安全資訊報告

駭客濫用Slack API竊取航空公司資料

攻擊者正在部署一個新發現的名為“Aclip”的後門，該後門濫用Slack API進行秘密通訊。

該威脅行為者的活動始於2019年，目標是一家未具名的亞洲航空公司，以竊取航班預訂資料。

根據IBM SecurityX-Force的一份報告，威脅行為者很可能是ITG17，又名“MuddyWater”，這是一個非常活躍的駭客組織，在全球範圍內維護著一個目標組織。

新聞來源：

https://www.bleepingcomputer.com/news/security/state-sponsored-hackers-abuse-slack-api-to-steal-airline-data/

大規模網路釣魚研究顯示誰更容易上鉤

一項涉及14,733名參與者在為期15個月的實驗中進行的大規模網路釣魚研究得出了一些令人驚訝的發現，這些發現與之前構成流行行業實踐基礎的研究結果相矛盾。

研究人員向參與者的常規工作電子郵件傳送了虛假的網路釣魚電子郵件，並部署了一個電子郵件客戶端按鈕，使他們能夠輕鬆報告可疑電子郵件。

該研究的四個目標：

• 哪些員工容易陷入網路釣魚

• 漏洞如何隨時間演變

• 嵌入式培訓和警告的有效性如何

• 員工是否可以做任何事情來幫助網路釣魚檢測。

研究發現：

• 年輕人和老年人更容易點選網路釣魚連結；

• 點選釣魚連結與性別無關；

• 與那些不需要計算機來完成日常工作的人相比，那些使用專門軟體執行重複性任務的人更容易陷入網路釣魚陷阱；

• 不斷暴露於網路釣魚的員工最終會陷入網路釣魚，因為32.1%的研究參與者點選了至少一個危險連結或附件；

• 研究人員發現模擬網路釣魚練習中的自願嵌入式培訓是無效的；

新聞來源：

https://www.bleepingcomputer.com/news/security/large-scale-phishing-study-shows-who-bites-the-bait-more-often/

新的無檔案攻擊使用Windows登錄檔作為逃避檢測的方法

觀察到一種新的基於JavaScript的遠端訪問木馬(RAT)透過社會工程活動傳播，它採用狡猾的“無檔案”技術作為其檢測規避方法的一部分，以逃避發現和分析。

該惡意軟體被Prevailion的對抗性反情報團隊(PACT)的研究人員稱為DarkWatchman，它使用DGA域名來構建C2基礎架構，並利用Windows登錄檔進行儲存操作，從而實現它繞過反惡意軟體引擎。

研究人員馬特斯塔福德和謝爾曼史密斯說，RAT“利用新方法實現無檔案永續性、系統活動和動態執行時功能，如自我更新和重新編譯”，並補充說它“代表了無檔案惡意軟體技術的演變，因為它將登錄檔用於幾乎所有臨時和永久儲存，因此從不向磁碟寫入任何內容，允許它在大多數安全工具的檢測閾值以下或附近執行。”

DarkWatchman透過魚叉式網路釣魚電子郵件分發，偽裝成俄羅斯貨運公司Pony Express交付的貨物的“免費儲存到期通知”，DarkWatchman為進一步的惡意活動提供了一個隱蔽的閘道器。這些電子郵件附有ZIP存檔形式的據稱發票，而該發票又包含感染Windows系統所需的有效載荷。

新聞來源：

https://thehackernews.com/2021/12/new-fileless-malware-uses-windows.html

安全漏洞威脅

在野外檢測到Apache的Log4j漏洞大規模掃描活動

駭客們正在積極瞄準安全研究人員最初在執行應用程式Java版本的Minecraft伺服器上發現的Apache Log4j漏洞。Log4j是來自Apache軟體基金會(ASF)的Java開源日誌記錄庫。

遠端程式碼執行(RCE)Log4Shell漏洞CVE-2021-44228可能允許未經身份驗證的攻擊者透過操縱日誌訊息來下載惡意軟體。

專家警告說，大量易受攻擊的伺服器可能很快就會受到攻擊，該漏洞可能引發“迷你網際網路崩潰”。德國電信集團的網路應急響應小組(CERT)表示，其蜜罐受到了試圖利用該漏洞的威脅行為者的攻擊。同樣，紐西蘭CERT、Bad Packets和GreyNoise表示，他們已經檢測到針對易受攻擊的伺服器的大規模掃描活動。

根據Contrast Security的聯合創始人兼首席科學家Arshan Dabirsiaghi的說法，這是多年來發現的最大的Java零日漏洞之一。

“任何記錄資料的Java應用程式都使用Log4j，它是Java生態系統中最流行的日誌記錄框架，被數以百萬計的應用程式使用，”Dabirsiaghi說。“這種零日漏洞會影響使用Log4j的任何應用程式，並允許攻擊者在其他系統上執行惡意程式碼和命令。毫無疑問，這是我們多年來看到的最大的Java漏洞。這絕對是殘酷的。”

新聞來源：

https://www.cpomagazine.com/cyber-security/mass-scanning-activity-for-apaches-log4j-zero-day-vulnerability-detected-in-the-wild/

網路安全專家討論對潛在Log4j蠕蟲的擔憂

VMware網路安全戰略負責人Tom Kellermann表示，Log4j漏洞是他職業生涯中見過的最嚴重的漏洞之一，也是有史以來暴露的最嚴重的漏洞之一。

Kellermann稱Apache是“世界應用程式和計算環境之間橋樑的巨大支援之一”，並補充說，Log4j的利用將“破壞這種支援的穩定性並破壞建立在它之上的數字基礎設施的穩定性”。

但他最擔心的是有人透過建立蠕蟲進一步將漏洞武器化，Kellermann將其描述為一種多型型別的惡意軟體，基本上可以自行傳播。

蠕蟲的可能性在網路安全社群中引起了重要的討論。網路安全專家馬庫斯·哈欽斯(Marcus Hutchins)在多個Twitter帖子中稱，對蠕蟲病毒的擔憂“被誇大了”。

其他人表示，雖然該漏洞是可蠕蟲的，但目前沒有證據表明這是威脅行為者的優先事項。根據Digital Shadows高階分析師Chris Morgan的說法，蠕蟲還需要大量的時間和精力來開發。

新聞來源：

https://www.zdnet.com/article/log4j-update-experts-say-log4shell-exploits-will-persist-for-months-if-not-years/

谷歌稱NSO Pegasus零點選是“有史以來技術上最複雜的漏洞利用”

谷歌安全研究人員挑選出了最臭名昭著的iPhone漏洞利用，並發現了一個前所未見的駭客路線圖，其中包括一個偽裝成GIF影像的PDF檔案，並內建了自定義編碼的虛擬CPU出布林畫素操作。

“我們認為這是我們見過的技術上最複雜的漏洞之一，”谷歌的Ian Beer和Samuel Groß在對遠端程式碼執行漏洞的技術深入研究中寫道，該漏洞是在針對沙特一名活動家野外攻擊中捕獲的。

谷歌表示，它收到了來自Citizen Lab的漏洞利用樣本，並與庫比蒂諾通常保密的安全工程和架構(SEAR)小組合作進行了一項技術分析，發現在出售給世界各國政府的漏洞利用平臺中存在一系列令人頭疼的技術複雜性。

研究人員表示，該漏洞利用的複雜性證實了總部位於以色列的NSO集團駭客的超強實力。

在其細分中，該漏洞利用有效地創造了“一種沒有防禦的武器”，並指出零點選漏洞利用在後臺靜默工作，甚至不需要目標點選連結或瀏覽惡意軟體網站。“除非不使用裝置，否則無法防止零點選漏洞利用，”研究小組說。

研究人員證實，Pegasus的初始入口點是Apple專有的iMessage，它預設安裝在iPhone、iPad和macOS裝置上。透過瞄準iMessage，NSO Group駭客只需要一個AppleID使用者名稱的電話號碼即可瞄準併發射竊聽植入物。

谷歌將該漏洞描述為“非常可怕”，並表示NSO Group駭客有效地誘殺了一個PDF檔案，偽裝成GIF影像，並使用編碼的虛擬CPU來啟動和執行漏洞。“使用超過70,000個定義邏輯位操作的段命令，[NSO的駭客]定義了一個小型計算機架構，具有暫存器和完整的64位加法器和比較器等功能，用於搜尋記憶體和執行算術運算。它沒有那麼快Javascript，但它在計算上基本上是等價的。”

新聞來源：

https://www.securityweek.com/google-says-nso-pegasus-zero-click-most-technically-sophisticated-exploit-ever-seen