安全資訊報告

FBI警告：這種新的勒索軟體要求高達500,000美元

聯邦調查局(FBI)有詳細的證據將新的Diavol勒索軟體與TrickBot Group聯絡起來，後者是同名銀行木馬背後的多產團伙。

Diavol在2021年年中引起了研究人員的注意，當時Fortinet釋出了對Diavol的技術分析，該分析與Trickbot Group的另一個名稱Wizard Spider建立了一些聯絡，研究人員也一直在追蹤與“雙重勒索”Ryuk勒索軟體有關的資訊。

Ryuk被選擇性地部署在遭受雙重敲詐勒索的高價值目標上，他們的資料被加密、被盜，然後可能洩露，除非支付贖金。

Trickbot的工具包括Anchor_DNS後門，這是一種用於在受害機器和Trickbot控制的伺服器之間傳輸資料的工具，使用域名系統(DNS)隧道來隱藏具有正常DNS流量的惡意流量。

自10月以來，聯邦調查局一直在關注Diavol。Diavol和Trickbot之間的聯絡在於，Diavol為每個受害者生成的唯一機器人識別符號(BotID)與Trickbot和Anchor_DNS惡意軟體使用的格式“幾乎相同”。Diavol生成BotID後，該機器上的檔案將被加密並附加“.lock64”副檔名，並且機器會顯示勒索訊息。

“Diavol與Trickbot Group的開發人員有關，他們負責Trickbot銀行木馬，”聯邦調查局在一份新的快訊中說，並警告說它已經看到高達500,000美元的勒索要求。

新聞來源：

https://www.zdnet.com/article/fbi-warning-this-new-ransomware-makes-demands-of-up-to-500000

日政府擬明確規定公司管理層網路安全責任

日本政府關於通訊、電力和鐵路等重要基礎設施企業的網路安全對策，擬明確規定管理層的責任，已就此展開探討。將提出資訊外洩等造成損失時，有可能被追究公司法上的賠償責任，意在促進企業強化防護體制。將寫進計劃今春時隔近5年進行徹底修改的“重要基礎設施行動計劃”中。22日相關人士透露了這一訊息。

鑑於瞄準重要基礎設施的攻擊增多以及手段的提升，政府將加強應對。行動計劃中還將提出重視經濟安全的方針。

重要基礎設施行動計劃將決定透過官民合作推進防護的指標。2017年敲定的現行計劃中對於企業的管理層，僅表示期待實施安全對策。

在那之後，國內外相繼發生對重要基礎設施的網路攻擊。去年5月美國最大級別輸油管道被迫暫停運轉；日本國內各地醫院出現多起無法瀏覽電子病歷等情況，陷入停止接收新患者的事態。

政府去年9月敲定的“網路安全戰略”中，寫進了確保重要基礎設施安全“關係到經營的根本”，要求政府構建體制使管理層可發揮領導能力。

新聞來源：

https://china.kyodonews.net/news/2022/01/9a3098290c79.html

新的“BHUNT”惡意軟體針對印度人的加密錢包

一份新報告稱，網路犯罪分子現在正在竊取加密貨幣錢包的內容、密碼和安全短語，目標是使用者在其PC上擁有的加密貨幣錢包。根據網路安全公司Bitdefender的說法，一種名為“BHUNT”的加密錢包竊取惡意軟體透過安裝盜版軟體進入計算機，並攻擊Exodus、Electrum、Atomic、Jaxx、以太坊、比特幣和Litecoin錢包。

比特幣、以太坊或狗狗幣等數字貨幣儲存在稱為“錢包”的東西中，可以透過使用您的“私鑰”（相當於超級安全密碼的加密貨幣）訪問它，沒有它，加密貨幣所有者無法訪問該貨幣。桌面錢包將私鑰儲存在您的硬碟驅動器或計算機上的SSD上。理想情況下，它們比網路和移動錢包更安全，因為它們不依賴第三方獲取資料並且更難竊取。

需要注意的是，該惡意軟體附帶盜版軟體，這些盜版軟體是使用torrentz和其他惡意網站下載的。一旦惡意軟體安裝在您的PC中，它就可以將使用者的資金轉移到另一個錢包，並竊取駐留在受感染計算機中的其他私人資料。“雖然惡意軟體主要專注於竊取與加密貨幣錢包相關的資訊，但它還可以獲取儲存在瀏覽器快取中的密碼和cookie，”Bitdefender的報告解釋道。“這可能包括社交媒體、銀行等的帳戶密碼，甚至可能導致線上身份接管。”

該惡意軟體已在全球範圍內檢測到，其中受感染使用者最多的是印度，其次是澳大利亞、埃及、德國、印度尼西亞、日本、馬來西亞、挪威、新加坡、南非、西班牙和美國。

新聞來源：

https://indianexpress.com/article/technology/crypto/new-bhunt-malware-targets-your-crypto-wallets-and-passwords-7736926/

網路釣魚冒充航運巨頭馬士基推動STRRAT惡意軟體

一項使用虛假運輸誘餌的新網路釣魚活動在毫無戒心的受害者裝置上安裝了STRRAT遠端訪問木馬。

Fortinet在發現冒充全球航運業巨頭馬士基航運公司（Maersk Shipping）並使用看似合法的電子郵件地址的網路釣魚電子郵件後發現了這一新活動。

如果收件人開啟附加的文件，執行的宏程式碼會將STRRAT惡意軟體提取到他們的機器上，這是一種強大的遠端訪問木馬，可以竊取資訊甚至偽造勒索軟體攻擊。

STRRAT惡意軟體首先收集主機系統的基本資訊，例如架構和在其上執行的任何防病毒工具，並檢查本地儲存和網路功能。

就其功能而言，STRRAT可以執行以下操作：

• 記錄使用者擊鍵

• 方便遙控操作

• 從Chrome、Firefox和Microsoft Edge等網路瀏覽器獲取密碼

• 從Outlook、Thunderbird和Foxmail等電子郵件客戶端竊取密碼

• 執行偽勒索軟體模組以模擬感染

新聞來源：

https://www.bleepingcomputer.com/news/security/phishing-impersonates-shipping-giant-maersk-to-push-strrat-malware/

網路釣魚電子郵件因Omicron問題而激增500%

據梭子魚網路公司稱，最新的COVID-19變種導致網路釣魚攻擊增加了521%，使用該病毒作為誘餌誘使使用者點選。

網路犯罪分子經常在他們的社會工程攻擊中使用具有新聞價值的事件，而COVID-19在2020年出現時提供了一個大好機會。

這家安全供應商觀察到，從當年2月到3月，COVID-19網路釣魚電子郵件環比激增667%。當2021年初發布新疫苗時，它又記錄了一次顯著增長。

現在公眾對高度傳播的Omicron變種的關注引起了網路釣魚者的注意。

用於誘騙使用者點選惡意連結和/或輸入個人詳細資訊的策略包括提供假冒或未經授權的COVID-19測試以及口罩或手套等防護裝置。

新聞來源：

https://www.infosecurity-magazine.com/news/covid19-phishing-surge-500-omicron/

拜登下令加強網路安全：使用雙重身份驗證和加密術

據美國《華爾街日報》網站1月19日報導，美國總統拜登週三擴大了國家安全域性在保護美國政府最敏感的計算機網路方面的作用，他釋出了一項加強國防部和情報機構內部網路安全的指示。

報導稱，拜登簽署的備忘錄規定了基本的網路安全實踐標準，比如國家安全系統——包括美國國防部和情報機構以及支援它們的聯邦承包商——使用雙重身份驗證和加密術。

報導指出，這項長達17頁的新指令授權國家安全域性釋出所謂有約束力的操作指令，要求國家安全系統的操作人員努力防範已知或潛在的網路安全威脅。

新聞來源：

http://www.cankaoxiaoxi.com/mil/20220121/2466855.shtml

安全漏洞威脅

攻擊者使用Log4j漏洞嘗試登入時發現Serv-U漏洞

這是一個令人困惑的故事：最初，微軟週三警告說，攻擊者正在利用SolarWinds Serv-U檔案共享軟體中先前未公開的漏洞，透過SolarWinds漏洞傳播對網路內部裝置的Log4j攻擊。

SolarWinds在前一天週二釋出了修復程式。

SolarWinds隨後於週四聯絡了Threatpost和其他新聞媒體，澄清微軟的報告提到了一個威脅者試圖使用Log4j漏洞登入Serv-U。但嘗試失敗，因為Serv-U不使用Log4j程式碼並且身份驗證目標——LDAP（Microsoft Active Directory）——不易受到Log4j攻擊。

微軟威脅情報中心(MSTIC)表示，被跟蹤為CVE-2021-35247的SolarWinds漏洞是一個輸入驗證漏洞，攻擊者可以在給定一些輸入的情況下構建查詢，並在沒有衛生設施的情況下透過網路傳送該查詢。

該漏洞由微軟的Jonathan Bar Or發現，影響Serv-U版本15.2.5及之前的版本。SolarWinds修復了週二釋出的Serv-U版本15.3中的漏洞。

Serv-U攻擊只是猖獗的Log4j攻擊嘗試和測試中的最新一次，自上個月這些缺陷被披露以來，Apache的Log4j日誌庫中的多個缺陷被丟擲——並受到了近乎即時的攻擊。MSTIC強烈建議受影響的客戶應用SolarWinds安全更新。

新聞來源：

https://threatpost.com/microsoft-log4j-attackssolarwinds-serv-u-bug/177824/

Red Hat、Ubuntu就Linux核心漏洞發出警告

Red Hat和Ubuntu已就其Linux發行版中的嚴重漏洞發出警告。

它被描述為基於堆的緩衝區溢位漏洞(CVE2022-0185)。根據Ubuntu，Linux核心中的檔案系統上下文功能包含整數下溢漏洞，導致越界寫入。本地攻擊者可以使用它來導致拒絕服務（系統崩潰）或執行任意程式碼。

該安全漏洞影響所有受支援的Ubuntu版本，包括執行Linux核心5.13的Ubuntu21.10（稱為Impish Indri）系統、執行Linux核心5.11的Ubuntu21.04（Hirsute Hippo）系統，以及Ubuntu20.04LTS（Focal Fossa）和執行Linux核心5.4LTS的Ubuntu18.04LTS(Bionic Beaver)系統。

Red Hat表示該問題會影響Red Hat Enterprise Linux 8.4 GA及更高版本附帶的Linux核心包。以前的Red Hat Enterprise Linux版本不受影響。在使用預設受限SCC（安全上下文約束）的Red Hat OpenShift容器平臺上，此問題不可利用。

為了緩解安裝未執行容器的Red Hat Enterprise Linux8的問題，管理員可以透過將user.max_user_namespaces設定為0來禁用使用者名稱空間。請注意，在容器化部署中，例如Red Hat OpenShift Container Platform，這種緩解不能應用。

已針對Red Hat Enterprise Linux8和Red Hat Enterprise Linux8.4擴充套件更新支援釋出了修復程式。

新聞來源：

https://www.itworldcanada.com/article/red-hat-ubuntu-issue-warnings-over-linux-kernel-vulnerability/471089