安全資訊報告
勒索軟體駭客釋出39,000份政府內部檔案
Volkskrant週一報導,一家為荷蘭警察、緊急服務和安全部門處理敏感檔案的技術公司已成為駭客的目標。在公司Abiom拒絕遵守勒索軟體組織LockBit的要求後,共有39,000份檔案(包括身份證件和發票)在網上洩露。
安全專家Matthijs Koot表示,這次攻擊代表了勒索軟體運營商的一種新策略。他們沒有鎖定私人資料,而是威脅要公開安全資訊,以損害受害者的聲譽。
新聞來源:
https://www.dutchnews.nl/news/2021/12/ransomware-hackers-release-39000-internal-government-files/
虛假支援代理呼叫受害者安裝Android銀行惡意軟體
BRATA Android遠端訪問木馬(RAT)已在義大利被發現,攻擊者呼叫簡訊攻擊的受害者以竊取他們的網上銀行憑證。BRATA以前在巴西出現過,透過Google Play商店上的應用程式交付,但現在看來其作者正在將其出售給外國運營商。
該義大利活動於2021年6月首次被發現,透過簡訊網路釣魚(也稱為smishing)傳送多個Android應用程式,相關樣本在Virus Total中只有50%的安全軟體檢測為惡意。
攻擊始於連結惡意網站的未經請求的簡訊(SMS),聲稱是來自銀行的訊息,敦促收件人下載反垃圾郵件應用程式。最終受害者會下載BRATA惡意軟體,或將他們帶到網路釣魚頁面以輸入其銀行帳號密碼的頁面。攻擊者會打電話給受害者,並假裝是銀行的員工,提供安裝應用程式的幫助。
BRATA功能的完整列表包括:
攻擊者濫用這些許可權訪問受害者的銀行賬戶,檢索二次驗證密碼,並最終執行欺詐交易。
新聞來源:
https://www.bleepingcomputer.com/news/security/fake-support-agents-call-victims-to-install-android-banking-malware/
針對超過300,000臺裝置的4個Android銀行木馬活動
2021年8月至11月期間,四種不同的Android銀行木馬透過官方Google Play商店傳播,導致超過300,000次透過各種應用程式感染,這些應用程式偽裝成看似無害的實用程式應用程式,以完全控制受感染的裝置。
安裝後,這些銀行木馬程式可以使用一種稱為自動轉賬系統(ATS)的工具,在使用者不知情的情況下,秘密竊取使用者密碼和基於SMS的雙因素身份驗證程式碼、擊鍵、螢幕截圖,甚至耗盡使用者的銀行賬戶。這些應用程式已從Play商店中刪除。
惡意dropper應用程式列表如下:
兩因素身份驗證器
(com.flowdivison)
保護衛士
(com.protectionguard.app)
QR CreatorScanner
(com.ready.qrscanner.mix)
Master ScannerLive
(com.multifuction.combine.qr)
二維碼掃描器2021
(com.qr.code.generate)
QR掃描器
(com.qr.barqr.scangen)
PDF文件掃描器
(com.xaviermuches.docscannerpro2)
PDF文件掃描器免費
(com.doscanner.mobile)
CryptoTracker
(cryptolistapp.app.com.cryptotracker)
健身房和健身教練
(com.gym.trainer.jeux)
新聞來源:
https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html
Windows、Office盜版啟用工具KMSPico被用於傳播竊取加密貨幣錢包的木馬
該惡意軟體被稱為“CryptBot”,是一種資訊竊取程式,能夠獲取瀏覽器、加密貨幣錢包、瀏覽器cookie、信用卡的憑據,並從受感染的系統中捕獲螢幕截圖。透過破解軟體部署,最新的攻擊涉及偽裝成KMSPico的惡意軟體。
KMSPico是一種非官方工具,用於非法啟用盜版軟體(如MicrosoftWindows和Office套件)的全部功能。
新聞來源:
https://thehackernews.com/2021/12/malicious-kmspico-windows-activator.html
Nobelium駭客組織使用新型隱蔽Ceeloader惡意軟體
Nobelium駭客組織透過瞄準其雲和託管服務提供商並使用新的自定義“Ceeloader”惡意軟體,繼續破壞全球政府和企業網路。
Nobelium是微軟對去年導致多個美國聯邦機構妥協的SolarWinds供應鏈攻擊背後的威脅參與者的名字。該組織被通常稱為APT29、The Dukes或Cozy Bear。雖然Nobelium是一個使用自定義惡意軟體和工具的高階駭客組織,但他們仍然會留下活動痕跡,研究人員可以使用這些痕跡來分析他們的攻擊。
在Mandiant的一份新報告中,研究人員利用這一活動發現了駭客組織使用的策略、技術和程式(TTP),以及一個名為“Ceeloader”的新自定義下載器。此外,研究人員將Nobelium分為兩個不同的活動叢集,歸因於UNC3004和UNC2652,這可能意味著Nobelium是兩個合作的駭客組織。
根據Mandiant所看到的活動,Nobelium參與者繼續破壞雲提供商和MSP,以此作為獲得對其下游客戶網路環境的初始訪問許可權的一種方式。
“至少在一個例項中,威脅行為者識別並破壞了一個本地VPN帳戶,並利用該VPN帳戶執行偵察並進一步訪問受害CSP環境中的內部資源,最終導致內部域帳戶遭到破壞”Mandiant解釋道。
在至少一個其他漏洞中,駭客組織使用CRYPTBOT密碼竊取惡意軟體竊取用於對受害者的Microsoft365環境進行身份驗證的有效會話令牌。
新聞來源:
https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/
安全漏洞威脅
CERBER勒索軟體利用Confluence RCE等多個高危漏洞攻擊雲主機
12月6日,騰訊安全Cyber-Holmes引擎系統檢測併發出告警:CERBER勒索軟體傳播者利用Atlassian Confluence遠端程式碼執行漏洞(CVE-2021-26084)和GitLabexiftool遠端程式碼執行漏洞(CVE-2021-22205)攻擊雲上主機。被勒索軟體加密破壞的檔案無金鑰暫不能解密,騰訊安全專家建議所有受影響的使用者儘快修復漏洞,避免造成資料完全損失,業務徹底崩潰。
Atlassian Confluence遠端程式碼執行漏洞(CVE-2021-26084)為8月26日披露的高危漏洞,該漏洞的CVSS評分為9.8,是一個物件圖導航語言(ONGL)注入漏洞,允許未經身份驗證的攻擊者在Confluence Server或Data Center例項上執行任意程式碼,攻擊者利用漏洞可完全控制伺服器。
GitLab exiftool遠端命令執行漏洞(CVE-2021-22205)同樣也是網路黑產瘋狂利用的高危漏洞。由於Gitlab某些端點路徑無需授權,攻擊者可在無需認證的情況下利用圖片上傳功能執行任意程式碼,攻擊者利用漏洞同樣可以完全控制伺服器。
騰訊安全專家指出,網路黑灰產業對高危漏洞的利用之快令人印象深刻,在Atlassian Confluence遠端程式碼執行漏洞(CVE-2021-26084)和GitLabe xiftool遠端程式碼執行漏洞(CVE-2021-22205)漏洞詳情及POC程式碼公開之後,已檢測到多個網路黑灰產業對雲主機發起多輪攻擊。這些攻擊較多為挖礦木馬或其他殭屍網路,一般不會造成雲主機崩潰癱瘓,今天捕獲的針對linux雲主機的勒索軟體攻擊,可造成資料完全損失,業務徹底崩潰。
新聞來源:
https://mp.weixin.qq.com/s/3tc1FrWMhsc7v4q_QmVwTg