安全資訊報告

 

23個應用程式被識別為PhoneSpy惡意軟體

 

該惡意軟體可以竊取關鍵資料，包括已安裝應用程式的完整列表、撥打的電話總數和智慧手機中可用的訊息總數。在Android惡意軟體攻擊的最新發現中，發現名為PhoneSpy的間諜軟件感染了美國和韓國市場的裝置。已發現該惡意軟體感染了23個Android應用程式

 

PhoneSpy惡意軟體能夠竊取重要資料，包括訊息、影像、電話，甚至可以遠端訪問您裝置的位置。此外，透過各種受感染的應用程式許可權，惡意軟體甚至可以訪問已安裝應用程式的完整列表，使用手機上的攝像頭和麥克風錄製音訊和影片。該惡意軟體甚至可以提取裝置資訊，例如IMEI號碼、裝置名稱及其品牌。

 

報告惡意軟體的Zimperium移動安全機構表示，“該應用程式能夠解除安裝任何使用者安裝的應用程式，包括移動安全應用程式。惡意行為者可以實時獲得裝置的精確位置，而受害者並不知道。該間諜軟體還使威脅參與者能夠使用網路釣魚頁面來獲取Facebook、Instagram、Google和KakaoTalk的憑據。”

 

如果您使用的是Android裝置，則需要記住，從不受信任的第三方應用商店下載和安裝應用是不可取的。我們建議堅持使用Google Play商店下載您的所有應用程式。此外，使用者切勿點選透過SMS訊息或電子郵件傳送的任何可疑的下載任何應用程式的連結。此外，使用者不應點選連結或下載透過可疑電子郵件和訊息傳送的附件。

 

新聞來源： 

https://www.91mobiles.com/hub/23-apps-identified-with-phonespy-malware/

 

立即從您的Android手機中刪除這13個“小丑”應用程式

 

一組Android應用程式實際上是危險的Joker惡意軟體的容器，它們可以從您的訊息中竊取一次性登入程式碼或在未經您同意的情況下為您訂閱昂貴的服務。

 

受木馬惡意軟體感染的應用程式已從Google Play商店下架，但部分Android使用者可能仍安裝了這些應用程式並構成危險。

 

安全專家指出，如果您的資料或電池使用量突然激增，則可能是惡意軟體正在您的裝置上執行後臺任務。檢查以確保您的朋友都沒有收到您的神秘訊息，尤其是帶有奇怪連結的訊息。惡意軟體可以使用您的手機向您的聯絡人列表中的人傳送訊息，並進一步感染您的網路。

 

以下應用程式充當惡意軟體的後門，使Android使用者面臨風險：

• Battery Charging Animations Battery Wallpaper

• Battery Charging Animations Bubble Effects

• Classic Emoji Keyboard

• Dazzling Keyboard

• Easy PDF Scanner

• EmojiOne Keyboard

• Flashlight Flash Alert On Call

• Halloween Coloring

• Now QRcode Scan

• Smart TV remote

• Super Hero-Effect

• Volume Booster Hearing Aid

• Volume Booster Louder Sound Equalizer

 

新聞來源： 

https://www.the-sun.com/tech/4114969/joker-malware-apps-android-phone-cybersecurity-hack-trojan/

卡巴斯基預測2022年的8種高階威脅

 

1.APT新參與者的湧入

最近針對NSO等攻擊性安全公司的法律案件使監視軟體的使用成為人們關注的焦點。NSO是一家提供攻擊性安全等服務的以色列公司，它被指控向政府提供間諜軟體，而這些間諜軟體最終會攻擊記者和活動家。

 

2.移動裝置定位

 

Android允許更輕鬆地安裝第三方應用程式，這導致更多面向網路犯罪的惡意軟體環境，而iOS主要是由先進的民族國家贊助的網路間諜活動的目標。2021年披露的Pegasus案為iOS零點選、零日攻擊帶來了新的維度。

 

3.更多供應鏈攻擊

 

今年，REvil/Sodinokibi勒索軟體組織瞄準了託管服務提供商。這種攻擊是毀滅性的，因為它允許一個攻擊者，一旦他或她成功地破壞了提供商，就可以輕鬆地同時攻擊更多的公司。供應鏈攻擊將成為2022年及以後的增長趨勢。

 

4.在家工作創造進攻機會

 

攻擊者將尋找利用未完全修補或保護的家用計算機的新機會，以在企業網路中獲得初步立足點。

 

5.地緣政治：META地區的APT攻擊增加

 

中東和土耳其周邊的地緣政治緊張局勢加劇，以及非洲已成為城市化速度最快的地區並吸引了大量投資，這些很可能會增加META地區，尤其是非洲的重大APT攻擊數量。

 

6.存在風險的雲安全和外包服務

 

雲安全為全球公司提供了許多優勢，但對此類基礎設施的訪問通常取決於單個密碼或API金鑰。此外，線上文件處理或檔案儲存等外包服務包含的資料對於APT威脅參與者來說可能非常有趣。

 

這將“吸引攻擊者的注意力，並將成為複雜攻擊的主要目標。

 

7.回到引導包

 

攻擊者通常會避開低階引導包，因為它有更高的導致系統故障的風險。此外，建立它們需要更多的精力和技能。對bootkit的攻擊性研究還很活躍，預計會有更先進的植入物。

 

8.澄清可接受的網路攻擊做法

 

2021年，網路戰使得法律起訴書更多地被用作對抗行動的武器庫的一部分。一些國家將在2022年釋出他們的網路攻擊分類，詳細說明哪些型別的攻擊媒介和行為是禁止的。

 

新聞來源： 

https://www.techrepublic.com/article/8-advanced-threats-kaspersky-predicts-for-2022/

 

勒索軟體現在是一個巨大的黑洞，正在吸收所有其他形式的網路犯罪

 

安全公司Sophos在一份報告中表示：“勒索軟體黑洞的引力正在吸引其他網路威脅，形成一個龐大的、相互關聯的勒索軟體傳輸系統——這對IT安全具有重大影響。”

 

許多專家認為勒索軟體是企業面臨的最緊迫的安全風險——而且它對所涉及的團伙來說極其有利可圖，贖金支出顯著增加。

 

勒索軟體正變得更加模組化，不同的團體專門研究攻擊的特定元素。它還指出了“勒索軟體即服務”的相關興起，犯罪團伙在缺乏自己建立這些工具的技術能力時，可以購買工具來執行他們自己的勒索軟體攻擊。

 

這些所謂的勒索軟體“附屬機構”甚至不必找到自己的潛在受害者：勒索軟體生態系統已經發展，因此他們可以轉向其他專門獲得企業網路訪問許可權的團體，並將後門出售給他們.

 

除了與這些“初始訪問代理”開展業務外，潛在的勒索軟體攻擊者還可以求助於殭屍網路運營商和惡意軟體交付平臺來尋找和瞄準潛在受害者。Sophos說，由於潛在的利潤，這些團體越來越專注於為勒索軟體團伙提供服務，而不是專注於利潤較低的線上犯罪形式。

 

已建立的網路威脅將繼續適應分發和傳遞勒索軟體。其中包括載入程式、投放程式和其他商品惡意軟體；越來越先進的人工操作的初始訪問代理；垃圾郵件和廣告軟體。勒索軟體即服務的想法已經存在了一段時間，並且通常是技術水平較低或資金不足的攻擊者採用的一種方式。

 

研究表明，勒索軟體團伙現在已經足夠富有，可以開始購買自己的零日漏洞，以前只有國家支援的駭客才能使用這種漏洞。

 

新聞來源： 

https://www.zdnet.com/article/ransomware-is-now-a-giant-black-hole-that-is-sucking-in-all-other-forms-of-cybercrime/

 

SharkBot木馬以銀行和加密貨幣憑證為目標

 

新發現的名為SharkBot的銀行木馬現在透過側載入活動和/或社會工程活動瞄準英國、義大利和美國的銀行和加密貨幣服務客戶，該活動試圖“透過自動轉賬系統技術從受感染裝置發起資金轉賬”據Cleafy威脅情報研究團隊稱，它繞過了多因素身份驗證機制，例如強客戶身份驗證。

 

研究人員表示，該惡意軟體針對英國和義大利的22家不同銀行的客戶以及美國的5家加密貨幣服務機構的客戶，但尚不清楚有多少個人受害者或誰是該活動的幕後黑手。SharkBot使用常見名稱和圖示偽裝成合法應用程式，例如媒體播放器、直播電視或資料恢復應用程式。

 

傳統上，銀行木馬專門用於收集儲存在裝置中的憑據和其他敏感的財務和個人資訊，以便威脅行為者在未來的線上欺詐或網路釣魚活動中利用這些資訊。但研究人員表示，SharkBot遠不止於此。

 

新聞來源： 

https://www.bankinfosecurity.com/sharkbot-trojan-targets-bank-cryptocurrency-credentials-a-17941

專家揭露Conti勒索軟體集團，該集團從受害者那裡賺取了2500萬美元

 

Conti於2019年10月出現在網路犯罪領域，據信是俄羅斯威脅組織Wizard Spider的作品，該組織也是臭名昭著的TrickBot銀行惡意軟體的運營商。從那時起，至少有567家不同的公司在受害者羞辱網站上暴露了他們的關鍵業務資料，自2021年7月以來，勒索軟體卡特爾收到了超過500比特幣（2550萬美元）的付款。

 

對勒索軟體樣本和用於接收付款的比特幣錢包地址的分析揭示了Conti和Ryuk之間的聯絡，這兩個家族都大量依賴TrickBot、Emotet和BazarLoader將檔案加密有效載荷實際傳送到受害者的網路透過電子郵件網路釣魚和其他社會工程計劃。

 

新聞來源： 

https://thehackernews.com/2021/11/experts-expose-secrets-of-conti.html

安全漏洞威脅

勒索軟體攻擊者找到了繞過端點保護的巧妙方法

 

勒索軟體攻擊者使用了合法檔案壓縮實用程式WinRAR加密受害者檔案。

 

“這是勒索軟體參與者的一次重組，他們最初嘗試直接加密檔案，但被端點保護阻止了。在第一次嘗試失敗後，他們改變了策略，並重新部署，”加拉格爾指出。在對檔案進行加密後，該團伙要求100萬美元來恢復檔案，而且勒索軟體運營商經常威脅說，如果他們拒絕支付贖金，就會暴露受害者的資料。

 

研究人員認為，攻擊者首先在4月和5月之間的某個時間利用VMware的vCenter Server  Web客戶端中的漏洞闖入受害者的網路，然後他們等到10月才部署勒索軟體。雖然Memento團隊正在考慮他們的下一步行動，但至少有兩個不同的入侵者利用相同的vCenter漏洞將挖礦軟體放入受感染的伺服器。

 

攻擊者還在多臺機器上部署了一個基於Python的開源鍵盤記錄器，因為他們在遠端桌面協議(RDP)的幫助下在網路內橫向移動。“在最初被入侵時，vCenter漏洞已經公開了近兩個月，直到伺服器被勒索軟體攻擊者加密的那一天，它仍然可以被利用，”Sophos指出，它努力強調立即應用安全補丁。

 

新聞來源： 

https://www.techradar.com/news/ransomware-actors-have-found-a-cunning-way-to-bypass-your-endpoint-protection

 

FBI警告：攻擊者積極利用FatPipe零日漏洞

 

聯邦調查局(FBI)就FatPipe產品中的一個零日漏洞發出警報，該漏洞至少自2021年5月以來一直在積極利用。

 

尚未針對安全錯誤釋出CVE識別符號，但專門從事SD-WAN解決方案的FatPipe確實確認其WARP、MPVPN和IPVPN裝置受到該問題的影響。

 

該漏洞存在是因為沒有對某些HTTP請求進行輸入和驗證檢查，從而允許攻擊者將修改後的HTTP請求傳送到易受攻擊的裝置。

 

FatPipe表示，該漏洞存在於FatPipe軟體的Web管理介面中，可被利用將檔案上傳到檔案系統上的任何位置。

 

在本週的警報中，聯邦調查局警告說，攻擊者一直在利用安全漏洞部署一個webshell，為他們提供對受感染裝置的root訪問許可權，從而實現進一步的惡意活動。

 

聯邦調查局警告說：“然後，利用此漏洞成為APT參與者進入其他基礎設施的起點。”

 

攻擊者一直在利用SSH訪問透過受感染裝置路由惡意流量。聯邦調查局表示，該訪問許可權被用於針對額外的美國基礎設施。

 

新聞來源： 

https://www.securityweek.com/fbi-warns-actively-exploited-fatpipe-zero-day-vulnerability

FBI就主動利用的FatPipe VPN零日漏洞發出快速警報

 

美國聯邦調查局(FBI)透露，至少自2021年5月以來，一名身份不明的威脅行為者一直在利用FatPipe MPVPN網路裝置中以前未知的弱點來獲得初始立足點並保持對易受攻擊網路的持續訪問，使其成為最新一家加入Cisco、Fortinet、Citrix和PulseSecure等公司的行列，這些公司的系統已被廣泛利用。

 

該機構在本週釋出的一份警報中表示：“該漏洞允許APT參與者訪問不受限制的檔案上傳功能，以透過root訪問許可權投放用於利用活動的webshell，從而導致許可權提升和潛在的後續活動。”“然後利用這個漏洞成為APT參與者進入其他基礎設施的起點。”

 

零日漏洞使遠端攻擊者能夠將檔案上傳到受影響裝置上檔案系統的任何位置。該安全漏洞會影響執行最新版本10.1.2r60p93和10.2.2r44p1之前的軟體的FatPipe WARP、MPVPN和IPVPN路由器叢集和VPN負載平衡裝置的Web管理介面。聯邦調查局在其快速警報中指出，威脅行為者利用網路外殼橫向移動並透過設定惡意SSH服務攻擊其他美國基礎設施，隨後採取了一系列旨在隱藏入侵併保護其漏洞利用的步驟直到再次需要它。

 

新聞來源： 

https://thehackernews.com/2021/11/fbi-issues-flash-alert-on-actively.html