安全資訊報告

Emotet曾經是世界上最危險的惡意軟體，它又回來了

Emotet曾被描述為“世界上最危險的惡意軟體”，但在被一次重大的國際警察行動取締之前，顯然又回來了——並被安裝在感染了TrickBot惡意軟體的Windows系統上。

Emotet惡意軟體為其控制器提供了一個進入受感染機器的後門，這些機器可以出租給其他組織，包括勒索軟體團伙，用於他們自己的活動。Emotet還使用受感染的系統傳送自動網路釣魚電子郵件，以增加殭屍網路的規模。

拆除殭屍網路是近年來網路犯罪活動最嚴重的破壞之一，因為世界各地的執法機構——包括歐洲刑警組織和聯邦調查局——共同努力控制數百臺Emotet伺服器，這些伺服器控制著數百萬臺感染了惡意軟體。調查人員建立的特製killswitch更新在4月份有效地從受感染的計算機上解除安裝了殭屍網路。

現在，多家網路安全公司的研究人員警告稱，Emotet已經迴歸。另一個惡意軟體殭屍網路TrickBot被用來在受感染的Windows系統上安裝Emotet，它在1月份被刪除後成為許多網路犯罪分子的首選。

“我們在幾個Trickbot跟蹤器上觀察到該機器人試圖將DLL下載到系統中。根據內部處理，這些DLL已被識別為Emotet。但是，由於該殭屍網路在今年早些時候被刪除，我們對此表示懷疑德國網路安全公司GData的安全研究員Luca Ebach在一篇部落格文章中寫道。

來自AdvIntel、Crypolaemus和其他公司的網路安全研究人員也證實，這確實看起來像是Emotet的迴歸，它似乎使用了一種與之前看到的不同的加密技術。

目前，Emotet並沒有嘗試重新分配自身，而是依靠TrickBot來傳播新的感染——但這確實表明Emotet背後的人正試圖讓殭屍網路重新啟動並執行。

“這個新的變種和舊Emotet出了碼重疊和技術重複之間的關係，”詹姆斯柄，在團隊庫姆，一個網路安全公司，是那些中的社群服務和高階安全傳道總設計師幫助一月破壞Emotet告訴ZDNet在一封電子郵件中。

“需要一些時間來看看Emotet如何重建，以及它是否會再次成為‘世界上最危險的惡意軟體’。你可以肯定，那些幫助第一次將其取締的人正在密切關注。它不會來“令人驚訝的是，Emotet重新浮出水面。事實上，更多人可能想知道為什麼花了這麼長時間，”他補充道。

新聞來源： 

https://www.zdnet.com/article/emotet-once-the-worlds-most-dangerous-malware-is-back/

木馬SharkBot：專門針對Android手機的新惡意軟體

10月底，Cleafy網路安全研究人員發現了這個惡意軟體，令人驚訝的是，它似乎不屬於任何其他已知家族。Cleafy將他們發現的惡意軟體稱為SharkBot，這是一種從一些易受攻擊的手機中竊取資金的Android惡意軟體。

根據ZDNet的報導，SharkBot的重點是從執行Google Android作業系統的手機中竊取資金。截至目前，英國、美國和義大利均出現感染病例。

SharkBot很可能是一個私人殭屍網路，還處於起步階段或至少處於發展的早期階段。據研究人員稱，SharkBot是一種模組化惡意軟體，屬於下一代移動惡意軟體。

與Gustuff銀行木馬一樣，啟動自動填充服務是為了透過使用合法的金融服務應用程式進行欺詐性匯款。這已開始成為惡意軟體開發的普遍趨勢，也是行動電話（如網路釣魚域）上發生的舊盜竊技術的一個支點。

Cleafy現在建議SharkBot使用這種技術來嘗試繞過生物特徵檢查、行為分析和多因素身份驗證，因為不需要註冊新裝置。但是，要做到這一點，惡意軟體必須首先破壞Android無障礙服務。

一旦最終在Android手機上執行，SharkBot會立即傳送請求訪問許可權。然後，這將透過彈出視窗困擾受害者，直到最終獲得批准。

棘手的部分是沒有顯示安裝圖示，一旦SharkBot獲得所需的所有手機許可權，SharkBot就會悄悄地覆蓋攻擊以竊取憑據和卡資訊。SharkBot還基於ATS執行盜竊，還可以鍵入日誌並攔截或隱藏任何傳入的SMS訊息。

新聞來源： 

https://www.techtimes.com/articles/268055/20211116/new-malware-specializes-android-handsets-trojan-sharkbot-attacks-waves-europe.htm

新的“摩西員工”駭客組織以破壞性攻擊為目標針對以色列公司

自2021年9月以來，一個名為“Moses Staff”的具有政治動機的新駭客組織與一波針對以色列組織的針對性攻擊有關，其目的是在加密網路之前掠奪和洩露敏感資訊，並且無法重新獲得訪問許可權或進行談判贖金。

Check Point Research在週一釋出的一份報告中說：“該組織公開表示，他們攻擊以色列公司的動機是透過洩露被盜的敏感資料和加密受害者的網路來造成損害，沒有贖金要求。”“用襲擊者的話來說，他們的目的是‘打擊抵抗並揭露被佔領土上猶太復國主義者的罪行。’”

根據該集體釋出的統計資料，迄今為止，至少有16名受害者的資料被洩露。除了使用引導載入程式感染系統以防止系統在沒有正確加密金鑰的情況下啟動之外，這些攻擊還特別依賴開源庫DiskCryptor來執行卷加密。研究人員說，目標是破壞行動並對受害者造成“不可逆轉的傷害”。

Check Point沒有將攻擊者歸咎於任何特定國家，理由是缺乏明確的證據，但指出該組織工具集的一些工件已在第一次攻擊前幾個月從巴勒斯坦提交給VirusTotal。

新聞來源： 

https://thehackernews.com/2021/11/new-moses-staff-hacker-group-targets.html

WordPress網站遭到虛假勒索軟體攻擊

上週晚些時候開始的新一波攻擊已經入侵了近300個WordPress網站以顯示虛假的加密通知，試圖誘騙網站所有者支付0.1比特幣進行恢復。

這些贖金要求帶有倒數計時器，以引起緊迫感，並可能使網路管理員驚慌地支付贖金。

雖然與我們在備受矚目的勒索軟體攻擊中看到的相比，0.1比特幣（約6,069.23美元）的贖金需求並不是特別重要，但對於許多網站所有者來說，這仍然是一個相當大的數額。

研究人員發現這些網站沒有被加密，而是攻擊者修改了一個已安裝的WordPress外掛，以顯示贖金記錄和倒數計時。除了顯示贖金記錄外，該外掛還會修改所有WordPress部落格文章並將其“post_status”設定為“null”，從而使它們進入未釋出狀態。

攻擊者創造了一種簡單而強大的錯覺，使網站看起來好像已被加密。透過刪除外掛並執行命令重新發布帖子和頁面，站點恢復到正常狀態。

新聞來源： 

https://www.bleepingcomputer.com/news/security/wordpress-sites-are-being-hacked-in-fake-ransomware-attacks/

安全漏洞威脅

研究人員表示，勒索軟體團伙現在已經足夠有錢購買零日漏洞

隨著網路犯罪分子不斷尋找新的攻擊方式，他們變得越來越先進，有些人現在願意購買零日漏洞。有關漏洞和漏洞利用的知識在地下論壇上可能會付出高昂的代價，因為能夠利用它們對網路犯罪分子來說是非常有利可圖的。特別是如果這涉及網路安全研究人員不知道的零日漏洞，因為攻擊者知道潛在的受害者將沒有機會應用安全更新來防禦它。

Digital Shadows網路安全研究人員的分析，詳細說明了暗網留言板上關於零日犯罪市場的討論越來越多。“這個市場是一個極其昂貴且競爭激烈的市場，它通常是國家支援的威脅組織的特權。然而，某些知名網路犯罪集團在過去幾年積累了驚人的財富，現在可以競爭與零日漏洞的傳統買家一起，”Digital Shadows說。

像這樣的漏洞甚至可能花費數百萬美元，但對於成功的勒索軟體組織來說，這是一個可以承受的價格，如果漏洞按預期工作，該組織從每次成功的勒索軟體攻擊中賺取數百萬美元，他們可以透過提供滲透網路的可靠手段。

發現漏洞的網路罪犯可以將其出租給其他人，而不是直接出售漏洞。如果他們透過複雜的過程出售它，它可能會開始讓他們更快地賺錢，並且他們可以繼續從中賺錢很長一段時間。如果他們厭倦了租賃，他們還可以選擇最終出售零日。

新聞來源： 

https://www.zdnet.com/article/ransomware-gangs-are-now-rich-enough-to-buy-zero-day-flaws-say-researchers/