安全資訊報告

PhoneSpy惡意軟體破壞Android隱私

週三，Zimperium zLabs釋出了一份關於PhoneSpy的新報告，PhoneSpy是一種間諜軟體，旨在滲透在谷歌Android作業系統上執行的手機。

最新的PhoneSpy活動似乎集中在韓國，惡意軟體被捆綁到看似良性的移動應用程式中，包括訊息傳遞、瑜伽指導、照片收集和瀏覽實用程式以及電視/影片流軟體。zLabs懷疑感染媒介是使用釋出到網站或社交媒體渠道的網路釣魚連結。

一旦受害者安裝並執行應用程式的APK檔案，PhoneSpy就會被部署。PhoneSpy的目標是韓語使用者，並會丟擲一個網路釣魚頁面，假裝來自流行的服務——例如Kakao Talk訊息應用程式——以請求許可權並竊取憑據。

該惡意軟體被描述為一種“高階”遠端訪問木馬(RAT)，能夠悄悄地對受害者進行監視並將資料傳送到命令和控制(C2)伺服器。PhoneSpy的功能包括透過GPS監控受害者的位置；透過劫持手機麥克風和前後攝像頭實時錄製音訊、影像和影片；攔截和竊取SMS訊息、來電轉駁、通話記錄和聯絡人列表盜竊、代表惡意軟體的運營商傳送訊息以及洩露裝置資訊。

PhoneSpy已開發出具有混淆和隱藏功能，並將隱藏其圖示以不被發現——這是間諜軟體和跟蹤軟體採用的常見策略。惡意軟體還可能嘗試解除安裝使用者應用程式，包括移動安全軟體。zLabs認為，該活動已被用來收集“來自受害者的大量個人和公司資訊，包括私人通訊和照片”。

新聞來源： 

https://www.zdnet.com/article/a-stalkers-wishlist-phonespy-malware-destroys-android-privacy/

調查顯示，美國勒索軟體受害者的平均支付額超600萬美元

Mimecast的一份新報告發現，在勒索軟體事件發生後，美國在支付金額方面處於領先地位。研究人員與742名網路安全專業人員進行了交談，發現其中80%在過去兩年中已成為勒索軟體的目標。

在這80%中，39%支付了贖金，美國受害者平均支付了6,312,190美元。加拿大受害者平均支付5,347,508美元，英國受害者支付了近850,000美元。南非、澳大利亞和德國的受害者平均支付的費用都低於250,000美元。

超過40%的受訪者沒有支付任何贖金，另外13%的受訪者能夠透過談判降低最初的贖金數字。在與Mimecast交談的742位專家中，超過一半表示勒索軟體攻擊的主要來源來自帶有勒索軟體附件的網路釣魚電子郵件，另有47%表示它們源自“網路安全”。

不到一半的受訪者表示他們有檔案備份，可以在發生勒索軟體攻擊時使用，近50%的受訪者表示他們需要更大的預算來更新他們的資料安全系統。勒索軟體事件的成本遠遠超出了贖金本身；42%的調查受訪者表示他們的運營中斷了，36%的受訪者表示他們面臨著嚴重的停機時間。近30%的人表示他們失去了收入，21%的人表示他們失去了客戶。

近40%的接受調查的網路安全專業人士表示，如果勒索軟體攻擊成功，他們將失去工作。

新聞來源： 

https://www.zdnet.com/article/average-ransomware-payment-for-us-victim-more-than-6-million-mimecast/

新的Android惡意軟體以Netflix、Instagram和Twitter使用者為目標

一種名為MasterFred的新型Android惡意軟體使用虛假登入覆蓋來竊取Netflix、Instagram和Twitter使用者的信用卡資訊。這種新的Android銀行木馬還針對銀行客戶提供多種語言的自定義虛假登入覆蓋。

Avast威脅實驗室的研究人員發現內建的Android輔助功能服務提供的API來惡意覆蓋介面。“透過利用預設安裝在Android上的應用程式可訪問性工具包，攻擊者能夠使用該應用程式實施Overlay攻擊，以欺騙使用者輸入信用卡資訊，以防止Netflix和Twitter上的虛假帳戶洩露。”這些Android惡意軟體還捆綁了用於顯示虛假登入表單和收集受害者財務資訊的HTML覆蓋層。

新聞來源： 

https://www.bleepingcomputer.com/news/security/new-android-malware-targets-netflix-instagram-and-twitter-users/

Lazarus駭客使用木馬IDA Pro攻擊研究人員

駭客組織Lazarus再次試圖入侵安全研究人員，這次是使用流行的IDA Pro（逆向工程應用程式）植入木馬的盜版版本。

IDA Pro是一種將可執行檔案轉換為組合語言的應用程式，允許安全研究人員和程式設計師分析程式的工作方式並發現潛在的錯誤。安全研究人員通常使用IDA來分析合法軟體的漏洞和惡意軟體。但是，由於IDA Pro是一款昂貴的應用程式，因此一些研究人員下載了盜版破解版而不是購買。

Lazarus駭客組織，長期以來一直利用後門和遠端訪問木馬來攻擊安全研究人員。Lazarus攻擊還使用Internet Explorer 0day漏洞在安全研究人員訪問攻擊者傳送的連結時在其裝置上部署惡意軟體。

新聞來源： 

https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-researchers-with-trojanized-ida-pro/

安全漏洞威脅

Palo Alto安全裝置中發現零日漏洞

研究人員開發了一種有效利用，透過Palo Alto Networks(PAN)的安全裝置中的一個嚴重漏洞獲得遠端程式碼執行(RCE)，這可能會使10,000個易受攻擊的防火牆及其產品暴露在網際網路上。

關鍵的零日漏洞被追蹤為CVE2021-3064，漏洞嚴重性的CVSS評級為9.8分（滿分10分），位於PAN的Global Protect防火牆中。它允許在8.1.17之前的多個版本的PAN-OS8.1上進行未經身份驗證的RCE，在物理和虛擬防火牆上。

11102114:04更新：PAN更新涵蓋9.0和9.1版，但根據Randori的研究，這些版本不易受到此特定CVE的影響。一位發言人告訴Threatpost，對非8.1版本的任何更新都可能與CVE2021-3064無關。

11102117:28更新：Palo Alto已更新其公告，以澄清此錯誤不影響8.1.17之前的PAN-OS8.1以外的版本。

Randori研究人員在週三的一篇帖子中表示，如果攻擊者成功利用該漏洞，他們可以獲得目標系統的shell，訪問敏感配置資料，提取憑據等。

之後，攻擊者可以跨越目標組織，他們說：“一旦攻擊者控制了防火牆，他們就可以看到內部網路並可以繼續橫向移動。”

透過對暴露在網際網路上的裝置的Shodan搜尋，Randori最初認為“在面向網際網路的資產上暴露了70,000多個易受攻擊的例項”。

11102117:30更新：Palo Alto Network通知Randori，受影響的裝置數量接近10,000。

新聞來源： 

https://threatpost.com/massive-zero-day-hole-found-in-palo-alto-security-appliances/176170/

間諜活動者利用ManageEngine ADSelfService Plus漏洞，TA505利用SolarWinds Serv-U漏洞部署勒索軟體

Palo Alto Networks的研究人員描述了一場利用Zoho的ManageEngine ADSelfService Plus單點登入(SSO)解決方案中的漏洞的網路間諜活動。美國網路安全和基礎設施安全域性(CISA)於2021年9月釋出了關於此漏洞的警報CVE-2021-40539。CISA稱該漏洞是“一個影響表徵狀態轉移(REST)應用程式程式設計介面(API)的身份驗證繞過漏洞可以啟用遠端程式碼執行的URL。”

Unit42表示，在9月22日至10月初之間，“該行為者成功地破壞了技術、國防、醫療保健、能源和教育行業的至少九個全球實體。”研究人員尚未將此次活動歸因於任何特定的威脅行為者，攻擊者正在部署Godzillaweb shell和NGLite木馬（兩者都是公開可用的），以及一個名為“KdcSponge”的新憑證竊取程式：

TA505利用SolarWinds Serv-U漏洞部署勒索軟體。NCC Group研究人員正在追蹤利用SolarWinds Serv-U中的遠端程式碼執行漏洞(CVE-2021-35211)的Clop勒索軟體攻擊的上升趨勢。該漏洞於7月由微軟披露。NCC Group將這些攻擊歸咎於網路犯罪分子TA505，並指出：“我們認為，利用此類漏洞是TA505最近的初始訪問技術，與攻擊者通常的基於網路釣魚的方法有所不同。”

NCC Group建議使用者將執行SolarWinds Serv-U軟體的系統更新到最新版本。研究人員指出，截至10月，全球66.5%(2,784)的Serv-U例項仍然容易受到攻擊。

新聞來源： 

https://thecyberwire.com/newsletters/research-briefing/3/45

微軟警告：立即修補Exchange Server漏洞，多因素身份驗證可能無法阻止攻擊

微軟已經為其Exchange內部部署電子郵件伺服器軟體釋出了安全更新，企業應該採用這些更新。這些安全更新針對的是Exchange Server 2013、2016和2019中的缺陷——這些Exchange的內部部署版本在今年早些時候被微軟稱為Hafnium的駭客組織攻陷。內部部署Exchange伺服器軟體中的四個漏洞被利用。微軟警告說，一個新修補的漏洞-跟蹤為CVE-2021-42321-也受到攻擊。

Exchange漏洞CVE-2021-42321是Exchange 2016和2019中的一個“身份驗證後漏洞。建議立即安裝這些更新。“這些漏洞會影響本地Microsoft Exchange Server，包括客戶在Exchange混合模式下使用的伺服器。Exchange Online客戶已經受到保護，無需採取任何行動，”微軟指出。

微軟證實，雙因素身份驗證不一定能防止攻擊者利用新的Exchange漏洞，尤其是在帳戶已被盜用的情況下。如果身份驗證成功，那麼CVE-2021-42321可能會被利用。

新聞來源： 

https://www.zdnet.com/article/exchange-server-bug-patch-now-but-mfa-might-not-stop-these-attacks-warns-microsoft

西門子Nucleus TCP/IP堆疊中的13個漏洞影響關鍵裝置

在Nucleus TCP/IP堆疊中發現了多達13個安全漏洞，該軟體庫現在由西門子維護，用於30億個運營技術和物聯網裝置，可以允許遠端程式碼執行、拒絕服務(DoS)，以及資訊洩露。

Forescout和Medigate的研究人員在報告中表示，統稱為“NUCLEUS:13”，成功利用這些漏洞的攻擊可能“導致裝置離線並被劫持”，並“將惡意軟體傳播到網路上的任何地方”週二釋出的一份技術報告，其中一個概念驗證(PoC)成功展示了一種可能會破壞醫療保健和關鍵流程的場景。

其中最嚴重的問題是CVE-2021-31886（CVSS評分：9.8），這是一個影響FTP伺服器元件的基於堆疊的緩衝區溢位漏洞，有效地使惡意行為者能夠編寫任意程式碼、劫持執行流程和實現程式碼執行，並在此過程中控制易受攻擊的裝置。另外兩個嚴重影響FTP伺服器的漏洞（CVE-2021-31887和CVE-2021-31888）可以被武器化以實現DoS和遠端程式碼執行。

新聞來源： 

https://thehackernews.com/2021/11/13-new-flaws-in-siemens-nucleus-tcpip.html