安全资讯报告

微软仍然是网络钓鱼攻击中被冒充次数最多的品牌

网络安全公司Check Point的一份报告显示，在全球近29%的网络钓鱼攻击中，微软是被模仿最多的品牌，尽管速度较慢，低于2021年第二季度的45%。

来自Check Point Research的网络安全专家分析了2021年第三季度发送的网络钓鱼电子邮件，发现WhatsApp、LinkedIn和Facebook首次进入了今年十大最受冒充品牌名单。

犯罪分子试图通过使用与正版网站相似的域名或网址以及网页设计来模仿知名品牌的官方网站。虚假网站的链接可以通过电子邮件或短信发送给目标个人，用户可以在网页浏览期间被重定向，或者它可能由欺诈性移动应用程序触发。

登宾斯基断言，当涉及到似乎来自Facebook或WhatsApp等社交媒体渠道的任何电子邮件或其他通信时，用户应该保持警惕。

新闻来源： 

https://indianexpress.com/article/technology/tech-news-technology/microsoft-continues-to-be-the-most-impersonated-brand-of-all-phishing-attacks-check-point-research-7580422/

卡巴斯基专家强调中东是最容易受到APT攻击的地区

卡巴斯基研究人员发布了49份威胁情报报告，作为对阿拉伯联合酋长国网络攻击相关调查的结果，这是所有中东国家中报告数量最多的。第二高的是沙特阿拉伯，有39份报告，其次是埃及，有30份报告。科威特和阿曼紧随其后，各有21份报告，而约旦则有20份报告。发布的其他调查报告来自伊拉克、卡塔尔和巴林，每个国家都有不到20份报告。

由于地缘政治因素，中东地区一直是此类针对性攻击的温床。卡巴斯基调查的最多的APT攻击主要针对政府机构：政府机构的目标最多，其次是外交机构、教育和电信机构。名单上的其他目标行业包括金融机构、IT公司、医疗保健、律师事务所、军事和国防。

新闻来源： 

https://www.zawya.com/mena/en/press-releases/story/Kaspersky_experts_highlight_the_Middle_Easts_most_vulnerable_countries_to_APTs-ZAWYA20211019114847/

微软签名的Rootkit正在针对中国的游戏环境

研究人员已经发现一个带有微软有效数字签名的rootkit正在中国的游戏环境中分发。

研究人员在一份新报告中表示，名为FiveSys的rootkit被用于将流量重定向到攻击者控制的自定义代理服务器，并且很可能由对中国游戏市场非常感兴趣的威胁行为者操作。一年多来，rootkit一直以用户为目标；安全供应商表示，使用它的主要动机似乎是凭据盗窃和应用内购买劫持。

FiveSys是安全研究人员近几个月公开报告的第二个由微软签名的恶意软件。今年6月，G-Data宣布它已经观察到一个名为Netfilter的rootkit，它与FiveSys一样针对中国的游戏玩家。

“Rootkit是网络犯罪集团武器库中最强大、最令人垂涎的工具之一”，因为它们可以完全控制受感染的设备，Botezatu说。攻击者实现这种控制级别的最有效方法之一是通过公司的第三方软件验证程序潜入rootkit，就像攻击者瞄准Microsoft的驱动程序认证过程一样。同样，Android恶意软件开发人员正试图将恶意内容潜入官方移动应用程序市场。

新闻来源：

https://www.darkreading.com/attacks-breaches/microsoft-signed-rootkit-targets-gaming-environments-in-china

安全漏洞威胁

“鱿鱼游戏”恶意软件已经登陆安卓手机

Squid Game是Netflix有史以来最大的原创作品，据报道自大约一个月前发行以来，超过三分之二的订阅者都在观看该节目。这一成功意味着数百万人现在投资于Squid Game电影世界，渴望以任何可能的形式获得更多内容。

一个恶意的人（或一群人）通过创建一个充满恶意软件的鱿鱼游戏主题的Android应用程序来利用这种强烈的兴趣。据福布斯报道，该应用程序将自己定位为一个充满鱿鱼游戏插图的壁纸应用程序——但它最终只不过是恶意软件注入的前沿。

该应用程序的隐藏意图被名为@ReBensk的Twitter用户发现，然后由ESET恶意软件研究员Lukas Stefanko进行调查。Stefanko昨天在推特上表示，在Android设备上运行该应用程序可能会导致恶意广告欺诈（其中使用虚假印象数夸大广告收入）或不需要的SMS订阅。

在得知该应用程序存在后，谷歌将其从Play商店中删除。但是到那时已经有超过5,000人下载了它，这使得著名的Joker恶意软件能够进入他们的设备。

新闻来源：

https://www.inputmag.com/tech/squid-game-malware-has-already-arrived-on-android-phones

谷歌：YouTubers的帐户被cookie窃取恶意软件劫持

谷歌表示，在出于经济动机的威胁行为者协调的网络钓鱼攻击中，YouTube创作者已成为窃取密码的恶意软件的目标。

谷歌威胁分析小组(TAG)的研究人员于2019年底首次发现了该活动，他们发现，这些攻击的幕后黑手是通过俄语论坛上的招聘广告招募的多名黑客招聘演员。

攻击者使用社交工程（通过伪造的软件登陆页面和社交媒体帐户）和网络钓鱼电子邮件，根据每个攻击者的偏好选择信息窃取恶意软件来感染YouTube创作者。

 新闻来源：

https://www.bleepingcomputer.com/news/security/google-youtubers-accounts-hijacked-with-cookie-stealing-malware/

安全防护攻略

应对勒索软件攻击的五种方式

基于云的文件存储平台不仅可以更灵活地共享信息，还可以确保法医评估和从攻击中恢复，而不会让受影响的公司损失生产时间或支付赎金。

以下是云文件存储系统为IT团队提供避免勒索软件攻击中断的五种方式：

• 云文件共享

许多公司依赖传统的内部部署文件共享基础设施，并使用重复的基础设施进行灾难恢复(DR)进行系统故障转移。这些复杂的安排总是需要定期维护，但更令人担忧的是，当IT团队需要快速评估攻击造成的损害并制定DR计划时，它们尤其难以管理且资源繁重。

相比之下，下一代工具，例如基于云的文件共享办公系统，凭借其中心性质和本地化文件访问，还可以确保在发生攻击时快速进行本地损坏检测和更简单的文件恢复。后Covid经济对云的喜爱已经使全球企业有更好的基础来应对勒索软件的威胁。

• 不可变数据

虽然勒索团伙在大流行期间攻击旧的技术基础设施或拼凑在一起进行远程工作的基础设施，但第二个主要优势是云带来了不可变的数据。云文件存储为组织提供了防止定期中断和黑客攻击的实用保护措施，因为他们的全球文件系统提供完整的数据完整性，并且不需要将数据从一个位置移动到另一个位置供全球分散的团队访问。

• 有针对性的文件恢复

基于云的文件存储完整性的第三个主要演变是领先产品对连续文件版本控制（快照）功能的使用。这些为IT和网络团队提供了文件共享状态的无限快照，频率可达每五分钟一次，从而在发生攻击时实现受控的本地级文件级恢复。

如果组织的文件被攻击加密或损坏，IT团队可以快速设置审计跟踪以进行攻击后损坏评估和恢复，而不必恢复所有存储的数据量。最新的云文件存储工具甚至具有“点击式”文件恢复功能，可实现快速简单的文件恢复。拥有云文件存储平台的公司对IT团队能够快速隔离受影响的文件并恢复它们从而不会中断日常运营的能力感到惊讶。

• 短时间内恢复

长期以来，恢复文件一直是最不喜欢的任务，尤其是对于运行混合基础架构的CIO。部门同事经常发现，即使在对勒索软件攻击做出立即响应之后，他们的组织也需要数周和数月的时间才能实现全面的运营恢复。相比之下，下一代基于云的文件存储系统可以将关键业务文件“回滚”到勒索软件事件发生的确切时间。

即使是严重依赖多地点和分布式劳动力的组织也可以放心，他们的关键资产在发生攻击或中断时是安全的，而他们的员工将更快地恢复生产工作。

• 云意味着更简单的勒索攻击恢复

随着企业在大流行中重组，IT团队的关键任务是保持正常运转。寻找额外的内部资源来进行业务连续性(BC)规划通常排在第二位，许多拥有更复杂的混合技术堆栈的公司根本无法做到这一点。

相比之下，由于今天的云文件存储产品可以将文件“回滚”到事件发生时，公司的BC规划和相关检查和测试比以前允许的内部部署存储基础设施更简单、更快、资源密集度更低。云意味着更简单的规划（以及更有效的恢复）勒索软件攻击。

新闻来源：

https://www.helpnetsecurity.com/2021/10/20/deal-with-ransomware-attacks/