与 NSA 和 FBI 合作，全球网络安全机构今天发布了 2021 年威胁行为者经常利用的前 15 个漏洞的列表。

网络安全当局在联合咨询中敦促组织及时修补这些安全漏洞并实施补丁管理系统以减少其攻击面。

在全球范围内，已经观察到恶意行为者使用针对新披露的漏洞的攻击将攻击重点放在面向互联网的系统上，包括电子邮件和虚拟专用网络 (VPN) 服务器。

“美国、澳大利亚、加拿大、新西兰和英国的网络安全当局评估，在 2021 年，恶意网络行为者针对包括全球公共和私营部门组织在内的广泛目标集积极针对新披露的关键软件漏洞，”该咨询报告 中写道。

这可能是由于恶意行为者和安全研究人员在 2021 年大多数被利用最多的漏洞最初披露后的两周内发布了概念证明 (POC) 漏洞利用。

然而，攻击者将他们的一些攻击集中在几年前修补的旧漏洞上，这表明即使有补丁可用，一些组织也无法更新他们的系统。

下面列出了最常被利用的 15 个安全漏洞，其中包含指向国家漏洞数据库条目和相关恶意软件的链接。

CVE 漏洞 供应商和产品 类型
CVE-2021-44228 Log4Shell Apache Log4j 远程代码执行 (RCE)
CVE-2021-40539 Zoho ManageEngine AD SelfService Plus RCE
CVE-2021-34523 代理壳 微软交换服务器 特权提升
CVE-2021-34473 代理壳 微软交换服务器 RCE
CVE-2021-31207 代理壳 微软交换服务器 安全功能绕过
CVE-2021-27065 代理登录 微软交换服务器 RCE
CVE-2021-26858 代理登录 微软交换服务器 RCE
CVE-2021-26857 代理登录 微软交换服务器 RCE
CVE-2021-26855 代理登录 微软交换服务器 RCE
CVE-2021-26084
Atlassian Confluence 服务器和数据中心 任意代码执行
CVE-2021-21972 VMware vSphere 客户端 RCE
CVE-2020-1472 零登录 Microsoft Netlogon 远程协议 (MS-NRPC) 特权提升
CVE-2020-0688 微软交换服务器 RCE
CVE-2019-11510 脉冲安全 脉冲连接安全 任意文件读取
CVE-2018-13379 Fortinet FortiOS 和 FortiProxy 路径遍历
缓解和其他利用信息
美国、澳大利亚、加拿大、新西兰和英国网络安全机构还发现并披露了 2021 年恶意网络攻击者通常利用的另外 21 个安全漏洞，包括影响 Accellion 文件传输设备 (FTA)、Windows Print Spooler 和 Pulse Secure 的安全漏洞脉冲连接安全。

联合咨询包括 缓解措施 ，这些措施应有助于降低与上述最严重的滥用缺陷相关的风险。

CISA 和 FBI 还 与澳大利亚网络安全中心 (ACSC) 和英国国家网络安全中心 (NCSC) 合作，发布了 2016 年至 2019 年间 最常被利用的 10 个安全漏洞列表以及2020 年经常被利用的漏洞列表）。

2021 年 11 月，MITRE 还分享了 2021 年 困扰硬件的最危险的编程、设计和架构安全漏洞列表，以及 前两年困扰软件的 25 个最常见和最危险的弱点。

CISA 主任 Jen Easterly说： “我们知道恶意网络攻击者会回归正常工作，这意味着他们会针对这些相同的关键软件漏洞，并将继续这样做，直到公司和组织解决这些漏洞。”

“CISA 和我们的合作伙伴正在发布此公告，以强调最常被利用的漏洞对公共和私营部门网络构成的风险。

“我们敦促所有组织评估其漏洞管理实践，并采取行动降低已知利用漏洞的风险。”

美国牙科协会 (ADA) 在周末遭到网络攻击，导致他们在调查攻击时关闭了部分网络。

ADA 是一个牙医和口腔卫生倡导协会，为其 175,000 名成员提供培训、研讨会和课程。

对于许多居住在美国的人来说，您可能会认识到 口腔卫生产品（例如牙膏和牙刷）上的ADA 认可印章，表明该产品是安全的并且有助于口腔健康。

ADA 遭遇周末网络攻击
周五，ADA 遭受网络攻击，迫使他们将受影响的系统下线，从而中断了各种在线服务、电话、电子邮件和网络聊天。

ADA 网站现在显示一条横幅，说明他们的网站遇到了技术问题，他们正在努力让系统重新运行。

此中断导致在线服务无法访问，包括 ADA 商店、ADA 目录、MyADA、会议注册、会费页面、ADA CE Online、ADA 认证服务和 ADA 实践转换。该公司还在其电子邮件系统处于离线状态时使用了 Gmail 地址。

当ZZQIDC联系 ADA 就此次攻击发表评论时，我们被告知他们只是遇到了技术问题，正在调查中断的原因。

然而，发送给 ADA 成员并被 BleepingComputer 看到的电子邮件描绘了一幅更加严峻的画面。

昨晚，ADA 开始向其成员（包括州牙科协会、诊所和组织）发送电子邮件，提供有关攻击的最新信息以及可以与收件人成员共享的信息。

“周五，ADA 成为网络安全事件的受害者，该事件导致某些系统中断，包括 Aptify 和 ADA 电子邮件、电话和网络聊天。发现后，ADA 立即做出回应，将受影响的系统脱机并开始调查性质和中断的范围，”阅读发送给 ADA 成员并由ZZQIDC看到的电子邮件。

该电子邮件称，他们正在与“第三方网络安全专家”和执法部门合作调查此次攻击。

“已通知联邦执法部门，我们正在与他们合作进行这项积极调查，因此我们请求您理解，我们必须限制我们目前可以分享的细节数量。与此同时，我们了解您可能会收到问题关于来自会员的事件，”继续 ADA 发送给其会员的电子邮件。

“重要的是，我们向会员提供有关此事件的准确信息。同样重要的是，我们以准确的信息做出回应，同时也认识到这是一项积极的调查。”

ADA 的网络攻击不仅影响了他们的网站，还影响了州牙科协会，例如纽约、弗吉尼亚和佛罗里达州的牙科协会，这些协会依靠 ADA 的在线服务注册帐户或支付会费。

ADA 表示，初步调查并未表明会员信息或其他数据已被泄露。然而，对这种攻击的描述听起来像是勒索软件攻击，几乎每一份最初的新闻声明都说同样的话，被盗数据后来被威胁者发布。

ZZQIDC已联系 ADA，询问有关此次攻击的更多问题，但尚未收到回复。

Black Basta 勒索软件团伙泄露了 ADA 的数据
一个名为 Black Basta 的新勒索软件团伙声称对美国牙科协会的袭击负责。

发布此故事后不久，安全研究员 MalwareHunterTeam 告诉ZZQIDC，威胁参与者已经开始泄露据称在 ADA 攻击期间被盗的数据。

该数据泄露网站声称泄露了大约 2.8 GB 的数据，威胁参与者称这些数据占攻击中被盗数据的 30%。

这些数据包括 W2 表格、保密协议、会计电子表格以及数据泄露页面上共享的屏幕截图中有关 ADA 成员的信息。

牙医信息的泄露可能特别具有破坏性，因为小型牙科诊所通常没有专门的安全或网络管理员。

缺乏专门的 IT 人员通常会导致其网络的安全性低于拥有大量安全预算的大型公司。

由于 ADA 成员的信息可能会泄露给其他威胁行为者，因此强烈建议所有 ADA 成员注意那些试图窃取登录凭据或其他敏感信息的有针对性的鱼叉式网络钓鱼电子邮件。

牙科诊所还应确保他们不会暴露任何远程桌面服务或其他潜在的网络初始访问途径，并应将其置于 VPN 后面。

22 年 4 月 26 日更新：添加了有关声称对 ADA 进行攻击的 Black Basta 勒索软件的信息。

Emotet 僵尸网络现在使用包含 PowerShell 命令的 Windows 快捷方式文件 (.LNK) 来感染受害者计算机，而不再使用现在默认禁用的 Microsoft Office 宏。

.LNK 文件的使用并不新鲜，因为 Emotet 团伙以前将它们与 Visual Basic 脚本 (VBS) 代码结合使用来构建下载有效负载的命令。然而，这是他们第一次使用 Windows 快捷方式直接执行 PowerShell 命令。

竞选失败后的新技术
上周五，Emotet 运营商停止 了网络钓鱼活动 ，因为他们在使用静态文件名引用恶意 .LNK 快捷方式后破坏了安装程序。

Emotet 僵尸网络现在使用包含 PowerShell 命令的 Windows 快捷方式文件 (.LNK) 来感染受害者计算机，而不再使用现在默认禁用的 Microsoft Office 宏。

.LNK 文件的使用并不新鲜，因为 Emotet 团伙以前将它们与 Visual Basic 脚本 (VBS) 代码结合使用来构建下载有效负载的命令。然而，这是他们第一次使用 Windows 快捷方式直接执行 PowerShell 命令。

竞选失败后的新技术
上周五，Emotet 运营商停止 了网络钓鱼活动 ，因为他们在使用静态文件名引用恶意 .LNK 快捷方式后破坏了安装程序。

Emotet 的恶意 .LNK 文件包含多个用于存储 PowerShell 脚本有效负载的受感染网站的 URL。如果脚本存在于定义的位置之一，则会将其作为具有随机名称的 PowerShell 脚本下载到系统的临时文件夹中。

以下是附加到 .LNK 有效负载的恶意字符串 Emotet 的反混淆版本：

此脚本生成并启动另一个 PowerShell 脚本，该脚本从受感染站点列表中下载 Emotet 恶意软件并将其保存到 %Temp% 文件夹中。然后使用 regsvr32.exe 命令执行下载的 DLL。

使用 Regsvr32.exe 命令行实用程序执行 PowerShell 脚本，并以下载和启动 Emotet 恶意软件结束。

安全研究员 Max Malyutin 表示，除了在 LNK 文件中使用 PowerShell 外，这种执行流程对于 Emotet 恶意软件部署来说也是新的。

新技术正在兴起
密切监视 Emotet 活动的 Cryptolaemus 研究小组指出，这项新技术是威胁参与者绕过防御和自动检测的明显尝试。

网络安全公司 ESET 的安全研究人员还注意到，在过去 24 小时内，新 Emotet 技术的使用有所增加。

ESET 的遥测数据显示，受 Emotet 新技术影响最大的国家是墨西哥、意大利、日本、土耳其和加拿大。

除了在 .LNK 文件中切换到 PowerShell 之外，Emotet 僵尸网络运营商自 11 月将活动恢复到更稳定的水平以来还进行了一些其他更改，例如 迁移到 64 位模块。

该恶意软件通常用作其他恶意软件的网关，尤其是像 Conti 这样的勒索软件威胁。

美国提供高达 1000 万美元的资金来识别或定位六名俄罗斯 GRU 黑客，他们是臭名昭著的 Sandworm 黑客组织的一部分。

这笔赏金是作为美国国务院 司法奖励计划的一部分提供的，该计划奖励线人提供的信息，以识别或定位对美国关键基础设施进行恶意网络行动的外国政府威胁行为者。

今天，美国国务院宣布，他们正在寻求有关俄罗斯联邦武装部队总参谋部 (GRU) 主要情报局 (GRU) 的六名俄罗斯官员的信息，因为他们涉嫌参与针对美国关键基础设施的恶意网络攻击。
“GRU人员尤里谢尔盖耶维奇Andrienko（ЮрийСергеевичАндриенко），塞吉弗拉基米Detistov（СергейВладимировичДетистов），帕维尔Valeryevich弗罗洛夫（ПавелВалерьевичФролов），阿纳托利谢尔盖耶维奇科瓦列夫（АнатолийСергеевичКовалев），阿尔乔姆Valeryevich Ochichenko（АртемВалерьевичОчиченко）和彼得· Nikolayevich Pliskin (Петр Николаевич Плискин) 是一个阴谋的成员，该阴谋部署了破坏性恶意软件，并通过未经授权访问受害者计算机为俄罗斯的战略利益采取了其他破坏性行动，”国务院 今天宣布 。

正义的奖赏寻求有关所谓的沙虫黑客的提示
2020 年，司法部起诉了所有六人，因为他们是俄罗斯精英黑客组织 Sandworm（也称为 Team、Telebots、Voodoo Bear 和 Iron Viking）的成员。

所有六人都被指控串谋进行计算机欺诈和滥用、串谋进行电汇欺诈、电汇欺诈、损坏受保护的计算机和严重的身份盗窃。

与 Sandworm 组织相关的黑客活动包括：

使用名为 BlackEnergy、Industroyer 和 KillDisk 的恶意软件对乌克兰电网、财政部和国库局进行破坏性恶意软件攻击；
2017 年 4 月和 5 月针对法国总统马克龙的“La République En Marche!”的鱼叉式网络钓鱼活动和相关的黑客和泄密活动 （En Marche！）2017 年法国大选前的政党、法国政治家和法国地方政府；
2017 年使用名为 NotPetya的恶意软件感染全球计算机的 破坏性恶意软件攻击，包括宾夕法尼亚州西区遗产谷卫生系统（Heritage Valley）中的医院和其他医疗设施；联邦快递公司的子公司，TNT Express BV；以及一家美国大型制药商，它们在袭击中总共遭受了近 10 亿美元的损失；
2017 年 12 月至 2018 年 2 月针对韩国公民和官员、奥运会运动员、合作伙伴和游客以及国际奥委会 (IOC) 官员的鱼叉式网络钓鱼活动和恶意移动应用程序；

2017 年 12 月至 2018 年 2 月入侵支持 2018 年平昌冬奥会的计算机，最终于 2018 年 2 月 9 日使用称为Olympic Destroyer的恶意软件对开幕式进行破坏性恶意软件攻击；
2018 年 4 月，针对禁止化学武器组织 (OPCW) 和英国国防科学与技术实验室 (DSTL) 对谢尔盖·斯克里帕尔 (Sergei Skripal)、他的女儿和几名英国公民的神经毒剂中毒进行调查的鱼叉式网络钓鱼活动；和
2018 年针对一家大型媒体公司的鱼叉式网络钓鱼活动，2019 年破坏议会网络的努力，以及 2019 年范围广泛的网站污损活动。
使用 WatchGuard Firebox 设备中的漏洞创建 Cyclops Blink 僵尸网络。在威胁行为者使用恶意软件进行攻击之前，美国政府禁用了这个僵尸网络。
2022 年 4 月，针对工业控制系统 (ICS) 的 Industroyer 恶意软件的新变种和 CaddyWiper 数据破坏恶意软件的新版本对一家大型乌克兰能源供应商进行了攻击。
The Rewards of Justice 已在 he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion建立了一个 Tor 站点 ，可用于匿名提交有关这些威胁参与者和其他人的提示。

The Rewards of Justice 正在寻找有关其他威胁行为者的信息，包括 REvil 勒索软件、 DarkSide 勒索软
件、 朝鲜网络犯罪威胁行为者以及 针对美国企业和关键基础设施部门的民族国家黑客。

Cybellum 很高兴为我们的播客Left to Our Own Devices采访了德国的网络男孩奇迹和 Colombo Technologies 的创始人 David Colombo 。

这位多产的网络研究人员还不到 20 岁，他已经暴露了许多严重的漏洞，包括入侵特斯拉汽车的荣誉！

由于我们每天都会为我们的产品安全平台分析车辆漏洞，因此我们迫不及待地想了解更多关于年轻黑客如何设法破坏特斯拉系统的信息。我们稍后会详细说明他是如何做到的。

当然，作为一名道德黑客，大卫试图通过立即与世界分享他的发现来让世界变得更美好，使安全研究社区能够在实际违规发生之前解决网络问题。

那么，这一切是如何开始的呢？

网络快速学习
当大卫对计算机感兴趣时，他还是个孩子。在他 10 岁生日时收到他的第一台笔记本电脑，他立即被它的工作原理所吸引，当然，尤其是互联网。快速掌握了计算和网络基础知识后，David 开始了他的软件开发之旅。检查自己的代码后，他突然意识到存在漏洞，可以让外人在他不知情的情况下在自己的笔记本电脑上运行代码。

那是激发他对跨应用程序、操作系统和设备漏洞进行研究的热情的灵感时刻。

到他十几岁的时候，大卫已经在研究如何保护公司、医院和其他计算机用户和网络。他发现这项活动比花时间在教室里更令人兴奋。

到 10 年级时，他找到了一位来自德国商会的导师，该导师能够让他的学校允许他每周只出现一两天，让他可以将剩余的时间用于建立他的计算机和网络技能。

16 岁时，大卫创办了自己的网络安全公司。但由于年纪太小，不能合法经营，他的父亲不得不代为签署咨询合同。18 岁时，大卫终于在法律上能够独立开展网络业务。

涂特斯拉，米特斯拉
那么，年仅 19 岁的大卫科伦坡是如何侵入超高科技特斯拉汽车的呢？

在描述这个过程之前，大卫向我们保证，由于他从事道德黑客业务，他告诉我们的一切现在都是公开的，不会以任何方式损害特斯拉汽车或其所有者。所以，这就是故事。

就在去年，大卫开始为一家法国公司进行安全审计。他查看了构成特斯拉正在使用的数据记录器的代码。数据记录器显示特斯拉的行驶地点、速度以及其他此类使用统计数据。但令他惊讶的是，大卫可以很容易地找到这家法国公司的首席执行官驾驶他自己的特斯拉的地方，以及其他私人信息。

作为特斯拉的粉丝，他开始从 GitHub 上阅读其他特斯拉组件的源代码。

啊，骗人的！他发现开源软件以一种可以从外部轻松访问的方式存储数字车钥匙。而且根本没有加密。大卫可以轻松获得任何汽车的数字车钥匙。

他能用这些钥匙做什么？只需远程禁用汽车的安全模式、解锁车门、按喇叭——诸如此类的“小”事情。如果车主的车库门开启器连接到汽车，大卫也可以打开车库门——在芬兰，在瑞士，在任何地方——所有这些都来自他在德国的笔记本电脑！

这是侥幸吗？是否涉及一两辆以上的汽车？大卫迅速进行了互联网搜索。宁。大卫轻松地找到了 20 多辆他可以破坏的汽车。

他立即通过电子邮件联系了特斯拉，并报告了这个令人震惊的漏洞。

特斯拉是如何应对的？马上。但大卫只收到了一个简短的答复，“我们正在调查。” 然而，第二天，OMG！电子邮件来了。“我们仔细查看了您的发现，我们将立即撤销访问令牌并通知所有者。非常感谢您让我们知道！”

特斯拉是如何应对的？马上。但大卫只收到了一个简短的答复，“我们正在调查。” 然而，第二天，OMG！电子邮件来了。“我们仔细查看了您的发现，我们将立即撤销访问令牌并通知所有者。非常感谢您让我们知道！”

安全洞察
大卫年纪轻轻，对他积累的大量网络知识和经验并不公平。今天，他的咨询专业知识需求量很大。他与我们分享了他收集到的一些见解。

网络安全人员和专业知识的短缺是可怕的。汽车、医疗和其他行业需要大量对网络安全充满热情的敬业人员。
即使是“古老的”漏洞也会继续影响现代互联机器的安全操作。例如，许多最新的医疗设备都基于 Windows XP，并且容易受到困扰 XP 系统数十年的相同安全漏洞的影响。
最重要的是，大卫说，“不要放弃。保持专注。作为一名网络安全专业人士，你将对安全、行业和社会产生重大影响。”

未来
毫无疑问，大卫是个天才，我们都很幸运他站在了黑客的右边。但他的故事揭示了汽车产品安全的现状：破坏当今许多先进智能汽车的安全性比我们想象的要容易。

与其他汽车制造商不同，特斯拉将其产品构建在软件之上，并有望实施网络安全控制来管理内部开发的代码库。对于每辆特斯拉来说，还有数以千计的其他设备和车辆对于网络安全游戏来说相对较新，并且仍在努力保护其软件供应链免受恶意玩家的侵害。这使得大多数车辆更容易被利用——即使没有大卫的专业知识。

在 Cybellum，我们的使命是为产品安全团队配备强大的产品安全平台，以应对新出现的网络威胁，因此不会出现这种情况。

高级黑客正在积极利用影响 VMware Workspace ONE Access（以前称为 VMware Identity Manager）的关键远程代码执行 (RCE) 漏洞 CVE-2022-22954。

该问题已在20 天前的安全更新中得到解决， 另外两个 RCE - CVE-2022-22957 和 CVE-2022-22958 也会影响 VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation 和vRealize Suite 生命周期管理器。

在漏洞公开披露后不久，公共空间中出现了概念证​​明 (PoC) 漏洞利用代码，使黑客能够利用 这些漏洞攻击易受攻击的 VMware 产品部署。VMware 确认了 CVE-2022-22954 在野外被利用。

现在，Morphisec 的研究人员报告说，他们看到了高级持续威胁 (APT) 参与者的利用，特别是被追踪为 APT35 的伊朗黑客组织，又名“火箭小猫”。

攻击细节
攻击者通过利用 CVE-2022-22954 获得对环境的初始访问权限，这是 RCE 三人组中唯一一个不需要对目标服务器进行管理访问并且还具有公开可用的 PoC 漏洞利用的攻击者。

攻击首先在易受攻击的服务 (Identity Manager) 上执行 PowerShell 命令，该服务会启动一个 stager。

然后，stager 从命令和控制 (C2) 服务器以高度混淆的形式获取 PowerTrash 加载程序，并将 Core Impact 代理加载到系统内存中。

APT35 攻击流程 （Morphisec）
Core Impact 是一种合法的渗透测试工具，在这种情况下被滥用于恶意目的，类似于 Cobalt Strike 在恶意活动中的部署方式。

不过，这不是一个新颖的元素。 趋势科技过去曾报告过 APT35 滥用 Core Impact，该活动可追溯到 2015 年。

“Morphisec 研究观察到攻击者已经利用此漏洞 (CVE-2022-22954) 来启动反向 HTTPS 后门——主要是 Cobalt Strike、Metasploit 或 Core Impact 信标” - Morphisec

Morphisec 首席技术官 Michael Gorelik 告诉 BleepingComputer，攻击者尝试在网络上横向移动，尽管后门被阻止。

“通过特权访问，这些类型的攻击可能能够绕过典型的防御措施，包括防病毒 (AV) 和端点检测和响应 (EDR)，”Morphisec 在报告中补充道。

Morphisec 能够检索到 stager 服务器的 C2 地址、Core Impact 客户端版本和用于 C2 通信的 256 位加密密钥，并最终将操作与一个名为 Ivan Neculiti 的特定人联系起来。

在“ Hucksters ”欺诈曝光数据库中有一个以该名称命名的条目，列出了在摩尔多瓦、俄罗斯和英国注册的公司实体，其中包括一家托管公司，根据该数据库，该公司支持各种非法网站以及垃圾邮件和网络钓鱼活动。

目前尚不清楚 Neculiti 或关联公司是否以任何方式（有意或无意）参与了网络犯罪活动。

ZZQIDC已经联系了两家托管公司，就 Morphisec 报告中的指控发表评论，如果我们得到回复，我们将更新这篇文章。

美国网络安全和基础设施安全局 (CISA) 在其积极利用的安全问题列表中添加了 7 个漏洞，其中包括来自 Microsoft、Linux 和 Jenkins 的漏洞。

“已知被利用漏洞目录”是已知在网络攻击中被积极利用并需要由联邦民事执行局 (FCEB) 机构修补的漏洞列表。

“具有约束力的操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险 建立了已知被利用漏洞目录作为对联邦企业带来重大风险的已知 CVE 的活名单，”CISA 解释说。

“BOD 22-01 要求 FCEB 机构在截止日期前修复已识别的漏洞，以保护 FCEB 网络免受活动威胁。有关更多信息，请参阅 BOD 22-01 情况说明书 。”

“目录中列出的漏洞允许威胁参与者执行各种攻击，包括窃取凭据、访问网络、远程执行命令、下载和执行恶意软件，或从设备窃取信息。”

加上这七个漏洞，该目录现在包含 654 个漏洞，包括联邦机构必须应用相关补丁和安全更新的日期。

下面列出了本周添加的七个新漏洞，CISA 要求在 2022 年 5 月 16 日之前对所有这些漏洞进行修补。

这些漏洞如何用于攻击？
虽然知道漏洞被利用会很有帮助，但了解它们是如何被积极地用于攻击会更有帮助。

跟踪为 CVE-2022-29464 的 WSO2 漏洞于 2022 年 4 月 18 日被披露，几天后，公开了一个漏洞利用程序。Rapid7 研究人员很快就 看到了在攻击中使用公共 PoC 来部署网络外壳和硬币矿工。

跟踪为 CVE-2022-21919 和 CVE-2022-26904 的 Windows“用户配置文件服务特权升级”漏洞均由 Abdelhamid Naceri发现，并且是对2021 年 8 月修复的原始CVE-2021-34484 漏洞 的后续绕过 。所有这些漏洞都公开了被利用的 PoC，并且 BleepingComputer 被告知勒索软件团伙使用它们在 Windows 域中横向传播。

被称为“DirtyPipe”的 Linux 权限提升漏洞被跟踪为 CVE-2022-0847，并于 2022 年 3 月被披露。披露后不久，许多 概念验证漏洞被发布，允许用户快速获得 root 权限，如图所示以下。

CVE-2021-40450 和 CVE-2021-41357“Microsoft Win32k 特权升级”漏洞已于 2021 年 10 月修补，是列表中有趣的补充，因为没有公开提及这些漏洞在野外被利用。

最后，最古老的漏洞是被追踪为 CVE-2019-1003029 的“Jenkins 脚本安全插件沙箱绕过”漏洞， Capoae 恶意软件过去曾使用该漏洞 部署 XMRig 加密矿工。

强烈建议所有安全专业人员和管理员查看 已知被利用漏洞目录 并在其环境中修补任何漏洞。

美国国土安全部的第一个漏洞赏金计划导致发现和披露了 122 个漏洞，其中 27 个被认为是关键漏洞。

总共有 450 多名安全研究人员参与了 Hack DHS 计划，并确定了“精选”外部国土安全部 (DHS) 系统的弱点。在 hack-a-thon 结束时，该部门向这些经过仔细审查的漏洞猎手颁发了总计 125,600 美元的奖金，用于发现和披露漏洞，考虑到谷歌已经为类似的漏洞支付了数百万美元，这相对便宜。我们注意到，更多的现金将来自国土安全部。

“安全研究人员社区在 Hack DHS 第一阶段的热情参与使我们能够在关键漏洞被利用之前发现并修复它们，”国土安全部首席信息官 Eric Hysen在一份声明中说 。

DHS 没有立即回应The Register关于通过 Hack DHS 发现和修复的漏洞的问题。

该部门在 12 月宣布了该计划，并仿照国防部的黑客攻击五角大楼以及私人漏洞赏金工作，例如由亚马逊、微软、谷歌和几乎所有其他主要技术公司运营的项目。

Hack DNS 遵循了该部门在 2019 年作为《安全技术法案》的一部分试用的试点漏洞赏金计划。DHS 还为任何面向公众的信息系统资产中的Log4j漏洞报告提供悬赏，这“使该部门能够识别和关闭未通过其他方式出现的漏洞”，该组织在一份声明中表示。

漏洞赏金计划分为三个阶段，所有阶段都将在年底前完成。支付标志着第一阶段的结束。在第二阶段，经过部门审查的安全研究人员将参加现场的现场黑客活动。

在第三阶段，国土安全部将确定可以帮助分享未来漏洞赏金计划的经验教训。Hack DHS 的目标是创建一个可供其他政府组织用来提高其网络安全弹性的模型。

国土安全部部长亚历杭德罗·马约卡斯（Alejandro Mayorkas）在一份声明中说：“黑客 DHS 强调了我们部门以身作则并保护我们国家的网络和基础设施免受不断演变的网络安全威胁的承诺。”

网络犯罪分子也在寻找漏洞
上周发布的两份报告发现，积极利用的零日漏洞在去年创下历史新高。

Mandiant在 2021 年发现了80 个此类被积极滥用的漏洞，该安全商店的研究员 James Sadowski 指出，这是 2019 年之前零日记录的两倍多。

谷歌上周发布的另一份零日报告称，不法分子利用了 58 个零日。与此同时，微软最近表示，将通过其漏洞赏金计划为其 Office 365 产品中的“高影响”漏洞支付更多费用，最高可达 26,000 美元。

根据 Redmond 软件巨头的说法，对Dynamics 365 和 Power Platform 赏金计划和M365 赏金计划的新“基于场景”的支出旨在激励漏洞猎手专注于发现“对客户隐私和安全性潜在影响最大”的漏洞.

朝鲜国家资助的黑客 APT37 被发现针对专门研究朝鲜的记者，并带有一种新型恶意软件。

该恶意软件是通过 NK News 首次发现的网络钓鱼攻击传播的，NK News 是一家美国新闻网站，致力于利用国内情报报道朝鲜新闻并提供有关朝鲜的研究和分析。

APT37 黑客组织，又名 Ricochet Chollima，据信是由朝鲜政府赞助的，朝鲜政府将新闻报道视为一种敌对行动，并试图利用这次攻击来获取高度敏感的信息并可能识别记者的来源

在NK News 发现攻击后，他们联系了 Stairwell的恶意软件专家 寻求进一步帮助，他们接管了技术分析。

Stairwell 发现了一个名为“Goldbackdoor”的新恶意软件样本，该样本被评估为“Bluelight”的继任者。

值得注意的是，这并不是 APT37 第一次与针对记者的恶意软件活动相关联，最近的 一次是 2021 年 11 月的一份报告，该报告 使用了高度可定制的“Chinotto”后门。

复杂感染
网络钓鱼电子邮件源自韩国国家情报局 (NIS) 前局长的账户，该账户曾被 APT37 入侵。

具有高度针对性的活动采用了两阶段感染过程，为威胁参与者提供了更多的部署多功能性，并使分析人员难以对有效载荷进行采样。

两阶段感染过程 （楼梯间）
发送给记者的电子邮件包含一个下载 ZIP 档案的链接，该档案包含 LNK 文件，均名为“Kang Min-chol edits”。姜敏哲是朝鲜矿业部长。

LNK 文件（Windows 快捷方式）伪装成文档图标，并使用填充人为地将其大小增加到 282.7 MB，从而阻碍了轻松上传到 Virus Total 和其他在线检测工具。

执行后，PowerShell 脚本会启动并打开一个诱饵文档 (doc) 以分散注意力，同时在后台解码第二个脚本。

诱饵文档包含托管在 Heroku 平台上的嵌入式外部图像，该图像会在查看文档时提醒威胁参与者。

文档中的嵌入式跟踪器链接 （楼梯间）
第二个脚本下载并执行存储在 Microsoft OneDrive 上的 shellcode 有效负载，这是一种合法的基于云的文件托管服务，不太可能生成 AV 警报。

这个有效载荷被称为“幻想”，根据 Stairwell 的说法，它是 Goldbackdoor 的两种部署机制中的第一种，都依赖于隐秘的进程注入。

Goldbackdoor 恶意软件
Goldbackdoor 作为 PE 文件（便携式可执行文件）执行，可以远程接受基本命令并窃取数据。

为此，它附带了一组 API 密钥，用于向 Azure 进行身份验证并检索执行命令。这些命令与键盘记录、文件操作、基本 RCE 以及自行卸载的能力有关。

该恶意软件利用合法的云服务来窃取文件，Stairwell 注意到 Google Drive 和 Microsoft OneDrive 的滥用。

Goldbackdoor针对的文件主要是文档和媒体，如PDF、DOCX、MP3、TXT、M4A、JPC、XLS、PPT、BIN、3GP和MSG。

虽然这是一场针对性很强的活动，但Stairwell 的技术报告中提供的发现、暴露以及由此产生的检测规则和文件哈希 对于信息安全社区来说仍然很重要。

移动和分析大量数据的公司总是在寻找更快的方法来完成它。一家澳大利亚公司表示，它已经创建了一种可以“在全球范围内每分钟传输 TB 数据”的协议。

拥有近 25 年历史的公司 Arcitecta 刚刚宣布了新的 Livewire 协议，该协议是其数据管理平台 Mediaflux 的一部分，被澳大利亚国防部、制药商诺华和 Dana 等机构使用法伯癌症研究所。

根据首席执行官 Jason Lohrey 的说法，Livewire 本身已经对一些最大的数据移动者产生了影响。“我们的一位客户在全球范围内传输数 PB 的数据，”他告诉The Register。

Livewire 传输协议通过 HTTP/S 或 TCP/IP 创建原生协议隧道，该协议凭借其在 SupercomputingAsia 的 2021 年数据移动器挑战赛中的表现赢得了该公司的两个奖项。

几个团队竞争通过互连的跨国 100GbE 网络以最有效的方式转移最大量的数据，并考虑扩展以适应未来网络速度的提高。

随着数据量的不断增长，将大量数据从一个数据中心快速移动到另一个数据中心是一项越来越重要的挑战。虽然许多行业发现边缘计算可以解决需要移动数据的问题，但这种策略并不总是最好的解决方案。

Lohrey 说，并行化是使 Livewire 能够如此快速地移动数据的关键。这种并行化是 Mediaflux 的一个关键组成部分，它以一种可以在虚拟化存储空间之间分割的方式管理数据。

Arcitecta说，数据管道的每个方面都是使用 Livewire 并行执行的。这包括存储，据报道，这导致一次 Mediaflux/Livewire 传输的时钟频率为每小时 65TB——非磁带。

“Mediaflux Livewire 利用元数据的力量，通过有限、高度竞争或潜在网络的并行数据传输来优化数据移动，并消除冗余文件传输，”该公司在一份声明中表示。

因为 Livewire 是协议，所以它不限于 Mediaflux，也可以作为独立产品运行。Livewire 或 Mediaflux 的独立版本的定价尚未立即公布。

Data Mover Challenge 包括其他几位获奖者，他们都致力于解决同一问题。其中有 MUSASHINO 团队，该团队通过发明一种新的互联网协议获得了最具创新性的解决方案，而 Ciena-iCair-UETN 则被宣布为创建使用机器学习优化数据传输框架的框架的总冠军。