从初始网络访问到有效负载部署，2021 年勒索软件攻击的平均持续时间为 92.5 小时。2020 年，勒索软件攻击者平均花费 230 小时完成攻击，2019 年平均花费 1637.6 小时。

这种变化反映了多年来逐渐发展起来的一种更加精简的方法，以使大规模运营更有利可图。

与此同时，事件响应和威胁检测方面的改进迫使威胁参与者更快地行动，让防御者的反应余地更小。

从访问代理到加密
IBM X-Force 团队的研究人员从 2021 年分析的事件中收集了这些数据。他们还注意到初始访问代理和勒索软件运营商之间的合作更加密切。

以前，网络访问代理可能要等待数天甚至数周才能找到网络访问的买家。

此外，一些勒索软件团伙现在可以直接控制初始感染媒介，例如Conti 接管了 TrickBot恶意软件操作。

破坏公司网络的恶意软件会被迅速利用来启用攻击的利用后阶段，有时 只需几分钟即可完成其目标。


完成攻击目标所需的时间 (IBM)
就勒索软件攻击者使用的工具和方法而言，Cobalt Strike 用于交互会话，RDP 用于横向移动，Mimikatz 和 LSASS 转储用于凭证，SMB + WMIC 和 Psexec 通常用于在网络主机上部署有效负载


2021 年威胁参与者使用的工具 (IBM)
勒索软件攻击者在 2019 年使用了许多相同的工具，但程度不同。

2019 年勒索软件组织使用的工具 (IBM)
检测速度更快但还不够
研究人员表示，自 2019 年以来，2021 年威胁检测和响应系统的性能有所改善，但这还不够。

该领域最令人印象深刻的发展是端点检测解决方案。2019 年，只有 8% 的目标组织具备这种能力，而到 2021 年，这一比例增长到 36%。

在安全工具产生的警报方面，IBM X-Force 数据显示，2019 年有 42% 的受攻击组织得到及时警告。去年，在 64% 的网络入侵案例中发出警报。

防御性能比较 （IBM）
虽然这些数字显示检测能力逐渐提高，但威胁行为者仍然可以利用这一巨大差距。

外表
尽管防御有所改进，但勒索软件仍然是一个重大威胁，因为攻击者采用了高度针对性的方法并转向手动黑客攻击以在受害者网络内部移动并保持低调，直到攻击的最后阶段，系统加密。

显然，勒索软件的攻击者在他们所做的事情上变得更快了。2022 年 4 月的一个示例展示了一个 IcedID 恶意软件感染案例，导致 Quantum 勒索软件在3 小时 44 分钟内部署。

此外，这些天的加密过程更快。一旦它开始，在许多情况下，在发生相当大的损害之前很难阻止它。

归因于名为 SideWinder 的高级威胁参与者的网络钓鱼活动涉及在 Google Play 商店上发布的适用于 Android 设备的假 VPN 应用程序，以及用于过滤受害者以更好地定位的自定义工具。

SideWinder 是一个至少从 2012 年开始活跃的 APT 团体，据信是印度血统的演员，具有相对较高的成熟度。

卡巴斯基的安全研究人员在过去两年中将近 1,000 次攻击归咎于该组织。其主要目标包括巴基斯坦、中国、尼泊尔和阿富汗的组织。
攻击者依赖于一个相当大的基础设施，其中包括超过 92 个 IP 地址，主要用于网络钓鱼攻击，托管数百个用作命令和控制服务器的域和子域。

SideWinder APT 集团的基础设施，来源：Group-IB
最近一次归因于 SideWinder（又名 RattleSnake、Razor Tiger、T-APT-04、APT-C-17、Hardcore Nationalist）的网络钓鱼活动针对巴基斯坦公共和私营部门的组织。

今年早些时候，网络安全公司 Group-IB 的研究人员发现了一份网络钓鱼文件，该文件通过一份提议“正式讨论美国从阿富汗撤军对海上安全的影响”的文件来引诱受害者。

SideWinder APT 组织在网络钓鱼活动中使用的诱饵，来源：Group-IB
在与 BleepingComputer 共享的一份报告中，Group-IB 表示，过去还观察到 SideWinder 克隆政府网站（例如斯里兰卡的政府门户网站）以窃取用户凭据。

最近的网络钓鱼活动也对目标使用了这种方法，因为该行为者建立了多个模仿巴基斯坦政府合法域的网站：

金融.pakgov[.]net
vpn.pakgov[.]net
csd.pakgov[.]net
hajj.pakgov[.]net
nadra.pakgov[.]net
pt.pakgov[.]net
flix.pakgov[.]net
covid.pakgov[.]net
在调查过程中，研究人员发现了一个重定向到合法域“securevpn.com”的网络钓鱼链接。其目的仍不清楚，但可能是选择感兴趣的目标并将其重定向到恶意站点。

Group-IB 发现的另一个链接是从官方 Android 应用商店 Google Play 下载的，它是“Secure VPN”应用的假版本，在撰写本文时仍然存在于 Google Play 上，下载量刚刚超过 10 次。

SiderWinder APT 在网络钓鱼活动中使用的 Google Play 中的假安全 VPN 应用程序，来源：BleepingComputer
研究人员指出，可用于 SideWinder 的假 Secure VPN 应用程序的描述是从合法的 NordVPN 应用程序复制而来的。

在运行时，伪造的 Secure VPN 应用程序向攻击者可能拥有的两个域发出了几个请求，但在调查期间这些域不可用，并且对根目录的请求被重定向到合法的 NordVPN 域。

不幸的是，研究人员无法确认假 VPN 应用程序的用途或是否是恶意的。然而，SideWinder 过去曾在 Google Play 上使用过假应用， 趋势科技过去的研究表明。

SideWinder 以前的虚假应用程序能够收集并发送到命令和控制服务器信息的操作列表，例如：

地点
电池状态
设备上的文件
已安装应用列表
设备信息
传感器信息
相机信息
截屏
帐户
无线网络信息
微信、Outlook、Twitter、雅虎邮箱、Facebook、Gmail、Chrome的数据
他们的应用程序能够收集目标主机上的许多参数并将信息发送回他们的 C2。此类参数包括：位置、电池状态、设备上的文件、已安装应用列表、设备信息、传感器信息、相机信息、屏幕截图、帐户、Wifi 信息、微信、Outlook、Twitter、雅虎邮箱、Facebook、Gmail 和 Chrome 的数据.

Group-IB 还发现，攻击者使用了一个自定义工具，该工具最近被添加到他们的武器库中，由 Group-IB 在内部跟踪为 SideWinder.AntiBot.Script。

“脚本检查客户端浏览器环境，并根据几个参数决定是发出恶意文件还是重定向到合法资源” - Group-IB

如果脚本检测到来自巴基斯坦 IP 的访问者，它会重定向到恶意位置。检查以下参数以确定访问者是否是潜在目标：

地理位置
操作系统版本
关于用户代理的数据
系统语言设置
它还可以确定系统上的逻辑处理器数量和主机使用的视频卡，以及访问 Web 浏览器中的凭据容器，该容器可以返回保存的密码。

检查视频卡可能会确定主机是否用于恶意软件分析目的，因为它与设备的屏幕大小进行了比较。

脚本中的另一个功能是最重要的功能，用于提供恶意文件并将不感兴趣的目标重定向到合法资源。

根据其调查结果，Group-IB 评估认为 SideWinder 的基础设施已广泛传播，以部署新的命令和控制服务器以支持网络钓鱼活动。

欧洲刑警组织宣布取缔 FluBot 行动，这是现存规模最大、增长最快的 Android 恶意软件行动之一。

恶意软件行动的删除是由涉及 11 个国家/地区的执法行动造成的，此前一项复杂的技术调查旨在查明 FluBot 最关键的基础设施。

该行动的参与者是澳大利亚、比利时、芬兰、匈牙利、爱尔兰、西班牙、瑞典、瑞士、荷兰和美国。

“这种被称为 FluBot 的 Android 恶意软件一直在通过短信积极传播，从全球受感染的智能手机中窃取密码、网上银行详细信息和其他敏感信息。它的基础设施在 5 月初被荷兰警方 (Politie) 成功破坏，呈现这种恶意软件不活跃。” - 欧洲刑警组织。

正如荷兰警方今天宣布的那样，他们已将一万名受害者与 FluBot 网络断开连接，并阻止超过 650 万条垃圾短信发送给潜在受害者。

2021 年 3 月，西班牙警方逮捕了四名嫌疑人，他们当时被认为是 FluBot 行动的关键成员，因为该恶意软件主要感染了该地区的用户。

不过，由于恶意软件针对西班牙以外的多个其他国家/地区反弹到前所未有的水平，因此其分发中断是暂时的。

然而，这一次，欧洲刑警组织强调FluBot 基础设施处于执法部门的控制之下，因此不可能重新点燃。

目前，尚未发布有关任何逮捕的公告，因此我们假设该行动的重点是在此阶段破坏恶意软件的基础设施。

FluBot 的快速扩散
FluBot 是一种 Android 恶意软件，它通过在受害者打开合法应用程序的界面上覆盖网络钓鱼页面来窃取银行和加密货币帐户凭据。

此外，它可以访问 SMS 内容并监控通知，因此可以即时获取双因素身份验证和 OTP 代码。

它的迅速扩散是由于滥用受感染设备的联系人列表通过他们信任的人向所有联系人发送短信。

设备被滥用发送垃圾邮件的人不会注意到任何奇怪的事情，因为一切都发生在后台。

通过这种方式，FluBot 只实现了少数感染，迅速增加了全球某些地方的受害者人数，并在那里像野火一样蔓延开来。

FluBot的主要运营方案 （欧洲刑警组织）
至于“零患者”的分发方式，包括 Google Play Store 上的 laced 应用程序、虚假包裹递送消息、 Flash Player 应用程序更新等等。

如果您认为 FluBot 可能感染了您的设备，欧洲刑警组织建议您执行恢复出厂设置，擦除分区中可能托管恶意软件的所有数据。

威胁分析人员发现了新版本的 XLoader 僵尸网络恶意软件，该恶意软件使用概率论隐藏其命令和控制服务器，从而难以破坏恶意软件的运行。

这有助于恶意软件运营商继续使用相同的基础设施，而不会因已识别的 IP 地址上的阻塞而丢失节点的风险，同时还减少了被跟踪和识别的机会。

XLoader 是一个信息窃取 器，最初基于 Formbook，针对 Windows 和 macOS 操作系统。它于 2021 年 1 月首次进入广泛部署。

Check Point 的研究人员一直在跟踪恶意软件的演变，他们对最新的 XLoader 版本 2.5 和 2.6 进行了采样和分析，并发现了与以前版本相比的一些关键差异。

大数定律
XLoader 已经在 2.3 版中通过将真实域名隐藏在包含 63 个诱饵的配置中来伪装其实际的命令和控制 (C2) 服务器。


在 63 个诱饵中隐藏实际域 （检查点）
不过，在最新版本中，Check Point 的分析师注意到，恶意软件会在每次通信尝试中用新值覆盖其配置列表中随机选择的 64 个域列表中的 8 个。

覆盖列表中的随机域 (CheckPoint)
“如果真正的 C&C 域出现在列表的第二部分，它会在每个周期中大约每 80-90 秒访问一次。如果它出现在列表的第一部分，它将被另一个随机域名覆盖，” CheckPoint 解释道。

“覆盖列表第一部分的八个域是随机选择的，真正的 C&C 域可能就是其中之一。在这种情况下，真正的 C&C 服务器在下一个周期被访问的概率是 7/64 或 1/8，具体取决于“fake c2(2)”域的位置。”

这有助于从安全分析师那里伪装真正的 C2 服务器，同时将对恶意软件操作的影响降至最低。

成功的 C2 访问源于大数定律，这增加了在足够的试验下获得预期结果的概率。

正如 CheckPoint 通过下表解释的那样，威胁分析人员必须执行冗长的仿真才能得出实际的 C2 地址，这是一种非典型做法，并且会使所有自动化脚本无用。

同时，对于恶意软件操作者来说，XLoader 不太可能在感染后一小时不联系真正的 C2 地址。

在 2.6 版中，CheckPoint 注意到 XLoader 从 64 位版本的有效负载中删除了此功能，恶意软件每次都会联系真正的 C2 域。

但是，在威胁分析人员使用的虚拟机托管沙箱中非常常见的 32 位系统中，XLoader 维护了新的 C2 混淆。

超过 360 万台 MySQL 服务器在 Internet 上公开并响应查询，使其成为黑客和勒索者的有吸引力的目标。

在这些可访问的 MySQL 服务器中，有 230 万台通过 IPv4 连接，130 万台设备通过 IPv6 连接。

虽然 Web 服务和应用程序连接到远程数据库很常见，但应该锁定这些实例，以便只有授权设备才能连接到它们。

此外，公开服务器暴露应始终伴随着严格的用户策略、更改默认访问端口 (3306)、启用二进制日志记录、密切监视所有查询并执行加密。

360 万个暴露的 MySQL 服务器
在上周网络安全研究组织 Shadowserver Foundation 进行的扫描中，分析师发现 360 万台暴露的 MySQL 服务器使用默认端口 TCP 端口 3306。

“虽然我们不检查可能的访问级别或特定数据库的暴露程度，但这种暴露是应该关闭的潜在攻击面，” Shadow Server的报告解释道。

拥有最多访问 MySQL 服务器的国家是美国，超过 120 万台。其他数量庞大的国家是中国、德国、新加坡、荷兰和波兰。

IPv4 中暴露的 MySQL 服务器的热图 （Shadow Server）
详细扫描结果如下：

IPv4 上的总暴露人口：3,957,457
IPv6 上的总暴露人口：1,421,010
IPv4 上的“服务器问候”响应总数：2,279,908
IPv6 上的“服务器问候”响应总数：1,343,993
发现的所有 MySQL 服务中有 67% 可从 Internet 访问
要了解如何安全地部署 MySQL 服务器并消除系统中可能潜伏的安全漏洞，Shadow Server 建议管理员阅读5.7 版指南或8.0版指南。

出售被盗数据库的数据经纪人告诉 BleepingComputer，数据盗窃最常见的载体之一是不适当保护的数据库，管理员应始终锁定数据库以防止未经授权的远程访问。

未能保护 MySQL 数据库服务器可能会导致灾难性的数据泄露、破坏性攻击、勒索要求、远程访问木马(RAT) 感染，甚至 Cobalt Strike 攻击。这些情况都会对受影响的组织产生严重后果，因此应用适当的安全实践并删除您的设备，使其无法通过简单的网络扫描进行访问，这一点至关重要。

Microsoft 已共享缓解措施，以阻止利用新发现的 Microsoft Office 零日漏洞远程执行恶意代码的攻击。

该漏洞是 Shadow Chaser Group的疯子报告的一个Microsoft Windows 支持诊断工具（MSDT）远程代码执行漏洞 。

微软现在将其跟踪为 CVE-2022-30190。该漏洞影响仍在接收安全更新的所有 Windows 版本（Windows 7+ 和 Server 2008+）。

正如安全研究人员 nao_sec 发现的那样，威胁参与者使用它通过 MSDT 执行恶意 PowerShell 命令，Redmond 在打开或 预览 Word 文档时将其描述为任意代码执行 (ACE) 攻击。

“成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码，”微软 解释说。

“然后攻击者可以安装程序、查看、更改或删除数据，或者在用户权限允许的上下文中创建新帐户。”

可用的解决方法
根据 Redmond 的说法，管理员和用户可以通过禁用 MSDT URL 协议来阻止利用 CVE-2022-30190 的攻击，恶意行为者使用该协议来启动故障排除程序并在易受攻击的系统上执行代码。

要在 Windows 设备上禁用 MSDT URL 协议，您必须执行以下过程：

以 管理员身份运行 命令提示符。
要备份注册表项，请执行命令“ reg export HKEY_CLASSES_ROOT\ms-msdt filename ”
执行命令“ reg delete HKEY_CLASSES_ROOT\ms-msdt /f ”
在 Microsoft 发布 CVE-2022-30190 补丁后，您可以通过启动提升的命令提示符并执行 reg import filename 命令（文件名是禁用协议时创建的注册表备份的名称）来撤消解决方法。

Microsoft Defender Antivirus 1.367.719.0 或更高版本现在还带有以下签名下可能的漏洞利用检测：

木马:Win32/Mesdetty.A
木马:Win32/Mesdetty.B
行为：Win32/MesdettyLaunch.A
行为：Win32/MesdettyLaunch.B
行为：Win32/MesdettyLaunch.C

虽然微软表示 Microsoft Office 的受保护视图和应用程序防护将阻止 CVE-2022-30190 攻击，但 CERT/CC 漏洞分析师 Will Dormann（和 其他研究 人员）发现， 如果目标预览恶意文档Windows资源管理器。

因此，还建议禁用 Windows 资源管理器中的“预览”窗格以删除此攻击媒介。

据Shadow Chaser Group 的疯子，4 月份首次发现并报告零日漏洞的研究人员称，微软首先将该漏洞标记为 不是“与安全相关的问题”。不过，它后来 通过远程执行代码关闭了漏洞提交报告影响。

第一次利用这个零日漏洞的攻击开始于一个多月前，目标是潜在的讲俄语的受害者，受邀接受人造卫星电台的采访。

BleepingComputer 已联系 Microsoft 以获取有关此漏洞（被 Follina戏称为）的更多信息，并询问为什么它不被视为安全风险。我们尚未收到回复，但我们会在公司发表声明后立即更新文章。

美国硅谷VPS原生IP云服务器，快米云推荐

订购地址：https://www.zzqidc.com/business/haiwaiyun.html?label_id=55

美国犹他州VPS原生IP云服务器，快米云推荐

订购地址：https://www.zzqidc.com/business/haiwaiyun.html?label_id=55

美国密歇根州VPS原生IP云服务器，快米云推荐

订购地址：https://www.zzqidc.com/business/haiwaiyun.html?label_id=55

美国密苏里州VPS原生IP云服务器，快米云推荐

订购地址：https://www.zzqidc.com/business/haiwaiyun.html?label_id=55