美国联邦机构警告说，美国和国际卫星通信 (SATCOM) 网络可能受到的威胁可能会影响客户。

在联合安全警报中，美国网络安全和基础设施安全局 (CISA) 和 FBI “强烈鼓励”关键基础设施运营商以及 SATCOM 网络提供商和客户采取一系列缓解措施来支持他们的网络。

这些包括：

• 在 SATCOM 设备的入口和出口点对异常流量实施额外监控。
• 监控网络日志中的可疑活动以及未经授权或异常的登录尝试。
• 使用强密码和其他身份验证方法，包括多因素身份验证。
• 通过授权策略强制执行最低权限访问。
• 审查与 IT 服务提供商的现有信任关系。
• 在从 SATCOM 提供商租用或提供的所有通信链路上实施独立加密。
• 创建和实施网络事件响应计划。
  

“鉴于当前的地缘政治形势，CISA 的Shields Up倡议要求所有组织大幅降低报告和共享恶意网络活动迹象的门槛，”该机构警告说。

该警报是在俄罗斯入侵乌克兰之日开始的针对卫星通信提供商 Viasat 的网络攻击之后发出的，此举显然摧毁了欧洲数以万计的 KA-SAT SATCOM 终端。Viasat 的 KA-SAT 鸟提供与英国、欧洲大陆、俄罗斯西部和土耳其的连接。Viasat 也是美国和英国的军事承包商。

停止噪音

根据新的 Orca Security报告，安全团队（仍然）因金融部门受到的打击最为严重而感到警觉疲劳。

这家云安全供应商对 5 个国家（美国、英国、法国、德国和澳大利亚）和 10 个行业的 813 名 IT 决策者进行了一项全球调查，发现 59% 的受访者每天收到超过 500 条公共云安全警报。 

对于金融机构的安全团队来说情况更糟：71% 的受访者每天看到超过 500 个此类警报，85% 的人打开了超过 500 个公共云警报，63% 的受访者表示他们花费了超过 20% 的时间每天查看警报并确定警报的优先级。

Orca 还发现孤立的安全工具使问题更加严重。它引用了使用五个或更多公共云安全工具的 87% 的受访者。最大的罪魁祸首是网络扫描工具 (84%) 和云平台原生安全工具 (82%)。

另一个有趣的片段：受访者对其安全工具的信心和满意度与他们所说的这些产品的实际性能之间的不一致。

几乎所有 (95%) 的人都表示他们对工具的准确性有信心或非常有信心，而 43% 的人表示超过 40% 的安全警报被证明是误报。97% 的受访者表示，他们对云安全产品确定风险优先级的能力感到满意或非常满意。但几乎一半 (49%) 表示超过 40% 的警报是低优先级的。

更多 Conti 泄漏分析，请

举手：还有谁因为无法停止滚动查看更多Conti 泄漏分析而失眠？

Check Point Research 在其对俄罗斯支持的勒索软件团伙的最新分析中，生成了一份特别有用的报告来说明成员和附属机构之间的通信是如何运作的。它允许查看者拖动用户节点以查看各个团队成员的连接以及他们在犯罪行动中发送给其他成员的消息量。

安全商店还讨论了 Conti 人力资源部门使用的招聘网站：俄语猎头服务，例如headhunter.ru和superjobs.ru，尽管 Check Point 指出 Conti 在后者方面的成功率较低。 

“你可能想知道‘为什么 headhunter.ru 提供这样的服务？’，答案是，他们没有，”威胁研究人员写道。“孔蒂只是简单地购买了软件，该软件未经许可就可以访问‘借来的’简历库，这似乎是网络犯罪界的标准做法。”

与此同时，安全监控公司北极狼表示，它使用Conti 泄漏与自己的暗网监控和勒索软件响应数据相结合，按地理位置量化 Conti 受害者。大多数（52%）的总部设在美国，其次是德国（9%）和英国（8%）。 

不容忽视的是，Forescout 的俄语网络安全研究人员也一直在关注 Conti 泄密事件，并于本周发布了一份 14 页的报告 [ PDF ]。

“根据安全公司的分析，其中一个 Conti 文件大致翻译为‘黑客的快速入门指南’”。

顾名思义，该文件为攻击网络和获得持久性提供了建议。Forescout 总结了三个要点：

• 物联网设备是主要的初始攻击面。
• RDP 被推荐为“初始后门”。
• Active Directory/域控制器通常是实现持久性之前的主要目标。

“活动目录服务器最容易被利用：通常可以发现典型的错误配置，存在大量漏洞（例如 Zerologon）和默认启用的公共资源（例如默认网络共享），”报告说。“特别是，这样的公共资源不仅可以帮助普通员工完成日常工作，还可以让攻击者的工作变得更加轻松。”

Log4j 仍然是一个痛点

根据 Qualys 的最新研究，几乎三分之一 (30%) 的 Log4j 实例仍然容易受到攻击。

除了免费访问其平台 30 天之外，安全供应商还发布了一个新的开源 Log4j 扫描工具。

自 12 月 9 日披露影响 Apache 流行的基于 Java 的日志工具的漏洞以来已经过去了三个月。仅仅 72 小时后，网络犯罪分子就发起了近一百万次攻击尝试。

这家安全提供商表示，其端点检测和响应产品“在危机最严重的时候”每周检测到 22,000 次潜在攻击。

据 Qualys 称，总体而言，该漏洞在 2,800 多个 Web 应用程序中被检测到，并且大多数（超过 80%）是基于 Linux 的。

在美国、欧洲、中东和非洲的云工作负载和容器中发现了大约 68,000 个漏洞。超过一半的带有 Log4j 的应用程序被标记为“终止支持”，这意味着软件提供商不会提供安全补丁。

(Gh0st)令人畏惧的老鼠

根据韩国安全商店的博客，来自 AhnLab 的研究人员详细介绍了一种名为 Gh0stCringe 的远程访问木马 (RAT)，它感染了 Microsoft SQL 和 MySQL，尤其是“具有易受攻击的帐户凭据的管理不善的数据库服务器” 。

Gh0stCringe，又名 CirenegRAT，基于 Gh0st RAT 的代码。

正如 Malwarebytes Labs指出的那样：“Gh0st RAT 源代码是公开发布的，因此我们已经看到了很多基于此代码的恶意软件。” 

最初的 Gh0st RAT 使用名为“Gh0st”的签名字符串与命令和控制服务器进行通信。 

建立通信后，较新的 Gh0stCringe RAT 可以执行任意数量的恶意行为，包括在用户不知情的情况下连接到特定的 URL、键盘记录、窃取信息、下载额外的有效负载和破坏数据。®