微软发现一种尚未被启用且目的未知的蠕虫病毒在扩张

微软发现一种尚未被启用且目的未知的蠕虫病毒在扩张 微软表示，最近一种Windows蠕虫病毒已经在不同行业部门的数百个组织的网络中被发现。 该恶意软件被称为树莓罗宾（Raspberry Robin），通过受感染的USB设备传播，它在2021年9月首次被红色金丝雀情报分析员发现。 网络安全公司Sekoia也在11月初观察到它使用QNAP NAS设备作为指挥和控制服务器（C2）服务器，而微软表示，它发现了与2019年创建的这个蠕虫有关的恶意工件。… 尽管微软观察到该恶意软件连接到Tor网络上的地址，但黑客尚未利用开始它们。… 微软在一份与微软终端防御系统用户共享的私人威胁情报公告中分享了这一信息，并被BleepingComputer看到。 "树莓罗宾使用msiexec.exe来尝试外部网络通信，以达到C2目的的恶意域名。" 发现Raspberry Robin的安全研究人员尚未将该恶意软件归于某一个黑客组织，并仍在努力寻找其操作者的最终目标。 然而，鉴于攻击者可以在受害者的网络中下载和部署额外的恶意软件，并在任何时候提升他们的权限，微软已经将这一活动标记为高风险。

微软发现苹果 macOS 漏洞，可植入恶意软件

微软发现苹果 macOS 漏洞，可植入恶意软件 微软于今年 7 月发现了一个 macOS 漏洞，可以绕过 Gatekeeper 安全机制执行恶意软件。微软将发现的这个 macOS 漏洞称之为“Achilles”，并通过“Coordinated Vulnerability Disclosure”将其告知给了苹果公司。该漏洞允许攻击者绕过苹果的 Gatekeeper 安全机制，在 Mac 设备上植入任意恶意软件。 苹果公司在收到微软的报告之后，在本月 13 日发布的 macOS 13（Ventura）、macOS 12.6.2（Monterey）和 macOS 1.7.2（Big Sur）更新中修复了这个漏洞。

一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击

一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击 据网络安全公司 ESET 的研究人员称，这种名为 FontOnLake 的恶意软件似乎是精心设计的，虽然正在积极开发，但已经包括远程访问选项、凭证盗窃功能，并能够初始化代理服务器。 FontOnLake 样本于2020年5月首次出现在 VirusTotal 上，但与这些文件相连的命令和控制（C2）服务器被禁用，研究人员说这可能是由于上传的原因。 研究人员指出，该恶意软件所针对的 Linux 系统可能位于包括东南亚在内的地区。 ESET认为，操作者对被抓住和他们的活动暴露 “过于谨慎”，因为几乎所有获得的样本都使用不同的C2服务器地址和各种端口。此外，该恶意软件的作者利用了C/C++和一些第三方库，如 Boost 和 Protobuf。 FontOnLake 是模块化的恶意软件，利用自定义二进制文件来感染目标机器并执行恶意代码。虽然ESET仍在调查FontOnLake，但该公司表示，在其已知的组件中，有被用来加载后门、rootkits和收集信息的木马应用程序。 总共有三个后门也与 FontOnLake 有关。这些后门都是用C++编写的，并创建了一个通往同一C2的桥梁，用于数据外流。此外，它们能够发出 “心跳” 命令，以保持这种连接的活性。 FontOnLake 总是与一个内核模式的 rootkit 一起，在受感染的 Linux 机器上保持持久性。据 Avast 称，该 rootkit 是基于开源的 Suterusu 项目。 以下是ESET发布的技术白皮书，研究 FontOnLake。 #ThreatIntelligence #malware

微软目前计划在 Copilot Plus 电脑上默认启用 Recall 功能。

微软目前计划在 Copilot Plus 电脑上默认启用 Recall 功能。 微软即将推出一个新的 AI 驱动的“Recall”（回忆/记忆）功能，它会截图你在电脑上做的所有事情。“Recall”是新款 Copilot Plus 电脑的一部分，将于 6 月 18 日首次亮相，但已经测试过该功能的专家警告说，“Recall”功能可能会成为网络安全的“灾难”。 该功能旨在使用本地 AI 模型截取你在电脑上看到或做的一切，然后让你能够在几秒钟内搜索和检索任何内容。你甚至可以滚动浏览一个可探索的时间轴。Recall 中的所有内容都设计为保存在本地设备上，保持私密性，因此不会有数据被用来训练微软的 AI 模型。 尽管微软承诺提供一个安全且加密的 Recall 体验，但网络安全专家凯文·博蒙特发现这个由 AI 驱动的功能存在一些潜在的安全漏洞。博蒙特曾在 2020 年短暂在微软工作过，过去一周他一直在测试 Recall，发现这个功能将数据以明文形式存储在数据库中。这可能使攻击者很容易使用恶意软件提取数据库及其内容。 “每隔几秒钟就会截一次屏。这些截图会自动通过运行在你设备上的 Azure AI 进行光学字符识别（OCR），然后写入用户文件夹中的 SQLite 数据库，”Beaumont 在一篇详细的博客文章中解释道。“这个数据库文件以纯文本的形式记录了你在电脑上看过的所有内容。” 博蒙特在 X 平台上分享了一个纯文本数据库的例子，批评微软对媒体说黑客无法远程提取 Recall 活动。这个数据库是存储在本地电脑上的，但如果你是电脑的管理员，可以从 AppData 文件夹访问。最近在 Build 大会上，两位微软工程师演示了这一点，而博蒙特声称即使你不是管理员也能访问这个数据库。 人们担心的是，Recall 让恶意软件和攻击者更容易窃取信息。InfoStealer 木马已经存在，用于从电脑中窃取凭证和信息，而黑客目前正在分发这种类型的恶意软件来窃取和出售信息。Beaumont 说：“Recall 使得威胁行为者能够在几秒钟内自动抓取你曾经查看过的所有内容。” 博蒙特已经提取了他自己的 Recall 数据库，并，你可以上传数据库并立即搜索。他说：“我故意不透露技术细节，直到微软发布这个功能，因为我想给他们时间去做一些事情。” 微软宣布Recall功能的消息引起了迅速反应，隐私保护人士称其可能成为“隐私噩梦”，英国信息专员办公室也介入，向微软询问其使用人工智能功能的情况。 标签: #微软 #Recall #AI 频道: @GodlyNews1 投稿: @GodlyNewsBot

美国微软公司周二表示，一个在中国活跃、受国家支持的黑客组织，一直利用以往未被发现的漏洞，远程入侵微软的邮件服务器窃取邮件内容，目

美国微软公司周二表示，一个在中国活跃、受国家支持的黑客组织，一直利用以往未被发现的漏洞，远程入侵微软的邮件服务器窃取邮件内容，目标对象包括传染病研究人员、高等学府及国防承包商等。 微软发表这个消息前，美国网络安全公司Secureworks总监Mike McLellan已表示，发现周日通宵连接“Exchange Server”的活动激增，单计公司内约有10个客户受到影响。他更指活动似乎集中于散播恶意软件，以及为未来进一步的深入入侵作准备，而不是立即进行入侵。 中国驻美大使馆未有回应。 在北京，外交部发言人汪文斌回应说，中国坚决反对并依法打击任何形式的网络攻击和网络窃密行为，这个立场是一贯和明确的。中方多次重申，网络空间具有虚拟性强，溯源难，行为体多样的特点，网络攻击溯源是复杂的技术问题。将网络攻击直接与政府相关联，更是高度敏感的政治问题。中方希望有关媒体和企业采取专业和负责任的态度，在定性网络事件的时候基于充分证据，而不是无端猜测指责。 （彭博社，苹果日报，中央社，路透社，华尔街日报，香港电台）

数以百万计的设备仍易受PlugX USB蠕虫影响 感染分布在特定国家

数以百万计的设备仍易受PlugX USB蠕虫影响 感染分布在特定国家 该蠕虫作为臭名昭著的 PlugX 恶意软件的一个新变种，于 2019 年首次出现在人们的视野中。它可以自动将自己复制到连接到受感染机器的任何 USB 驱动器上，从而搭便车感染新的计算机，而无需任何用户交互。但不知何时，黑客放弃了恶意软件的命令控制服务器，从根本上切断了他们对受感染机器的监控能力。人们可能会认为这就是这个讨厌的蠕虫病毒的终点，但事实并非如此。安全公司Sekoia的研究人员决定进行一些数字研究，并购买了最初用于控制蠕虫的废弃 IP 地址。令他们惊讶的是，他们发现该蠕虫病毒仍然生机勃勃，他们的服务器每天都会收到来自 9 万到 10 万个独立 IP 地址的连接。在 6 个月的时间里，他们统计了 250 万个试图与主控端联系的独立 IP。值得注意的是，IP 地址并不总是准确地代表受感染系统的总数，因为有些 IP 可能被多个设备共享，或者计算机可能使用动态 IP。但是，巨大的流量表明，这种蠕虫病毒已经广泛传播，可能感染全球数百万台机器。更耐人寻味的是，研究人员发现约有 15 个国家感染了 80% 以上的病毒。而且这些国家并不是随意挑选的，其中许多国家都具有重要的战略意义，并有中国大量的基础设施投资，这让研究人员猜测，该蠕虫病毒可能是中国针对特定地区的数据收集行动。Sekoia 指出："这种蠕虫病毒的开发是为了在各国收集与'一带一路'倡议相关的战略和安全问题的情报，主要是关于其海洋和经济方面的情报，尽管这一点还不能确定，但这是说得通的。"值得庆幸的是，研究人员确实发现了一个潜在的解决方案：一个命令可以清除受感染机器上的恶意软件，甚至还能清理消毒过程中连接的任何 USB 驱动器。不过，出于法律方面的考虑，他们决定不采取单方面行动，而是与受影响国家的相关当局联系，向他们提供数据，让他们作出决定。研究人员写道："考虑到开展大范围消毒活动可能带来的法律挑战，其中涉及向我们并不拥有的设备发送任意命令，我们决定推迟清理，由各国的国家计算机应急小组 (CERT)、执法机构 (LEA) 和网络安全当局自行决定。"阅读报告全文： ... PC版： 手机版：