安全資訊報告
財政部長耶倫稱勒索軟體對經濟構成“直接威脅”
美國財政部長珍妮特·L·耶倫(JanetL. Yellen)表示,今年疑似勒索軟體支付的金額可能會翻一番,對美國經濟構成“直接威脅”。
耶倫的評論出現在財政部最近的一份報告中,該報告將近6億美元的交易與金融服務公司在2021年前六個月提交給美國政府的“可疑活動報告”中的勒索軟體支付聯絡起來。報告稱:“勒索軟體和網路攻擊正在損害美國大大小小的企業,並對我們的經濟構成直接威脅。”
然而,在聯邦領導層和公司對勒索軟體攻擊的持續威脅做出更廣泛的協調反應和更大的緊迫感之前,支付贖金可能是唯一合理的選擇。在勒索軟體攻擊中,受害者通常無法從政府那裡獲得幫助,因為政府缺乏應對越來越多的攻擊的人力和資源。
2021年5月,駭客利用勒索軟體攻擊勒索了數百萬美元的贖金,破壞了殖民地管道並導致美國汽油短缺。
據信,發起勒索軟體的網路犯罪分子主要來自俄羅斯和前蘇聯國家,在朝鮮和伊朗也有活動。駭客組織的名字非常險惡:DarkSide、REvil、BlackMatter和EvilCorp。
9月1日,美國聯邦調查局釋出警告稱,勒索軟體攻擊正以美國食品和農業部門為目標,造成金融破壞並影響美國的食品供應鏈。9月下旬,愛荷華州玉米和大豆農民擁有的農業合作社New CooperativeInc.遭到了BlackMatter勒索軟體組織的攻擊。攻擊者要求合作社為解密金鑰支付590萬美元,並且不釋出被盜資料。
喬拜登總統上週宣佈網路安全是一場全球危機,與30個盟國和友好國家舉行了勒索軟體峰會。
網路安全公司Recorded FutureInc.的高階威脅分析師Allan Liska告訴彭博社:“Sinclair似乎受到了Macaw勒索軟體的攻擊,這是10月初首次報導的一種相對較新的病毒。”
網路安全公司Recorded Future的勒索軟體分析師Allan Liska告訴NBC,僅今年到目前為止,美國約有850家醫療保健網路和醫院受到勒索軟體的影響。根據飛利浦和CyberMDX的一項新研究,由於勒索軟體攻擊不斷升級,近一半的美國醫院在過去六個月中斷開了網路連線。
新聞來源:
https://thecrimereport.org/2021/10/21/u-s-treasury-tags-ransomware-as-growing-threat-to-economy/
科技巨頭宏碁證實,駭客入侵了其位於中國臺灣的部分系統
宏碁最初證實,在一個名為Desorden的組織聲稱從宏碁印度竊取了超過60GB的資料後,其在印度的一些伺服器遭到駭客攻擊。
駭客聲稱獲得了數百萬客戶的資訊、數千家零售商和分銷商使用的登入憑據以及各種公司和財務檔案。宏碁立即證實了其印度伺服器遭到破壞,但將其描述為針對其在印度的售後服務系統的孤立攻擊。
據DataBreaches.net稱,駭客表示,他們還破壞了台灣的一些宏碁系統,並聲稱馬來西亞和印度尼西亞的伺服器也很容易受到攻擊。據稱,攻擊者從台灣的伺服器中竊取了員工資訊。
在該公司釋出的第二份宣告中,宏碁證實在台灣檢測到攻擊,但強調客戶資料沒有受到損害。宏碁表示:“該事件已報告給當地執法部門和相關部門,並未對我們的業務連續性造成干擾,對我們的財務和運營也沒有重大影響。”
Desorden通常會從主要組織竊取檔案,然後威脅如果受害者不支付贖金,就將其在黑市上出售。從宏碁的宣告來看,該公司不會支付任何贖金。
新聞來源:
https://www.securityweek.com/acer-confirms-breach-servers-taiwan
兩名東歐人因向網路犯罪分子提供防彈託管服務而被判刑
兩名東歐國民因向網路犯罪分子提供“防彈託管(bulletproofhosting)”服務而在美國被判刑,他們在2009年至2015年期間利用技術基礎設施在全國範圍內分發惡意軟體並攻擊金融機構。
愛沙尼亞30歲的Pavel Stassi和立陶宛33歲的Aleksandr Shorodumov因參與該計劃而分別被判處24個月和48個月的監禁。
事態發展是在Stassi和Shorodumov以及俄羅斯的Aleksandr Grichishkin和Andrei Skvortsov今年5月早些時候對Racketeer Influenced Corrupt Organization(RICO)指控認罪之後幾個月的事。美國司法部(DoJ)表示,另外兩名共同被告格里希什金和斯克沃爾佐夫正在等待宣判,面臨最高20年的監禁。
法庭檔案顯示,兩人都在一家未具名的防彈託管服務提供商擔任管理員,該提供商將IP地址、伺服器和域出租給網路犯罪客戶,以傳播惡意軟體,例如Zeus、SpyEye、Citadel和Blackhole Exploit kit。訪問受害者的機器,將他們加入殭屍網路,並竊取銀行憑證。
此外,被告還透過監控用於遮蔽技術基礎設施的網站,幫助其客戶將其犯罪活動從執法部門匿名化,然後將標記的內容移至以虛假或被盜身份註冊的新基礎設施,以故意增加難度追蹤。
新聞來源:
https://thehackernews.com/2021/10/two-eastern-europeans-sentenced-for.html
谷歌破壞了大規模的網路釣魚和惡意軟體活動
根據谷歌的威脅分析小組(TAG)的說法,自2019年底以來,它一直在破壞由俄羅斯駭客分包商網路執行的網路釣魚活動,這些分包商一直以“高度定製”的網路釣魚電子郵件和竊取cookie的惡意軟體為目標,瞄準YouTube使用者。
該組織的主要目標是劫持YouTube帳戶進行直播詐騙,這些詐騙提供免費的加密貨幣以換取最初的貢獻。該組織的另一個主要收入來源是出售被劫持的YouTube頻道,價格從3美元到4,000美元不等,具體取決於頻道的訂閱者數量。
谷歌表示,截至今年5月,它已攔截了160萬條傳送給目標的訊息,顯示了62,000個安全瀏覽網路釣魚警報,並恢復了大約4,000個被劫持的帳戶。
網路釣魚電子郵件提供旨在從瀏覽器竊取會話cookie的惡意軟體。雖然“傳遞cookie”攻擊並不新鮮,但它很巧妙:它不會繞過多因素身份驗證(MFA),但即使使用者在帳戶上啟用MFA也能工作,因為會話cookie在使用者使用後被盜已經透過兩個因素進行身份驗證,例如密碼和智慧手機。一旦惡意軟體執行,cookie就會上傳到攻擊者的伺服器以進行賬戶劫持。
TAG分析師Ashley Shen解釋說:“它重新成為最大的安全風險可能是由於多因素身份驗證(MFA)的廣泛採用使得濫用變得困難,並將攻擊者的重點轉移到社會工程策略上。”
谷歌將這次活動歸因於一群“在俄語論壇中招募”的“駭客”。然後,承包商用虛假的商業機會欺騙目標,例如透過防病毒軟體、VPN、音樂播放器、照片編輯軟體或線上遊戲的演示獲利的機會。但隨後攻擊者劫持了YouTube頻道並出售或使用它來直播加密貨幣騙局。
新聞來源:
https://www.zdnet.com/article/google-disrupts-massive-phishing-and-malware-campaign/
安全漏洞威脅
APT攻擊者利用較老的Microsoft漏洞使用商業RAT木馬入侵
APT偽裝成一家IT公司,利用一個存在20年以上既強大又古老的Microsoft Office漏洞,正在攻擊阿富汗和印度的目標。
研究人員發現,一個被描述為“獨狼”的APT正在利用一個存在數十年的Microsoft Office缺陷,向印度和阿富汗的組織提供大量商品RAT。
攻擊者使用政治和政府為主題的惡意域作為活動的誘餌,目標是使用開箱即用的RAT的移動裝置,例如適用於Windows和AndroidRAT的dcRAT和QuasarRAT。根據CiscoTalos週二釋出的一份報告,他們透過利用CVE-2017-11882在惡意文件中提供RAT。
CVE-2017-11882是Microsoft Office中一個存在20多年的記憶體損壞漏洞,該漏洞在該公司於2017年修補之前持續了17年。然而,就在兩年前,攻擊者被發現利用該漏洞,允許他們自動執行惡意程式碼而無需使用者互動。
研究人員表示,該活動背後的高階持續威脅(APT)還在兩步攻擊的偵察階段使用了自定義檔案列舉器和感染器,隨後在活動的後續版本中新增了第二階段,以部署最終的RAT有效載荷,RAT木馬具有多種功能以實現對受害者端點的完全控制。
研究人員表示,為了託管惡意軟體有效載荷,威脅行為者註冊了多個具有政治和政府主題的域,用於欺騙受害者,特別是與阿富汗外交和人道主義努力相關的域,以針對該國的實體。該活動反映了網路犯罪分子和APT出於多種原因使用商品RAT而不是自定義惡意軟體來對付受害者的趨勢有所增加。
研究人員指出,使用商品RAT為攻擊者提供了一系列開箱即用的功能,包括初步偵察能力、任意命令執行和資料洩露。使用商品惡意軟體還可以為攻擊者節省開發自定義惡意軟體的時間和資源投資。
新聞來源:
https://threatpost.com/apt-commodity-rats-microsoft-bug/175601/
谷歌向20億Chrome使用者發出警示
在不到兩週前確認了四個嚴重漏洞之後,谷歌釋出了一篇新的部落格文章,揭示在Chrome中發現了另外五個“高”級漏洞以及其他11個漏洞。
按照標準做法,谷歌目前正在限制有關新駭客的資訊,以便為Chrome使用者爭取時間升級。因此,這就是該公司目前分享的關於高評級威脅的全部內容:
高-CVE-2021-37981:Skia中的堆緩衝區溢位。
高-CVE-2021-37982:在隱身模式下免費使用。
高-CVE-2021-37983:在開發工具中免費使用。
高-CVE-2021-37984:PDFium中的堆緩衝區溢位。
高-CVE-2021-37985:在V8中免費使用。
雖然缺少細節,但新威脅延續了最近幾個月的模式。“Use-After-Free”(UAF)漏洞上個月對Chrome的攻擊次數超過10倍,本月暴露了一個零日UAF漏洞,另外三個高等級攻擊(總共六個)構成了最新的漏洞。
為了對抗這些威脅,谷歌釋出了一個重要的Chrome更新版本95.0.4638.54。升級方法是導航到Settings>Help>About Google Chrome,檢測Chrome的版本號,更新到最新版本,重啟瀏覽器。
新聞來源:
https://www.forbes.com/sites/gordonkelly/2021/10/20/google-chrome-hack-new-attack-exploit-upgrade-chrome-now/