黑客正在入侵 WordPress 网站以插入一个恶意脚本,该脚本使用访问者的浏览器对乌克兰网站执行分布式拒绝服务攻击。
今天,MalwareHunterTeam 发现了一个 WordPress 站点被入侵以使用该脚本,针对 10 个具有分布式拒绝服务 (DDoS) 攻击的网站。
这些网站包括乌克兰政府机构、智囊团、乌克兰国际国防军招募网站、金融网站和其他亲乌克兰网站
目标网站的完整列表如下:
https://stop-russian-desinformation.near.page
https://gfsis.org/
http://93.79.82.132/
http://195.66.140.252/
https://kordon.io/
https://war.ukraine.ua/
https://www.fightforua.org/
https://bank.gov.ua/
https://liqpay.ua
https://edmo.eu
加载后,JavaScript 将强制访问者的浏览器对列出的每个站点执行 HTTP GET 请求,一次不超过 1,000 个并发连接。
DDoS 攻击将在用户不知道发生的情况下在后台发生,除了浏览器速度变慢。
这允许脚本执行 DDoS 攻击,而访问者不知道他们的浏览器已被选中进行攻击。
对目标网站的每个请求都将使用随机查询字符串,这样请求就不会通过缓存服务(如 Cloudflare 或 Akamai)提供服务,而是直接由被攻击的服务器接收。
例如,DDoS 脚本将在 Web 服务器的访问日志中生成如下请求:
"GET /?17.650025158868488 HTTP/1.1"
"GET /?932.8529889504794 HTTP/1.1"
"GET /?71.59119445542395 HTTP/1.1"BleepingComputer 只能找到少数感染此 DDoS 脚本的站点。然而,开发人员 Andrii Savchenko 表示,数百个 WordPress 网站被入侵以进行这些攻击。
“实际上大约有数百个。所有通过 WP 漏洞。不幸的是,许多提供商/所有者没有反应,” Savchenko发推文。
在研究该脚本以查找其他受感染站点时,BleepingComputer 发现亲乌克兰站点 https://stop-russian-desinformation.near.page 正在使用相同的脚本,该脚本用于对俄罗斯网站进行攻击。
在访问该网站时,用户的浏览器被用于对 67 个俄罗斯网站进行 DDoS 攻击。
虽然该网站明确表示将使用访问者的浏览器对俄罗斯网站进行 DDoS 攻击,但受感染的 WordPress 网站在网站所有者或其访问者不知情的情况下使用脚本。
安全硬件制造商 SonicWall 已修复 SonicOS 安全操作系统中的一个严重漏洞,该漏洞允许拒绝服务 (DoS) 攻击并可能导致远程代码执行 (RCE)。
该安全漏洞是一个基于堆栈的缓冲区溢出漏洞,CVSS 严重性评分为 9.4,影响多个 SonicWall 防火墙。
该漏洞被跟踪为CVE-2022-22274,影响面向中小型企业 (SMB) 的 TZ 系列入门级台式机外形下一代防火墙 (NGFW)、旨在保护网络安全的网络安全虚拟 (NSv 系列) 防火墙。云和网络安全服务平台 (NSsp) 高端防火墙。
未经身份验证的攻击者可以通过 HTTP 请求远程利用该漏洞,在不需要用户交互的低复杂度攻击中“导致拒绝服务 (DoS) 或可能导致防火墙中的代码执行”。
SonicWall 产品安全事件响应小组 (PSIRT) 表示,没有关于公共概念证明 (PoC) 漏洞利用的报告,并且没有发现攻击中的漏洞利用证据。
该公司已为所有受影响的 SonicOS 版本和防火墙发布了补丁,并敦促客户更新所有受影响的产品。
“SonicWall 强烈敦促使用下面列出的受影响 SonicWall 防火墙的组织遵循提供的指导,”该公司在周五发布的安全公告中表示。
| 产品 | 受影响的平台 | 受影响的版本 | 固定版本 |
| SonicWall 防火墙 | TZ270,TZ270W,TZ370,TZ370W,TZ470,TZ470W,TZ570,TZ570W,TZ570P,TZ670,NSA 2700,NSA 3700,NSA 4700,NSA 5700,NSA 6700,NSSP 10700,NSSP 11700,NSSP 13700,NSV 270,NSV 470, NSV 870 | 7.0.1-5050 及更早版本 | 7.0.1-5051 及更高版本 |
| SonicWall NSsp 防火墙 | NSSP 15700 | 7.0.1-R579 及更早版本 | 4 月中旬(Hotfix build 7.0.1-5030-HF-R844) |
| SonicWall NSv 防火墙 | NSv 10,NSv 25,NSv 50,NSv 100,NSv 200,NSv,300,NSv 400,NSv 800,NSv 1600 | 6.5.4.4-44v-21-1452 及更早版本 | 6.5.4.4-44v-21-1519 及更高版本 |
唯一一个仍在等待针对 CVE-2022-22274 补丁的受影响防火墙是 NSsp 15700 企业级高速防火墙。
SonicWall 估计,用于阻止针对 NSsp 15700 防火墙的潜在攻击的安全更新将在大约两周内发布。
“对于 NSsp 15700,请继续进行临时缓解以避免利用或联系 SonicWall 支持团队,他们可以为您提供修补程序固件 (7.0.1-5030-HF-R844),”该公司解释说。
“SonicWall 预计将于 2022 年 4 月中旬推出带有 NSsp15700 必要补丁的官方固件版本。”
SonicWall 还提供了一种临时解决方法来删除无法立即修补的系统上的利用向量。
正如安全供应商所解释的那样,管理员只需要允许受信任的来源访问 SonicOS 管理界面。
“在可以应用 [..] 补丁之前,SonicWall PSIRT 强烈建议管理员通过修改现有的 SonicOS 管理访问规则(SSH/HTTPS/ HTTP 管理),”该公司补充道。
SonicWall 补充说,更新的访问规则将确保受影响的设备“仅允许来自受信任的源 IP 地址的管理访问”。
SonicWall 支持网站为客户提供有关如何限制管理员访问的更多信息以及何时允许访问防火墙的 Web 管理界面的提示。
据报道,SunCrypt 是一种勒索软件即服务 (RaaS) 操作,它在 2020 年中期取得了显著成就,尽管它的运营商继续努力为其应变提供新功能,但它仍然活跃,即使只是勉强进行。
SunCrypt 是三重勒索的早期先驱之一,包括文件加密、发布被盗数据的威胁以及针对非付费受害者的 DDoS(分布式拒绝服务)攻击。
尽管如此,并且联盟计划中缺乏有道德意识的目标限制,但 SunCrypt 未能发展到比一个封闭的附属圈子的小型私人 RaaS 更大。
根据Minerva Labs的一份报告,这种停滞并没有阻止恶意软件作者开发一种新的、更好的版本,分析师对其进行分析以确定发生了什么变化。
新的 SunCrypt 功能
2022 SunCrypt 变种的新功能包括进程终止、停止服务和清除机器以执行勒索软件。
这些功能在其他勒索软件中早已存在,但对于 SunCrypt,它们是最近才添加的。正如 Minerva 评论的那样,这使它看起来仍处于早期开发阶段。
进程终止包括资源密集型进程,这些进程可以阻止对打开的数据文件进行加密,例如写字板(文档)、SQLWriter(数据库)和 Outlook(电子邮件)。
清理功能在加密例程结束时激活,使用两个 API 调用来擦除所有日志。虽然一个就足够了,但作者可能使用了两个作为冗余。清除所有日志后,勒索软件会使用 cmd.exe 从磁盘中删除自身。
清除事件日志的 API 调用 (Minerva)
最新版本中保留的重要 旧功能 之一是使用 I/O 完成端口通过进程线程更快地加密。
此外,SunCrypt 继续对本地卷和网络共享进行加密,并且仍然为 Windows 目录、boot.ini、dll 文件、回收站和其他在加密后会使计算机无法运行的项目维护一个允许列表。
SunCrypt (Minerva)使用的最新赎金票据
活动与展望
根据提交给 ID Ransomware 的统计数据,它提供了勒索软件应变活动的一个好主意,SunCrypt 仍在加密受害者,但似乎活动有限。
SunCrypt 在 ID 勒索软件上的提交
该组织可能针对高价值实体并将赎金支付谈判保密,而不是引起执法部门的注意和媒体报道。
Minerva 提到 Migros 是 SunCrypt 最近的受害者之一,这是瑞士最大的连锁超市,员工人数超过 100,000。
综上所述,SunCrypt 无疑是一个尚未破解的真正威胁,但 RaaS 是否会成长为更重要的东西还有待观察。
俄罗斯最大的创业联盟俄罗斯 RSPP 通信和 IT 委员会警告称,由于缺乏可用的电信设备,即将发生大规模的互联网服务中断。
为了提高认识,委员会编制了一份文件,反映了俄罗斯该行业目前面临的实际挑战,并提出了一套专门为缓解这些挑战而制定的建议。
看过相关文件的俄罗斯媒体称,警告是可怕的,因为委员会强调电信运营商设备的储备只能再维持六个月。
随着西方设备供应商退出市场,不再向俄罗斯实体销售零部件,最早的服务中断可能最早在今年夏天开始。
此外,可供购买的设备价格上涨了 40%,如果卢布继续贬值,服务提供商的经济问题将更加严峻。
“最大的电信运营商的资本支出将从 2021 年的 3900 亿卢布增长到 2022 年的 4500 亿卢布,即使减少投资计划也是如此。” 委员会表示。
为了解决这些问题或至少减轻其影响,RSPP 提出了以下措施,将提交给俄罗斯数字发展部:
暂停向 2022 年通用通信服务基金捐款
将无线电频谱费用降低 50%
财产税零税率,行业从业人员收入免税
然而,生意人报报道称,该部不太可能采取任何激进行动来解决 IT 联盟提出的问题,其中包括 MTS、MegaFon、VimpelCom、ER-Telecom、GS 集团和俄罗斯铁路公司。
据同一消息人士称,该部已非正式地否认了有关成功和良好的业务表现不是国家支持的结果,而是公司本身的良好决策的担忧。
大量 IT 专家外流
令俄罗斯 IT 公司头疼的另一件事是技术人员大批逃离该国的现象。
卡巴斯基联合创始人、前首席执行官 Natalya Kasperskaya 首次曝光此事,她表示,自 2 月底以来,IT 专家的外流规模相当大。
上周,一家大型互联网研究机构的所有者叶夫根尼·普里戈津(Yevgeny Prigozhin)公开呼吁政府采取措施阻止人才流向国外,对无正当理由辞职的人实施罚款和旅行限制。
尽管据报道逃离的年轻俄罗斯人在机场受到审讯,但数字发展部断然拒绝制定计划以阻止人们流向外国公司的可能性。
相反,该州强调需要体面和有竞争力的工作条件,以使俄罗斯的就业市场对本地人和外国人都更具吸引力。
RSPP 文件再次涉及这一主题,警告该行业在接下来的几个月中可能会失去多达 30% 的高素质专家,通过所提供服务的退化及其对所有行业的影响导致整体恶化。
根据俄罗斯电子通信协会提供的最新数据,已经有50,000 至 70,000 名IT 专家离开该国,到 4 月可能还有 100,000 人离开该国。
在所有对商业有价值的事物中,信任是最重要的事物之一。我们倾向于信任与我们密切合作的人,让他们更容易访问我们宝贵的基础设施。
犯罪分子知道这一点,这就是为什么他们多年来一直试图为自己的目的选择信任。他们每次欺骗同事和联系人的电子邮件时都会这样做。如果一封电子邮件来自您认识的人,您更有可能相信它。
现在,随着供应链欺诈的发展,信任的武器化已经达到了新的水平。这些攻击利用了公司对其供应商和合作伙伴的信任。犯罪分子会破坏供应商的账户,将其用作进入客户网络的便捷途径。
今年 1 月,网络安全公司 Darktrace 预测,这种供应链欺诈将超过 CEO 欺诈。它的理由是,公司对针对其高级管理人员的欺诈攻击变得明智,并正在采取保护措施,使他们难以接触。因此,攻击者将目标对准公司信任的其他方(例如其供应商)更有意义。
供应商承担的妥协对于在线窃贼来说尤其有成效,因为它们通常会导致大规模的下游妥协。一个受到损害的供应商可能是向客户分发勒索软件的渠道。
这正是 2021 年 7 月发生的事情。REvil 勒索软件组织通过攻击网络管理服务公司 Kaseya 摧毁了数百家公司。其远程管理软件中的一个缺陷让黑客利用它来将其勒索软件分发到其客户的服务器。一个身份验证漏洞导致了多阶段攻击,该攻击停止了包括半个地球以外的杂货店在内的公司的运营。 
这已经够糟糕了,但更糟糕的是核情景:更隐蔽的攻击可能会危及供应商自己的数字产品或服务。攻击者可以将合法软件变成木马,从而破坏服务或窃取整个客户群的信息。
在 2020 年 12 月震惊 Solarwinds 及其客户的攻击中,我们最清楚地看到了这一点。据信是俄罗斯人的黑客入侵了该公司的开发系统,并将安全漏洞直接引入其软件。然后,这些系统破坏了数百个客户系统,包括美国政府机构的系统。在有人发现问题之前,攻击者已经在这些系统中待了几个月。
这些是直接渗透到公司软件的供应链妥协的例子,但还有另一种常见的攻击媒介;电子邮件。供应商电子邮件泄露 (VEC) 对公司来说是一个很大的风险。
VEC 攻击者使用受感染的用户帐户向受害者自己的客户发送恶意电子邮件。该电子邮件可能包含伪造的发票,其中包含欺诈性银行帐户的详细信息。至少自 2019 年以来,尼日利亚集团 Silent Starling 就一直在使用这种技术。
它还可以让网络钓鱼者访问客户自己的系统。印度外包公司 Wipro在 2019 年遭受了此类攻击。研究人员随后发现同一黑客组织针对其他大型公司进行了 VEC 攻击。
VEC 是信任的终极武器。损害定期与公司沟通的供应商会给攻击者带来优势。当电子邮件来自熟悉的供应商地址时,员工更有可能放松警惕。
传统的电子邮件扫描仪很难发现 VEC。他们使用基于规则的技术来发现已知的恶意域和 IP。这些危害指标来自威胁情报源和黑名单,供应商的域或 IP 不会在其中。虽然网络钓鱼链接可能会触发警报,但网络钓鱼者越来越多地使用批量注册和较短的域生命周期来避免违反黑名单。
所以VEC是披着羊皮的狼。您如何从进入您系统的大量合法电子邮件中过滤它?Darktrace 认为是时候采用新方法了。如果电子邮件与已知的 IoC 不匹配,那么是时候寻找其他东西了。
该公司使用机器学习来构建整个组织的正常电子邮件模式图,包括元数据和内容。它还开发了正常网络流量的基线。随着公司的沟通和流量的发展,这些正常行为模式逐渐适应。它使公司能够了解一种被称为“自学人工智能”的技术的正常情况。
了解什么是正常的有助于公司的检测和响应系统识别与该基线的偏差。这使一切都焕然一新,包括来自合法帐户的电子邮件。
虽然寻找 IoC 匹配的传统电子邮件扫描工具可能会错过来自供应商帐户的电子邮件,但 Darktrace 认为,即使寻找与正常情况的微小偏差也会引发危险信号。来自供应商的带有可疑语言或公司从未见过的链接的电子邮件可能会引起警报。
该公司的 Antigena 自学习 AI 工具帮助在迈凯轮车队发现了 VEC。攻击者利用供应链诡计向那里的 12 名员工发送网络钓鱼电子邮件。包括技术总监和应付账款员工在内的关键人员收到了一封来自团队供应商的电子邮件。
该电子邮件以假定的语音邮件吸引用户。它包括一个链接,该链接将受害者带到一个请求其 Office 365 凭据的网络钓鱼站点。
Antigena 扫描了电子邮件的内容,并将其与真正的供应商过去发送的其他电子邮件进行了比较。有几个因素导致它标记了这封电子邮件,包括指向网络钓鱼站点的链接,该链接过去没有出现在 McLaren 的任何网络流量中。攻击者使用文本来掩盖链接也使 Antigena 更加可疑,使其异常得分为 100%。这足以让它远离收件人的收件箱。
这里的关键因素是恶意电子邮件确实来自供应商,而不是来自欺骗性地址或相似域。该产品不仅阻止了可疑电子邮件,而且还让来自公司的其他合法通信通过。
第二天,供应商警告迈凯轮,有人入侵了它的一个电子邮件帐户并发送了网络钓鱼电子邮件。
“这反映了安全团队注意到的更广泛的模式,”在迈凯轮工作的埃德格林说,他将技术合作伙伴整合到赛车队的生态系统中。“攻击者的目标是供应商,因为它们代表一把钥匙,可以打开数十甚至数百把锁,而电子邮件只是攻击的一种途径。”
他还回忆起另一封伪造赞助商地址并试图窃取迈凯轮高管的登录凭据的恶意电子邮件。他回忆说,Antigena 停止了它的冷却。Darktrace 认为,迈凯轮的其他安全工具只能捕获它为公司发现的大约 40% 的攻击。
Darktrace 认为,它不仅可以通过其技术阻止 VEC 供应链攻击。使用受损供应商软件渗透公司的攻击者通常会做一些不寻常的事情。虽然它们可能能够在传统监控系统的雷达下飞行,但该公司认为自学习人工智能足够聪明,可以发现它们。
该公司详细介绍了其产品如何发现与 SolarWinds 妥协相关的异常行为。在许多此类攻击中,人类攻击者配置受感染的系统来掩盖他们的活动。例如,他们会确保受害者的计算机连接到基于本地的命令和控制 (C2) 服务器,这样管理员就不会因连接到异常位置的 IP 块而受到警告。它解释说,Darktrace 仍然会注意到受害者的计算机向新端点发送信标。
由于供应链攻击者使用多条途径进入受害者系统,Darktrace 认为多方面的监控方法至关重要。其产品采用统一的电子邮件和网络流量图,使其能够发现数据包流或电子邮件内容的偏差。
随着攻击者越来越擅长逃避检测,这种人工智能技术采用了一种超越单纯的好坏的视角,使用概率分数来确定恶意的可能性及其对公司系统的潜在影响。
今天,您并不真正知道谁在控制受信任的提供商的帐户,也不知道其软件中隐藏着什么。由于对进入您网络的内容比以往任何时候都更加不确定,Darktrace 的客户寄希望于一种检测数字毒素的新方法——无论它们来自何方。
两名斯坦福大学的研究人员掉进了 LinkedIn 的兔子洞,在底部使用 AI 生成的面孔发现了 1000 多份虚假个人资料。
斯坦福互联网天文台的 Renée DiResta 和 Josh Goldstein 是在 DiResta 收到一份据报道属于“Keenan Ramsey”的个人资料发送消息后发现的。乍一看,这似乎是一个普通的软件销售宣传,但经过进一步调查,很明显拉姆齐是一个完全虚构的人。
虽然这张照片看起来是标准的公司头像,但它还包含多个危险信号,表明它是 AI 生成的面孔,就像“此人不存在”等网站生成的面孔一样。拉姆齐的眼睛(照片的死点)、她的耳环(她只戴了一个)和她的头发(其中有几处模糊到背景中)的排列特别提示了迪雷斯塔。
这不是第一次面对 AI 的机器人进入社交媒体。2021 年,多个表面上属于亚马逊仓库员工的账户被禁止使用 Twitter,他们的许多个人资料图片似乎来自与最新的 LinkedIn 相同类型的人工智能。亚马逊否认与个人资料及其推文有任何链接或责任。
Twitter 事件不同,可以说更糟:来自亚马逊和其他来源的 Twitter 机器人通常不会试图以不那么直截了当的方式进行销售,而是为企业和政府推送错误信息和宣传。
“这不是一个错误或虚假信息的故事,而是一个相当平凡的业务用例与人工智能技术的交集,以及由此产生的道德和期望问题。当我们在社交网络上遇到其他人时,我们的假设是什么?什么行动交叉操纵线,”迪雷斯特拉在推特上说。
NPR 调查了 DiRestra 和 Goldstein 的说法,发现有 70 多家企业与虚假资料相关联。有几家企业表示他们已经聘请了外部营销人员,但在得知虚假的 LinkedIn 个人资料时表示惊讶。这些企业还否认授权这些活动。
公司使用 Ramsey 之类的帐户向潜在的新客户推销软件,并且每当目标响应时,它们就会被重定向到真人。NPR 表示,通过这种技术,公司无需雇用新员工就可以大大扩大业务范围。
Ramsey 使用的假脸和无数像她一样的机器人大军是由一般对抗网络或 GAN 生成的。GAN 使用两个机器人,一个用于生成假脸,另一个用于检测它们,以产生最佳结果:只有当检测机器人无法区分真假人脸时,才会传递图像。
将 GAN 生成的面孔与真实面孔区分开来可能很棘手,但有一些迹象表明:
最近的一项研究发现,普通人没有比区分真人脸和人工智能生成的人脸更好的机会了。
前 IBM 数据科学家迈克尔·斯蒂克勒(Michael Stickler)在抱怨没有向他的女同事提供与他的女同事相同的家庭假选择后,以性别歧视和报复为由起诉了蓝色巨人。
根据投诉 [ PDF ],2021 年 3 月,Stickler 的未婚妻 7 岁的儿子来到这对夫妇住在一起,Stickler 要求利用挣来的假期休假一周,以了解他即将成为继子的人。但他的主管当时拒绝让他休假。
接下来的一个月,他的未婚妻“病得很重,需要大量的医疗护理”,以至于她无法再照顾她的孩子。斯蒂克勒当时在纽约的家中工作,由于 COVID-19 的限制,他发现很难照顾他生病的未婚妻和她的儿子,由于 COVID-19 的限制,他从学校回家,同时管理他的工作职责。
当他向他的团队负责人提出这个问题时,他被告知他可以根据 IBM 的 Personal Time Off 计划申请休假,该计划提供 10 天的带薪休假来处理个人事务。
斯蒂克勒与他的主管谈到他需要间歇性休假,她允许他休五天作为个人休假。诉状称,他在八周内使用了这些药物,2021 年 6 月,他的未婚妻住院治疗。
所以斯蒂克勒再次需要请假带他的未婚妻去看医生并照顾孩子。当他要求额外休假时,根据 IBM 的个人休假计划,他又获得了 5 天的休假。
斯蒂克勒辩称,他的经理本可以但没有根据 IBM 的紧急带薪护理假计划为他提供休假,该计划提供长达 20 天的带薪休假,以照顾因任何与 COVID 相关的原因或以下原因在家的孩子纽约的带薪家事假计划。
投诉称,他的经理“没有根据任何这些计划提供 [Stickler] 带薪休假,这些计划经常提供给 [IBM 的] 女性员工。相反,她告诉原告,他可以无薪休假六几个月到一年,不能保证他在假期结束时能找到工作。”
据称,他的经理误导他,他可以根据《家庭病假法》请假,但必须是连续 12 周的无薪假。
Sticker 的回应是向他的主管抱怨说,他没有得到与女同事相同的休假选择来照顾他的家人。
“特别是,[Stickler] 指出,由于她的保姆辞职,他的一位女同事获得了至少 20 天的带薪间歇假来照顾她的孩子,”起诉书说。“同一位同事也被允许按灵活的时间表工作,以满足她家人的需要。”
提出这个问题一周后,Stickler 的主管让他制定了性能改进计划(PIP),给了他八周的时间来提交一份关于 IBM 产品中算法性能的报告。他这样做了,并被告知他仍然必须每周与他的主管会面。此后,他被分配到一个新项目。
法庭文件称,Stickler 在新项目上的表现令人满意,但他仍然在 2021 年 12 月 15 日被解雇。Stickler 声称,他被解雇是“直接报复他的请假请求,并报复他作为一名男性员工,不得不遵守 IBM 的休假政策。”
上周提交的申诉根据纽约州人权法寻求对 IBM 涉嫌性别歧视和报复的救济。“这些指控毫无根据,IBM 将大力为自己辩护,”公司发言人在一封电子邮件声明中表示。
斯蒂克勒的律师没有立即回应置评请求。
Wendy Musell 律师事务所的执行合伙人兼 Levy Vinick Burrell Hyams LLP 的法律顾问 Wendy Musell 在电话采访中告诉The Register,工作场所福利的不平等应用问题是最近出现的一个问题。
她说,本月早些时候,美国平等就业机会委员会发布了针对照顾者歧视的指导意见。
“EEOC 确定的领域之一,”她说,“在这种情况下,你有所谓的基于性别、性别、种族或国籍等 [受保护特征] 的差异。即使现行法律不涵盖额外的离开,如果您的政策适用于男性或女性,或因种族不同,这些仍然可以成为成功索赔的基础。”
Musell 说,EEOC 的指导是及时的,值得考虑。
“以一种可以理解的方式,它显示了休假政策和歧视法之间的相互关系,”穆塞尔说。“雇主确实需要看看这些事情。
根据 FBI 的警告,Triton 恶意软件仍然对全球能源行业构成威胁。
Triton 是 2017 年俄罗斯政府支持的研究机构针对中东石化设施进行的网络攻击中使用的恶意软件。
新的 FBI 警告 [ PDF ] 是在美国司法部公布两项起诉书的第二天发布的,这些起诉书详细说明了俄罗斯政府利用供应链攻击和恶意软件试图破坏和控制关键基础设施的努力。
两项起诉之一涉及 Triton 恶意软件及其在 2017 年攻击中的使用。根据 FBI 的说法,这次入侵背后的组织俄罗斯中央化学与力学科学研究所 (TsNIIKhM) 仍然没有做好准备。
Triton 恶意软件,也称为 Trisis 和 HatMan,旨在破坏物理安全系统或导致其运行不安全。联邦调查局警告说:“它的潜在影响可能类似于之前归因于俄罗斯的网络攻击,该攻击在 2015 年和 2016 年导致乌克兰停电。”
在 2017 年的攻击中,俄罗斯机构使用 Triton 攻击施耐德电气 Triconex 安全仪表系统 (SIS),该系统在紧急情况下启动安全关闭程序。
在获得初始访问权限后,攻击者通过 IT 和 OT 网络横向移动到安全系统并安装 Triton 恶意软件。该恶意软件修改了内存固件以添加恶意程序,联邦调查局表示,如果 SIS 未能启动安全关闭程序,这可能会导致设施损坏、系统停机甚至死亡。
联邦调查局表示:“Triton 攻击代表了 ICS 目标的显着转变,这是第一次旨在允许物理损坏、环境影响和在工厂在不安全条件下运行时造成生命损失的攻击。”
虽然施耐德电气在 2018 年 6 月发布 Tricon 控制器的更新版本时修复了该漏洞,但旧版本仍在使用中并且仍然容易受到攻击。
一名被指控在勒索软件攻击中窃取超过 5300 万美元的爱沙尼亚男子被判处 66 个月监禁,并被勒令支付超过 3600 万美元的赔偿金。
37 岁的马克西姆·贝雷赞 (Maksim Berezan) 于 2021 年 4 月认罪,罪名是串谋对金融机构实施电汇欺诈、访问设备欺诈和计算机入侵。根据美国司法部的说法,Berezan 是讲俄语的网络犯罪分子在线论坛的活跃成员。
在他被捕后,调查人员在他的电子设备上发现了他参与勒索软件团伙的证据。这项调查发生在 Berezan 从拉脱维亚被引渡后,确定他参与了至少 13 起勒索软件攻击,其中 7 起针对美国受害者,大约 1100 万美元的赎金被发送到 Berezan 控制的加密货币钱包。
根据联邦调查局的说法,Berezan 用他的“不义之财”购买了两辆保时捷、一辆杜卡迪摩托车和一堆珠宝。
当局还从他的住所追回了价值超过 200,000 美元的货币,以及存储比特币钱包密码的电子设备,其中包含价值约 170 万美元的比特币。该比特币已被没收。
戴尔本周发布了几个关键和高优先级的补丁,其中一些旨在在攻击者发现和利用它们之前修复正在进行的 Log4j 漏洞。
其中一个软件修复针对 Dell EMC VxRail 系统中的两个关键 Log4j 远程代码漏洞——这些是在 Dell EMC 硬件上运行 VMware Vcenter 软件的超融合基础架构系统。
它解决了 CVE-2021-44228 和 CVE-2021-45046,但戴尔指出它还需要一种解决方法,并指导客户向 VMware 了解如何执行它的详细信息。
受影响的 VxRail 设备包括 4.5.x 版本、4.7.x 版本和 7.0.x 版本。
这些是严重的漏洞,可能允许攻击者在受感染的机器上远程执行恶意代码,然后进行任意数量的邪恶行为,包括窃取敏感数据和完全接管系统。
在另一个针对 Log4j 远程代码执行漏洞的重要安全更新中,戴尔为其 Connectrix SANnav 管理门户版本 v2.2.0 和 v2.1.1.7 之前的版本(戴尔的 Connectrix B 系列交换机的 SAN 管理软件)发布了补丁。它们解决了几个远程代码执行漏洞:CVE-2021-44228、CVE-2021-45046、CVE-2022-23302、CVE-2022-23305、CVE-2022-23307、CVE-2019-17571 和 CVE-2020-9488 .
安全供应商 Emsisoft发布了免费的 Diavol 勒索软件解密器和如何使用它 的指南 [ PDF ]。
在安全供应商 Fortinet 的研究团队在五个月前 首次将两者联系起来之后,联邦调查局于 1 月份正式将 Diavol(罗马尼亚语中的“恶魔”意思)与臭名昭著的 Trickbot 网络犯罪团伙联系起来。
根据 FBI 的 Diavol 警告,“Diavol 仅使用 RSA 加密密钥加密文件,其代码能够根据攻击者定义的预配置扩展列表优先加密文件类型。”
该机构表示,该犯罪集团通常要求赎金在 10,000 美元至 50,000 美元之间,但它会协商并接受较低的支付金额。“联邦调查局尚未观察到 Diavol 泄露受害者数据,”它补充说。
但在下载免费工具之前,请先隔离恶意软件,Emsisoft 在指南中发出警告。您也可以使用供应商的免费反恶意软件来执行此操作。
此外,如果 Diavol 通过 Windows 远程桌面功能访问您的系统,Emsisoft 建议更改所有远程用户的所有密码并检查本地用户帐户,以查看攻击者是否破坏了其中任何一个。
“解密器需要访问由一个加密文件和加密文件的原始未加密版本组成的文件对,以重建解密其余数据所需的加密密钥,”安全公司说,并补充说这个文件应该是20KB 或更大。
麦当娜并不是唯一一个关注无聊猿游艇俱乐部的人。
根据 Check Point 的说法,在独一无二的不可替代令牌 (NFT) 集合的 ApeCoin 加密货币首次亮相之后,骗子利用闪电贷款攻击窃取了数百万美元。安全供应商的研究兼作 Metaverse 恶作剧和卡通猿变坏的警示故事。
本月初,Bored Ape Yacht Club推出了自己的加密货币 ApeCoin,并允许 Bored Ape 和 Mutant Ape NFT 持有者索取一定数量的免费代币。每个 NFT 持有者获得 10,094 个代币,价值在 80,000 美元到 200,000 美元之间,他们可以持有或出售以获利。
什么可能出错?
根据 Check Point 的研究人员的说法,有很多人发现不法分子使用他们最初并不拥有的 NFT 声称拥有大量代币。他们通过利用闪电贷来做到这一点,这允许在区块链网络中的单笔交易中借出和归还贷款。
“与普通贷款不同,您不需要任何抵押品,甚至不需要进行身份验证,”Check Point 解释说。“黑客喜欢使用闪电贷,因为他们甚至不必冒自己的资金风险,而且钱包也不会被追踪到他们,因为他们使用的是别人的资金。”
在这种特殊情况下,坏猴子使用 NFTX 协议发现了没有被用来索取空投猿代币的无聊猿 NFT。这使得小偷可以将 NFT 存入保险库,以换取在 Sushi 和 Uniswap 等平台上进行交易的代币。
“攻击后,攻击者在公开市场上出售了猿币并获得了 150 万美元,”Check Point 称。“主要的错误是 ApeCoin 空投没有检查持有者拥有无聊猿 NFT 的时间。相反,任何拥有无聊猿的人在领取空投时都可以领取。
——全球领先的数据中心服务提供商Telehouse International Corporation of Europe今天宣布其在伦敦的第五个数据中心Telehouse South正式开业。Telehouse South 位于欧洲标志性和连接最紧密的伦敦码头区数据中心园区 Blackwall Yard,是该提供商最大的设施。
Telehouse South 的一楼托管空间已于今天上线,可提供多达 668 个机架和 2MW 的电力容量,计划于 2023 年底进一步升级至 2.7MW,以增加一个数据大厅。扩建后,31,000 平方米的设施将提供 12,000 平方米的托管空间和 18MW 的总发电量。
这座十层高的数据中心是 Telehouse 迄今为止最雄心勃勃的基础设施和美学翻新工程,该项目的第一阶段在收购后不到 12 个月内完成。Telehouse 将在满负荷时投资 2.23 亿英镑进行开发。
Europe 和 Telehouse Europe 欧洲集团总裁兼董事总经理 Seigo Fukuhara 在评论 Telehouse South 的开业时说:“伦敦码头区对我们来说仍然是一个重要的战略位置,也是世界上最重要的互连点之一。随着企业在大流行后继续加速数字化转型以及对数字服务需求的增长,Telehouse South 通过可扩展的混合云基础架构为企业提供更高的效率,更快地访问数据和应用程序以及增长的灵活性。”
新的运营商中立设施靠近伦敦市中心,地理位置优越,可为寻求与伦敦金融区低延迟连接的企业提供服务。一个由 7,000 根暗光纤组成的网络,跨越两条不同的路线,将 Telehouse South 与现有的四个数据中心互连,为包括领先的互联网交换、云服务提供商、互联网服务提供商和内容服务提供商在内的 900 多个合作伙伴的多元化生态系统提供无与伦比的连接.
伦敦商业副市长 Rajesh Agrawal 补充说:“即使面对英国退欧和全球大流行,我们的首都也已证明自己是全球最好的科技城市之一。这项激动人心的投资将增强伦敦企业的连接能力,并发出一个明确的信息,即伦敦对商业和创新持开放态度,并将永远保持开放。英国不限流量的云服务器”
Telehouse South 的开业是该公司不断致力于在现有园区内发展并支持客户对安全和弹性托管服务日益增长的需求的一部分。Telehouse 继续在升级设施和扩建校园方面进行大量投资,到 2025 年,对 Docklands 校园的总投资将达到 10 亿英镑。
OTT 提供商、后期制作公司、服务提供商和金融服务组织希望利用公司的 Docklands 生态系统实现连接性、可扩展性和安全性,从而满足了此次发布的高需求。已经确认的客户、运营商和数据中心连接提供商包括 Cogent Communications、BT Openreach、Colt Technology Services、Zayo、伦敦互联网交易所 (LINX) 和欧洲带宽基础设施提供商 euNetworks。
与伦敦的所有 Telehouse 设施一样,Telehouse South 由 100% 的可再生能源供电,这些能源来自经过认证的风能、太阳能、生物质能和水力发电机。该公司继续展示其支持英国实现其 2050 年脱碳目标的承诺,Telehouse 现在被归类为英国排放交易计划下的超小型排放者。
国际托管服务提供商的俄罗斯客户可以通过以卢布支付托管服务费用,在荷兰和美国的数据中心维护和扩展其 IT 基础设施。该公司还将继续与来自俄罗斯的新客户(包括法人实体和个人)签订合同。
根据ZZQIDC的说法,俄罗斯居民可以使用银行卡将外国数据中心的托管服务以卢布支付到俄罗斯公司的账户,包括 Mir 支付系统、银行转账和俄罗斯可用的其他方式。这解决了欧洲和美国因货币交易受限和国际支付系统受阻而导致的服务支付问题。
ZZQIDC提供在荷兰和美国的 III 级数据中心租用专用和虚拟服务器的服务。此外,客户可以将自己的设备放置在欧洲数据中心:从一个单元到多个机架。除了租用服务器空间外,客户还可以获得全面的远程智能手服务,使他们能够在荷兰最好的数据中心部署和维护 IT 基础设施。由于海外旅行的限制,这可以在现场没有客户技术人员的情况下实现。
工程师提供服务器硬件的选择、购买、交付、安装和启动,以及进一步的支持、迅速消除紧急情况、定期升级和维修。如有必要,提供拆解、处置或出售旧设备的服务。所有工作都可以远程完成,根据商定的参考条款和规范,在客户的实时控制下使用视频流。
“不幸的是,许多拥有分布式基础设施的俄罗斯公司现在在支付外国数据中心托管服务方面遇到了困难。远程设备的维护也非常复杂。HOSTKEY 为俄罗斯企业提供了这些问题的解决方案。我们的客户仍然可以在欧洲和美国的数据中心租用服务器,同时根据与俄罗斯公司签订的协议以卢布支付服务费用。在大流行期间,我们在为世界各地的公司远程设置 IT 基础设施方面积累了丰富的经验,现在我们正在扩大这一经验以支持俄罗斯业务。我们保证为所有客户提供服务的连续性和业务流程的可靠性,无论他们身在何处,”- 俄罗斯托管服务提供商 HOSTKEY 的首席执行官 Andrey Shevchenko 说。俄罗斯服务器商家
在荷兰和美国租用服务器,用卢布付款。我们接受俄罗斯银行的银行卡,包括 MIR 卡和银行转账。与俄罗斯公司 (LLC) 的协议。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
