安全資訊報告

勒索軟體團伙使用“無情”的策略，以獲得更大的回報

根據歐洲執法機構歐洲刑警組織的資料，僅在2019年至2020年之間，贖金支付的數量就增加了300%。網路犯罪分子以供應鏈、關鍵基礎設施、醫院等為目標的幾起重大事件表明，成功的勒索軟體攻擊具有多麼大的破壞性。

為了獲得解密加密檔案和伺服器所需的解密金鑰，許多成為勒索軟體攻擊受害者的組織將支付贖金，這可能會花費數百萬美元的比特幣或其他加密貨幣。網路犯罪分子並沒有嘗試大規模分發勒索軟體並希望某些攻擊能夠成功，而是選擇較少數量的目標，而是根據他們最有可能支付贖金來選擇這些目標。

報告稱：“大規模分發勒索軟體的攻擊似乎正在減少，犯罪分子正在轉向針對私營公司、醫療保健和教育部門、關鍵基礎設施和政府機構的勒索。”這一轉變表明，勒索軟體運營商會根據財務能力來選擇目標，以滿足更高的贖金要求，以及目標受害者需要儘快恢復運營。

隨著犯罪分子在網路中花費更多時間研究目標並提升其特權，以進一步破壞基礎設施並獲取更多資料，勒索軟體攻擊變得更加複雜。如果不支付贖金，網路犯罪分子將竊取資料並威脅要釋出資料。這些雙重勒索攻擊對不希望公開敏感資訊的組織十分有效。如果受害者不支付贖金，一些勒索軟體攻擊已經開始威脅受害者，通過DDoS攻擊進一步破壞。

歐洲刑警組織表示：“肇事者的作案手法越來越無情和有條不紊。許多最臭名昭著的勒索軟體附屬程式對其受害者進行DDoS攻擊，以迫使他們遵守勒索要求。

新聞來源： 

https://www.zdnet.com/article/ransomware-gangs-are-now-using-ruthless-tactics-as-they-aim-for-bigger-payouts/

網路釣魚攻擊比2020年增長31.5%，社交媒體攻擊繼續攀升

根據PhishLabs的一份報告，網路釣魚仍然是不良行為者的主要攻擊媒介，在2020年增長了31.5%。值得注意的是，2021年9月的攻擊次數是前一年的兩倍多。

網路釣魚和社交媒體攻擊的驚人增長，2021年社交媒體攻擊猛增：自1月以來，每個目標的社交媒體攻擊平均數量穩步攀升，今年迄今增長了82%。

在第三季度，企業使用者報告的憑據盜竊網路釣魚攻擊中有51.6%以Office365登入為目標。

新聞來源： 

https://www.helpnetsecurity.com/2021/11/11/phishing-attacks-grow-2020/

黑客通過部落格文章瞄準韓國智庫

在自2021年6月開始追蹤的一項新活動中，高階持續威脅(APT)組織一直試圖在受害機器上植入監視和基於盜竊的惡意軟體。

來自Cisco Talos的研究人員表示，Kimsuky APT，也被稱為Thallium或Black Banshee，是這波攻擊的罪魁禍首，其中惡意的Blogspot內容被用來引誘“韓國智囊團，他們的研究重點是政治與朝鮮、中國、俄羅斯和美國有關的外交和軍事話題。”

具體來說，地緣政治和航空航天組織似乎在APT的關注範圍內。Kimsuky至少自2012年以來一直活躍。AhnLab表示，電子郵件中附帶的表格、調查問卷和研究檔案過去曾被用作網路釣魚誘餌，而在Talos檢測到的活動中，惡意Microsoft Office文件仍然是主要的攻擊媒介。

通常，惡意VBA巨集包含在文件中，一旦觸發，將從Blogspot下載有效負載。這些部落格文章基於Gold Dragon/Brave Prince惡意軟體系列提供了三種型別的惡意內容：初始信標、檔案竊取程式和植入部署指令碼——後者旨在感染端點並啟動進一步的惡意軟體元件，包括鍵盤記錄器、資訊竊取器和用於網站登入憑據盜竊的檔案注入器模組。

Kimsuky威脅參與者將掃描他們特別感興趣的檔案。這包括與朝鮮、無核化、美國、中國和俄羅斯之間的關係以及火箭設計、航空燃料研究、流體力學和材料科學相關的內容。研究人員說：“Kimsuky是一個積極主動的威脅行為者，目標是韓國的許多實體。該組織一直在不懈地建立新的感染鏈，以向受害者提供不同型別的惡意軟體。此類有針對性的攻擊可能導致受限研究的洩露、未經授權的間諜訪問，甚至對目標組織的破壞性攻擊。”

新聞來源： 

https://www.zdnet.com/article/north-korean-hackers-target-the-souths-think-tanks-through-blog-posts/

Google Play上的“智慧電視遙控器”是惡意軟體

本週，Google Play商店中的兩個Android應用程式被發現包含惡意軟體。這些應用程式被稱為“智慧電視遙控器”和“萬聖節著色”，前者已被下載至少1,000次。智慧電視遠端應用程式包“Joker”惡意軟體，這些應用程式被Joker惡意軟體感染了木馬。

Google Play Protect在安裝應用程式時會對其進行檢查。還會定期掃描您的裝置。如果發現潛在有害應用程式，會向使用者傳送通知，禁用該應用程式，直到解除安裝。安裝了這些應用程式的使用者應立即解除安裝應用程式，清理他們的智慧手機，並檢查是否有任何未經授權的訂閱或從他們的帳戶發起的計費活動。

新聞來源： 

https://www.bleepingcomputer.com/news/security/careful-smart-tv-remote-android-app-on-google-play-is-malware

Windows 10 App Installer在BazarLoader惡意軟體攻擊中被濫用

TrickBot團伙運營商現在正在濫用Windows 10應用安裝程式，將他們的BazarLoader惡意軟體部署到成為高度針對性垃圾郵件活動受害者的目標系統上。

BazarLoader（又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor）是一種隱蔽的後門木馬，通常用於破壞高價值目標的網路並將對受損資產的訪問權出售給其他網路犯罪分子。

它被用於提供額外的有效載荷，例如Cobalt Strike信標，可幫助威脅行為者訪問受害者的網路並最終部署危險的惡意軟體，包括但不限於Ryuk勒索軟體。

釣魚網站上的“預覽PDF”按鈕不是指向PDF文件，而是開啟一個帶有ms-appinstaller:字首的URL。單擊該按鈕時，瀏覽器將首先顯示警告，詢問受害者是否允許該站點開啟App Installer。大多數人在看到adobeview.*時可能會忽略它。單擊警告對話方塊中的“開啟”將啟動Microsoft的應用程式安裝程式，以偽造的Adobe PDF元件的形式在受害者裝置上部署惡意軟體。

在受感染裝置上部署後，BazarLoader將開始收集系統資訊（例如，硬碟、處理器、主機板、RAM、本地網路上具有面向公眾的IP地址的活動主機）。

新聞來源： 

https://www.bleepingcomputer.com/news/security/windows-10-app-installer-abused-in-bazarloader-malware-attacks/

安全漏洞威脅

Magniber勒索軟體團伙利用Internet Explorer漏洞進行攻擊

Magniber勒索軟體團伙現在正在使用兩個Internet Explorer漏洞和惡意廣告來感染使用者並加密他們的裝置。這兩個Internet Explorer漏洞被跟蹤為CVE-2021-26411和CVE-2021-40444，兩者的CVSSv3嚴重性評分均為8.8。

第一個CVE-2021-26411已於2021年3月修復，是通過檢視特製網站觸發的記憶體損壞漏洞。第二個漏洞CVE-2021-40444是由開啟惡意文件觸發的IE渲染引擎中的遠端程式碼執行。在微軟於2021年9月修復之前，攻擊者曾利用CVE-2021-40444作為零日漏洞。

Magniber團伙以利用漏洞破壞系統和部署勒索軟體而聞名。8月，有人觀察到Magniber利用“PrintNightmare”漏洞破壞Windows伺服器，由於它們對列印的影響，微軟需要一段時間來解決。最新的Magniber活動側重於使用推送漏洞利用工具包的惡意廣告來利用Internet Explorer漏洞，騰訊安全研究人員確認了“新鮮”有效載荷。

Magniber於2017年開始作為Cerber勒索軟體的繼承者，最初僅感染來自韓國的使用者。該組織隨後擴大了目標範圍，並開始感染中國（包括臺灣和香港）、新加坡和馬來西亞的系統。Magniber勒索軟體一直處於非常活躍的開發階段，其有效載荷已被完全重寫了3次。目前，它仍然未破解，因此沒有解密器可以幫助恢復病毒加密的檔案。

新聞來源： 

https://www.bleepingcomputer.com/news/security/magniber-ransomware-gang-now-exploits-internet-explorer-flaws-in-attacks/

新的Golang惡意軟體(BotenaGo)，針對數百萬路由器和物聯網裝置利用了30多個漏洞

AT&T AlienLabs發現了用開源程式語言Golang編寫的新惡意軟體。它部署了30多個漏洞利用程式，有可能針對數百萬個路由器和物聯網裝置。

根據Intezer最近的一篇文章，Go程式語言在過去幾年中在惡意軟體作者中的受歡迎程度急劇增加。該網站表明，在野外發現的用Go編寫的惡意軟體程式碼增加了2,000%。其日益流行的一些原因與為不同系統編譯相同程式碼的容易性有關，這使攻擊者更容易在多個作業系統上傳播惡意軟體。

BotenaGo目前的反病毒(AV)檢測率較低。一些防毒軟體使用Go作為Mirai惡意軟體檢測這些新的惡意軟體變種——有效載荷連結看起來確實相似。Alien Labs發現的新惡意軟體變種與Mirai惡意軟體的攻擊功能不同，新變種只會尋找易受攻擊的系統來傳播其負載。

新聞來源： 

https://cybersecurity.att.com/blogs/labs-research/att-alien-labs-finds-new-golang-malwarebotenago-targeting-millions-of-routers-and-iot-devices-with-more-than-30-exploits