德国最高法院裁定，即使内容是由第三方发布的，也必须让 YouTube 和其他平台为侵犯知识产权的行为付出代价

但是，平台只有在得知非法下载后没有迅速做出反应并立即阻止访问的情况下才能承担责任。此外，根据法院命令，媒体平台运营商将被要求披露违法用户的身份以及他们的电子邮件地址。

该决定是在欧洲“创意产业”与在线平台之间长期持续存在的争议之际做出的，他们正试图从中收取非法分发内容的赔偿。该主题是关于平台和社交媒体应在多大程度上负责过滤不适当、非法或仇恨内容的更广泛辩论的一部分。

德国法院的裁决是基于欧洲法院去年作出的类似裁决。该案考虑了与该案相关的诉讼，当时一名音乐制作人的律师就其中一名音乐人的录音和录像非法放置而向 YouTube 提起诉讼，但内容未被及时删除。

法院没有根据案情审理案件，将其退回前审法院根据新的指示评估情况。YouTube 表示，它对该服务为打击侵犯知识产权而创建的系统充满信心。它们旨在为权利人提供“公平份额”。

这不是 YouTube 唯一的烦恼。最近有报道称，俄罗斯可能会阻止该服务或限制对其的访问，但Roskomnadzor 否认了这些谣言。

微软表示，它阻止了一个其追踪为 Polonium 的黎巴嫩黑客组织使用 OneDrive 云存储平台进行数据泄露和指挥和控制，同时瞄准和损害以色列组织。

该公司还暂停了 20 多个用于 Polonium 攻击的恶意 OneDrive 应用程序，通知目标组织并通过安全情报更新隔离威胁参与者的工具。

根据雷德蒙德的分析，自 2022 年 2 月以来，在主要针对以色列关键制造业、IT 和国防工业部门的攻击中，Polonium 运营商还可能与多个与伊朗有关的威胁参与者协调了他们的黑客攻击尝试。

微软表示：“我们还以适度的信心评估观察到的活动是与伊朗情报和安全部 (MOIS) 下属的其他参与者协调的，主要基于受害者的重叠和工具和技术的通用性。”

“德黑兰的这种合作或指示将与自 2020 年底以来伊朗政府正在利用第三方代表他们开展网络行动的一系列爆料相吻合，这可能会增强伊朗的合理推诿。”

在一些攻击中，微软观察到证据表明 MOIS 运营商可能为 Polonium 黑客提供了访问先前被破坏的网络的权限。

钋运营商还瞄准了受 MuddyWater APT 组织入侵的多名受害者，该组织被微软追踪为 Mercury，并 与 美国网络司令部与伊朗情报和安全部有联系。

威胁参与者在他们的攻击中使用了几种恶意软件，例如 CreepyDrive 和基于 PowerShell 的 CreepySnail 植入程序，用于命令和控制以及数据盗窃。

可能通过易受攻击的 Fortinet 设备进行初始访问
微软补充说，对于绝大多数受害者来说，初始访问向量似乎是未修补的 Fortinet FortiOS SSL VPN 设备，这些设备易受 CVE-2018-13379 攻击，该漏洞针对允许登录凭据被盗的关键路径遍历漏洞。

这是在黑客于 2020 年 11 月泄露了 近 50,000 个易受攻击的 Fortinet VPN的凭据之后，就在网上共享 了 CVE-2018-13379 单线漏洞列表的几天后 。

将近一年后，据称从可利用设备 中抓取的近 500,000 个 Fortinet VPN 凭据的列表再次在网上泄露。

美国、英国和澳大利亚的网络安全机构在 2021 年 11 月警告说，伊朗支持的黑客组织正在积极利用几个 Fortinet 漏洞（包括 CVE-2018-13379 路径遍历）。

“虽然我们继续确认 POLONIUM 如何获得对许多受害者的初始访问权限，但 MSTIC 指出，大约 80% 的观察到的向 graph.microsoft.com 发送信标的受害者正在运行 Fortinet 设备，”微软 补充道。

“这表明，但不能明确证明，POLONIUM 通过利用 CVE-2018-13379 漏洞来获取对受感染组织的访问权限，从而破坏了这些 Fortinet 设备。”

Microsoft 敦促客户确保 Microsoft Defender 防病毒软件使用最新的安全智能更新（1.365.40.0 或更高版本），并对所有远程连接强制执行多重身份验证 (MFA)，以阻止滥用可能受损的凭据。

威胁分析师发现了一种名为 Clipminer 的新型加密货币挖掘恶意软件的大规模操作，该恶意软件为其运营商带来了至少 170 万美元的交易劫持。

据博通公司赛门铁克的研究人员称，Clipminer 基于KryptoCibule恶意软件。这两种木马都专注于在受感染的机器上窃取钱包、劫持交易和挖掘加密货币。

这个新木马被安全研究人员命名为 Clipminer，他们绘制了它的操作图，在发现它时它的规模已经膨胀了。

在分析这项新操作时，赛门铁克发现 4375 个加密货币钱包地址据信已收到被盗资金。

Clipminer 的工作原理
Clipminer 以 WinRAR 压缩文件的形式放置在主机系统上，并自动解压缩以启动下载动态链接库 (.DLL) 的控制面板 (.CPL) 文件。

DLL 创建一个新的注册表值并将其自身放置在随机文件名下的“C:\Windows\Temp\”上。其目的是分析主机并从 Tor 网络下载和安装 Clipminer 有效负载。

系统 ID 通过 Tor 上的 HTTP GET 请求发送到命令和控制服务器 (C2)，并且 10MB 有效负载被接收到“C:\ProgramData\”或“C:\Program Files (x86)\”，或“[用户配置文件]\AppData\Local\”。

研究人员在今天的一份报告中指出，在执行后，恶意软件会创建计划任务以保持持久性，并创建一个空注册表项，可能作为感染标记，以防止再次感染同一主机。

接下来，有效负载启动具有唯一地址的 v3 Onion 服务并监控主机上的所有键盘和鼠标活动。它还检查正在运行的进程以识别任何分析工具。

当主机上没有活动时，表明用户不在，Clipminer 启动一个 XMRig Monero 矿工，配置为使用所有可用的 CPU 线程。由于机器是无人监督的，因此不存在系统性能下降导致感染的风险。

与此同时，该恶意软件不断监控剪贴板中复制的加密货币地址，并用属于攻击者的其他地址即时替换它们，从而转移付款。

Clipminer 如何更改受害者复制的钱包地址 （赛门铁克）
如何保持安全

赛门铁克表示，Clipminer 的第一批样本在 2021 年 1 月左右开始传播，而恶意活动在 2 月加快了步伐。

此后，该恶意软件通过游戏和盗版软件破解传播，并在 P2P 网络、torrent 索引器或 YouTube 视频上传播。

避免从不知名的来源下载软件，以尽量减少感染 Clipminer 或其他恶意软件的机会。

为了保护自己免受任何剪贴板劫持者的侵害，请在开始交易之前检查粘贴的加密货币钱包地址。

分析臭名昭著的 Conti 勒索软件操作泄露的聊天记录的研究人员发现，俄罗斯网络犯罪集团内部的团队正在积极开发固件黑客。

根据网络犯罪集团成员之间交换的消息，Conti 开发人员创建了概念验证 (PoC) 代码，利用英特尔的管理引擎 (ME) 覆盖闪存并获得 SMM（系统管理模式）执行。

ME 是英特尔芯片组中的嵌入式微控制器，运行微操作系统以提供带外服务。Conti 对该组件进行模糊测试，以找到它们可以利用的未记录功能和命令。

从那里，Conti 可以访问托管 UEFI/BIOS 固件的闪存，绕过写保护，并在受感染的系统上执行任意代码。

最终目标是删除一个 SMM 植入程序，该植入 程序将以可能的最高系统权限 (ring-0) 运行，但实际上无法从操作系统级安全工具中检测到。

泄露的聊天记录摘录（翻译） （Eclypsium）
值得注意的是，与针对 UEFI 固件缺陷、帮助 Conti 感染以及后来由勒索软件组织实施的TrickBot 模块相反，新发现表明恶意工程师正在努力在 ME 中发现新的未知漏洞。

勒索软件中的固件攻击
为了使固件攻击成为可能，勒索软件参与者首先需要通过网络钓鱼、利用漏洞或执行供应链攻击等公共途径访问系统。

在破坏 ME 之后，攻击者必须根据允许访问的“写外保护”区域来遵循攻击计划，具体取决于 ME 实施和各种限制/保护。

Eclypsium 表示，这些可能是访问以覆盖 SPI 描述符并将 UEFI/BIOS 移出受保护区域，也可能是直接访问 BIOS 区域。

使用 ME 访问未受保护的 BIOS 区域 （Eclypsium）
还有 ME 无法访问两者的情况，在这种情况下，威胁参与者可以利用英特尔的管理引擎强制从虚拟媒体启动并解锁支持 SPI 控制器的 PCH 保护。

Conti 可以使用这种攻击流永久地破坏系统，获得最终的持久性，逃避防病毒和 EDR 检测，并绕过操作系统层的所有安全控制。

Conti 走了，但代码还活着

虽然 Conti 行动似乎已经关闭，但它的许多成员已经转移到其他勒索软件行动，他们继续进行攻击。

这也意味着为开发像 Eclypsium 在泄露的聊天中发现的漏洞所做的所有工作将继续存在。

正如研究人员解释的那样，自去年夏天以来，Conti 就为这些攻击提供了一个有效的 PoC，因此他们很可能已经有机会在实际攻击中使用它。

RaaS 可能会以更名的形式回归，核心成员可能会加入其他勒索软件操作，总体而言，这些漏洞将继续使用。
为了防止威胁，请为您的硬件应用可用的固件更新，监控 ME 的配置更改，并定期验证 SPI 闪存的完整性。

马萨诸塞州尼德汉姆，2022 年 6 月 1 日——根据国际数据公司 ( IDC )最新的全球手机季度季度追踪预测，2022 年智能手机出货量将下降 3.5% 至 13.1 亿部。在连续三个季度下滑并面临越来越大的挑战之后在供需方面，IDC 已将其对 2022 年的预测从之前预测的 1.6% 增长大幅下调。然而，IDC 预计，随着市场反弹，到 2026 年实现 1.9% 的五年复合年增长率 (CAGR)，这将是一个短期的挫折。

“智能手机行业正面临来自多方面日益增长的逆风——需求疲软、通货膨胀、持续的地缘政治紧张局势以及持续的供应链限制。然而，中国封锁的影响——看不到明确的结局——要大得多， ” IDC全球移动和消费设备跟踪器研究总监Nabila Popal说. “封锁通过减少全球最大市场的需求并收紧已经受到挑战的供应链的瓶颈，同时打击了全球需求和供应。因此，许多原始设备制造商削减了今年的订单，包括苹果和三星。然而，苹果似乎成为受影响最小的供应商，因为对其供应链的控制力更强，而且高价部分的大多数客户受通货膨胀等宏观经济问题的影响较小。除非出现任何新的挫折，我们预计这些挑战最终会缓解今年和市场将在 2023 年以 5% 的增长复苏。”

“持续的半导体供应问题将在 2022 年下半年缓解。在 SoC 方面，4G SoC 供应一直紧张，但市场继续向 5G SoC 转移，” IDC 使能技术和研究总监Phil Solis表示半导体团队。“更大的问题是 PMIC、显示驱动器和分立 Wi-Fi 芯片等组件供应紧张。这些在更高工艺节点中制造的半导体的产能正在增加，并且正在制造更新版本的 Wi-Fi 芯片“随着更新的工艺节点。与此同时，需求正在下降。结合起来，这些供需变化将使市场更加平衡。”

从区域来看，预计 2022 年中欧和东欧 (CEE) 的降幅最大，出货量下降 22%。预计中国将下降 11.5% 或约 3800 万台，约占今年全球出货量下降的 80%。西欧预计将下降 1%，而大多数其他地区今年将出现正增长，包括亚太地区（不包括日本和中国）（APeJC）的增长 3%，是仅次于中国的第二大地区。

预计 2022 年 5G 设备将同比增长 25.5%，占新出货量的 53%，拥有近 7 亿台设备，平均售价 (ASP) 为 608 美元。受中国5G产品渠道库存增加和市场预测整体下调的影响，今年的出货量预期大幅下调。从长远来看，预计 2026 年 5G 的销量份额将达到 78%，平均售价为 440 美元。相比之下，4G ASP 预计在 2022 年为 170 美元，到预测期结束时降至 113 美元。由于短缺以及组件和物流成本的上升，所有设备的 ASP 在短期内略有增加。但是，从长远来看，趋势将保持向下。智能手机 ASP 将从 2022 年的 402 美元下降到 2026 年的 366 美元。

网络安全研究人员发现了一个新的以 RuneScape 为主题的网络钓鱼活动，它在各种操作中脱颖而出，制作精良。

RuneScape 是二十年前首次发布的免费在线 MMORPG 游戏，但仍继续在游戏社区中流行并受到数百万玩家的喜爱。

多年来，其“老派”版的活跃玩家数量一直在稳步增长，并在 2019 年开发者发布移动版时大幅飙升。

Malwarebytes 发现的最新网络钓鱼活动试图通过虚假的电子邮件更改通知针对 Old School 和标准 (RuneScape 3) 版本的玩家。

它从一封电子邮件开始
最初的电子邮件假装来自 Jagex 支持，即 RuneScape 系列的开发者和出版商，通知收件人两个版本的电子邮件更改成功。

该消息

发送给 RuneScape 用户的钓鱼邮件 (Malwarebytes)
建议不同意此更改的收件人单击嵌入在电子邮件正文中的“取消更改”按钮。或者，如果按钮不起作用，诈骗者会提供一个 URL 供受害者在浏览器上手动复制粘贴。

在这两种情况下，受害者都会被带到一个域名靠近真实门户的网络钓鱼站点，并使用合法的艺术品和风格使其看起来像真实的。

这种虚假登录会提示用户输入他们的登录凭据，以取消更改与该帐户关联的电子邮件地址。

窃取玩家凭据的网络钓鱼站点 (Malwarebytes)
由于帐户的凭据没有更改，因此受害者在网络钓鱼站点上输入了它们。之后，第二个网页加载，要求受害者提供他们的 RuneScape 游戏内银行 PIN。

请求受害者银行 PIN 码的网页
​​​​​​​（ Malwarebytes）
RuneScape 中的银行是玩家通过支付真钱或花费大量时间收集稀有游戏内物品来建立的虚拟游戏物品储藏室。

通过泄露他们的银行 PIN 和帐户凭据，受害玩家可以完全访问他们收集的所有物品给网络钓鱼骗子，然后他们可能会转移这些物品或接管帐户并将其出售给感兴趣的个人。
滥用 Discord 窃取帐户
根据 Malwarebytes 的说法， 在虚假登录页面上运行的 JavaScript 代码通过 Discord Webhook 将被盗数据发送给攻击者，该 Webhook 将其发布到攻击者控制的通道中。

代码中存在 Discord 引用 （Malwarebytes）
在那里，威胁参与者可能会坐下来等待新消息的到来，并在身份验证代码到期之前迅速采取行动控制受害者的帐户。

今天，Cyble 发布了一份关于新版本信息窃取恶意软件 Hazard Token Grabber 的报告，该恶意软件还使用 webhook 将被盗数据泄露到 Discord 频道。

自从恶意软件运营商发现其潜力以来，Discord Webhooks 的滥用一直很猖獗。该平台曾告诉 Bleeping Computer，它不久前正在积极检测并阻止此活动，但恶意操作的数量显然太高而无法控制。

如何保持安全
如果您是 RuneScape 玩家并且担心自己的帐户安全，请注意，在您确认操作之前，Jagex 支持人员永远不会更改您的电子邮件地址，因此所有这些“意外”电子邮件都是网络钓鱼。

该游戏还在论坛上维护了一个网络钓鱼报告中心，以帮助保护玩家免受这些诈骗企图的伤害，因此请确保在那里提交可疑消息。

最后，切勿单击电子邮件正文上的嵌入式按钮。如果您收到一封声称您的帐户的电子邮件，请手动访问游戏的官方网站并从那里登录以查看任何警报。

一些美国联邦机构今天警告组织不要支付 Karakurt 团伙提出的赎金要求，因为这不会阻止他们被盗的数据被出售给他人。

Karakurt 是 Conti 勒索软件团伙和网络犯罪集团的数据勒索部门，至少自 2021 年 6 月以来一直专注于从公司窃取数据，并以在线发布信息的威胁迫使他们支付赎金。

在 2021 年 9 月至 2021 年 11 月之间的短短两个月内，已有 40 多个组织成为 Karakurt 黑客攻击的受害者。

在窃取了受害者的数据后，Karakurt 要求在一周内支付价值 25,000 至 1300 万美元的比特币赎金。

勒索团伙通过电子邮件和电话骚扰他们的商业伙伴、客户和员工，促使他们要求谈判以防止数据泄露，从而迫使受害者支付数据勒索赎金。

FBI、CISA、美国财政部和FinCEN 在联合咨询中表示。

“美国政府强烈反对向 Karakurt 威胁参与者或任何承诺删除被盗文件以换取付款的网络犯罪分子支付任何赎金。”

也以夸大其词着称
联邦机构进一步透露，Conti 勒索部门还以经常夸大他们从受害者网络中窃取的数据的数量和价值而闻名。

在某些情况下，Karakurt 甚至声称窃取的数据超过了受害者的服务器可以存储的数据。

这些机构补充说：“卡拉库特演员还夸大了受害者受到损害的程度以及被盗数据的价值。”

“例如，在某些情况下，Karakurt 演员声称窃取的数据量远远超出受感染系统的存储容量，或者声称窃取不属于受害者的数据。”

今天的联合公告还详细介绍了 Karakurt 运营商在所有攻击阶段所使用的策略、妥协指标和缓解措施，以防止或阻止他们的黑客攻击。

美国联邦机构还分享了所有组织为减轻勒索软件威胁而应采取的行动的候选清单，包括优先针对在野外利用的安全漏洞的补丁、培训用户识别和报告网络钓鱼攻击以及执行多因素身份验证 (MFA)。

联邦调查局 (FBI) 和美国司法部今天宣布扣押三个域，这些域被网络犯罪分子用来出售在数据泄露中被盗的个人信息并提供 DDoS 攻击服务。

WeLeakInfo.to 出售订阅服务，允许其用户搜索包含在 10,000 多起数据泄露事件中被盗信息的数据库。

大约 70 亿条记录包含各种个人身份信息 (PII)，包括姓名、电子邮件地址、用户名、电话号码和在线帐户的密码。

另外两个域 ipstress.in 和 ovh-booter.com 用于提供引导程序或压力源攻击服务，客户可以要求他们选择的网站或 Web 平台在大规模分布式拒绝服务 (DDoS) 中被关闭) 攻击。

“今天，联邦调查局和司法部制止了两个令人痛心的常见威胁：贩卖被盗个人信息的网站以及攻击和破坏合法互联网业务的网站，”美国检察官马修·格雷夫斯说。

“网络犯罪经常跨越国界。通过与我们的国际执法合作伙伴建立牢固的工作关系，我们将解决此类威胁全球隐私、安全和商业的犯罪。”

这些域名是在与荷兰国家警察总队和比利时联邦警察协调的联合执法行动后被没收的。

这一国际执法行动还导致逮捕了一名嫌疑人，没收了服务器基础设施，并在多个地点进行了搜查。

2020年查获的WeLeakInfo.com
FBI 和美国司法部还宣布于 2020 年 1 月没收 WeLeakInfo.com 域，用于类似的网络犯罪活动。

就像 WeLeakInfo.to 一样，它还提供订阅服务，允许客户搜索 120 亿条索引记录，以查找在数千个数据泄露事件中暴露的特定信息。

作为 2020 年 WeLeakInfo 缉获行动的一部分，两名据信从其运营中赚了 20 万英镑的嫌疑人在爱尔兰和荷兰被捕。

“这些缉获是联邦调查局和我们的国际合作伙伴正在采取行动破坏恶意网络活动的主要例子，”联邦调查局负责人韦恩·A·雅各布斯的特别探员补充说。

“破坏恶意 DDoS 操作并拆除有助于盗窃和出售被盗个人信息的网站是 FBI 的首要任务。”

黑客瞄准了安全性较差的 Elasticsearch 数据库，并用赎金票据替换了 450 个索引，要求 620 美元来恢复内容，总需求为 279,000 美元。

威胁行为者设定了 7 天的付款期限，并威胁在此之后将需求增加一倍。如果再过一周没有得到报酬，他们说受害者会丢失索引。

那些支付了这笔费用的人会得到一个指向他们的数据库转储的下载链接，据说这将有助于将数据结构快速恢复到其原始形式

该活动是由 Secureworks 的威胁分析师发现的，他们确定了 450 多个单独的赎金支付请求。

根据Secureworks的说法，威胁参与者使用自动化脚本来解析未受保护的数据库、擦除其数据并添加赎金，因此在此操作中似乎没有任何手动参与。

赎金记录在擦除的数据库上 （Secureworks）
竞选后果
这个活动并不新鲜，我们之前已经多次看到过类似的机会主义攻击，而且针对其他数据库管理系统的攻击也是如此[ 1、2、3 ]。

通过支付黑客费用来恢复数据库内容是不太可能的情况，因为攻击者存储这么多数据库的数据所面临的实际和财务挑战是不可行的。

相反，威胁参与者只是删除未受保护的数据库的内容并留下赎金记录，希望受害者相信他们的说法。到目前为止，赎金票据中的一个比特币钱包地址已收到一笔付款。

活动中使用的比特币地址之一（Blockchain.com）
但是，对于数据所有者来说，如果他们不进行定期备份，那么从这种擦除中丢失所有内容很可能会导致重大的经济损失。

其中一些数据库支持在线服务，因此总是存在业务中断的风险，其成本可能比骗子要求的少量成本高得多。

此外，组织不应排除入侵者窃取数据以通过各种方式将其货币化的可能性。

弹性搜索安全

不幸的是，只要数据库在没有适当保护它们的情况下暴露在互联网的公众面前，这些机会主义攻击就会继续以它们为目标。
Group-IB 最近的一份报告显示，2021 年网络上暴露的 Elasticsearch 实例超过 100,000 个，约占 2021 年暴露数据库总数 308,000 个的 30%。

自 2021 年初检测到的暴露数据库总数 （Group-IB）
根据同一份报告，数据库管理员平均需要 170 天才能意识到他们犯了配置错误，从而为恶意攻击者留下了充足的时间进行攻击。

正如 Secureworks 所强调的，任何数据库都不应该是面向公众的，除非它对他们的角色至关重要。此外，如果需要远程访问，管理员应为授权用户设置多因素身份验证，并将访问权限仅限于相关个人。

将这些服务外包给云提供商的组织应确保供应商的安全策略与其标准兼容，并且所有数据都得到充分保护。

Nathaniel Chastain 是最大的在线不可替代令牌 (NFT) 市场 OpenSea 的前产品经理，已被美国司法部 (DOJ) 逮捕并指控犯有 NFT 内幕交易。

这是第一次有人因参与 DOJ 所描述的“数字资产内幕交易计划”而受到指控。

Chastain 被指控涉嫌使用他作为前 OpenSea 员工获得的机密商业信息，并利用这些信息购买大约 45 个 NFT，然后将它们添加到市场的首页。

根据美国司法部的新闻稿，这使他能够在价格大幅上涨后的数小时内将其出售，从而获得巨额利润。

“至少从 2021 年 6 月或大约 2021 年 6 月或大约到 2021 年 9 月或大约，CHASTAIN 使用 OpenSea 关于将在其主页上展示哪些 NFT 的机密商业信息在展示前不久秘密购买了数十个 NFT，”美国司法部说。

“在 OpenSea 上展示了这些 NFT 之后，CHASTAIN 以 2 到 5 倍的初始购买价格出售它们。”

试图使用以太坊账户来掩盖欺诈行为
被告还试图使用匿名 OpenSea 账户和没有先前交易历史的新以太坊账户（被 DOJ 描述为“匿名数字货币钱包”）隐瞒他的非法活动。

根据未密封的起诉书 [ PDF ] ，尽管在加入 OpenSea 时签署了一份书面协议，要求他只能“为了利益或市场”使用这些机密信息，但他还是使用了这些机密信息。

查斯坦今天早上在纽约被捕，今天在美国纽约南区地方法院受审。

他被控一项洗钱罪和一项电汇欺诈罪，每项最高可判处 20 年监禁。

“NFT 可能是新的，但这种类型的犯罪计划不是。据称，Nathaniel Chastain 背叛了 OpenSea，利用其机密商业信息为自己赚钱，”美国检察官 Damian Williams 说。
“今天的指控表明该办公室致力于杜绝内幕交易——无论是发生在股票市场还是区块链上。”