安全資訊報告

經濟日報：築牢資料安全防護網

由國家網際網路資訊辦公室會同相關部門研究起草的《網路資料安全管理條例（徵求意見稿）》對外公佈。這是國家加強網路資料法治化的又一重要舉措，對資料處理企業、數字化轉型企業而言，將在搭建資料架構、完善資料合規體系等方面具有促進作用。

近年來，《網路安全法》《資料安全法》《個人資訊保護法》等法律相繼出臺，對資料安全管理作出明確規定，相關配套法規相繼更新完善。對標法律法規，如何將其落實到企業運營與交易的實際中去，既是企業長期要做且必須做的事，同時企業在實操過程中也產生不少困惑。

值得關注的是，條例草案首次提出，平臺規則、隱私政策制定或者對使用者權益有重大影響的修訂，網際網路平臺運營者應當在其官方網站、個人資訊保護相關行業協會網際網路平臺面向社會公開徵求意見。這是推動資料管理公開透明的創新舉措。此外，平臺不得在平臺規則、演算法、技術、流量分配等方面設定不合理的限制和障礙，限制平臺上的中小企業公平獲取平臺產生的行業、市場資料等，阻礙市場創新。

對企業交易層面而言，面臨的是資料合規的全鏈條全過程監管。形成常態化資料安全保障機制，是資料合規的要義之二。

不管是合併、重組、解散、破產，還是境外上市等各類交易場景，都要接受資料監管。今後，企業交易行為觸發網路安全審查的門檻將越發嚴格，符合條件的不僅要主動向監管部門申報、報告，而且每年開展一次資料安全評估。“向境外提供個人資訊和重要資料的資料處理者，應當在每年1月31日前編制資料出境安全報告，向設區的市級網信部門報告上一年度以下資料出境情況”等規定，都是明確時間節點的“規定動作”，進一步加強了企業自身的資料安全保障責任。

以總體國家安全觀為指引，國家構建起保障資料安全的法治體系。資料安全從立法到執法強力推進，監管則日趨精細化、法治化。企業按照資料分級分類管理，做到精細化防護，才能更好落實網路資料安全責任。畢竟，保證企業經營交易行為的正當性、合法性，事關企業發展大計，不可不察，不可不慎。

新聞來源： 

https://finance.sina.com.cn/review/jcgc/2021-11-22/doc-iktzqtyu8713624.shtml

新的PhoneSpy惡意軟體可以竊取敏感資訊、解除安裝安全應用程式

Android使用者要提防新的PhoneSpy惡意軟體，一些安全專家已經警告說，它可能會竊取受害者的敏感資訊。此外，在某些情況下，間諜軟體可能會解除安裝智慧手機上的安全應用程式。

根據ZDNet的新聞報導，新型間諜軟體存在於各種看似無害的Android應用程式中，包括訊息應用程式、照片收集應用程式、流媒體應用程式，甚至是瑜伽教學等健身應用程式。

zLabs還發現該惡意軟體是透過網路釣魚騙局在眾多社交媒體平臺和網站上推出的。

在某些情況下，流行的韓國訊息應用程式Kakao Talk的複製品可以將PhoneSpy惡意軟體安裝到其使用者的Android裝置上。該安全公司警告Android使用者，該惡意軟體可以進一步訪問和竊取敏感資料，包括錄音、影片、影像以及他們的GPS位置。間諜軟體還可以讀取他們的訊息、聯絡人列表和通話記錄。更重要的是，犯罪分子還可以代表受害者傳送資訊。

新聞來源： 

https://www.techtimes.com/articles/268323/20211121/android-users-beware-new-phonespy-malware-steals-sensitive-info-uninstalls.htm

駭客使用SquirrelWaffle惡意軟體在新活動中入侵Exchange伺服器

駭客正在使用ProxyShell和ProxyLogon漏洞，在一項新活動中闖入Microsoft Exchange伺服器，以透過回覆預先存在的電子郵件鏈來繞過安全措施，從而用惡意軟體感染系統。

研究人員表示，Squirrelwaffle於9月首次作為透過垃圾郵件活動傳播的新載入程式出現。該惡意軟體以傳送惡意電子郵件作為對預先存在的電子郵件鏈的回覆而聞名。

研究人員觀察到的入侵源自內部部署的Microsoft Exchange伺服器，這些伺服器似乎容易受到ProxyLogon和ProxyShell的攻擊。據研究人員稱，有證據表明，三臺Exchange伺服器的IIS日誌中的漏洞CVE-2021-26855、CVE-2021-34473和CVE-2021-34523受到了不同的入侵。受影響網路中的所有內部使用者都收到了垃圾郵件，這些郵件是對現有電子郵件執行緒的合法回覆。

所有觀察到的電子郵件都是用英語編寫的，用於中東的垃圾郵件活動。雖然不同地區使用其他語言，但大多數是用英語編寫的。更值得注意的是，來自受害者域的真實帳戶名被用作發件人和收件人，這增加了收件人單擊連結並開啟惡意Microsoft Excel電子表格的機會。

在同一次入侵中，研究人員分析了收到的惡意電子郵件的電子郵件標頭，發現郵件路徑是內部的，表明電子郵件並非來自外部發件人、開放郵件中繼或任何訊息傳輸代理(MTA)。

新聞來源： 

https://www.itpro.co.uk/security/hacking/361617/hackers-use-squirrelwaffle-malware-to-hack-exchange-servers-in-new-campaign

網路竊賊如何加大對公司和組織的網路釣魚攻擊

網路竊賊正在使用新的戰略、戰術和技術來幫助增加他們對公司和組織進行網路釣魚攻擊的成功機會。對商業領袖來說更糟糕的是，勒索軟體攻擊正在增加，所需要的資金數量也在增加。

根據IT安全公司Barracuda Networks的一份新報告，該報告警告說：“隨著攻擊者努力使他們的網路釣魚攻擊更有針對性和有效性，他們已經開始研究潛在的受害者，努力收集有助於他們提高几率的資訊。他們的攻擊會成功。”

誘餌攻擊是攻擊者用來測試電子郵件地址並檢視誰願意響應的一種技術，然後使用該資訊來計劃未來的有針對性的攻擊。也稱為偵察攻擊，這些攻擊通常是內容非常短甚至空洞的電子郵件。目標是透過不接收任何‘無法送達’的電子郵件來驗證受害者電子郵件帳戶的存在，或者讓受害者參與對話這可能會導致惡意匯款或憑據洩露。

由於此類威脅幾乎不包含任何文字，也不包含任何網路釣魚連結或惡意附件，因此傳統的網路釣魚檢測器很難防禦這些攻擊。為了避免被發現，攻擊者通常使用來自免費服務（例如Gmail、雅虎或Hotmail）的新電子郵件帳戶來傳送攻擊。攻擊者還依賴於在試圖透過任何基於批次或異常的檢測器。

調查結果，發現包括：

• 三分之一的受訪公司受到攻擊

2021年9月，在分析的10,500個組織中，有35%至少成為了一次網路釣魚攻擊的目標。平均而言，每家公司的三個郵箱收到了其中一個虛假郵件。

• 更多勒索軟體攻擊

在2020年8月至2021年7月期間，對基礎設施、旅行、金融服務和其他企業等公司的攻擊佔所有勒索軟體攻擊的57%，而在2020年的研究中僅為18%。

• 更高的贖金金額

贖金金額急劇增加。每次事件的平均贖金要求超過1000萬美元。

• 與加密貨幣相關的攻擊數量緊隨比特幣價格上漲。

2020年10月至2021年4月期間，比特幣的價格上漲了近400%，而同期的釣魚攻擊上漲了192%。

新聞來源： 

https://www.expertclick.com/NewsRelease/How-Cyber-Thieves-Are-Ramping-Up-Their-Phishing-Attacks-Against-Companies-And-Organizations,2021263853.aspx

新的Linux惡意軟體針對電子商務網站

電子商務門戶的弱點正在被利用來部署Linux後門以及能夠從受感染網站竊取支付資訊的信用卡竊取程式。

Sansec Threat Research的研究人員在一項分析中說：“攻擊者從自動化電子商務攻擊探測開始，測試常見線上商店平臺中的數十個弱點。一天半之後，攻擊者在商店的一個外掛中發現了一個檔案上傳漏洞。”受影響供應商的名稱沒有透露。

然後利用最初的立足點上傳惡意webshell並更改伺服器程式碼以竊取客戶資料。此外，攻擊者還提供了一個名為“linux_avp”的基於Golang的惡意軟體，該惡意軟體作為後門執行從位於北京的命令和控制伺服器遠端傳送的命令。

這家荷蘭網路安全公司表示，它還發現了一個偽裝成網站圖示影像（“favicon_absolute_top.jpg”）並新增到電子商務平臺程式碼中的PHP編碼的網路瀏覽器，目的是注入欺詐性付款表格並竊取輸入的信用卡資訊由客戶實時傳輸，然後將它們傳輸到遠端伺服器。

新聞來源： 

https://thehackernews.com/2021/11/new-golang-based-linux-malware.html

研究人員破解Conti勒索軟體基礎設施

Prodaft安全研究人員利用了Conti Ransomware-as-a-Service(RaaS)使用的恢復伺服器中的漏洞，使他們能夠深入瞭解勒索軟體的內部工作原理。

該漏洞還允許研究人員識別託管恢復網站的隱藏服務的真實IP地址，包括與Conti伺服器通訊的20個IP，以及用於恢復服務的兩個Tor入口節點，所有這些都已向當局報告。

此外，Prodaft發現了受害者聊天會話，這些會話允許他們識別在勒索受害者資料時使用的帳戶，包括連線IP地址和使用的軟體。調查還揭示了多個受害者使用相同的比特幣錢包地址。

在一份新報告中，Prodaft的安全研究人員提供了與Conti內部工作原理相關的技術細節，並展示了Conti和Ryuk之間的密切聯絡，基本上是說它們似乎是同一個勒索軟體家族。

在基於Tor的洩密網站上發表的一份宣告中，Conti運營商證實了這一違規行為，但聲稱沒有暴露有關其成員或網路的重要資訊。

Ryuk被認為是Hermes勒索軟體的繼任者，於2018年首次出現，並顯示出與TrickBot惡意軟體的密切聯絡，據稱由相同的網路犯罪分子操作。

Conti於2020年首次被發現，並在幾個月內成為一種普遍威脅，到2021年5月，全球可能有400多個組織受到影響。9月，美國政府發出警報，警告稱Conti勒索軟體攻擊有所增加。

安全研究人員表示，在RaaS商業模式下運營，附屬公司與勒索軟體運營商分享高達30%的收到付款，迄今為止，Conti已幫助肇事者賺取了超過2500萬美元。

新聞來源： 

https://www.securityweek.com/researchers-hack-conti-ransomware-infrastructure

安全漏洞威脅

研究人員展示瞭如何利用藍芽經典安全漏洞

新加坡科技設計大學的研究人員釋出了針對一系列漏洞的概念驗證漏洞，該漏洞被稱為BrakTooth，該漏洞影響用於使用ESP32標準對藍芽晶片組進行程式設計的軟體開發工具包。

BrakTooth影響藍芽經典協議，該協議廣泛用於膝上型電腦、智慧手機和音訊裝置。該團隊表示BrakTooth有16個缺陷，如果被利用，其影響的嚴重程度從受影響的系統崩潰到遠端程式碼執行。

團隊稱之為V1的最嚴重缺陷針對的是工業自動化、智慧家居和健身應用等中使用的ESP32 SoC。已知某些型號的MacBook和iPhone會受到影響。由於ESP32BT庫沒有正確地對某些型別的輸入執行越界檢查，對系統的惡意請求可能允許攻擊者將程式碼注入易受攻擊的系統並可能控制。

其他缺陷為攻擊者提供了廣泛的潛在危害，包括強行斷開藍芽裝置之間的連線、使用易受攻擊的端點使配對裝置上的所有連線崩潰以及關閉連線的音訊裝置。攻擊發生在藍芽網路本身，只需要一塊便宜的藍芽硬體和一臺PC。

該團隊表示，易受攻擊的晶片組總數可能超過1,400個，這意味著使用這些晶片組的裝置可能會受到BrakTooth缺陷的影響。這意味著從物聯網小工具到製造裝置再到膝上型電腦和智慧手機的裝置都容易受到攻擊。受影響的製造商包括英特爾、德州儀器和高通。

新聞來源： 

https://www.networkworld.com/article/3640575/researchers-warn-of-bluetooth-classic-security-vulnerability-release-proof-of-concept.html

Windows的新0Day漏洞可以獲得system許可權

一名安全研究人員公開披露了一個新的Windows零日本地許可權提升漏洞的利用，該漏洞可在Windows 10、Windows 11和Windows Server中提供管理員許可權。

BleepingComputer已經測試了該漏洞，並使用它從只有低階別“標準”許可權的帳戶中開啟具有SYSTEM許可權的命令提示符。

使用此漏洞，對受感染裝置訪問受限的威脅參與者可以輕鬆提升其特權，以幫助在網路內橫向傳播。該漏洞影響所有受支援的Windows版本，包括Windows 10、Windows 11和Windows Server 2022。

作為2021年11月補丁星期二的一部分，微軟修復了一個“Windows安裝程式特權提升漏洞”漏洞，跟蹤為CVE-2021-41379。

這個漏洞是由安全研究員Abdelhamid Naceri發現的，他在檢查了微軟的修復後發現了一個繞過補丁和一個更強大的新0day特權提升漏洞。Naceri在GitHub上釋出了新的零日漏洞的POC，解釋說它適用於所有受支援的Windows版本。

“這個變種是在分析CVE-2021-41379補丁期間發現的。該錯誤沒有被正確修復，而不是放棄繞過。”Naceri在他的文章中解釋道。雖然可以配置組策略以防止“標準”使用者執行MSI安裝程式操作，但他的0day可以繞過此策略並且無論如何都會起作用。

BleepingComputer測試了Naceri的“InstallerFile TakeOver”漏洞利用，只需幾秒鐘即可從具有“標準”許可權的測試帳戶獲得SYSTEM許可權。詢問Naceri為什麼公開披露0day漏洞時，被告知他這樣做是出於對微軟漏洞賞金計劃減少支出感到沮喪。微軟可能在12月的補丁星期二修復該漏洞。

新聞來源： 

https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/