安全資訊報告

10個國家協調關閉勒索軟體VPN服務

週一，包括美國聯邦調查局在內的10個國家的執法機構關閉了一項用於匿名勒索軟體攻擊的15臺伺服器VPN服務。

據烏克蘭執法部門稱，VPNLab[.]net據稱為至少150次勒索軟體攻擊提供了掩護，從而獲得了大約6000萬歐元的贖金。該服務總部設在德國，漢諾威警方領導了調查。歐洲刑警組織將該服務描述為“網路犯罪分子的熱門選擇”。

參與拆除的國家包括德國、荷蘭、加拿大、捷克共和國、法國、匈牙利、拉脫維亞、烏克蘭、美國和英國。歐洲刑警組織和歐洲司法組織提供了額外的支援，包括舉辦了60多次協調會議。

俄羅斯執法部門上週逮捕了REvil勒索軟體團伙的14名成員，這是警方針對勒索軟體製造商的重大突破。

新聞來源：

https://www.scmagazine.com/analysis/ransomware/10-nations-coordinate-shutdown-of-ransomware-vpn-service

ESET深入研究了前兩年Donot Team對南亞國家的攻擊

Donot Team（也稱為APT-C-35、肚腦蟲和SectorE02）是至少從2016年開始運營的威脅行為者，並以使用Windows和Android惡意軟體針對南亞的組織和個人而聞名。一份報告將該組織的惡意軟體與一家印度網路安全公司聯絡起來，該公司可能正在向該地區的政府出售間諜軟體或提供駭客出租服務。

ESET的調查認為，該組織非常頑固，至少在過去兩年中一直針對相同的組織。

Donot Team的活動受到間諜活動的推動，使用他們的簽名惡意軟體：“yty”惡意軟體框架，其主要目的是收集和洩露資料。根據遙測資料，Donot Team專注於南亞的少數目標——孟加拉國、斯里蘭卡、巴基斯坦和尼泊爾。這些攻擊集中在：政府和軍事組織、外交部、大使館等。

新聞來源：

https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/

DHL取代微軟成為2021年第四季度網路釣魚嘗試中被模仿最多的品牌

Check Point Research釋出第四季度品牌網路釣魚報告，重點介紹駭客模仿的領先品牌，該報告重點介紹了犯罪分子在10月、11月和12月試圖竊取個人個人資訊或支付憑證時最常模仿的品牌。

DHL首次在第四季度佔據第一名，取代微軟成為網路犯罪分子最有可能成為網路釣魚詐騙目標的品牌。23%的品牌網路釣魚嘗試與全球物流和航運公司有關，高於第三季度的9%，因為攻擊者試圖在一年中最繁忙的零售期間利用易受攻擊的線上消費者。微軟在第三季度再次領跑，佔所有網路釣魚嘗試的29%，但在第四季度僅佔網路釣魚詐騙的20%。聯邦快遞也在2021年第四季度首次出現在前十名名單中，這無疑是由於大流行仍然是一個關鍵問題，威脅行為者在節日前夕試圖針對脆弱的線上購物者的結果。

以下是在品牌網路釣魚嘗試中按整體外觀排名的頂級品牌：

• DHL（與全球23%的網路釣魚攻擊有關）

• 微軟(20%)

• WhatsApp(11%)

• 谷歌（10%）

• 領英(8%)

• 亞馬遜(4%)

• 聯邦快遞(3%)

• 機器人(3%)

• 貝寶(2%)

• 蘋果(2%)

新聞來源：

https://finance.yahoo.com/news/dhl-replaces-microsoft-most-imitated-110000658.html

FluBot木馬已感染1100萬部手機

FluBot是專為Android裝置設計的木馬，自2020年以來已出現在多個欺詐性簡訊活動（smishing）中。據估計，它已成功感染六萬多個終端，並編制了一份包含約1100萬個電話號碼的列表。攻擊者冒充快遞公司或郵局試圖讓使用者安裝惡意應用程式。它的最終目標是竊取銀行資訊以訪問受害者的賬戶。

在其最著名的版本中，該木馬會偽裝成虛假的貨運和包裹跟蹤訊息。Flubot透過裝置的地址簿迅速傳播，據專家介紹，這也是其成功獲取如此多終端和電話號碼的原因之一。此外，flubot能夠竊取銀行資訊（銀行訪問資料、信用卡、支付資料……）、簡訊或聯絡人列表資訊，甚至在控制裝置後還能撥打電話。此外，它還允許從攻擊者的控制中心執行遠端命令，並阻止使用者解除安裝應用程式。

在第一波中，受害者收到了一條簡訊，表明收到了一個包裹，並提供了一個連結來跟蹤它。因此，去年Correos、DHL和FedEX等公司的SMS中出現了身份盜用。單擊連結後，SMS會將受害者重定向到偽裝成官方網站的頁面，並要求他們下載跟蹤應用程式。這個“應用程式”是直接從惡意應用程式商店下載的，而不是GooglePlay商店，木馬隱藏在裡面。

新聞來源：

https://thegoaspotlight.com/2022/01/17/flubot-the-trojan-that-has-infected-11-million-mobiles/

時尚巨頭Moncler確認勒索軟體攻擊後資料洩露

義大利奢侈品時尚巨頭Moncler證實，他們在12月被AlphV/BlackCat勒索軟體竊取並於今天在暗網上釋出的檔案後遭受了資料洩露。

攻擊發生在2021年的最後一週，當時這家奢侈時尚品牌宣佈中斷其IT服務，但保證攻擊只會導致暫時性中斷。

在一份宣告中，Moncler證實，與其員工、前僱員、供應商、顧問、業務合作伙伴和客戶相關的一些資料今天被AlphaV(BlackCat)勒索軟體操作洩露。Moncler表示，他們拒絕支付贖金要求的前景，因為這違反了其創始原則，導致被盜資料的釋出。從網站上共享的螢幕截圖來看，被盜資料包括收入報表、帶有似乎是客戶資訊的電子表格、發票和其他檔案。

Moncler Group是首批ALPHV(BlackCat)勒索軟體受害者之一，這是一項新的勒索軟體即服務(RaaS)操作，於2021年12月初啟動。

新聞來源：

https://www.bleepingcomputer.com/news/security/fashion-giant-moncler-confirms-data-breach-after-ransomware-attack/

野外出現與FIN8駭客組織相關聯的新白兔勒索軟體

最近在野外出現了一個名為“白兔”的新勒索軟體家族，根據最近的研究結果，它可能是FIN8駭客組織的副業。FIN8是一個出於經濟動機的行為者，多年來一直被發現以金融組織為目標，主要是透過部署可以竊取信用卡詳細資訊的POS惡意軟體。

研究人員分析了2021年12月對美國銀行的攻擊期間獲得的白兔勒索軟體樣本。勒索軟體可執行檔案是一個小負載，檔案大小為100KB，需要在命令列執行時輸入密碼才能解密惡意負載。其他勒索軟體操作（包括Egregor、MegaCortex和SamSam）之前曾使用過執行惡意負載的密碼。

一旦使用正確的密碼執行，勒索軟體將掃描裝置上的所有資料夾並加密目標檔案，為它加密的每個檔案建立贖金記錄。在加密裝置時，可移動驅動器和網路驅動器也是目標，Windows系統資料夾被排除在加密之外，以防止作業系統無法使用。贖金通知通知受害者他們的檔案已被洩露，並威脅如果不滿足要求，將釋出和/或出售被盜資料。受害者支付贖金的最後期限設定為四天，之後攻擊者威脅要將被盜資料傳送給資料保護機構，從而導致資料洩露GDPR處罰。

新型勒索軟體使用了前所未有的Badhatch版本（又名“Sardonic”），這是一個與FIN8相關的後門。通常，這些參與者將他們的自定義後門保留給自己，並繼續私下開發它們。

新聞來源：

https://www.bleepingcomputer.com/news/security/new-white-rabbit-ransomware-linked-to-fin8-hacking-group/

安全漏洞威脅

Microsoft Edge引入針對潛在0Day漏洞的保護

Microsoft Edge瀏覽器開發人員在beta測試通道中新增了一項新功能，旨在保護使用者免受實際攻擊中的潛在利用和零日漏洞。該功能是新瀏覽模式的一部分，旨在確保Microsoft Edge在瀏覽Internet時保持安全。

“啟用後，該功能提供硬體堆疊保護、任意程式碼保護（Arbitrary Code Guard，ACG）和內容流保護（Content Flow Guard，CFG），以提高網際網路上的使用者安全。”開發人員解釋說。

在Microsoft Edge最新測試版的發行說明中，微軟還提到新增自定義主密碼，允許使用者在自動填寫Web表單中儲存的密碼之前輸入額外的身份驗證步驟。

新聞來源：

https://www.securitylab.ru/news/528759.php

Oracle釋出近500個新的安全補丁

Oracle釋出2022年的第一個重要補丁更新準備了497個新補丁，該補丁計劃已於1月18日釋出。

包括Oracle Essbase、圖形伺服器和客戶端、安全備份、通訊應用程式、通訊、建築和工程、企業管理器、金融服務應用程式、融合中介軟體、保險應用程式、PeopleSoft、支援工具和應用程式中的嚴重漏洞將得到修補。

涉及套件：航空公司資料模型、大資料圖、通訊資料模型、商務、食品和飲料應用程式、電子商務套件、GoldenGate、健康科學應用程式、醫療保健應用程式、酒店應用程式、Hyperion、iLearning、JDEdwards、MySQL、策略自動化、零售應用程式、REST資料服務、Siebel CRM、供應鏈、系統、Spatial Studio和TimesTen In-Memory。其中許多漏洞無需身份驗證即可遠端利用。

其他2022個重要補丁更新計劃將於4月19日、7月19日和10月18日釋出。Oracle在2021年1月、4月、7月和2021年10月釋出的CPU總共包含1,400多個安全修復程式。

新聞來源：

https://www.securityweek.com/oracle-release-nearly-500-new-security-patches