今天在微软的另一轮补丁中，修复了 Windows 中的一个错误，该错误导致与 OneDrive 云同步的一些本地文件在重置期间没有被删除。

具有讽刺意味的是，该漏洞与 2018 年 10月的Windows 10重大崩溃完全相反，当时系统自发删除了用户文件。在使用“删除所有内容”选项执行出厂重置的个人用户中发现了一个影响 Windows 10 和 11 的新问题，但从 OneDrive 同步的文件和文件夹仍保留在本地驱动器上。

微软承认错误后，建议Windows用户作为一种变通方法，退出其OneDrive帐户，关闭云存储，或在重置机器后立即从机器中删除Windows.old文件夹，然后再开始重置程序机器恢复出厂设置。该问题并未扩展到未同步到云的文件。对于 Windows 11，补丁号KB5011493修复了错误，对于 Windows 10 - KB5011487。但是，开发人员警告说，即使在安装补丁后，故障也可能需要长达 7 天才能完全修复。

国内IT人才的新发展正在全国各地乃至国外都在积极讨论。YARUS 社交平台的用户数量在我们眼前不断增长：就下载量而言，它已经位居榜首。

回想一下，在当前的冬季结束时，西方的大型场地和产品开始陆续离开俄罗斯市场。而正是在这个时期，YaRUS 已经表现出用户数量的巨大增长。俄罗斯开发商不得不应对他们成功克服的困难，其中包括不断的封锁、黑客攻击和媒体的明显压力。因此，在 GoogleMarket 被短暂封禁后，由于客观原因进一步禁止，该应用程序再次返回平台。

网络攻击的组织者在大约 7000 人的短时间内实施，许多专家称其为来自乌克兰、美国、日本和欧洲的黑客。显然，俄罗斯申请的成功并没有让外国竞争对手休息。这并不奇怪，因为即使是现在我们也可以自信地说，YARUS 留下了大市场参与者，他们有利可图地将新的俄罗斯申请从市场。这证实了用户的大量涌入。据 YaRUS 新闻服务报道，目前技术支持人员正在以增强模式全天候工作，从而将所有安全风险降到最低。

我们还注意到，来自俄罗斯的数百名博主已经开始使用新的便捷社交平台。国内开发商设法创建了一个优秀的模拟程序，并在一个应用程序中收集了 Facebook、Tik-Tok 和 Youtube 的所有优势。令许多用户高兴的是，没有广告和强加付费服务，这是许多人在国外应用程序中经常不得不处理的问题。在西方服务受到制裁和封锁的情况下，社交平台的稳定运行已经得到许多俄罗斯博主的赞赏，他们已转向有前途的俄罗斯平台，并正在积极转移订阅者。

欧盟国家元首在凡尔赛峰会上表达了对乌克兰的支持，但尚未就给予其欧盟成员国候选国地位做出决定。一些在场人士表示，这个过程通常需要数月甚至数年，而且不可能在一夜之间完成。

“乌克兰属于我们的欧洲大家庭，”峰会声明说。值得注意的是，欧盟将加强与该国的联系，但没有提及授予其加入欧盟候选人的地位。新闻稿还说，欧洲理事会邀请欧盟委员会就摩尔多瓦和格鲁吉亚的声明发表结论，这也表达了加入欧盟的愿望。

乌克兰总统泽连斯基于 2 月 28 日申请加入欧盟，就在俄罗斯在该国开展军事特别行动几天后。出席峰会的一些人指出，从那一刻起已经过去了一段时间，不可能接受该国加入欧盟。

“我们都知道乌克兰受到俄罗斯攻击的异常困难的局势，并对正在发生的事情感到震惊。目前，乌克兰加入欧盟的申请正在审议中，并已提交给欧盟委员会。但要做出决定还需要几个月或几年的时间，”荷兰首相马克·吕特（塔斯社引述）说。

“有一个程序，它不会在一夜之间发生。有条约、条款、申请，欧盟理事会向欧盟委员会发送申请……没有人在一夜之间加入欧盟，”来自克罗地亚的同事 Andrej Plenkovic 说。

欧盟领导人还在一份声明中表示，他们准备增加对俄罗斯和白俄罗斯的制裁。它指出，“俄罗斯对乌克兰无端无端的军事侵略”严重违反了国际法和《联合国宪章》，也“破坏了欧洲和全球的安全与稳定”。

世界卫生组织 (WHO) 建议乌克兰销毁储存在该国实验室中的高度危险的病原体，以防止可能导致疾病在人群中传播的“任何潜在泄漏”。该组织没有具体说明涉及哪些病原体。俄罗斯声称乌克兰据称在美国的支持下开发生物武器。

世卫组织在给路透社的一封信中表示，它与乌克兰公共卫生实验室合作多年。“作为这项工作的一部分，世卫组织强烈建议乌克兰卫生部和其他主管当局销毁特别危险的病原体，以防止可能的泄漏，”该组织表示。世卫组织没有具体说明这一呼吁的确切时间以及乌克兰是否履行了这一要求。

据俄罗斯国防部称，2月24日，乌克兰生物实验室的员工据称销毁了特别危险的病原体，其中据称是鼠疫、炭疽、土拉菌病、霍乱和其他致命疾病的病原体。俄罗斯外交部确信，在乌克兰制造的生物武器是“以种族为导向的”。乌克兰总统泽连斯基表示，乌克兰没有人在开发“任何化学武器或任何其他大规模杀伤性武器”。

加拿大总理贾斯汀·特鲁多表示，加拿大将接受来自乌克兰的难民。他明确表示将拨出1.17亿加元帮助移民。据他说，加拿大将接受尽可能多的难民。

特鲁多先生在华沙会见波兰总统安杰伊·杜达后讨论了这个话题。加拿大总理表示，接受乌克兰难民将有助于减轻波兰等乌克兰邻国的压力。

“加拿大很乐意接收来自乌克兰的难民，1.17亿美元是我们为与移民有关的特别行动确定的配额。除其他事项外，加快移民程序，以便人们可以尽快到达加拿大，”他说（由 RIA Novosti 引述）。

贾斯汀·特鲁多说，现在可以在线完成前往加拿大的旅行申请。他指出，当局正在努力简化入境程序。此外，难民将有机会在加拿大工作和学习，他们将能够留在那里。他补充说：“我们正在尽一切努力尽快在短时间内接待尽可能多的人。”

2月24日，弗拉基米尔·普京宣布对乌克兰进行“去纳粹化和非军事化”的军事行动。据联合国统计，截至 3 月 8 日，已有 120 万难民离开乌克兰领土。难民主要流向波兰、匈牙利、摩尔多瓦、斯洛伐克、罗马尼亚。俄罗斯外交部声称5250275有200万人希望撤离到俄罗斯。

2018年，英特尔、AMD、ARM曝出CPU安全事件，引起广泛关注，舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔，还涉及AMD/ARM等厂商，且CPU 漏洞补丁基本不会给普通用户造成任何影响，但这次bug依旧被定为成行业大事件。

时隔几年，CPU又再次曝出一个大bug，有意思的是，英特尔、AMD、ARM一个也没拉下，全部都受到影响。

据外媒报道，安全人员发现了一种新方法，可以绕过现有的基于硬件的防御措施，在英特尔、AMD和ARM的计算机处理器中进行推测执行，可允许攻击者泄露敏感信息。

随后，英特尔、AMD和ARM发布公告了相关事件公告，并附上了缓解措施和更新建议，以此解决出现的CPU问题。

所谓“推测执行”，是指通过预测程序流来调整指令的执行，并分析程序的数据流来选择指令执行的最佳顺序。2018年，安全研究人员发现了一种从主动计算中获取信息的方法，并将漏洞命名为Meltdown 和 Spectre。

而后，CPU厂商纷纷发布了基于软件的缓解措施，将间接分支与推测执行隔离开来，并通过硬件修复进一步解决此类问题，例如英特尔的eIBRS和Arm的CSV2等。如今，CPU安全事件再次爆发，值得厂商们提高警惕。

绕过现有的缓解措施

近日，VUSec安全研究人员发布了技术报告，披露了一个新的Spectre类投机执行漏洞，详细介绍了一种新的攻击方法，即利用分支历史注入 (BHI) 来绕过所有现有的缓解措施。

报告强调，虽然现有的硬件缓解措施可以防止非特权攻击者向内核注入预测器条目，但是通过攻击分支全局历史将会是一种全新的攻击方法。对目标系统具有低权限的恶意攻击者可以毒化此历史记录，以迫使操作系统内核错误预测可能泄漏敏感数据。

为了进一步证明漏洞可用性，安全研究人员还发布了概念证明（PoC）测试，展示了任意内核内存泄漏，成功披露了易受攻击的系统的哈希密码。

该漏洞影响到自Haswell以来推出的任何英特尔CPU，包括Ice Lake-SP和Alder Lake。受影响的ARM CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。ARM的漏洞编号是CVE-2022-23960，Intel的漏洞编号CVE-2022-0001和CVE-2022-0002。

接下来，VUsec 准备了一篇关于新 BHI 攻击的论文，该论文将在2022年第31届USENIX安全研讨会上发表。

直线投机攻击

在与披露相吻合的消息中，grsecurity发布了漏洞详细信息和 PoC，该 PoC 可以通过新的直线推测 (SLS) 攻击方法从AMD处理器泄漏机密数据。

这种新的 SLS 变体影响了许多基于 Zen1 和 Zen2 微架构的 AMD 芯片，包括 EPYC、Ryzen Threadripper 和集成 Radeon Graphics 的 Ryzen。

AMD 已经发布了一份受影响产品的列表和一份白皮书，为编号是CVE-2021-26341的中等严重性缺陷提供了安全建议。

到目前为止，AMD 还没有看到任何在野外积极利用此安全漏洞的例子，但应用推荐的缓解措施仍然很重要。

十分之九 (90%) 的托管服务提供商 (MSP) 在过去 18 个月中经历了成功的网络攻击 。

该研究还发现，这些组织在此期间阻止的攻击数量几乎翻了一番，从 6 次增加到 11 次。研究人员表示，这表明 MSP 正迅速成为网络犯罪分子的主要目标，而不是其客户。

该研究反映了 MSP 的 500 名高级决策者对他们在大流行之前和今天的安全经验的看法。

超过五分之四 (82%) 的 MSP 报告称，在过去 18 个月中，针对其客户的攻击有所增加，平均每月防止 18 次攻击。

该研究还揭示了成功的网络攻击对 MSP 产生的广泛影响。超过一半的受访者在遭受攻击后经历了经济损失和业务中断。与此同时，46% 的人表示他们失去了业务，45% 的人遭受了声誉影响，28% 的人看到他们的客户失去了信任。

MSP 检测到的最常见的攻击方法是网络钓鱼 (75%)、DDoS (56%) 和勒索软件 (42%)。

令人担忧的是，研究人员发现许多 MSP 仍未实施基本的安全措施。例如，虽然大多数 MSP 为其客户提供双因素身份验证，但只有 40% 的公司在内部引入了这种身份验证。

N-able 首席安全官 Dave MacKinnon 评论说：“MSP 在整个大流行期间不知疲倦地工作，以确保他们支持的企业能够在情况发生变化时保持在线和连接。

“但他们所保护的网络犯罪分子也在努力利用这些转变来对付他们的目标。MSP 需要了解威胁形势如何继续演变，并做出必要的改变来保护他们的客户和他们自己，并充分利用增强安全性提供的巨大机会。”

调查结果是在针对 MSP 的众多备受瞩目的攻击之后进行的，其中最引人注目的是  去年的Kaseya事件。针对这些事件， 英国政府 就引入新措施以迫使 MSP 遵循更新的安全标准展开磋商。

Emotet 僵尸网络回归几个月后，已经感染了遍布 179 个国家的 130,000 多个独特的僵尸网络。

2021 年初，全球执法和司法当局 开展了一项名为 “瓢虫行动”的联合行动，破坏了 EMOTET 僵尸网络。当时，调查人员已通过国际协调行动控制了其基础设施。 

这项行动是荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰当局共同努力的结果，国际活动由欧洲刑警组织和 欧洲司法组织协调。

执法机构能够接管至少 700 台用作 Emotet 僵尸网络基础设施一部分的服务器。作为清理行动的一部分，FBI 收集了 Emotet 操作员在其恶意软件活动中使用的数百万个电子邮件地址。

Emotet 银行木马  至少自 2014 年以来 一直活跃，该僵尸网络由跟踪为TA542的威胁参与者操作。臭名昭著的银行木马还被用来传递其他恶意代码，例如 Trickbot 和 QBot 木马，或勒索软件，例如 Conti、  ProLock、  Ryuk和 Egregor。

2021 年 11 月，来自多家网络安全公司（[Cryptolaemus]、[GData] 和 [Advanced Intel]）的研究人员报告称，威胁行为者正在使用 TrickBot 恶意软件在受感染设备上投放 Emote 加载程序。专家们跟踪了旨在使用 TrickBot 的基础设施作为 Operation Reacharound 重建 Emotet 僵尸网络的活动。

据 Lumen 的 Black Lotus Labs 的研究人员报告，自从 Emotet 运营商发布报告以来，他们已经积累了大量受感染的系统。

研究人员指出，新的 Emotet 僵尸网络支持新功能以避免检测和分析，例如对网络流量使用加密以及将进程列表分离到自己的模块中。

新版本使用椭圆曲线密码术 (ECC)，使用公钥执行加密，并使用单独的算法执行数据验证。

新版本还能够收集有关受感染主机的其他信息。专家们还报告了 2 月下旬至 3 月 4 日 C2 池的显着增长。

“虽然 Black Lotus Labs 在 2019 年 5 月跟踪了 300 多个独特的 Emotet C2，但在复苏后的大约四个月内，独特 C2 的数量大约为 200。如图 2 所示，当 Emotet 在 2021 年 11 月重新上线时，它确实做到了因此，使用较小但相对一致的 1 级 C2 池。” 阅读专家发表的报告。“在过去的几个月里，从 2 月下旬到 3 月 4 日，C2 池继续增长到平均每天 77 个独特的 1 级 C2。”

新 Emotet 基础架构中最重要的功能之一是明显没有 Bot C2，这些 bot 将接收 UPnP 模块，通过打开用户路由器上的端口，使受感染的设备能够充当 C2，然后允许它将来自 Emotet 机器人的流量代理到更高层的 C2。

Emotet C2 大部分位于美国和德国，C2 数量排名前 10 位的其他国家包括法国、巴西、泰国、新加坡、印度尼西亚、加拿大、英国和印度。

“机器人的增长和分布是 Emotet 在恢复其曾经庞大的基础设施方面取得进展的重要指标。每个机器人都是令人垂涎的网络的潜在立足点，并提供了部署 Cobalt Strike 或最终升级为 Bot C2 的机会。” Black Lotus Labs 得出结论。

一名罗马尼亚男子已被 引渡 到美国，面临与在暗网上出售被盗财务数据有关的指控。 

Sorin Becheru 涉嫌与他人合谋出售使用恶意软件获得的被盗信用卡号码。 

罗马尼亚当局应美国要求并根据罗马尼亚与美国之间的双边引渡条约，于 2022 年 1 月 1 日逮捕了这名 34 岁的布加勒斯特居民。

起诉书称，Becheru 和他的同谋使用销售点内存抓取恶意软件从位于美国的服务器上窃取消费者的信用卡信息。在一种称为梳理的做法中，这些被盗数据在地下在线论坛上出售，包括 Vendetta 和 Tony Montana。 

非法获取数据的购买者使用信用卡信息欺诈性地获取商品和服务。

“出于经济动机的网络犯罪对广泛的行为者具有吸引力，其结果可能对受影响的消费者和企业造成毁灭性的影响，”负责达拉斯联邦调查局的特别探员马修·德萨诺 (Matthew DeSarno) 说。

Becheru - 使用各种在线身份，包括 t0r.creep.im、truan1@jabbim.com 和 buchetta@jabb3r.de - 据称拥有并出售数百万张信用卡的信用卡信息。 

检察官声称，Becheru 曾一度提供属于德克萨斯州北区和其他地方的受害者的 240,000 多张信用卡的信息。

美国检察官于 2021 年 3 月指控 Becheru 共谋实施与访问设备有关的欺诈行为。在罗马尼亚被捕后，Becheru 于 2022 年 3 月 3 日被引渡到美国，并于 3 月 4 日在美国地方法官 Rebecca Rutherford 首次出庭。

美国律师查德·米查姆在周五发布的一份声明中宣布了 Becheru 被引渡的消息  ，他说：“恶意软件对美国公司和消费者构成越来越隐蔽的威胁。只需几次击键，老练的黑客就可以入侵数百万个帐户。”

他补充说：“司法部将毫不犹豫地追捕网络犯罪分子，包括那些在国外经营的犯罪分子。与此同时，我们鼓励美国人采取措施保护他们的在线个人身份信息。”

如果罪名成立，贝切鲁将面临最高五年的联邦监狱刑期。

威胁参与者在涉及破坏统计小部件的供应链攻击中入侵了俄罗斯联邦机构的网站
一些俄罗斯联邦机构的网站在供应链攻击中遭到破坏，威胁者破坏了用于跟踪多个政府机构访问者数量的统计小部件。威胁行为者能够破坏网站并阻止对它们的访问。

“联邦机构网站的运营中断发生在周二晚上，原因是国家机构网站监控系统的服务（小部件）遭到黑客攻击，该系统由经济发展部维护并被整合到一些国家机构的网站、俄罗斯数字发展、通信和大众媒体部的新闻服务机构告诉国际文传电讯社。” 国际文传电讯报报道。

受到攻击的服务在一小时内就恢复了。

被黑网站包括能源部、联邦国家统计局、联邦监狱局、联邦法警局、联邦反垄断局、文化部和其他俄罗斯国家机构的网站。

“国家机构的网站受到网络安全团队的严格保护和全天候监控。很难直接破坏这些网站，因此黑客通过外部服务攻击资源，从而获得展示不正确内容的权限，”新闻服务说。

新闻服务补充说：“黑客入侵了一个应用程序（小部件），该应用程序从外部资源加载到国家机构的网站上。黑客入侵小部件后，黑客能够在网站页面上发布不正确的内容。事件被迅速定位。”

受影响的网站显示了当前入侵乌克兰的图像。