TOP5 | 头条：APT 组织 SideWinder 频频攻击中国和巴基斯坦

APT 组织 SideWinder 频频攻击中国和巴基斯坦；

标签：APT，SideWinder，中国，巴基斯坦

The Hacker News 网站披露，网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于巴基斯坦和中国境内的实体组织。

APT 组织 SideWinder 至少从 2012 年起就开始活跃，其攻击链主要利用鱼叉式网络钓鱼作为入侵机制，在受害目标的网络环境中“站稳脚跟”，从其以往的攻击目标来看， 受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。

The Hacker News 网站披露，网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于巴基斯坦和中国境内的实体组织。

APT 组织 SideWinder 至少从 2012 年起就开始活跃，其攻击链主要利用鱼叉式网络钓鱼作为入侵机制，在受害目标的网络环境中“站稳脚跟”，从其以往的攻击目标来看， 受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。

2023 年 2 月初，Group-IB 揭示了 SideWinder 在 2021 年 6 月至 11 月期间可能针对亚洲各地的 61 个政府、军队、执法部门和其它组织的证据。

近期，研究人员观察到 SideWinder 在针对巴基斯坦政府组织的规避攻击中，使用了一种名为基于服务器的多态性技术。 新发现的域名模仿了巴基斯坦、中国和印度的政府组织，其特点是在 WHOIS 记录中使用相同的值和类似的注册信息。

在这些域名中，有些是以政府为主题的诱饵文件，这些文件中大部分于 2023 年 3 月从巴基斯坦上传到VirusTotal。其中一个是据称来自巴基斯坦海军战争学院（PNWC）的 Word 文件，最近几个月被 QiAnXin 和 BlackBerry 分析过。

值得一提的是，研究人员还发现了一个 Windows 快捷方式（LNK）文件，该文件于 2022 年 11 月下旬从北京上传到 VirusTotal。就 LNK 文件而言，它被设计成运行一个从远程服务器上检索到的 HTML 应用程序（HTA）文件，该服务器欺骗了清华大学的电子邮件系统（mailtsinghua.sinacn[.]co）。另一个大约在同一时间从加德满都上传到 VirusTotal 的 LNK 文件，从伪装成尼泊尔政府网站的域（mailv.mofs gov[.]org）中获取了 HTA 文件。

研究人员在对 SideWinder 进一步调查后，发现了一个恶意的 Android APK 文件（226617），该文件于2023 年 3 月从斯里兰卡上传到 VirusTotal。

这个流氓安卓应用程序冒充“Ludo Game”，并提示用户授予其访问联系人、位置、电话日志、短信和日历的权限，有效地发挥了间谍软件的功能，获取用户的敏感信息。Group-IB 表示，流氓安卓应用程序还与其在 2022 年 6 月披露的假冒安全 VPN 应用程序有相似之处，后者是通过一个名为 AntiBot 的流量指示系统（TDS）向巴基斯坦的受害目标分发。

总的来说，这些域名表明 SideWinder 已经将目光投向了巴基斯坦和中国的金融、政府和执法机构，以及专门从事电子商务和大众传媒的公司。

最后，研究人员强调像许多其它 APT 组织一样，SideWinder 依靠有针对性的鱼叉式网络钓鱼作为初始载体。因此对于实体组织来说，部署能够引爆恶意内容的商业电子邮件保护解决方案至关重要。

信源：https://www.freebuf.com/news/366828.html

VMware 被指缺乏安全功能，坐视虚拟化平台逐步沦为网络犯罪猎物；

标签：VMware 

2020年以来，意图发起“狩猎大型猎物”（BGH）攻击的网络犯罪团伙越来越多地针对VMware ESXi vSphere管理程序，部署专门设计的Linux版本勒索软件。

美国安全公司CrowdStrike观察到，这一趋势持续到了2023年第一季度，Alphv、Lockbit和Defray（CrowdStrike内部代号为ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER）等勒索软件即服务（RaaS）平台均被用来攻击ESXi。

鉴于ESXi本身设计上不支持第三方代理或反病毒软件，并且VMware在其文档中明确表示不需要反病毒软件，这一趋势尤其值得注意。ESXi是一种广泛使用的虚拟化和管理系统，这使得它对网络犯罪团伙极具吸引。

ESXi是VMware开发的裸机虚拟机管理器（Type-1类型）。虚拟机管理器是一种管理虚拟机的软件。与运行在传统操作系统上的托管虚拟机管理器（Type-2类型）相比，裸机虚拟机管理器直接运行在专用主机硬件上，性能更佳，主要用于数据中心、云服务等场景。

ESXi系统通常由vCenter管理，vCenter是一个集中的服务器管理工具，可以控制多个ESXi设备。尽管ESXi不是Linux操作系统，但在ESXi命令行程序中可以运行一些Linux编译的ELF二进制文件。

与ESXi平台相关的几个重要的VMware产品包括：

• ESXi（或vSphere虚拟机管理器）：作为服务器，包括虚拟机管理器组件、身份和管理组件以及与服务器硬件相关的资源管理组件；

• vCenter：身份和管理组件，以及用于一组ESXi服务器的完整资源管理器；

• ONE Access（或Identity Manager）：提供单点登录（SSO）解决方案，用于连接到vCenter或ESXi；

• Horizon：VMware的全面虚拟架构管理解决方案。

VMware建议：“vSphere虚拟机管理器不需要使用防病毒软件，也不支持使用此类软件。”

除了缺乏ESXi安全工具外，网络犯罪团伙还积极利用了一些漏洞。

2023年2月，法国计算机应急响应小组（CERT-FR）报告了一起勒索软件攻击事件，追踪代号为ESXiArgs。该攻击事件针对的是易受CVE-2020-3992或CVE-2021-21974漏洞影响，暴露于互联网的VMware ESXi虚拟机管理器。

这两个漏洞都针对ESXi虚拟机管理器中的OpenSLP服务。CVE-2021-21974允许未经身份验证的相邻网络攻击者在受影响的VMware ESXi实例上执行任意代码，但此前尚未被实际利用。CVE-2020-3992已被在野利用，它允许未经身份验证的对手在管理网络中的ESXi机器上访问端口427，并触发OpenSLP服务中的使用后释放问题，导致远程代码执行。

此前的公开报告还确认了CVE-2019-5544被实际利用，它同样影响了OpenSLP服务，并支持在受影响系统上执行远程代码。

在公开报告的CVE-2020-3992和CVE-2021-21974实际利用案例中，威胁行为者部署了一个名为vmtools.py的Python后门，存放在文件路径/store/packages/；这个文件名和文件路径与一个用户在公开论坛上分享的与当前ESXiArgs活动相关的行程序脚本的内容相匹配。

由于在虚拟化领域中占据主导地位，VMware的产品线通常是组织的IT基础设施虚拟化和管理系统的关键组成部分，因此VMware虚拟基础架构产品对攻击者具有很大的吸引力。

越来越多的网络犯罪团伙意识到，缺乏安全工具、接口缺乏充分的网络分段以及被实际利用漏洞使ESXi成为一个诱人的攻击环境。

例如，2023年4月，CrowdStrike发现了一个名为MichaelKors的新的勒索软件即服务程序，为附属团队提供针对Windows和ESXi/Linux系统的勒索软件二进制文件。其他能够针对ESXi环境进行攻击的勒索软件服务平台也在浮出水面，如Nevada勒索软件。

2022年9月末，Mandiant研究人员发现并披露了一个主要针对VMware ESXi和VMware vCenter服务器的新型恶意软件生态系统，它部署为恶意远程管理工具（RAT）。该远程管理工具可在受感染服务器上持久化运行，并与底层虚拟机进行交互、提取敏感信息。

在2022年末，CrowdStrike观察到ALPHA SPIDER使用Cobalt Strike变体对ESXi服务器进行后渗透活动，并使用SystemBC变体通过受感染的vCenter服务器在网络中持久运行。此外，SCATTERED SPIDER利用开源代理工具rsocx持续访问受害者的ESXi服务器。

CrowdStrike评估发现，很多知名网络犯罪团伙在不同行业和地区使用Log4Shell (CVE-2021-44228) 攻击VMware Horizon实例，包括NEMESIS KITTEN、SILENT CHOLLIMA以及PROPHET SPIDER等。

针对虚拟基础架构组件实施攻击具有诸多优势。目标组件通常没有得到足够的安全保护，放大了单次入侵的影响或帮助规避检测和防范机制。VMware产品过去曾受到关键漏洞的影响，攻击者可能会继续针对任何潜在弱点进行攻击。入侵成功通常能获得高价值资源的访问权限。

对ESXi 虚拟机管理程序最直接的攻击向量是窃取用户凭证。在窃取凭证后，攻击者可以轻松通过服务器的身份验证，根据攻击者的目的推进攻击。如果攻击者获得足够的权限，可以启用和访问SSH控制台，甚至能直接执行任意代码，即使在最新版ESXi上也是如此。

如果被入侵的账户具备访问虚拟机网络管理功能的权限，攻击者可以将虚拟机重新配置为代理，用于访问内部网络。此外，如果被入侵的账户仅提供对一组虚拟机的访问权限，攻击者可以针对影响虚拟化操作系统的配置弱点或漏洞，以侵入目标网络。

一旦权限有限的攻击者成功访问了ESXi服务器，从初始访问到实现实际目标之间，需要权限升级这一关键中间步骤。CVE-2016-7463、CVE-2017-4940和CVE-2020-3955等跨站脚本攻击（XSS）漏洞可以作为欺骗特权用户执行代码的手段进行攻击。例如，CVE-2020-3955首先将恶意载荷嵌入虚拟机属性（例如主机名）中，然后欺骗系统管理员通过VMware管理界面访问这些恶意属性。据目前所知，这些XSS漏洞没有被用于实际攻击。另外，还存在CVE-2021-22043这种权限升级漏洞，它允许具备访问设置权限的用户升级权限；然而，截至本文撰写时，尚无公开可用的针对此漏洞的概念验证（POC）代码或武器化利用代码。CrowdStrike也没有了解到涉及这一特定漏洞的实际攻击活动。

根据行业报道，凭证窃取似乎是攻击者针对ESXi服务器的主要攻击向量。此外，CrowdStrike观察到的案例表明，攻击者通常通过其他手段获取对目标网络的访问权限，然后尝试收集ESXi凭证以达到最终目标，如部署勒索软件；所有这些案例中，攻击者窃取的凭证具备足够的特权，使其可以直接执行任意代码。

如上文介绍，虚拟机可以通过两种方式访问：直接访问或通过ESXi管理界面访问。两种方式的凭证窃取过程类似，在此不再重复。

如果可以直接访问虚拟机，则可能存在以下两种情况：

• 如果虚拟机与内部网络的其余部分没有足够的隔离，它可能作为在网络中横向移动的代理，导致无需对ESXi服务器发起攻击。

• 如果网络的唯一入口是一个可访问的、正确隔离的虚拟机，攻击者无法对网络进一步渗透，必须直接在ESXi虚拟机管理器级别上运行代码。攻击者必须掌控ESXi 虚拟机管理器，因为管理器到网络中其他机器存在网络路径。为了从虚拟机攻击底层虚拟机管理器，攻击者一般需要利用虚拟机逃逸漏洞。

实现虚拟机逃逸有两种方法：第一种是攻击虚拟机管理器虚拟化组件，比如利用影响虚拟机管理器硬件仿真组件的漏洞。这通常需要掌握虚拟机内核级权限，即需要利用额外的漏洞攻击虚拟机。第二种方法是利用通过网络可达的影响虚拟机管理器的漏洞，并使用虚拟机向虚拟机管理器传输恶意网络数据包。

在大约40个可能通过虚拟化组件实现虚拟机逃逸的漏洞中，只有两个漏洞（CVE-2012-1517和CVE-2012-1516）针对旧版本的ESXi（3.5至4.1）中的虚拟机与虚拟机管理器之间的通信组件。所有其他漏洞都针对模拟设备，如USB（CVE-2022-31705，CVE-2021-2    2041，CVE-2021-22040）、CD-ROM（CVE-2021-22045）或SVGA（CVE-2020-3969，CVE-2020-3962）。

自ESXi 6.5版本引入VMX沙箱以来，利用ESXi虚拟化组件进行虚拟机逃逸攻击至少涉及三个不同的漏洞利用，如下所示：

1. 攻击者通过第一个漏洞在内核级别上入侵虚拟机。

2. 然后，攻击者通过第二个漏洞针对虚拟机内的设备，以在VMX进程中执行代码。

3. 攻击者随后执行第三个漏洞利用，实现VMX沙箱的逃逸。

4. 最后，攻击者可能需要第四个漏洞利用来提升在虚拟化管理器上的权限。

截至目前，公开的这种漏洞链的概念验证代码不存在，有关这类漏洞的文档也很少。由于此类攻击的复杂性，只有高级的行动者，如国家级对手，可能具备所需的能力。

CrowdStrike提供了五项重要建议，各组织应该实施这些措施，降低虚拟化管理器被攻击的概率或攻击影响。

• 避免直接访问ESXi主机。使用vSphere客户端管理vCenter服务器所辖ESXi主机。不要使用VMware主机客户端直接访问受管主机，也不要通过直接控制台用户界面更改受管主机。（注：这是VMware特定的建议。）

• 如果有必要直接访问ESXi主机，请使用具备多因素验证、经过加固的跳板服务器。ESXi访问应仅限于用于管理目的或特定权限目的的跳板服务器，该服务器具有完整的审计功能，并启用了多因素身份验证。应实施网络分段，确保只能从跳板服务器出发访问ESXi或vCenter的任何SSH、Web UI和API。此外，应禁用SSH访问，对任何启用SSH访问的操作发出警报并进行紧急调查。

• 确保vCenter不通过SSH或HTTP暴露在互联网上。CrowdStrike观察到对手使用有效帐户或利用RCE漏洞（例如CVE-2021-21985）获取对vCenter的初始访问权限。虽然VMware已经解决了这些漏洞，为了减轻风险，但这些服务不应暴露在互联网上。

• 确保ESXi数据存储卷定期备份。虚拟机磁盘镜像和快照应每天备份（如果可能，更频繁地备份）到离线存储提供商。勒索软件事件中，安全团队应具备从备份中恢复系统的能力，并防止备份本身被加密。

• 如果发现或怀疑备份正在进行加密，并且无法访问备份以终止恶意进程，可以物理断开ESXi主机的存储连接，甚至切断ESXi主机的电源。威胁行为者在获取访问权限后，通常会更改根密码，将管理员锁在系统之外。尽管物理断开磁盘连接可能会引发问题，或丢失尚未写入后端存储的数据，但它将阻止勒索软件继续加密VMDK文件。关闭虚拟机客户机将无济于事，因为加密是在虚拟化管理器本身上进行的。ESXi的勒索软件通常具有关闭虚拟机客户机的功能，可以解锁磁盘文件并进行加密。

更多ESXi安全建议可在VMware网站上查阅。

基于下列事实：各组织日益使用虚拟化技术将工作负载和基础架构转移到云环境；VMware在企业虚拟化解决方案领域占据主导地位；安全公司追踪到网络犯罪团伙频繁针对虚拟化产品发动攻击。CrowdStrike认为，攻击者很可能会继续针对基于VMware的虚拟化基础架构进行攻击。

凭据窃取是针对基础架构管理和虚拟化产品的最直接的攻击向量。由于 VMware 产品过去曾受到重要漏洞的影响，攻击者和行业研究人员很可能会继续研究并发现未来的潜在弱点。值得注意的是，VMware于2022年10月15日停止对ESXi 6.5、6.7 和 vSphere 6.5、6.7 的一般支持，基本上不再对这些产品进行安全更新。

因为虚拟化技术通常是组织IT基础架构中至关重要的一部分，定期应用安全更新并进行安全态势审查非常关键，即使这些过程会影响网络服务和组件的可用性也必须落实。

信源：crowdstrike.com

微软 VSCode 现恶意扩展，已被下载近5万次；

标签：微软，VSCode

Check Point最近发现，网络攻击者在微软的 VSCode Marketplace中上传了3个恶意扩展，并被Windows 开发人员下载了 46600 次。

Check Point 发现的3个恶意扩展如下：

除此以外，Check Point 还发现了多个可疑扩展，这些扩展不能确定为恶意，但表现出不安全的行为，例如从私有存储库中获取代码或下载文件。

Check Point已经将情况报告给了微软，5月14日，VSCode从市场中删除了这3个恶意扩展。但任何仍在使用恶意扩展的软件开发人员必须手动将它们从系统中删除，并运行完整扫描以检测感染的任何残余。

信源：https://www.freebuf.com/news/366833.html

苹果 App Store 共阻止价值 20.9 亿美元的欺诈交易；

标签：苹果，App Store ，欺诈交易

Apple 的 App Store 团队在 2022 年阻止了超过 20 亿美元的被标记为潜在欺诈的交易，并阻止了近 170 万次违反隐私、安全和内容政策的应用程序提交。

作为其抵御账户欺诈的持续努力的一部分，该公司还终止了 428,000 个可能存在欺诈活动的开发者账户，停用了 2.82 亿个欺诈客户账户，并阻止了 1.05 亿个涉嫌欺诈活动的开发者账户创建。

App Store 团队去年还保护 Apple 用户免受数十万个不安全应用程序的侵害，拒绝了近 400,000 个侵犯隐私的应用程序，例如在未经用户同意或不知情的情况下试图收集用户的个人数据。

另有 153,000 人因误导用户和抄袭已提交的应用程序而被拒绝，而约 29,000 人因使用未记录或隐藏的功能而被拒绝进入 App Store。

Apple官方称 ，“在今年不止一个案例中，App Review 发现了使用恶意代码的应用程序，这些应用程序有可能从第三方服务窃取用户的凭证。在其他情况下，App Review 团队发现了几个伪装成无害财务管理平台的应用程序，但有能力变形为另一个应用程序。”

在 2022 年，将近 24,000 个应用程序因此类违规行为而被阻止或从 App Store 中删除。

Apple 补充说，App Store 应用审查团队平均每周检查超过 100,000 份提交的应用，其中约 90% 的应用会在 24 小时内接受审查。

信源：E安全

LSA 误报问题再现，微软撤回 Defender 修复补丁；

标签：LSA，微软补丁

近日，微软宣布撤回最近的Microsoft Defender修复补丁。据称该补丁是为了修复了触发持续的重启警报和Windows安全警告这个问题，即本地安全授权(LSA)保护已关闭。

LSA保护通过阻止LSASS进程内存转储和将不受信任的代码注入LSASS.exe进程(否则将允许提取敏感信息)，帮助保护Windows用户免受凭证盗窃企图的侵害。

3月21日，微软正式表示确实存在此问题。此前有大量用户报告Windows 11系统警告LSA保护关闭，然而在设置用户界面中显示的却是打开状态。

Redmond表示，这个已题引发的持续重启警报只会出现在Windows 11 21H2和22H2系统上。

几周后，微软发布的Microsoft Defender更新将LSA保护功能的用户界面设置替换为称为内核模式硬件强制堆栈保护的新功能。但由于微软没有记录这个变化，导致用户在使用中出现了混淆。

微软方面表示：LSA保护并没有被移除，仍然是内置，默认情况下在Windows 11机器上。而在最新的Windows内部预览版中，有一个更新改变了该功能的用户界面(UI)外观。之前说它只在Windows 11内部版本中确实说错了，事实上是它在Windows 11 22H2中可用。

4月26日，Redmond宣布他们已经修复了LSA保护UI的相关问题。不过为了确保混淆警报不再显示在Windows设置应用程序中，所以修复是通过删除KB5007651防御者更新中的设置来完成的

信源：https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-defender-update-fixing-windows-lsa-protection-bug/