超千萬安卓使用者安裝某詐騙APP、英國勒索軟體攻擊數量翻倍｜10月27日全球網路安全熱點

安全資訊報告

攻擊者劫持Craigslist電子郵件傳播惡意軟體

Craigslist內部電子郵件系統本月被攻擊者劫持以傳遞令人信服的訊息，最終目的是避免Microsoft Office安全控制來傳遞惡意軟體。

這些電子郵件從真實的Craigslist IP地址傳送，通知使用者他們釋出的廣告包含不適當的內容並違反了Craigslist的條款和條件，並提供了有關如何避免其帳戶被刪除的虛假說明。

INKY的研究人員發現，攻擊者將電子郵件的HTML操縱成自定義文件，並將惡意軟體下載連結上傳到Microsoft OneDrive頁面。該頁面冒充了DocuSign、Norton和Microsoft等主要品牌。這也使該活動能夠繞過標準的電子郵件身份驗證。

研究人員在本週的一篇帖子中指出：“由於解決問題的URL託管了一個放置在Microsoft OneDrive上的自定義文件，它沒有出現在任何威脅情報源中，使其能夠繞過大多數安全供應商。”

新聞來源： 

https://threatpost.com/attackers-hijack-craigslist-email-malware/175754/

英國的勒索軟體攻擊數量一年內翻了一番

英國間諜機構GCHQ負責人透露，在過去一年中，針對英國機構的勒索軟體攻擊數量翻了一番。

GCHQ的主管傑里米·弗萊明(Jeremy Fleming)表示，將檔案和資料鎖定在使用者的計算機上並要求支付釋放費用，這在犯罪分子中變得越來越流行，因為它“基本上沒有爭議”且利潤豐厚。

他在週一在Cipher Brief年度威脅會議上發表的評論是在警告稱俄羅斯和中國正在窩藏成功針對西方政府或公司的犯罪團伙之後發表的。

GCHQ拒絕提供今年或去年在英國記錄的勒索軟體攻擊的確切數量。然而，美國財政部本月釋出的一份報告顯示，今年前六個月美國與勒索軟體相關的可疑交易價值約為5.9億美元。報告稱，被認為是犯罪活動幕後黑手的10大駭客組織在過去三年中轉移了價值約52億美元的比特幣。

國家網路安全中心(NCSC)執行長林迪·卡梅倫(Lindy Cameron)本月在查塔姆研究所智庫的一次演講中表示，勒索軟體是英國面臨的所有網路威脅中“最直接的危險”。

新聞來源： 

https://www.theguardian.com/uk-news/2021/oct/25/ransomware-attacks-in-uk-have-doubled-in-a-year-says-gchq-boss

企業將面臨更多的網路釣魚攻擊

網路保護組織Acronis釋出了其年度網路就緒報告，全面概述了現代網路安全格局以及全球企業和遠端員工在全球大流行期間面臨的主要痛點。 

根據今年對全球18個國家/地區的3,600名中小型公司的IT經理和遠端員工的獨立調查結果，該報告指出，53%的全球公司在供應方面存在錯誤的安全感連鎖攻擊。

攻擊的數量和複雜性不斷增加

十分之三的公司表示每天至少面臨一次網路攻擊，與去年類似；今年，只有20%的公司報告說沒有受到攻擊，低於2020年的32%，這意味著攻擊的數量正在增加。

今年最常見的攻擊型別達到了歷史最高水平，包括頻率持續增長的網路釣魚攻擊，現在以58%的比例成為最常見的攻擊型別。2021年惡意軟體攻擊也在增加：今年有36.5%的公司檢測到惡意軟體攻擊，高於2020年的22.2%。

然而，今年是網路釣魚的一年：自2020年以來，對URL過濾解決方案的需求增長了10倍，20%的全球公司現在意識到網路釣魚給他們的業務帶來的危險。

儘管對多因素身份驗證(MFA)的認識不斷提高，但近一半的IT經理(47%)並未使用MFA解決方案，這使他們的企業容易受到網路釣魚攻擊。根據這些調查結果，他們要麼認為它沒有價值，要麼認為它太複雜而無法實施。據Acronis稱，平均五分之一的遠端員工成為網路釣魚攻擊的重點目標，每月收到超過20封網路釣魚電子郵件。

新聞來源： 

https://www.mybusiness.com.au/technology/8469-businesses-face-increasing-risk-of-phishing-attacks-report

勒索軟體組織針對金融服務公司發起網路釣魚活動

被稱為TA505的勒索軟體組織已經存在至少六年了，對世界各地的各個行業進行了大規模的電子郵件攻擊。現在輪到金融業了。

據報導，在對其簽名惡意軟體和指令碼語言進行了微調後，該集團自上個月以來已將北美銀行、信用合作社和其他金融服務公司納入其目標。透過名為“MirrorBlast”的電子郵件網路釣魚活動針對各種機構，將使用者定向到欺詐站點，FSI員工可能會在該站點意外將惡意軟體下載到他們的公司計算機或其他裝置上。

客戶端安全供應商Feroot的執行長兼聯合創始人Ivan Tsarynny指出，雖然金融服務機構長期以來一直“受到網路犯罪分子的圍攻”，但這些企業通常擁有最“先進的網路安全計劃、實踐並部署了團隊。”

儘管如此，沉寂了一段時間的TA505，是一個不容小覷的沉睡巨人。據美國財政部稱，它在過去幾年中造成了超過1億美元的損失。而且這不只是美國金融服務機構，還有在加拿大，歐洲和亞洲的金融公司。

然而，根據Tsarynny的說法，要真正產生影響，勒索軟體攻擊必須攻擊伺服器，而像這樣的攻擊往往是透過客戶端進入的。“網路犯罪分子發現他們可以輕鬆地在FSI網路應用程式和網頁上部署惡意的第三方JavaScript，並且可以瀏覽使用者資料，”他說。“犯罪分子不必使用傳統的伺服器端攻擊來收集FSI客戶資料。他們可以從使用者瀏覽器中瀏覽銀行網站和Web應用程式中的資訊。”

而且，無論勒索軟體威脅如何解決，尤其是對於金融服務機構而言，對此類安全危害的擔憂還包括合規性和隱私問題。

新聞來源：  

https://www.scmagazine.com/analysis/phishing/ransomware-group-targets-financial-service-firms-with-phishing-campaign

超過1000萬Android使用者安裝“高階簡訊”詐騙應用程式

一項全球欺詐活動被發現利用151個惡意Android應用程式，下載量達1050萬次，在使用者不同意和不知情的情況下，將使用者引入高階訂閱服務。

被稱為“UltimaSMS”的優質簡訊詐騙活動據信於2021年5月開始，涉及的應用程式涵蓋廣泛的類別，包括鍵盤、二維碼掃描器、影片和照片編輯器、垃圾郵件攔截器、相機過濾器和遊戲，其中大部分欺詐應用程式是由埃及、沙烏地阿拉伯、巴基斯坦、阿聯酋、土耳其、阿曼、卡達、科威特、美國和波蘭的使用者下載的。

儘管此後大部分有問題的應用程式已從Google Play商店中刪除，但截至2021年10月19日，線上市場上仍有82個應用程式可用。

這一切都始於應用程式提示使用者輸入他們的電話號碼和電子郵件地址讓受害者訂閱高階SMS服務，根據國家和移動運營商的不同，每月收費可達40美元以上。

UltimaSMS廣告軟體騙局的另一個顯著特點是它透過Facebook、Instagram和TikTok等流行社交媒體網站上的廣告渠道分發，用研究人員所說的“引人入勝的影片廣告”來吸引毫無戒心的使用者。

除了解除安裝上述應用程式外，建議使用者禁用運營商的高階簡訊選項，以防止訂閱濫用。

新聞來源：  

https://thehackernews.com/2021/10/over-10-million-android-users-targeted.html

FBI：RanzyLocker勒索軟體今年攻擊了至少30家美國公司

聯邦調查局週一表示，“截至2021年7月，使用Ranzy Locker勒索軟體的未知網路犯罪分子已經損害了30多家美國企業，”聯邦調查局在TLP白色閃光警報中表示。

“受害者包括關鍵製造業的建築部門、政府設施部門的學術部門、資訊科技部門和交通部門。”Flash警報是與CISA協調發布的，旨在提供資訊以幫助安全專業人員檢測和防範此類勒索軟體攻擊企圖。

大多數Ranzy Locker受害者告訴FBI，攻擊者透過暴力破解遠端桌面協議(RDP)弱口令破壞了他們的網路。最近，其他人報告說，攻擊者還利用易受攻擊的Microsoft Exchange伺服器或使用在網路釣魚攻擊中竊取登入密碼。

一旦進入受害者的網路，Ranzy Locker操作員還會在加密受害者公司網路上的系統之前竊取未加密的檔案，這是大多數其他勒索軟體團伙使用的策略。這些洩露的檔案包含敏感資訊，包括客戶資訊、個人身份資訊(PII)資料和財務記錄，被用作手段迫使受害者支付贖金以取回他們的檔案，而不是讓資料線上洩露。

當受害者訪問該組織的Tor支付站點時，他們會看到一條“被Ranzy Locker鎖定”的訊息和一個實時聊天螢幕，以與威脅行為者進行談判。作為這項“服務”的一部分，勒索軟體運營商還允許受害者免費解密三個檔案，以證明解密者可以恢復他們的檔案。

不支付贖金的受害者將在Ranzy Locker的資料洩露站點（稱為Ranzy Leak）上公佈他們被盜的檔案。他們洩漏站點使用的域名過去也被Ako Ransomware使用，這是該團伙從Ako到ThunderX再到Ranzy Locker品牌重塑的一部分。

新聞來源：  

https://www.bleepingcomputer.com/news/security/fbi-ranzy-locker-ransomware-hit-at-least-30-us-companies-this-year/

安全漏洞威脅

紐約時報記者在報導沙烏地阿拉伯後多次被Pegasus駭客攻擊

《紐約時報》記者本·哈伯德(Ben Hubbard)的iPhone在2018年6月至2021年6月的三年時間裡多次遭到NSO Group的Pegasus間諜軟體工具的駭客攻擊，導致2020年7月和2021年6月兩次感染。

週日公佈調查結果的多倫多大學公民實驗室表示，“目標是在他報導沙烏地阿拉伯並寫一本關於沙特王儲穆罕默德·本·薩勒曼的書時發生的。”該研究所沒有將滲透歸因於特定政府。

在與哈伯德分享的一份宣告中，這家以色列公司否認參與了駭客攻擊，並將調查結果視為“推測”，同時指出這名記者不是“NSO任何客戶的Pegasus目標”。

迄今為止，據信NSO Group至少利用了三種不同的iOS漏洞——即2019年12月的iMessage零點選漏洞、2020年7月開始的針對iOS13.5.1和iOS13.7的KISMET漏洞以及針對iOS的FORCEDENTRY漏洞自2021年2月以來，從14.x到14.7.1。

值得指出的是，Apple的iOS14更新包括一個BlastDoor框架，該框架旨在使零點選漏洞利用更加困難，儘管FORCEDENTRY明確破壞了內建於作業系統中的非常安全的功能，促使Apple在9月份釋出更新以修復該缺陷2021。

對該活動的取證調查顯示，哈伯德的iPhone在2020年7月12日和2021年6月13日兩次被監控軟體成功入侵，一次是透過KISMET和FORCEDENTRY零點選iMessage漏洞利用，此前兩次嘗試透過簡訊均未成功和2018年的WhatsApp。

新聞來源： 

https://thehackernews.com/2021/10/nyt-journalist-repeatedly-hacked-with.html

Trickbot銀行木馬開發新技術

臭名昭著的Trickbot銀行木馬已經發展出更先進的攻擊工具集。它曾經是一種用於網上銀行資料竊取的工具，但已經發展成為一種多模組惡意軟體，其活動範圍從資料竊取到其他惡意軟體分發，包括勒索軟體。

卡巴斯基研究人員透過分析Trickbot的61個現有模組並定義了Trickbot的更新方式，追蹤了Trickbot的演變。

總的來說，研究人員分析了木馬的61個模組，發現它已經獲得了數十個竊取憑據和敏感資訊的輔助模組。

它使用被盜憑據和漏洞在本地網路上傳播，提供遠端訪問、代理網路流量、執行暴力攻擊和下載其他惡意軟體。

Trickbot面向全球的公司和個人使用者。雖然其活動不受地域限制，但大多數受影響的使用者位於美國（13.21%）、澳大利亞（10.25%）和中國（9.77%），其次是墨西哥（6.61%）和法國（6.30%）。

安全專家表示，攻擊者會不斷更新和重新整理他們的工具集。Trickbot已經開發併成為其惡意軟體型別中最強大和最危險的樣本之一。隨著網路罪犯的發展，保護技術也應如此。大多數攻擊是可以預防的，這就是為什麼擁有最新的安全解決方案很重要的原因。

為了免受特洛伊木馬和其他金融威脅的侵害，安全專家建議使用者不要點選垃圾郵件中的連結，也不要開啟附帶的文件，只使用具有多重身份驗證解決方案的網上銀行。建議確保所有軟體都得到更新——包括作業系統和所有軟體應用程式，因為攻擊者經常利用廣泛使用的程式中的漏洞來獲取訪問許可權。

新聞來源： 

https://www.itweb.co.za/content/rxP3jqBme19MA2ye