每日安全资讯（2022.05.30）

意大利政府5月25日发布《2022至2026年意大利国家网络安全战略》及《2022至2026年意大利国家网络安全战略实施计划》，公开了意大利未来几年的网络态势路线图。该战略提出意大利面临三大方面网络安全威胁，包括：一是网络犯罪分子、黑客活动分子或协调国家活动所发动网络攻击；二是政府控制或影响公司所开发技术对供应链造成的干扰；三是虚假信息活动、假新闻、“深度造假”和通过网络领域传播错误信息来操纵和分化公众舆论。同时提出五大应对支柱：一是确保公共部门和行业数字化转型的网络弹性；二是实现国家和欧洲数字战略自主权；三是预测网络威胁的演变；四是建立有效的网络危机管理机制；五是处理与混合威胁有关的在线虚假信息。

（来源：https://ti.nsfocus.com/security-news/IlNxT）

据Bleeping Computer网站5月25日消息，一种名为“Cheers”的新型勒索软件出现在网络犯罪领域，目标是针对易受攻击的VMware ESXi服务器。根据研究人员的研究，Cheers似乎于2022年3月开始运作，虽然迄今为止只发现了 Linux勒索软件版本，但不排除也存在针对Windows系统的变体。研究人员发现了Cheers的数据泄露和受害者勒索Onion网站，该网站目前仅列出了四名受害者。但该门户的存在表明Cheers在攻击期间执行数据泄露，并将被盗数据用于双重勒索攻击。

（来源：https://ti.nsfocus.com/security-news/IlNxO）

Bleeping Computer 网站披露，美国联邦贸易委员会（FTC）将对推特处以 1.5 亿美元巨额罚款，原因是该公司将收集到的电话号码和电子邮件地址，用于定向广告投放。根据法庭披露出的信息来看，自 2013 以来，Twitter 以保护用户账户为理由，开始要求超过了 1.4 亿用户提供个人信息，但并没有告知用户这些信息也将允许广告商向其投放定向广告。FTC 主席 Lina M. Khan 表示，Twitter 以进行安全保护为由，从用户处获得数据，但最后也利用这些数据向用户投放广告，这种做法虽然提高了 Twitter 的收入来源，但也影响了超过 1.4 亿 Twitter 用户，1.5 亿美元的罚款侧面反映了 Twitter 这一做法的严重性。

（来源：https://ti.nsfocus.com/security-news/IlNxQ）

由于多年来越来越流行的大型狩猎 (BGH) 计划，攻击者已经渗透到越来越复杂的系统环境中。为了造成尽可能多的破坏并使恢复变得非常困难，他们试图对尽可能多的系统进行加密。这意味着他们的勒索软件应该能够在不同的架构和操作系统组合上运行。克服这个问题的一种方法是使用“跨平台编程语言”（例如 Rust 或 Golang）编写勒索软件。使用跨平台语言还有其他几个原因。例如，即使勒索软件目前可能针对一个平台，但将其写入跨平台可以更容易地将其移植到其他平台。另一个原因是跨平台二进制文件的分析比用纯 C 编写的恶意软件要难一些。

（来源：https://ti.nsfocus.com/security-news/IlNxR）

本文会详细介绍针对华硕路由器的 Cyclops Blink 恶意软件变种的技术能力，并包括 150 多个当前和历史命令和控制 (C&C) 服务器的 Cyclops Blink 僵尸网络的列表。最近一个名为Cyclops Blink的模块化僵尸网络对诸多型号的华硕路由器发起了攻击。自2019年首次出现以来，该僵尸网络最初针对的是WatchGuard Firebox设备。根据英国国家网络安全中心 (NCSC) 进行的分析，Cyclops Blink 是一种高级模块化僵尸网络，据报道与 Sandworm 或 Voodoo Bear 高级持续威胁 (APT) 组织有关，最近已被用于攻击 WatchGuard Firebox 设备。我们获得了针对华硕路由器的 Cyclops Blink 恶意软件系列的变种。

（来源：https://ti.nsfocus.com/security-news/IlNxU）

Batfish是一款功能强大的网络配置安全分析工具和网络验证工具，该工具能够帮助广大研究人员寻找目标网络系统中的配置问题，并能够根据设备配置构建基于网络行为的完整模型，以及自动识别违反网络策略、用户定义和最佳实践的恶意行为。

（来源：https://ti.nsfocus.com/security-news/IlNxV）

攻击者正在利用带有隐藏恶意 PHP 脚本的图片文件来操纵电子商务结帐网站并捕获支付卡信息。据微软称，刷卡恶意软件越来越多地在 Web 服务器上使用恶意 PHP 脚本来修改支付站点并绕过由 JavaScript 代码激活的浏览器保护措施。据研究人员称，窃取卡片的恶意软件已经改变了它的方法。在过去的十年中，所谓的 Magecart 恶意软件一直主导着卡片浏览，该恶意软件使用 JavaScript 代码将脚本注入结帐页面并传输恶意软件来获取和窃取支付卡信息。据研究人员称，将 JavaScript 注入前端进程非常明显，因为它可能触发了浏览器防御，例如内容安全策略 (CSP)，它会阻止加载外部脚本。

（来源：https://ti.nsfocus.com/security-news/IlNxL）

哥斯达黎加发生了前所未有的事件。5月12日，该国总统宣布进入国家紧急状态。几天后，他宣布该国处于战争状态；与网络犯罪集团的战争——孔蒂。这是在 Conti 集团入侵并加密哥斯达黎加至少 27 个政府机构之后发生的。此外，虽然政府决定不支付赎金，但该组织宣布其目标是推翻哥斯达黎加政府，并呼吁其公民上街更换政府。这可能始于常规的勒索软件攻击，但很快就变成了一种新型事件，具有重大的财务和地缘政治后果。在这种情况下，孔蒂和哥斯达黎加都将美国带到了舞台上，这完全符合该集团的亲俄议程。即使所有这些事件只是重建 Conti 运营的烟幕，该组织已经表明国家勒索是可能的，并且网络犯罪组织可以成为地缘政治领域的参与者。

（来源：https://ti.nsfocus.com/security-news/IlNxM）

在日常渗透测试时，时常发现有些工具用着不很顺手——参数太多记不住、想用的功能还要收费、明明存在问题的地方用工具测试居然报错、不支持跨平台......这些不方便的地方又增强了作者写一个工具的想法。

（来源：https://ti.nsfocus.com/security-news/IlNxW）

据调查，相较年初以来的稳定，ChromeLoader恶意软件的数量在本月有所上升，这将导致浏览器劫持成为一种普遍的威胁。ChromeLoader是一种浏览器劫持程序，它可以修改受害者的网络浏览器设置，以宣传不需要的软件、虚假广告，甚至会在搜索页面展示成人游戏和约会网站。威胁行为者将用户流量重定向到广告网站，通过营销联盟系统获得经济收益。虽然这类劫持者并不少见，但ChromeLoader因其持久性、数量和感染途径而脱颖而出，其中包括对滥用PowerShell。

（来源：https://ti.nsfocus.com/security-news/IlNxN）