许多信息安全实践使用对用户活动的监视。记录、监控、可观察性——随便你怎么称呼它，我们已经为工作中的同事建立了一个数字全景监狱，现在是重新考虑这种方法的时候了。

基于监视的信息安全的缺陷已经得到认可。欧洲法院 (ECJ)最近发现，对人口进行大规模监视是对隐私的不正当侵犯，即使目标是打击严重犯罪也是如此。那么，为什么我们认为实施侵入式监视来解决我们选择使用的有缺陷的计算机系统是合理的呢？

24x7 全天候监视员工真的让事情更安全吗？

过度监控是一种欺凌形式
伦敦国王学院战争研究系科学与安全研究中心名誉研究员科比·莱恩斯博士认为不可以。

“监控并没有让事情变得更安全。它是被动的，而不是主动的，而且非常昂贵，”莱恩斯说。“监视主要用于事后寻找替罪羊。它是为了加强现有的权力结构，而不是制造系统性变革。”

Leins 博士认为，实施监测的选择更多地与负责系统设计的人员的偏见有关，而不是任何客观的结果衡量标准。“恐惧和控制并不能提高生产力，但它是欺凌者和独裁者青睐的方法，”她说。

渗透测试员和安全专家 Lilly Ryan 认为，组织默认使用监控，因此当远程工作在 COVID-19 大流行期间变得更加普遍时，企业管理的设备在人们的私人住宅中变得更加普遍，因此几乎没有担心扩展它。

“当你把公司笔记本电脑带回家时，这意味着你的私人空间里有一个摄像头和一个麦克风，”瑞恩说。“我认为人们没有意识到人们能看多少东西，”她说。“几乎可以观看所有内容。”

不正当的监视是有风险的
轻率地决定添加监控系统的组织可能正在为自己创造新的风险，而不仅仅是解决现有的风险。

PsychSafe 常务董事 Rebecca Michalak 博士说：“意识到自己受到了多少监控的员工完全有权——这将是一个合理的扣除——认为过度监控是一种欺凌形式，”以及人力资源合规和风险管理顾问。

“在心理风险管理方面，过度监控实际上是一种欺凌形式，而欺凌是一种已登记的心理社会危害，根据澳大利亚的安全立法，你必须加以预防，”她补充说。“如果你进入并故意实施一个进行过度监控的系统，那么你就是在故意进行欺凌。”

“基本上，该组织以一种迂回的方式对你说，‘我们不信任你。我们不信任你的能力，也不信任你的动机，所以现在我们将持续欺负你基础。' 这就是它实际上需要被框定的方式，”Michalak 博士说。

这种立场，无论是明示还是暗示，都可以看到一些人积极抵制被监视以重新获得自主或控制的感觉。那些选择抵制的人有时会为此付出相当大的努力，并由此产生新的自身安全风险。

澳大利亚迪肯大学犯罪学高级讲师 Monique Mann 博士说：“一旦你实施了监控系统，即使是在组织层面，人们也总有办法绕过它。” “这也可能在某些方面给信息安全带来更大的风险，因为人们抵制而不使用批准的渠道。”

基于监视的信息安全的另一个奇怪方面是，它通常被认为是不可避免或不可避免的，这种立场与信息技术和安全行业建立在不断创新之上的说法背道而驰。

“我们生活在一个技术创新的时代。有趣的是，我们从提升技术能力的角度考虑创新，但我们不会从如何安全地将其应用于社会的角度来考虑创新，”澳大利亚国立大学工程与计算机科学学院高级研究员 Zena Assaad 博士说。

“这让我觉得我们正在将责任和责任转移到人身上，而不是系统身上。我不认为我们正在以战略方式解决这些问题。”

“如果你实际上只收集最少量的信息，那么从信息安全的角度来看，风险就会减少，而不仅仅是监视一切，”Mann 博士说。

改为这样做
电子邮件提供商 Fastmail 的首席运营官 Nicola Nye 尝试了另一种方法：设计其系统以默认保护信息，即使是来自 Fastmail 的内部支持人员。

“为了支持我们的客户，我们知道我们的员工需要一直查看人们的支持设置，我们不想审核所有这些活动，”Nye 说。“所以我们混淆了每个人的个人数据——他们的邮件、他们的联系人、他们的日历条目——这一切都变成了 lorem ipsum。”

我们将责任推给人而不是系统
员工仍然能够完成他们的工作，但无法访问他们不需要的信息。“我们让我们的员工很容易不掌握这些数据，这样他们就不会意外或故意泄露它，”Nye 说。“我们不必监视人，因为监视人是愚蠢的，我们有更好的时间来处理。”

“这对他们有好处，对我们也有好处，”她说。

Fastmail 的实践表明，设计和实施安全的 IT 系统并尊重需要使用它们的人的固有尊严是可能的。但这样做将要求信息安全专业人员及其经理停止默认使用监视等简单选项并考虑替代方案。

“问题实际上是关于我们如何以合理和正当的方式使用这些工具，”PsychSafe 的 Michalak 说。“你对人们正在做的事情以及为什么需要这样做是透明的，你想要监控的人认为它是合理的还是过度的？”

“我们需要将我们的同事视为同事，而不是受试者或囚犯，”莉莉瑞恩说。“人类尊严需要更多地考虑到我们的决定中。

美国司法部 (DoJ) 宣布，现年 40 岁的加利福尼亚州居民 Sercan Oyuntur 因与网络钓鱼活动有关的多项罪名被定罪，该网络钓鱼活动对美国国防部 (DoD) 造成了 2350 万美元的损失。

欺诈者设法将用于航空燃料供应商的资金转移到他的个人银行账户中。

在加利福尼亚州卡姆登进行了为期 8 天的审判后，Oyuntur 被判犯有串谋进行电汇、邮件和银行欺诈、未经授权的设备访问、严重的身份盗窃以及向联邦执法人员作出虚假陈述的罪行。

钓鱼操作
根据 2019 年针对 Oyuntur 的刑事诉讼 ，网络钓鱼欺诈造成的损害发生在 2018 年 9 月。

Oyuntur 和他的同谋注册了域名“dia-mil.com”，该域名与合法的“dla.mil”非常相似，并使用它来发送网络钓鱼电子邮件。

这些电子邮件已发送给 SAM（奖励管理系统）的用户，SAM 是一个供应商数据库，希望与联邦政府开展业务的公司在其中注册自己。

网络钓鱼邮件包含指向克隆的“login.gov”网站的链接，受害供应商在该网站输入了他们的帐户详细信息，在不知不觉中将他们暴露给了 Oyuntur。

在至少一个已确认的案例中，Oyuntur 登录了属于一家东南亚公司的被盗账户之一，该公司当时与美国军方签订了 11 份有效的燃料供应合同。

其中之一是一份价值 23,453,350 美元的合同，尚未支付向美国国防部提供 10,080,000 加仑喷气燃料的款项。

通过作为受害公司登录 SAM 数据库，Oyuntur 更改了注册的银行信息，将外国账户替换为他控制的账户。

试图克服保护措施
当时，DoD 的 EBS 服务器配备了一个安全系统，该系统每 24 小时扫描一次 SAM 数据库以查找银行账户更改并阻止支付符合特定风险标准的未结发票。

同谋者在银行账户更改后偶然发现了这个问题，并求助于 DLA（国防后勤局），提供虚假解释，并要求人工批准财务信息更改。

2018年10月，支付成功。Oyuntur 和他的同谋利用经销商的汽车销售伪造发票为巨额款项伪造了一个看似合法的来源。

“作为参与该计划的一部分，Oyuntur 与另一名同谋 Hurriyet Arslan 密切合作，后者在新泽西州佛罗伦萨拥有一家二手车经销商 Deal Automotive Sales。”

“阿尔斯兰在新泽西开设了一家单独的空壳公司，用于犯罪计划，获得空壳公司的手机号码，聘请他人冒充空壳公司的所有者，并以空壳的名义开设银行账户公司”——美国司法部

但是，该计划中使用的经销商不是政府承包商，也没有在 SAM 上注册，因此该交易仍然与现有的自动检查系统不匹配。

结果，展开了一项调查，逐步揭露了欺诈的所有步骤，确定了 Oyuntur 的同谋之一，汽车经销商的所有者 Hurriyet Arslan，并撤销了交易。

Arslan 于 2020 年 1 月承认犯有共谋、银行欺诈和洗钱罪，并计划于今年夏天被判刑。

Oyuntur 可能面临最高 30 年的监禁和最高 1,000,000 美元的罚款，或者是他的罪行造成的损失毛利润的两倍。判决日期尚未确定。

汽车租赁巨头 Sixt 遭遇周末网络攻击，导致客户服务中心和部分分支机构的业务中断。

Sixt 是一家总部位于德国的汽车租赁、汽车共享和叫车服务提供商，在超过 105 个国家/地区运营约 2000 个地点。

Sixt 今天宣布，他们在 4 月 29 日遭受网络攻击，迫使他们限制对所有 IT 系统的访问，除了那些对持续业务至关重要的系统，如主网站和应用程序。

IT 系统的关闭导致 Sixt 客户、代理和服务点的业务中断，但据该公司称，影响已降至最低。

“对公司、其运营和服务的影响已降至最低，以便为客户提供业务连续性。

然而，短期内可能会出现暂时的中断，特别是在客户服务中心和部分分支机构。” - Sixt

据 德国媒体报道，由于系统出现故障，从周五早上开始，大多数汽车预订都是使用笔和纸进行的。

此外，打电话给该公司的客户听到一条录音信息告诉他们，“由于技术问题，我们目前无法联系，只能延迟处理电子邮件查询。”

随着北半球旅游旺季的临近，像 Sixt 这样从事旅游的大公司，势必会面临更多来自勒索软件团伙等恶意行为者的麻烦。

目前，尚未提供有关网络攻击类型的更多细节，Sixt 仅限于表示在内部和外部专家的帮助下继续调查。

该公司的公告还要求客户的理解和耐心，并承诺很快就此事提供进一步的更新。

ZZQIDC已通过电子邮件向 Sixt 发送有关攻击的问题，如果我们收到回复，将更新此帖子。

微软表示，其面向中小型企业的企业级端点安全现在通常可作为独立解决方案使用。

该产品被称为 Microsoft Defender for Business，专为拥有多达 300 名员工的中小型企业设计，这些企业需要针对 Windows、macOS、iOS 和 Android 设备上的恶意软件、网络钓鱼和勒索软件攻击提供保护。

“微软相信所有人的安全。我们很自豪能在今天进一步实现这一愿景，”微软安全、合规和身份 CVP Vasu Jakkal说。

“借助 Defender for Business 的 GA，SMB 将通过简化的安全性获得更大的保护，以帮助他们更好地保护、检测和响应威胁。”

Microsoft Defender for Business已于3 月 1 日开始向全球 Microsoft 365 商业高级版客户推出。

现在，客户还可以直接从 Microsoft 和 Microsoft 合作伙伴云解决方案提供商 (CSP) 渠道获得 Defender for Business 作为独立许可证，每位用户每月 3 美元。

Defender for Business 具有向导驱动的设置，可以更轻松地配置客户端。它还将为没有专门安全团队的组织启用所有推荐的安全策略。

与这款专注于 SMB 的端点安全套件捆绑的主要功能包括：

为可能不具备应对当今不断变化的威胁形势的专业知识的 IT 管理员简化部署和管理。
下一代防病毒保护和端点检测和响应，通过行为监控检测和响应复杂的攻击。
自动调查和修复，帮助客户对威胁做出快速反应。
威胁和漏洞管理主动提醒用户注意软件中的弱点和错误配置。
Microsoft 365 Lighthouse与面向 IT 服务提供商 的 Microsoft Defender for Business集成，以查看跨客户的安全事件，并提供更多功能。
微软表示，它还计划在今年晚些时候借助附加解决方案增加对服务器的支持。

在2020 年勒索软件攻击增加 300% 之后，微软于 11 月 在 Microsoft Ignite 2021 上宣布了这一新的安全解决方案。

正如美国国土安全部部长 Alejandro Mayorkas 透露的那样，超过 50% 的这些攻击直接影响了中小企业。

攻击者越来越多地试图获取有关谷歌、苹果等 IT 巨头客户的机密信息，伪装成来自不同国家的执法机构的代表。结果，不同年龄段的用户成为受害者。

据《生意人报》报道，向警方索取个人数据以及向某些公司的代表索取特殊服务已经变得如此普遍，以至于负责人往往不屑于检查申请信息的人的真实权力。记者和网络安全专家进行的一项调查表明，使用虚假请求获取信息变得越来越容易，不仅是鲜为人知的公司，还有谷歌、苹果、Snap、Twitter、Discord 等巨头攻击。

我们说的就是所谓的模仿。紧急数据请求（紧急数据请求或 EDR）。他们不需要司法授权来获取信息，实际上任何执法人员都可以获取信息。尽管公司没有义务满足此类要求，也没有验证程序，但员工通常会半途而废，因为及时提供信息可以挽救某人的生命——在发生恐怖威胁、绑架儿童等情况下。这就是攻击者使用。

据统计，科技巨头满足了大多数紧急请求，包括那些来自看似真实的邮寄地址的请求。如果攻击者设法在 Web 上找到类似于真实形式的请求，那么任务就简化了。通常，黑客团伙由真正的青少年组成，他们以 100-200 美元的价格出售从科技巨头那里获得的个人用户数据，有时甚至便宜得多。

据一些报道称，这不仅与窃取财务信息有关。通过获取有关用户帐户的数据，有时甚至访问他们的计算机，未成年人和妇女中的受害者经常被说服进行私密拍摄、谈论私密话题和其他活动，而且攻击者通常代表执法人员行事，这可能是更吓人的受害者。通常，有关受害者的信息会发布在各种网站上，这些网站的访问者会积极参与敲诈和欺凌。

根据专家的说法，要保护自己免受此类行为的侵害是极其困难的，从字面上看，唯一的方法就是根本在社交网络上没有任何帐户。

尽管许多社交网络和其他大公司都有与执法部门互动的特殊界面，但它们通常会回复常规邮件请求，因为有时需要紧急信息，并且请求来自数十个国家，而且当地警察局通常会以非常信息少，有机会与公司管理层沟通。

目前还没有真正的工具来对付入侵者，但许多国家的当局开始关注问题的存在——尚未找到在国家层面解决问题的方法。

开源安全基金会 (OpenSSF) 是一个由 Linux 基金会支持的计划，它发布了“包分析”工具的第一个原型版本，旨在捕捉和对抗对开源注册表的恶意攻击。

在持续不到一个月的试运行中，在 GitHub 上发布的开源项目能够识别 200 多个恶意 npm 和 PyPI 包。

项目旨在打击开源注册表中的恶意软件
本周，OpenSSF 在 GitHub 上发布了“包分析”项目的初始原型版本。

项目存储库包含分析开源包的工具，特别是用于寻找恶意 npm 和 PyPI 包的工具。

“包分析项目旨在了解开源存储库中可用包的行为和功能：它们访问哪些文件、连接到哪些地址以及运行哪些命令？” 请解释参与 OpenSSF 保护关键项目工作组的 Caleb Brown 和 David A. Wheeler。

“该项目还跟踪包的行为随时间的变化，以确定以前安全的软件何时开始出现可疑行为。”

据 OpenSSF称，在持续不到一个月的测试运行中，Package Analysis 能够识别出 200 多个恶意 PyPI 和 npm 组件。

OpenSSF 表示，这些恶意程序包中的绝大多数都是依赖混淆和仿冒 攻击。

在包分析识别的所有恶意包中，其中之一是以前被认为是恶意的“colorsss” ：

恶意 npm 域名仿冒“colorsss” （ZZQIDC）
'colorsss' 包是流行的颜色npm 库的仿冒域名，正如ZZQIDC首次报道的那样，其开发人员今年 1 月已破坏了该库的部分版本。

根据ZZQIDC从开源安全公司 Sonatype 获得的软件包存档副本，除了包含来自颜色库的一些合法文件外，恶意的“colorsss”还包含混淆的恶意软件：

“colorsss”中的混淆代码包含 Discord 令牌窃取程序，这是恶意 npm 包中反复出现的主题。

OpenSSF 在本周发布的一篇博文中表示：“尽管该项目已经开发了一段时间，但直到最近才根据初步经验进行了大量修改后才变得有用。”

“参与这个项目的机会很多，我们欢迎任何有兴趣为未来目标做出贡献的人......检测包行为随时间变化的差异；自动处理包分析结果；将包本身存储为进行处理以进行长期分析；并提高管道的可靠性。”

全面披露：我作为成员定期参加 OpenSSF 小组会议。这篇文章中提到的恶意仿冒域名“colorsss”之前已经由包括我在内的 Sonatype 安全研究团队进行了分析。

在俄罗斯和美国之间日益紧张的局势中，臭名昭著的 REvil 勒索软件行动已经卷土重来，新的基础设施和修改后的加密器允许更有针对性的攻击。

10 月，在 执法行动劫持了他们的 Tor 服务器后 ， REvil 勒索软件团伙关闭，随后俄罗斯执法部门逮捕了成员。

然而，在入侵乌克兰后， 俄罗斯表示 美国已退出有关REvil团伙的谈判进程，并关闭了沟通渠道。

REvil 的 Tor 网站恢复生机
不久之后，旧的 REvil Tor 基础设施 再次开始运行，但他们没有显示旧网站，而是将访问者重定向到 URL 以进行新的未命名勒索软件操作。

虽然这些网站看起来与 REvil 以前的网站完全不同，但旧基础设施正在重定向到新网站的事实表明 REvil 很可能再次运行。此外，这些新网站包含新的受害者和在之前的 REvil 攻击中被盗的数据。

虽然这些事件强烈表明 REvil 更名为新的未命名操作，但 Tor 网站之前也在 11 月显示了一条消息，指出“REvil 很糟糕”。

这种对 Tor 站点的访问意味着其他威胁参与者或执法部门可以访问 REvil 的 TOR 站点，因此这些网站本身不足以证明该团伙的回归。

REvil 的 Tor 站点被一条反 REvil 消息污损
来源：zzqidc
确定 REvil 是否回来的唯一方法是找到勒索软件加密器的样本并对其进行分析，以确定它是否被修补或从源代码编译。

本周，AVAST 研究人员 Jakub Kroustek终于发现了新勒索软件操作的加密器样本， 并证实了新操作与 REvil 的联系。

勒索软件样本确认返回
虽然一些勒索软件操作正在使用 REvil 的加密器，但它们都使用修补过的可执行文件，而不是直接访问该团伙的源代码。

然而，多名安全研究人员和恶意软件分析师告诉ZZQIDC，新操作使用的已发现 REvil 样本是从源代码编译而来的，并且包含新的更改。

安全分析师发现了俄罗斯黑客最近针对外交官和政府实体发起的名为 APT29（Cozy Bear 或 Nobelium）的网络钓鱼活动。

APT29 是 国家资助的行动 者，专注于网络间谍活动，至少自 2014 年以来一直活跃。其目标范围由当前的俄罗斯地缘政治战略利益决定。

在 Mandiant 的威胁分析师发现的一项新活动中，APT29 通过多个网络钓鱼活动针对外交官和各种政府机构。
这些消息假装携带重要的政策更新，并来自属于大使馆的合法电子邮件地址。

从受损帐户发送的网络钓鱼电子邮件 (Mandiant)
该活动的另一个值得注意的方面是滥用 Atlassian Trello 和其他合法的云服务平台来进行指挥和控制 (C2) 通信。

网络钓鱼活动详细信息
鱼叉式网络钓鱼活动于 2022 年 1 月开始，并持续到 2022 年 3 月，分几波轮流到不同的主题，并依赖于多个发件人地址。

网络钓鱼活动时间表 （Mandiant）
在所有情况下，网络钓鱼电子邮件都来自属于外交官的合法受损电子邮件地址，因此收件人会更加信任以这种方式传递的内容。

Mandiant 发现最初被入侵的地址被列为大使馆网站上的联系点。

该电子邮件使用HTML 走私技术将 IMG 或 ISO 文件传递​​给收件人，APT29 过去曾多次使用这种技术并取得了巨大成功，包括在 SolarWinds 攻击中。

ISO 存档包含一个 Windows 快捷方式文件 (LNK)，单击该文件会执行嵌入的恶意 DLL 文件。

为了欺骗受害者点击，LNK 文件伪装成一个文档文件，隐藏了真正的扩展名和一个假图标。

恶意软件丢弃

DLL 执行导致 BEATDROP 下载器的交付，该下载器在创建暂停线程以将自身注入后在内存中运行，并连接到 Trello 进行 C2 通信。

Trello 广泛用于企业环境，因此将其 API 用于恶意网络流量不太可能引发安全产品的任何关键标志。

在后来的努力中，APT29 用基于 Cobalt Strike 的新 C++ BEACON 加载程序取代了 BEATDROP，该加载程序具有更高级别的功能。

这些功能包括键盘记录、截屏、代理服务器模式、帐户凭据泄露、枚举和端口扫描。

两个装载机都部署了 BOOMIC，微软将其跟踪为 VaporRage，于 2021 年 5 月发现并分析。在许多情况下，装载机部署后仅几分钟，BOOMIC 就被侧载。

BOOMIC 通过修改 Windows 注册表来建立持久性，然后下载各种混淆的 shellcode 有效负载并在内存中运行它们。

Mandiant 观察到各种合法的受感染网站充当 BOOMIC 的 C2，这有助于避免 URL 屏蔽问题。

APT29 的恶意软件部署流程 （Mandiant）
横向运动
在环境中建立存在后，APT29 会在不到 12 小时内提升权限，使用各种方法，例如编写包含 Kerberos 票证的文件。

接下来，他们执行广泛的网络侦察以识别有效的枢轴点并获取更有价值的密码，最后通过在相邻系统上放置更多 Cobalt Strike 信标和 BOOMIC 来横向移动。

“对 SharedReality.dll 的分析发现它是一个用 Go 语言编写的仅内存释放器，它解密并执行嵌入式 BEACON 有效负载。BEACON 有效负载被识别为 SMB BEACON，它通过 SharedReality.dll 命名管道进行通信，” Mandiant 说。

“随后观察到 APT29 利用特权用户的身份将 SharedReality.dll 复制到多个系统的 Temp 目录中。然后，该小组通过名为 SharedRealitySvcDLC 的计划任务部署它，该任务已安装并执行。执行计划任务后，该任务立即被删除” - Mandiant

无论有能力的威胁情报团队持续和密切地跟踪 APT29，该组织仍然是对高利益目标的顶级间谍威胁

俄罗斯联邦政府批准简化信息技术（IT）领域外国专家在认可组织工作的聘用程序。我们正在讨论修改“关于外国公民在俄罗斯联邦的法律地位”的联邦法律。该文件将提交给国家杜马。

“该法案旨在简化外国公民的就业程序，这些外国公民是信息技术领域的专家，并被招募到信息技术领域的认可组织工作，并让这些公民获得居留许可。俄罗斯联邦，”俄罗斯联邦政府网站说。

据《生意人报》报道，在目前的情况下，俄罗斯的 IT 专家正在外流。因此，3 月，俄罗斯电子通信协会负责人 Sergey Plugotarenko 宣布有 50-70,000 名 IT 专家离开该国，并预计另有 70-100,000 名专业工人离开该国。

联邦法警服务 (FSSP) 登记册中公布的数据表明，俄罗斯已针对谷歌未支付巨额营业额罚款而启动执法程序。现在公司将被强制收取罚款金额。

所谓的“营业额罚款”规定了按特定时期公司营业额的一定百分比计算的罚款。在谷歌的案例中，施加这种罚款的原因是未能删除在俄罗斯联邦境内被禁止分发的材料。

去年年底，在俄罗斯联邦行政违法法典第 13.41 条第 5 部分的行政违法案件中，谷歌被罚款 7,221,916,235 卢布（超过 72 亿）。然后有人说，谷歌拥有的托管 YouTube 的视频没有删除极端主义和恐怖组织的材料。

谷歌提出上诉，但塔甘斯基地区法院裁定罚款是合法的。正如 RBC 现在报告的那样，FSSP 将强制从 Google 收取指定金额。这家互联网巨头尚未对此事发表评论。