安全資訊報告

巴西衛生部在一週內遭受兩次勒索軟體攻擊，疫苗接種資料被盜

巴西衛生部正在考慮延長處理Covid-19疫苗接種資料的系統的停機時間，因為它試圖從這種確切情況中恢復過來，以應對相隔僅四天的兩次重大襲擊。

目前尚不清楚這兩次勒索軟體攻擊是否來自同一來源，但第一次可能具有激進主義元素。一家名為Lapsus$Group的駭客組織聲稱，他們瞄準並刪除了頒發該國數字接種證書所需的疫苗接種資料。後續攻擊不太成功，但針對相同的資料並造成足夠的破壞，延遲了衛生部系統的恢復。

第一次勒索軟體攻擊發生在12月10日，使衛生部的所有網站都下線了一段時間。Lapsus$Group向衛生部傳送了一條訊息，將這次攻擊歸咎於他們，聲稱他們從Covid跟蹤程式中提取了大約50TB的資料，隨後將其從該機構的伺服器中刪除。

12月14日發生了第二次攻擊，目標是許多相同的系統。這次似乎並沒有以資料被盜或刪除而告終，但勒索軟體攻擊確實使用於跟蹤Covid治療的ConecteSUS應用程式離線了一段時間。對於巴西居民，第二次勒索軟體攻擊所針對的ConecteSUS應用程式用於個人跟蹤Covid-19測試和狀態。該應用程式基本上提供了對與Covid治療相關的任何醫療記錄的訪問許可權：測試、接種的疫苗、住院時間以及他們為治療而開出的任何藥物。衛生部表示，該應用程式的資料已得到備份，但該應用程式在第一次攻擊一週後仍然無法使用。

新聞來源：

https://www.cpomagazine.com/cyber-security/health-ministry-of-brazil-hit-by-two-ransomware-attacks-in-one-week-vaccination-data-stolen-taken-offline/

Pysa勒索軟體針對更多企業

Pysa是勒索軟體團伙之一，該團伙利用雙重勒索向受害者施壓以支付勒索要求，並在上個月洩露了50個先前受感染組織的漏洞。總體而言，11月Pysa攻擊的數量增加了50%，這意味著它超過Conti並加入Lockbit，成為惡意軟體最常見的前兩個版本。Pysa在試圖勒索目標數週或數月後洩露了目標資料。

NCC Group指出，Pysa的目標是高價值的金融、政府和醫療保健組織。

在所有勒索軟體團伙中，當月來自北美的受害者總數達到154個，其中140個是美國組織，而歐洲的受害者在11月達到了96個。工業部門是最有針對性的，而對技術部門的攻擊減少了38%。

新聞來源：

https://www.zdnet.com/article/this-ransomware-strain-just-started-targeting-lots-more-businesses/

Dridex惡意軟體使用虛假的解僱電子郵件來欺騙員工

一個新的Dridex惡意軟體網路釣魚活動正在使用假的員工解僱電子郵件作為誘餌開啟惡意Excel文件，然後用季節的問候資訊誘騙受害者。

Dridex是一種透過惡意電子郵件傳播的銀行惡意軟體，最初開發用於竊取線上銀行憑據。隨著時間的推移，開發人員不斷髮展惡意軟體以使用不同的模組來提供額外的惡意行為，例如安裝其他惡意軟體有效載荷、提供對威脅行為者的遠端訪問或傳播到網路上的其他裝置。

該惡意軟體由名為Evil Corp的駭客組織建立，該組織支援各種勒索軟體操作，例如BitPaymer、DoppelPaymer、WastedLocker變體和Grief。因此，眾所周知，Dridex感染會導致對受感染網路的勒索軟體攻擊。

這些電子郵件使用“員工終止”主題，並告訴收件人他們的僱傭將於2021年12月24日結束，並且“此決定不可撤銷”。

這些電子郵件包括一個名為“TermLetter.xls”的附加Excel密碼保護電子表格，據稱其中包含有關他們被解僱的原因以及開啟文件所需的密碼的資訊。當收件人開啟Excel電子表格並輸入密碼時，會顯示一個模糊的“人員操作表”，說他們必須“啟用內容”才能正確檢視。當受害者啟用內容時，將顯示一個彈出視窗並警告受害者，“親愛的員工聖誕快樂！”

然而，在受害者不知情的情況下，惡意宏已被執行，以建立並啟動儲存在C:\ProgramData資料夾中的惡意HTA檔案。這個隨機命名的HTA檔案假裝是一個RTF檔案，但包含惡意VBScript，它從Discord下載Dridex以感染裝置，同時祝受害者聖誕快樂。

Dridex啟動後，它將開始安裝其他惡意軟體、竊取憑據並執行其他惡意行為。由於Dridex感染通常會導致勒索軟體攻擊，因此Windows管理員需要掌握最新的惡意軟體分發方法，並培訓員工如何發現它們。

新聞來源：

https://www.bleepingcomputer.com/news/security/dridex-malware-trolls-employees-with-fake-job-termination-emails/

警方在被黑的雲伺服器上發現了2.25億個被盜密碼

英國國家犯罪署(NCA)和國家網路犯罪部門(NCCU)發現了2.25億個被盜電子郵箱和密碼快取。

這2.25億個新密碼成為HIPB現有的6.13億個密碼集合中的一部分，該集合為網站運營商提供密碼雜湊，以確保使用者在建立新帳戶時不會使用它們。

NCA告訴BBC，去年與英國警方合作，發現一家英國組織的雲端儲存設施遭到入侵，導致網路犯罪分子將超過40,000個檔案上傳到他們的伺服器。在這些檔案中，有被洩露的電子郵箱和密碼的集合。

新聞來源：

https://www.zdnet.com/article/police-found-225-million-stolen-passwords-hidden-on-a-hacked-cloud-server-is-yours-one-of-them/

安全漏洞威脅

Active Directory漏洞可能讓駭客接管Windows域控制器

在12月12日推出概念驗證(PoC)工具後，微軟正在敦促客戶修補Active Directory域控制器中的兩個安全漏洞，該漏洞已於11月解決。

這兩個漏洞（跟蹤為CVE-2021-42278和CVE-2021-42287）的嚴重性等級為7.5，最高為10，涉及影響Active Directory域服務元件的許可權提升缺陷。

Active Directory是一種在Microsoft Windows Server上執行的目錄服務，用於身份和訪問管理。儘管這家科技巨頭在其評估中將這些缺陷標記為“不太可能被利用”，但PoC的公開披露促使人們再次呼籲應用修復程式以減輕威脅行為者的任何潛在利用。

雖然CVE-2021-42278使攻擊者能夠篡改SAM-Account-Name屬性（用於將使用者登入到Active Directory域中的系統），但CVE-2021-42287可以模擬域控制器。這有效地授予具有域使用者憑據的不良行為者以域管理員使用者身份獲得訪問許可權。

“當結合這兩個漏洞時，攻擊者可以在沒有應用這些新更新的ActiveDirectory環境中建立一個直接訪問域管理員使用者的路徑，”微軟高階產品經理DanielNaim說。“一旦攻擊者危害域中的普通使用者，這種升級攻擊允許攻擊者輕鬆地將他們的許可權提升為域管理員的許可權。”

微軟建議使用者在域控制器上安裝最新的補丁。

新聞來源：

https://thehackernews.com/2021/12/active-directory-bugs-could-let-hackers.html