安全資訊報告

AvosLocker勒索軟體用簡單但非常聰明的技巧來逃避PC防禦

安全公司Sophos警告稱，今年夏天出現的一個人工操作的勒索軟體團伙AvosLocker正在尋找合作伙伴，希望填補REvil退出留下的空白。AvosLocker的主要功能之一是使用AnyDesk遠端IT管理工具並在Windows安全模式下執行它。

AnyDesk是一種合法的遠端管理工具，它已成為犯罪分子之間流行的TeamViewer替代品，TeamViewer提供了相同的功能。在連線到網路時以安全模式執行AnyDesk允許攻擊者保持對受感染機器的控制。

雖然AvosLocker只是重新包裝其他團伙的技術，但Sophos事件響應主管Peter Mackenzie將其使用描述為“簡單但非常聰明”。AvosLocker攻擊者在攻擊的最後階段將計算機重新啟動到安全模式，但還會修改安全模式啟動配置以允許安裝和執行AnyDesk。

攻擊者使用IT管理工具PDQ Deploy將多個Windows批處理指令碼推送到預定的目標機器，包括Love.bat、update.bat和lock.bat。這些指令碼會禁用可以在安全模式下執行的安全產品，禁用Windows Defender，並允許攻擊者的AnyDesk工具在安全模式下執行。他們還設定了一個帶有自動登入詳細資訊的新帳戶，然後連線到目標的域控制器以遠端訪問和執行勒索軟體可執行檔案update.exe。

新聞來源：

https://www.zdnet.com/article/this-new-ransomware-has-simple-but-very-clever-tricks-to-evade-pc-defenses/

網路釣魚事件導致西弗吉尼亞醫院的資料洩露

西弗吉尼亞州的一家醫院系統因網路釣魚攻擊而遭受資料洩露，駭客可以訪問多個電子郵件帳戶。

駭客在5月10日至8月15日期間訪問了多個電子郵件帳戶。這些帳戶包含來自患者、提供者、員工和承包商的敏感資訊。該公司於10月29日結束了對該事件的調查，發現該攻擊是由電子郵件網路釣魚事件引起的。

2021年7月28日，一家供應商報告稱未收到Mon Health的付款，MonHealth首次意識到了這一事件。作為回應，Mon Health立即展開了調查，並確定未經授權的個人獲得了Mon Health承包商的電子郵件帳戶並從該帳戶傳送電子郵件，試圖透過欺詐性電匯從Mon Health獲取資金。

新聞來源：

https://www.zdnet.com/article/phishing-incident-causes-data-breach-at-west-virginia-hospitals/

香港NFT專案Monkey Kingdom因網路釣魚攻擊損失130萬美元

Monkey Kingdom透過Twitter宣佈，駭客透過Discord的安全漏洞竊取了社群的130萬美元加密資金。

據其開發人員稱，這次駭客攻擊首先發生在對Grape的破壞，這是一種在Solana上驗證使用者的流行解決方案。駭客隨後利用該漏洞接管了一個管理帳戶，該帳戶在Monkey Kingdom Discord的公告頻道中釋出了網路釣魚連結。跟隨連結的使用者連線了他們的錢包，期望他們會收到NFT，但結果卻被騙子耗盡了他們的SOL代幣。

新聞來源：

https://cointelegraph.com/news/hong-kong-nft-project-monkey-kingdom-loses-1-3m-in-phishing-hack-launches-compensation-fund

安全漏洞威脅

新惡意軟體可繞過關鍵Office漏洞補丁

Sophos釋出了一個新漏洞的詳細資訊，該漏洞繞過了影響Microsoft Office檔案的關鍵漏洞(CVE-2021-40444)的補丁。

SophosLabs Uncut的一篇新文章“攻擊者在測試無CAB的40444漏洞”報告了這一發現，該文章展示了攻擊者如何利用公開可用的概念驗證Office漏洞並將其武器化以提供Formbook惡意軟體。

2021年9月，微軟釋出了一個補丁，以防止攻擊者執行嵌入在Word文件中的惡意程式碼，該文件下載.cab存檔，而該存檔又包含一個惡意可執行檔案。攻擊者透過將惡意Word文件放置在特製的RAR存檔中來重新利用原始漏洞，成功規避了原始補丁。

“攻擊的預補丁版本涉及打包到Microsoft cab檔案中的惡意程式碼。當微軟的補丁關閉該漏洞時，攻擊者發現了一個概念驗證，展示瞭如何將惡意軟體捆綁到RAR檔案中”他解釋說。

“之前曾使用RAR壓縮包來分發惡意程式碼，但這裡使用的過程異常複雜。之所以成功，可能只是因為補丁的範圍非常狹窄，而且使用者開啟RAR所需的WinRAR程式具有很強的容錯性和似乎並不介意存檔是否格式錯誤，例如，因為它被篡改了。”

研究人員發現，攻擊者建立了一個異常的RAR存檔，其中包含一個PowerShell指令碼，其中包含儲存在存檔中的惡意Word文件。攻擊者建立並分發垃圾郵件，其中包含格式錯誤的RAR檔案作為附件。電子郵件邀請收件人解壓縮RAR檔案以訪問Word文件。開啟Word文件觸發了一個執行前端指令碼的程式，最終導致感染Formbook惡意軟體。

因此，對員工進行教育並提醒他們對電子郵件檔案保持懷疑至關重要，尤其是當他們收到來自他們不認識的人或公司的不尋常或不熟悉的壓縮檔案格式時。

CVE-2021-40444漏洞是一個嚴重的遠端程式碼執行(RCE)漏洞，攻擊者可以利用該漏洞在所有者不知情的情況下在目標機器上執行任何程式碼或命令，微軟在9月釋出了補丁。

新聞來源：

https://itbrief.co.nz/story/critical-microsoft-office-patch-exploited-by-new-malware

Conti勒索軟體正在利用Log4Shell漏洞

Log4Shell是一個危險的安全問題——現在著名的勒索軟體組織Conti正在利用它來攻擊易受攻擊的伺服器以勒索數百萬美元。

該Log4Shell漏洞（CVE-2021-44228）影響log4j的Java庫，它使用了大量的軟體。全球數以百萬計的系統使用該庫的易受攻擊版本並處於危險之中。

在該漏洞公開一週後，它開始被最多產的有組織的俄語勒索軟體組織之一Conti使用。Conti使用“雙重勒索”方案：如果公司不支付贖金，不僅他們的資料丟失，而且還會在網際網路上公開曝光或出售給競爭對手，因為該集團負責將其上的所有加密資料洩露出去。

Conti組織熱衷於尋找感染公司和傳播勒索軟體的新方法，他們經常利用漏洞利用作為最初的入侵媒介。

該組織利用Log4Shell漏洞專門針對VMware vCenter伺服器。該漏洞用於訪問伺服器，然後能夠在目標公司的網路中橫向移動。與他們可能使用的其他漏洞利用相比，這是一個顯著的區別：這個漏洞專門用於在受感染網路內橫向移動；攻擊者已經成功獲得了對公司網路的初始訪問許可權。

這是迄今為止最大和最有利可圖的Log4Shell漏洞使用，因為使用它的後果可能是更多公司的業務受到干擾。他們中的一些人可能會選擇支付贖金以恢復正常，而不是將他們的資料暴露在網際網路上。

新聞來源：

https://www.techrepublic.com/article/conti-ransomware-is-exploiting-the-log4shell-vulnerability-to-the-tune-of-millions/