REvil勒索软件成员被引渡到美国,接受Kaseya攻击审判

阅读量    70114 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

第237期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、REvil勒索软件成员被引渡到美国,接受Kaseya攻击审判

美国司法部宣布,被指控的REvil勒索软件成员Yaroslav Vasinskyi已于上周被引渡至美国,接受Kaseya网络攻击案的审判。

Vasinskyi如今22岁,来自乌克兰,于202111月被捕。他作为REvil成员参与了波兰的网络犯罪活动,其任务是破坏全球企业网络,窃取未加密的数据后加密网络上的所有设备。

据说,Vasinskyi长期为REvil服务,他参与了至少九起针对美国公司的勒索软件攻击。

他被捕后的起诉书证实了他的11项罪名,如果这些罪名成立,他将被判处115年监禁,此外,他的所有财产和金融资产也将被没收。[阅读原文]

 

2、俄罗斯创建自己的TLS证书颁发机构以绕过制裁

俄罗斯创建了自己的TLS证书颁发机构(CA),用以解决在制裁限制证书更新后,不断累积的网站访问问题。

西方公司和政府实施的制裁限制了俄罗斯网站更新现有的TLS证书。这导致浏览器无法访问证书过期的网站。

TLS证书用于使web浏览器确认那些域属于已验证的实体,为用户和服务器之间的信息交换加密提供了保障。

由于对俄罗斯实施制裁的国家签名机构不再接受对其服务的付款,许多网站无法更新过期的证书。而证书过期后Google ChromeSafariMicrosoft EdgeMozilla Firefox等网页浏览器将显示页面不安全页面警告,这可能导致其用户流失。

目前,认为俄罗斯新Certificate AuthoritiesCA)值得信赖的网络浏览器是Yandex浏览器和Atom产品,因此俄罗斯鼓励用户使用这些浏览器。

俄罗斯媒体还发布了一份名单,其中有198个域名收到了使用国内TLS证书的通知,但目前尚未强制使用。[阅读原文]


 

3、英特尔、AMD、Arm 警告新的推测性执行 CPU 错误

安全研究人员发现了一种新方法,可以绕过现有的基于硬件的防御,在英特尔、AMDArm的计算机处理器中进行推测性执行。

近期,这三家CPU制造商发布了相关建议,用以解决此类可能泄露敏感信息的问题。

VUSec的研究人员在一份技术报告中详细介绍了一种新的方法,通过利用他们所说的分支历史注入(BHI)绕过现有的缓解措施。

英特尔对这一发现做出了回应,分配了两个中等严重程度的漏洞CVE-2022-0001CVE-2022-0002,并建议用户在特权模式下禁用托管运行时候的访问。

之后,供应商发布了基于软件的缓解措施,如“Retpoline”,将间接分支与推测性执行隔离开来。芯片制造商还通过硬件修复了此类问题,例如,英特尔的EIBRArmCSV2[阅读原文]

 

4、用于传播Bazar恶意软件的公司“网站联系表格”

隐匿行迹的BazarBackdoor恶意软件如今不是通过典型的网络钓鱼电子邮件,而是通过“网站联系表格”传播。这是一种逃避安全软件检测看的巧妙方式。

BazarBackdoor是由TrickBot组织创建的,它是一种隐形的后门恶意软件,现在由Conti勒索软件操作开发。此恶意软件为黑客提供对内部设备的远程访问,支持在网络内进一步地横向移动行为。

BazarBackdoor通常通过网络钓鱼电子邮件传播,其中包含下载和安装恶意软件的恶意文档。然而,随着安全电子邮件门路在检测恶意软件方面变得更好,恶意软件分销商也在转而考虑以其他策略传播恶意软件。[阅读原文]

 

5、伪装成安全工具的恶意软件以乌克兰IT兵团为目标

上个月,乌克兰政府宣布组建一支新的IT兵团,由世界各地的志愿者组成,对俄罗斯实体进行网络攻击和DDoS攻击。

与恶意软件分销商一样,黑客利用IT大军,在Telegram上推广一种虚假的DDoS工具,安装密码和信息窃取木马。

Cisco Talos发布的一份新报告中,研究人员警告称,黑客正在模仿一种名为解放者DDoS工具,这是一种用于攻击俄罗斯宣传机构的网站轰炸机。

投放在受害者系统上的恶意软件在执行前会进行反调试检查,然后按照进程注入步骤将Phoenix信息窃取程序加载到内存中。

Phoenix首次出现于2019年夏天,在地下网络犯罪网站上以MaaS(恶意软件即服务)的形式出售,每月15美元,终身订阅80美元。

信息窃取者可以从web浏览器、VPN工具、Discord、文件系统位置和加密货币钱包中收集数据,并将它们发送到远程地址,在本例中显示的是俄罗斯IP

Talos研究人员发现,这一IP自2021年11月以来一直在分发Phoenix。最近的主题变化表明,这场运动只是利用乌克兰战争谋取经济利益的机会主义企图。[阅读原文]

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多