安全資訊報告
美國塔爾薩市政府花費200萬美元耗時8個月從勒索軟體攻擊中恢復過來
政府官員說,八個月後,經過200萬美元的維修和升級,該市的計算機系統已經恢復並全速執行。
4月下旬的一次勒索軟體攻擊損壞了該市471臺伺服器中的約40%,以及該市5,000臺桌上型電腦和膝上型電腦中的約20%。
該市資訊長邁克爾·德林格(Michael Dellinger)表示,這200萬美元用於一次性支出,例如軟體和許可。未來,該市每年將在雲服務、維護和其他與執行升級後的計算機系統相關的費用上多花費約30萬美元。
網路安全專家稱,塔爾薩世界7月份報導稱,勒索軟體攻擊背後的駭客可能與一個名為Conti的組織有關。聯邦調查局的網路部門在5月釋出了一份警告,警告Conti勒索軟體在美國的影響力。據該諮詢報告稱,當時FBI已經確定了至少16起針對醫療保健和急救網路的Conti勒索軟體攻擊,其中包括執法部門和市政當局。
新聞來源:
https://tulsaworld.com/news/local/govt-and-politics/city-has-spent-2-million-recovering-from-ransomware-attack-city-officials-say/article_5ee68f46-5d08-11ec-8d83-8743a5eaba47.html
當網路安全邊界防護逐漸模糊,零信任或將成下一輪爆點
“零信任的本質是一種理念和思路,不是某種固定的技術,也不是對既有技術和體系結構的顛覆。”在日前由國家資訊中心《資訊保安研究》雜誌社主辦的網路安全創新發展高峰論壇上,中國資訊保安研究院副院長左曉棟這樣說。
隨著國家政策為數字化轉型創造利好環境,數字化轉型不斷深入,以雲端計算、人工智慧、大資料為主的新一代數字技術正改造企業IT架構,資訊化環境也逐漸從之前的“以網路為中心”變成現在的“以資料為中心”,傳統的邊界防護模式逐漸“失靈”。
根據IDC研究,近年來,遠端辦公、業務協同、分支互聯等業務需求快速發展,企業原有的網路邊界逐漸泛化,導致基於邊界的傳統安全架構不再可靠,零信任成為一個必選項,零信任或將成為網路安全下一輪爆發點。
“零信任是框架不是具體技術,是技術組合不是單一技術,可由多種方法實現,而不是固化的方式。”國家資訊科技安全研究中心總師郭曉雷也認為,我國資料安全保護相關要求及訪問控制應用情況,需要建立包含物理裝置、資訊系統、資料等在內的資源清單並加強標識化管理,對資源實施細粒度訪問控制,開展持續的面向信任的監測和分析。
新聞來源:
https://news.gmw.cn/2021-12/20/content_35393732.htm
新的Phorpiex殭屍網路變種竊取了50萬美元的加密貨幣
衣索比亞、奈及利亞、印度、瓜地馬拉和菲律賓的加密貨幣使用者正成為一種名為Twizt的Phorpiex殭屍網路新變種的目標,該變種導致在過去一年中盜竊了價值500,000美元的虛擬硬幣。
詳細介紹了這些攻擊的以色列安全公司Check Point Research表示,最新的進化版本“使殭屍網路能夠在沒有主動[命令和控制]伺服器的情況下成功執行”,並補充說它支援不少於35個與不同區塊鏈相關的錢包,包括比特幣、以太坊、達世幣、狗狗幣、萊特幣、門羅幣、瑞波幣和Zilliqa,以促進加密盜竊。
Phorpiex,也稱為Trik,以其性勒索垃圾郵件和勒索軟體活動以及加密劫持而聞名,該計劃利用目標的裝置(如計算機、智慧手機和伺服器)在未經他們同意或不知情的情況下秘密挖掘加密貨幣。
它還因使用一種稱為加密貨幣剪下板盜的技術而臭名昭著,該技術涉及在交易過程中透過部署惡意軟體來竊取加密貨幣,該惡意軟體會自動將預期的錢包地址替換為威脅參與者的錢包地址。Check Point表示,它確定了Phorpiex使用的60個獨特的比特幣錢包和37個以太坊錢包。
已在96個國家發現了受Phorpiex感染的機器人,其次是衣索比亞、奈及利亞和印度。據估計,殭屍網路還劫持了大約3,000筆交易,總價值約為38個比特幣和133個以太幣。
新聞來源:
https://thehackernews.com/2021/12/new-phorpiex-botnet-variant-steals-half.html
專家發現部署在美國聯邦機構網路上的後門
一個與國際權利相關的美國聯邦政府委員會已成為後門的目標,據報導該後門破壞了其內部網路,研究人員將其描述為“經典的APT型別操作”。
捷克安全公司Avast在一份宣告中說:“這次攻擊可以提供網路的完全可見性和系統的完全控制,因此可以用作多階段攻擊的第一步,以更深入地滲透這個或其他網路。”上週釋出的報告。
攻擊分兩個階段進行,以部署兩個惡意二進位制檔案,使身份不明的對手能夠攔截網際網路流量並執行他們選擇的程式碼,從而允許運營商完全控制受感染的系統。它透過濫用WinDivert(一種適用於Windows的合法資料包捕獲實用程式)來實現這一點。
兩個樣本都偽裝成名為“oci.dll”的Oracle庫,在攻擊期間部署的第二階段解密器被發現與趨勢科技研究人員在2018年詳細介紹的另一個可執行檔案有相似之處,後者深入研究了資訊盜竊被稱為“紅色簽名行動”的供應鏈攻擊針對的是韓國的組織。這些重疊導致Avast威脅情報小組懷疑攻擊者可以訪問後者的原始碼。
新聞來源:
https://thehackernews.com/2021/12/experts-discover-backdoor-deployed-on.html
超過500,000Android使用者從Google應用商店下載了新的Joker惡意軟體
一個從Google Play應用商店下載超過500,000次的惡意Android應用被發現託管惡意軟體,該應用會悄悄地將使用者的聯絡人列表洩露到攻擊者控制的伺服器,並在使用者不知情的情況下為使用者註冊不需要的付費高階訂閱。
最新的Joker惡意軟體是在名為Color Message(“com.guo.smscolor.amessage”)的專注於訊息傳遞的應用程式中發現的,該應用程式已從官方應用程式市場中刪除。
Color Message訪問使用者的聯絡人列表並透過網路將其洩露[並]自動訂閱不需要的付費服務。為了使其難以被刪除,應用程式能夠在安裝後隱藏它的圖示。
新聞來源:
https://thehackernews.com/2021/12/over-500000-android-users-downloaded.html
網路釣魚攻擊在虛假的報價請求中冒充輝瑞
攻擊者正在開展一項針對性很強的網路釣魚活動,冒充輝瑞公司從受害者那裡竊取商業和財務資訊。輝瑞是一家著名的製藥公司,因其生產目前為數不多的針對COVID-19的mRNA疫苗之一而受到廣泛宣傳。
網路釣魚者的目標是利用廣為人知的品牌名稱,因為與冒充虛構實體相比,他們成功的機會大大增加。此活動背後的參與者在網路釣魚活動中非常勤奮,將“乾淨”的PDF附件與新註冊的域結合起來,這些域顯示為輝瑞官方線上空間。然後,他們從這些域中生成電子郵件帳戶,用於網路釣魚電子郵件分發,以繞過電子郵件保護解決方案。
新聞來源:
https://www.bleepingcomputer.com/news/security/phishing-attacks-impersonate-pfizer-in-fake-requests-for-quotation/
勒索軟體運營商洩露了從物流巨頭Hellmann竊取的資料
物流巨頭Hellmann Worldwide Logistics已證實,在本月早些時候的一次網路攻擊中,攻擊者能夠從其系統中竊取資料。12月9日星期四,在檢測到漏洞後,該公司關閉了其中央資料中心的伺服器,將它們與環境的其他部分隔離並控制了事件。
Hellmann在173個國家/地區提供空運和海運、鐵路和公路運輸以及其他服務,顯然是RansomEXX勒索軟體的目標,其運營商已經提供了據稱從這家德國公司竊取的資料。在Tor網路上的洩密網站之一,駭客以145個存檔檔案的形式釋出了70.64GB的壓縮資料,其中包含客戶姓名、使用者ID、電子郵件和密碼等。
在上週釋出的更新的網路事件宣告中,這家德國公司證實攻擊者從其伺服器竊取了資料,但它沒有提供有關洩露資訊型別的詳細資訊。
新聞來源:
https://www.securityweek.com/ransomware-operators-leak-data-stolen-logistics-giant-hellmann
安全漏洞威脅
Dridex銀行惡意軟體利用利用Log4j漏洞傳播
攻擊者利用Log4Shell的關鍵漏洞,透過Dridex銀行木馬或Meterpreter感染易受攻擊的裝置。
Dridex惡意軟體是一種銀行木馬,最初是為了從受害者那裡竊取網上銀行憑證而開發的。然而,隨著時間的推移,惡意軟體已經演變成一個載入 器,可以下載各種模組,這些模組可用於執行不同的惡意行為,例如安裝額外的有效載荷、傳播到其他裝置、擷取螢幕截圖等等。
Dridex感染會導致來自據信與Evil Corp駭客組織有關的勒索軟體攻擊,這些勒索軟體感染包括BitPaymer、DoppelPaymer和其他可能使用受限的勒索軟體變體。
Meterpreter,是一種為攻擊者提供的反向shell滲透測試工具,使用Meterpreter,攻擊者可以連線到受感染的Linux伺服器並遠端執行命令以在網路上進一步傳播、竊取資料或部署勒索軟體。
新聞來源:
https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-to-install-dridex-banking-malware/