安全資訊報告

GoDaddy：超過100萬WordPress客戶資料外洩

網路託管巨頭GoDaddy週一披露了一起資料洩露事件，導致共有120萬活躍和非活躍客戶的資料遭到未經授權的訪問，這是自2018年以來曝光的第三起安全事件。

GoDaddy透露，它在11月17日發現了闖入事件。對該事件的調查正在進行中，該公司表示正在“直接聯絡所有受影響的客戶，提供具體細節”。相信入侵者已存取下列資料——

• 多達120萬個活躍和不活躍的託管WordPress客戶的電子郵件地址和客戶數量；

• 暴露了在配置時設定的原始WordPress管理員密碼；

• 與其活躍客戶相關的sFTP和資料庫使用者名稱和密碼，以及一部分活躍客戶的SSL私鑰；

GoDaddy表示正在為受影響的客戶頒發和安裝新證照。作為預防措施，該公司還表示已重置受影響的密碼，並透過增加安全保護來支援其配置系統。

新聞來源： 

https://thehackernews.com/2021/11/godaddy-data-breach-exposes-over-1.html

發現針對疫苗製造行業的惡意軟體攻擊

據安全研究人員稱，發現了一種新的Windows惡意軟體，它可以不斷適應以避免檢測，其目標是生物技術行業，包括疫苗製造企業背後的基礎設施。

該警告來自一家名為BIO-ISAC的非營利組織，該組織專注於資訊共享，以保護生物技術行業免受網路安全威脅。BIO-ISAC解釋說，威脅行為者使用名為“Tartigrade”的自定義變形版“SmokeLoader”，該版本透過網路釣魚或隨身碟傳送。

該惡意軟體可以從記憶體中重新編譯載入程式，而不會留下一致的簽名，因此識別、跟蹤和刪除要困難得多。SmokeLoader充當隱形入口點，下載更多有效載荷、操作檔案和部署其他模組。過去的SmokeLoader版本嚴重依賴外部方向，但該變體可以自主執行，甚至無需C2連線。即使C2當機，惡意軟體仍會根據內部邏輯和高階決策能力繼續橫向移動，甚至具有選擇性識別檔案進行修改的能力。

新聞來源： 

https://www.bleepingcomputer.com/news/security/hackers-target-biomanufacturing-with-stealthy-tardigrade-malware/

新的惡意軟體幾乎能規避所有的防毒產品

專家警告說，有一個新的JavaScript下載器正在徘徊，它不僅會分發八種不同的遠端訪問木馬(RAT)、鍵盤記錄器和資訊竊取程式，而且還能夠繞過大多數安全工具的檢測。

HP Wolf Security的網路安全研究人員將惡意軟體命名為RATDispenser，並指出雖然JavaScript下載程式的檢測率通常低於其他下載程式，但這種特定的惡意軟體更危險，因為它採用了多種技術來逃避檢測。

令人擔憂的是，只有大約11%的防病毒系統檢測到RATDispenser，導致這種隱蔽的惡意軟體在大多數情況下成功部署在受害者的端點上。RAT和鍵盤記錄器幫助攻擊者獲得對受感染計算機的後門訪問。然後，攻擊者通常會使用訪問許可權來幫助竊取使用者帳戶和越來越多的加密貨幣錢包的憑據，在某些情況下甚至可能將訪問許可權轉給勒索軟體運營商。

研究人員指出，感染鏈始於使用者收到一封包含惡意混淆JavaScript的電子郵件。當它執行時，JavaScript會寫入一個VBScript檔案，該檔案會在刪除自身之前依次下載惡意軟體負載。進一步的研究表明，在過去三個月中，總共155個樣本中至少存在三種不同的RATDispenser變種。雖然這些樣本中的大多數是dropper，但有10個是透過網路通訊以獲取惡意軟體的下載器。

新聞來源： 

https://www.techradar.com/news/new-malware-is-capable-of-evading-almost-all-antivirus-products

超過900萬Android裝置被資訊竊取木馬感染

大規模惡意軟體活動已導致大約9,300,000次安裝Android木馬，木馬偽裝成190多個不同的應用程式。偽裝成模擬器、平臺遊戲、街機遊戲、RTS策略以及面向俄語、中文或國際（英語）使用者的射擊遊戲。如果使用者喜歡這款遊戲，他們就不太可能將它們刪除。

這種Cynos木馬變種的功能可以執行各種惡意活動，包括監視簡訊文字以及下載和安裝其他有效負載。

Android.Cynos.7.origin是Cynos程式模組的修改之一。該模組可以整合到Android應用程式中以透過它們獲利。惡意軟體分析師發現惡意軟體的主要功能是收集有關使用者及其裝置的資訊並顯示廣告。

新聞來源： 

https://www.bleepingcomputer.com/news/security/over-nine-million-android-devices-infected-by-info-stealing-trojan/

蘋果起訴間諜軟體製造商NSO Group

Apple已對Pegasus（飛馬）間諜軟體製造商NSO Group及其母公司提起訴訟，指控其使用監視技術瞄準和監視Apple使用者。蘋果表示，使用NSO間諜軟體的攻擊僅針對“極少數”個人，跨多個平臺，包括iOS和Android。

用於部署NSO Group的Pegasus間諜軟體被用來入侵和破壞高價值目標的裝置，例如世界各地的政府官員、外交官、活動家、持不同政見者、學者和記者。

為了防止對其使用者的進一步濫用和傷害，Apple還尋求永久禁令，禁止NSO Group使用任何Apple軟體、服務或裝置。

新聞來源： 

https://www.bleepingcomputer.com/news/apple/apple-sues-spyware-maker-nso-group-notifies-ios-exploit-targets/

FBI警告針對知名品牌客戶的網路釣魚

美國聯邦調查局(FBI)今天警告說，最近檢測到的魚叉式網路釣魚電子郵件活動在被稱為品牌網路釣魚的攻擊中針對“品牌公司”的客戶。該警告是透過該局的網際網路犯罪投訴中心平臺與網路安全和基礎設施安全域性（CISA）協調發布的公共服務公告。

目標透過各種方式傳送到網路釣魚登陸頁面，包括垃圾郵件、簡訊或網路和移動應用程式，這些應用程式可能會欺騙公司官方網站的身份或線上地址。

攻擊者將登入表單或惡意軟體嵌入到他們的網路釣魚頁面中，最終目標是竊取受害者的使用者憑據、付款詳細資訊或各種其他型別的個人身份資訊(PII)。除了這些正在進行的網路釣魚攻擊之外，威脅行為者還可能開發工具來誘使潛在目標洩露資訊，從而透過攔截電子郵件和入侵帳戶來繞過帳戶保護雙因素身份驗證(2FA)。

新聞來源： 

https://www.bleepingcomputer.com/news/security/fbi-warns-of-phishing-targeting-high-profile-brands-customers/

安全漏洞威脅

專為關鍵工業應用設計的Wi-Fi模組中發現嚴重漏洞

思科的Talos研究和威脅情報部門在一個專為關鍵工業和商業應用設計的Lantronix Wi-Fi模組中發現了20多個漏洞。

受影響的產品PremierWave 2050企業Wi-Fi模組提供始終線上的5G Wi-Fi連線，專為關鍵任務操作而設計。根據供應商的網站，它提供企業級安全性。Cisco Talos研究人員發現該產品總共受到21個漏洞的影響，其中大多數被指定為嚴重或高嚴重等級。Talos釋出了18個單獨的公告來描述這些漏洞。

研究人員在Lantronix PremierWave 2050版本8.9.0.0R4上重現了這些漏洞，Talos聲稱沒有針對安全漏洞的官方補丁，儘管供應商自6月15日以來就知道這些漏洞。

Talos研究人員發現的漏洞包括作業系統命令注入、遠端程式碼執行、資訊洩露。遠端攻擊者可以利用這些漏洞完全破壞PremierWave 2050作業系統。Talos的研究工程師Matt Wiseman告訴SecurityWeek，他們可以從那裡做什麼取決於模組所嵌入系統的功能。

新聞來源： 

https://www.securityweek.com/serious-vulnerabilities-found-wi-fi-module-designed-critical-industrial-applications

惡意軟體現在試圖利用新的Windows Installer零日漏洞

惡意軟體建立者已經開始測試針對安全研究人員Abdelhamid Naceri週末公開披露的新Microsoft Windows Installer零日漏洞的概念驗證漏洞。

“Talos已經在野外檢測到試圖利用此漏洞的惡意軟體樣本，”思科Talos安全情報與研究小組的技術負責人Jaeson Schultz說。

然而，正如Cisco Talos的外展主管Nick Biasini告訴BleepingComputer的那樣，這些漏洞利用嘗試是小規模攻擊的一部分，可能專注於測試和調整漏洞利用以進行全面的攻擊活動，研究人員已經追蹤到幾個惡意樣本。

“由於數量很少，這很可能是人們在處理概念程式碼證明或為未來的活動進行測試。這只是更多地證明了對手如何迅速將公開可用的漏洞利用武器化。”

該漏洞是一個本地特權提升漏洞，是微軟在2021年11月的補丁星期二釋出補丁的繞過，以解決跟蹤為CVE-2021-41379的缺陷。Naceri釋出了針對這個新0day漏洞的POC(概念驗證程式碼），稱適用於所有受支援的Windows版本。

如果成功利用，此繞過為攻擊者提供了對執行最新Windows版本（包括Windows 10、Windows 11和Windows Server 2022）的系統許可權。SYSTEM許可權是Windows使用者可用的最高使用者許可權，可以執行任何作業系統命令。

透過利用這種零日漏洞，對受感染系統的訪問許可權有限的攻擊者可以輕鬆提升其特權，以幫助在受害者網路中橫向傳播。解決該漏洞，只能等待微軟釋出新的補丁。

新聞來源： 

https://www.bleepingcomputer.com/news/security/malware-now-trying-to-exploit-new-windows-installer-zero-day/