目前，虚拟服务器已经普及，是企业数字化转型业务不可或缺的技术之一。
经历COVID-19疫情，信息安全、数据传输速度、构建专业化的网络连接环境以尽快满足企业和客户的需求是迫切需要，并将成为2022年的趋势。
因此，ZZQIDC Cloud Server解决方案与Hybrid Connect相结合，是希望在2022年取得突破并增加技术竞争优势的企业的最佳解决方案。

什么是ZZQIDC云服务器和ZZQIDC混合连接服务？

2022年云服务器趋势与混合连接相结合

降低带宽成本

一致的网络性能

Internet 上的网络延迟可能会有所不同，因为 Internet 不断改变数据从A点传输到B点的方式。使用ZZQIDC Hybrid Connect，您可以选择使用专用连接的数据以及数据的路由方式。可以提供通过基于 Internet 的连接获得更一致的网络体验。
ZZQIDC IDC还与越南领先的运营商合作，提供从越南客户本地网络到云服务的稳定连接，无需租用客户。越南VSP云服务器商家

 

未来兼容 ZZQIDC IDC 和国际供应商的服务

灵活的

为什么要选择ZZQIDC IDC 的 Hybri Connect 与 Cloud Server 虚拟服务器相结合？

不同地理位置性

连接段的多样性

台北，2022年3月31日─ 根据「IDC FutureScape : 2022全球供应链十大预测-针对亚太区的影响」 最新研究指出，到2022 年底，50%的制造供应链将受益于韧性供应链，从而减少10%的中断影响。缺乏供应链能见度、需求变异性增加、交货时间延长和增加的运输成本等因素将令使用人工管理供应链管理科技的业者无所适从。

IDC制造业和能源研究副总裁Stephanie Krishnan表示：「全球对供应链的兴趣增加，以及对环境冲击的关注，使得加速组织的数位化整合成为必要，以确保长期的生存能力。透过数位转型，业者能为他们整个供应链推动业务和可持续发展成果。」台湾vps中华电信机房

有鉴于此，IDC 在亚太区启动了「IDC 供应链科技领导企业奖」，以表扬在整合实体运作、资讯和金流及数位转型方面表现杰出的组织。IDC希望创建一个社群网络，这些组织将持续转型作为其公司和生态体系营运文化的一环。然后，该网络可以共享、学习和创建更好的实践，实现创新并帮助整个供应链的相关企业透过科技采用来提升能力，进一步达成永续的成果并促动合作伙伴生态系统的转型

IDC 供应链科技领导企业奖有四大奖项类别：

1. 供应链营运转型：透过数位科技整合供应链合作伙伴，实现远距货物流通管理。

2. 永续供应链：将绿色或永续作为供应链的核心策略并与供应链合作伙伴一起实现可量化的永续发展目标。

3. 供应链协调：以数据和财务流程赋能的方式，大幅提升供应链合作伙伴间的能见度、透明度和敏捷性，从而加速交易转型。

4. 供应链创新：以独有的科技使用方式达成供应链生态系中多个组织的目标。这种创新可能会衍生新的业务流程和实务、新的商业模式，或者是提供一种创新的科技或应用服务。

提名从即日起到2022 年5 月6 日结束。获奖者将于2022 年6 月3 日通过IDC 供应链科技领导企业奖网站公布，获奖者并将受邀在6 月23 日举行的IDC Live Industry Day 上发表演说。任何科技终端使用者组织(IT End-user Organizations)都可以提名他们的供应链生态系科技专案，或由第三方组织（如机构、协会、IT 供应商等）取得其同意后提名。

所有参赛作品将由物流与供应链管理协会主席Raymon Krishnan 博士组成的评审团进行评估；新加坡国立大学（NUS）副教授Keith Carter；前世界经济论坛供应链和运输行业总监Wolfgang Lehmacher； IDC Manufacturing Insights 研究副总裁Simon Ellis。

拥有 Badoo 约会服务的 Bumble 公司实施了它在 3 月初宣布的意图——该网站停止在俄罗斯和白俄罗斯开放。该站点的桌面版和移动版均无法使用，但服务的基本功能仍可在移动应用程序中使用。

Bumble 拥有服务 Badoo、Bumble 和 Fruitz，此前宣布退出俄罗斯、白俄罗斯和乌克兰——这三个国家去年为公司带来了 2.8% 的收入。除了禁用 Web 界面外，俄罗斯和白俄罗斯用户的应用程序已从 App Store 和 Google Play 商店中删除，订阅也被取消，但建议 Apple 小工具所有者手动禁用它。

从最大的商店中删除应用程序后，将不再进行更新，并且将不再可能在约会服务中注册 - 只有现有帐户的所有者以及已安装应用程序的小工具才能使用这些服务。所有收集的喜欢和喜欢都将被保存，但是，将失去对高级功能的访问权限，并且约会将仅在已注册的受众中可用，现在不会扩大。俄罗斯VPS云服务器精品推荐

RBC回忆说，根据去年 1 月对约会服务市场进行的一项研究结果，Badoo 在每月独立用户数量方面排名第二，仅次于 OK.RU，在费用方面排名第三，跳过了Tinder 和 OK.RU。

Tomorrow Water 是韩国 BKT 公司的子公司，其目标是通过将数据中心与污水处理厂并置来使数据中心更加环保，它声称这种安排可以节省能源和水。

该过程背后的想法相当简单：来自数据中心的热水可用于促进废水处理，从而减少能源需求，而一些处理过的水随后成为数据中心的冷却水。

在韩国，Tomorrow Water现在与三星、Dohwa Engineering 和 BNZ Partners 签署了一份谅解备忘录，共同开发基于这一流程的集成数据中心和卫生基础设施解决方案，该公司称之为 Co-Flow。

Tomorrow Water 已经在美国与可持续设计和工程咨询公司 Arcadis 建立了合作伙伴关系，以评估 Co-Flow 流程并在那里开发类似的数据中心托管项目。

因此，如果您曾经认为互联网是一条下水道，那么您可能很快就会错得离谱。

据 Tomorrow Water 称，Co-Flow 是该公司更广泛计划的一部分，旨在将废水处理、可再生能源发电和数据中心容量等基础设施元素进行托管和互连。其目的是利用它们互补的能源、热量、营养和水的输入和输出，使它们对全球人口更具可持续性和负担得起，它说。

部分解决方案是 BKT 的 Proteus 废水处理技术，该公司已经使用该技术对首尔 Jungnang 水循环中心的废水处理设施进行现代化改造。据 Tomorrow Water 称，这将工厂的总占地面积减少了 60%，如果要在其他站点复制该过程，则由此腾出的空间是可以建造数据中心建筑物的地方。

对数据中心空间的需求正在增长，尤其是在美国，但在世界其他地方也是如此。然而，根据 Tomorrow Water 的说法，由于城市中心缺乏可用于数据中心建设的可用站点，因此无法满足这一需求。Co-Flow 通过使数据中心能够在污水处理厂的现有占地面积内开发，同时还节省了水和能源，创造了一个双赢的局面。

在其他地方，例如，微软与芬兰最大的能源公司合作，在赫尔辛基附近建立一个新的数据中心，通过现有的水管将数据中心的废热通过现有的水管输送到埃斯波周边城市的家庭和企业，从而在冷却服务器的同时为家庭供暖。 Kauniainen，以及 Kirkkonummi 市。

印度，2022 年 3 月 30 日：印度的网络市场，包括以太网交换机、路由器和 WLAN 细分市场，在 2021 年第四季度（10 月至 12 月）期间供应商收入同比增长 13.6%。随着组织希望重新开放校园，对非 DC 网络基础设施的投资在过去几个季度显着增长。话虽如此，供应商仍被视为芯片短缺、货运成本增加、货币波动导致进口成本增加的问题。对于许多供应商而言，基础设施交付周期目前已上升至 26-28 周的水平，并且随着俄罗斯-乌克兰冲突使情况恶化，预计未来几个季度将保持不变。然而，由于供应商正在寻求清理他们的货物积压，

按供应商收入计算，印度的交换机业务在 4Q421 同比增长 25.7%。由于 COVID-19 导致 2020 年第四季度收入急剧下降，非 DC 开关业务同比显着增长 41.5%。在 2022 年 4 月办公室开业之前，组织，特别是服务部门开始对非 DC 部门进行大量投资。DC 切换在 21 年第四季度实现了 9.3% 的高个位数增长率。对交换业务做出贡献的关键行业包括服务、电信、制造和政府​​。

在经历了强劲的增长之后，印度路由器市场停滞不前，供应商收入同比增长 0.1%，环比下降 10.6%。服务提供商贡献了 61.4% 的路由器投资，是下降的主要原因。然而，企业路由器投资同比增长 25.1%，企业投资路由器进行定期更新和投资，旨在部署 SD-WAN 等解决方案。除了电信，路由的其他关键垂直领域还包括制造、金融和服务。

按供应商收入计算，WLAN 细分市场同比小幅增长 4.5%。虽然企业 WLAN 因组织被压抑的需求而强劲增长，但随着办公室重新开放和印度节日季即将结束，消费者无线需求减弱，因此整个 WLAN 细分市场仅出现边际增长。企业 WLAN 细分市场表现出非常强劲的 45.4% 同比增长，而消费者 WLAN 同比下降 22.0%。

印度企业对 Wi-Fi 6 的吸引力扩大，在 21 年第四季度，Wi-Fi 6 贡献了 75.7% 的接入点收入。由于半导体短缺导致前几代无线接入点的交货时间急剧增加，推动了对 Wi-Fi 6 采用的需求。

印度以太网交换机市场 4Q21

根据IDC 的全球季度以太网交换机跟踪器，印度第四季度以太网交换机市场为 1.631 亿美元（按供应商收入计算），同比增长 25.7%。由于办公室准备在第三波 COVID-19 之后重新开放，企业对非 DC 交换的投资同比增长 41.5%。随着混合工作的优先发展，企业也热衷于在二、三线城市设立卫星办公室，以提高员工满意度，这也增加了对非直流交换设备的需求。随着半导体短缺形势的加剧，企业热衷于在21年第四季度清理积压，为未来的需求创造空间。直流开关部分同比增长 9.3%。服务、电信、制造业和政府是 21 年第四季度的最大贡献者。

思科在 21 年第四季度继续以 54.8% 的份额主导以太网交换机市场，其次是惠普企业 (HPE) 和瞻博网络。由于超大规模投资，印度的 ODM 业务在 21 年第四季度显着增长。

印度路由器市场 4Q21

根据IDC 的全球季度路由器跟踪报告，21 年第四季度印度路由器市场仍然停滞不前，为 7510 万美元（按供应商收入计算），同比增长 0.1%，微乎其微。增长缓慢主要归因于电信服务提供商在路由器投资方面的放缓。21 年第四季度，服务提供商部署同比下降 11.1%。电信厂商的投资主要集中在更新、带宽优化要求、构建边缘云、5G 推出之前的投资等。相反，企业对路由器硬件的投资同比增长 25.1%。企业投资主要集中在针对 SD-WAN 实施的定期路由器更新和部署上。除电信外，主要投资领域还包括制造业、金融业和服务业。

思科在 21 年第四季度以 62.8% 的市场份额领先路由器市场，其次是诺基亚和瞻博网络。

印度 WLAN 市场 4Q21

根据IDC 的全球季度无线 LAN 跟踪器，印度 WLAN 市场在 21 年第四季度的供应商收入方面实现了 4.5% 的边际同比增长，主要受企业无线部门的推动。市场规模为 6450 万美元（按供应商收入计算）。

企业无线领域的业务表现出色，供应商收入同比增长 45.4%。这一增长主要是由企业在第三波 COVID-19 之后在办公室开业之前投资无线基础设施推动的。供应商还专注于清理因芯片短缺而导致的现有积压，以便能够有效地满足未来的需求。人们看到服务组织大力投资于建立主要专注于无线连接的新地点。由于更简单的部署和管理，云管理的无线网络正在收集流。在因 COVID-19 导致长期低迷之后，来自教育垂直领域的投资出现反弹。由于与前几代无线接入点相比，等待时间更短，Wi-Fi 6 贡献了 75.7% 的接入点收入。

按供应商收入计算，消费者网关路由器业务同比大幅下降 22.0%。网关路由器部分的下降是由于在该国多个地区开设办事处以及印度的节日季节即将结束。以 ISP 为渠道，Wi-Fi 6 也开始在消费领域受到关注。不过，网关路由器市场仍以 Wi-Fi 5 出货量为主。

TP-Link 的市场份额为 24.1%，是 21 年第四季度 WLAN 领域的市场领导者。在企业级 WLAN 细分市场中，思科以 19.7% 的市场份额位居市场领导者，其次是慧与，占 18.1%。

苏达桑·拉古纳坦, IDC India 企业网络高级市场分析师表示：“尽管供应商正在努力应对运营挑战，例如不断延长的交货时间和不断增加的投入成本，但对网络基础设施的需求仍然健康。校园投资市场——有线和无线业务在 21 年第四季度迅速扩张。教育等在相当长一段时间内没有支出的垂直领域开始在网络基础设施上支出。考虑到部署和管理基础设施的便利性，尤其是在服务、教育、零售等垂直领域，云管理的基础设施比以往更受关注。企业在很大程度上开始意识到 NaaS 的好处，因为它可以帮助他们迁移到 OPEX不影响服务质量的模式。

IDC 印度预测

就 2021-2026 年的复合年增长率 (CAGR) 而言，以太网交换机、路由器和 WLAN 市场预计将以个位数增长。云、物联网、移动等新兴技术的采用率增加将推动收入增长。IDC 还预计在未来几年内对 5G 部署进行大量投资。

                                                  致谢：Totolink
被跟踪为 Beastmode（又名 B3astmode）的基于 Mirai 的分布式拒绝服务 (DDoS) 僵尸网络已更新其漏洞利用列表，其中包括几个新漏洞，其中三个针对各种型号的 Totolink 路由器。

Totolink 是 Zioncom 旗下的一个受欢迎的电子产品子品牌，最近发布了固件更新以修复三个严重漏洞。

DDoS 僵尸网络的作者没有浪费任何时间，并将这些漏洞添加到他们的武器库中，以便在 Totolink 路由器所有者应用安全更新之前利用机会窗口。

通过控制易受攻击的路由器，Beastmode 可以访问允许其发起 DDoS 攻击的硬件资源

僵尸网络运营商通过出售 DDoS 服务或对公司发起攻击并要求停止赎金来赚钱。

漏洞和影响
Fortinet 研究人员分析了最新版本的 Beastmode，发现它添加了以下新缺陷，可用于攻击 Totolink 设备：

CVE-2022-26210 – 命令注入漏洞使攻击者能够通过特制请求执行任意命令。影响 Totolink A800R、A810R、A830R、A950RG、A3000RU 和 A3100R。
CVE-2022-26186 – 通过 cstecgi.cgi 的 export0vpn 接口的命令注入漏洞，影响 Totolink N600R 和 A7100RU。
CVE-2022-25075到 25084 – 一组严重的严重缺陷，允许远程攻击者通过 QUERY_STRING 参数执行任意命令。影响 Totolink A810R、A830R、A860R、A950RG、A3100R、A3600R、T6 和 T10 路由器。

在 Beastmode 僵尸网络 (Fortinet)上添加的新漏洞
不过，上述漏洞并不是 Beastmode 僵尸网络的唯一新增内容，因为其作者还添加了以下较旧的错误：

CVE-2021-45382 – 影响 D-Link DIR-810L、DIR-820L/LW、DIR-826L、DIR-830​​L 和 DIR-836L 的远程代码执行漏洞。
CVE-2021-4045 – 影响 TP-Link Tapo C200 IP 摄像机的未经身份验证的远程代码执行漏洞。
CVE-2017-17215 – 影响华为 HG532 的未经身份验证的远程代码执行漏洞
CVE-2016-5674 – 通过影响 Netgear ReadyNAS 产品线的日志参数远程执行任意 PHP 代码。
所有上述缺陷都被评为严重（CVSS v3 得分为 9.8），使威胁参与者能够完全控制设备。

一旦发生这种情况，恶意软件会下载一个 shell 脚本，在僵尸网络上注册捕获的设备，并将其设置为各种 DDoS 攻击类型。

远离僵尸网络
为防止 Mirai 变体控制您的路由器或 IoT 设备，请确保应用修复上述漏洞的可用安全更新。

对于 Totolink，请访问供应商 下载中心，选择您的设备型号，然后下载并安装最新的可用固件版本。

可能表明您的路由器受到威胁的迹象之一是互联网连接速度慢。普通用户可能会错过的其他线索包括设备比平时更热、无法登录管理面板、更改设置或设备无响应。
如果您怀疑您的网络设备已被入侵，可以将黑客赶出的一种方法是手动重置它，使用不同的、更强大的密码对其进行配置，然后安装供应商提供的最新安全更新。

网络钓鱼攻击者正在积极滥用 Calendly 来启动一个巧妙的序列，以诱骗目标在网络钓鱼页面上输入他们的电子邮件帐户凭据。

Calendly 是一款非常流行的带有 Zoom 集成的免费日历应用程序，用于安排会议和约会，并且通常被组织用于发送即将举行的活动的邀请。

因此，使用它发送恶意链接与大多数受害者的日常工作背景非常吻合，因此这些尝试不太可能引起怀疑。

此外，由合法平台生成和发送的电子邮件通常被电子邮件安全工具认为是可信的，因此它们往往会到达目标收件箱而不是垃圾邮件文件夹。

最后，Calendly 允许新用户在平台上注册，而无需输入信用卡信息或任何其他身份证明，使其成为一个容易被滥用的平台。

据 INKY 分析师报道，Calendly 滥用的最初迹象始于 2 月底，他们在发布前与 Bleeping Computer 分享了他们的报告。

滥用 Calendly 进行网络钓鱼攻击
网络钓鱼攻击始于 Calendly 平台上生成的网络钓鱼电子邮件，通知收件人他们收到了新的传真文档。

为了创建这些电子邮件，威胁参与者滥用了 Calendly 功能，该功能允许用户创建自定义邀请电子邮件和“添加自定义链接”功能以在活动页面上插入恶意链接。

该链接嵌入在“查看文档”按钮中并注入日历屏幕，因此如果单击，它会将收件人带到用于窃取登录凭据的实际网络钓鱼登录页面。

                                   Calendly 邀请中嵌入的恶意链接 (INKY)
INKY 发现，无论这次网络钓鱼活动中的诱饵如何，登录页面总是冒充 Microsoft 登录表单，并且文档在背景中被模糊化。

在对话框中输入的任何凭据都将直接发送给威胁参与者，而由于据称输入了错误的密码，受害者将被提示再次输入它们。

                                   虚假错误提示受害者重新输入其凭据 (INKY)

这是当今网络钓鱼活动中普遍存在的一种技巧，因为强制用户输入其凭据两次可以最大程度地减少因拼写错误而窃取密码的机会，有时甚至有助于窃取两个帐户凭据。

在第二次尝试后，受害者会自动重定向到他们输入的电子邮件帐户的域，以最大限度地减少受害者意识到入侵的机会。

                                   动态重定向的 HTML 代码 (INKY)

需要注意什么
虽然这是网络钓鱼攻击者第一次滥用 Calendly 平台，但该活动中使用的所有其他技巧都是相当标准的。

其中包括生成从合法在线服务发送的恶意消息、要求用户登录以在后台查看模糊文档、强制受害者输入他们的凭据两次，以及最后将他们重定向到可信赖的网站。

此活动中有两个明显的欺诈迹象，即要求使用 Microsoft SharePoint 凭据查看 Calendly 托管的内容和钓鱼页面上的 URL，该页面既不在 Microsoft 也不在 Calendly 域上。

最后，使用密码管理器是绕过所有这些技巧的一种简单方法，特别有利于粗心的用户，因为如果登录页面上的 URL 与存储在保险库中的 URL 不匹配，则不会填写凭据。

2 月 24 日，针对 KA-SAT 卫星宽带服务擦除 SATCOM 调制解调器的网络攻击中部署了一种新发现的擦除路由器和调制解调器的数据擦除恶意软件，影响了乌克兰的数千人以及整个欧洲的数万人。

该恶意软件被 SentinelOne 的研究人员称为 AcidRain，旨在暴力破解设备文件名并擦除它可以找到的每个文件，以便在未来的攻击中轻松重新部署。

SentinelOne 表示，这可能暗示攻击者不熟悉目标设备的文件系统和固件，或者他们不熟悉开发可重用工具的意图。

AcidRain 于 3 月 15 日首次被发现，当时它从意大利的一个 IP 地址作为 32 位 MIPS ELF 二进制文件使用“ukrop”文件名上传到 VirusTotal 恶意软件分析平台。

部署后，它会通过受感染的路由器或调制解调器的整个文件系统。它还使用所有可能的设备标识符擦除闪存、SD/MMC 卡和它可以找到的任何虚拟块设备。

“二进制文件对文件系统和各种已知的存储设备文件进行深入擦除。如果代码以 root 身份运行，AcidRain 会对文件系统中的非标准文件执行初始递归覆盖和删除，” SentinelOne 威胁研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 解释道。

为了破坏受感染设备上的数据，擦除器使用最多 0x40000 字节的数据覆盖文件内容，或使用 MEMGETINFO、MEMUNLOCK、MEMERASE 和 MEMWRITEOOB 输入/输出控制 (IOCTL) 系统调用。

在 AcidRain 的数据擦除过程完成后，恶意软件会重新启动设备，使其无法使用。

用于擦除乌克兰的卫星通信调制解调器
根据上传到 VirusTotal 的 AcidRain 二进制文件的名称，它可能是“乌克兰行动”​​的缩写，SentinelOne 表示，该恶意软件可能是专门为针对乌克兰的行动而开发的，并可能用于在 KA-SAT 网络攻击中擦除调制解调器。

“威胁参与者在供应链攻击中使用 KA-SAT 管理机制来推动为调制解调器和路由器设计的擦除器，”SentinelOne 假设。

“这种设备的擦除器会覆盖调制解调器闪存中的关键数据，使其无法操作，需要重新刷新或更换。”

这与关于 KA-SAT 事件的 Viasat 事件报告直接矛盾，该报告称“没有发现任何妥协或篡改 Viasat 调制解调器软件或固件图像的证据，也没有任何供应链干扰的证据”。

然而，Viasat 证实了 SentinelOne 的假设，称破坏数据的恶意软件是使用“合法管理”命令部署在调制解调器上的。

“SentinelLabs 报告中关于 ukrop 二进制文件的分析与我们报告中的事实一致 - 具体而言，SentinelLabs 使用 Viasat 之前描述的合法管理命令识别在调制解调器上运行的破坏性可执行文件，”Viasat 发言人告诉 ZZQIDC。

“我们希望在这项调查完成后，我们可以提供更多的取证细节。”

安全研究员鲁本·桑塔玛塔（Ruben Santamarta）也证实了使用 AcidRain 擦除调制解调器，他转储了在对 KA-SAT 的攻击中损坏的 SATCOM 调制解调器的闪存。

正如 SentinelOne 所说，Santamarta 观察到的破坏性模式与 AcidRain 的覆盖刮水器方法的输出相匹配

自 2022 年 2 月的攻击以来，Viasat 运送了近 30,000 个调制解调器以使客户重新上线，并继续加快服务恢复速度，这一事实也暗示 SentinelOne 的供应链攻击理论站得住脚。

附带说明一下，此恶意软件使用的 IOCTL 也与 VPNFilter 恶意软件“dstr”wiper 插件使用的 IOCTL 相匹配，这是一种归因于俄罗斯 GRU 黑客（Fancy Bear或Sandworm）的恶意工具。

今年针对乌克兰部署的第七个数据擦除器
AcidRain 是在针对乌克兰的攻击中部署的第七种数据擦除恶意软件，自今年年初以来，已有六种恶意软件被用于攻击该国。

乌克兰计算机应急响应小组最近报告说，它跟踪为DoubleZero的数据擦除器已被部署在针对乌克兰企业的攻击中。

在俄罗斯入侵乌克兰开始的前一天，ESET 发现了一种现在称为 HermeticWiper的数据擦除恶意软件，该恶意软件与勒索软件诱饵一起用于攻击乌克兰的组织。

俄罗斯入侵乌克兰的那天，他们还发现了一个名为 IsaacWiper 的数据擦除器和一个名为 HermeticWizard 的新蠕虫，该蠕虫用于丢弃 HermeticWiper 有效载荷。

一种名为 BlackGuard 的新型信息窃取恶意软件正在赢得网络犯罪社区的关注，现在在众多暗网市场和论坛上以 700 美元的终生价格或每月 200 美元的订阅价格出售。

窃取者可以从广泛的应用程序中获取敏感信息，将所有内容打包到 ZIP 存档中，并将其发送到恶意软件即服务 (MaaS) 操作的 C2。

购买订阅的威胁参与者然后可以访问 BlackGuard 网络面板以检索被盗的数据日志，要么自己利用它们，要么将它们出售给他人。

Zscaler的研究人员发现并分析了 BlackGuard ，他们注意到恶意软件的流行度突然飙升，尤其是在Raccoon Stealer 突然关闭之后。

ZZQIDC发现 BlackGuard 于 2022 年 1 月首次出现在俄语论坛上，出于测试目的私下传播。

2022 年 2 月论坛帖子展示了 BlackGuard 的战利品 (KELA)
广泛的偷窃能力
与所有现代信息窃取者一样，没有多少应用程序存储或处理不在 BlackGuard 目标范围内的敏感用户数据，并且重点主要放在加密货币资产上。

BlackGuard 将寻求以下软件的存在并试图从中窃取用户数据：

网络浏览器：Chrome、Opera、Firefox、MapleStudio、Iridium、7Star、CentBrowser、Chdot、Vivaldi、Kometa、Elements Browser、Epic Privacy Browser、uCozMedia、Coowon、liebao、QIP Surf、Orbitum 的密码、cookies、自动填充和历史记录Comodo, Amigo, Torch, Comodo, 360Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Edge, BraveSoftware
钱包浏览器扩展：Binance、coin98、Phantom、Mobox、XinPay、Math10、Metamask、BitApp、Guildwallet、iconx、Sollet、Slope Wallet、Starcoin、Swash、Finnie、KEPLR、Crocobit、OXYGEN、Nifty、Liquality、Auvitas 钱包、Math 钱包, MTV 钱包, Rabet 钱包, Ronin 钱包, Yoroi 钱包, ZilPay 钱包, Exodus, Terra Station, Jaxx
加密货币钱包：AtomicWallet、BitcoinCore、DashCore、Electrum、Ethereum、Exodus、LitecoinCore、Monero、Jaxx、Zcash、Solar、Zap、AtomicDEX、Binance、Frame、TokenPocket、Wassabi
电子邮件：展望
信使: Telegram, Signal, Tox, Element, Pidgin, Discord
其他：NordVPN、OpenVPN、ProtonVpn、Totalcommander、Filezilla、WinSCP、Steam
收集到的信息被捆绑在一个 ZIP 文件（也称为日志）中，并通过 POST 请求发送到 C2 服务器，同时还有一个系统分析报告，该报告为受害者设置唯一的硬件 ID 并确定他们的位置。

从一系列 Web 浏览器中窃取信息 (Zscaler)
反检测功能
BlackGuard 的逃避能力仍在大力开发中，但一些系统已经到位，可以帮助恶意软件逃避检测和分析。

首先，它带有一个加密器，它的所有字符串都是base64混淆的，所以很多依赖静态检测的反病毒工具都会错过它。

恶意软件会检测到系统上运行的任何 AV，然后会尝试杀死它们的进程并终止它们的操作。
该恶意软件还会检查受害者的 IP 地址，如果它在俄罗斯或任何其他独联体国家的系统上运行，它将停止并退出。这是恶意软件起源的又一迹象。

被排除在攻击之外的国家列表 (Zscaler)
最后，反调试功能阻止了鼠标和键盘输入的操作，使研究人员更难以分析恶意软件。

外表
信息窃取者正在增加，Redline、MarsStealer、Vidar Stealer和AZORult 目前在该领域占据主导地位。

作为最大参与者之一的 Raccoon Stealer 的退出在网络犯罪市场留下了空白，因此其他 MaaS 运营商将尝试利用这一发展。

KELA的威胁分析师 Daria Romana Pop与ZZQIDC分享了以下关于信息窃取者现状的见解：

“鉴于信息窃取者获取的受损帐户和数据作为初始访问目标的载体的使用和利用增加，KELA 最近观察到网络犯罪论坛上正在宣传新变种，因为威胁参与者旨在提高恶意软件的功能以更好地避免被发现并推进数据收集和泄露过程。”

“BlackGuard 窃取程序于 2021 年初推出。由于网络犯罪分子不断测试此类恶意工具的功能，他们并不回避要求更高的质量和改进。KELA 遇到了最近的几次讨论，其中用户抱怨 BlackGuard 无法正确避免被发现。与任何业务一样，运营商承诺立即提供更新版本。

BlackGuard 的作者承诺改进反检测方案 (KELA)
“在另一种情况下，KELA 发现了 META——一种新的信息窃取程序，其外观与 RedLine 非常相似，RedLine 收集的数据正在 TwoEasy 僵尸网络市场上出售。该窃取程序于 3 月初推出，现在每月售价 125 美元或1000美元无限制使用，运营商声称它是RedLine的改进版。”

在黑客论坛 (KELA)上推广的 META 信息窃取者
为了保护自己免受所有传播的信息窃取恶意软件的侵害，请避免访问阴暗的网站并从不可靠或可疑的来源下载文件。

最后，使用双重身份验证，使您的操作系统和应用程序保持最新，并为您的所有在线帐户使用强大且唯一的密码。

网络钓鱼攻击正在滥用 Microsoft Azure 的静态 Web 应用服务来窃取 Microsoft、Office 365、Outlook 和 OneDrive 凭据。

Azure 静态 Web 应用程序是一项 Microsoft 服务，可帮助从 GitHub 或 Azure DevOps 代码存储库构建和部署全栈 Web 应用程序到 Azure。

它允许开发人员使用自定义域来标记 Web 应用程序，并为 HTML、CSS、JavaScript 和图像等静态内容提供 Web 托管。

正如安全研究员MalwareHunterTeam 发现的那样，威胁参与者还注意到自定义品牌和网络托管功能可以轻松用于托管静态登陆网络钓鱼页面。

攻击者现在正在积极地使用微软的服务来攻击其客户，积极地针对拥有微软、Office 365、Outlook 和 OneDrive 帐户的用户。

如下所示，这些网络钓鱼活动中使用的一些登录页面和登录表单看起来几乎与 Microsoft 官方页面完全相同。

Azure 静态 Web 应用网络钓鱼页面 (ZZQIDC)
Azure 静态 Web 应用增加了合法性
使用 Azure 静态 Web 应用平台来定位 Microsoft 用户是一个很好的策略。由于 *.1.azurestaticapps.net 通配符 TLS 证书，每个登录页面都会在地址栏中自动获取自己的安全页面挂锁。

在看到 Microsoft Azure TLS 颁发 CA 05 到 *.1.azurestaticapps.net 的证书后，这甚至可能欺骗最可疑的目标，从而在潜在受害者眼中验证网络钓鱼页面是 Microsoft 的官方登录表单。

由于合法的 Microsoft TLS 证书添加了虚假的安全面纱，因此在针对其他平台（包括 Rackspace、AOL、Yahoo 和其他电子邮件提供商）的用户时，此类登录页面也成为一种有用的工具。

1.azurestaticapps.net 通配符 Microsoft TLS 证书
当尝试检测网络钓鱼攻击何时针对您时，标准建议是在要求您在登录表单中填写您的帐户凭据时仔细检查 URL。

不幸的是，滥用 Azure 静态 Web 应用程序的网络钓鱼活动使这个建议几乎毫无价值，因为许多用户会被 azurestaticapps.net 子域和有效的 TLS 证书欺骗。

这不是第一次利用 Microsoft 服务进行网络钓鱼攻击以针对公司自己的客户。

网络钓鱼活动还使用 Microsoft 的 Azure Blob 存储提供的 *.blob.core.windows.net 通配符证书来针对Office 365和Outlook用户。

ZZQIDC联系微软征求意见，如果我们收到回复，我们将更新故事。