研究人员发现了一种影响乌克兰计算机的新型破坏性擦除器恶意软件,使其成为自俄罗斯入侵开始以来袭击乌克兰系统的第三个擦除器。
这种名为 CaddyWiper 的恶意软件是由斯洛伐克网络安全公司 ESET 的研究人员发现的,他们在周一发布的推文中分享了详细信息。
据研究人员称,该恶意软件会从连接到受感染机器的任何驱动器中删除用户数据和分区信息。Twitter 上共享的示例代码表明,恶意软件通过用空字节字符覆盖文件来破坏机器上的文件,使它们无法恢复。
ESET 威胁研究负责人 Jean-Ian Boutin 告诉The Verge:“我们知道,如果擦除器有效,它将有效地使系统无用。 ” “但是,目前尚不清楚这次袭击的总体影响是什么。”
研究人员发现了一种影响乌克兰计算机的新型破坏性擦除器恶意软件,使其成为自俄罗斯入侵开始以来袭击乌克兰系统的第三个擦除器。
这种名为 CaddyWiper 的恶意软件是由斯洛伐克网络安全公司 ESET 的研究人员发现的,他们在周一发布的推文中分享了详细信息。
据研究人员称,该恶意软件会从连接到受感染机器的任何驱动器中删除用户数据和分区信息。Twitter 上共享的示例代码表明,恶意软件通过用空字节字符覆盖文件来破坏机器上的文件,使它们无法恢复。
ESET 威胁研究负责人 Jean-Ian Boutin 告诉The Verge:“我们知道,如果擦除器有效,它将有效地使系统无用。 ” “但是,目前尚不清楚这次袭击的总体影响是什么。”
Boutin 说,到目前为止,野外的病例数量似乎很少,ESET 的研究观察到一个组织成为 CaddyWiper 的目标。
#BREAKING #ESETresearch警告在乌克兰发现第三个破坏性雨刷器。我们今天在世界标准时间 9 点 38 分左右首次观察到这种我们称之为#CaddyWiper的新恶意软件。1/7 pic.twitter.com/gVzzlT6AzN
— ESET 研究 (@ESETresearch) 2022 年 3 月 14 日
ESET 研究此前发现了另外两种针对乌克兰计算机的擦除恶意软件。第一种菌株,被研究人员标记为 HermeticWiper,于 2 月 23 日发现,即俄罗斯开始军事入侵乌克兰的前一天。另一个名为 IsaacWiper 的雨刷器于 2 月 24 日在乌克兰部署。
然而,ESET 共享的时间线表明,IsaacWiper 和 HermeticWiper 在发布前已经开发了几个月。
Wiper 程序在访问和修改受感染系统上的文件的能力方面与勒索软件有一些相似之处,但与勒索软件不同——它会加密磁盘上的数据,直到向攻击者支付发行费——wiper 会永久删除磁盘数据并且不让任何方法恢复它。这意味着恶意软件的目标纯粹是对目标造成损害,而不是为攻击者获取任何经济回报。
虽然亲俄黑客使用恶意软件破坏乌克兰计算机系统上的数据,但一些支持乌克兰的黑客采取了相反的做法,将俄罗斯企业和政府机构的数据泄露为一种攻击性策略。
总体而言,迄今为止,大规模的网络战尚未在俄罗斯与乌克兰的冲突中实现,但仍有可能发生更大规模的攻击。在美国,网络安全和基础设施局 (CISA)向组织发布了一份咨询报告,警告他们可能会受到乌克兰使用的相同类型的破坏性恶意软件的影响。
微软宣布,对 DirectStorage 技术的支持已可用于 PC 游戏。实施该技术的图书馆以及必要的工具和文档已经出现在公共领域。简而言之,这项技术让显卡几乎可以直接从 SSD 接收数据。
根据 DirectX 开发者博客,任何在 Windows 10 和 11 上运行的 PC 游戏现在都可以使用 DirectStorage 技术。“这个公共 SDK 利用当今 SSD 的强大功能,开创了 PC 游戏快速加载、详细世界的新时代,”博客中写道。
早在 2020 年 9 月,微软就承诺将 DirectStorage 技术添加到最初用于 Xbox Series X | S 游戏机的台式电脑中。鉴于实施周期较长,DirectStorage 支持最终在最新的 Windows 11 系统和 Windows 10 中结束也就不足为奇了。但是,据微软称,新版本的操作系统中还有一些额外的优化,该公司认为 Windows 11成为 PC 游戏的最佳选择。
DirectStorage 技术在 PC 游戏中引入了一种新的 I/O 模型,可在将数据从 SSD 传输到显卡时卸载 CPU。通过使用它,可以在此过程中以最少的 CPU 和操作系统干预将游戏数据从 SSD 批量传输到显卡。还假设 GPU 将解包这些数据,从而释放 CPU 资源用于其他工作——环境物理和游戏 AI 的计算。
对 DirectStorage 的支持将加快从任何类型的 SSD 加载游戏的速度。然而,根据微软的解释,具有现代 PCIe 接口的 NVMe 驱动器将提供最佳性能。
有关支持 DirectStorage 的游戏的更多细节将在下周的 GDC 上公布。众所周知,支持该库的首批游戏之一将是日本动作 RPG Forspoken,该游戏将于 2022 年 10 月推出。
正如微软所承诺的那样,在 DirectStorage 之后的下一步是在 GPU 中实现数据解压缩,这一功能将使开发人员能够更好地控制硬件及其资源。
乌克兰国防部宣布将使用 Clearview 提供的人工智能面部识别技术。Clearview 的首席执行官 Hoan Ton-That 向路透社证实了这一消息,该技术将使乌克兰军方能够发现俄罗斯袭击者,打击错误信息并识别死者。据路透社报道,该公司在入侵开始后立即向乌克兰提供支持,Clearview 指出它从未将俄罗斯作为客户
Clearview 提供的基于人工智能的系统可以分析来自俄罗斯社交网络 VKontakte 的超过 20 亿张图像,而其整体数据库包含超过 100 亿张照片。
我们可以将技术的无害用途与潜在危险区分开来。前者包括确认死者身份、确认与家人离散的难民团聚的人员身份或揭穿与冲突有关的虚假社交媒体帖子。另一个用途与识别战场上的俄罗斯特工有关。
在冲突期间使用如此强大的技术是可怕的,它可以在检查站识别感兴趣的人,但在没有时间反映误报的比赛中可能会导致人员死亡。
“至少有一位评论家说,面部识别可能会在检查站和战斗中误认人。” 纽约监视技术监督项目的执行董事 Albert Fox Cahn 告诉路透社。纽约监控技术监督项目执行主任阿尔伯特福克斯卡恩说:“不匹配可能导致平民死亡,就像警察使用不公平逮捕一样。”
“我们将看到善意的技术适得其反,并伤害了它应该帮助的人,”他补充道。
Ton-That 始终建议将其技术与其他身份识别来源一起使用,并且必须用于防止战时滥用。
Clearview 技术正处于激烈辩论之中,一些政府指责该公司在未经所有者明确同意的情况下在网上抓取图像,从而侵犯了隐私权。
乌克兰的计算机应急响应小组警告称,威胁行为者正在分发安装 Cobalt Strike 和其他恶意软件的虚假 Windows 防病毒更新。
网络钓鱼电子邮件冒充乌克兰政府机构,提供提高网络安全性的方法,并建议收件人下载“关键安全更新”,这些更新以名为“BitdefenderWindowsUpdatePackage.exe”的 60 MB 文件的形式出现。
这些电子邮件包含指向法国网站(现已离线)的链接,该网站提供所谓的 AV 软件更新的下载按钮。另一个网站 nirsoft[.]me 也 被 MalwareHunterTeam 发现 充当该活动的命令和控制服务器。
恶意软件投放网站
当受害者下载并运行这个伪造的 BitDefender Windows 更新 [ VirusTotal ] 时,将显示下面的屏幕,提示用户安装“Windows 更新包”。
然而,这个“更新”实际上是从 Discord CDN 下载并安装 one.exe 文件 [ VirusTotal ],这是一个 Cobalt Strike 信标。
Cobalt Strike 是一个被广泛滥用的渗透测试套件,它提供攻击性安全功能、促进横向网络移动并确保持久性。
相同的过程获取一个 Go 下载器 (dropper.exe),它解码并执行一个 base-64 编码的文件 (java-sdk.exe)。
该文件为持久性添加了一个新的 Windows 注册表项,还下载了另外两个有效负载,GraphSteel 后门 (microsoft-cortana.exe) 和 GrimPlant 后门 (oracle-java.exe)。
活动中的所有可执行文件都打包在 Themida 工具中,从而保护它们免受逆向工程、检测和分析。
GraphSteel 和 GrimPlant 都是用 Go 编写的恶意软件,Go 是一种通用的跨平台编程语言,占用空间小,反病毒检测率低。
这两个工具的功能涵盖网络侦察、命令执行和文件操作,因此将两者部署在同一系统中很可能是为了冗余。
GraphSteel 特点:
GrimPlant 能力:
这两个有效载荷没有提供太多技术细节,我们不能排除它们在本报告中被称为新名称的已知后门的可能性。
鉴于乌克兰目前的局势,很容易将所有敌对活动归咎于俄罗斯和亲俄罗斯的威胁行为者,这里似乎也是如此。
乌克兰计算机应急响应小组以中等可信度将检测到的活动与 UAC-0056 组相关联。
UAC-0056,也称为“Lorec53”,是一种复杂的俄语 APT,它使用网络钓鱼电子邮件和自定义后门的组合从乌克兰组织收集信息。
自 2021 年 12 月以来,人们发现 UAC-0056 加大了在乌克兰的网络钓鱼分发和网络攻击力度。
最近发现同一行为者使用网络钓鱼诱饵瞄准格鲁吉亚政府机构,因此与俄罗斯国家的利益高度协调和一致。
移动安全公司 Zimperium 发布了其年度移动威胁报告,其中过去一年的安全趋势和发现为预测 2022 年的未来奠定了基础。
总体而言,与往年相比,移动平台上的恶意行为者的关注点有所增加,这主要是由于全球劳动力推动远程工作。
这种关注体现在更显着的恶意软件分发量、网络钓鱼和网络钓鱼攻击,以及发现和利用零日漏洞的更多努力。
零日漏洞是公开披露或积极利用的漏洞,供应商或开发人员没有提供修复程序。由于修复零日漏洞至关重要,供应商通常会在安全更新被披露后立即发布。
然而,根据 Zimperium 的客户统计数据和为该报告进行的一项调查,在 BYOD(自带设备)环境中工作的人中,只有大约 42% 的人在发布后两天内应用了高优先级修复程序。
大约三分之一的人需要长达一周的时间,而显着的 20% 的人在达到两周标记之前没有修补他们的移动设备。
2021 年,参与者更多地关注远程劳动力或本地移动设备,导致恶意网络扫描和中间人 (MiTM) 攻击增加。这些攻击旨在窃取敏感信息,这些信息在针对企业网络的更重大攻击中起着至关重要的作用。
2021 年世界每个地区最普遍的威胁如下:
在全球范围内,2021 年受 Zimperium 保护的所有端点中有 23% 遇到了移动恶意软件问题,其次是 MiTM (13%)、恶意网站 (12%) 和扫描 (12%)。
移动操作系统市场由 Android 和 iOS 的双头垄断主导,因此不可避免地,任何频谱下的所有比较都围绕这两者进行。
关于 2021 年的安全性,Android 似乎通常比 iOS 更容易受到攻击,但后者往往存在更严重的漏洞。
从数量上看,Android 2021 年发现的漏洞为 574 个,较 2020 年的 859 个显着减少,其中 79% 的漏洞具有攻击复杂性低的特点。此分类表示易于利用的缺陷。
在 574 个 Android 缺陷中,135 个(23%)的 CVSS 分数高于 7.2,而 18 个被评为严重。
在 iOS 上,安全研究人员在过去一年中发现了 357 个新漏洞,但其中只有 24% 被认为是低复杂性漏洞。
此外,只有 63 个 (17%) 的 CVSS 严重性等级高于 7.2,但其中 45 个缺陷是严重的,这意味着利用它们可能会对设备造成重大损害。
这使得 iOS 成为更具挑战性但更有利可图的目标,因为这些缺陷很难付诸行动,但回报更大。
2021 年的零日统计数据证实了这一假设,在 2021 年针对移动设备的所有 17 次利用零日攻击中,iOS 漏洞占 64%。
Zimperium 的报告中写道:“2021 年,针对 Apple iOS 和 Apple WebKit 的 11 个单独的零日漏洞被暴露,占当年所有零日漏洞的 19% 。 ”
Zimperium 还分析了 Google Play Store 和 Apple App Store 上金融、医疗保健、零售和生活方式类别中最受欢迎的应用程序。结论是,应用程序是移动设备的重大安全责任点。
最值得注意的是,80% 的 Android 金融应用程序使用易受攻击的加密,而 82% 的 iOS 零售应用程序没有任何代码保护功能。
随着移动设备在生活和工作中的重要性不断提高,智能手机用户数量达到新高,预计威胁行为者将继续努力攻击移动用户。
即使半导体短缺导致 2022 年的供应问题,智能手机出货量预计仍为 14.3 亿部。不幸的是,其中许多设备将成为大型组织安全链中最薄弱的环节,因此它们将成为熟练黑客的目标。
Zimperium 的调查显示,今天 84% 的安全专业人员已经在移动设备上启用了 Microsoft Office 365,其中 38% 的人正在第二阶段保护这些部署。
该统计数据完美地反映了在剧烈变化期间有多少组织牺牲了严格的安全控制来支持生产力和业务连续性。
与前几年相比,谷歌 (Android) 和苹果 (iOS) 在安全性方面都取得了长足的进步,他们的移动系统足够强大,可以排除简单的漏洞利用。
今天,威胁参与者被迫发现并链接多个漏洞以实现有意义的目标,因此这些攻击变得越来越难以实施。
在过去的一年中,一些最值得注意的移动安全发现和修复是:
虽然现在确切知道 2022 年会发生什么还为时过早,但我们应该期待更多相同的情况。
因此,确保设备安全的关键是将已安装应用程序的数量减少到最低限度。不幸的是,您使用的应用程序越多,您的数据风险就越大。
最后,通过应用可用的安全更新使您的移动操作系统保持最新状态,对于 Android,请使用 AV 工具、激活 Play Protect 并定期查看应用权限。
微软已开始在运行其最新 Windows 11 Insider 版本的设备上测试文件资源管理器应用程序中其他一些产品的促销活动。
新的 Windows 11“功能”是由 Windows 用户和 Insider MVP 发现的,他将文件夹和文件列表上方显示的广告通知的屏幕截图分享给 Windows 默认文件管理器文件资源管理器。
如屏幕截图所示,微软将使用此类广告来宣传其他微软产品,例如,关于如何“通过微软编辑器的高级写作建议,在文档、电子邮件和网络上自信地写作”。
正如你可以想象的那样,对此的反应是不利的,至少可以说,有人说文件资源管理器是“展示广告的最糟糕的地方之一”,而其他人补充说,如果微软想要“人放弃 Explorer 去做别的事情。”
还尝试在运行最新 Windows 11 Insider 版本的系统上复制此内容,但我们没有收到任何文件资源管理器广告。
这可能是因为微软运行 A/B 测试实验试图衡量此类功能的成功,或者公司在可见用户强烈抗议后禁用它。
这不是微软第一次在文件资源管理器中添加促销信息,因为在 2016 年,微软还在 Windows 应用程序中展示了 OneDrive 广告。
然而,Redmond 并没有停止使用文件资源管理器,而是 在两年前测试了在 Windows 10 写字板应用程序的菜单栏中推送其免费 Office 网络应用程序的广告,这一活动引发了类似的用户抗议。
每次用户搜索竞争浏览器时,该公司还开始在 Windows 10 开始菜单中显示 Microsoft Edge 广告,提示他们下载新的 Microsoft Edge。
已就文件资源管理器广告的问题与 Microsoft 取得联系,但我们尚未收到回复。
台湾硬件供应商 QNAP 警告说,其大部分网络附加存储 (NAS) 设备都受到名为“脏管道”的高严重性 Linux 漏洞的影响,该漏洞允许具有本地访问权限的攻击者获得 root 权限。
“ 脏管道”安全漏洞 会影响 Linux Kernel 5.8 及更高版本,即使在 Android 设备上也是如此。如果成功利用,它允许非特权用户注入和覆盖只读文件中的数据,包括以 root 身份运行的 SUID 进程。
发现并报告该漏洞的安全研究员 Max Kellermann 还发布了一个概念验证 (PoC) 漏洞利用,使本地用户能够修改配置并获得更高的权限和访问权限。
Dirty COW 是 2016 年修复的类似 Linux 漏洞, 以前被恶意软件 用于 root Android 设备和植入后门,尽管它更难利用。
虽然一周前针对 Linux 内核版本 5.16.11、5.15.25 和 5.10.102 发布了针对安全漏洞的补丁,但 QNAP 表示其客户将不得不等到公司发布自己的安全更新。
“如果被利用,这个漏洞允许非特权用户获得管理员权限并注入恶意代码,”QNAP 在今天发布的安全公告中解释道。
“目前没有针对此漏洞的缓解措施。我们建议用户在安全更新可用后立即检查并安装。”
该公司表示,该漏洞会影响运行 QTS 5.0.x 和 QuTS hero h5.0.x 的设备,包括:
您可以在此内核列表页面 的“内核版本 5.10.60”条目下找到所有受影响型号的完整列表 。QNAP 补充说,其运行 QTS 4.x 的 NAS 设备都不会受到影响并且容易受到攻击。
在 QNAP 发布安全更新以解决 Dirty Pipe 漏洞之前,您应确保您的 NAS 设备不会受到 Internet 攻击以阻止尝试获取本地访问权限。
拥有暴露在互联网上的 NAS 设备的客户应采取以下措施来防御攻击:
在 Oracle 解决了一个已知的 VirtualBox 问题后,微软已经取消了最后一个 Windows 11 保护措施,该问题导致安装 Hyper-V 或 Windows Hypervisor 时出现错误和虚拟机启动失败。
Safeguard 保留阻止用户升级到 Windows 11 以保护他们的系统免受潜在的升级问题,在这种情况下,由于 Windows 和 VirtualBox 之间的兼容性问题导致软件不稳定。
“Oracle 已在 VirtualBox 6.1.28 及更高版本中解决了此问题。要删除设备上的保护措施,您需要更新到 VirtualBox 6.1.28 或更高版本,”微软在添加到 Windows 运行状况仪表板的注释中解释说周末。
“请注意,如果没有其他保护措施会影响您的设备,则最多可能需要 48 小时才能提供 Windows 11 版本 21H2 的更新。”
自 Windows 11 发布之日起,在用户报告 与 Oracle 的虚拟化软件存在兼容性问题后,Redmond 将更新块应用于所有运行 Virtualbox 的设备 。
尝试更新受影响系统的客户将收到“VirtualBox。您的 PC 需要此应用程序的最新版本。单击了解更多以了解有关如何更新此应用程序的更多信息。” 即使在运行最新版本时也会出现消息。
从那时起,那些在计算机上运行 VirtualBox 的人即使拥有兼容的硬件和软件,也无法升级到最新的 Windows 版本。
“如果你没有安装 VirtualBox,但收到了这种保护措施,你可能有一个基于 VirtualBox 的应用程序,或者在其安装中捆绑了 VirtualBox,”微软补充道。
“如果您有任何使用或创建虚拟机或系统映像的应用程序,您可能需要更新或卸载它们以删除此保护措施。”
在 Oracle 致力于解决此问题的同时,Redmond 还提供了一种解决方法,以使受影响的客户能够缓解保护措施,要求他们卸载 Hyper-V、Windows Hypervisor 或 VirtualBox 以接收 Windows 11 升级。
Oracle VirtualBox 和 Windows 11 之间的兼容性问题是在 Microsoft 解决其他问题之后为 Windows 11 版本 21H2 删除的最后一个保护措施的原因:
最近,俄罗斯网络安全领域的宝贵人才外流——据《生意人报》刊物援引斯科尔科沃基金会代表的话说,与信息保护相关的初创公司已经在国外注册了专业专家的“人才流失”。同时,在近期事件的背景下,出于对自身安全的担忧,预计这一特定地区的员工外流可能会受到西方的限制。
据了解,Skolkovo 基金会和 Rostelecom-Solar 公司在前几天举行的 Security Startup Welcome Day 会议上对参与者进行了联合调查。尽管初创公司报告称有数据保护专家泄露到国外,但研究结果显示,72% 的初创公司打算在俄罗斯进一步开发他们的项目,而那些专注于外国客户的公司准备重新关注俄罗斯和亚洲目的地。与此同时,不到三分之一的受访者不介意将业务转移到国外,11% 的受访者根本不认为有机会继续在该国工作。
在企业看来,大型西方公司撤出俄罗斯市场可以促进该行业的发展,同时保持对信息安全方面高素质专家的需求。自乌克兰事件开始以来,负责网络解决方案的 Fortinet、ESET、Avast 和 NortonLifeLock已经离开俄罗斯,据一些报道称,Forcepoint (Websense) 也离开了俄罗斯。与此同时,预计“攻击数量将急剧增加”,这将改进技术并提高竞争力。根据现有信息,对俄罗斯解决方案的需求已经增加 - 预计腾出的利基市场将使国内公司显着增加销量。
据 Informzaschita 公司称,在信息安全领域,“人才流失”不如整个 IT 行业那么明显,因为据该公司称,“网络安全是一个相当封闭的行业”,在当前条件下,俄罗斯血统的专家将“非常谨慎,很少有人敢从俄罗斯聘请网络专家”。根据一些预测,与俄罗斯行业的一些外国公司离开有关的人员数量只会增加。
一些行业专家认为,这将更多是关于内部迁移,因为合格的专家更愿意不去国外,而是去当地大公司的 IT 部门。与此同时,IT行业从2014年开始就逐渐准备生活在制裁之下,所以很多企业早就把出口“押注”在了中立的国家。
几年来,网络设备公司 TP-Link 一直与 Avira 合作保护 Wi-Fi 路由器等产品的安全。HomeCare 和 HomeShield 功能旨在保护用户免受网络攻击和其他威胁,但两家公司的合作似乎也涉及将用户数据传输到 Avira。
根据昵称 ArmoredCavalry 的 Reddit 用户的说法,仅在一天之内,他的 TP-Link Archer AX3000 路由器就将大量数据传输到 Avira SafeThings (*.safethings.avira.com) 服务器,在短短 24 小时内,点击次数超过了 80,000主要注册到这些平台以及其他服务。
SafeThings 是一个基于云的网络威胁防御平台,用于评估用户流量。Avira 本身报告说,该服务与家庭路由器交互,以避免损害物联网设备。按照计划,用户应该使用特殊应用程序完全控制家庭设备。
尽管Avira声称用户可以控制设备,但事实证明,即使没有订阅,该服务也能继续工作。此外,即使在路由器设置中禁用了所有相关的 Avira/Home Shield 服务,数据也会被传输。然而,“路由器并不关心并发送所有流量以进行进一步分析,”ArmoredCavalry 说。
值得注意的是,XDA 门户网站上早先出现了类似的数据——根据他们的信息,TP-Link Deco X68 中也出现了类似的问题。应要求,该公司承诺将在未来的固件中解决该问题,XDA 本身的代表澄清说,路由器制造商没有指定解决问题的任何确切期限。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
