安全資訊報告

美國塔爾薩市政府花費200萬美元耗時8個月從勒索軟體攻擊中恢復過來

政府官員說，八個月後，經過200萬美元的維修和升級，該市的計算機系統已經恢復並全速執行。

4月下旬的一次勒索軟體攻擊損壞了該市471臺伺服器中的約40%，以及該市5,000臺桌上型電腦和膝上型電腦中的約20%。

該市資訊長邁克爾·德林格(Michael Dellinger)表示，這200萬美元用於一次性支出，例如軟體和許可。未來，該市每年將在雲服務、維護和其他與執行升級後的計算機系統相關的費用上多花費約30萬美元。

網路安全專家稱，塔爾薩世界7月份報導稱，勒索軟體攻擊背後的駭客可能與一個名為Conti的組織有關。聯邦調查局的網路部門在5月釋出了一份警告，警告Conti勒索軟體在美國的影響力。據該諮詢報告稱，當時FBI已經確定了至少16起針對醫療保健和急救網路的Conti勒索軟體攻擊，其中包括執法部門和市政當局。

新聞來源：

https://tulsaworld.com/news/local/govt-and-politics/city-has-spent-2-million-recovering-from-ransomware-attack-city-officials-say/article_5ee68f46-5d08-11ec-8d83-8743a5eaba47.html

當網路安全邊界防護逐漸模糊，零信任或將成下一輪爆點

“零信任的本質是一種理念和思路，不是某種固定的技術，也不是對既有技術和體系結構的顛覆。”在日前由國家資訊中心《資訊保安研究》雜誌社主辦的網路安全創新發展高峰論壇上，中國資訊保安研究院副院長左曉棟這樣說。

隨著國家政策為數字化轉型創造利好環境，數字化轉型不斷深入，以雲端計算、人工智慧、大資料為主的新一代數字技術正改造企業IT架構，資訊化環境也逐漸從之前的“以網路為中心”變成現在的“以資料為中心”，傳統的邊界防護模式逐漸“失靈”。

根據IDC研究，近年來，遠端辦公、業務協同、分支互聯等業務需求快速發展，企業原有的網路邊界逐漸泛化，導致基於邊界的傳統安全架構不再可靠，零信任成為一個必選項，零信任或將成為網路安全下一輪爆發點。

“零信任是框架不是具體技術，是技術組合不是單一技術，可由多種方法實現，而不是固化的方式。”國家資訊科技安全研究中心總師郭曉雷也認為，我國資料安全保護相關要求及訪問控制應用情況，需要建立包含物理裝置、資訊系統、資料等在內的資源清單並加強標識化管理，對資源實施細粒度訪問控制，開展持續的面向信任的監測和分析。

新聞來源：

https://news.gmw.cn/2021-12/20/content_35393732.htm

新的Phorpiex殭屍網路變種竊取了50萬美元的加密貨幣

衣索比亞、奈及利亞、印度、瓜地馬拉和菲律賓的加密貨幣使用者正成為一種名為Twizt的Phorpiex殭屍網路新變種的目標，該變種導致在過去一年中盜竊了價值500,000美元的虛擬硬幣。

詳細介紹了這些攻擊的以色列安全公司Check Point Research表示，最新的進化版本“使殭屍網路能夠在沒有主動[命令和控制]伺服器的情況下成功執行”，並補充說它支援不少於35個與不同區塊鏈相關的錢包，包括比特幣、以太坊、達世幣、狗狗幣、萊特幣、門羅幣、瑞波幣和Zilliqa，以促進加密盜竊。

Phorpiex，也稱為Trik，以其性勒索垃圾郵件和勒索軟體活動以及加密劫持而聞名，該計劃利用目標的裝置（如計算機、智慧手機和伺服器）在未經他們同意或不知情的情況下秘密挖掘加密貨幣。

它還因使用一種稱為加密貨幣剪下板盜的技術而臭名昭著，該技術涉及在交易過程中透過部署惡意軟體來竊取加密貨幣，該惡意軟體會自動將預期的錢包地址替換為威脅參與者的錢包地址。Check Point表示，它確定了Phorpiex使用的60個獨特的比特幣錢包和37個以太坊錢包。

已在96個國家發現了受Phorpiex感染的機器人，其次是衣索比亞、奈及利亞和印度。據估計，殭屍網路還劫持了大約3,000筆交易，總價值約為38個比特幣和133個以太幣。

新聞來源：

https://thehackernews.com/2021/12/new-phorpiex-botnet-variant-steals-half.html

專家發現部署在美國聯邦機構網路上的後門

一個與國際權利相關的美國聯邦政府委員會已成為後門的目標，據報導該後門破壞了其內部網路，研究人員將其描述為“經典的APT型別操作”。

捷克安全公司Avast在一份宣告中說：“這次攻擊可以提供網路的完全可見性和系統的完全控制，因此可以用作多階段攻擊的第一步，以更深入地滲透這個或其他網路。”上週釋出的報告。

攻擊分兩個階段進行，以部署兩個惡意二進位制檔案，使身份不明的對手能夠攔截網際網路流量並執行他們選擇的程式碼，從而允許運營商完全控制受感染的系統。它透過濫用WinDivert（一種適用於Windows的合法資料包捕獲實用程式）來實現這一點。

兩個樣本都偽裝成名為“oci.dll”的Oracle庫，在攻擊期間部署的第二階段解密器被發現與趨勢科技研究人員在2018年詳細介紹的另一個可執行檔案有相似之處，後者深入研究了資訊盜竊被稱為“紅色簽名行動”的供應鏈攻擊針對的是韓國的組織。這些重疊導致Avast威脅情報小組懷疑攻擊者可以訪問後者的原始碼。

新聞來源：

https://thehackernews.com/2021/12/experts-discover-backdoor-deployed-on.html

超過500,000Android使用者從Google應用商店下載了新的Joker惡意軟體

一個從Google Play應用商店下載超過500,000次的惡意Android應用被發現託管惡意軟體，該應用會悄悄地將使用者的聯絡人列表洩露到攻擊者控制的伺服器，並在使用者不知情的情況下為使用者註冊不需要的付費高階訂閱。

最新的Joker惡意軟體是在名為Color Message（“com.guo.smscolor.amessage”）的專注於訊息傳遞的應用程式中發現的，該應用程式已從官方應用程式市場中刪除。

Color Message訪問使用者的聯絡人列表並透過網路將其洩露[並]自動訂閱不需要的付費服務。為了使其難以被刪除，應用程式能夠在安裝後隱藏它的圖示。

新聞來源：

https://thehackernews.com/2021/12/over-500000-android-users-downloaded.html

網路釣魚攻擊在虛假的報價請求中冒充輝瑞

攻擊者正在開展一項針對性很強的網路釣魚活動，冒充輝瑞公司從受害者那裡竊取商業和財務資訊。輝瑞是一家著名的製藥公司，因其生產目前為數不多的針對COVID-19的mRNA疫苗之一而受到廣泛宣傳。

網路釣魚者的目標是利用廣為人知的品牌名稱，因為與冒充虛構實體相比，他們成功的機會大大增加。此活動背後的參與者在網路釣魚活動中非常勤奮，將“乾淨”的PDF附件與新註冊的域結合起來，這些域顯示為輝瑞官方線上空間。然後，他們從這些域中生成電子郵件帳戶，用於網路釣魚電子郵件分發，以繞過電子郵件保護解決方案。

新聞來源：

https://www.bleepingcomputer.com/news/security/phishing-attacks-impersonate-pfizer-in-fake-requests-for-quotation/

勒索軟體運營商洩露了從物流巨頭Hellmann竊取的資料

物流巨頭Hellmann Worldwide Logistics已證實，在本月早些時候的一次網路攻擊中，攻擊者能夠從其系統中竊取資料。12月9日星期四，在檢測到漏洞後，該公司關閉了其中央資料中心的伺服器，將它們與環境的其他部分隔離並控制了事件。

Hellmann在173個國家/地區提供空運和海運、鐵路和公路運輸以及其他服務，顯然是RansomEXX勒索軟體的目標，其運營商已經提供了據稱從這家德國公司竊取的資料。在Tor網路上的洩密網站之一，駭客以145個存檔檔案的形式釋出了70.64GB的壓縮資料，其中包含客戶姓名、使用者ID、電子郵件和密碼等。

在上週釋出的更新的網路事件宣告中，這家德國公司證實攻擊者從其伺服器竊取了資料，但它沒有提供有關洩露資訊型別的詳細資訊。

新聞來源：

https://www.securityweek.com/ransomware-operators-leak-data-stolen-logistics-giant-hellmann

安全漏洞威脅

Dridex銀行惡意軟體利用利用Log4j漏洞傳播

攻擊者利用Log4Shell的關鍵漏洞，透過Dridex銀行木馬或Meterpreter感染易受攻擊的裝置。

Dridex惡意軟體是一種銀行木馬，最初是為了從受害者那裡竊取網上銀行憑證而開發的。然而，隨著時間的推移，惡意軟體已經演變成一個載入 器，可以下載各種模組，這些模組可用於執行不同的惡意行為，例如安裝額外的有效載荷、傳播到其他裝置、擷取螢幕截圖等等。

Dridex感染會導致來自據信與Evil Corp駭客組織有關的勒索軟體攻擊，這些勒索軟體感染包括BitPaymer、DoppelPaymer和其他可能使用受限的勒索軟體變體。

Meterpreter，是一種為攻擊者提供的反向shell滲透測試工具,使用Meterpreter，攻擊者可以連線到受感染的Linux伺服器並遠端執行命令以在網路上進一步傳播、竊取資料或部署勒索軟體。

新聞來源：

https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-to-install-dridex-banking-malware/