安全資訊報告

Discord惡意軟體活動針對加密和NFT社群

Discord上的一項新惡意軟體活動使用Babadeda加密器來隱藏針對加密、NFT和DeFi社群的惡意軟體。

Babadeda是一種加密程式，用於加密和混淆看似無害的應用程式安裝程式或程式中的惡意負載。

從2021年5月開始，威脅行為者一直在以加密為主題的Discord頻道上分發由Babadeda作為合法應用程式混淆的遠端訪問木馬。

由於其複雜的混淆，它的AV檢測率非常低，據Morphisec的研究人員稱，其感染率正在加快。

新聞來源： 

https://www.bleepingcomputer.com/news/security/discord-malware-campaign-targets-crypto-and-nft-communities/

新的Linux惡意軟體隱藏在日期無效的cron作業中

安全研究人員發現了一種新的Linux遠端訪問木馬(RAT)，它透過隱藏在計劃在2月31日不存在的一天執行的任務中來保持幾乎不可見的配置檔案。

該惡意軟體被稱為CronRAT，目前以網路商店為目標，使攻擊者能夠透過在Linux伺服器上部署線上支付撇取器來竊取信用卡資料。CronRAT具有獨創性和複雜性的特點，就線上商店的惡意軟體而言，許多防病毒引擎都無法檢測到它。

CronRAT濫用Linux任務排程系統cron，該系統允許排程任務在日曆中不存在的日子執行，例如2月31日。Linuxcron系統接受日期規範，只要它們具有有效的格式，即使日曆中不存在日期-這意味著計劃任務不會執行。

這就是CronRAT實現其隱身所依賴的。荷蘭網路安全公司Sansec今天的一份報告解釋說，它在計劃任務的名稱中隱藏了一個“複雜的Bash程式”。CronRAT背後的攻擊者可以在受感染的系統上執行任何命令。

CronRAT已在世界各地的多家商店中被發現，它被用來在伺服器上注入竊取支付卡資料的指令碼——即所謂的Magecart攻擊。

Sansec將新惡意軟體描述為“對Linux電子商務伺服器的嚴重威脅”，因為它具有以下功能：

• 無檔案執行

• 定時調製

• 防篡改校驗和

• 透過二進位制混淆協議控制

• 在單獨的Linux子系統中啟動串聯RAT

• 偽裝成“DropbearSSH”服務的控制伺服器

• 有效負載隱藏在合法的CRON計劃任務名稱中

所有這些功能使CronRAT幾乎無法檢測到。在Virus Total掃描服務上，12個防病毒引擎無法處理惡意檔案，其中58個未將其檢測為威脅。

新聞來源： 

https://www.bleepingcomputer.com/news/security/new-linux-malware-hides-in-cron-jobs-with-invalid-dates/

CISA、FBI建議在網上保持警惕，以抵禦感恩節前後的勒索軟體攻擊

在感恩節假期之前，網路安全和基礎設施安全域性和聯邦調查局正在敦促提高警惕，防範勒索軟體攻擊，要求公司實施多因素身份驗證，並要求員工不要點選可疑電子郵件。

CISA主管Jen Easterly在一份宣告中說：“雖然我們目前還沒有意識到具體的威脅，但我們知道威脅行為者不會休假。”“我們將繼續提供及時和可操作的資訊，以幫助我們的行業和政府合作伙伴在假期期間保持安全和彈性。我們敦促所有組織保持警惕，並向CISA或FBI報告任何網路事件。”

“具體來說，惡意網路攻擊者經常利用假期和週末來破壞屬於組織、企業和關鍵基礎設施的關鍵網路和系統，”宣告繼續說道。

美國國土安全部表示，從2019年到2020年，勒索軟體攻擊增加了300%。

新聞來源： 

https://1430wcmy.com/2021/11/24/cisa-fbi-recommend-vigilance-online-to-ward-off-ransomware-attacks-around-thanksgiving/

零信任可有效應對勒索軟體威脅

零信任是安全供應商、顧問和政策制定者丟擲的最新流行語，作為解決所有網路安全問題的靈丹妙藥。大約42%的全球組織表示，他們已經制定了採用零信任的計劃。拜登政府還概述了聯邦網路和系統採用零信任架構的必要性。

零信任的概念已經存在一段時間了，很可能是最低許可權訪問的擴充套件。零信任透過“永不信任，始終驗證”的原則有助於最大限度地減少攻擊者的橫向移動（即入侵者用於偵察網路的技術）。在零信任的世界中，不會僅僅因為您位於公司防火牆之後就授予您隱含的信任（無論您從何處登入或嘗試訪問的資源如何）。只有獲得授權的個人才能根據需要訪問選擇的資源。

為了有效地實施零信任，組織必須瞭解其三個核心組成部分：

1.指導原則

四項指導原則是零信任戰略的基本要素。這些包括定義業務成果（組織只有在知道他們試圖保護什麼以及他們在哪裡之後才能有效地保護自己）；從內到外進行設計（識別需要細粒度保護的資源並構建與這些資源密切相關的安全控制）；概述身份訪問要求（為使用者和裝置提供更細粒度的訪問控制管理）；並檢查和記錄所有流量（將經過身份驗證的身份與預定義的策略、歷史資料和訪問請求的上下文進行比較）。

2.零信任網路架構

ZTNA由保護面（對公司最有價值的資料、資產、應用和服務資源）組成；微邊界（保護資源而不是整個網路環境的粒度保護）；微分段（根據業務的不同功能將網路環境分為離散的區域或部門）；和特定於上下文的最小許可權訪問（根據工作角色和相關活動以及透過制定最小許可權原則授予資源訪問許可權）。

3.實現零信任的技術

沒有一種解決方案可以實現零信任。話雖如此，身份訪問管理、多因素身份驗證、單點登入、軟體定義邊界、使用者和實體行為分析、下一代防火牆、端點檢測和響應以及資料洩漏預防等技術可以幫助您開始零信任。

零信任和勒索軟體問題

零信任不是勒索軟體的靈丹妙藥，但如果實施得當，它可以幫助建立更強大的安全防禦來抵禦勒索軟體攻擊。這是因為，從根本上說，人為錯誤是所有網路攻擊的根本原因，而零信任將焦點重新放在使用者身份和訪問管理上。零信任還有助於顯著減少攻擊面，因為內部和外部使用者只能訪問有限的資源，而所有其他資源都完全隱藏起來。

零信任是一種類似於數字化轉型的策略。它需要整個組織（不僅僅是IT團隊）的承諾；它需要思維方式的改變和架構方法的根本轉變；它需要謹慎執行並深思熟慮，並牢記長遠；最後，它必須是一個永恆的、不斷髮展的過程，隨著不斷變化的威脅形勢而變化。幾乎一半的網路安全專業人員仍然對應用零信任模型缺乏信心，這是理所當然的-一個錯誤的舉動可能會使組織處於更糟糕的境地。也就是說，成功實施零信任的企業將在對抗勒索軟體等不斷變化的威脅方面處於更有利的地位，併成為真正具有網路彈性的組織。

新聞來源： 

https://www.darkreading.com/vulnerabilities-threats/zero-trust-an-answer-to-the-ransomware-menace-

多數網購釣魚詐騙針對美國消費者

對垃圾郵件的分析表明，在假期前夕，大多數針對線上購物者的網路釣魚詐騙都來自美國(44%)。

該數字基於對Bitdefender在2021年11月1日至11月11日期間收集的全球垃圾郵件遙測資料的分析，以預測即將到來的假日購物季。

研究表明，儘管網路釣魚者撒網很廣，但他們的重點是美國購物者，美國購物者成為威脅行為者最有吸引力的目標，接收垃圾郵件的比例最大，佔全球垃圾郵件總量的44%。

緊隨其後的是英國（8%）、澳大利亞（6%）、南非（5%）、愛爾蘭（4%）、德國（4%）、瑞典（3%）、丹麥（2%）、法國(2%)、羅馬尼亞(1%)和義大利(1%)。

新聞來源： 

https://www.techradar.com/news/most-phishing-scams-targeting-online-shoppers-originate-in-the-us

這個新的隱形JavaScript惡意軟體正在感染計算機

HP ThreatResearch將新的規避載入程式稱為“RATDispenser”，該惡意軟體負責在2021年部署至少八個不同的惡意軟體系列。已經發現了這種新惡意軟體的大約155個樣本，分佈在三個不同的變體中，暗示它處於活動狀態發展。

“RATDispenser用於在啟動二級惡意軟體之前在系統上獲得初始立足點，從而建立對受感染裝置的控制，”安全研究員帕特里克·施拉普弗說。“所有有效載荷都是RAT，旨在竊取資訊並讓攻擊者控制受害裝置。”

與其他此類攻擊一樣，感染的起點是包含惡意附件的網路釣魚電子郵件，該附件偽裝成文字檔案，但實際上是經過混淆的JavaScript程式碼，用於編寫和執行VBScript檔案，反過來,在受感染的機器上下載最後階段的惡意軟體負載。

新聞來源： 

https://thehackernews.com/2021/11/this-new-stealthy-javascript-loader.html

安全漏洞威脅

駭客透過Microsoft MSHTML漏洞利用惡意軟體監視目標PC

發現一個新的攻擊利用Microsoft Windows MSHTML漏洞，使用一種新的基於PowerShell的資訊竊取程式來瞄準講波斯語的受害者，該資訊竊取程式旨在從受感染的機器中獲取大量詳細資訊。

竊取程式是一個PowerShell指令碼，具有強大的收集功能——僅約150行，它為攻擊者提供了大量關鍵資訊，包括螢幕截圖、電報檔案、文件收集以及有關受害者環境的大量資料。近一半的目標來自美國，這家網路安全公司指出，這些攻擊可能針對“居住在國外並可能被視為對伊朗伊斯蘭政權構成威脅的伊朗人。

網路釣魚活動始於2021年7月，涉及利用CVE-2021-40444，這是一個遠端程式碼執行漏洞，可以使用特製的Microsoft Office文件加以利用。微軟於2021年9月修補了該漏洞，幾周前就出現了有關主動利用漏洞的報導。

攻擊者可以製作惡意ActiveX控制元件，供託管瀏覽器渲染引擎的Microsoft Office文件使用。攻擊者必須說服使用者開啟惡意文件。將帳戶配置為具有較少使用者許可權的使用者與使用管理使用者許可權操作的使用者相比，該系統受到的影響可能較小。

SafeBreach描述的攻擊序列始於目標接收魚叉式網路釣魚電子郵件，該電子郵件以Word文件為附件。開啟該檔案會觸發CVE-2021-40444的漏洞利用，導致執行名為“PowerShortShell”的PowerShell指令碼，該指令碼能夠隱藏敏感資訊並將其傳輸到命令和控制(C2)伺服器。

雖然在9月15日觀察到涉及部署資訊竊取程式的感染，但在微軟釋出該漏洞補丁的第二天，上述C2伺服器也被用來收集受害者的Gmail和Instagram憑據，這是該組織發起的兩次網路釣魚活動的一部分。

新聞來源： 

https://thehackernews.com/2021/11/hackers-using-microsoft-mshtml-flaw-to.htm