安全資訊報告

駭客因透過SIM卡劫持竊取數百萬美元的加密貨幣而被判入獄

美國司法部(DoJ)表示，與名為The Community的國際駭客組織有關聯的第六名成員因涉及數百萬美元的SIM交換陰謀而被判刑。

來自美國密蘇里州的22歲的加勒特·恩迪科特(Garrett Endicott)在2019年被起訴後承認了電信欺詐和嚴重身份盜竊的指控，被判入獄10個月，並被勒令支付總額為121,549.37美元的賠償金。

目標是利用電話號碼作為閘道器來劫持目標使用的不同線上服務，例如電子郵件、雲端儲存和加密貨幣交換帳戶，方法是重置他們的密碼和透過簡訊傳送的一次性驗證碼作為攻擊的一部分。雙因素身份驗證(2FA)過程，使網路犯罪人員能夠規避安全措施。

美國司法部表示：“社群成員參與Sim Hijacking以從全國各地的受害者那裡竊取加密貨幣，包括加利福尼亞、密蘇里、密歇根、猶他、德克薩斯、紐約和伊利諾伊，”美國司法部表示，導致加密貨幣被盜。盜竊時間從不同的受影響方的2,000美元到超過500萬美元不等。

新聞來源：

https://thehackernews.com/2021/12/hacker-jailed-for-stealing-millions-of.html

研究顯示針對黑色星期五購物者的網路釣魚活動激增

電子郵件安全公司Egress釋出的研究表明，在黑色星期五之前，模仿主要品牌的網路釣魚工具包激增，網路犯罪分子正在加緊對假日購物的網路釣魚攻擊季節。

這項與Orpheus Cyber合作進行的研究揭開了網路犯罪分子如何準備利用零售活動的神秘面紗，報告稱與網路釣魚工具包明確相關的拼寫錯誤域名增加了397%。亞馬遜是網路犯罪分子的熱門選擇，在預期的黑色星期五促銷活動之前，冒充該品牌的網路釣魚工具包增加了334.1%。亞馬遜是與網路釣魚工具包相關的欺詐網頁的頂級品牌，研究人員觀察到近4,000個模仿該品牌的網頁——是流行的線上拍賣網站eBay檢測到的網頁數量的三倍，是美國零售巨頭沃爾瑪的四倍多。

專家認為，在聖誕節前的幾個月裡，對網路釣魚工具包的需求將繼續增加，網路犯罪分子會利用在此期間傳送的真實營銷電子郵件數量的增加來掩蓋自己的惡意攻擊。在此期間，網路犯罪分子通常會將他們的惡意攻擊偽裝成零售商優惠、訂單確認或交貨確認電子郵件。

新聞來源：

https://www.realwire.com/releases/Research-reveals-surge-in-phishing-as-a-service-activity

Microsoft Exchange Server在新的網路釣魚活動中被濫用

專門從事通訊技術風險和資訊管理的諮詢公司Certitude的IT安全研究人員稱，威脅行為者正在利用未打補丁的Microsoft Exchange Server向不知情的客戶傳送網路釣魚電子郵件。

這是另一場未打補丁的Exchange Server被濫用於惡意目的的活動。2021年8月，發現攻擊者使用ProxyShell攻擊針對未打補丁的Exchange伺服器——2021年9月，Conti勒索軟體附屬公司正在使用ProxyShell漏洞攻擊未打補丁的Exchange伺服器。

在一篇部落格文章中，Certitude的Peter Wagner透露，該公司於2021年11月初披露，該公司收到了有關傳送到其客戶電子郵件帳戶的包含可疑URL的網路釣魚電子郵件的資訊。

這些電子郵件是作為對先前傳送的訊息的回覆傳送的，因此這些電子郵件看起來是合法的。電子郵件標頭表明這些來自客戶的Exchange而不是來自外部來源的欺騙。

進一步的調查顯示，該活動的目標是沒有安裝更新包含多個高危漏洞的內部Exchange伺服器。這些漏洞包括ProxyShell（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）和ProxyLogon（CVE-2021-26855）。但是，研究人員沒有在Exchange伺服器上發現惡意軟體。

新聞來源：

https://www.hackread.com/unpatched-microsoft-exchange-servers-phishing/

APT駭客越來越多地使用RTF注入進行網路釣魚

APT駭客組織在最近的網路釣魚活動中使用了一種新穎的RTF（富文字格式）模板注入技術。這種技術是一種從遠端URL檢索惡意內容的簡單而有效的方法，威脅分析師預計它很快就會覆蓋更廣泛的威脅參與者。

富文字格式(RTF)檔案是由Microsoft建立的一種文件格式，可以使用Microsoft Word、寫字板和幾乎所有作業系統上的其他應用程式開啟。建立RTF檔案時，您可以包含一個RTF模板，用於指定文件中文字的格式。這些模板是在顯示檔案內容以正確格式化之前匯入到RTF檢視器的本地檔案。

雖然RTF模板旨在本地託管，但攻擊者現在正在濫用此合法功能來檢索URL資源而不是本地檔案資源。這種替換允許威脅行為者將惡意負載載入到Microsoft Word等應用程式中，或針對遠端URL執行NTLM身份驗證以竊取Windows憑據。此外，由於這些檔案作為RTF模板傳輸，因此它們更容易繞過檢測網路釣魚誘餌，因為它們最初不存在於RTF檔案中。

建立遠端RTF模板非常簡單，因為威脅行為者所要做的就是{\*\templateURL}使用十六進位制編輯器將命令新增到RTF檔案中。該方法也適用於在Microsoft Word中開啟的doc.rtf檔案，強制應用程式在將內容提供給受害者之前從指定的URL檢索資源。

Proofpoint在親印度駭客組織DoNot Team、與俄羅斯有關聯的Gamaredon駭客組織和TA423威脅參與者的網路釣魚活動中觀察到了這種有效載荷檢索方法。為了抵禦這種威脅，您應該避免下載和開啟透過未經請求的電子郵件到達的RTF檔案，使用AV掃描器掃描它們，並透過應用最新的可用安全更新來使您的Microsoft Office保持最新狀態。

新聞來源：

https://www.bleepingcomputer.com/news/security/state-backed-hackers-increasingly-use-rtf-injection-for-phishing/

    Microsoft Exchange伺服器被駭客入侵以部署BlackByte勒索軟體

BlackByte勒索軟體團伙現在透過使用ProxyShell漏洞利用Microsoft Exchange伺服器來破壞公司網路。

ProxyShell是一組三個Microsoft Exchange漏洞的名稱，這些漏洞允許在連結在一起時在伺服器上未經身份驗證的遠端程式碼執行。

自從研究人員披露了這些漏洞後，攻擊者就開始利用它們來破壞伺服器並安裝webshell、硬幣礦工和勒索軟體。

• CVE-2021-34473-預身份驗證路徑混淆導致ACL繞過（KB5001779於4月修補）

• CVE-2021-34523-ExchangePowerShell後端的特權提升（KB5001779於4月修補）

• CVE-2021-31207-授權後任意檔案寫入導致RCE（KB5003435於5月修補）

研究人員分析了BlackByte勒索軟體攻擊，發現攻擊者利用ProxyShell漏洞在受感染的Microsoft Exchange伺服器上安裝webshell。WebShell是上傳到Web伺服器的小指令碼，允許威脅行為者獲得對裝置的永續性並遠端執行命令或將其他檔案上傳到伺服器。利用植入的webshell在伺服器上放置Cobalt Strike信標，注入Windows更新代理程式。然後使用廣泛濫用的滲透測試工具在受感染系統上轉儲服務帳戶的憑據。最後，攻擊者接管帳戶，安裝AnyDesk遠端訪問工具，進入橫向移動階段。

新聞來源：

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-blackbyte-ransomware/

安全漏洞威脅

惠普針對印表機產品漏洞釋出韌體更新

HPInc.已針對影響其多功能印表機(MFP)產品的150多種型號的多個安全漏洞釋出韌體更新。

根據發現漏洞並於2021年4月向惠普報告的F-Secure研究人員稱，它們對企業組織構成了威脅，因為它們為攻擊者提供了一種竊取資料並在網路上立足的手段。

這些缺陷也很危險，因為取證工具通常無法從多功能印表機中恢復證據。F-Secure表示，想要保持隱身狀態的攻擊者可以利用這些漏洞並留下很少的證據。

這些漏洞被分配了兩個漏洞識別符號：CVE-2021-39237是兩個暴露的物理埠的單一識別符號，CVE-2021-39238是兩個不同的字型解析缺陷。包含漏洞的惠普產品包括該公司的HP LaserJet、HP LaserJet Managed、HP PageWide和HP PageWide Managed印表機型號。

在宣佈補丁可用性的公告中，HP將其中一個漏洞(CVE-2021-39238)描述為嚴重的緩衝區溢位問題，將另一個(CVE-2021-39237)描述為只能被某人利用的高嚴重性資訊洩露漏洞，利用漏洞需要對裝置進行物理訪問。

F-Secure表示可以透過多種方式利用這些漏洞。這包括從USB驅動器列印、使用社會工程學說服使用者列印惡意文件、在PDF中嵌入字型解析缺陷的漏洞利用或直接連線到物理LAN埠並列印。

這些漏洞存在於受影響的HP印表機的字型解析器和通訊板中。字型解析器的缺陷可以被遠端利用並且是蠕蟲病毒，這意味著攻擊者可以建立能夠在企業網路中易受攻擊的印表機上自我複製的惡意軟體。與此同時，通訊板中的錯誤只能被能夠物理訪問裝置的人利用。

新聞來源：

https://www.darkreading.com/vulnerabilities-threats/hp-issues-firmware-updates-for-printer-product-vulnerabilities