超三十萬臺裝置感染銀行木馬、遠端程式碼漏洞可攻擊雲主機|12月7日全球網路安全熱點

騰訊安全發表於2021-12-07

圖片



安全資訊報告


勒索軟體駭客釋出39,000份政府內部檔案

 

Volkskrant週一報導,一家為荷蘭警察、緊急服務和安全部門處理敏感檔案的技術公司已成為駭客的目標。在公司Abiom拒絕遵守勒索軟體組織LockBit的要求後,共有39,000份檔案(包括身份證件和發票)在網上洩露。

 

安全專家Matthijs Koot表示,這次攻擊代表了勒索軟體運營商的一種新策略。他們沒有鎖定私人資料,而是威脅要公開安全資訊,以損害受害者的聲譽。

 

新聞來源:

https://www.dutchnews.nl/news/2021/12/ransomware-hackers-release-39000-internal-government-files/

 

虛假支援代理呼叫受害者安裝Android銀行惡意軟體

 

BRATA Android遠端訪問木馬(RAT)已在義大利被發現,攻擊者呼叫簡訊攻擊的受害者以竊取他們的網上銀行憑證。BRATA以前在巴西出現過,透過Google Play商店上的應用程式交付,但現在看來其作者正在將其出售給外國運營商。

 

該義大利活動於2021年6月首次被發現,透過簡訊網路釣魚(也稱為smishing)傳送多個Android應用程式,相關樣本在Virus Total中只有50%的安全軟體檢測為惡意。

 

攻擊始於連結惡意網站的未經請求的簡訊(SMS),聲稱是來自銀行的訊息,敦促收件人下載反垃圾郵件應用程式。最終受害者會下載BRATA惡意軟體,或將他們帶到網路釣魚頁面以輸入其銀行帳號密碼的頁面。攻擊者會打電話給受害者,並假裝是銀行的員工,提供安裝應用程式的幫助。

 

BRATA功能的完整列表包括:

  • 攔截SMS訊息並將其轉發到C2伺服器。

  • 螢幕錄製敏感資訊。

  • 解除安裝特定的應用程式(例如,防病毒軟體)。

  • 隱藏自己的圖示應用程式,以減少非高階使用者的可追蹤性。

  • 禁用Google Play Protect以避免被Google標記為可疑應用。

  • 修改裝置設定以獲得更多許可權。

  • 如果裝置被密碼或圖案鎖定,解鎖裝置。

  • 顯示釣魚頁面。

 

攻擊者濫用這些許可權訪問受害者的銀行賬戶,檢索二次驗證密碼,並最終執行欺詐交易。

 

新聞來源:

https://www.bleepingcomputer.com/news/security/fake-support-agents-call-victims-to-install-android-banking-malware/

 

針對超過300,000臺裝置的4個Android銀行木馬活動

 

2021年8月至11月期間,四種不同的Android銀行木馬透過官方Google Play商店傳播,導致超過300,000次透過各種應用程式感染,這些應用程式偽裝成看似無害的實用程式應用程式,以完全控制受感染的裝置。

 

安裝後,這些銀行木馬程式可以使用一種稱為自動轉賬系統(ATS)的工具,在使用者不知情的情況下,秘密竊取使用者密碼和基於SMS的雙因素身份驗證程式碼、擊鍵、螢幕截圖,甚至耗盡使用者的銀行賬戶。這些應用程式已從Play商店中刪除。

 

惡意dropper應用程式列表如下:

  • 兩因素身份驗證器

    (com.flowdivison)

  • 保護衛士

    (com.protectionguard.app)

  • QR CreatorScanner

    (com.ready.qrscanner.mix)

  • Master ScannerLive

    (com.multifuction.combine.qr)

  • 二維碼掃描器2021

    (com.qr.code.generate)

  • QR掃描器

    (com.qr.barqr.scangen)

  • PDF文件掃描器

    (com.xaviermuches.docscannerpro2)

  • PDF文件掃描器免費

    (com.doscanner.mobile)

  • CryptoTracker

    (cryptolistapp.app.com.cryptotracker)

  • 健身房和健身教練

    (com.gym.trainer.jeux)

 

新聞來源:

https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html

 

Windows、Office盜版啟用工具KMSPico被用於傳播竊取加密貨幣錢包的木馬

 

該惡意軟體被稱為“CryptBot”,是一種資訊竊取程式,能夠獲取瀏覽器、加密貨幣錢包、瀏覽器cookie、信用卡的憑據,並從受感染的系統中捕獲螢幕截圖。透過破解軟體部署,最新的攻擊涉及偽裝成KMSPico的惡意軟體。

 

KMSPico是一種非官方工具,用於非法啟用盜版軟體(如MicrosoftWindows和Office套件)的全部功能。

 

新聞來源:

https://thehackernews.com/2021/12/malicious-kmspico-windows-activator.html

 

Nobelium駭客組織使用新型隱蔽Ceeloader惡意軟體

 

Nobelium駭客組織透過瞄準其雲和託管服務提供商並使用新的自定義“Ceeloader”惡意軟體,繼續破壞全球政府和企業網路。

 

Nobelium是微軟對去年導致多個美國聯邦機構妥協的SolarWinds供應鏈攻擊背後的威脅參與者的名字。該組織被通常稱為APT29、The Dukes或Cozy Bear。雖然Nobelium是一個使用自定義惡意軟體和工具的高階駭客組織,但他們仍然會留下活動痕跡,研究人員可以使用這些痕跡來分析他們的攻擊。

 

在Mandiant的一份新報告中,研究人員利用這一活動發現了駭客組織使用的策略、技術和程式(TTP),以及一個名為“Ceeloader”的新自定義下載器。此外,研究人員將Nobelium分為兩個不同的活動叢集,歸因於UNC3004和UNC2652,這可能意味著Nobelium是兩個合作的駭客組織。

 

根據Mandiant所看到的活動,Nobelium參與者繼續破壞雲提供商和MSP,以此作為獲得對其下游客戶網路環境的初始訪問許可權的一種方式。

 

“至少在一個例項中,威脅行為者識別並破壞了一個本地VPN帳戶,並利用該VPN帳戶執行偵察並進一步訪問受害CSP環境中的內部資源,最終導致內部域帳戶遭到破壞”Mandiant解釋道。

 

在至少一個其他漏洞中,駭客組織使用CRYPTBOT密碼竊取惡意軟體竊取用於對受害者的Microsoft365環境進行身份驗證的有效會話令牌。

 

新聞來源:

https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/


安全漏洞威脅


CERBER勒索軟體利用Confluence RCE等多個高危漏洞攻擊雲主機

 

12月6日,騰訊安全Cyber-Holmes引擎系統檢測併發出告警:CERBER勒索軟體傳播者利用Atlassian Confluence遠端程式碼執行漏洞(CVE-2021-26084)和GitLabexiftool遠端程式碼執行漏洞(CVE-2021-22205)攻擊雲上主機。被勒索軟體加密破壞的檔案無金鑰暫不能解密,騰訊安全專家建議所有受影響的使用者儘快修復漏洞,避免造成資料完全損失,業務徹底崩潰。

 

Atlassian Confluence遠端程式碼執行漏洞(CVE-2021-26084)為8月26日披露的高危漏洞,該漏洞的CVSS評分為9.8,是一個物件圖導航語言(ONGL)注入漏洞,允許未經身份驗證的攻擊者在Confluence Server或Data Center例項上執行任意程式碼,攻擊者利用漏洞可完全控制伺服器。

 

GitLab exiftool遠端命令執行漏洞(CVE-2021-22205)同樣也是網路黑產瘋狂利用的高危漏洞。由於Gitlab某些端點路徑無需授權,攻擊者可在無需認證的情況下利用圖片上傳功能執行任意程式碼,攻擊者利用漏洞同樣可以完全控制伺服器。

 

騰訊安全專家指出,網路黑灰產業對高危漏洞的利用之快令人印象深刻,在Atlassian Confluence遠端程式碼執行漏洞(CVE-2021-26084)和GitLabe xiftool遠端程式碼執行漏洞(CVE-2021-22205)漏洞詳情及POC程式碼公開之後,已檢測到多個網路黑灰產業對雲主機發起多輪攻擊。這些攻擊較多為挖礦木馬或其他殭屍網路,一般不會造成雲主機崩潰癱瘓,今天捕獲的針對linux雲主機的勒索軟體攻擊,可造成資料完全損失,業務徹底崩潰。

 

新聞來源:

https://mp.weixin.qq.com/s/3tc1FrWMhsc7v4q_QmVwTg


相關文章