专门从事在线销售的亚马逊宣布终止对俄罗斯和白俄罗斯的商品供应。彭博社指的是在线平台的声明。

该公司还暂时关闭了俄罗斯用户对 Prime Video 视频服务的访问，并停止在其AWS 云服务中注册来自俄罗斯和白俄罗斯的新客户 。

声明称：“我们已暂停向俄罗斯和白俄罗斯的客户运送零售产品，我们将不再接受俄罗斯和白俄罗斯的新 AWS 客户以及第三方亚马逊卖家。”

此外，亚马逊已停止向俄罗斯用户销售新世界多人游戏。据亚马逊网站称，该公司将其决定与乌克兰的最新事件联系起来。

美国网络安全和基础设施安全局 (CISA) 更新了关于 Conti 勒索软件的警报，其中包含近 100 个用于恶意操作的域名的危害指标 (IoC)。

该公告最初于 2021 年 9 月 22 日发布，包括 CISA 和联邦调查局 (FBI) 在针对美国组织的 Conti 勒索软件攻击中观察到的详细信息。更新后的网络安全公告包含来自美国特勤局的数据。

连续 IoC 域

在该团伙公开宣布他们在入侵乌克兰问题上与俄罗斯站在一起后，Conti 勒索软件操作的内部细节于 2 月底开始泄露。

泄漏来自一名乌克兰研究人员，他最初 发布了该团伙成员交换的私人信息 ，然后 发布了勒索软件、管理面板和其他工具的源代码 。

数据缓存还包括用于破坏 BazarBackdoor 的域，该恶意软件用于初始访问高价值目标的网络。

CISA 表示，Conti 威胁攻击者已经袭击了全球 1,000 多个组织，最流行的攻击媒介是 TrickBot 恶意软件和 Cobalt Strike 信标。

该机构今天发布了一批 98 个域名，这些域名与分发恶意软件的团体的 Conti 勒索软件攻击中使用的“注册和命名特征相似”。

该机构指出，虽然这些域名已被用于恶意操作，但其中一些“可能会被遗弃或可能巧合地具有相似的特征”。

上述与 Conti 勒索软件攻击相关的域列表似乎与乌克兰研究人员从 BazarBackdoor 感染中泄露的数百个域不同。

尽管 Conti 最近由于其内部聊天和工具的曝光而受到了不必要的关注，但该团伙并没有停止其活动。

自 3 月初以来，Conti 在其网站上列出了美国、加拿大、德国、瑞士、英国、意大利、塞尔维亚和沙特阿拉伯的两打以上受害者。

Mandiant成立于2004年，总部位于美国弗吉尼亚州雷斯顿。该公司提供威胁检测和响应服务。它拥有 5,300 名员工，其中包括 600 多名顾问和 300 名分析师。该交易预计将在今年年底前完成。如果得到监管机构的批准，这将是谷歌在 2012 年以 125 亿美元收购摩托罗拉移动之后的第二大收购案。交易完成后，Mandiant 团队将加入谷歌的云部门。

据谷歌云平台负责人称，这将改善公司在安全和咨询服务领域的产品。“收购 Mandiant 将补充 Google Cloud 现有的网络安全优势，”谷歌和 Mandiant 在一份联合声明中表示，“结合 Google Cloud 的云安全产品，此次收购将帮助全球企业在其生命周期的每个阶段保持安全。” "

Cloudflare 宣布，在俄罗斯入侵乌克兰的当前条件下，它正在采取严厉措施保护东欧客户的数据。

这家以 DDoS 缓解服务而闻名的美国网络基础设施和安全公司宣布决定留在俄罗斯市场，尽管其业务的某些方面已暂停。

数据保护措施

为了在持续冲突期间保护客户数据，Cloudflare 已从位于乌克兰、俄罗斯和白俄罗斯的数据中心删除所有客户加密密钥，并部署了其“无密钥 SSL”技术。

该技术使组织能够使用云供应商进行 SSL/TLS 加密，而无需向他们提供主密钥。系统将私钥握手从供应商的服务器上移开，并用安全的“会话密钥”替换它。

这些密钥是通过安全渠道提供给供应商的，因此虽然公司的私钥仍在使用中，但不会与公司以外的任何人共享。

第二个措施是在位于乌克兰、白俄罗斯和俄罗斯的所有服务器上添加强制配置，以在断电或互联网连接中断的情况下自动变砖。

不退出俄罗斯市场

该公司在这场冲突中站在乌克兰一边，并愿意遵守对俄罗斯实施制裁所产生的所有要求。

然而，Cloudflare 解释说，俄罗斯目前需要更多的互联网接入，而不是更少，并且终止其在该国的服务将对需要与世界其他地区保持联系的人们产生不利影响。

该公司认为，通过退出市场，这将使该国大多数人更容易受到俄罗斯全面审查法的影响。事实上，Cloudflare 认为俄罗斯政府会庆祝这一发展。

我们非常欣赏许多乌克兰人在整个科技领域提出要求公司终止在俄罗斯的服务的精神。但是，当 Cloudflare 从根本上提供的是更加开放、私密和安全的互联网时，我们认为完全关闭 Cloudflare 在俄罗斯的服务将是错误的

保护乌克兰

最后，Cloudflare 透露，针对乌克兰关键实体的 DDoS 攻击始于俄罗斯入侵开始之前，该公司对此做出了回应，扩大了服务范围，现已覆盖该国政府和电信组织。

Cloudflare 目前为乌克兰的 60 多个组织提供帮助，其中 15 个组织在这段动荡时期首次寻求紧急援助。

 

一、概述

Molerats APT组织又名“Gaza Hackers Team”、“月光鼠”、“灵猫”等，其至少从2012年开始在中东地区活跃，主要攻击目标为以色列地区、巴勒斯坦地区与政党相关的组织和个人，惯用政治相关主题作为诱饵对目标进行鱼叉式钓鱼攻击。

微步情报局近期通过威胁狩猎系统监测到Molerats组织针对中东地区的间谍攻击活动，分析有如下发现：

• 攻击者使用政治相关主题制作诱饵文档和木马对目标进行攻击；
• 相关木马使用Google Drive等云服务托管恶意载荷，使用Dropbox API进行C2通信，可提升木马隐蔽性；
• 木马还支持从合法站点it动态获取Dropbox Token进行C2通信，进一步增加了木马的可配置性；
• 截止分析时，发现已有数十台主机被感染，IP归属地大多为中东地区，符合Molerats组织的攻击目标；
• 通过资产关联分析，发现攻击者所使用SSL证书指纹等与Molerats组织过往资产重叠，认定幕后攻击者为Molerats组织；
• 微步在线通过对相关样本、IP 和域名的溯源分析，提取7条相关 IOC ，可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。

二、详情

攻击者利用政治相关主题制作诱饵，其中诱饵文档类主要使用恶意宏和模板注入手法，exe文件主要使用伪装Office文档图标或pdf文档图标的方法。

图1 攻击者制作的部分诱饵文件

诱饵文档显示编辑语言为阿拉BO语，作者信息mij daf。

图2 攻击者制作的诱饵文档

相关木马大多为同类型木马，主要使用C#和C++编写，并使用ConfuserEx或Themida加壳，部分文件名称以阿拉bo文命名。

三、样本分析

3.1 使用硬编码的Dropbox Token通信

以攻击者所投递诱饵文档为例，文档所携带的恶意宏较为简单，主要功能为利用powershell从远程服务器下载document.html保存到目录c:\ProgramData\ servicehost.exe，并启动进程，URL：45.63.49.202/document.html。

图3 诱饵文档中携带的恶意宏

该服务器为攻击者所控制的vps服务器。

图4 相关ip在微步在线X社区的信息

下载的servicehost.exe为C#远控模块，图标伪装为压缩包图标。

图5 伪装为压缩包图标的木马

servicehost.exe为C#编写，使用ConfuserEx加壳，执行后解密下步模块koi，并在内存中加载执行。

图6 内存中加载模块koi

之后收集主机信息，包括IP地址、用户名、主机名，使用Base64编码再进行字符串反转，生成用户ID。

图7 收集主机信息

使用攻击者的Token在Dropbox以上述ID创建文件夹，将主机信息上传。

URL：https://api.dropboxapi.com/2/files/create_folder_v2

Authorization: Bearer QTej652Z2CkAAAAAAAAAASJQxCaJf1phi-c8JovfHjgfaPzLAw6IJzmVswuphGQE

建文件夹

随后检查枚举到的文件名称是否符合命令格式，进入ControlDropBox函数，响应Dropbox所下发指令，包括文件上传/下载/列表、进程启动、屏幕截图、远程Shell等。

图9 响应远程指令

3.2 动态获取Dropbox Token通信

在另一个同类样本中，支持从合法站点justpaste.it动态获取Dropbox的Token。样本执行后会进行反虚拟机操

图10 反虚拟机操作

通过公用站点获取当前日期时间，以MMddyyyy格式化，先使用Base64编码，再将字符串反转，生成字符串。

图11 通过公用站点获取当前时间

在上面生成的字符串前面加一个字符R，作为URL路径进行访问 ,例：https://justpaste.it/REjMwIjNxITM，对服务器返回内容只过滤包含ACSS和OOOO的内容，并进行格式分割。

图12 从justpaste.it动态获取Dropbox Token

分割之后将会把数据加密写入到注册表中，供下次运行调用，其中以文件名为名称的键值是加密的Token，UUUU是下载目录和解压密码。

图13 将配置信息写入注册表

返回数据格式如下，其中Token需要经字符串反转，去掉前面7位，再去掉前后3位，解压密码通过字符反转再Base64解码即可解密。

格式：ACSS={Token}#OOOO={下载文件要保存的目录序号，通过Environment.GetFolderPath获取},{下载文件的解压密码}

图14 攻击者justpaste.it的页面展示

远程指令流程和上述分析样本类似，其在下载流程中会下载合法的压缩包工具Command line RAR.exe和木马压缩包文件，然后利用上面获取的密码作为参数以命令行方式执行Command line RAR.exe进行解压。

命令行示例："e -pU85EVBYUFKJ5ZQN ""C:\Users\Administrator\AppData\Local\XV5Q9DUJJ8V5JWW.rar"" ""C:\Users\Administrator\AppData\Local\MY05UITSA7OIZT6"" "

图15 调用命令行解压下载到的文件

在下载到的组件中，包含为指定程序设置开机启动模块，通过创建lnk链接文件放到Startup目录进行持久化。

图16 创建lnk文件持久化

还有通过创建任务计划持久化的组件。

图17 创建任务计划持久化

从用户“pla mjsd”控制的JustPaste中，可以看到该用户发布的包含Token的内容最早从2021年7月13日开始，最近为12月13日，攻击者一直在使用同一个Token和解压密码。

Token：j0nS0QwY13AAAAAAAAAAARLL1pdHUHBWI2P6L3G7oPhP1G7sCYQAB5pqmiG9KuI7

解压密码：U85EVBYUFKJ5ZQN

图18 攻击者7月首次在JustPaste发布的内容

图19 攻击者12月最后在JustPaste发布的内容

四、关联分析

4.1 受害者信息

通过Dropbox的公开API，利用攻击者的Token对网盘文件进行遍历，经过分析整理后，发现分析时有10余台被感染的主机，大多IP归属地为中东地区，符合Molerats组织的攻击目标。

在网盘根目录存放着数十个同类木马文件，即上述详情中列出的木马列表，应为攻击者实施攻击时使用的木马，大部分使用政治相关话题作为文件名称，而在对应的感染主机目录中发现有攻击者使用远程指令抓取的屏幕截图文件，相关受害者的系统语言为阿拉bo语。

图20 部分感染主机的屏幕截图

4.2 资产关联

反查IP:45.63.49.202解析域名，发现当前解析记录为msupdata.com。

图21 45.63.49.202的当前解析域名

查看msupdata.com域名信息，发现历史两个相关SSL签名证书，搜索发现存在几个域名使用相同证书，且历史解析IP 185.244.39.165重合。

图22 SSL证书关联

对发现的域名appsign-activity.nsupdate.info继续分析，发现证书关联域名sognostudio.com。

图23 SSL证书关联

sognostudio.com 下存在样本与安全厂商以往所披露的攻击活动《“灵猫”组织针对中东地区的攻击活动分析报告》中的样本同源。

图24 与过往攻击活动样本关联

而另一个相关域名smartweb9.com下存在多个Molerats历史样本。

图25 与过往攻击活动样本关联

五、结论

结合以上分析信息，可以认定幕后攻击者为Molerats组织，该组织在近些年的攻击活动中一直在持续更新间谍组件，其擅长使用Google Drive、Dropbox等云服务进行载荷托管和C2通信，同时也可进一步提升木马隐蔽性，基于地缘政治因素，我们预测Molerats组织在未来的时间里会持续保持活跃，微步情报局会对相关攻击活动持续进行跟踪，及时发现安全威胁并快速响应处置。

六、附录 - IOC

C2

45.63.49.202

23.94.218.221

185.244.39.165

msupdata.com

appsign-activity.nsupdate.info

sognostudio.com

smartweb9.com

URL

http://45.63.49.202/document.html

http://23.94.218.221/excelservice.html

http://45.63.49.202/doc.html

http://45.63.49.202/gabha.html

https://drive.google.com/uc?export=download&id=1xwb99Q7duf6q7a-7be44pCk3dU9KwXam

Dropbox Token

QTej652Z2CkAAAAAAAAAASJQxCaJf1phi-c8JovfHjgfaPzLAw6IJzmVswuphGQE

j0nS0QwY13AAAAAAAAAAARLL1pdHUHBWI2P6L3G7oPhP1G7sCYQAB5pqmiG9KuI7

Hash

058e33e62dd03187d3bbb6a7154a14559149cab11c5bb6111cc965d154f82080

308a317c32b37c0d003801fc8c4c54551c1641990cea66a25359a7e159608eba

430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab44

a93ff2fc64ff46e6784db8e7330ad6989de3e335a573af98011b092d95618c20

04a40aca8991bbd207d5aeab71f731c598f5f1c02524695518421d7f298463b2

8562f6b2a95963f076f7bc6ff00401d96656eafda1cfad3af53b3e3b99ae6452

2a9857f5b247488166e25d42f819459e685b3556e4f9ba0a052ba6b3c6c2fa4f

4974839d24750b283231ababff885d904e02415ab33e961c095662f5efb9ceb2

b2260d530f51b2289e2c64579eb53c4c9ce0c9ee3c850e57e90296968fd9625e

925aff03ab009c8e7935cfa389fc7a34482184cc310a8d8f88a25d9a89711e86

47d59c69721372075d9f03371e6d80fbd8f64f50c15379040ad9b04185f0b87a

1f2c80d957c4bf12fcb6c6c2819c05e4bc59ebb69c2ff92b168a1cd36fcdd420

925aff03ab009c8e7935cfa389fc7a34482184cc310a8d8f88a25d9a89711e86

531192c013d209f7b75567322d2f917cdc425eb0562f75c0a699b0921c8601a9

9d9d9a31f8798777ecf75630c08688b6274b791dd4272f9ede788a0fcf558cf6

c4debd56ab97adecefc354c8b6463f27b13609c0343a9a5b5d87f287da259bb8

a6bbe67ad4b1e9749daff07f69b001eb45615a63cdc9e74d24cfd53ea501310d

3449c97e5f53df59d4255c47c5bf77ae7911c1e57582694204f968c4ace312c3

市调机构IDC昨（8）日发布报告示警，俄乌战争将在贸易、供应链、资本流动和能源价格等方面影响全球经济，并且可能对区域和全球ICT市场产生技术需求波动、能源价格和通膨压力、技能和基础建设搬迁、现金和信贷可用性、供应链动态、汇率波动等六大负面影响。

IDC欧洲客户洞察与分析副研究总监Andrea Siviero表示，IDC全球CIO快速脉动调查发现，超过一半的受访者正在重新评估2022年的技术支出计划，10%的受访者预计ICT投资计划将大幅调整。

IDC预计，俄罗斯和乌克兰的ICT支出将急剧下降并缓慢复甦，但这两个国家加起来仅占欧洲所有ICT支出的5.5%，占全球仅1%。

不过，IDC认为，俄乌危机将在更大范围内，包括贸易、供应链、资本流动和能源价格等方面影响全球经济，且可能对区域和全球ICT市场产生负面影响。

Spotify 有问题？你并不孤单

随着WWE 2K22本周终于下架，考虑到几乎所有类型的流行游戏在发布时往往会发生这种类型的考验，听到它的服务器宕机也就不足为奇了。

以下是如何检查的详细信息，以及如果 WWE 2K22 服务器出现故障该怎么办。

英国政府打算迫使谷歌、Meta、Twitter 和其他 IT 公司采取更多措施打击其平台上的各种类型的欺诈行为。新法案要求公司防止恶意广告的传播，保护用户免受冒充名人窃取身份和金钱的骗子的侵害，并防止其他非法活动。

负责监管电视和广播公司以及邮政服务工作的通信办公室办公室将评估打击网络欺诈行动的有效性。该机构将监控平台如何使用旨在防止和阻止恶意广告的系统。如有违反，监管机构有权处以最高 2400 万美元或公司年营业额 10% 的罚款。

“互联网安全法案带来的变化将有助于打击通过虚假在线广告骗取人们血汗钱的骗子，”英国文化部长纳丁·多里斯 (Nadine Dorries) 说。

由于冠状病毒大流行，许多人被迫在家工作和学习，谷歌、Facebook、Twitter 和其他平台上的在线广告欺诈已成为一个日益严重的问题。据英国财经报道，在 2021 年前六个月，攻击者因银行欺诈盗窃了 7.54 亿英镑，比 2020 年同期增加了约三分之一。预计新法律将有助于提高打击诈骗者积极使用的虚假在线广告的有效性。

NVIDIA GeForce GTX 1060 显卡于 2016 年 7 月发布，售价 249 美元，到 2022 年 2 月仍然是Steam用户中最受欢迎的。根据上个月的结果，她甚至设法从其他更现代的模特手中夺回了一些位置。

GeForce GTX 1060 显卡在 2018 年 3 月的人气最高，在 Steam 用户中占据 13.62% 的份额。尽管差距有所缩小，但它的地位仍然保持强劲 - 现在 Steam 上的份额为 7.99%。值得注意的是，与一月份相比，它的结果有所增长，尽管这可能是一个统计错误。NVIDIA GeForce GTX/RTX xx60 系列的加速器传统上在游戏平台的评级中处于领先地位，这在去年的小幅选择中可以清楚地看到。

回想一下 GeForce RTX 3060 的发布是在去年 2 月，所以到 8 月，显卡已经上市六个月了。从 2022 年 1 月和 2022 年 2 月的结果中可以看出，RTX 3060 正在缓慢但肯定地获得份额，但 GeForce RTX 2060 和 GTX 1060 显示出相同的趋势，尽管这可能又是由于统计数据处理的特殊性 - Valve传统上不提供任何细节。

GeForce GTX 1060 的流行可能是由于一整套因素：它们被游戏俱乐部购买，而在 GPU 市场的现状下，许多用户并不急于更新他们的计算机配置。该模型在二级市场上也很受欢迎：它也许是物有所值的——成本相对较低，仍然可以被认为是相关的。GeForce RTX 3060 移动版份额不断增长的趋势也令人好奇：可以假设由于台式机显卡的短缺，许多游戏玩家决定转向笔记本电脑。2月底，1.92%的Steam用户选择了桌面版GeForce RTX 3060，2.35%的用户选择了移动版。

在其他指标中，值得注意的是，最受欢迎的 RAM 容量是 16 GB (50%)，其次是配备 8 GB 内存的配置 (25%)。此外，Windows 11 表现出稳定增长：在过去的一个月里，新 OS 增长超过 2%，达到 15.59% 的份额，而 Windows 10 同时下降了 2%，停在 75.89%。但在 CPU 方面绝对没有变化：英特尔和几个月前一样，在 Steam 统计中占据 68.9%，而 AMD 则占剩下的 31.1%。