技嘉遭受勒索軟體攻擊、聯邦調查局取締了駭客組織 Revil｜10月25日全球網路安全熱點

安全資訊報告

聯邦調查局透過自己的駭客攻擊取締了頂級勒索軟體駭客組織Revil

政府已經成功地破解了駭客組織雷維爾的勒索背後的實體，對企業軟體供應商的攻擊。聯邦調查局、特勤局、網路司令部和其他國家的組織已共同努力，本月將該組織的業務下線。據報導，該組織的暗網部落格暴露了從其目標收集的資訊，但也處於離線狀態。

本週早些時候，有關該組織下線的報導開始浮出水面，TechCrunch寫道，其Tor網站週一不再可用。由於該組織的一名疑似領導人在論壇上發帖稱其伺服器“遭到破壞”，引發了對駭客攻擊的猜測，但當時尚不清楚誰該為此負責。路透社援引訊息人士的話說，政府針對勒索軟體駭客（包括REvil）的行動仍在進行中。

隨著攻擊對公司的成本越來越高（據報導，一家公司支付了4000萬美元的贖金以恢復其運營），美國正在慢慢扭轉與勒索軟體相關的團體的螺絲釘。財政部推動制裁，使被黑機器更難變現，司法部成立了一個團隊來調查加密貨幣交易所犯下的罪行，並在其公告中多次引用勒索軟體的影響。

由於與之相關的攻擊的高調或高影響性質，REvil受到了大量關注。蘋果供應商洩露了本週推出的MacBook的原理圖，以及對大型肉類加工商JBS、IT管理軟體開發商Kaseya、Travelex和Acer的攻擊，都歸咎於它。該組織被美國財政部的金融犯罪執法網路命名為就報告的支出而言最大的勒索軟體組織之一。

REvil之前已經下線——它的網站在7月份從暗網上消失了，就在FBI表示該組織負責關閉JBS的一個月後，該公司負責全球五分之一的肉類供應。

該組織總是有可能捲土重來，儘管據報導，試圖從7月的倒閉中恢復過來是它首先受到來自美國的襲擊的原因。據路透社訊息，該組織的一名成員恢復了備份，並在不知不覺中包含了被執法部門破壞的系統。一位俄羅斯安全專家告訴路透社，感染備份是REvil本身常用的一種策略。

新聞來源： 

https://www.theverge.com/2021/10/22/22740239/revil-ransomware-hacking-fbi-cyber-command-secret-service-down

勒索軟體團伙偽裝成真正的公司招募技術人才

犯罪組織認為已成立了一個假公司招聘員工潛能的軟體。據研究人員稱，這家假公司使用的名稱是Bastion Secure。該公司表示它銷售網路安全服務。但該網站的運營商是一個名為Fin7的知名駭客組織，Recorded Future和微軟表示。

聯邦檢察官和研究人員稱，Fin7已經入侵了數百家企業，竊取了超過2000萬條客戶記錄，並編寫了用於中斷美國東南部部分地區汽油輸送的駭客軟體。

使用BS徽標的Bastion Secure網站列出了本質上是技術性的工作，並且看起來類似於在任何安全公司執行的工作——程式設計師、系統管理員和擅長發現軟體錯誤的人。據公司網站稱，潛在員工將按照可預測的時間表週一至週五每天工作9小時，提供午餐休息時間。

冒充合法公司進行招聘的企圖代表了勒索軟體提供者發展和傳播破壞肉類生產、醫院護理、教育和數百家企業的禍害的新發展。安全研究人員表示，勒索軟體運營商擁有數億美元的非法收入，越來越像犯罪初創公司一樣運營，擁有專業的支援人員、軟體開發、雲端計算服務和媒體關係。

Fin7已經入侵了數千個計算機系統，多年來專注於竊取和出售信用卡資訊。聯邦檢察官說，這個70人的團體對公司和個人造成了超過30億美元的損失。

微軟安全分析師尼克卡爾在Mandiant會議上發言時表示，該組織最近從竊取卡資訊轉向勒索軟體，現在它管理勒索軟體服務並進行入侵以部署檔案加密軟體。

微軟認為，Fin7生產了在春季破壞Colonial Pipeline Co.運營的駭客攻擊中使用的軟體。卡爾先生在他的演講中說，據信實際的駭客攻擊是由Fin7的一個犯罪附屬機構實施的。研究人員表示，Fin7以DarkSide的名義推銷其勒索軟體業務，但最近將其稱為BlackMatter。

新聞來源： 

https://www.wsj.com/articles/ransomware-gang-masquerades-as-real-company-to-recruit-tech-talent-11634819400

CISA警告在npm包中發現惡意軟體，每週下載數百萬次

一個非常流行的JavaScript庫（npm包）今天遭到駭客攻擊，並被惡意程式碼修改，這些程式碼在使用受感染版本的系統上下載並安裝了密碼竊取程式和加密貨幣挖掘程式。

該事件於10月22日星期五被發現。它影響了UAParser.js，這是一個用於讀取儲存在使用者代理字串中的資訊的JavaScript庫。根據其官方網站，該庫被Facebook、蘋果、亞馬遜、微軟、Slack、IBM、HPE、戴爾、甲骨文、Mozilla、Shopify、Reddit和許多矽谷精英等公司使用。根據其npm頁面，該庫每週的下載量也經常在600萬到700萬之間。

• 受損版本：0.7.29、0.8.0、1.0.0

• 補丁版本：0.7.30、0.8.1、1.0.1

UAParser.js庫的作者Faisal Salman說：“我相信有人劫持了我的npm帳戶併發布了一些可能會安裝惡意軟體的受感染軟體包（0.7.29、0.8.0、1.0.0）。”在發現駭客攻擊數小時後，Salman刪除了受感染的庫版本——以防止使用者意外感染自己——併發布了乾淨的版本。

對惡意程式碼的分析揭示了可以從遠端伺服器下載和執行二進位制檔案的額外指令碼。為Linux和Windows平臺提供了二進位制檔案。“從命令列引數來看，其中一個看起來像一個加密礦工，但這可能只是為了偽裝”一位GitHub使用者週五表示。但根據另一位GitHub使用者的調查結果，在Windows系統上，指令碼還會下載並執行資訊竊取木馬（可能是Danabot惡意軟體的一個版本），其中包含匯出瀏覽器cookie、瀏覽器密碼和作業系統憑據的功能。

由於大量下載和依賴該庫的大公司，美國網路安全和基礎設施安全域性(CISA)在週五深夜釋出了有關該事件的安全警報，敦促開發人員更新到安全版本。

GitHub的安全團隊也注意到了這一事件併發布了自己的建議，敦促在開發過程中使用該庫的系統立即重置密碼和輪換令牌。這標誌著本週發現的第四個惡意npm包。週三，Sonatype還發現了三個新發布的npm庫，其中包含類似的惡意程式碼，旨在下載和安裝加密貨幣礦工，針對Linux和Windows系統。

新聞來源： 

https://therecord.media/malware-found-in-npm-package-with-millions-of-weekly-downloads/

微軟：TodayZoo網路釣魚工具包用於廣泛的憑據竊取攻擊

微軟週四披露了一系列“廣泛的憑據網路釣魚活動”，該活動利用自定義網路釣魚工具包將至少五個不同的廣泛傳播的元件拼接在一起，目的是竊取使用者登入資訊。

這家科技巨頭的Microsoft 365 Defender威脅情報團隊於2020年12月在野外檢測到該工具的第一個例項，將複製貼上攻擊基礎設施稱為“TodayZoo”。

研究人員說：“大量可供出售或出租的網路釣魚工具包和其他工具使孤狼攻擊者可以輕鬆地從這些工具包中挑選最佳功能。他們將這些功能放在一個定製的套件中，並試圖為自己帶來所有好處。TodayZoo就是這種情況。”

網路釣魚工具包通常作為一次性付款在地下論壇上出售，是包含影像、指令碼和HTML頁面的打包存檔檔案，使威脅行為者能夠設定網路釣魚電子郵件和頁面，使用它們作為誘餌來收集憑據並將其傳輸給攻擊者-受控伺服器。

TodayZoo網路釣魚活動沒有什麼不同，因為發件人電子郵件冒充Microsoft，聲稱是密碼重置或傳真和掃描器通知，將受害者重定向到憑據收集頁面。最突出的是網路釣魚工具包本身，它是由從其他工具包中提取的大量程式碼拼湊而成的，“一些可透過可公開訪問的詐騙賣家出售，或者由其他工具包經銷商重複使用和重新包裝。”

新聞來源： 

https://thehackernews.com/2021/10/microsoft-warns-of-todayzoo-phishing.html

Google攔截了160萬封網路釣魚電子郵件

根據谷歌威脅分析小組釋出的一份報告，自2021年5月以來，谷歌阻止了160萬封網路釣魚電子郵件。據報導，這些電子郵件是惡意軟體活動的一部分，旨在竊取YouTube帳戶和推廣加密貨幣計劃。

根據谷歌威脅分析小組與YouTube、Gmail、信任和安全、網路犯罪調查小組和安全瀏覽團隊合作透露的詳細資訊，谷歌將Gmail上相關網路釣魚電子郵件的數量減少了99.6%。

“我們阻止了160萬條傳送給目標的訊息，顯示了62K安全瀏覽網路釣魚頁面警告，阻止了24K檔案併成功恢復了4K帳戶，”谷歌在一篇博文中表示。

根據報告，背後的責任人參與了傳播虛假資訊活動、政府支援的駭客攻擊和出於經濟動機的濫用行為。該公司表示：“自2019年底以來，我們的團隊利用CookieTheft惡意軟體破壞了針對YouTube使用者的出於經濟動機的網路釣魚活動。”

“該活動背後的參與者，我們將其歸因於在俄語論壇招募的一群駭客，他們透過虛假的合作機會（通常是防病毒軟體、VPN、音樂播放器、照片編輯或線上遊戲的演示）引誘他們的目標)，劫持他們的頻道，然後要麼將其出售給出價最高的人，要麼用它來傳播加密貨幣騙局，”它補充道。

在部落格文章中，該公司還分享了用於吸引使用者的各種策略、技術和程式(TTP)的示例。此外，Google還提供了有關使用者如何進一步保護自己的指南。

新聞來源： 

https://indianexpress.com/article/technology/tech-news-technology/google-blocked-1-6-million-phishing-emails-in-2021-heres-why-7586306/

NCC提醒奈及利亞人注意針對銀行賬戶的FluBot惡意軟體

奈及利亞通訊委員會(NCC)昨天發出警報，稱這是一種名為“FluBot”的極具破壞性的惡意軟體，該惡意軟體攻擊Android移動銀行應用程式。

根據NCC的說法，Flubot“模仿Android移動銀行應用程式在目標應用程式上繪製虛假的網路檢視，其目標超越竊取個人資料，主要目標是竊取信用卡詳細資訊或網上銀行憑據。”

NCC解釋說，FluBot“透過簡訊傳播，可以窺探傳入的通知、發起呼叫、讀取或寫入簡訊，並將受害者的聯絡人列表傳輸到其控制中心。”NCC表示，該惡意軟體“透過偽裝成FedEx、DHL、Correos和Chrome應用程式來攻擊Android裝置”，並迫使毫無戒心的使用者更改其裝置上的可訪問性配置，以保持裝置上的持續存在。

新聞來源： 

https://www.thisdaylive.com/index.php/2021/10/23/ncc-alerts-nigerians-to-deadly-flubot-malware-targeting-bank-accounts/

駭客使用微軟簽名的Rootkit惡意軟體竊取遊戲內資料

根據Gizmodo的說法，欺詐者現在正在部署一個名為FiveSys的rootkit，它有一個奇怪的數字簽名。

值得注意的是，微軟的數字簽名用來驗證程式是否安全。由於這家科技巨頭賦予的行業標準標籤，網路犯罪分子可以不受限制地使用rootkit。此外，受感染的程式現在無論在何處執行，都會授予駭客“無限特權”。

在同一項調查中，Gizmodo表示，“FiveSys”駭客經常針對線上遊戲玩家，透過竊取他們的密碼來竊取他們的遊戲內購買。鑑於rootkit不僅僅允許竊取遊戲內購買，Bitdefender研究人員認為它可能被用來挖掘其他敏感資料。

研究人員認為，“FiveSys”充斥著網際網路上的破解應用程式。研究人員發現有問題的rootkit起源於中國，其大多數受害者是中國網路遊戲玩家。在亞洲國家之外，“FiveSys”rootkit尚未產生影響。

新聞來源： 

https://en.brinkwire.com/technology/hackers-microsoft-signed-rootkit-malware-steals-in-game-purchases-and-data-warns-online-gamers/

   安全漏洞威脅

技嘉遭勒索軟體攻擊：

保密資訊和客戶詳細資訊洩露，駭客威脅更嚴重

據報導，技嘉最近面臨大規模資料洩露，這是AvosLocker駭客組織勒索軟體攻擊的一部分。在一份新聞稿式的公告中，該組織報告了他們從技嘉竊取的資訊，並威脅要洩露更多資訊。該Privacysharks平臺獨立證實的傳聞，並在一份報告中，提供了有關從技嘉竊取資料的詳細資訊。

根據Privacysharks的說法，AvosLocker竊取了技嘉客戶的信用卡資訊、員工工資資料、員工護照的 PDF 副本以及技嘉與梭子魚網路之間的保密協議。 

AvosLocker沒有釋出資料洩露的全部內容。然而，他們威脅說，如果技嘉拒絕與他們談判，他們將“洩露我們擁有的所有資料”。 

自2017 年臭名昭著的WannaCry攻擊以來，勒索軟體攻擊一直在上升。Comparitech的一份報告表明，僅在 2021 年，美國企業就因勒索軟體攻擊而遭受了高達 210 億美元的直接和間接損失。 

新聞來源： 

https://www.notebookcheck.net/Gigabyte-hit-by-ransomware-attack-NDA-d-information-and-customer-details-leak-out-with-hackers-threatening-worse.574681.0.html

惡意軟體中的錯誤為安全研究人員建立後門

惡意軟體作者經常利用流行軟體中的漏洞。但是，惡意軟體也容易出現錯誤和編碼錯誤，導致它崩潰並充當後門——授權和未經授權的使用者可以透過任何方法繞過正常的安全措施並獲得高階使用者訪問許可權——供白帽駭客使用。

Zscaler進行了研究以檢視一些流行的惡意軟體家族中存在哪些型別的漏洞，討論這些錯誤或漏洞在防止惡意軟體感染中的用途，並找出這些漏洞是否是真正的漏洞和編碼錯誤或逃逸機制。

研究人員對2019年至2021年3月收集的惡意樣本資料集進行了大規模分析，使用行為相似性對樣本進行聚類，並使用MITRE的通用弱點列舉(CWE)系統對惡意軟體進行分類。

研究人員檢視了多個具有不同型別漏洞的惡意軟體示例。他們觀察到，有時惡意軟體不會驗證所查詢API的輸出或無法處理不同型別的C&C響應。作者經常根據他們的本地環境開發惡意軟體，而不考慮其他技術，例如ASLR、DEP，這些技術需要在惡意軟體中載入模組導致它們崩潰。

新聞來源： 

https://www.securitymagazine.com/articles/96348-bugs-in-malware-creating-backdoors-for-security-researchers

WordPress快取外掛漏洞影響100萬個網站

流行的WordPress外掛WP Fastest Cache外掛被Jetpack安全研究人員發現存在多個漏洞，可能允許攻擊者承擔完全的管理員許可權。這些漏洞影響了超過一百萬的WordPress安裝。

WP Fastest Cache是一個WordPress外掛，被超過一百萬個WordPress網站使用。

發現了多個漏洞：

• 經過身份驗證的SQL隱碼攻擊

• 透過跨站請求偽造儲存的XSS

經過身份驗證的SQL隱碼攻擊

Authenticated SQL Injection允許登入使用者透過資料庫訪問管理員級別的資訊。SQL隱碼攻擊漏洞是一種針對資料庫的攻擊，資料庫是儲存網站元素（包括密碼）的地方。成功的SQL隱碼攻擊可能會導致整個網站被接管。

Jetpack安全公告描述了該漏洞的嚴重性：

“如果被利用，SQL隱碼攻擊漏洞可能允許攻擊者訪問受影響站點資料庫中的特權資訊（例如，使用者名稱和雜湊密碼）。只有在網站上安裝並啟用了經典編輯器外掛時，才能利用它。”

透過跨站請求偽造儲存的XSS

XSS（跨站點指令碼）漏洞是一種比較常見的漏洞，它是由驗證網站輸入的方式存在缺陷造成的。使用者可以在網站上輸入內容的任何地方，例如聯絡表單，如果輸入未經清理，都可能容易受到XSS攻擊。

Jetpack安全警告

Jetpack的安全研究人員建議WP Fastest Cache WordPress外掛的所有使用者立即更新他們的外掛。

新聞來源： 

https://www.searchenginejournal.com/wp-fastest-cache-vulnerability/424278/