安全資訊報告

網路間諜用自己的惡意軟體感染自己

在使用自己的自定義遠端訪問木馬(RAT)感染自己後，一個與印度有關的網路間諜組織意外地將其操作暴露給了安全研究人員。

威脅行為者至少自2015年12月以來一直活躍，並且由於使用複製貼上程式碼而被跟蹤為PatchWork（又名Dropping Elephant、Chinastrats或Quilted Tiger）。

在PatchWork的最近一次活動中，即2021年11月下旬至12月上旬，Malwarebytes Labs觀察到威脅行為者使用惡意RTF檔案冒充巴基斯坦當局，用一種名為Ragnatela的BADNEWSRAT的新變體感染目標。

在發現PatchWork操作員用RAT感染了他們自己的開發系統後，研究人員能夠在使用VirtualBox和VMware進行測試和Web開發以及在具有雙鍵盤佈局（即英語和印度語）的計算機上進行測試時對其進行監控。

在觀察他們的行動的同時，他們還獲得了有關該組織受害目標的資訊，包括巴基斯坦國防部以及伊斯蘭阿巴德國防大學、UVAS大學生物學院等多所大學分子醫學和生物科學系的教職員工。科學、卡拉奇HEJ研究所和SHU大學。

“由於攻擊者自己的惡意軟體捕獲的資料，我們能夠更好地瞭解誰坐在鍵盤後面，”Malwarebytes Labs補充道。“該組織利用虛擬機器和VPN來開發、推送更新和檢查受害者。”

新聞來源：

https://www.bleepingcomputer.com/news/security/oops-cyberspies-infect-themselves-with-their-own-malware/

RaspberryPi使用電磁波檢測惡意軟體

法國電腦科學與隨機系統研究所的一個團隊開發了一種檢測惡意軟體的新方法，該方法不需要在目標裝置上安裝軟體。

正如Tom's Hardware報導的那樣，研究人員建立了一個基於Raspberry Pi的系統，該系統能夠使用示波器和H場探頭掃描裝置的電磁波。特定的波表明裝置上存在惡意軟體，研究人員設法“獲得有關惡意軟體型別和身份的精確知識”。

使這項新技術如此令人印象深刻的原因在於，它不需要對目標裝置進行修改，也不需要進行任何互動，只需要能夠掃描EM波。沒有軟體安裝也意味著惡意軟體編寫者使用的任何混淆技術根本不起作用。事實上，混淆技術也可以被檢測和分析。

最終結果是一個惡意軟體檢測準確率為99.82%的系統，這對於惡意軟體分析師來說是無價的。這也將被證明是惡意軟體編寫者的噩夢，因為他們試圖弄清楚如何在EM掃描器中隱藏他們的惡意程式碼，而無法檢測到它的存在。

新聞來源：

https://www.pcmag.com/news/no-software-required-raspberry-pi-uses-electromagnetic-waves-to-detect

Abcbot殭屍網路與Xanthe Cryptomining惡意軟體的運營商有關

對名為Abcbot的新興DDoS殭屍網路背後的基礎設施的新研究發現了與2020年12月曝光的加密貨幣挖掘殭屍網路攻擊的聯絡。

奇虎360的Netlab安全團隊於2021年11月首次披露了涉及Abcbot的攻擊，該攻擊是透過惡意shell指令碼觸發的，該指令碼針對華為、騰訊、百度和阿里雲等雲服務提供商運營的不安全雲例項，下載惡意軟體選擇機器加入殭屍網路，但不是在終止競爭威脅參與者的程式並建立永續性之前。

一個有趣的轉折是，它延續了殭屍網路的分析，透過對映所有已知妥協的指標（國際石油公司），包括IP地址，URL和樣本，揭示Abcbot的程式碼和功能水平相似的是被稱為一個cryptocurrency採礦作業贊茜說利用錯誤配置的Docker實現來傳播感染。

Cado Security的Matt Muir在與The Hacker News分享的一份報告中說：“Xanthe和Abcbot都是由同一威脅者負責，並且正在將其目標從在受感染主機上挖掘加密貨幣轉向更傳統上與殭屍網路相關的活動，例如DDoS攻擊。”.

兩個惡意軟體系列之間的語義重疊範圍從原始碼的格式到例程的名稱，有些函式不僅具有相同的名稱和實現（例如，“nameservercheck”），而且還附加了“go”這個詞到函式名稱的末尾（例如，“filerungo”）。“這可能表明該功能的Abcbot版本已經迭代了多次，每次迭代都新增了新功能，”Muir解釋說。

此外，對惡意軟體工件的深入檢查揭示了殭屍網路能夠透過使用“autoupdater”、“logger”、“sysall”和“system”等通用、不顯眼的名稱來建立多達四個自己的使用者，以避免檢測，並將它們新增到sudoers檔案中，以賦予流氓使用者對受感染系統的管理許可權。

“在任何平臺上的惡意軟體系列和特定樣本之間經常可以看到程式碼重用甚至同類複製，”Muir說。“從開發的角度來看這是有道理的；就像合法軟體的程式碼被重用以節省開發時間一樣，非法或惡意軟體也會發生同樣的情況。”

新聞來源：

https://thehackernews.com/2022/01/abcbot-botnet-linked-to-operators-of.html

勒索DDoS攻擊變得更強大和更普遍

2021年底，隨著攻擊者要求贖金以阻止攻擊，分散式拒絕服務事件的數量有所增加。

去年第四季度，作為DDoS攻擊目標的Cloudflare客戶中，約有四分之一表示他們收到了肇事者的贖金通知。這些攻擊中有很大一部分發生在2021年12月，當時幾乎三分之一的Cloudflare客戶報告說收到了勒索信。

Cloudflare在今天的部落格文章中說，與上個月相比，報告的DDoS勒索攻擊數量翻了一番。據該公司稱，2021年是大多數此類攻擊發生的時間，同比增長29%，環比增長175%。

去年9月，攻擊者針對VoIP.ms網路語音提供商部署了RDDoS，由於該公司的DNS伺服器變得無法訪問，因此中斷了電話服務。

從IP地址來看，這些DDoS事件大部分來自中國、美國、巴西和印度，由Meris等殭屍網路部署，今年出現了對俄羅斯網際網路巨頭Yandex的2180萬次請求的破紀錄攻擊。

與拒絕使用者訪問服務的應用層DDoS不同，網路層DDoS攻擊針對試圖關閉路由器和伺服器的公司的整個網路基礎設施。

新聞來源：

https://www.bleepingcomputer.com/news/security/extortion-ddos-attacks-grow-stronger-and-more-common/

安全漏洞威脅

WordPress 5.8.3修補多個注入漏洞

上週釋出的安全版本WordPress 5.8.3修補了四個與注入相關的漏洞。

其中兩個缺陷是SQL隱碼攻擊——一個影響WP_Meta_Query（由WordPress安全團隊的Ben Bidner發現），另一個影響WP_Query（由GiaoHangTietKiemJSC的ngocnb和khuyenn發現）。

SonarSource的Simon Scannell報告了一個影響某些多站點安裝的物件注入問題，以及一個儲存的跨站點指令碼(XSS)錯誤。Karim El Ouerghemmi也因XSS漏洞而受到讚譽。這些漏洞影響3.7和5.8之間的WordPress版本。

支援自動更新的網站可能已經更新。已建議其他WordPress使用者從他們的儀表板手動更新。

新聞來源：

https://www.securityweek.com/wordpress-583-patches-several-injection-vulnerabilities