12月28日，星期三，您好！中科汇能与您分享信息安全快讯：

近年来不断上升的网络损失，促使保险业采取紧急措施，限制自己的风险敞口。一些保险公司在推高保费的同时，还调整了保单，让客户承担更多损失。

欧洲最大保险公司之一的首席执行官警告称，随着黑客攻击造成的破坏继续加剧，网络攻击（而非自然灾害）将变得“无法投保”。

近年来，保险业高管越来越多地谈到系统性风险，如流行病和气候变化，这些风险考验着该行业提供保险的能力。与自然灾害相关的索赔预计将连续第二年超过1000亿美元。

APT-C-36（盲眼鹰）是一个疑似来自南美洲的APT组织，主要目标位于哥伦比亚境内，以及南美的一些地区。该组织自被发现以来，持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。

APT-C-36近期常采用鱼叉攻击，以PDF文件作为入口点，诱导用户点击文档里面的恶意链接下载RAR压缩包文件。大部分压缩包文件需要密码才能解压，密码基本为4位纯数字，解压后是伪装成PDF文件名的VBS脚本。VBS脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链，最终加载程序为混淆过的AsyncRAT或NjRAT木马，并且加入了绕过AMSI机制的代码，这都表明该组织在不断优化其攻击武器。

研究人员警告说，按安装付费（PPI）恶意软件下载服务PrivateLoader正被用来分发名为RisePro的信息窃取恶意软件。

威胁参与者可以支付按安装付费的 PrivateLoader 服务，以将恶意负载下载到受感染的系统上。对于操作僵尸网络的威胁参与者来说，按安装付费服务并不是一种新的商业模式。Flashpoint分析师过去曾在论坛和Telegram中观察到这些类型的服务的广告，这些窃取者通常将其用于客户支持。

网络犯罪分子使用搜索引擎广告服务来冒充品牌并将用户引导到用于欺骗用户的网站。这些站点托管勒索软件，并用于从用户那里窃取登录凭据和其他财务信息。

骗子通过搜索引擎广告服务购买广告，联邦调查局观察到威胁行为者使用类似于实际业务或服务的域。当在线用户搜索该企业或服务时，广告会出现在搜索引擎生成的搜索结果的顶部。广告链接到冒充合法企业的网页。

曾从事电话销售相关工作的王某，深入了解相关工作模式和销售链路后，积累了自己的人脉网络，在利益驱使下，从一名“打工人”，自立门户化身老板，叫上了自己的老乡们，成立——信息贩卖团队。

作为“中间商”，王某从上游黑客处低价买入用户信息，后通过Telegram平台将获取的一手信息打包，以五毛至2元每条的单价，贩卖给电话销售团队或相关证券公司，以此来获得非法收益。

专案组在成都、重庆、上海等地实施抓捕，一举抓获犯罪嫌疑人10人，扣押现金120余万，剩余资产冻结，总计折合人民币价值约1500万元。

总部位于朝鲜的 Lazarus 威胁行为者组织与针对 NFT 投资者的大规模网络钓鱼活动有关。

攻击首先发送垃圾邮件，其中包含指向看起来合法的合法网络钓鱼页面的链接。一旦投资者点击链接，他们就会被带到一个具有相同品牌甚至相同布局的虚假网站。该网站要求受害者提供个人信息和投资详细信息，然后将其转移给攻击者。这使Lazarus小组能够完全访问受害者的资产，包括他们的批准记录和sigData。

随着研究人员继续监控 Lazarus 的活动，建议 NFT 用户应加强对网络安全的理解，并提高他们检测网络钓鱼攻击的能力。

网络犯罪分子越来越多地使用 XLL 作为攻击中的感染媒介。攻击者正在使用多种方法，例如Excel文件中的事件处理功能来自动启动XLL文件，以及利用XLL文件漏洞来针对受害者。

攻击者通过电子邮件发送恶意XLL文件，典型的反恶意软件扫描策略无法检测到这些文件。从而增加用户打开这些恶意文件的机会。

目前，XLL文件的使用在企业环境中并不普遍，但是，威胁仍然迫在眉睫。因此，建议不需要它的企业应阻止在其环境中执行 XLL 文件的任何尝试。如果组织允许 XLL 文件，则必须仔细监视终结点和服务器以发现可疑活动。

容器映像的 Kyverno 准入控制器中存在一个严重性安全漏洞，可能允许恶意行为者将大量恶意代码导入云生产环境。

该漏洞可以完全绕过图像签名验证。在 Kubernetes 集群的情况下，这为攻击提供了广泛的目标。任何工作负载都可以挂载集群机密和数据卷。这意味着攻击者可以注入代码，可以从受害者的Kubernetes集群中窃取数据和凭据。这也使攻击者能够注入他/她自己的代码，并使用受害者的CPU进行加密货币挖掘等事情。

近日，多链加密钱包BitKeep的一些用户报告说，他们的资金在不使用钱包时被耗尽和转移。在他们的官方Telegram组中，BitKeep团队证实，一些APK软件包下载已被一些攻击者劫持，并安装了黑客植入的代码。

随着黑客攻击的继续，BitKeep团队敦促其用户将资金转移到来自Google Play和Apple App Store等官方来源的钱包中。除此之外，该团队还要求社区成员使用新创建的钱包地址，因为他们以前的地址可能已经“泄露给黑客”。

攻击者目前仍在将资金转移到多个钱包地址，区块链安全和分析公司PeckShield强调，到目前为止，被盗超过800万美元。

近日，ThreatFabric分析师发现了一个针对巴西用户的多平台恶意软件活动，目前已有数千人感染，估计损失数美金。据了解，该活动涉及一个被ThreatFabric称为BrasDex的高新型安卓恶意软件，该软件冒充安卓应用程序，从而攻击巴西银行应用程序。在最新的活动中，它已经开始冒充一个特定的银行应用程序（Banco Santander BR）。

目前，网络安全分析师还在持续跟踪该恶意软件。