1.某军工企业被美、俄两国攻击
据卡巴斯基实验室的安全研究人员库尔特·鲍姆加特纳发现的证据显示,美国和俄罗斯在刚刚过去的这个冬天入侵了一家航空航天军事企业的服务器, 留下了网络工具,卡巴斯基目前未透露这家企业的名称。鲍姆加特纳表示,这种情况比较罕见,以前从未发现俄罗斯组织APT28与美国 CIA 组织 Lamberts (又被称为“长角牛”Longhorn)攻击同一个系统。
工具暴露身份
研究人员发现攻击这台服务器使用的工具与 Lamberts 和 APT28 有关。研究人员表示,Lamberts 使用数据嗅探器被动收集信息,但目前尚不清楚嗅探到了哪些数据。这些嗅探工具与泄露的 Vault 7文件有关。
鲍姆加特纳表示,APT28 在这台服务器上留下了一些已知的模块,包括键盘记录器、文件窃取器和远程访问软件。研究人员之所以判定这些工具属于该组织,是因为 APT28 使用了一种只有他们曾使用过的加密技术。
目前尚不清楚 Lambert 和 APT28 是否分别入侵了这台服务器,或其中一个组织借用了另一方的代码。
APT28转向亚洲 目标存在重叠
APT28 主要将目标瞄向美国和欧洲的目标,尤其与北约有关的西方目标,但卡巴斯基表示,这并非 APT28 的所有目标。2017年至2018年,多个不同的组织在中亚和东亚的攻击目标似乎存在重叠现象。APT28 一直对该地区的军事和外交事务组织机构备感兴趣,该组织与其它组织的目标存在重叠和竞争的现象:
Mosquito Turla 和 Zebrocy – APT28 利用 Zebrocy 工具瞄准欧洲和亚洲的外交和商业组织机构,这些攻击目标与 Mosquito Turla 一致。
SPLM 与传统的 Turla 存在重叠,Turla 常先于 SPLM 部署。
SPLM 与 Zebrocy重叠,Zebrocy 常先于 SPLM 部署。
SPLM 与 Danti 存在重叠。
目前,APT28 主要使用 SPLM 工具攻击大型航空航天国防商业组织机构,并将 Zebrocy 的攻击重点转移至亚美尼亚、土耳其、哈萨克斯坦、塔吉克斯坦、阿富汗、蒙古、和日本。此前,另一家安全厂商曾发布报告推测,APT28 对的大学感兴趣,但这份报告已被删除。APT28 此次针对一家航空航天军事企业,该组织可能觊觎的军事技术。
APT28 此次攻击的目标曾是美国 CIA Lamberts 的目标。APT28 在该系统上的模块似乎从未接触磁盘,与 Linux Fysbis 代码类似。研究人员未在这目标系统上发现完整的 SPLM 后门,也没有发现任何 Powershell 加载脚本,这一点非同寻常。因为在这样一个独特的系统中,注入源头仍然未知,研究人员为此提出几种假设:
APT28 记录了 Grey Lambert 的远程会话,并在发现这个主机后重播了通信,实际上是攻击了系统上的 Grey Lambert 模块获取访问权限,之后再注入 SPLM 模块。
Grey Lambert 插上“假旗”,减少 SPLM 模块。
SPLM 的新变种设法将模块代码注入内存,并自行删除。
利用新型 Powershell 脚本或存在漏洞的合法 Web 应用程序加载并执行这个不同寻常的 SPLM 代码。
研究人员认为,最后一种假设的可能性最大。鲍姆加特纳表示,CIA 和 APT28 均攻击了这台服务器上易遭受攻击的 Web 应用程序,但拒绝透露具体的应用名称。
CIA 拒绝就卡巴斯基的发现做出评论。
近期,工业和信息化部信息化和软件服务业司就筹建全国区块链和分布式记账技术标准化技术委员会事宜开展专题研究。
目前,国际标准化组织(ISO)、国际电信联盟(ITU)、万维网联盟(W3C)等国际标准化机构纷纷启动区块链标准化工作。ISO成立了专注于区块链领域的技术委员会TC 307(区块链与分布式记账技术技术委员会),开展基础、身份认证、智能合约等重点方向的标准化工作。我国以参与国(P成员)身份参加相关标准化活动,取得了积极进展。
为尽快推动形成完备的区块链标准体系,做好ISO/TC 307技术对口工作,部信息化和软件服务业司指导电子技术标准化研究院提出全国区块链和分布式记账技术标准化技术委员会组建方案。下一步,部信息化和软件服务业司将积极推动相关工作,加快推动标委会成立,更好的服务区块链技术产业发展。
之前人们普遍认为 MacOS 是 Windows 10 的安全替代品,因为 Apple 的操作系统不会受到病毒的感染。就安全性而言,Windows 和 MacOS 的安全性之争现在已经不再那么有意义了,因为两个平台都受到越来越多的恶意软件的攻击。
根据 Malwarebytes 安全报告显示,去年苹果公司桌面操作系统的恶意软件威胁增长率不低于 270%,并且今年年初发现了一共四个不同的重大安全漏洞。换句话说,MacOS 恶意软件在 2018 年的发展有可能持续增长,用户需要更加关注他们的网络安全。
Malwarebytes 以 OSX.MaMi 恶意软件为例,这种恶意软件试图引导用户互联网流量到钓鱼网站,并且劫持 DNS 设置。其它恶意软件如 Dark Caracal、OSX.CreativeUpdate 和 OSX.Coldroot
再次损害 MacOS 的安全性,正在运行苹果桌面操作系统的用户应该更加谨慎针,不要从不受信任的来源打开内容或访问他们不知道的网站。
Malwarebytes 表示,普通的 Mac 用户无法抵御恶意软件感染,更不用说广告软件和 PUP 带来的更常见威胁。苹果公司本身承诺在即将发布的版本中提高其安全性,因为 MacOS 和 iOS 在过去几个月中都遭受了几个主要漏洞的攻击。因此,苹果有望减少对新功能的关注,并花更多时间提升安全性和性能。
微软当地时间2018年3月7日发布博文称发现大规模加密货币挖矿企图,Dofoil木马变种携带挖矿程序的 Payload 滥用受害者的CPU进行挖矿,仅用12个小时就感染了近50万台设备,微软表示这一活动已被 Windows Defender(Windows 7、8.1和10)阻止。
Dofoil(又名 Smoke Loader)是一款用来下载其它恶意软件的应用程序,2011年开始浮出水面。这款软件通常通过垃圾邮件活动和漏洞利用工具进行传播。当 Dofoil 安装就绪后,便会用命令与控制(C&C)服务器的最近更新将自己替换,从而加大检测难度。
Windows Defender 3月6日利用基于行为的信号和机器学习模型检测到约8万个 Dofoil 变种实例,随后在12小时内实例数量猛增至40多万个。这波攻击主要针对的是俄罗斯、土耳其和乌克兰的计算机,其比例分别为73%、18%和4%。
在这起攻击中,Dofoil 被发现在受感染的以太币挖矿电脑中释放挖矿程序,将其作为 Payload,从而滥用受害者的 CPU。为了躲避检测,这些变种将自己伪装成合法的 Windows 二进制文件,实则携带有加密货币挖矿 Payload。研究人员指出,Dofoil 木马使用代码注入技术,利用恶意代码生成一个合法进程的新实例以便运行恶意代码,欺骗进程工具以及反病毒工具,让其误以为运行的是原进程。
微软方面表示,运行 Windows 7、8.1和10的用户受到 Windows Defender AV 或 Microsoft Security Essentials 的保护,建议用户升级到最新的操作系统。
大家都在看