工業行業位於勒索攻擊目標榜首、駭客組織攻擊阿富汗和印度｜10月26日全球網路安全熱點

安全資訊報告

Emsisoft幫助BlackMatter勒索軟體受害者恢復檔案

自今年夏天以來，網路安全公司Emsisoft一直在秘密解密BlackMatter勒索軟體受害者，為受害者節省了數百萬美元。

Emsisoft及其技術長Fabian Wosar自2012年以來一直在幫助勒索軟體受害者恢復他們的檔案，在BlackMatter勒索軟體操作啟動後不久，Emsisoft發現了一個缺陷，允許他們建立解密器來恢復受害者的檔案，而無需支付贖金。

當BlackMatter樣本公開時，就有可能提取贖金記錄並獲得受害者與勒索軟體團伙之間的談判的機會。在確定受害者身份後，Emsisoft會私下聯絡他們瞭解解密器，這樣他們就不必支付贖金。

這最終導致BlackMatter鎖定了他們的談判站點，以便只有受害者才能訪問，使研究人員無法透過這種方式找到受害者。隨著受害者開始拒絕付款，BlackMatter對勒索軟體談判人員越來越懷疑和憤怒。

不幸的是，BlackMatter在9月底瞭解到解密器並修復了允許Emsisoft解密受害者檔案的錯誤。對於那些在9月底之前被加密的受害者，Emsisoft仍然可以透過他們的勒索軟體恢復服務提供幫助。

新聞來源：

http://bleepingcomputer.com/news/security/blackmatter-ransomware-victims-quietly-helped-using-secret-decryptor/

微軟：WizardUpdate Mac惡意軟體新增了新的規避策略

微軟表示，它發現了macOS惡意軟體的新變種，稱為WizardUpdate（也稱為UpdateAgent或Vigram），更新後使用新的規避和永續性策略。

正如微軟安全專家發現的那樣，本月早些時候發現的最新變種很可能是透過偷渡式下載分發的，它冒充合法軟體，就像威脅情報公司Confiant在1月份發現它偽裝成Flash安裝程式時一樣。

由於第一個變體是在2020年11月觀察到的，當時它只能收集和洩露系統資訊，因此開發人員多次更新了WizardUpdate。

微軟研究人員在10月份收集的樣本進行了多項升級，包括能夠：

部署從雲基礎設施下載的二級負載
透過使用SQLite列舉LSQuarantineDataURLString獲取受感染 Mac的完整下載歷史記錄
透過從下載的有效負載中刪除隔離屬性來繞過Gatekeeper
使用PlistBuddy修改PLIST檔案
利用現有的使用者配置檔案來執行命令
更sudoers列表以授予普通使用者管理員許可權

在感染目標的Mac後，惡意軟體開始掃描和收集傳送到其命令和控制(C2)伺服器的系統資訊。該木馬將部署第二階段的惡意軟體有效載荷，包括一個被跟蹤為Adload的惡意軟體變體，自2017年底開始活躍，並以能夠透過Apple基於YARA簽名的XProtect內建防病毒軟體感染Mac而聞名。

“UpdateAgent濫用公共雲基礎設施，以主機附載入荷並試圖繞過看門人，其目的是確保只有受信任的應用程式在Mac裝置上執行，透過刪除下載的檔案的屬性檢疫，”微軟說。

“它還利用現有使用者許可權在受影響的裝置上建立資料夾。它使用PlistBuddy在LaunchAgent/LaunchDeamon中建立和修改Plist以實現永續性。”

WizardUpdate的開發人員還在最新變體中加入了逃避功能，可以透過刪除在受感染Mac上建立的資料夾、檔案和其他工件來掩蓋其蹤跡。

在監控自2020年11月以來一直活躍的AdLoad活動時，當第一次發現WizardUpdate時，SentinelOne威脅研究員Phil Stokes發現了數百個樣本，其中大約150個是獨一無二的，並且未被Apple的內建防病毒軟體檢測到。

新聞來源：

https://www.bleepingcomputer.com/news/security/microsoft-wizardupdate-mac-malware-adds-new-evasion-tactics/

應對網路攻擊響應需要兩個工作日以上

根據美國網路安全公司Deep Instinct的最新研究，世界各地的組織平均需要兩個工作日以上的時間來應對網路攻擊。該調查結果發表在該公司的SecOps之聲報告中，該報告基於對11個國家/地區的1,500名高階網路安全專業人員的調查，這些專業人員為擁有1,000多名員工且年收入超過5億美元的企業工作。

調查顯示，全球對網路攻擊的平均響應時間為20.09小時。金融行業的公司響應速度更快，平均需要16小時才能做出響應。較大的公司還可以更快地響應威脅，平均響應時間為15小時。發現較小的公司響應速度較慢，平均需要25小時才能採取行動。

報告中的其他主要發現是，只有1%的受訪者認為他們的每個端點都安裝了至少一個安全代理。

超過四分之一 (26%) 認為“複雜性”是阻礙他們安裝更多端點安全代理的主要因素。其他被列為關鍵的問題涉及調查威脅所需的時間 (39%) 和合格的SecOps人員短缺 (35%)。

近三分之一的調查受訪者認為，部署端點代理的最大挑戰是雲。80%的受訪者認為，儲存在雲中的檔案是一個未經檢查的漏洞，而68%的受訪者擔心他們的同事會不小心上傳惡意檔案。

受訪者最關心的攻擊向量是隱藏的永續性。這種網路攻擊是40%的受訪者最擔心的，威脅行為者長時間潛伏在系統中而不被發現。

新聞來源：

https://www.infosecurity-magazine.com/news/cyberattack-response-more-than-two/

資料安全引重視，孫逢春院士提出四大建議促發展

“沒有資料是絕對安全的。”中國工程院院士、北京理工大學教授孫逢春院士於10月22日開幕的新能源汽車國家大資料聯盟2021年高峰論壇上如是說。

近年來，隨著智慧網聯汽車的快速發展，在給人們帶來更安全、更舒適、更便捷的駕乘體驗的同時，也滋生了一些新的安全隱患。

比如智慧網聯汽車的資料和網路安全，目前已然成了懸在車企和零部件技術提供商上方的達摩克利斯之劍。據Upstream Security此前釋出的2020年《汽車資訊保安報告》顯示，從2016年到2020年1月，4年內汽車資訊保安事件的數量增長了605%，其中僅2019年公開報導的針對智慧網聯汽車資訊保安攻擊的事件就達到了155起，形勢之嚴峻可見一斑。

孫逢春院士分析指出，由於安裝了大量的車載感測器，智慧新能源汽車是產生海量資料採集和互動的節點，如果管理無序或者粗放風險極大，主要是表現在危害國家安全、社會安全、經濟安全以及洩露個人隱私安全等。

為進一步降低以上風險，進入2021年國家頻頻釋出相關政策，為行業發展保駕護航。今年8月份，工信部和國家網信辦分別出臺《關於加強智慧網聯汽車生產企業及產品准入管理的意見》(以下簡稱“准入管理意見”)和《汽車資料安全管理若干規定(試行)》，為智慧網聯汽車准入和資料安全管理提供了指導；9月13日，工信部裝備中心開始汽車資料安全、網路安全等自查工作；9月16日，工信部又釋出《關於加強車聯網網路安全和資料安全工作的通知》，進一步強化對汽車網路安全和資料安全的指導。

但在孫逢春院士看來，想要實現汽車資料的絕對安全並非一件易事。“智慧網聯新能源汽車資料具有面廣、量大的特徵，其實安全體系是一個複雜的系統工程問題，主要包括四個體系：即法律法規體系、標準規範體系、監管體系、技術體系。”

其中，政策法規層面上，《網路安全法》《資料安全法》和《個人資訊保護法》並行成為我國網路治理和資料保護的三駕馬車，但是在具體操作層面資料安全法律體系有待完善，在智慧網聯新能源汽車或者是智慧交通領域亟待出臺專項實施細則。

新聞來源：

http://auto.cnfol.com/cheshidongtai/20211025/29213866.shtml

工業企業位居勒索軟體攻擊目標榜首

工業產品和服務業務仍然是勒索軟體攻擊的最流行目標，但網路犯罪分子正在越來越多樣化地勒索他們的組織。

在很多情況下，受害者會屈服於要求並支付贖金。這可能是因為他們沒有備份，因為如果不付款，犯罪分子威脅會洩露被盜資料，或者僅僅是因為受害者認為支付贖金是恢復網路的最快方式。然而實際上，即使使用正確的解密金鑰，服務也可能在事件發生後很長一段時間內仍會中斷。

在對今年7月至9月間報告的數百起勒索軟體攻擊的分析中，Digital Shadows的網路安全研究人員發現，工業產品和服務是最常報告的行業，幾乎是影響第二大受影響行業的事件數量的兩倍——技術。

今年最重要的勒索軟體攻擊之一影響了工業環境，當時Colonial Pipeline成為DarkSide勒索軟體的受害者。網路攻擊導致美國東海岸大部分地區天然氣短缺，人們紛紛囤積天然氣。該公司最終支付了數百萬美元的贖金來恢復網路。

其他常見的勒索軟體目標包括建築、金融服務和法律服務，以及食品和飲料公司，所有這些公司都擁有重要的系統或資料，犯罪分子可以利用這些系統或資料強迫受害者支付贖金。

研究人員警告說，目標行業的擴張可能是由於新的勒索軟體團體的出現和幫派之間的競爭加劇。

新聞來源：

https://www.zdnet.com/article/ransomware-industrial-services-are-still-the-most-popular-target-but-now-cyber-criminals-are-diversifying-attacks/

安全漏洞威脅

“lone wolf（孤狼）”駭客組織利用商業RAT攻擊阿富汗和印度

一個針對阿富汗和印度的新惡意軟體活動正在利用一個影響Microsoft Office的現已打補丁的20年漏洞來部署一系列商品遠端訪問木馬 (RAT)，使對手能夠完全控制受感染的端點。

Cisco Talos將此次網路活動歸因於一個“lone wolf（孤狼）”威脅行為者，該攻擊者經營著一家名為Bunse Technologies的位於拉合爾的虛假IT公司，作為開展惡意活動的前線，同時也有共享有利於巴基斯坦和塔利班的內容的歷史一直追溯到2016年。

這些攻擊利用託管惡意軟體有效載荷的政治和政府主題誘餌域，感染鏈利用武器化的RTF文件和PowerShell指令碼向受害者分發惡意軟體。具體來說，發現這些帶有RTF檔案的檔案利用CVE-2017-11882來執行PowerShell命令，該命令負責部署額外的惡意軟體以在機器上進行偵察。

CVE-2017-11882涉及一個記憶體損壞漏洞，該漏洞可能被濫用來執行任意程式碼該漏洞據信自2000年以來就存在，最終被微軟作為其2017年11月補丁星期二更新的一部分解決。

偵察階段之後是一個類似的攻擊鏈，它使用上述漏洞執行一系列指令，最終安裝商用惡意軟體，如DcRAT和QuasarRAT，這些惡意軟體具有各種開箱即用的功能，包括遠端外殼，程式管理、檔案管理、鍵盤記錄和憑據竊取，因此攻擊者需要付出最少的努力。

在網路犯罪行動期間還觀察到了一個用於Brave、Microsoft Edge、Mozilla Firefox、Google Chrome、Opera、Opera GX和Yandex Browser的瀏覽器憑據竊取程式。

新聞來源：

https://thehackernews.com/2021/10/lone-wolf-hacker-group-targeting.html

紐約時報記者多次被Pegasus （飛馬）間諜軟體攻擊

《紐約時報》記者本·哈伯德 (Ben Hubbard) 的iPhone在2018年6月至 2021年6月的三年時間裡多次遭到NSO Group的Pegasus間諜軟體工具的駭客攻擊，導致2020年7月和2021年6月兩次感染。

迄今為止，據信NSO Group至少利用了三種不同的iOS漏洞——即 2019年12月的iMessage零點選漏洞、2020年7月開始的針對iOS 13.5.1和iOS 13.7的KISMET漏洞以及針對iOS的FORCEDENTRY漏洞自2021年2月以來，從14.x到14.7.1。

值得指出的是，Apple的iOS 14更新包括一個BlastDoor框架，該框架旨在使零點選漏洞利用更加困難，儘管FORCEDENTRY明確破壞了內建於作業系統中的非常安全的功能，促使Apple在9月釋出更新以修復該缺陷2021。

對該活動的取證調查顯示，哈伯德的iPhone在2020年7月12日和2021年6月13日兩次被監控軟體成功入侵，一次是透過KISMET和FORCEDENTRY零點選iMessage漏洞利用，此前兩次嘗試透過簡訊均未成功和2018年的WhatsApp。有一長串記錄在案的活動人士、記者和國家元首被使用該公司的“軍用級間諜軟體”進行攻擊。

新聞來源：

https://thehackernews.com/2021/10/nyt-journalist-repeatedly-hacked-with.html

CISA敦促管理員修補Discourse RCE漏洞

週五，開發人員透過緊急更新修復了一個嚴重的Discourse遠端程式碼執行 (RCE) 漏洞，跟蹤CVE-2021-41163。

Discourse是一個廣泛部署在網路上的開源論壇、長格式聊天和郵件列表管理平臺，提供出色的可用性和整合潛力，同時重點關注社交功能。

易受攻擊的版本是2.7.8及更早版本，解決風險的最佳方法是更新到週五釋出的2.7.9或更高版本。最新的測試版和測試版也已針對該漏洞進行了修補。

由於Discourse的廣泛使用，CISA釋出有關該漏洞的警報，敦促論壇管理員更新到最新可用版本或應用必要的解決方法。

新聞來源：

https://www.bleepingcomputer.com/news/security/cisa-urges-admins-to-patch-critical-discourse-code-execution-bug/

工業行業位於勒索攻擊目標榜首、駭客組織攻擊阿富汗和印度｜10月26日全球網路安全熱點

安全資訊報告

安全漏洞威脅

相關文章