安全資訊報告

微軟稱“破壞性惡意軟體”被用於對付烏克蘭組織

微軟表示，它發現了破壞性惡意軟體被用來破壞烏克蘭多個組織的系統。在週六釋出的部落格中，微軟威脅情報中心(MSTIC)表示，它於1月13日首次發現了類似勒索軟體的惡意軟體。

微軟解釋說：“MSTIC評估說，該惡意軟體的設計看起來像勒索軟體，但缺乏贖金恢復機制，旨在具有破壞性，旨在使目標裝置無法操作，而不是獲得贖金。”

目前，我們的調查團隊已經在數十個受影響的系統上發現了惡意軟體，隨著我們調查的繼續，這個數字可能會增加。這些系統跨越多個政府、非營利組織和資訊科技組織，所有這些組織都位於烏克蘭。我們不知道該攻擊者運營週期的當前階段，也不知道烏克蘭或其他地理位置可能存在多少其他受害組織。但是，這些受影響的系統不太可能代表其他組織報告的全部影響範圍。

微軟補充說，目前還不清楚惡意軟體的目的是什麼，但表示所有烏克蘭政府機構、非營利組織和公司都應該注意它。微軟表示，這種攻擊“與他們觀察到的網路犯罪勒索軟體活動不一致”，因為通常情況下，勒索軟體有效載荷是為每個受害者定製的。

“在這種情況下，在多個受害者身上觀察到相同的勒索有效載荷。幾乎所有勒索軟體都會加密檔案系統上檔案的內容。在這種情況下，惡意軟體會覆蓋MBR，沒有恢復機制。”微軟解釋說。

新聞來源：

https://www.zdnet.com/article/microsoft-says-destructive-malware-being-used-against-ukrainian-organizations/

Linux惡意軟體呈上升趨勢，以下是三大威脅

基於Linux的系統無處不在，並且是網際網路基礎設施的核心部分，但低功耗的物聯網(IoT)裝置已成為Linux惡意軟體的主要目標。隨著數十億聯網裝置（如汽車、冰箱和網路裝置）線上，物聯網裝置已成為某些惡意軟體活動的主要目標——即分散式拒絕服務(DDoS)攻擊，其中垃圾流量旨在淹沒目標並使其離線。

安全供應商CrowdStrike在一份新報告中表示，2021年最流行的基於Linux的惡意軟體家族是XorDDoS、Mirai和Mozi，它們合計佔當年所有基於Linux的物聯網惡意軟體的22%。這些也是針對所有基於Linux的系統的惡意軟體的主要驅動力，與2020年相比，2021年的惡意軟體增長了35%。

Mozi於2019年出現，是一個點對點殭屍網路，它使用分散式雜湊表(DHT)——一種查詢系統——並依靠弱Telnet密碼和已知漏洞來針對網路裝置、物聯網和錄影機，以及其他聯網產品。DHT的使用允許Mozi將其命令和控制通訊隱藏在合法的DHT流量後面。Crowdstrike指出，與2021年相比，2021年的墨子樣本數量增加了10倍。

XorDDoS是一個用於大規模DDoS攻擊的Linux殭屍網路，它至少從2014年就已經存在，它使用不受強密碼或加密金鑰保護的SSH伺服器掃描網路以查詢Linux伺服器。它試圖猜測密碼以使攻擊者遠端控制裝置。

最近，XorDDoS開始針對雲中配置錯誤的Docker叢集，而不是其歷史目標，例如路由器和連線網際網路的智慧裝置。Docker容器對加密貨幣挖掘惡意軟體很有吸引力，因為它們提供了更多的頻寬、CPU和記憶體，但DDoS惡意軟體從物聯網裝置中受益，因為它們提供了更多可供濫用的網路協議。然而，由於許多物聯網裝置已經被感染，Docker叢集成為了一個替代目標。

根據CrowdStrike的說法，一些XorDDoS變體用於掃描和搜尋2375埠開啟的Docker伺服器，提供未加密的Docker套接字和對主機的遠端root無密碼訪問。這可以為攻擊者提供對機器的root訪問許可權。

新聞來源：

https://www.zdnet.com/article/linux-malware-is-on-the-rise-here-are-three-top-threats-right-now/

微軟針對1月Windows更新問題釋出OOB更新

Microsoft已釋出緊急帶外(OOB)更新，以解決由2021年1月補丁星期二期間釋出的Windows更新引起的多個問題。

“此更新解決了與VPN連線、WindowsServer域控制器重新啟動、虛擬機器啟動失敗以及ReFS格式的可移動媒體無法安裝相關的問題。”

今天釋出的所有OOB更新都可以在MicrosoftUpdateCatalog上下載：

Windows8.1、WindowsServer2012R2：KB5010794、WindowsServer2012：KB5010797

微軟1月例行更新給管理員帶來了一系列嚴重問題。根據報告，Windows域控制器受到自發重啟的困擾，Hyper-V不再在Windows伺服器上啟動，Windows彈性檔案系統(ReFS)卷不能訪問，無法連線到VPN、L2TPVPN等問題。

新聞來源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-oob-updates-for-january-windows-update-issues/

朝鮮駭客從全球加密貨幣初創公司竊取了數百萬美元

與Lazarus子組織BlueNoroff相關的運營商與一系列針對全球中小型公司的網路攻擊有關，旨在耗盡他們的加密貨幣資金，這是朝鮮國家贊助的多產的又一次出於經濟動機的行動演員。

俄羅斯網路安全公司卡巴斯基正在追蹤名為“SnatchCrypto”的入侵，並指出該活動自2017年以來一直在執行，並補充說這些攻擊針對位於中國、香港、印度、波蘭的金融科技領域的初創公司，俄羅斯、新加坡、斯洛維尼亞、捷克共和國、阿聯酋、美國、烏克蘭和越南。

研究人員說：“攻擊者一直在巧妙地濫用在目標公司工作的員工的信任，向他們傳送具有監視功能的全功能Windows後門，偽裝成合同或其他業務檔案。為了最終清空受害者的加密錢包，攻擊者開發了廣泛而危險的資源：複雜的基礎設施、漏洞利用和惡意軟體植入。”

根據區塊鏈分析公司Chainalysis釋出的一份新報告，LazarusGroup與對加密貨幣平臺的七次攻擊有關，僅在2021年就提取了價值近4億美元的數字資產，高於2020年的3億美元。

SnatchCrypto攻擊沒有什麼不同，因為它們是攻擊者致力於“跟蹤和研究”加密貨幣公司的努力的一部分，透過精心策劃社會工程計劃，透過偽裝成合法的風險投資公司與目標建立信任，只是為了誘使受害者進入開啟帶有惡意軟體的文件，該文件檢索旨在執行透過加密通道從遠端伺服器接收的惡意可執行檔案的有效負載。

新聞來源：

https://thehackernews.com/2022/01/north-korean-hackers-stole-millions.html

美國政府與科技巨頭討論開源軟體安全

白宮主辦了一場峰會，美國政府和主要科技公司的代表在會上討論了開源軟體的安全性。最近披露和利用影響廣泛使用的Log4j日誌記錄實用程式的漏洞再次突出了開源安全和軟體供應鏈安全的重要性。

白宮峰會的目標是找出提高開源軟體安全性並有效支援開源社群的方法。討論的重點是防止開原始碼和軟體包中的漏洞，改進發現和修復缺陷的過程，以及改進分發和實施補丁的響應時間。

“參與者討論了透過將安全功能整合到開發工具中並保護用於構建、儲存和分發程式碼的基礎設施的想法，使開發人員更容易編寫安全程式碼，例如使用程式碼簽名和更強大的數字身份等技術。”白宮在峰會結束後表示。

“在第二類，參與者討論瞭如何優先考慮最重要的開源專案並建立可持續的機制來維護它們。在最後一個類別中，與會者討論了加快和改進軟體物料清單使用的方法，按照總統行政命令的要求，以便更容易瞭解我們購買和使用的軟體中的內容。”

參與者包括拜登政府、五角大樓、商務部、能源部、國土安全部及其網路安全和基礎設施安全域性(CISA)、美國國家標準與技術研究院和美國國家科學基金會的代表.

私營部門由Akamai、亞馬遜、Apache軟體基金會、Apple、Cloudflare、Facebook(Meta)、GitHub、谷歌、IBM、Linux基金會、開源安全基金會、微軟、甲骨文、RedHat和VMware代表。

新聞來源：

https://www.securityweek.com/us-government-tech-giants-discuss-open-source-software-security

Qlocker勒索軟體迴歸，瞄準全球QNAP（威聯通）NAS裝置

Qlocker勒索軟體背後的威脅行為者再次瞄準全球暴露在網際網路上的QNAP網路附加儲存(NAS)裝置。

Qlocker此前曾在4月19日那周開始的大規模勒索軟體活動中針對QNAP客戶，在破壞他們的NAS裝置後，將受害者的檔案移動到受密碼保護的7-zip檔案中，副檔名為.7z。

QNAP警告說，攻擊者正在利用HBS3HybridBackupSync應用程式中的CVE-2021-28799硬編碼憑據漏洞入侵使用者的裝置並鎖定他們的檔案。受影響的QNAP使用者在支付0.01比特幣（當時價值約500美元）的贖金以獲取恢復資料所需的密碼後，在一個月內損失了大約350,000美元。

新的Qlocker勒索軟體活動於1月6日開始，它在受感染的裝置上放置名為!!!READ_ME.txt的勒索票據。這一系列新的Qlocker攻擊開始以來，BleepingComputer看到的Tor受害者頁面顯示贖金要求在0.02到0.03比特幣之間。

新聞來源：

https://www.bleepingcomputer.com/news/security/qlocker-ransomware-returns-to-target-qnap-nas-devices-worldwide/

安全漏洞威脅

Edge將緩解“不可預見的活躍”零日漏洞

MicrosoftEdge已向Beta通道新增了一項新功能，該功能將減少未來對未知零日漏洞的野蠻利用。

新功能是新瀏覽模式的一部分，旨在在瀏覽Web時專注於MicrosoftEdge的安全性。

“這個功能是向前邁出的一大步，因為它讓我們減少了不可預見的活躍零日（基於歷史趨勢），”微軟解釋說。

“啟用後，此功能會帶來硬體強制堆疊保護、任意程式碼保護(ACG)和內容流保護(CFG)，以支援安全緩解措施，以提高使用者在Web上的安全性。”

Microsoft在MicrosoftEdgeBeta頻道的98.0.1108.23版本中包含了這一額外的保護層，以防止在野外利用的零日漏洞。

新聞來源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-will-mitigate-unforeseen-active-zero-day-bugs/

3個WordPress外掛中的高危漏洞影響了84,000個網站

研究人員披露了一個影響三個不同WordPress外掛的安全漏洞，這些外掛影響了超過84,000個網站，並且可能被惡意行為者濫用以接管易受攻擊的網站。

WordPress安全公司Wordfence在上週釋出的一份報告中說：“這個漏洞使攻擊者可以在易受攻擊的網站上更新任意網站選項，只要他們可以誘騙網站管理員執行操作，例如點選連結。”

被追蹤為CVE-2022-0215的跨站點請求偽造(CSRF)漏洞在CVSS等級上的評級為8.8，並影響Xootix維護的三個外掛:

• Login/SignupPopup(InlineForm+Woocommerce),

• SideCartWoocommerce(Ajax),and

• WaitlistWoocommerce(Backinstocknotifier)

新聞來源：

https://thehackernews.com/2022/01/high-severity-vulnerability-in-3.html