6月6日，星期一，您好！中科汇能与您分享信息安全快讯：

• 前OpenSea产品负责人被控NFT内幕交易

Nathaniel Chastain被美国司法部逮捕，指控NFT内幕交易。他是世界最大NFT市场OpenSea的前产品负责人，据调查他利用职务之便获得的机密信息私下购买了45个NFT并添加到市场首页，接着在热度起来价格暴涨的时候卖出赚差价获取巨额利润。借助OpenSea的巨大流量，这些NFT很快就会涨到原先2-5倍的价格，他卖出NFT后还使用匿名账户和新加密货币钱包试图掩盖踪迹。起诉书认定他入职时签署了书面协议要求只能为利益和市场使用这些数据但显然他并未遵守，这些行为可能为他带来20年的监狱生活。

• 数百ES数据库遭勒索软件攻击

勒索软件大趋势逐渐转向非针对性攻击后，暴露在互联网上的ES数据库也遭殃了。近期有数百个ES数据库遭同一伙黑客勒索攻击，450个索引加密，每个需要620美元解锁，全部解锁总价高达28万美元。黑客还设置了7天的考虑时间，并威胁赎金将逐步提升，一周后不付钱数据就别想了。据称支付赎金后他们将拿到数据库转储的下载链接，自己下载自己恢复就行。目前安全研究员监测到黑客的加密货币钱包已收到一笔汇款，考虑到解锁成本相比其他勒索软件及数据库恢复成本并不是特别高，后续可能会有不少受害者会选择花钱消灾。

• FBI突然袭击扣押三个黑客使用的域名

FBI配合美国司法部搞突然袭击，强行夺取三个黑客使用的域名，暂时阻断了黑客的数据泄露行为和DDoS广告。其中一个域名最为简单粗暴：weleakinfo.to，生怕别人不知道这是个数据泄露网站。该网站提供信息查询服务，可以检索上万起数据泄露事件相关敏感信息，涉及70亿条数据。另两个域名ipstress.in和ovh-booter.com则提供DDoS攻击服务，可任意指定目标发动DDoS攻击。美国检察官马修盛赞此次执法行动，称FBI与司法部制止了两个令人痛心的常见威胁，他们将解决威胁全球隐私、安全和商业和犯罪。此次行动警方还逮捕了一名嫌疑人，正在进行讯问。

• 美国政府认为向Karakurt勒索组织支付赎金也无法避免数据泄露

美国联邦机构警告公司不要向Karakurt勒索组织支付赎金，就算付了这些数据还是会被卖给其他人。Karakurt源自Conti勒索软件团队数据勒索部，自21年6月起专注窃取数据以公开内容来威胁企业支付赎金，巅峰时两个月时间成功勒索40多家企业。与其他勒索软件不同，他们窃取但不加密，通过企业支付赎金删除数据或卖给商业对手盈利。但FBI、CISA、财政部和FinCEN近日联合发布声明，要求企业不要向Karakurt勒索组织支付赎金，据他们分析Karakurt通常会夸大窃取数据的量来拉高赎金，并且收到赎金后依然把数据卖给竞争对手。不知道这个要求和Karakurt具有俄罗斯背景有没有联系。

• RuneScape钓鱼攻击活动为窃取游戏物品煞费苦心

RuneScape虽然年代久远但活跃玩家仍众多，黑客就看准了这点对玩家疯狂钓鱼攻击。安全研究员注意到这次钓鱼攻击还是因为它太用心太优秀了，从众多粗糙钓鱼攻击中脱颖而出。攻击第一步是冒充RuneScape开发商Jagex发邮件，假称绑定电子邮件地址已更改，接着提供钓鱼链接来让受害者“取消更改”，点击之后就开始露出真面目。跳转后，受害者将看到一个从域名到界面都和原版极致相似的钓鱼网站，要求受害者通过用户名和密码进行登录，甚至还提供了OAuth登录方式。受害者“登录”后，为了成功窃取游戏道具，还要求输入游戏内银行PIN码，本来很合理的行为放在这却相当致命，待再次输入后所有游戏道具就不保了。

• 悄无声息，Google已禁止Colab上的Deepfake项目

有消息显示，Google已于近日悄悄禁止了其在 Colaboratory（Colab）服务上的深度伪造（Deepfake）项目，这代表以Deepfake为目的大规模利用平台资源的时代或已画上句号。众所周知，Colab是一个在线计算资源平台，允许研究人员直接通过浏览器运行Python代码，同时使用包括GPU在内的免费计算资源来支持自己的项目。正由于GPU的多核特性，Colab是类似Deepfake模型机器学习项目或执行数据分析理想选择。经过一定训练，人们将Deepfake技术用于在视频片段中交换面孔，并添加真实的面部表情，几乎能够以假乱真。然而，这项技术时常被用于传播假新闻，制作复仇色情片，抑或用于娱乐目的。在实际运用中缺乏伦理限制一直是这项技术存在争议的根源。

• 零日漏洞积极利用，或影响多个Microsoft Office版本

近日，网络安全研究员nao_sec发现了一个从白俄罗斯上传至分析服务网站VirusTotal的恶意Word文档（文件名为" 05-2022-0438.doc "）。这个文档使用远程模板特性获取HTML，然后使用“ms-msdt”方案执行PowerShell代码。随后，知名网络安全专家Kevin Beaumont发表了对该漏洞的分析。“该文档使用 Word远程模板功能从远程网络服务器检索HTML文件，该服务器又使用ms-msdt MSProtocol URI方案加载一些代码并执行一些 PowerShell”，在他的分析中这样写道，“这里发生的一些事情比较复杂，而首当其冲的问题是即使禁用了宏，Microsoft Word 也会通过msdt（一种支持工具）执行代码。受保护的视图确实起了作用，可尽管如果您将文档更改为RTF形式，它甚至无需打开文档，仅通过资源管理器中的预览选项卡即可运行，更不用说受保护的视图了。”据了解，该零日漏洞会影响多个Microsoft Office版本，包括Office、Office2016和Office 2021。

• FluBot 移动恶意软件席卷欧洲，安卓苹果都不放过

银行木马 FluBot 正在针对全欧洲发起一场新型诈骗攻击，从欧洲的这头到那头，将窃取数据的恶意软件植入受害者的手机中。复活节前后，罗马尼亚率先出现了 FluBot 的踪迹。本次攻击使用的诈骗方式与此前相同，都是利用虚假短信，特别是语音消息。安卓用户仍然是攻击的主要目标，但本次攻击中安卓用户与苹果用户受到的诈骗短信数量几乎持平。

• EnemyBot恶意软件增加了针对VMware等关键漏洞的攻击

EnemyBot是一个基于多个恶意软件代码的僵尸网络，它通过迅速增加对最近披露的网络服务器、内容管理系统、物联网和Android设备的关键漏洞的利用来扩大其影响范围。该僵尸网络于3月由 Securonix 的研究人员首次发现，在4份对Fortinet的新样本进行分析时，发现EnemyBot已经集成了十几种处理器架构的漏洞。它的主要目的是发起分布式拒绝服务 (DDoS) 攻击，同时还具有扫描新目标设备并感染它们的模块。通过查看较新版本的恶意软件支持的命令列表，RSHELL脱颖而出，它被用于在受感染的系统上创建反向shell，这允许威胁参与者绕过防火墙限制并访问受感染的机器。

• Telegraph在网络钓鱼中或早已滥用成灾

近日，有观察人士发现，通讯软件Telegram的匿名博客平台Telegraph可能正被网络钓鱼者积极利用，他们利用宽松的平台政策建立临时登陆页，从而盗取用户的账户凭证。在博客平台Telegraph上，任何人都可以在无需创建账户或提供任何身份信息的情况下发布任何内容。虽然这为信息发布者提供了良好的隐私保护，但这也可能将造成非常广泛的威胁。由于Telegraph的编辑器支持添加图片、链接，并提供文本格式选项，攻击者可以轻易地使博文看起来像一个网页或者登录表单。通常情况下，Telegraph博文在发布后会生成一个链接，而攻击者可以以任何方式转发这个链接。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮

本文版权归原作者所有，如有侵权请联系我们及时删除