微软修复了 Azure Database for PostgreSQL 灵活服务器的身份验证过程中的两个缺陷，这些缺陷可能允许任何 Postgres 管理员获得超级用户权限并访问其他客户的数据库。

“通过利用复制用户的灵活服务器身份验证过程中的提升权限错误，恶意用户可以利用不正确锚定的正则表达式绕过身份验证以访问其他客户的数据库，”该软件巨头在 Thursdsay 的一份咨询中解释道.

云安全供应商 Wiz 在 1 月份发现了身份验证过程中的错误，此后微软已经解决了这些错误。尽管所有使用公共访问网络选项的灵活服务器 Postgres 服务器都受到了影响，但 Redmond goliath 表示，它在任何不法分子利用该问题并访问客户数据之前缓解了安全漏洞。

微软没有说明有多少客户易受攻击。但是，任何使用私人访问网络选项的人都没有被曝光。

虽然客户无需采取任何措施来解决此问题，但 Microsoft 建议客户在设置灵活服务器实例时启用专用网络访问，以最大限度地减少进一步的风险。

Wiz 研究人员在对这些漏洞的分析中详细介绍了他们如何绕过Azure的云隔离模型来利用这两个漏洞。

从 Cosmos DB 到 ExtraReplica
提醒一下：Wiz 是一家云安全初创公司，其创始人帮助构建 Azure 安全堆栈，去年他们还发现了 Cosmo DB 漏洞。此错误允许通过一系列错误配置 Cosmos DB 不受限制地访问 Azure 客户的数据库。事实上，这就是团队发现这个新缺陷的方式，今天披露。

“我们之前在 Azure Cosmos DB 中发现了漏洞，”Wiz 研究人员 Sagi Tzadik、Nir Ohfeld、Shir Tamari 和 Ronen Shustin在他们的分析中写道。“我们能否在其他 Azure 服务中重现类似的问题？”

答案当然是肯定的。

Azure Database for PostgreSQL 灵活服务器是 Microsoft 为开源 PostgreSQL 数据库提供的完全托管、可扩展的服务。

而且 PostgreSQL 有一个特性，允许用户将他们的数据库数据从一台服务器复制到另一台服务器，这种复制能力对于备份和故障转移场景很有用。它还可能允许网络犯罪分子利用微软托管服务中的这一缺陷。

当他们去寻找 bug 时，Wiz 团队发现 Azure 修改了其 PostgreSQL 引擎，可能是为了加强安全性并添加新功能。然而，这也引入了一个权限提升漏洞，允许研究人员以超级用户身份执行任意查询，包括操作系统级别的命令。

“虽然微软已经修复了这个漏洞，但出于对可能在其 PostgreSQL 引擎中进行类似修改的其他供应商的谨慎考虑，我们目前没有披露利用细节，”他们写道。

该团队还发现，可以从 PostgreSQL 容器内部访问网络接口，并且他们的容器与主机共享一个网络命名空间。因此他们决定在不同的帐户上创建另一个实例，看看是否可以通过内部网络接口路由来访问其他客户的实例。

它奏效了。

“最重要的是，即使实例的防火墙配置为拒绝所有连接尝试，它也能正常工作，”他们说，并补充说他们认为这违反了用户的期望，即他们的数据库与其他客户保持隔离。

“但是，由于我们仍然需要该数据库的用户名和密码才能执行任何有意义的操作（例如读取或修改数据），因此这个问题的严重性仍然很低，”Wiz 承认。

漏洞 #2
Wiz 研究人员还详细介绍了他们如何利用身份验证过程中的第二个漏洞。允许的过度：使用伪造证书绕过跨帐户身份验证。

为此，他们在服务的身份验证过程中发现了第二个漏洞：对证书公用名的过度许可正则表达式验证：

pgusermap /^(.*?)\.eee03a2acfe6\.database\.azure\.com(.*)$ \1

正则表达式末尾的通配符 (.*) 是问题所在。为了利用这一点，所有的 bug 搜寻者都必须注册一个与这个正则表达式匹配的域：

Replication.eee03a2acfe6.database.azure.com.wiz-research.com

然后访问digicert.com并颁发证书到：

replication.eee03a2acfe6.database.azure.com.wiz-research.com.

这很奏效，因为安全商店拥有 wiz-research.com，因此他们能够从 DigiCert 的中间 CA RapidSSL 购买证书。

为他们自己的域颁发证书允许 Wiz 团队访问它在不同租户上拥有的单独帐户的数据库，这提供了跨帐户数据库访问。

但是，访问其他客户的数据库需要更多步骤。

破门而入
每个数据库实例都有一个唯一标识符，要为特定数据库生成客户证书，攻击者需要知道这个唯一标识符。

Wiz 团队发现该标识符出现在服务器的 SSL 证书中。“通过尝试使用 SSL 连接内部网络中的其他数据库，我们可以检索它们的 SSL 证书并提取子网中每个数据库的唯一标识符”，他们解释道。

一旦他们获得了标识符，他们就可以再次购买一个伪造的通用名称的证书，并在目标地区建立一个新的数据库。

然后是时候利用第一个漏洞来提升权限并获得代码执行，扫描目标实例的子网，利用第二个漏洞并获得对受害者数据库的读取访问权限。

微软推出修复程序
微软表示，它于 1 月 13 日推出了针对允许跨租户攻击的最关键漏洞的修复程序。根据安全公告，该数据库服务现在提供“不同租户的底层虚拟机实例之间的完全隔离”。

此外，现在仅在匹配确切的主题名称时才关联复制权限，而不仅仅是前缀匹配。

“在补丁发布期间，我们还解决了所有新服务器创建的问题，以阻止提升的特权访问和远程代码访问，”雷德蒙德补充道。

微软还阻止了 Postgres 中的复制程序，据称该程序负责处理服务中的远程代码执行漏洞，并在 2 月 25 日之前修复了显示证书名称的 Postgres 错误消息。

美国第九巡回上诉法院周三确认了 Carsten Igor Rosenow 于 2019 年因在菲律宾对儿童进行性剥削而被定罪和判刑——在此过程中，法院可能在互联网隐私法中炸开了一个巨大的漏洞。

尽管第四修正案保护免受不合理的搜查和扣押，但法院似乎已经允许美国政府特工复制任何人的互联网账户数据，而无需合理怀疑有不当行为。加州大学伯克利分校法学院教授 Orin Kerr 沮丧地注意到这一决定。

“天哪：虽然简报中几乎没有提到它，但 CA9 只是在一个先例中用一句话表示，互联网内容的保存不是扣押，”他在Twitter 帖子中写道。“而且 TOS [服务条款] 消除了所有互联网隐私。”

有争议的案件，美国诉 Rosenow，始于 2014 年 10 月，当时在线汇款服务 Xoom 提醒雅虎！涉及购买和出售儿童性虐待材料的多个雅虎帐户。被定罪的重罪犯曾是生物技术公司 Illumina 的首席营销官。

雅虎！调查后，向国家失踪和受剥削儿童中心 (NCMEC) 报告了调查结果，随后涉及联邦调查局 (FBI) 和国土安全部 (DHS)。

执法部门向雅虎提出了保存请求！保存 2014 年 10 月、2014 年 12 月和 2015 年 6 月的相关用户账户数据。其中包括涉及 Rosenow 的三笔金融交易。

雅虎的调查！执法继续进行，最终于 2017 年 6 月 21 日在圣地亚哥机场逮捕了 Rosenow，同时执行了对被告、他的行李和住所的联邦搜查令。联邦调查局没收了数字图像和视频文件作为证据。Rosenow 在 2020 年因儿童色情罪被判处 25 年监禁。

代表 Rosenow 的律师试图通过声称其委托人的第四修正案权利受到侵犯，来驳回从逮捕中获得的证据。他们认为 Rosenow 有权保护他的数字数据。他们说，政府的保全请求（几年前发出）和没有搜查令提交的传票违反了第四修正案对不合理搜查和扣押的保护。

上诉小组驳回了辩方的论点，并维持了下级法院的定罪和量刑。

第九巡回法院的裁决[PDF] 表示，政府的数据保存请求并未干扰被告的权利，因为数据被复制并且被告没有被剥夺 - 没有扣押。

“还值得注意的是，Rosenow 同意 ESP [电子服务提供商] 根据 ESP 的使用条款尊重执法部门的保存请求，”该决定解释说。“因此，我们同意地方法院的观点，即这些要求并不构成违反第四修正案的不合理扣押。”

因此，由于被告没有失去对他数据的访问权限——复制不是扣押——并且同意了免除隐私的服务条款，上诉法院认为如何获得针对 Rosenow 的证据没有问题。

有些人做噩梦
克尔将这一决定描述为法理学的噩梦场景——一个在诉讼过程中被掩盖的主要问题，在没有任何法律推理或支持的情况下做出决定。

“从字面上看，就是这样，”他写道，该决定简洁地驳回了第四修正案的担忧。“没有分析。没有引用任何东西。没有讨论。只有一句话。所以现在，根据第 9 巡回法院的法律，政府可以自由命令每个人的整个互联网帐户复制并持有——完全没有任何理由。在任何时候， 没原因。”

Kerr 最近在去年发表在圣路易斯大学法律杂志上的一篇题为“互联网内容保存的第四修正案限制”的文章中探讨了互联网数据保存令可以绕过第四修正案要求的方式。

其中，他描述了一个假设场景，该场景不仅与 Rosenow 案例相关，而且与任何通过服务提供商存储数据的人相关。

想象一下，你是一名 FBI 特工。有一天，您收到一条匿名提示，说某个特定的人犯了罪。你上网搜索这个人的名字，你的搜索显示，和大多数美国成年人一样，这个人有一个 Facebook 帐户。此时，您只有一个未经验证的提示。你缺乏合理的怀疑，更不用说可能的原因，相信犯罪发生了。而且您没有特别的理由认为 Facebook 帐户参与其中。但是想象一下，联邦法律现在赋予您保留和搁置嫌疑人的整个 Facebook 帐户的权力——包括每条私人信息和每张保存的照片——以防万一您以后有可能的原因需要访问它。

关键是这不是一个假设的场景，而是“ 18 US Code § 2703 - 要求披露客户通信或记录”的实际工作方式。而且这种情况经常发生：根据 Kerr 的说法，2019 年，为响应 § 2703(f) 的请求，保存了超过 310,000 个互联网帐户。

这里的问题是政府是否可以通过将不受支持的数据保存要求（实际上是扣押）委托给私营部门来绕过第四修正案的义务。

“当政府要求保存并且提供者遵守时，提供者充当政府的代理人并成为国家行为者，”克尔在他的论文中写道。“复制和搁置互联网帐户内容的过程是第四修正案的扣押，因为它干扰了用户控制其私人通信的权利。”

换句话说，当局在扣押您的数据或指示第三方代替他们这样做之前应该有合理的理由，就像扣押邮寄包裹一样。但对于第九巡回法院，以及现在在其管辖范围内的法院来说，情况似乎不再如此。

法院认为接受服务条款会取消隐私权的推理引起了其他法律专家的关注。

在通过电子邮件发送给The Register的一份声明中，电子前沿基金会的监督诉讼主任詹妮弗·林奇表示，第九巡回法院关于 Rosenow 第四修正案对其 ISP 服务条款的权利的讨论显然是错误的。

“最高法院和所有其他已解决该问题的法院已明确表示，您与第三方存储的数字内容受到第四修正案的保护。存储和传输我们的内容和通信的第三方都有类似的服务条款雅虎的。”

“这些没有人阅读的要么接受要么放弃的条款旨在保护公司的商业利益——它们不能损害你的第四修正案权利。如果他们这样做了，比如Carpenter和US v. Warshak（2010 年第六巡回法院）发现第四修正案保护电子邮件的案例）将没有牙齿，这是不对的。”

林奇表示，EFF 在之前的几个法庭案件中已经提出了这个问题，并希望在下个月 5 月的美国诉 Bohannon案件中在第九巡回法院之前解决这个问题。

法国数据保护机构 (CNIL) 因违反 GDPR（通用数据保护条例）的三条条款，对医疗软件供应商 Dedalus Biology 处以 150 万欧元的罚款。

Dedalus Biology 为该国数千个医学实验室提供服务，罚款是为了暴露来自 28 个实验室的 491,939 名患者的敏感细节。

该数据库在网上泄露并透露了以下患者详细信息：

全名
社会安全号码
开药医生姓名
考试日期
医疗信息，例如艾滋病毒状况、癌症、遗传疾病、怀孕、治疗等。
遗传信息（在某些情况下）
这些信息已在互联网上广泛共享，因此 Dedalus Biology 的客户面临着被社会工程、网络钓鱼、诈骗甚至勒索的风险。

数据库泄漏的最初迹象早在 2020 年 3 月就出现了，ANSSI 于 2020 年 11 月向其中一个暴露的实验室发出了相关警报。

2021 年 2 月，法国杂志 ZATAZ在暗网上发现了特定数据集的销售情况，并确认该信息是有效的。

在暗网 (ZATAZ)上出售的泄露数据
制裁细节
Dedalus Biology 违反了 GDPR 法案第 29 条，即未遵守控制者的指示。更具体地说，在从不同供应商的软件迁移过程中，应两个医学实验室的要求，Dedalus 提取了比要求更多的信息。

第二个违规行为涉及 GDPR 第 32 条，该条规定数据处理者对未能保护信息负责。CNIL 的调查发现了以下相关故障：

缺乏数据迁移操作的具体程序；
存储在有问题的服务器上的个人数据缺乏加密；
迁移到其他软件后没有自动删除数据；
缺乏互联网访问服务器公共区域所需的身份验证；
使用服务器专用区域上多个员工之间共享的用户帐户；
服务器上没有监督程序和安全警报升级。
违反的第三条 GDPR 条款是第 28 条，其中涵盖了代表控制者（实验室）为数据处理提供正式合同或法律行为的义务。

对于上述违规行为，CNIL 决定处以 150 万欧元（158 万美元）的罚款，按公司年收入的 10% 计算。

尽管基于与 CNIL 调查人员合作的意愿，Dedalus 希望受到更轻的处罚，但数据保护办公室指出，该公司没有采取任何措施来限制在线泄露数据的传播，因此没有认定缓解因素的依据。

ZZQIDC已联系 Dedalus Biology 就 CNIL 的决定发表评论，但在本文发表时我们尚未收到该公司的消息。

一个类似的案例
同时，CNIL 目前正在调查另一起由保险提供商L'Assurance Maladie报告的泄露 510,000 名法国人的敏感医疗保险信息的案件。

根据该公司公开的细节，使用其在线信息门户的 19 名医生成为网络钓鱼活动的受害者，这实质上使黑客能够访问敏感的患者信息。

由于这一违规行为，全名、出生日期、性别、社会安全号码以及与保险权利相关的数据都受到了损害。

日本 CERT 发布了新版本的 EmoCheck 实用程序，以检测本月开始感染用户的新 64 位版本的 Emotet 恶意软件。

Emotet 是通过电子邮件传播的最活跃的恶意软件之一，使用带有恶意附件的网络钓鱼电子邮件，包括 Word/Excel 文档、 Windows 快捷方式、ISO 文件和受密码保护的 zip 文件。

网络钓鱼电子邮件使用创造性的诱饵来诱骗用户打开附件，包括 回复链电子邮件、发货通知、税务文件、会计报告，甚至 节日派对邀请函。

一旦设备被感染，Emotet 将窃取用户的电子邮件，用于未来的回复链网络钓鱼攻击，并在计算机上下载更多恶意软件有效负载。

由于进一步的恶意软件通常会导致数据盗窃和勒索软件攻击，因此在造成进一步损害之前快速检测 Emotet 恶意软件感染至关重要。

EmoCheck 更新为 64 位版本
2020 年，日本 CERT（计算机应急响应小组）发布了一款名为 EmoCheck 的免费工具，用于扫描计算机以查找 Emotet 感染。

如果检测到一个，它将显示恶意软件感染的完整路径，以便将其删除。

然而，本月早些时候，Emotet 帮派切换到 64 位版本的加载程序和窃取程序，使现有检测变得不那么有用。此外，使用此开关，EmoCheck 工具无法再检测到新的 64 位 Emotet 版本。

本周，JPCERT 发布了 EmoCheck 2.2 以支持新的 64 位版本，现在可以检测它们，如下图所示。

要检查您是否感染了 Emotet，您可以 从日本 CERT 的 GitHub 存储库下载 EmoCheck 实用程序。

下载后，双击 emocheck_x64.exe（64 位版本）或 emocheck_x86.exe（32 位版本），具体取决于您下载的内容

EmoCheck 将扫描 Emotet 木马，如果检测到恶意软件，则显示它正在运行的进程 ID 和恶意软件 DLL 的位置。

Emotet 当前安装在 C:\Users\[username]\AppData\Local 下的随机文件夹中。虽然 Emotet 恶意软件是一个 DLL，但它没有 DLL 扩展名，而是一个随机的三字母扩展名，如 .bbo 或 .qvp。

下面是已安装 Emotet 恶意软件感染的示例。

EmoCheck 还会在包含检测到的信息的程序所在的文件夹中创建一个日志，以便您根据需要引用它。

如果您运行 EmoCheck 并发现您被感染，您应该立即打开任务管理器并终止列出的进程，通常是 regsvr32.exe。

然后，您应该使用受信任的防病毒软件扫描您的计算机，以确保您的设备上尚未安装其他恶意软件。

这个工具对 Windows 管理员来说很方便，他们可以在登录时执行它来检测他们网络上的 Emotet 感染。

根据用户报告提到连接到消息平台的问题以及尽管仍然连接但无法发送消息，WhatsApp 已关闭。

从大约一小时前开始，用户一直在描述他们如何无法再连接到 WhatsApp 的服务器，应用程序显示连续的“正在连接...”消息。

其他人则表示，即使他们的应用程序仍连接到消息传递平台的服务器，他们也无法再发送消息。

在ZZQIDC的测试中，桌面和移动应用程序仍在运行，这表明中断已本地化，不会影响公司在全球的服务。

停机站点 DownDetector 显示了数千个用户报告，这些报告在美国东部标准时间下午 4:15 左右开始流式传输，受影响的 WhatsApp 用户报告了来自欧洲、北美和南美以及亚洲的相同问题。

该公司已在 Twitter 上发表声明，承认停电并表示其工程师正在努力解决持续存在的问题。

“你目前在使用 WhatsApp 时可能会遇到一些问题，”WhatsApp今天早些时候在推特上写道。

“我们知道并正在努力让事情再次顺利进行。我们会及时通知您，同时感谢您的耐心等待。”

10 月初，由于 BGP 路由问题，WhatsApp 与 Facebook 和 Instagram 一起经历了长达五个小时的全球中断。

Facebook后来透露，此次中断是由于对其一些骨干路由器进行了错误的配置更改，导致所有服务停止。

更新：根据 WhatsApp 发布的更新，连接问题现在应该得到修复，用户可以再次回到他们的聊天中。

交付时间1-12个工作日，因畅销产品，可能存在库存不足情况，订购前请咨询
每台服务器每 30 天提供 2 次免费重新安装，超出安装将收取每台服务器 100元费用

交付时间1-3个工作日，因畅销产品，可能存在库存不足情况，订购前请咨询

交付时间1-3个工作日，因畅销产品，可能存在库存不足情况，订购前请咨询

交付时间48个小时内（具体取决于机房）因畅销产品，可能存在库存不足情况，订购前请咨询

交付时间12-48个小时内（具体取决于机房）因畅销产品，可能存在库存不足情况，订购前请咨询

印度，2022 年 4 月 28 日——根据 International 的数据，2021 年，印度国内 IT 和商业服务市场价值 141.5 亿美元，同比增长 7.2%，而 2020 年为 5.3%。数据公司 (IDC) 的全球半年度服务跟踪器。增长率的提高是由于该国企业数字化转型计划的增加。

“随着企业继续增加 IT 投资以提高业务运营的弹性和效率并增强客户体验，印度企业的数字化转型计划在 2021 年继续激增。云、人工智能/机器学习和安全仍然是优先投资领域，由于采用混合工作模式，企业也增加了对工作场所转型项目的投资。随着经济逐渐从 COVID-19 大流行的影响中复苏，由于大流行导致被压抑的需求以及某些地区可自由支配的 IT 支出增加，未来几年的 IT 服务支出将会增加IDC 印度 IT 服务高级市场分析师Harish Krishnakumar说。

在 IT 和商业服务市场中，IT 服务市场贡献了 77.6%，2021 年增长了 7.9%，而 2020 年的增长率为 5.8%。此外，根据 IDC，预计 IT 和商业服务市场将出现强劲增长在未来几年，随着企业继续在云、人工智能/机器学习、安全、应用程序现代化等领域进行投资。IT 和商业服务市场预计在 2021-2026 年间以 8.9% 的复合年增长率增长，达到 21.67 美元到 2026 年底达到 10 亿。

IDC 将 IT 和商业服务市场分为三个主要市场——面向项目的、托管服务和支持服务。2021 年，以项目为导向的服务增长率最高，为 7.9%，其次是托管服务，增长率为 6.9%，支持服务增长率为 6.2%。

随着许多企业继续越来越多地采用云和托管服务，托管应用程序管理和托管基础设施服务继续见证了更高的增长。由于应用程序现代化和采用云和 AI/ML 等新兴技术等举措，对系统集成服务的需求也有所增加。

“虽然 2020 年推动企业专注于生存和业务连续性战略，但印度企业在 2021 年继续投资 IT 服务，因为他们加快了数字化转型之旅。另一方面，IT 服务提供商继续在数字技术上建立能力通过以解决方案/平台为中心的方法。云和安全等领域随着自动化和人工智能继续发展势头。我们认为这种趋势将继续，因为印度企业在朝着成为未来企业的目标前进时将仰望他们的服务提供商， “ IDC 印度企业解决方案和 ICT 实践研究总监Sharath Srinivasamurthy说。

*所有市场规模和增长百分比数字均以不变货币计算。

新发现的名为 Bumblebee 的恶意软件加载程序可能是 Conti 集团的最新开发，旨在取代用于传递勒索软件有效载荷的 BazarLoader 后门。

研究人员表示，3 月份网络钓鱼活动中 Bumblebee 的出现恰逢使用 BazarLoader 传递文件加密恶意软件的下降。

BazarLoader 是 TrickBot 僵尸网络开发人员的工作，他们提供对受害者网络的访问以进行勒索软件攻击。TrickBot 帮派现在为 Conti 集团工作。

在 3 月份的一份关于被追踪为“Exotic Lily”的威胁参与者的报告中，该威胁参与者为 Conti 和 Diavol 勒索软件 操作提供了初始访问权限，谷歌的威胁分析小组表示，该 参与者开始投放 Bumblebee，而不是常规的 BazarLoader 恶意软件，以提供 Cobalt Strike .

大黄蜂送货方式
Cyber​​eason 的首席威胁猎手和恶意软件逆向工程师Eli Salem表示，Bumblebee 的部署技术与 BazarLoader 和 IcedID 的部署技术相同，两者都在过去部署 Conti 勒索软件时见过。

Proofpoint 证实了 Salem 的发现，称他们已经观察到网络钓鱼活动，其中“Bumblebee [被] 多个犯罪软件威胁参与者使用，之前观察到提供 BazaLoader 和 IcedID。”

“使用 Bumblebee 的威胁参与者与与后续勒索软件活动相关联的恶意软件有效负载相关联” - Proofpoint

该公司还指出，“一些通常在恶意软件活动中使用 BazaLoader 的威胁参与者已经过渡到 Bumblebee”，以丢弃 shellcode 以及专为红队安全评估而设计的 Cobalt Strike、Sliver 和 Meterpreter 框架。

同时，自 2 月以来，Proofpoint 的数据中一直缺少 BazaLoader。

在今天的一份报告中，Proofpoint 说它观察到多个电子邮件活动在包含快捷方式和 DLL 文件的 ISO 附件中分发 Bumblebee。

一项活动利用了一个 DocuSign 文档诱饵，该诱饵导致一个 ZIP 存档，其中包含托管在 Microsoft 的 OneDrive 云存储服务上的恶意 ISO 容器。

Proofpoint 说，研究人员表示，恶意电子邮件还包括一个 HTML 附件，该附件作为未付发票的电子邮件出现。

HTML 文件中嵌入的 URL 使用了依赖于 Prometheus TDS （流量分发服务）的重定向服务，该服务根据受害者的时区和 cookie 过滤下载。最终目的地也是 OneDrive 上托管的恶意 ISO。

Proofpoint 研究人员高度自信地将这次活动归咎于网络犯罪组织 TA579。自 2021 年 8 月以来，Proofpoint 一直在跟踪 TA579。该演员在过去的活动中经常提供 BazaLoader 和 IcedID

3 月，Proofpoint 观察到了一场通过目标网站上的联系表格传递 Bumblebee 的活动。这些消息声称该网站使用了被盗图像并包含一个链接，该链接最终传递了一个包含恶意软件的 ISO 文件。

Proofpoint 将此活动归因于该公司自 2020 年 5 月以来跟踪为 TA578 的另一个威胁参与者，并使用电子邮件活动来传播 Ursnif、IcedID、KPOT Stealer、Buer Loader 和 BazaLoader 等恶意软件以及 Cobalt Strike。

研究人员在 4 月份发现了另一场活动，该活动劫持了电子邮件线程，以将 Bumblebee 恶意软件加载程序发送到带有存档 ISO 附件的目标回复中。

尽管尚未找到不可否认的证据，但 Proofpoint 认为，部署 Bumblebee 的威胁参与者是与勒索软件参与者合作的初始网络访问代理。

高度复杂的恶意软件
研究人员一致认为，Bumblebee 是一种“新的、高度复杂的恶意软件加载程序”，它集成了错综复杂的规避技术和反分析技巧，其中包括复杂的反虚拟化方法。

在周四的 技术分析 中，Eli Salem 表明 Bumblebee 的作者使用了来自公开可用的 al-khaser PoC“恶意软件”应用程序的整个反分析代码。

Salem 的代码检查显示，该恶意软件搜索多种工具进行动态和静态分析，它试图通过查找其进程、检查注册表项和文件路径来检测“任何类型的虚拟化环境”。

研究人员指出，他在 Bumblebee 的核心加载程序组件中发现的最有趣的东西之一是存在两个名为 RapportGP.dll 的 32/64 位 DLL 文件，这是 Trusteer 的 Rapport 安全软件使用的名称，用于保护凭据等敏感数据。

在其单独的技术分析中，Proofpoint 发现 Bumblebee 加载程序支持以下命令：

石：shellcode注入
Dij：在其他进程的内存中注入DLL
Dex：下载可执行文件
sdl：卸载加载器
Ins：通过计划任务为加载 Bumblebee 的 Visual Basic 脚本启用持久性
Bumblebee 使用 TrickBot 代码
网络安全公司 Proofpoint 和 Cyber​​eason 的恶意软件研究人员对 Bumblebee 进行了分析，并注意到与

TrickBot 恶意软件在代码、交付方法和丢弃的有效负载方面的相似之处。

在看到两个恶意软件都依赖于相同的挂钩安装机制后，Salem 在 Bumblebee 和 TrickBot 之间建立了连接。

相似之处更进一步，因为 Bumblebee 对 RapportGP.DLL 使用与 TrickBot 相同的规避技术用于其 web-inject 模块。

此外，研究人员发现，这两个恶意软件都试图使用 LoadLibrary 并获取它们想要挂钩的函数的地址。

Salem 说，虽然没有足够的证据表明 Bumblebee 和 TrickBot 的作者相同，但可以假设 Bumblebee 的开发人员拥有 TrickBot 的 web-inject 模块的源代码。

快速恶意软件开发
Bumblebee 正在积极开发中，每次更新都会获得新功能。最近观察到的一个 Proofpoint 是从 4 月 19 日开始的，它支持多个命令和控制 (C2) 服务器

然而，Proofpoint 表示，最重要的发展是通过 RC4 流密码为网络通信添加了一个加密层，它使用硬编码的密钥来加密请求和解密来自 C2 的响应。

另一项修改出现在 4 月 22 日，当时研究人员注意到 Bumblebee 集成了一个线程，该线程可以根据硬编码列表检查恶意软件分析师使用的常用工具。

来源：证明点
Proofpoint 认为，Bumblebee 是一种多功能工具，可用于初始访问受害网络，以便稍后部署其他有效载荷，例如勒索软件。

Proofpoint 威胁研究和检测副总裁 Sherrod DeGrippo 表示：“该恶意软件非常复杂，并表明正在持续积极地开发，引入新的逃避检测方法。”

Cyber​​eason 的 Eli Salem 和 Proofpoint的报告 [ 1 , 2 ] 相隔一天，其中包括对 Bumblebee 恶意软件最重要方面的详细技术分析。

莫斯科地区拥有超过 70% 的国内数据中心市场，其可用机架空间已用完。根据 iKS-Consulting 的统计，如果 2021 年第一季度有 2860 个空位，那么本季度只有 800 个，尽管租用座位的价格上涨了 25%。新数据中心的建设由于设备供应的物流链中断而变得复杂，而且俄罗斯的类似设备通常不符合质量要求。

据生意人报称，剩余的机架空间数量是自 2018 年以来的最低水平。该公司表示，之前宣布的许多建设数据中心的大型项目已经暂停。此类数据由专门针对俄罗斯莫斯科地区商业数据中心市场的 iKS-Consulting 报告提供，该市场占俄罗斯托管服务市场的 72%，可将客户自己的电子设备放置在特殊设备上数据中心运营商的站点。

据研究人员称，托管服务的平均价格平均上涨了 25%，根据一些预测，到 6 月将再增长 25-30%。2021 年，莫斯科地区的数据中心市场总额估计约为 200 亿卢布。包括大约 37,000 个机架，以及全俄罗斯市场 - 48,500 个机架。最大的参与者包括 Rostelecom、DataPro、IXcellerate、Selectel 和 MTS。

在许多方面，价格和需求的增长是由于许多公司鉴于最近发生的事件希望将自己的能力从外国数据中心转移到俄罗斯。值得注意的是，据《生意人报》报道，国外云服务离开国内，刺激了本地云平台的胃口，价格上涨了60-80%。

众所周知，由于施耐德电气、Stulc、Vertiv等制造商与公司之间的合作停止，建设新旧数据中心的设备短缺情况也更加严重。许多亚洲工厂在西方许可证下运营，因此他们被迫加入制裁，而俄罗斯制造商并不总是准备好提供有价值的替代品。

根据莫斯科数据中心网络 3data 的主管 Ilya Khal 的说法，如果 UPS 的情况“还不错”，那么“现在最糟糕的是制冷设备——冷却器和氟利昂系统。市场上数量极少，品质上落后于国外。与此同时，交货期延长了六到九个月。

一种或另一种方式，记录了对国内解决方案的需求。据生产气候控制及相关设备的 Refcool 公司称，数据中心市场与去年相比增长了四倍，到 2022 年底可以增长 10 倍，尽管该公司已经提价了25-30%。