谷歌的威胁分析小组 (TAG) 表示，国家支持的威胁行为者使用五个零日漏洞来安装由商业监控开发商 Cytrox 开发的 Predator 间谍软件。

在这些攻击中，作为 2021 年 8 月至 2021 年 10 月之间开始的三个活动的一部分，攻击者使用针对 Chrome 和 Android 操作系统的零日漏洞利用在完全最新的 Android 设备上安装 Predator 间谍软件植入物。

Google TAG 成员 Clement Lecigne 和 Christian Resell 说：“我们高度自信地评估，这些漏洞是由一家商业监控公司 Cytrox 打包的，并出售给不同的政府支持的参与者，这些参与者至少在下面讨论的三个活动中使用了这些漏洞。” .

根据谷歌的分析，购买并使用这些漏洞利用间谍软件感染安卓目标的政府支持的恶意行为者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。

这些发现与CitizenLab 于 2021 年 12 月发布的关于 Cytrox 雇佣间谍软件的报告一致 ，当时其研究人员在流亡的埃及政治家 Ayman Nour 的电话中发现了该恶意工具。

Nour 的手机也感染了 NSO Group 的 Pegasus 间谍软件，根据 CitizenLab 的评估，这两种工具由两个不同的政府客户操作。

在针对 Android 用户的三个活动中利用零日漏洞
这些活动中使用的五个以前未知的 0-day 安全漏洞包括：

Chrome中的 CVE- 2021-37973、 CVE-2021-37976、 CVE-2021-38000、 CVE-2021-38003
Android 中的 CVE-2021-1048
威胁参与者在三个不同的活动中部署了针对这些零日漏洞的攻击：

活动 #1 - 从 Chrome 重定向到 SBrowser (CVE-2021-38000)
活动 #2 - Chrome 沙盒逃逸（CVE-2021-37973、CVE-2021-37976）
活动 #3 - 完整的 Android 0 天漏洞利用链（CVE-2021-38003、CVE-2021-1048）
“所有三个活动都通过电子邮件向目标 Android 用户提供了模仿 URL 缩短服务的一次性链接。这些活动是有限的——在每种情况下，我们评估的目标数量都是几十个用户，” 谷歌 TAG 分析师补充道。

“单击后，该链接会将目标重定向到攻击者拥有的域，该域在将浏览器重定向到合法网站之前传递了漏洞。如果链接不活跃，则用户被直接重定向到合法网站。”

这种攻击技术也被用来对付被告知他们是 政府支持的攻击目标的记者和其他 Google 用户。

间谍软件植入物使用 Android 银行木马删除
在这些活动中，攻击者首先安装了 带有 RAT 功能的Android Alien 银行木马 ，用于加载 Predator Android 植入程序，允许录制音频、添加 CA 证书和隐藏应用程序。

本报告是 2021 年 7 月对 2021 年在 Chrome、Internet Explorer 和 WebKit (Safari) 中发现的其他四个 0 天漏洞的分析的后续报告。

正如 Google TAG 研究人员透露的那样，与俄罗斯外国情报局 (SVR) 有关联的俄罗斯支持的政府黑客利用 Safari 零日漏洞攻击 属于 西欧国家政府官员的 iOS 设备。

谷歌 TAG 周四补充说：“TAG 正在积极跟踪 30 多家供应商，这些供应商具有不同程度的复杂性和公开曝光，向政府支持的参与者出售漏洞或监视能力。”

芝加哥公立学校的供应商 Battelle for Kids 在 12 月遭受勒索软件攻击后，芝加哥公立学校遭受了大规模的数据泄露，导致近 500,000 名学生和 60,000 名员工的数据泄露。

位于俄亥俄州的 Battelle for Kids 是一家非营利性教育组织，它分析公立学校系统共享的学生数据，以设计教学模型并评估教师表现。

Battelle for Kid 表示，他们 与 267 个学校系统合作，其项目已惠及超过 280 万学生。

芝加哥公立学校的大规模数据泄露
昨天，芝加哥公立学校 (CPS) 学区披露，12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495,448 名学生和 56,138 名员工的存储数据。

根据 CPS，学校系统与 Battelle for Kids 合作，上传学生课程信息和评估数据以供教师评估。

CPS 表示，存储在 Battelle for Kids 服务器上的数据是 2015 至 2019 学年的数据，并暴露了学生的个人信息和评估分数。

“具体来说，未经授权的一方获得了您孩子的姓名、出生日期、性别、年级、学校、芝加哥公立学校学生证号码、州学生证号码、有关您的学生所学课程的信息以及所使用的表演任务的分数用于 2015-2016、2016-2017、2017-2018 和/或 2018-2019 学年期间的教师评估，”CPS学生数据泄露通知解释说。

对于员工，威胁参与者可能会在 2015-2016、2016-2017、2017-2018 和/或 2018-2019 学年期间访问他们的姓名、学校、员工 ID 号、CPS 电子邮件地址和 Battelle for Kids 用户名。

CPS 表示，攻击中没有暴露任何社会安全号码、家庭住址、健康数据或财务信息。

CPS 正在为任何受影响的学生或工作人员提供免费的信用监控和身份盗用保护。 可以在学校系统创建的CPS 数据泄露页面上找到有关如何访问此免费信用报告的说明 。

超过四个月披露违规行为
4 月，俄亥俄州学区开始发布 数据泄露通知 ，警告学生和教职员工，他们的数据在针对 Battelle for Kids 的勒索软件攻击中暴露。

尽管 CPS 表示他们与 Battelle for Kids 签订的合同要求立即通知数据泄露，但他们在 4 个月后，即 2022 年 4 月 26 日才首次得知数据泄露事件。

然而，直到 5 月 11 日，他们才第一次了解到哪些特定的学生或教职员工的数据暴露了。

“我们的供应商 Battelle for Kids 告诉我们，延迟通知 CPS 的原因是 Batelle 通过独立的取证分析验证违规行为的真实性以及执法当局调查问题，”CPS 在其数据泄露页面上解释道。

虽然尚不清楚这次攻击背后的勒索软件团伙是什么，但所有组织都会在加密设备上留下勒索记录，其中包括电子邮件地址或勒索谈判网站的链接。

列出被盗数据的赎金记录示例
作为勒索过程的一部分，勒索软件团伙通常通过共享所有被盗文件夹的列表并有时共享单个文件作为证据来提供他们窃取数据的证据。

当受害者拒绝支付赎金时，威胁参与者公开披露他们攻击了受害者并开始泄露他们被盗的数据。

勒索软件团伙没有公开披露他们违反了 Battelle for Kids，这可能表明 Battelle for Kids 支付了赎金要求。

纽约市教育部在 3 月披露了类似但不相关的 数据泄露事件，供应商的网络攻击暴露了 820,000 名学生的数据。

ZZQIDC已就问题联系了 Battelle for Kids，但目前尚未收到回复。

本月中旬，众所周知，以 Match Group 为代表的流行约会服务 Tinder 的所有者起诉谷歌，指控这家 IT 巨头强迫使用其支付系统。现在众所周知，Match Group 撤回了索赔声明，理由是谷歌在使用第三方支付系统方面做出了某些让步。

本月早些时候，Match Group 起诉谷歌，声称这家科技巨头威胁说，如果该公司的应用程序使用第三方支付系统，就会将其从 Play 商店中删除。事实上，Android 应用程序中的第三方支付系统允许用户不必为每笔交易向 Google 支付 30% 的佣金。因此，谷歌正在强制应用程序开发者独占使用他们自己的支付系统。

现在众所周知，Match Group 已经放弃了自己的主张，因为谷歌做出了让步，因此该公司的应用程序不会从 Play 商店中删除，因为它为用户提供了以其他方式进行交易的机会。这笔交易的细节仍然未知，谷歌官员对这个问题不予置评。

请注意，Match Group 诉讼是在 Google 与 Epic Games 和数十名美国司法部长正在进行的诉讼的背景下提起的，他们指控这家 IT 巨头的反竞争行为。同时，Match Group 也对 App Store 的政策以及苹果对 iOS 应用程序的持续交易收取的费用表示担忧。

据微软称，在过去的六个月里，专为 Linux 系统设计的 XorDDoS 病毒已经开始活跃传播。恶意软件检测率在 6 个月内跃升 254%。顾名思义，它的主要目的是为 DDoS 攻击组织一个僵尸网络，但该病毒也可以充当下载其他恶意软件的网关。

微软发现一些受 XorDDoS 感染的机器随后安装了其他恶意软件，尤其是 Tsunami，这反过来又进一步部署了 XMRig 加密矿工。同时，XorDDoS 并没有直接用于安装和分发二级有效载荷，而是起到了后续攻击路径的作用。

使用 XOR 加密与其服务器通信的 XorDDoS 病毒至少从 2014 年就已经存在。它之所以能长寿，是因为它能够相对成功地躲避防病毒软件的检测。此外，它非常朴实无华——病毒感染了 Arm 芯片（最常见的是物联网设备）上的系统和 x64 处理器上的服务器。并且通过SSH通过蛮力进行渗透。

简而言之，臭名昭著的俄罗斯结盟 Conti 勒索软件团伙加大了对哥斯达黎加的攻击力度，威胁说如果不支付 2000 万美元的赎金，就会推翻政府。

哥斯达黎加总统罗德里戈查韦斯表示，该国实际上与该团伙交战，该团伙于 4 月渗透到政府的计算机系统，在各级政府的 27 个机构中站稳了脚跟。美国国务院悬赏1500 万美元，以逮捕孔蒂的领导人，据称他们从 1000 多名受害者那里赚了超过 1.5 亿美元。

据美联社报道，孔蒂本周声称它在哥斯达黎加政府中有内部人士，并警告说：“我们决心通过网络攻击推翻政府，我们已经向你展示了所有的力量和力量，你已经引入了一个紧急情况。”

与美联社交谈的专家表示，他们怀疑实际政权更迭​​的可能性或目标；Emsisoft 分析师 Brett Callow 告诉新闻专线，这些威胁只是噪音，不值得认真对待。

Callow 可能是对的：本周晚些时候传出的消息表明，Conti 已经下线，并且可能会闯入几个子公司。它在哥斯达黎加的政治野心可能只是一种干扰，尽管它也可能带来可观的利润。

NSA：相信我们，没有后量子加密后门
国安局现在想打消大家的顾虑：尽管它参与了美国政府的后量子加密研究，但间谍机构不会有后门。

美国国家安全局网络安全主管（和圣诞树黑客）罗布乔伊斯在讨论美国国家标准与技术研究院的后量子加密竞赛时对彭博社表示，正在开发的新标准非常强大，以至于“没有后门”。

这将与之前的加密标准有所不同，据信 NSA 已经准备好使用这些标准——直到外国间谍获得后门软件的副本供自己使用。拜登政府最近宣布为后量子加密研究提供额外资金，旨在开发一种保护敏感数据的形式，如此安全，即使是量子计算机也无法破解它。

一段时间以来，美国一直在积极致力于开发能够抵御量子计算机的加密标准。乔伊斯向彭博社声称，美国国家安全局多年来一直拥有自己的后量子加密算法，但这些算法并不是 NIST 竞争的一部分，也不向公众开放。

尽管花费了数千万美元来解决量子计算机带来的安全问题，但 NSA 也欣然承认，它不知道能够破解现代公钥密码学的量子计算机何时，甚至是否会实现。

沮丧的 IT 管理员因删除公司数据库而被判七年
一名来自中国的前数据库管理员因抹去其雇主的财务记录而被判处七年徒刑。

为中国房地产经纪公司链家管理数据库的韩冰据称使用他的管理员权限和root权限登录了链家的两台数据库服务器和两台应用程序服务器，在那里他擦除了占用公司全部财务数据的财务数据和相关应用程序中国消息人士 称，系统离线。

据报道，Bing 对他的雇主不满。链家的道德负责人在法庭上作证说，他一再警告他们链家财务系统存在安全漏洞，但感到被忽视和低估。Bing 的行为直接使公司损失了大约 27,000 美元来恢复数据和重建系统，但这还不包括业务损失的影响。

当链家询问所有有权访问金融系统且有权做必应所做事情的人时，必应被抓获，其中只有五个人。该公司声称，当被要求出示他的笔记本电脑进行检查时，Bing 的行为很可疑，拒绝提供他的密码并声称拥有隐私权。

该公司表示，它怀疑没有一台笔记本电脑会显示出攻击的痕迹，但想看看那些被质疑的人会如何反应。调查人员后来能够恢复指向 Bing 笔记本电脑的 IP 和 MAC 地址的日志，并将日志与安全录像进行交叉检查，使 Bing 在正确的时间出现在正确的位置，成为有罪的一方。

Apple 修补了多达 98 个单独的漏洞
Apple 度过了忙碌的一周：在周一和周三发布的一系列安全更新中，iMaker 从其各种软件平台中修复了 98 个单独的漏洞。

有问题的更新涵盖了 Apple 制作的大多数软件：WatchOS、iOS 和 iPad OS、macOS Monterey、Big Sur和Catalina、Xcode、tvOS、Safari和Windows iTunes。大多数漏洞来自过去几个月，但更新涵盖的一个常见漏洞和暴露 (CVE) 编号可以追溯到2015 年。

本周大量 Apple 补丁所涵盖的一些漏洞之前是针对一个系统推出的，而不是其他系统，例如 CVE-2022-22674 和 -22675 的情况，它们在 macOS Monterey 中得到了修补，但不是旧版本，四月。据报道，这些漏洞当时正在被积极利用。

执行具有内核权限的任意代码的恶意应用程序似乎是这一轮补丁中最常见的漏洞类型，尽管有些漏洞确实很突出，例如 Apple Watch 漏洞，这些漏洞可以让应用程序捕获屏幕并绕过签名验证。

在 iOS 上，修补的漏洞包括网站能够在 Safari 隐私浏览模式下跟踪用户，而 macOS 用户受到保护，应用程序能够绕过隐私偏好并访问文件系统的受限部分。

俄罗斯支持的 Chaos 勒索软件变种是纯粹的破坏
网络安全公司 Fortinet 发现了 Chaos 勒索软件的变种，它声称支持俄罗斯入侵乌克兰，但似乎没有解救普京政权受害者的解密密钥。

Fortinet表示，该变体似乎是在 5 月 16 日使用 Chaos 的 GUI 自定义工具编译的。研究人员表示，他们不确定 Chaos 变种如何感染受害者，并表示该变种的行为与典型的 Chaos 勒索软件没有任何不同。

像其他形式的混沌一样，它枚举受感染系统上的文件，并通过用随机字节填充任何大于约 2MB 的文件来不可撤销地损坏它。任何较小的东西都会被加密，但可以用密钥恢复。Chaos 通常还会攻击完全加密的常用目录，例如桌面、联系人、下载和图片。

这就是 Chaos 变种的不同之处：它具有明显的政治色彩，恶意软件没有提供联系信息和赎金要求，而是简单地说“停止乌克兰战争！F**k Zelensky！不要 [原文如此] 为他妈的小丑而死， "以及一对声称属于信息协调中心但不提供其他信息的网站的链接。文件也使用“f**kazov”扩展名加密，可能指的是乌克兰亚速营。

Fortinet 表示，这种 Chaos 变体似乎是独一无二的，因为它似乎被设计为破坏文件的恶意软件。“这种特殊的变种没有提供这样的途径，因为攻击者无意提供解密工具……显然，这种恶意软件背后的动机是破坏，”Fortinet 说。

研究背后的 FortiGuard 团队警告说，由于其 GUI，Chaos 勒索软件已成为一种商品，并且预计还会出现更多此类攻击。

想象一个未来，在月球表面以下的黑暗中，成排的计算机服务器会安静地嗡嗡作响。

这里存储了一些最重要的数据，尽可能长时间保持不变。这个想法听起来像是科幻小说中的东西，但最近从隐形中脱颖而出的一家初创公司正试图将其变为现实。Lonestar Data Holdings 有一个不同于任何其他云提供商的独特使命：在月球上建立数据中心来备份世界数据。

Lonestar 的创始人兼首席执行官克里斯托弗·斯托特 (Christopher Stott) 告诉The Register：“对我来说，我们将最宝贵的资产、知识和数据保存在地球上，这对我来说是不可思议的。 ” “我们需要把我们的资产安置在我们的星球之外，在那里我们可以保证它的安全。”

斯托特说，Lonestar 在太空中建立数据存储设施的努力有点像试图在位于挪威北极斯匹次卑尔根岛的斯瓦尔巴全球种子库中保存世界上所有的种子。但是，新贵并没有试图保护作物多样性，而是想要保护人类知识。

“如果我们不这样做，我们在地球上的数据会怎样？”他问道。“由于气候变化的影响，种子库泛滥成灾。它也容易受到战争或网络攻击等其他形式的破坏。我们需要有一个地方可以保护我们的数据安全。” Lonestar 将目光投向了月球。

我们更大的天然卫星的一侧被潮汐锁定并始终面向地球，这意味着可以在月球和地球上的设备之间建立持续、直接的视距通信。

Lonestar 目前正在完成来自 Seldor Capital 和 2 Future Holding 等投资者的 500 万美元种子轮融资。为了筹集更多资金，它必须证明其技术是可行的，并且将从商业月球有效载荷的小型演示开始。上个月，它宣布已与美国宇航局资助的航空航天企业 Intuitive Machines 签署合同，在两个月球着陆器上启动其软件和硬件功能的原型演示。

根据航天局的商业月球有效载荷服务计划，Intuitive Machines 将在延迟一段时间后，于 2022 年底将其 Nova-C 着陆器送上月球，执行其首次任务，称为 IM- 1。Lonestar 将运行纯软件测试，在着陆器的硬件上存储少量数据。IM-1 预计将持续一个阴历日，相当于地球上的两周。

第二次发射，IM-2，雄心勃勃。Intuitive Machines 计划向月球南极发送另一个 Nova-C 着陆器，携带各种设备，包括美国宇航局的PRIME-1冰钻和光谱仪，以及 Lonestar 的第一个硬件原型：一个一公斤的存储设备，大小为一本精装小说，有 16 TB 的内存。IM-2 预计将于 2023 年推出。

机器人和熔岩管
Stott 告诉我们，这个小型概念验证数据中心将为 Lonestar 的所谓灾难恢复即服务 (DRaaS) 的早期测试版存储不可变数据。“[我们将]执行上传和下载测试（想想数据的刷新和恢复），并执行应用程序的边缘处理测试。它将运行 Ubuntu。” 该公司仍在确定带宽速率，并已获得许可，可以在无线电频谱的 S、X 和 Ka 波段向月球传输数据并返回地球。

Lonestar 首次在月球上测试其技术的机会将取决于 Intuitive Machines 的 Nova-C 着陆器是否能成功地一体登上月球表面。众所周知，在月球上软着陆非常困难。六十年代苏联和美国的无数努力都以失败告终。最后两次以失败告终的尝试是在 2019 年，当时以色列的 SpaceIL 和印度的国家航天局分别坠毁了他们的 Beresheet 和 Chandrayaan-2 月球着陆器。

月球强大的引力和非常稀薄的大气层意味着航天器接近地表的速度必须在很短的时间内显着减慢才能平稳着陆。确定着陆过程是月球探索的关键，无论是发送机器人航天器还是宇航员。

Intuitive 的总裁兼首席执行官 Steve Altmus 在一份声明中告诉我们：“我们在月球上和月球周围交付、通信和指挥客户有效载荷的交钥匙解决方案是革命性的。” “在我们的月球任务中添加 Lonestar Data Holdings 和其他商业有效载荷是 Intuitive Machines 创造和定义月球经济的关键步骤。”

然而，从书本大小的原型到真正成熟的云存储数据中心的路径是手动的。斯托特表示，Lonestar 计划未来的任务是在 2024 年推出能够存储 5 PB 数据的服务器，到 2026 年推出能够存储 50 PB 数据的服务器。到那时，他希望数据中心能够以一定速度承载往返月球的数据流量每秒 15 吉比特（比家庭互联网宽带速度快得多）从一系列天线发射。

如果该公司要继续长期扩展和存储数据，就必须弄清楚如何保护其数据中心免受宇宙辐射并应对月球表面温度的波动，该温度可能从 222.8°F（106° C) 白天到晚上 -297.4°F (-183°C)。

斯托特对此有一个答案：将数据中心安放在月球熔岩管中，在月球表面下方因古老的玄武岩熔岩流而钻出的洞穴。在这些坑内，温度会更稳定，服务器会更好地屏蔽有害的电磁射线。

Lonestar 将如何将他们带到那里？“机器人……很多机器人，”斯托特说。

在 2022 年 Pwn2Own 温哥华黑客大赛的第三天也是最后一天，安全研究人员使用零日漏洞再次成功入侵了微软的 Windows 11 操作系统三次。

由于 DoubleDragon 团队无法在规定的时间内演示他们的漏洞利用，当天针对 Microsoft Teams 的第一次尝试失败了。

所有其他参赛者都攻击了他们的目标，在 3 次下载 Windows 11 和 1 次 Ubuntu Desktop 后获得了 160,000 美元的收入。

第一个在 Pwn2Own 的第三天演示 Windows 11 零日权限升级（通过整数溢出）的是来自 Viettel Cyber​​ Security 的 nghiadt12。

来自 REverse Tactics 和 vinhthp1712 的Bruno Pujos 还分别使用 Use-After-Free 和 Improper Access Control 漏洞提升了 Windows 11 的权限。

最后但同样重要的是，STAR Labs 的 Billy Jheng Bing-Jhong 使用 Use-After-Free 漏洞攻击了一个运行 Ubuntu Desktop 的系统。

Windows 11 EOP 通过 nghiadt12 (ZDI) 演示的整数溢出
Pwn2Own 2022 Vancouver 以5 月 18 日至 5 月 20 日的 21 次尝试后三天内的 17 名参赛者的零日漏洞和漏洞链演示的总收入 1,155,000 美元结束。

在 Pwn2Own 的第一天， 黑客 在成功利用 16 个零日漏洞入侵多个产品后赢得了 80 万美元，其中包括微软的 Windows 11 操作系统和 Teams 通信平台、Ubuntu Desktop、Apple Safari、Oracle Virtualbox 和 Mozilla Firefox。

第二天， 参赛者 在演示 Telsa Model 3 信息娱乐系统、Ubuntu Desktop 和 Microsoft Windows 11 的缺陷后获得了 195,000 美元的奖金。

安全研究人员在比赛期间展示了 6 个 Windows 11 漏洞利用，4 次入侵 Ubuntu Desktop，并演示了 3 个 Microsoft Teams 零日漏洞。他们还报告了 Apple Safari、Oracle Virtualbox 和 Mozilla Firefox 中的几个缺陷。

在 Pwn2Own 期间利用和报告漏洞后，供应商有 90 天的时间发布安全修复程序，直到趋势科技的零日倡议公开披露它们。
4 月，在 4 月 19 日至 4 月 21 日的 2022 Pwn2Own 迈阿密竞赛中，黑客还通过 26 次针对 ICS 和 SCADA 产品的零日攻击赚取了 40 万美元。

在 PyPI 注册表中发现了另一个恶意 Python 包，它执行供应链攻击以在 Windows、Linux 和 macOS 系统上删除 Cobalt Strike 信标和后门。

PyPI 是一个开源包的存储库，开发人员可以使用它来分享他们的工作或从他人的工作中受益，下载他们的项目所需的功能库。

2022 年 5 月 17 日，威胁参与者将一个名为“pymafka”的恶意程序包上传到 PyPI。该名称与 PyKafka 非常相似，后者是一种广泛使用的 Apache Kafka 客户端，在 PyPI 注册表上的下载量超过 400 万次。

拼写错误的软件包在被删除之前仅达到了 325 的下载次数。但是，它仍然可能对受影响的人造成重大损害，因为它允许初始访问开发人员的内部网络。

Sonatype 发现了 pymafka 并将其报告给 PyPI，后者昨天将其删除。尽管如此，下载它的开发人员必须立即更换它并检查他们的系统是否存在 Cobalt Strike 信标和 Linux 后门。

PyMafka 感染过程
在 Bleeping Computer 的记者 Ax Sharma 的一份报告中，研究人员解释说，感染始于执行包中的“setup.py”脚本。

此脚本检测主机操作系统，并根据它是 Windows、Linux 还是 Darwin (macOS)，获取在系统上执行的兼容恶意负载。

setup.py 脚本代码 （Sonatype）
对于 Linux 系统，Python 脚本连接到位于 39.107.154.72 的远程 URL，并将输出通过管道传输到 bash shell。不幸的是，在撰写本文时，该主机已关闭，因此尚不清楚执行了哪些命令，但据信它打开了反向 shell。

对于 Windows 和 macOS，有效负载是 Cobalt Strike 信标，它提供对受感染设备的远程访问。

Cobalt Strike 是一个被广泛滥用的渗透测试套件，具有强大的特性，例如命令执行、键盘记录、文件操作、SOCKS 代理、权限提升、凭据窃取、端口扫描等。

它的“信标”是难以检测的无文件 shellcode 代理，可让远程参与者稳定可靠地访问受感染的系统，将其用于间谍活动、横向移动或部署勒索软件等第二阶段有效负载。

“在 Windows 系统上，Python 脚本试图将 Cobalt Strike 信标放在‘C:\Users\Public\iexplorer.exe’，” Sonatype 的报告详细说明。

“请注意，这种拼写错误很突出，因为合法的 Microsoft Internet Explorer 进程通常称为“iexplore.exe”（末尾没有“r”），并且不存在于 C:\Users\Public 目录中。”

下载的可执行文件与它们所针对的操作系统相匹配，即“win.exe”和“macOS”，并在它们启动后尝试联系中国 IP 地址。

在检测率方面，VirusTotal 扫描在 61 分中给出了 20 分，因此虽然有效载荷并不是完全隐蔽，但它们保留了令人满意的规避百分比。

VirusTotal 扫描结果 (Sonatype)
此攻击旨在提供对开发人员网络的初始访问权限，允许他们通过网络横向传播以窃取数据、植入更多恶意软件，甚至进行勒索软件攻击。

如何保持安全
从软件开发人员的角度来看，当有人使用不可信的包时，有几件事是做错的，但最常见且公认容易发生的是在构建过程中输入错误的包名。

软件开发人员应该仔细检查包名称和详细信息，并在某些东西看起来很时髦时仔细检查他们选择的构建块。

PyPI 注册表(Sonatype)上的 PyMafka 页面
在这种情况下，该包试图伪装成一个知名项目，但它在 PyPI 页面上没有描述，没有主页链接，发布历史极短，以及莫名其妙的最近发布日期。

这些都是出现问题的明显迹象，但从终端上看不到任何迹象，因此确认包裹选择至关重要。

微软已在 Windows 11 中更新了适用于 Android 的 Windows 子系统，使遥测收集成为可选，并宣布升级到 Android 12.1。

正如 Windows Insider 计划团队在今天的公告中透露的那样，现在默认禁用诊断数据收集。

微软表示：“通过此次更新，遥测收集（Android 设置应用程序的 Windows 子系统中的可选诊断数据设置）现在默认关闭。

“为了帮助我们更好地改进适用于 Android 的 Windows 子系统并提供有关 Android 应用程序使用情况的有用遥测数据，请在适用于 Android 设置应用程序的 Windows 子系统中启用此设置！”

微软还添加了一个新的诊断数据查看器，允许客户检查 Android 子系统收集的所有诊断数据。

该更新（版本 2204.40000.15.0）现在正在开发频道中发送给 Windows 预览体验成员。

更多变化和改进
安装后，新版本将改进 Windows 集成，Android 应用程序会从您离开的位置开始，Windows 任务栏图标会显示哪些应用程序使用您的位置和系统麦克风。

微软还在此 Windows 子系统 Android 更新中改进了鼠标和键盘支持，修复了 Android 软件键盘无法正确显示并改进了滚轮支持。

该公司还警告称，Android 12.1 升级后，部分用户在启动某些 Android 应用程序或功能不正确时会遇到问题。

“以前可用的一些应用程序可能会在体验中丢失、无法启动或因各种已知问题而无法正常运行。我们正在与我们的合作伙伴合作以尽快解决这些问题，”Windows Insider 计划团队 补充道。

此更新中包含的其他更改包括改进的网络连接，以允许 Android 应用程序连接到与运行它们的 Windows PC 相同的网络上的设备，以及完全重新设计的“设置”应用程序，具有“更清洁的用户体验”

此更新将附带的其他更改和改进包括：

改进了显示为 Windows 通知的 Android 应用程序通知
应用程序从最小化状态恢复时闪烁减少
新的视频硬件解码（VP8和VP9）
修复全屏 Android 应用程序和自动隐藏的 Windows 任务栏
提高了总体稳定性、性能和可靠性
微软 于 2021 年 10 月开始在 Windows 11 上测试 Android 应用程序， 以允许用户在其 Windows 11 设备上运行通过亚马逊应用商店交付的应用程序。

尽管 Microsoft 官方仅支持从 Amazon App Store 安装的应用程序，但在 Windows 11 中有多种 安装 Google Play 商店 和 旁加载应用程序的方法。

从 2022 年 2 月开始，适用于 Android 的 Windows 子系统面向 美国用户提供公共预览版。

思科解决了其 IOS XR 路由器软件中的一个零日漏洞，该漏洞允许未经身份验证的攻击者远程访问在 NOSi Docker 容器中运行的 Redis 实例。

IOS XR 网络操作系统部署在 多个 Cisco 路由器平台上，包括 NCS 540 和 560、NCS 5500、8000 和 ASR 9000 系列路由器。

该漏洞（跟踪为 CVE-2022-20821）是在解决 Cisco TAC（技术援助中心）支持案例期间发现的。

“存在此漏洞是因为健康检查 RPM 在激活时默认打开 TCP 端口 6379。攻击者可以通过连接到开放端口上的 Redis 实例来利用此漏洞，”思科解释说。

“成功的利用可能允许攻击者写入 Redis 内存数据库，将任意文件写入容器文件系统，并检索有关 Redis 数据库的信息。”

幸运的是，即使攻击者成功利用此漏洞，他们也无法远程执行代码或破坏主机系统的完整性，因为 Redis 实例运行在沙盒容器中。

虽然该漏洞仅影响 安装了健康检查 RPM 并处于活动状态的Cisco 8000 系列路由器，但思科在周五发布的一份公告中敦促客户对运行易受攻击软件的设备进行修补或应用变通方法。

该公司表示： “2022 年 5 月，思科 PSIRT 意识到有人企图在野外利用此漏洞。 ”

“思科强烈建议客户应用合适的解决方法或升级到固定软件版本来修复此漏洞。”

思科 IOS XR 版本 第一个固定版本
7.2 及更早版本 不受影响
7.3.15、7.3.16、7.3.1 和 7.3.2 不受影响
7.3.3 7.3.41
7.4 不受影响
7.5.1 不受影响
7.5.2 不受影响
7.6 不受影响
可用的解决方法

该网络供应商还为无法立即应用安全更新以缓解 CVE-2022-20821 漏洞的客户提供解决方法。

第一种解决方法要求管理员禁用健康检查并从易受攻击的设备中删除健康检查 RPM。要查找设备是否受到影响，您需要发出 run docker ps 命令并查找名为 NOSi 的 docker 容器。

管理员还可以 使用基础设施访问控制列表 (iACL) 来阻止端口 6379，端口攻击者的目标是获得对暴露的 Redis 实例的访问权限。

“客户应该意识到，根据内在的客户部署场景和限制，实施的任何解决方法或缓解措施都可能对其网络的功能或性能产生负面影响，”思科表示。

“在首先评估对自己环境的适用性以及对此类环境的任何影响之前，客户不应部署任何变通办法或缓解措施。”

此前，思科修复了 NFVIS 漏洞，这些漏洞可以让未经身份验证的攻击者远程运行具有 root 权限的命令，以及允许远程未经身份验证的攻击者 窃取管理员凭据的 Cisco Umbrella 虚拟设备 (VA) 。