勒索軟體出現新變體、Log4Shell漏洞成駭客攻擊視窗|12月13日全球網路安全熱點

騰訊安全發表於2021-12-13

圖片



安全資訊報告


幫助Kelihos惡意軟體逃避檢測的俄羅斯人被判4年監禁

 

今年早些時候在美國因參與網路犯罪活動而被定罪的一名俄羅斯公民被判處四年徒刑。

 

41歲的奧列格·科什金(Oleg Koshkin)因一項共謀實施計算機欺詐和濫用以及一項計算機欺詐和濫用罪被判處48個月監禁。

 

Koshkin一直住在愛沙尼亞,經營旨在幫助惡意軟體逃避反惡意軟體產品檢測的線上服務。他的網站Crypt4U.com和fud.bz提供了所謂的加密服務,惡意軟體開發人員可以使用這些服務來加密他們的作品,以增加他們不被發現的機會。

 

雖然這些服務被用於各種型別的惡意軟體,但美國對這名男子的訴訟集中在Kelihos殭屍網路的建立者如何使用他的服務上,據說該殭屍網路已經在全球範圍內誘捕了大約200,000臺裝置。

 

Kelihos曾一度是最大的殭屍網路之一,在2017年被關閉。

 

新聞來源:

https://www.securityweek.com/russian-who-helped-kelihos-malware-evade-detection-sentenced-4-years-prison

 

QBot:惡意軟體攻擊的基石


在過去幾年中,Qbot(Qakbot或QuakBot)已發展成為廣泛傳播的Windows惡意軟體,允許威脅行為者竊取銀行憑據和Windows域憑據,傳播到其他計算機,並提供對勒索軟體團伙的遠端訪問。

 

受害者通常透過其他惡意軟體感染或透過使用各種誘餌(包括假髮票、付款和銀行資訊、掃描文件或發票)的網路釣魚活動感染Qbot。

 

已知使用Qbot破壞企業網路的勒索軟體團伙包括REvil、Egregor、ProLock、PwndLocker和MegaCortex。QBot威脅始於帶有惡意連結、附件或嵌入影像的電子郵件。最近看到這種型別的內部回覆鏈攻擊成功地針對宜家,安全解決方案難以跟蹤和阻止。QBot攻擊者最新的做法是在電子郵件正文中的嵌入影像,其中包含惡意URL。

 

傳送電子郵件後,Qbot攻擊鏈使用以下步驟:

  • 啟用宏-透過電子郵件傳送的每個Qbot活動都利用惡意宏來傳送Qbot有效負載。

  • Qakbot交付-Qbot通常作為帶有htm或.dat副檔名的可執行檔案下載,然後重新命名為不存在的副檔名,如.waGic或.wac。

  • 程式注入-Qbot負載然後作為DLL注入其他程式,最常見的是MSRA.exe和Mobsync.exe。

  • 建立計劃任務,以便在每次重新啟動Windows和使用者登入裝置時啟動Qbot。

  • 憑據和瀏覽器資料竊取-從Windows憑據管理器中竊取憑據,並從已安裝的Web瀏覽器中竊取瀏覽器歷史記錄、密碼和cookie。

  • 電子郵件洩露-從受感染裝置竊取電子郵件,攻擊者將其用於針對員工和業務合作伙伴的假冒回覆釣魚郵件。

  • 其他有效載荷、橫向移動和勒索軟體。

 

新聞來源:

https://www.bleepingcomputer.com/news/security/microsoft-these-are-the-building-blocks-of-qbot-malware-attacks/

 

BlackCat:在野外發現一種新的基於Rust的勒索軟體

 

關於在野外發現的第一個基於Rust語言的勒索軟體菌株的詳細資訊已經浮出水面,BlackCat類似於之前出現的許多其他變體,作為勒索軟體即服務(RaaS)執行,其中核心開發人員招募附屬機構來破壞公司環境並加密檔案,如果公司拒絕支付贖金,攻擊者就威脅洩露檔案。

 

從2021年12月4日開始,BlackCat已在XSS和Exploit等俄語地下市場上以使用者名稱“alphv”和RAMP論壇上的“贖金”做廣告,以招募其他參與者,包括滲透測試人員,並加入他們自稱“下一代勒索軟體”的團伙。

 

據稱,勒索軟體攻擊者還運營著五個洋蔥域,其中三個用作該組織的談判站點,其餘被歸類為“Alphv”公共洩密站點和私人洩密站點。

 

新聞來源:

https://thehackernews.com/2021/12/blackcat-new-rust-based-ransomware.html


安全漏洞威脅


駭客在全球利用Log4j漏洞推送惡意軟體

 

威脅參與者和研究人員正在掃描和利用Log4j2漏洞(該漏洞被命名為Log4Shell)來部署惡意軟體或查詢易受攻擊的伺服器。

 

Log4j2漏洞允許攻擊者透過搜尋或將瀏覽器的使用者代理更改為特殊字串,在易受攻擊的伺服器上遠端執行命令。Apache官方釋出了Log4j2.15.0來解決漏洞,但攻擊者已經開始掃描和利用易受攻擊的伺服器來竊取資料、安裝惡意軟體或接管伺服器。

 

安全廠商已經發現攻擊者利用漏洞部署挖礦木馬、殭屍網路、以及Cobalt Strike的破解版本(Cobalt Strike是一個合法的滲透測試工具包,可以實現強大的遠端控制管理功能)

 

新聞來源:

https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/ 


相關文章