安全資訊報告

Emotet現在放棄Cobalt Strike，快速推進勒索軟體攻擊

 

在一個令人擔憂的發展中，臭名昭著的Emotet惡意軟體現在直接安裝Cobalt Strike信標，為威脅行為者提供即時網路訪問許可權，並使勒索軟體攻擊迫在眉睫。

 

Emotet是一種惡意軟體感染，它透過包含惡意Word或Excel文件的垃圾郵件進行傳播。這些檔案利用宏在受害者的計算機上下載和安裝Emotet木馬，然後用它來竊取電子郵件並在裝置上部署更多惡意軟體。

 

從歷史上看，Emotet會在受感染的裝置上安裝TrickBot或Qbot木馬。這些木馬最終會在受感染的裝置上部署Cobalt Strike或執行其他惡意行為。

 

Cobalt Strike是一個合法的滲透測試工具包，允許攻擊者在受感染裝置上部署“信標”以執行遠端網路監視或執行進一步的命令。但是，Cobalt Strike在使用破解版本作為其網路漏洞的一部分的威脅行為者中非常受歡迎，並且通常用於勒索軟體攻擊。

 

新聞來源：

https://www.bleepingcomputer.com/news/security/emotet-now-drops-cobalt-strike-fast-forwards-ransomware-attacks/

 

谷歌暫時瓦解了感染100萬臺PC的殭屍網路

 

谷歌透露，它最近破壞了受Glupteba感染的龐大計算機網路。該公司估計，該惡意軟體已感染全球約100萬臺Windows PC，這將使其成為迄今為止最大的已知殭屍網路之一。

 

殭屍網路是由受單一方控制的惡意軟體感染的計算機或聯網裝置組成的網路。在這種情況下，谷歌將Glupteba追溯到至少兩個來自俄羅斯的人。該公司正在起訴他們，希望它能“開創先例，為殭屍網路運營商創造法律和責任風險，並有助於阻止未來的活動。”

 

Google表示，它看到網路每天增長約1,000臺裝置。將計算機新增到Glupteba殭屍網路的惡意軟體通常隱藏在提供免費軟體的粗略網站上。據谷歌稱，Glupteba的運營商使用惡意軟體竊取個人資料、挖掘加密貨幣並透過受感染的機器引導其他網際網路流量。

 

谷歌與網際網路基礎設施提供商協調破壞殭屍網路，但警告說，到目前為止，它只是暫時阻止了它。Glupteba使用區塊鏈技術作為防止完全關閉的故障保護。當它沒有收到所有者的訊息時，該軟體被程式設計為自動使用比特幣區塊鏈上編碼的資料來獲取有關如何重新連線的說明。

 

新聞來源：

https://www.engadget.com/google-disrupts-glupteba-botnet-202342050.html

 

警告：又一個針對QNAPNAS裝置的比特幣挖礦惡意軟體

 

NAS裝置製造商QNAP(威聯通)週二釋出了針對其裝置的加密貨幣挖掘惡意軟體的新諮詢警告，敦促客戶立即採取預防措施。

 

“據報導，一個比特幣礦工將QNAPNAS作為目標。一旦NAS被感染，CPU使用率就會變得異常高，其中一個名為‘[oom_reaper]’的程式可能會佔用總CPU使用率的50%左右，”這家臺灣公司在一份宣告中表示。警報。“這個程式模擬了一個核心程式，但它的[程式識別符號]通常大於1000。”

 

該公司建議使用者將其QTS（和QuTS Hero）作業系統更新到最新版本，為管理員和其他使用者帳戶強制執行強密碼，並避免將NAS裝置暴露在網際網路上。QNAPNAS裝置長期以來一直是近年來許多惡意活動的有利可圖的目標。

 

新聞來源：

https://thehackernews.com/2021/12/warning-yet-another-bitcoin-mining.html

 

SolarWinds攻擊者發現使用新策略和惡意軟體

 

在臭名昭著且影響深遠的SolarWinds供應鏈攻擊一年後，其協調者再次發起進攻。研究人員表示，他們已經看到威脅組織——微軟將其稱為“Nobelium”，並與R國間諜機構有關聯——以新穎的策略和定製的惡意軟體危害全球商業和政府目標，竊取資料並在網路中橫向移動。

 

他們在週一釋出的一份報告中說，Mandiant的研究人員已經確定了兩個不同的活動叢集，它們可以“合理地”歸因於威脅組，他們將其跟蹤為UNC2452。

 

Microsoft在10月份披露的Nobelium活動的目標，其中該組織被發現使用憑證填充和網路釣魚，以及API濫用和令牌盜竊，以收集合法的帳戶憑據和對經銷商網路的特權訪問。研究人員當時表示，該活動的最終目標似乎是觸及下游客戶網路。

 

Nobelium還在4月份使用名為FoggyWeb的後門攻擊了ActiveDirectory伺服器，從而進行了憑據盜竊。在Mandiant觀察到的最新叢集中，被盜憑據還促進了對目標組織的初始訪問。

 

駭客的武器庫中還有新的惡意軟體：研究人員稱之為Ceeloader的新型定製下載器。他們寫道，這種經過高度混淆的惡意軟體是用C語言編寫的，可以直接在記憶體中執行shellcode有效負載。

 

新聞來源：

https://threatpost.com/solarwinds-attackers-new-tactics-malware/176818/

 

Emotet在TrickBot死而復生的過程中感染了14萬受害者

 

TrickBot和Emotet都是殭屍網路，惡意軟體感染聯網裝置網路，可以執行一系列惡意活動。TrickBot起源於C++銀行木馬，是2016年Dyre惡意軟體的繼承者，具有竊取財務詳細資訊、帳戶憑據和其他敏感資訊的能力；橫向擴散能力；並刪除其他競爭性惡意軟體，包括Conti、Diavol和Ryuk勒索軟體。

 

在執法部門試圖拆除其基礎設施一年多後，TrickBot惡意軟體感染了149個國家/地區的約140,000名受害者，該惡意軟體正迅速成為Emotet的入口點。

 

自2020年11月1日以來發現的大多數受害者來自葡萄牙(18%)、美國(14%)和印度(5%)，其次是巴西(4%)、土耳其(3%)、俄羅斯(3%)和中國(3%)，Check Point Research在一份報告中指出，政府、金融和製造實體成為受影響最大的行業。

 

新聞來源：

https://thehackernews.com/2021/12/140000-reasons-why-emotet-is.html