REvil勒索软件成员被引渡到美国，接受Kaseya攻击审判

 

1、REvil勒索软件成员被引渡到美国，接受Kaseya攻击审判

美国司法部宣布，被指控的REvil勒索软件成员Yaroslav Vasinskyi已于上周被引渡至美国，接受Kaseya网络攻击案的审判。

Vasinskyi如今22岁，来自乌克兰，于2021年11月被捕。他作为REvil成员参与了波兰的网络犯罪活动，其任务是破坏全球企业网络，窃取未加密的数据后加密网络上的所有设备。

据说，Vasinskyi长期为REvil服务，他参与了至少九起针对美国公司的勒索软件攻击。

他被捕后的起诉书证实了他的11项罪名，如果这些罪名成立，他将被判处115年监禁，此外，他的所有财产和金融资产也将被没收。[阅读原文]

 

2、俄罗斯创建自己的TLS证书颁发机构以绕过制裁

俄罗斯创建了自己的TLS证书颁发机构（CA），用以解决在制裁限制证书更新后，不断累积的网站访问问题。

西方公司和政府实施的制裁限制了俄罗斯网站更新现有的TLS证书。这导致浏览器无法访问证书过期的网站。

TLS证书用于使web浏览器确认那些域属于已验证的实体，为用户和服务器之间的信息交换加密提供了保障。

由于对俄罗斯实施制裁的国家签名机构不再接受对其服务的付款，许多网站无法更新过期的证书。而证书过期后Google Chrome、Safari、Microsoft Edge和Mozilla Firefox等网页浏览器将显示页面不安全页面警告，这可能导致其用户流失。

目前，认为俄罗斯新Certificate Authorities（CA）值得信赖的网络浏览器是Yandex浏览器和Atom产品，因此俄罗斯鼓励用户使用这些浏览器。

俄罗斯媒体还发布了一份名单，其中有198个域名收到了使用国内TLS证书的通知，但目前尚未强制使用。[阅读原文]

 

3、英特尔、AMD、Arm 警告新的推测性执行 CPU 错误

安全研究人员发现了一种新方法，可以绕过现有的基于硬件的防御，在英特尔、AMD和Arm的计算机处理器中进行推测性执行。

近期，这三家CPU制造商发布了相关建议，用以解决此类可能泄露敏感信息的问题。

VUSec的研究人员在一份技术报告中详细介绍了一种新的方法，通过利用他们所说的分支历史注入（BHI）绕过现有的缓解措施。

英特尔对这一发现做出了回应，分配了两个中等严重程度的漏洞CVE-2022-0001和CVE-2022-0002，并建议用户在特权模式下禁用托管运行时候的访问。

之后，供应商发布了基于软件的缓解措施，如“Retpoline”，将间接分支与推测性执行隔离开来。芯片制造商还通过硬件修复了此类问题，例如，英特尔的EIBR和Arm的CSV2。[阅读原文]

 

4、用于传播Bazar恶意软件的公司“网站联系表格”

隐匿行迹的BazarBackdoor恶意软件如今不是通过典型的网络钓鱼电子邮件，而是通过“网站联系表格”传播。这是一种逃避安全软件检测看的巧妙方式。

BazarBackdoor是由TrickBot组织创建的，它是一种隐形的后门恶意软件，现在由Conti勒索软件操作开发。此恶意软件为黑客提供对内部设备的远程访问，支持在网络内进一步地横向移动行为。

BazarBackdoor通常通过网络钓鱼电子邮件传播，其中包含下载和安装恶意软件的恶意文档。然而，随着安全电子邮件门路在检测恶意软件方面变得更好，恶意软件分销商也在转而考虑以其他策略传播恶意软件。[阅读原文]

 

5、伪装成安全工具的恶意软件以乌克兰IT兵团为目标

上个月，乌克兰政府宣布组建一支新的IT兵团，由世界各地的志愿者组成，对俄罗斯实体进行网络攻击和DDoS攻击。

与恶意软件分销商一样，黑客利用IT大军，在Telegram上推广一种虚假的DDoS工具，安装密码和信息窃取木马。

在Cisco Talos发布的一份新报告中，研究人员警告称，黑客正在模仿一种名为“解放者”的DDoS工具，这是一种用于攻击俄罗斯宣传机构的网站轰炸机。

投放在受害者系统上的恶意软件在执行前会进行反调试检查，然后按照进程注入步骤将Phoenix信息窃取程序加载到内存中。

Phoenix首次出现于2019年夏天，在地下网络犯罪网站上以MaaS（恶意软件即服务）的形式出售，每月15美元，终身订阅80美元。

信息窃取者可以从web浏览器、VPN工具、Discord、文件系统位置和加密货币钱包中收集数据，并将它们发送到远程地址，在本例中显示的是俄罗斯IP。

Talos研究人员发现，这一IP自2021年11月以来一直在分发Phoenix。最近的主题变化表明，这场运动只是利用乌克兰战争谋取经济利益的机会主义企图。[阅读原文]