西班牙警方已宣布逮捕 13 人，并对另外 7 人展开调查，因为他们参与了窃取网上银行凭证的网络钓鱼活动。

威胁行为者使用网络钓鱼诱饵诱骗受害者相信他们收到了银行的警报并继续窃取他们的帐户凭据。

攻击者可以访问银行账户，利用受害者的钱进行网上购物、直接转账到“钱骡”账户或申请个人贷款。

警方称，威胁行为者至少偷走了 443,600 欧元（466,000 美元）。作为这些网络钓鱼攻击的一部分，来自大约 146 名受害者。

“该行动于 2019 年 1 月至今年 4 月分几个阶段进行，最终在拉科鲁尼亚、科尔多瓦 (5)、韦尔瓦、马德里 (2) 逮捕了 13 人，另有 7 人被调查但未被拘留、马拉加、穆尔西亚、马略卡岛帕尔马和特拉萨（巴塞罗那）。” -国家警察。

警方于 2018 年开始调查，当时受害者和冒充银行都提交了第一批投诉，他们注意到在国外的电子商店中进行了未经授权的购买，最常见的是在法国。

随后的调查发现使用 VPN（虚拟专用网络）使威胁行为者看起来好像位于摩洛哥、法国、德国或美国。

作为网络钓鱼攻击的一部分，威胁参与者通过电子邮件发出虚假的“安全警报”，声称银行卡和账户存在问题。

为解决问题而提供的链接将受害者带到了一个伪装银行实际网站的网络钓鱼网站，诱骗他们输入登录凭据。

拥有这些凭据后，威胁参与者可以访问这些帐户并将客户的手机号码更改为他们控制的一个，以绕过两因素身份验证保护。

警方解释说：“同样，这种作案手法允许他们访问受害者的银行详细信息，并获得在该组织成员控制的电话线上完成操作所需的安全电子商务 (CES) 密钥。”

然后，威胁参与者通过一个经常被勒索参与该计划的钱骡网络转移被盗资金，通过直接现金转移服务将现金发送到科特迪瓦。

2021 年 11 月，西班牙警方发现了另一个当地犯罪网络，该网络利用钱骡将资金引导到贝宁，因此利用非洲国家逃避审查似乎在西班牙网络犯罪分子中很常见。

一项长达一年的研究发现， ANALYSIS Wizard Spider 是高调恶意软件 Conti、Ryuk 和 Trickbot 背后与俄罗斯有关的团队，在过去五年中已成长为一个价值数百万美元的组织，该组织建立了类似公司的运营模式.

在本周的一份技术报告中，自 2021 年以来一直在追踪网络犯罪团伙的 Prodaft 的人员概述了自己对 Wizard Spider 的调查结果，并补充了在 2 月份骗子公开站在俄罗斯一边后泄露的有关 Conti 行动的信息。非法入侵乌克兰。

Prodaft 发现的一个团伙坐拥从多个复杂的恶意软件变体中汇集而来的价值数亿美元的资产。我们被告知，Wizard Spider 作为一家企业运营，拥有针对特定类型软件的复杂的子组和团队网络，并且与其他知名的不法分子有关联，包括REvil和 Qbot（也称为 Qakbot 或 Pinkslipbot）背后的那些）。

此外，Wizard Spider 提供全方位服务。它管理网络攻击的整个生命周期——从最初的入侵和受感染组织中的数据加密，到雇佣外部帮助来完成诸如冷门勒索软件受害者之类的工作，以吓唬他们支付费用。如有必要，它会购买它需要的任何恶意代码，尽管它也越来越多地构建自己的工具，例如哈希破解应用程序。

Prodaft 的研究人员写道：“该集团非凡的盈利能力使其领导者能够投资于非法研发计划。” “Wizard Spider 完全有能力招聘专业人才、构建新的数字基础设施，以及购买高级漏洞利用的访问权限。”

我们被告知，Wizard Spider“能够通过其运营的多个方面获利。它对数亿台设备上的大量垃圾邮件，以及针对高价值的集中数据泄露和勒索软件攻击负责。目标。”

由 Wizard Spider（尤其是 Conti）开发的恶意软件已引起美国和海外政府官员的注意。Conti 勒索软件被用于几乎关闭爱尔兰医疗保健系统的攻击，最近还破坏了哥斯达黎加政府机构。哥斯达黎加总统罗德里戈·查韦斯表示，他的国家正在与支持科尼的人交战。

过去一年，美国政府多次发出有关 Conti 的警告，本月早些时候悬赏高达 1500 万美元，以奖励有关开发 Conti 的组织中的关键人物以及使用勒索软件变体进行任何攻击的个人的信息。

确实是一个广泛的网络
该小组的范围很广，并且一直是各个网络安全团队研究的主题。据 Prodaft 称，Wizard Spider 通过运行 SystemBC 代理恶意软件的服务器集群控制全球数千台客户端设备。研究人员统计了 128,036 个 SystemBC 感染的盒子，其中大部分在俄罗斯（20.5%）和美国（12.9%）。

“虽然这两个国家是迄今为止最受欢迎的目标，但值得指出的是，中国、印度和巴西等其他主要经济体也有很好的代表性，”威胁猎手写道。“Wizard Spider 在世界上几乎每个发达国家以及许多新兴经济体都有重要的存在。”

Wizard Spider 发起的大多数攻击都是从使用 Qbot、SystemBC 和受损的商业电子邮件发起的大规模垃圾邮件活动开始的，目的是诱骗标记在他们的 Windows PC 上下载和运行该团伙的一些恶意软件。在那之后，“另一个团队使用基于域的选择来确定他们赎金要求的有价值的目标，并部署 Cobalt Strike 进行横向移动活动，”他们写道。“如果入侵团队成功获得域管理员权限，他们就会部署 Conti 的勒索软件菌株。

例如，一个 Wizard Spider 子团队专门用 Conti 勒索软件感染虚拟机管理程序服务器，例如由 VMware 的 ESXi 驱动的机器。一旦数据从受害者的盒子中被泄露，骗子就会上传恶意代码，加密信息并留下赎金记录。

该组织通过储物柜控制面板管理受害者。研究人员还发现，工作人员使用广泛存在的 Log4j 漏洞（称为 Log4Shell）直接扫描并利用了数百个 VMware vCenter 服务器，并且用于扫描的几个 IP 地址也用于 Cobalt Strike 命令和控制（C2）服务器在后来的攻击中。

启动研究部门
Wizard Spider 还投资开发了自己的技术，包括用于利用安全漏洞的定制工具包，包括Log4j 漏洞和运营商用来呼叫受害者要求支付赎金的定制 IP 语音 (VoIP) 系统。

冷呼叫系统存储子团队在进一步向受害者施压时可以使用的呼叫报告。这些报告包括勒索者给受害者的唯一名称、勒索软件攻击的时间以及使用“1”表示成功呼叫和“0”表示不成功或尚未成功的呼叫的呼叫状态。制作。

威胁猎手写道，还有一个定制的哈希破解系统“存储破解的哈希，更新攻击者的破解状态，并显示在其他服务器上破解尝试的结果”。该软件声称它可以破解广泛的常见散列类型，包括 LM:NTLM 散列、缓存的域凭据、Kerberos 5 TGS​​-REP/AS-REP 票证、KeePass 文件以及用于 MS Office 2013 文档的那些。

哈希破解管理应用程序还用作跟踪船员工作的通信工具，表明它在 Wizard Spider 的业务运作中发挥着核心作用。截至 Prodaft 报告时，破解套件中有 32 个活跃用户。

分析师们惊讶地发现 Wizard Spider 和 REvil 之间存在联系，该勒索软件集团对全球肉类供应商 JBS 和 IT 软件制造商 Kaseya 进行了破坏。Wizard Spider 用于其勒索活动的服务器偶尔会将其数据复制到俄罗斯的备份服务器，该备份服务器的磁盘大小约为 26TB。Prodaft 研究人员在这个备份存储中发现了一些数据，这些数据在 2021 年第一季度也遭到了 REvil 攻击的一些组织被盗。

网络专家写道：“这是勒索软件团伙之间合作的一个令人担忧的例子。” “但是，我们没有任何进一步的信息来确认是巫师蜘蛛团队实施了这些攻击，还是将被盗数据从 REvil 的服务器转移到了备份存储中。”

在今天发布的联合公告中，CISA 和多国信息共享与分析中心 (MS-ISAC) 警告管理员针对关键 F5 BIG-IP 网络安全漏洞 (CVE-2022-1388) 的主动攻击。

“CISA 和 MS-ISAC 预计会在政府和私营部门网络中看到未修补的 F5 BIG-IP 设备（主要具有公开暴露的管理端口或自有 IP）的广泛利用，”该公告 称。

“CISA 鼓励用户和管理员审查检测方法和缓解措施的联合咨询，其中包括更新 F5 BIG-IP 软件，或者，如果无法立即更新，则应用临时变通办法，”网络安全机构 补充说。

敦促管理员从互联网上删除 F5 BIG-IP 管理接口，并尽快实施多因素身份验证，以阻止对易受攻击的设备的访问。

还建议组织立即将 F5 BIG-IP 软件升级到现已针对 CVE-2022-1388 漏洞进行修补的最新版本。

那些今天无法修补他们的系统的人应该实施以下临时变通办法，以消除攻击媒介：

通过自身 IP 地址阻止 iControl REST 访问。
通过管理界面阻止 iControl REST 访问。
修改 BIG-IP httpd 配置。
该公告还附带 Snort 和 Suricate 签名 ，以检测受损系统并在发生违规时提供详细 的事件响应建议 。

鼓励未立即应用补丁的组织和在线公开 F5 BIG-IP 设备管理界面的组织假设已受到攻击，并开始使用今天联合公告中包含的检测签名来寻找恶意活动。

允许设备接管的严重错误
在 BIG-IP iControl REST 身份验证组件中发现了该漏洞（跟踪为 CVE-2022-1388），它使远程攻击者能够在未修补的 BIG-IP 网络设备“root”上执行命令而无需身份验证。

在安全研究人员在 Twitter 和 GitHub 上在线分享漏洞利用后，攻击者开始利用此漏洞。

尽管这些威胁行为者中的大多数最初只是在受感染的设备上投放了 web shell，但 SANS 互联网风暴中心和安全研究员 Kevin Beaumont 发现了恶意行为者 擦除易受攻击的 BIG-IP 设备的 Linux 文件系统的攻击。

“我们已与 SANS 联系并正在调查此问题。如果客户尚未这样做，我们敦促他们更新到 BIG-IP 的固定版本或实施安全公告中详述的缓解措施之一，”F5 说当 BleepingComputer 寻求有关这些破坏性攻击的更多信息时。

“我们强烈建议客户永远不要将他们的 BIG-IP 管理界面 (TMUI) 暴露在公共互联网上，并确保采取适当的控制措施来限制访问。”

今天的公告是在一周前 CISA 的积极利用漏洞列表中包含 CVE-2022-1388 F5 BIG-IP 漏洞之后发布的。

在 5 月 31 日之前，网络安全机构已要求所有联邦民事行政部门机构 (FCEB) 机构修补积极利用的漏洞，并阻止正在进行的、可能具有破坏性的利用尝试。

VMware今天警告客户立即修补多个产品中的一个“影响本地域用户”的关键身份验证绕过漏洞，该漏洞可被利用以获得管理员权限。

该漏洞（编号为 CVE-2022-22972）由 Innotec Security 的 Bruno López 报告，他发现它会影响 Workspace ONE Access、VMware Identity Manager (vIDM) 和 vRealize Automation。

“具有网络访问 UI 的恶意行为者可能无需进行身份验证即可获得管理访问权限，”该公司解释说。

管理员敦促立即修补
VMware周三警告说：“应根据 VMSA-2021-0014 中的说明立即修补或缓解此严重漏洞。”

“此漏洞的后果很严重。鉴于漏洞的严重性，我们强烈建议立即采取行动，”

该公司还修补了第二个高严重性本地权限提升安全漏洞 (CVE-2022-22973)，该漏洞可让攻击者将未修补设备的权限提升为“root”。

受这些安全漏洞影响的 VMware 产品的完整列表包括：

VMware Workspace ONE Access（访问）
VMware 身份管理器 (vIDM)
VMware vRealize 自动化 (vRA)
VMware 云基础
vRealize Suite 生命周期管理器
虽然 VMware 通常会在大多数安全公告中添加有关主动利用的说明，但 VMware 并未在今天的 VMSA-2022-0014 公告中包含此类信息。

VMware 在其知识库网站上提供补丁下载链接和安装说明。

解决方法也可用
VMware 还为无法立即修补其设备的管理员提供临时解决方法。

此处详述的步骤要求管理员禁用除一名预配管理员之外的所有用户，并通过 SSH 登录以重新启动 Horizo​​n-workspace 服务。

但是，该公司不建议应用此变通方法，并表示完全解决 CVE-2022-22972 漏洞的唯一方法是修补易受攻击的产品。

“从您的环境中删除漏洞的唯一方法是应用 VMSA-2021-0014 中提供的补丁。解决方法虽然方便，但不会删除漏洞，并且可能会引入补丁不会带来的额外复杂性，”VMware 补充道。

“虽然修补或使用解决方法的决定权在您，但 VMware 始终强烈建议将修补作为解决此类问题的最简单、最可靠的方法。”

此处提供了一份支持文档，其中包含有关今天修补的关键漏洞的问题和答案列表。

4 月，VMware修补了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另一个严重漏洞，即远程代码执行错误 (CVE-2022-22954)。

在一个概念验证漏洞被在线发布以部署硬币矿工并安装后门后的一周内，攻击者开始在攻击中利用它。

由于受到攻击的风险增加，国土安全部的网络安全部门今天下令联邦民事执行局 (FCEB) 机构在周一之前紧急更新或从其网络中删除 VMware 产品。

在 VMware 今天修补了两个新漏洞 （CVE-2022-22972 和 CVE-2022-22973）之后，网络安全和基础设施安全局 (CISA) 于周三发布了紧急指令 22-03，即 绕过身份验证和影响多个产品的本地权限提升。

4 月，VMware 修补了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另一组严重漏洞、远程代码执行错误 (CVE-2022-22954) 和“root”权限提升 (CVE-2022-229600)。

虽然今天的 VMware 漏洞尚未在野外被利用，但攻击者在对更新进行逆向工程后 48 小时内开始利用 4 月修复的漏洞，以 部署硬币矿工 并 安装后门。

受这四个安全漏洞影响的 VMware 产品的完整列表包括：

VMware Workspace ONE Access（访问）
VMware 身份管理器 (vIDM)
VMware vRealize 自动化 (vRA)
VMware 云基础
vRealize Suite 生命周期管理器
VMware表示所有四个安全漏洞“应该立即修补或缓解”，并补充说它们的后果“很严重”。

下令在周一之前修补或断开连接的机构
CISA 确定所有这些安全漏洞都对联邦机构构成了不可接受的风险，并已命令他们采取紧急行动，在 5 天内，即 5 月 23 日之前，对 CVE-2022-22972 和 CVE-2022-22973 进行修补。

“这一决定是基于已确认的 CVE-2022-22954 和 CVE-2022-22960 被野外威胁者利用、未来利用 CVE-2022-22972 和 CVE-2022-22973 的可能性、联邦企业中受影响的软件，以及机构信息系统受损的可能性很大，”网络安全机构 表示。

“CISA 希望威胁行为者能够快速开发出利用这些新发布的漏洞在相同受影响的 VMware 产品中的能力。”

根据新的紧急指令，所有 FCEB 机构必须在美国东部时间周一（2022 年 5 月 23 日）下午 5 点之前采取以下行动：

在其网络上查找所有受影响的 VMware 产品并部署更新或将其从网络中移除，直到可以修补它们。
假设所有暴露在 Internet 上的受影响的 VMware 产品受到威胁， 开展威胁搜寻活动，并向 CISA 报告任何异常情况。
在美国东部时间周二（2022 年 5 月 24 日）下午 12 点之前，所有机构都应使用 Cyber​​scope 报告在其网络上发现的所有 VMware 实例的状态。

“本紧急指令一直有效，直到 CISA 确定所有运营受影响软件的机构都已执行该指令的所有必要措施，或者该指令通过其他适当措施终止，”CISA 补充说。

威胁行为者通过在虚假加密交易网站上向其他人的帐户发送登录凭据来引诱潜在的窃贼，这再次说明窃贼之间没有荣誉。

这种新的加密货币骗局最近越来越受到关注，涉及将凭据共享到一个在线交易账户的电子邮件和文本，该账户持有 30 个比特币供他们提取，今天的交易价格约为 900,000 美元。

安全分析师 Jan Kopriva 看到的网络钓鱼电子邮件通知收件人，Orbitcoin 交易平台上的帐户已添加 30 BTC 的存款。
在电子邮件中，骗子包括客户 ID（用户名）和密码，实质上是诱使目标登录系统以访问存储的比特币。

发送给潜在受害者的电子邮件 (isc.sans.edu)
Orbitcoin 平台是假的，但诈骗者在创建一个看起来像真正的加密货币交易所的令人信服的网站方面做得非常出色，至少对于粗心的访问者来说是这样

Orbitcoin 的主页（ZZQIDC）
在撰写本文时，该骗局网站仍然在线，尽管一些具有互联网安全功能的防病毒工具将其标记为恶意网站。

Kopriva 决定按照这些步骤记录自己进入骗局的方式，以便在 ISC 论坛上发表文章。

诈骗过程
如果电子邮件收件人认为邮件是错误发送给他们的，并决定使用“Rob Hoffman”的钱，他们可以使用发送的凭据登录 Orbitcoin 上的帐户。

在通过短信或自动电话进行双重身份验证步骤后，进一步提高了 Orbitcoin 的模拟合法性，允许受害者访问该帐户。

虚假交易平台确实在账户上显示 30 BTC 作为可用金额，但对于第一次提款，它不允许超过 0.0001 BTC 的金额，据说是出于安全原因。

由于银行账户提款不可用，受害者将资金转移到比特币钱包，他们只剩下 29.9999 BTC。

这里发挥作用的技巧是账户所有者，据说是 Rob，在创建投资组合时设置了 30.006 BTC 的最低提款限额。

阻止提取可用金额的消息 (isc.sans.edu)
受害者认为，他们需要获得这 900,000 美元，只需加上大约 180 美元，这当然会直接进入诈骗者的口袋。

在存款地址(isc.sans.edu)上支付少量费用
Kopriva 注意到提供的用于存入这笔金额的比特币钱包地址是空的，但这可能只是诈骗者使用的众多地址之一，不断轮换它们以处理报告和逃避追踪。

BleepingComputer 知道威胁参与者将此骗局与其他加密货币一起使用，包括 Tether (USDT) 和以太坊。

威胁参与者还通过短信发送这些诈骗，最常见的网站域如下所示：

usdtmnb.com
btc-banking.net
trcausdvip.com
发现欺诈
这些活动是威胁行为者为使骗局看起来令人信服而付出了多少努力的另一个例子，尤其是当他们添加 2FA 验证、安全撤回限制等时。

虽然用户不应该点击电子邮件中嵌入的链接，但如果您最终以这种方式访问​​网站，请密切注意欺诈迹象。

在这种情况下，联系部分甚至没有列出电子邮件或电话号码，使得客户支持代理只能从帐户仪表板中获得。

Orbitcoin 网站 （ZZQIDC）上提供的联系方式
此外，提供的地址对应于英国的一个马场，而页脚中的公司注册详细信息属于不锈钢产品制造商。

欺诈的另一个迹象是使用“私人用户”作为帐户持有人的姓名，这也可能表明诈骗者使用了除 Rob Hoffman 之外的更多姓名。

考虑到霍夫曼应该已经设置了提款限制，因此他已经可以访问该帐户，因此在电子邮件中包含新创建帐户的凭据本身就很奇怪。

最后，也是最重要的一点，虽然登录该人的帐户并查看资金是否存在可能很诱人，但这样做可能是非法的，如果不是道德上的错误的话。

微软警告使用弱密码针对暴露在 Internet 且安全性较差的 Microsoft SQL Server (MSSQL) 数据库服务器的暴力攻击。

虽然这不一定是 MSSQL 服务器第一次成为此类攻击的目标，但 Redmond 表示，最近观察到的这次活动背后的威胁行为者正在使用合法的 sqlps.exe 工具作为 LOLbin（即 living-off-the-land 的缩写）二进制）。

微软安全情报团队透露：“攻击者通过生成 sqlps.exe 实用程序（用于运行 SQL 构建的 cmdlet 的 PowerShell 包装器）来运行侦察命令并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件持久性。 ”

“攻击者还使用 sqlps.exe 创建一个新帐户，并将其添加到 sysadmin 角色中，使他们能够完全控制 SQL 服务器。然后他们获得执行其他操作的能力，包括部署像硬币矿工这样的有效负载。”

使用 sqlps（Microsoft SQL Server 附带的一个实用程序，它允许将 SQL Server cmdlet 作为 LOLBin 加载）使攻击者能够执行 PowerShell 命令，而不必担心防御者检测到他们的恶意行为。

它还有助于确保他们在分析攻击时不会留下任何痕迹，因为使用 sqlps 是绕过 脚本块日志记录的有效方法，这是一种 PowerShell 功能，否则会将 cmdlet 操作记录到 Windows 事件日志中。

3 月份报告了针对 MSSQL 服务器的类似攻击，当时它们的目标是部署 Gh0stCringe（又名 CirenegRAT）远程访问木马 （RAT）。

在 2 月份的前一次活动中，威胁攻击者入侵 MSSQL 服务器以 使用 Microsoft SQL xp_cmdshell 命令丢弃 Cobalt Strike 信标。

然而，多年来，MSSQL 服务器一直是大规模活动的一部分，恶意行为者每天试图劫持数千台易受攻击的服务器以实现各种最终目标。

在近两年的此类攻击系列（称为Vollgar）中，攻击者在暴力破解公开暴露的服务器以部署 Monero (XMR) 和 Vollar (VDS) 加密矿工后，使用 RAT 对 2,000 到 3,000 台服务器进行了后门。

为了保护他们的 MSSQL 服务器免受此类攻击，建议管理员不要将它们暴露给 Internet，使用无法猜测或暴力破解的强管理员密码，并将服务器置于防火墙后面。

建议管理员不要将它们暴露在 Internet 上，以保护其 MSSQL 服务器免受此类攻击。

您还应该：

使用无法轻易猜出或暴力破解的强管理员密码，并将服务器置于防火墙后面
启用日志记录以监控可疑或意外活动或重复登录尝试
应用最新的安全更新来减少攻击面并阻止利用针对已知漏洞的漏洞的攻击

NCC 集团的安全研究人员开发了一种工具来执行低功耗蓝牙 (BLE) 中继攻击，该攻击绕过所有现有保护以在目标设备上进行身份验证。

BLE 技术用于广泛的产品，从笔记本电脑、手机、智能锁和楼宇门禁系统等电子产品到特斯拉 Model 3 和 Model Y 等汽车。

推出针对此安全问题的修复程序很复杂，即使响应迅速且协调一致，更新仍需要很长时间才能传播到受影响的产品。

NCC 集团的安全研究人员开发了一种工具来执行低功耗蓝牙 (BLE) 中继攻击，该攻击绕过所有现有保护以在目标设备上进行身份验证。

BLE 技术用于广泛的产品，从笔记本电脑、手机、智能锁和楼宇门禁系统等电子产品到特斯拉 Model 3 和 Model Y 等汽车。

推出针对此安全问题的修复程序很复杂，即使响应迅速且协调一致，更新仍需要很长时间才能传播到受影响的产品。

在实验过程中，他们能够通过两个中继设备将来自 iPhone 的通信传送到汽车，一个放置在距离手机 7 米的地方，另一个放置在距离汽车 3 米的地方。手机和汽车之间的距离是25米。

该实验还成功地复制到了 2021 年的特斯拉 Model Y 上，因为它使用了类似的技术。下面是攻击的演示：

这些发现于 4 月 21 日向特斯拉报告。一周后，该公司回应称“中继攻击是被动进入系统的一个已知限制。”

研究人员还通知了 Kwikset（Kevo 系列智能锁的制造商）背后的母公司 Spectrum Brands。

可以做什么
NCC Group 对这种新的接近攻击的研究在三个单独的建议中 提供，一般针对 BLE ，针对特斯拉汽车，另一个 针对 Kwikset/Weiser智能锁，每个建议都说明了测试设备上的问题以及它如何影响更大的一组其他供应商的产品。

蓝牙核心规范警告设备制造商注意中继攻击，并指出不应将基于邻近的身份验证用于有价值的资产。

这给用户留下了很少的可能性，如果可能的话，禁用它，并切换到需要用户交互的替代身份验证方法。

另一种解决方案是制造商采用距离限制解决方案，例如 UWB（超宽带）无线电技术，而不是蓝牙。

鼓励特斯拉车主使用“PIN to Drive”功能，因此即使他们的汽车被解锁，至少攻击者将无法驾驶它。

此外，在手机静止时禁用移动应用程序中的被动进入功能将使中继攻击无法执行。

如果您的设备无法实现上述任何一项，请记住中继攻击的可能性并相应地实施额外的保护措施。

多个国家网络安全当局发布的联合安全公告今天揭示了威胁行为者最常利用的十大攻击媒介来破坏网络。

该咨询由美国、加拿大、新西兰、荷兰和英国的机构联合发布，包括缓解这些经常被利用的弱安全控制、糟糕的安全配置和不良做法的指导。

“网络攻击者经常利用糟糕的安全配置（配置错误或不安全）、控制薄弱和其他糟糕的网络卫生实践来获得初始访问权限或作为其他策略的一部分来破坏受害者的系统，”联合咨询中写道。

攻击者还经常使用一些最喜欢的技术来获得对受害者网络的初始访问权限，包括利用 Internet 暴露的应用程序、利用面向外部的远程服务、网络钓鱼、滥用组织对其合作伙伴的信任以及使用被盗凭据。

恶意行为者在使用上述网络破坏技术时所针对的前 10 个初始访问向量的完整列表包括：

不强制执行多因素身份验证 (MFA)。MFA，尤其是远程桌面访问，可以帮助防止帐户接管。
在访问控制列表中错误地应用了特权或权限和错误。这些错误可能会阻止执行访问控制规则，并可能允许未经授权的用户或系统进程被授予对对象的访问权限。
软件不是最新的。未打补丁的软件可能允许攻击者利用众所周知的漏洞来访问敏感信息、发起拒绝服务攻击或控制系统。
使用供应商提供的默认配置或默认登录用户名和密码。许多软件和硬件产品“开箱即用”，出厂默认配置过于宽松，旨在使产品易于使用并减少客户服务的故障排除时间。
远程服务，例如虚拟专用网络 (VPN)，缺乏足够的控制来防止未经授权的访问。近年来，已经观察到针对远程服务的恶意威胁行为者。
未实施强密码策略。恶意网络参与者可以使用多种方法来利用弱密码、泄露密码或受损密码，并未经授权访问受害系统。
云服务不受保护。配置错误的云服务是网络攻击者的常见目标。糟糕的配置可能会导致敏感数据被盗，甚至是加密劫持。
开放的端口和错误配置的服务暴露在互联网上。这是最常见的漏洞发现之一。网络攻击者使用扫描工具来检测开放端口，并经常将其用作初始攻击媒介。
未能检测或阻止网络钓鱼尝试。网络攻击者发送带有恶意宏的电子邮件（主要是在 Microsoft Word 文档或 Excel 文件中）以感染计算机系统。
端点检测和响应不佳。网络攻击者使用模糊的恶意脚本和 PowerShell 攻击绕过端点安全控制并对目标设备发起攻击。

降低违规风险的最佳实践
该联合公告还包含一份最佳实践候选清单，以帮助保护网络免受针对上述弱安全控制、不良配置和不良安全实践的攻击。

它包括使用控制访问、强化凭据（包括 MFA 和更改默认密码）、集中式日志管理以及防病毒和检测工具（包括入侵检测和预防系统）。

还建议组织始终确保面向公众的服务使用安全配置，并通过补丁管理程序保持软件更新。

上个月，与 NSA 和 FBI 合作，五眼网络安全机构还发布了2021 年攻击者经常利用的前 15 个漏洞的列表。

CISA 和 FBI 还联合发布 了 2016 年至 2019 年 最常被利用的安全漏洞列表，以及2020 年最受攻击的安全漏洞列表 。

最后但同样重要的是，在 11 月，MITRE 分享了 2021 年 困扰硬件的最危险的编程、设计和架构安全漏洞列表，以及 2019 年和 2020 年困扰软件的 25 个最常见和最危险的漏洞。

微软表示，Defender for Endpoint 现在带有一种新的“故障排除模式”，可以帮助 Windows 管理员测试 Defender 防病毒性能并运行兼容性方案，而不会被篡改保护阻止。

新模式在公共预览版中可用，它使管理员能够在诊断误报应用程序块或执行性能故障排除时禁用或更改篡改保护设置

默认情况下禁用此仅限企业的功能，并且根据 Microsoft 的说法，它需要 Microsoft 365 Defender 访问权限。

“引入故障排除模式，这是一种独特、创新且安全的方式来调查和调整设备上的配置，”微软的 Juli Hooper 解释说。

“此模式将使设备上的本地管理员能够覆盖设备上的 Microsoft Defender 防病毒安全策略配置，包括篡改保护。”

要在预览版中试用此新功能，您需要：

运行 Windows 10（版本 19044.1618 或更高版本）、Windows 11、Windows Server 2019 或 Windows Server 2022 的设备。
Microsoft Defender for Endpoint 在设备上进行租户注册并处于活动状态。
Microsoft Defender 防病毒软件，版本 4.18.2203 或更高版本，在设备上运行。
如何启用 Defender for Endpoint 故障排除
您可以通过以下过程启用故障排除模式：

转到 Microsoft 365 Defender 门户 ( https://security.microsoft.com ) 并登录。
导航到要启用故障排除模式的设备的设备页面/机器页面，然后选择打开故障排除模式。请注意，这需要在Microsoft Defender for Endpoint 的安全中心权限中管理安全设置。
确认您要为设备打开故障排除模式。
现在设备页面显示设备处于故障排除模式（请注意，只要设备处于故障排除模式，菜单项将保持灰色）。

在对特定端点启用故障排除后，管理员有 3 小时的时间来调整和测试系统配置以匹配其组织的环境。

适用于 Microsoft Defender for Endpoint 的故障排除模式方案包括：

诊断应用程序安装问题，
由于 Windows Defender (MsMpEng.exe) 导致 CPU 使用率高，
应用程序需要更长的时间来执行操作，
Microsoft Office 插件被攻击面减少阻止，
以及被网络保护阻止的特定域。
测试窗口关闭后，将恢复启用故障排除模式之前配置的所有安全设置。

此外，组织的安全或 IT 管理员创建的任何新安全策略都将自动应用（它们将在故障排除过程中被阻止）。

“在故障排除模式后，其他诊断文件将可供收集。您的安全管理员可以使用收集调查包功能收集诊断文件，”Hooper补充道。

“这些文件包括故障排除窗口期间MpPreferences和MpLogs的前后快照。”

Microsoft 还提供了有关在此处启用此新模式之前需要了解的信息 以及此处 有关可用方案的 其他信息。