安全資訊報告

駭客在贖金被拒絕後在“暗網”上洩露了英國警方的機密資料

據英國《每日郵報》報導，英國一些警察部隊持有的機密資訊在一次令人尷尬的安全漏洞中被駭客竊取。

網路犯罪團伙Clop釋出了一些從一家IT公司掠奪的材料，該公司負責在所謂的“暗網”上處理對警察國家計算機(PNC)的訪問——並威脅要跟進更多。

據信，Clop在10月份發起了一次“網路釣魚”攻擊後，向Dacoll公司索要贖金，該攻擊使其能夠訪問包括PNC在內的資料，其中包含1300萬人的個人資訊和記錄。這些檔案包括駕駛者的影像，Clop似乎是從國家自動車牌識別(ANPR)系統中獲取的。影片包括被拍到超速行駛的司機面部特寫影像。

目前尚不清楚Clop可能會在暗網上釋出哪些額外的——可能是更敏感的——資訊，這些資訊可能會被欺詐者竊取。

新聞來源：

https://www.dailymail.co.uk/news/article-10325189/Russian-hackers-leak-confidential-UK-police-data-dark-web-ransom-rejected.html

Emotet的迴歸點亮了新勒索軟體攻擊的警告

Check Point Research的2021年11月全球威脅指數顯示，Trickbot仍然位居最流行的惡意軟體列表的首位，但新近重新出現的Emotet已經排名第七。對於Check Point Software Technologies研究副總裁Maya Horowitz來說，這種迴歸令人擔憂，因為它可能導致攻擊增加。

Emotet已透過帶有受感染Word、Excel和Zip檔案的網路釣魚電子郵件傳播。這些電子郵件帶有與當前新聞、假髮票和公司備忘錄相關的主題行。此外，Emotet偽裝成Adobe軟體並透過惡意的Windows App Installer包進行傳播。Emotet是網路空間歷史上最成功的殭屍網路之一。

新聞來源：

https://playcrazygame.com/2021/12/19/return-of-emotet-lights-up-warning-of-new-ransomware-attacks/

FBI警告Cuba勒索軟體團伙在破壞49個關鍵基礎設施後賺了4400萬美元

網路取證專家認為，Cuba勒索軟體團伙位於俄羅斯。據FBI稱，Cuba勒索軟體團伙的受害者包括（但不限於）金融、政府、醫療保健、製造和資訊科技部門的組織。

FBI追蹤了Cuba勒索軟體感染的Hancitor惡意軟體，該惡意軟體利用了網路釣魚活動、Microsoft Exchange漏洞、受損憑據和強力遠端桌面協議(RDP)工具。

惡意軟體團伙將受感染的裝置新增到殭屍網路，以執行惡意軟體即服務(MaaS)基礎設施，並與其他勒索軟體組織共享。

“Cuba勒索軟體是透過Hancitor惡意軟體分發的，Hancitor惡意軟體是一種以將遠端訪問木馬(RAT)和其他型別的勒索軟體等竊取程式投放或執行到受害者網路而聞名的載入程式。”

新聞來源：

https://www.cpomagazine.com/cyber-security/fbi-warns-that-cuba-ransomware-gang-made-44-million-after-compromising-49-critical-infrastructure-entities-in-five-sectors/

新的PseudoManuscrypt惡意軟體在2021年感染了超過35,000臺計算機

工業和政府組織，包括軍工綜合體和研究實驗室的企業，是一個名為PseudoManyscrypt的新型惡意軟體殭屍網路的目標，僅今年一年就感染了大約35,000臺Windows計算機。

卡巴斯基研究人員表示，該名稱源於它與Manuscrypt惡意軟體的相似之處，後者是Lazarus APT組織攻擊工具集的一部分，並將該操作描述為“大規模間諜軟體攻擊活動”。

在受惡意軟體攻擊的所有計算機中，至少有7.2%是工程、樓宇自動化、能源、製造、建築、公用事業和水資源管理部門組織使用的工業控制系統(ICS)的一部分，這些部門主要位於印度、越南、和俄羅斯。大約三分之一(29.4%)的非ICS計算機位於俄羅斯(10.1%)、印度(10%)和巴西(9.3%)。

用於助長殭屍網路的破解安裝程式包括Windows 10、Microsoft Office、Adobe Acrobat、Garmin、使命召喚、SolarWinds工程師工具集，甚至卡巴斯基自己的防病毒解決方案。盜版軟體安裝由一種稱為搜尋中毒的方法驅動，攻擊者建立惡意網站並使用搜尋引擎最佳化(SEO)策略使其在搜尋結果中顯眼。

安裝後，PseudoManuscrypt帶有一系列侵入性功能，允許攻擊者完全控制受感染的系統。這包括禁用防病毒解決方案、竊取VPN連線資料、記錄擊鍵、錄製音訊、捕獲螢幕截圖和影片以及攔截剪貼簿中儲存的資料。

研究人員說：“大量工程計算機受到攻擊，包括用於3D和物理建模的系統，數字孿生的開發和使用將工業間諜問題列為該活動的可能目標之一。”

新聞來源：

https://thehackernews.com/2021/12/new-pseudomanuscrypt-malware-infected.html

安全漏洞威脅

微軟Windows使用者被告知立即更新，駭客利用安全漏洞安裝竊取資料的惡意軟體

據稱，國際駭客正在利用CVE-2021-43890安裝旨在竊取憑據的惡意Emotet或Trickbot。幸運的是，微軟發現了這個錯誤並修復了它——但你現在需要採取行動。

在最新一輪的Microsoft補丁星期二輪次中，在其產品系列中發現並修復了60多個漏洞，包括Windows、Visual Studio、Office、PowerShell和SharePoint Server。七個被給予了關鍵評級，六個零日被修復。

專家仍然警告人們不要延遲安裝最新的Windows更新，以確保他們的裝置保持最新狀態。

新聞來源：

https://www.the-sun.com/tech/4298303/microsoft-windows-users-update-security-loophole/

Conti Ransomware Group利用Log4j漏洞

Advanced Intelligence(AdvIntel)安全公司發現Conti勒索軟體團伙是第一個在其針對VMware vCenter伺服器的操作中採用並嵌入Log4Shell漏洞的網路犯罪組織。

“在Log4j2漏洞公開一週後，AdvIntel發現了最令人擔憂的趨勢-最多產的有組織的勒索軟體組織之一Conti對新CVE的利用，”AdvIntel報告說。

根據AdvIntel12月12日釋出的報告，許多Conti勒索軟體組織成員正試圖利用Log4j缺陷作為初始攻擊媒介。

研究人員稱，這些攻擊始於12月13日，該組織專門針對易受Log4Shell攻擊的VMWare vCenter伺服器。該組織試圖利用漏洞訪問伺服器並橫向移動到企業網路。

VMWare釋出了一份安全公告，其中包含針對所有40種易受Log4Shell漏洞影響的受影響產品（包括vCenter）的修復程式。該公告確認了漏洞利用嘗試正在發生。

新聞來源：

https://www.hackread.com/conti-ransomware-group-exploit-log4j-vulnerability/

Apache釋出第三個補丁以修復新的Log4j嚴重漏洞

週五Apache軟體基金會(ASF)為廣泛使用的日誌庫推出另一個補丁-版本2.17.0，Log4j的問題繼續堆積，惡意行為者可以利用該補丁進行拒絕服務(DoS)攻擊。

跟蹤為CVE-2021-45105（CVSS評分：7.5），新漏洞影響該工具的所有版本，從2.0-beta9到2.16.0，這家開源非營利組織本週早些時候釋出了該漏洞以修復可能導致的第二個缺陷在遠端程式碼執行(CVE-2021-45046)中，這反過來又源於對CVE-2021-44228的“不完整”修復，也稱為Log4Shell漏洞。

CVE-2021-45046的嚴重性評分，最初歸類為DoS漏洞，此後已從3.7修訂為9.0分。

美國網路安全和基礎設施安全域性(CISA)釋出了一項緊急指令，要求聯邦文職部門和機構在2021年12月23日之前立即修補其面向網際網路的系統以應對ApacheLog4j漏洞，理由是這些弱點構成了“不可接受的風險。”

新聞來源：

https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html

研究人員警告稱，聯想ThinkPad修復了一個特權提升漏洞

在發現允許駭客發起特權升級攻擊的缺陷後，聯想的ThinkPad工作站系列的使用者已被警告要修補他們的系統。

據NCCGroup的安全研究人員稱，據信可以將兩個單獨的缺陷連結在一起，以針對ImControllerService元件並更改使用者對系統的訪問級別。ImControllerService是Lenovo ThinkPad硬體系列中的一個元件，用於控制系統電源管理以及應用程式和驅動程式更新等任務。

NCCGroup表示，該漏洞可以透過利用兩個漏洞觸發，跟蹤為CVE-2021-3922和CVE-2021-3969，影響ImControllerService處理高特權子程式的執行方式。系統正常執行時，ImControllerService會定期啟動子程式，開啟命名管道伺服器。這些命名管道伺服器連線到父程式，以便檢索和執行必要的XML序列化命令。

這些命令之一是從系統上的任意位置載入外掛。在載入和執行檔案之前，子程式需要驗證外掛動態連結庫(DLL)的數字簽名。因為子程式沒有驗證連線的來源，它會在競爭條件被利用後開始接受來自攻擊者的命令。

駭客能夠劫持此過程以更改許可權並將他們選擇的任何有效負載載入到機器上。

聯想已釋出公告，警告使用者將升級到最新的IMController版本（1.1.20.3版）。該元件由Lenovo System Interface Foundation Service自動更新。

新聞來源：

https://www.itpro.co.uk/security/exploits/361865/lenovo-thinkpads-vulnerable-to-system-level-privilege-exploit