9月30日全球網路安全熱點|比特幣網站被劫持、AirTag丟失模式或被用於竊取賬號密碼

騰訊安全發表於2021-09-30

1.新型木馬竊取超1000萬人財富 

 

新的惡意軟體已嵌入至少200個惡意應用程式中,其中許多已設法繞過Android應用程式的官方儲存庫Google Play商店提供的保護。

 

研究人員表示,木馬背後的運營商已經成功感染瞭如此多的裝置,從而建立了穩定的非法資金現金流,“每個月產生數百萬的經常性收入”。

 

據信,“GriftHorse”活動自2020年11月以來一直在運作,它依賴於受害者被騙交出他們的電話號碼,然後使用該號碼為他們訂閱優質的簡訊服務。受害者首先下載看似無辜且合法的Android應用程式。這些應用程式從益智遊戲和實用程式到約會軟體、食品和飲料,其中最流行的惡意應用程式——翻譯器——至少有500,000次下載。

 

在安裝後,用Apache Cordova編寫的GriftHorse木馬會不斷用訊息轟炸使用者,提醒他們他們贏得了假獎,然後根據他們的地理位置和他們的語言將他們重定向到網站頁面。然後要求移動使用者提交他們的電話號碼以進行驗證。如果他們提交這些資訊,他們就會“在他們不知情和同意的情況下”訂閱高階服務。

 

其中一些費用高達每月30歐元(35美元)以上,如果受害者沒有注意到這一可疑交易,那麼理論上,他們可能會連續數月被收取費用,而收回現金的希望很小。

 

新聞來源:

https://www.zdnet.com/article/this-dangerous-mobile-trojan-has-stolen-a-fortune-from-over-10-million-victims-worldwide/

 

2.Tomiris後門發現與Sunshuttle、DarkHalo駭客有關

 

研究人員發現了Tomiris和SolarWinds漏洞DarkHalo背後的APT之間的新聯絡。

研究人員表示,一項新活動揭示了DarkHalo的Sunshuttle之間的相似之處,以及與Kazuar的“目標重疊”。

 

該SolarWinds的事件發生在2020年FireEye的和微軟透露突破口,成千上萬的客戶受到了惡意更新,但威脅行為者似乎精心挑選了值得進一步攻擊的目標——包括Microsoft、FireEye和政府機構。

 

微軟總裁布拉德·史密斯稱此次事件為“世界上有史以來規模最大、最複雜的攻擊”。

  

矛頭指向高階永續性威脅(APT)組織DarkHalo/Nobelium作為責任方,他們設法部署了Sunburst/Solorigate後門、Sunspot構建伺服器監控軟體和Teardrop/Raindrop滴管,旨在部署Cobalt打擊信標,在目標系統上。這個組織的活動被追蹤為UNC2452,它也與Sunshuttle/GoldMax後門有關。

 

新聞來源:

https://www.zdnet.com/article/the-tomiris-backdoor-has-now-been-linked-to-sunshuttle-darkhalo-hackers/

 

3.比特幣網站被劫持,使用者被騙17,000美元

 

駭客控制了原始的比特幣網站,並以某種方式對其進行了修改以進行詐騙。駭客設法從使用者那裡收集了17,000美元。

 

可悲的是,整個騙局在網站上直播的整個過程都設法欺騙了使用者。據報導,一些加密貨幣所有者最終支付了他們的比特幣,從而陷入了騙局。攻擊者的交易歷史列出了來自不同比特幣地址的多筆存款。該帳戶的總餘額為17,000美元。

 

“比特幣基金會正在回饋社群!我們希望支援多年來幫助過我們的使用者,”比特幣網站上的詐騙資訊說。“將比特幣傳送到這個地址,我們將傳送雙倍的回報!”該訊息的其餘部分說。此外,該訊息還表示,此優惠僅限前10,000名使用者。


新聞來源:

https://tech.hindustantimes.com/tech/news/bitcoin-website-got-hijacked-users-duped-of-17000-71632907667251.html

 

4.勒索軟體正在引領醫院董事會向網路安全投入更多資金

 

一段時間以來,勒索軟體一直困擾著醫療保健提供者組織。COVID-19的爆發也帶來了更多的攻擊。

 

Steve Smerz是Halo Health的首席資訊保安官,Halo Health是一個臨床協作平臺的供應商,該平臺包括安全訊息、影片、語音、警報和警報,旨在使臨床醫生能夠輕鬆連線。

 

他說,隨著勒索軟體在2021年下半年繼續攻擊醫療保健組織,他看到醫院和衛生系統委員會正在努力增加網路安全團隊的資源。

 

醫院是勒索軟體威脅行為者的完美目標。他們擁有大量可以加密並影響醫院運營能力的資料,銀行中有用於支付贖金的資金,以及一個不像其他行業有精通技術的董事會。Smerz認為,系統和醫院最大的漏洞之一在於員工內部——因為大多數成功的勒索軟體攻擊都是從人開始的。因此,教育和培訓員工,接觸社會工程和網路釣魚的方法,是企業進行的保護計劃的重點。


新聞來源: 

https://www.healthcareitnews.com/news/ransomware-leading-hospital-boards-pour-more-money-cybersecurity

 

5.ContiRansomware擴充套件了摧毀備份的能力

 

Conti勒索軟體團伙開發了新的策略來拆除備份,尤其是Veeam恢復軟體。

 

這是根據網路風險預防公司Advanced Intelligence週三釋出的一份報告得出的,該報告詳細介紹了Conti如何將其備份破壞磨練成一門藝術——更好地找到、粉碎和刪除備份資料。畢竟,備份是鼓勵勒索軟體支付的主要障礙。

 

研究人員寫道:“如果受害者有能力透過備份恢復檔案,那麼成功向Conti支付贖金的可能性就會降到最低,即使資料釋出的風險仍然存在。”

 

Conti操作員會查詢並模擬特權備份使用者,以便為自己授予Veeam備份許可權。攻擊者通常使用武器化的Rclone(用於管理雲端儲存上的檔案的命令列程式)來竊取Veeam備份的資料。最後,為了確保受害者已經膝蓋受傷並且無法恢復,Conti攻擊者會鎖定受害者的系統並手動刪除Veeam備份。


新聞來源:

https://threatpost.com/conti-ransomware-backups/175114/

  

6.微軟警告最新的惡意軟體攻擊,解釋如何避免秘密後門

 

微軟最近發現了另一種被微軟命名為FoggyWeb的惡意軟體,駭客目前正在使用這種惡意軟體遠端竊取網路管理員憑據。這些憑據允許攻擊者組織(該公司名為Nobelium)侵入ActiveDirectory聯合服務(ADFS)伺服器的管理員帳戶並控制使用者對各種資源的訪問。這與去年12月披露的SolarWinds軟體供應鏈攻擊的幕後黑手是同一組織。

 

微軟威脅情報中心的Ramin Nafisi說:“Nobelium使用FoggyWeb遠端滲透受感染ADFS伺服器的配置資料庫、解密的令牌簽名證書和令牌解密證書,以及下載和執行其他元件”。

 

“FoggyWeb是一種被動且針對性很強的後門,能夠從受感染的ADFS伺服器中遠端竊取敏感資訊。它還可以從命令和控制(C2)伺服器接收其他惡意元件,並在受感染的伺服器上執行它們,”微軟補充道。


新聞來源:

https://www.digitaltrends.com/computing/microsoft-warns-of-new-malware-that-creates-secret-backdoor/

 

7.新的FinSpy惡意軟體變種使用UEFI Bootkit感染Windows系統

 

商業開發的FinFisher監控軟體已升級為使用UEFI(統一可擴充套件韌體介面)引導包感染Windows裝置,該引導包利用木馬化的Windows引導管理器,標誌著感染媒介的轉變,使其能夠逃避發現和分析。

 

FinFisher(又名FinSpy或Wingbird)自2011年就在野外被發現,是一種適用於Windows、macOS和Linux的間諜軟體工具集,由英德公司GammaInternational開發,專門提供給執法和情報機構。但與NSOGroup的Pegasus一樣,該軟體過去也曾被用來監視巴林活動家,並於2017年9月作為魚叉式網路釣魚活動的一部分。

 

FinFisher能夠收集使用者憑據、檔案列表、敏感文件、記錄擊鍵、從Thunderbird、Outlook、AppleMail和Icedove中提取電子郵件訊息,攔截Skype聯絡人、聊天、通話和傳輸的檔案,並透過獲取訪問許可權捕獲音訊和影片到機器的麥克風和網路攝像頭。

 

“感染這種方式允許攻擊者安裝的bootkit無需繞過韌體安全檢查,”卡巴斯基全球研究和分析團隊(大)說,在技術深潛以下八個月之久的調查。“UEFI感染非常罕見,而且通常難以執行,它們因其隱蔽性和永續性而引人注目。”

 

新聞來源:

https://thehackernews.com/2021/09/new-finspy-malware-variant-infects.html

 

8.AirTag的“丟失模式”存在漏洞,可能被用於騙取賬號密碼

 

AirTag是蘋果公司製作的物品防丟追蹤器,在丟失之後,使用者可以將其設定為“丟失模式”,此時別人撿到,可以用任何帶有NFC功能的手機掃描,之後彈出網頁顯示原主人設定的聯絡資訊。

 

但這條丟失資訊是網頁版本,它會為https://found.apple.com生成一個URL。任何掃描AirTag的人都會自動跳轉到帶有所有者聯絡資訊的URL,無需登入或個人資訊就可以檢視這個頁面。

 

Krebsonsecurity稱,“丟失模式”並不能阻止有人向電話號碼欄位中注入程式碼,因此,掃描AirTag的人可能會被重定向到假冒的iCloud頁面,或其他惡意網站。被誘騙登陸竊取其賬號,甚至重定向某個試圖下載惡意軟體的連結。

 

AirTag的這個漏洞是由安全顧問Bobby Raunch發現的,他告訴KrebsOnSecurity,這個漏洞可能讓AirTag變得很危險。他認為這樣低成本的小型消費產品,可能被不法分子當作攻擊的工具。

 

新聞來源:

https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/


相關文章