安全資訊報告

勒索軟體駭客釋出39,000份政府內部檔案

Volkskrant週一報導，一家為荷蘭警察、緊急服務和安全部門處理敏感檔案的技術公司已成為駭客的目標。在公司Abiom拒絕遵守勒索軟體組織LockBit的要求後，共有39,000份檔案（包括身份證件和發票）在網上洩露。

安全專家Matthijs Koot表示，這次攻擊代表了勒索軟體運營商的一種新策略。他們沒有鎖定私人資料，而是威脅要公開安全資訊，以損害受害者的聲譽。

新聞來源：

https://www.dutchnews.nl/news/2021/12/ransomware-hackers-release-39000-internal-government-files/

虛假支援代理呼叫受害者安裝Android銀行惡意軟體

BRATA Android遠端訪問木馬(RAT)已在義大利被發現，攻擊者呼叫簡訊攻擊的受害者以竊取他們的網上銀行憑證。BRATA以前在巴西出現過，透過Google Play商店上的應用程式交付，但現在看來其作者正在將其出售給外國運營商。

該義大利活動於2021年6月首次被發現，透過簡訊網路釣魚（也稱為smishing）傳送多個Android應用程式，相關樣本在Virus Total中只有50%的安全軟體檢測為惡意。

攻擊始於連結惡意網站的未經請求的簡訊（SMS），聲稱是來自銀行的訊息，敦促收件人下載反垃圾郵件應用程式。最終受害者會下載BRATA惡意軟體，或將他們帶到網路釣魚頁面以輸入其銀行帳號密碼的頁面。攻擊者會打電話給受害者，並假裝是銀行的員工，提供安裝應用程式的幫助。

BRATA功能的完整列表包括：

• 攔截SMS訊息並將其轉發到C2伺服器。

• 螢幕錄製敏感資訊。

• 解除安裝特定的應用程式（例如，防病毒軟體）。

• 隱藏自己的圖示應用程式，以減少非高階使用者的可追蹤性。

• 禁用Google Play Protect以避免被Google標記為可疑應用。

• 修改裝置設定以獲得更多許可權。

• 如果裝置被密碼或圖案鎖定，解鎖裝置。

• 顯示釣魚頁面。

攻擊者濫用這些許可權訪問受害者的銀行賬戶，檢索二次驗證密碼，並最終執行欺詐交易。

新聞來源：

https://www.bleepingcomputer.com/news/security/fake-support-agents-call-victims-to-install-android-banking-malware/

針對超過300,000臺裝置的4個Android銀行木馬活動

2021年8月至11月期間，四種不同的Android銀行木馬透過官方Google Play商店傳播，導致超過300,000次透過各種應用程式感染，這些應用程式偽裝成看似無害的實用程式應用程式，以完全控制受感染的裝置。

安裝後，這些銀行木馬程式可以使用一種稱為自動轉賬系統(ATS)的工具，在使用者不知情的情況下，秘密竊取使用者密碼和基於SMS的雙因素身份驗證程式碼、擊鍵、螢幕截圖，甚至耗盡使用者的銀行賬戶。這些應用程式已從Play商店中刪除。

惡意dropper應用程式列表如下：

• 兩因素身份驗證器

  (com.flowdivison）

• 保護衛士

  (com.protectionguard.app)

• QR CreatorScanner

  (com.ready.qrscanner.mix)

• Master ScannerLive

  (com.multifuction.combine.qr)

• 二維碼掃描器2021

  (com.qr.code.generate)

• QR掃描器

  (com.qr.barqr.scangen)

• PDF文件掃描器

  (com.xaviermuches.docscannerpro2)

• PDF文件掃描器免費

  (com.doscanner.mobile)

• CryptoTracker

  (cryptolistapp.app.com.cryptotracker)

• 健身房和健身教練

  (com.gym.trainer.jeux)

新聞來源：

https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html

Windows、Office盜版啟用工具KMSPico被用於傳播竊取加密貨幣錢包的木馬

該惡意軟體被稱為“CryptBot”，是一種資訊竊取程式，能夠獲取瀏覽器、加密貨幣錢包、瀏覽器cookie、信用卡的憑據，並從受感染的系統中捕獲螢幕截圖。透過破解軟體部署，最新的攻擊涉及偽裝成KMSPico的惡意軟體。

KMSPico是一種非官方工具，用於非法啟用盜版軟體（如MicrosoftWindows和Office套件）的全部功能。

新聞來源：

https://thehackernews.com/2021/12/malicious-kmspico-windows-activator.html

Nobelium駭客組織使用新型隱蔽Ceeloader惡意軟體

Nobelium駭客組織透過瞄準其雲和託管服務提供商並使用新的自定義“Ceeloader”惡意軟體，繼續破壞全球政府和企業網路。

Nobelium是微軟對去年導致多個美國聯邦機構妥協的SolarWinds供應鏈攻擊背後的威脅參與者的名字。該組織被通常稱為APT29、The Dukes或Cozy Bear。雖然Nobelium是一個使用自定義惡意軟體和工具的高階駭客組織，但他們仍然會留下活動痕跡，研究人員可以使用這些痕跡來分析他們的攻擊。

在Mandiant的一份新報告中，研究人員利用這一活動發現了駭客組織使用的策略、技術和程式(TTP)，以及一個名為“Ceeloader”的新自定義下載器。此外，研究人員將Nobelium分為兩個不同的活動叢集，歸因於UNC3004和UNC2652，這可能意味著Nobelium是兩個合作的駭客組織。

根據Mandiant所看到的活動，Nobelium參與者繼續破壞雲提供商和MSP，以此作為獲得對其下游客戶網路環境的初始訪問許可權的一種方式。

“至少在一個例項中，威脅行為者識別並破壞了一個本地VPN帳戶，並利用該VPN帳戶執行偵察並進一步訪問受害CSP環境中的內部資源，最終導致內部域帳戶遭到破壞”Mandiant解釋道。

在至少一個其他漏洞中，駭客組織使用CRYPTBOT密碼竊取惡意軟體竊取用於對受害者的Microsoft365環境進行身份驗證的有效會話令牌。

新聞來源：

https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/

安全漏洞威脅

CERBER勒索軟體利用Confluence RCE等多個高危漏洞攻擊雲主機

12月6日，騰訊安全Cyber-Holmes引擎系統檢測併發出告警：CERBER勒索軟體傳播者利用Atlassian Confluence遠端程式碼執行漏洞（CVE-2021-26084）和GitLabexiftool遠端程式碼執行漏洞(CVE-2021-22205)攻擊雲上主機。被勒索軟體加密破壞的檔案無金鑰暫不能解密，騰訊安全專家建議所有受影響的使用者儘快修復漏洞，避免造成資料完全損失，業務徹底崩潰。

Atlassian Confluence遠端程式碼執行漏洞（CVE-2021-26084）為8月26日披露的高危漏洞，該漏洞的CVSS評分為9.8，是一個物件圖導航語言(ONGL)注入漏洞，允許未經身份驗證的攻擊者在Confluence Server或Data Center例項上執行任意程式碼，攻擊者利用漏洞可完全控制伺服器。

GitLab exiftool遠端命令執行漏洞（CVE-2021-22205）同樣也是網路黑產瘋狂利用的高危漏洞。由於Gitlab某些端點路徑無需授權，攻擊者可在無需認證的情況下利用圖片上傳功能執行任意程式碼，攻擊者利用漏洞同樣可以完全控制伺服器。

騰訊安全專家指出，網路黑灰產業對高危漏洞的利用之快令人印象深刻，在Atlassian Confluence遠端程式碼執行漏洞（CVE-2021-26084）和GitLabe xiftool遠端程式碼執行漏洞(CVE-2021-22205)漏洞詳情及POC程式碼公開之後，已檢測到多個網路黑灰產業對雲主機發起多輪攻擊。這些攻擊較多為挖礦木馬或其他殭屍網路，一般不會造成雲主機崩潰癱瘓，今天捕獲的針對linux雲主機的勒索軟體攻擊，可造成資料完全損失，業務徹底崩潰。

新聞來源：

https://mp.weixin.qq.com/s/3tc1FrWMhsc7v4q_QmVwTg