安全資訊報告

多名俄羅斯人透過駭客攻擊賺了數百萬美元

美國當局週一表示，包括一名現在被美國拘留的商人在內的五名俄羅斯人實施了一項規模高達8200萬美元的內幕交易計劃，使他們能夠從透過駭客攻擊竊取的公司資訊中獲利。

弗拉迪斯拉夫·克柳申(Vladislav Klyushin)是一家總部位於莫斯科的資訊科技公司的所有者，檢察官稱該公司與俄羅斯政府有廣泛聯絡，他於週六從瑞士被引渡，在波士頓面臨共謀、證券欺詐和其他指控。

Klyushin於3月份在滑雪旅行時在瑞士被捕，在虛擬法庭聽證會上短暫出現在馬薩諸塞州的監獄中。保釋聽證會暫定於週四舉行。

檢察官指控他和其他人利用透過入侵兩家供應商的計算機系統獲得的收益報告進行交易，這些供應商幫助公司向美國證券交易委員會提交季度和年度報告。當局表示，計算機系統被M-13僱員伊萬·耶爾馬科夫（Ivan Yermakov）入侵，SEC在相關訴訟中表示，該計劃從2018年到2020年總共淨賺至少8250萬美元。

新聞來源：

https://www.reuters.com/world/russian-businessman-made-millions-insider-trading-through-hacking-us-says-2021-12-20/

Facebook阻止七家惡意軟體傳播者，刪除數百個帳戶，通知50,000個潛在駭客目標

幾周前，Apple起訴NSO Group以針對iPhone使用者。它還開始通知被NSO間諜軟體攻擊的使用者，這可能會使不友好的民族國家的進一步監視工作無效。

但在蘋果採取反NSO行動之前，Facebook起訴該公司使用WhatsApp部署惡意軟體。這兩起訴訟都對CFAA產生了一些令人不安的影響——這可能會給抓取資料的研究人員和搜尋安全漏洞的安全研究人員帶來未來的問題。

Facebook已經擾亂了七家不同的間諜軟體製造公司的運營，封鎖了他們的網際網路基礎設施，傳送停止和終止信函，並禁止他們進入其平臺。

“由於我們長達數月的調查，我們對七個不同的受僱監視實體採取了行動，以破壞他們使用數字基礎設施濫用社交媒體平臺並透過網際網路對人們進行監視的能力，”負責人說。威脅中斷David Agranovich和網路間諜調查負責人Mike Dvilyanski。

Meta的完整報告[PDF]列出了在這次僱傭監視清除中被驅逐的公司，Meta向全球大約50,000人發出警報，我們認為他們是這些惡意活動的目標。我們最近對其進行了更新，為人們提供有關目標型別及其背後參與者的更詳細的資訊，以便他們能夠根據我們在每種情況下檢測到的監視攻擊鏈的階段，採取措施保護他們的帳戶。

新聞來源：

https://www.techdirt.com/articles/20211219/10423048147/facebook-blocks-seven-malware-purveyors-deletes-hundreds-accounts-notifies-50000-potential-hacking-targets.shtml

Windows 10 21H2將勒索軟體保護新增到安全基線

Microsoft已釋出適用於Windows 10的最終版安全配置基線設定，版本21H2，今天可從Microsoft安全合規性工具包獲得。

新的Windows 10安全基線的亮點是新增了篡改保護作為預設啟用的設定（這也是兩個月前Windows 11安全基線中的預設設定）。

篡改保護使用預設安全值自動鎖定Microsoft Defender Antivirus，阻止使用登錄檔、PowerShell cmdlet或組策略更改它們的嘗試。

啟用它後，勒索軟體在嘗試執行以下操作時將面臨更具挑戰性的任務：

• 禁用病毒和威脅防護

• 禁用實時保護

• 關斷行為監控

• 禁用防病毒軟體（例如IOfficeAntivirus(IOAV)）

• 禁用雲提供的保護

• 刪除安全情報更新

• 禁用對檢測到的威脅的自動操作

Windows安全基線提供Microsoft推薦的安全配置，可減少Windows系統的攻擊面並提高企業端點的整體安全狀況。Windows 10 21H2安全基線現在可透過Microsoft安全合規工具包下載，包括組策略物件(GPO)備份和報告、將設定應用於本地GPO所需的指令碼以及策略分析器規則。

下載地址：

https://www.microsoft.com/download/details.aspx?id=55319

新聞來源：

https://www.bleepingcomputer.com/news/microsoft/windows-10-21h2-adds-ransomware-protection-to-security-baseline/

德國製造的Auerswald VoIP系統中發現秘密後門

在對來自德國電信硬體製造商Auerswald的廣泛使用的網際網路協議語音(VoIP)裝置的韌體進行滲透測試時發現了多個後門，這些後門可能會被濫用以獲取對裝置的完全管理訪問許可權。

“在COMpact 5500R PBX的韌體中發現了兩個後門密碼，”RedTeam Pentesting的研究人員在週一釋出的技術分析中說。“一個後門密碼是給秘密使用者‘Schandelah’使用的，另一個可以給最高許可權的使用者‘admin’使用。”沒有發現禁用這些後門的方法。”

該漏洞的識別符號為CVE-2021-40859，嚴重等級為9.8。在9月10日負責任地披露之後，Auerswald在2021年11月釋出的韌體更新（8.2B版）中解決了這個問題。

PBX是Private Branch Exchange的縮寫，是一種為私人組織服務的交換系統。它用於建立和控制電信端點之間的電話呼叫，包括常用電話機、公共交換電話網路(PSTN)上的目的地以及VoIP網路上的裝置或服務。

研究人員發現，根據官方文件，除了“sub-admin”（管理裝置所必需的帳戶）之外，這些裝置還被配置為檢查硬編碼的使用者名稱“Schandelah”。“事實證明，Schandelah是德國北部一個小村莊的名字，Auerswald在那裡生產他們的裝置，”研究人員說。

研究人員說：“使用後門，攻擊者可以以最高許可權訪問PBX，使他們能夠完全破壞裝置。”“後門密碼沒有記錄。它們與供應商支援的記錄密碼恢復功能秘密共存。”

新聞來源：

https://thehackernews.com/2021/12/secret-backdoors-found-in-german-made.html

安全漏洞威脅

Conti Ransomware擁有完整的Log4Shell攻擊鏈

Conti勒索軟體團伙上週成為第一個採用Log4Shell漏洞並將其武器化的專業犯罪軟體組織，現在已經建立了一個完整的攻擊鏈。

截至12月20日，攻擊鏈已採用以下形式：Emotet->CobaltStrike->HumanExploitation->（無ADMIN$共享）->Kerberoast->vCenter ESXi with vCenter的log4shell掃描。

多個Conti小組成員於12月12日開始討論利用Log4Shell漏洞作為初始攻擊向量。這導致掃描AdvIntel於第二天（12月13日）首先跟蹤的易受攻擊的系統。

在公開披露該漏洞的幾個小時內，攻擊者就開始掃描易受攻擊的伺服器並發動快速演變的攻擊，以投放硬幣礦工、Cobalt Strike、Orcus遠端訪問木馬(RAT)。為未來的攻擊、Mirai和其他殭屍網路以及後門逆向bashshell。

但在所有威脅參與者中，Conti“在當今的威脅格局中扮演著特殊的角色，主要是由於其規模，”他們解釋說。這是一個高度複雜的組織，由多個團隊組成。AdvIntel估計，根據對Conti日誌的審查，這個講俄語的團伙在過去六個月中賺了超過1.5億美元。但他們仍在繼續擴張，Conti不斷尋找新的攻擊面和方法。

新聞來源：

https://threatpost.com/conti-ransomware-gang-has-full-log4shell-attack-chain/177173/

FBI發現APT正在利用最近的ManageEngine桌面中心漏洞

聯邦調查局(FBI)已釋出關於Zoho的ManageEngine Desktop Central產品中最近漏洞被利用的警報。

跟蹤為CVE-2021-44515的安全錯誤是一種身份驗證繞過，可用於實現遠端程式碼執行。該錯誤會影響ServiceDesk Plus的專業版和企業版，並可能影響全球數以萬計的組織。

該漏洞評級為嚴重（CVSS得分為9.8），該漏洞於12月初公開，當時Zoho警告說威脅行為者已經在攻擊中利用該漏洞。

現在，聯邦調查局表示，至少自2021年10月以來，高階持續威脅(APT)攻擊者的利用一直在持續。攻擊者一直在受感染的桌面中央伺服器上投放webshell，以覆蓋合法功能並設定用於入侵後的活動.

攻擊者使用webshell投放更多工具、列舉域使用者、執行偵察並嘗試在網路中橫向移動並竊取憑據。

新聞來源：

https://www.securityweek.com/fbi-sees-apts-exploiting-recent-manageengine-desktop-central-vulnerability