott-Railton精通技術的人權組織告訴眾議院情報委員會的成員。“只要問題參與者仍有可能這樣做，他們就會得到投資者的支持。”Scott-Railton周三（27日）在委員會面前就現在臭名昭著的NSO集團等公司制造的工具的擴散作證。Citizen Lab發現這家以色列公司的Pegasus間諜軟件——它能夠泄露受害者設備的內容，而無需他們點擊網絡釣魚鏈接——被用來監視美國公民，盡管有相反的說法。《華盛頓郵報》和其他媒體的報道還揭示了來自世界各地的大量公職人員、記者和持不同政見者受到間諜軟件的監視，其市場呈指數級增長，并且主要由專制政府開發。“當我們剛開始研究這個時，我們看到少數公司與少數幾個州合作，現在它完全失控了，”斯科特-雷頓說。向可疑政權推銷間諜軟件的公司包括另一家以色列公司Cellebrite和瑞典公司Micro Systemation AB(MSAB)，大西洋理事會追蹤了這兩家公司在俄羅斯的商品交易。俄亥俄州共和黨的排名成員邁克·特納（Mike Turner）說，“從民主政府和其他人，甚至那些我們認為是盟友的人那里得知濫用這項技術的消息令人震驚”。加利福尼亞州民主黨委員會主席亞當·希夫(Adam Schiff)在聽證會開始時吹捧了該小組最近通過的《情報授權法》，他說該法案“為 [國家情報總監] 提供了新的權力，以禁止情報界獲取和使用外國間諜軟件……[并]阻止情報委員會與全部或部分購買任何外國間諜軟件工具的美國公司簽訂合同。”