安全資訊報告

攝影和個性化照片巨頭Shutterfly遭受了Conti勒索軟體攻擊

攝影和個性化照片巨頭Shutterfly遭受了Conti勒索軟體攻擊，據稱該攻擊對數千臺裝置進行了加密並竊取了公司資料。

Shutterfly大約在兩週前遭受了Conti團伙的勒索軟體攻擊，該團伙聲稱已經加密了4,000多臺裝置和120臺VMwareESXi伺服器，勒索軟體團伙要求數百萬美元作為贖金。

在勒索軟體團伙對公司網路上的裝置進行加密之前，他們通常會潛伏數天甚至數週，竊取公司資料和檔案。然後，這些檔案被用作槓桿，迫使受害者支付贖金，威脅說它們將被公開發布或出售給其他駭客。

作為這種“雙重勒索”策略的一部分，Conti建立了一個私人Shutterfly資料洩漏頁面，其中包含據稱在勒索軟體攻擊期間被盜的檔案的螢幕截圖。如果不支付贖金，攻擊者威脅要公開此頁面。這些螢幕截圖包括法律協議、銀行和商家帳戶資訊、公司服務的登入憑據、電子表格以及似乎是客戶資訊的內容，包括信用卡的最後四位數字。Conti還聲稱擁有Shutterfly商店的原始碼，但尚不清楚勒索軟體團伙是指Shutterfly.com還是其他網站。

新聞來源：

https://www.bleepingcomputer.com/news/security/shutterfly-services-disrupted-by-conti-ransomware-attack/

卡巴斯基發現竊取憑據的Microsoft Exchange外掛

卡巴斯基發現了一個以前未知的IIS模組（一種旨在為Microsoft Web伺服器提供附加功能的軟體），他們將其稱為Owowa，該模組會竊取使用者在登入Outlook Web Access(OWA)時輸入的憑據；它還允許攻擊者獲得對底層伺服器的遠端控制訪問。該模組編譯於2020年末至2021年4月之間的某個時間，是一種難以透過網路監控檢測到的隱蔽盜竊方法。它還可以抵抗來自Exchange的軟體更新，這意味著它可以長時間隱藏在裝置上。

2021年，APT組織越來越多地利用Microsoft Exchange Server的漏洞。在三月，在伺服器四個關鍵漏洞允許攻擊者獲得對所有註冊的電子郵件帳戶和執行任意程式碼。

網路犯罪分子只需訪問受感染伺服器的OWA登入頁面，即可在使用者名稱和密碼欄位中輸入特製的命令。對於攻擊者來說，這是一種有效的選擇，可以透過持續存在於Exchange伺服器中來在目標網路中獲得穩固的立足點。

新聞來源：

https://www.tahawultech.com/news/hidden-parasite-kaspersky-uncovers-credential-stealing-microsoft-exchange-add-on/

《蜘蛛俠：無路可走》盜版下載包含加密挖礦惡意軟體

作為一段時間以來最受關注的電影，《蜘蛛俠：無路可走》為駭客們提供了絕佳的機會。這是一個與數百萬潛在目標建立聯絡併入侵全球計算機的機會。安全專家已發現偽裝成《蜘蛛俠：無路可走》電影種子檔案傳播的挖礦木馬。

由於疫情封鎖限制，許多觀眾無法進入電影院，《蜘蛛俠》系列的粉絲很多會選擇下載觀看，惡意檔案會偽裝成電影種子檔案被下載執行，用於門羅幣挖礦。

新聞來源：

https://thehackernews.com/2021/12/spider-man-no-way-home-pirated.html

注意防範一個新的勒索軟體：Rook

安全專家提醒注意一個名為Rook的新勒索軟體，攻擊者在自己的網站宣佈要透過破壞公司網路和加密裝置來賺取“大量資金”，攻擊者已公開了部分受害者檔案，已表明自己不是在開玩笑。

Rook勒索軟體透過Cobalt Strike傳送，網路釣魚電子郵件和可疑的種子下載被報告為初始感染媒介。有效載荷與UPX或其他加密器打包在一起，以加殼逃避檢測。執行時，Rook勒索軟體會嘗試終止安全工具或任何可能中斷加密相關的程式。

Rook還使用vssadmin.exe刪除卷影副本，這是勒索軟體操作使用的一種標準策略，可防止卷影卷被用於恢復檔案，被加密的檔案會新增“.Rook”副檔名，安全專家分析認為Rook是基於已洩露的Babuk勒索軟體原始碼修改的版本。

新聞來源：

https://www.bleepingcomputer.com/news/security/rook-ransomware-is-yet-another-spawn-of-the-leaked-babuk-code/

QNAP（威聯通）NAS裝置遭遇ech0raix勒索軟體攻擊激增

QNAP網路附加儲存(NAS)裝置的使用者報告了eCh0raix勒索軟體（也稱為QNAPCrypt）對其系統的攻擊。這個特定惡意軟體背後的攻擊者在聖誕節前一週加強了他們的活動，以管理員許可權控制了受害者裝置。

最初的感染媒介仍不清楚。一些使用者承認他們魯莽並且沒有正確保護裝置（例如透過不安全的連線將其暴露給網際網路）；其他人聲稱QNAP Photo Station中的一個漏洞允許攻擊者造成嚴重破壞。

無論攻擊路徑如何，eCh0raix勒索軟體攻擊者似乎都在管理員組中建立了一個使用者，這允許他們加密NAS系統上的所有檔案。

ech0raix勒索軟體的要求從0.024（1,200美元）到0.06比特幣（3,000美元）不等。一些使用者沒有備份選項，不得不向威脅行為者付費以恢復他們的檔案。

QNAP官方建議使用者採取以下措施增強安全設定：

• 刪除未知或可疑帳戶。

• 刪除未知或可疑的應用程式。

• 在myQNAPcloud中禁用自動路由器配置並設定裝置訪問控制。

• 避免向Internet開放預設埠號。

• 安裝並執行最新版本的Malware Remover。

• 更改所有帳戶的密碼。

• 將安裝的QTS應用程式更新到最新版本。

• 將QTS更新到最新的可用版本。

• 安裝QuFirewall。

新聞來源：

https://www.bleepingcomputer.com/news/security/qnap-nas-devices-hit-in-surge-of-ech0raix-ransomware-attacks/