安全資訊報告

微軟預設禁用Excel4.0宏以阻止惡意軟體

微軟已宣佈Excel4.0(XLM)宏現在將預設禁用，以保護客戶免受惡意文件的侵害。

10月，該公司首次在Microsoft 365訊息中心更新中透露，如果使用者或管理員沒有手動開啟或關閉該功能，它將在所有租戶中禁用XLM宏。

從2021年7月開始，Windows管理員還可以使用組策略和使用者使用Excel信任中心的“啟用VBA宏時啟用XLM宏”設定來手動禁用此功能。

XLM（又名Excel4.0）宏是預設的Excel宏格式，直到Excel5.0於1993年釋出，當時微軟首次引入仍然是預設格式的VBA宏。

然而，儘管已停止使用XLM，但威脅行為者在30年後仍在使用XLM來建立部署惡意軟體或執行其他惡意行為以操縱本地檔案系統上的檔案的文件，因為當前的Microsoft Office版本仍然支援XLM宏。

已經觀察到使用這種型別的宏來推送惡意軟體的惡意活動在受害者的計算機上下載和安裝TrickBot、Zloader、Qbot、Dridex等惡意軟體。自2018年初以來，此類檔案已在眾多惡意攻擊中被武器化，以提供遠端訪問木馬和惡意軟體載入程式。

新聞來源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-excel-40-macros-by-default-to-block-malware/

鼴鼠駭客在公共雲基礎設施背後隱藏新的間諜攻擊

一場活躍的間諜活動被歸咎於名為Molerats的威脅行為者，他們濫用合法的雲服務（如Google Drive和Dropbox）來託管惡意軟體有效負載，並用於命令和控制以及從整個中東目標竊取資料。

據基於雲的資訊保安公司Zscaler稱，據信至少從2021年7月開始，網路攻勢就開始了，駭客組織繼續努力對目標主機進行偵察並掠奪敏感資訊。

Molerats也被跟蹤為TA402、Gaza Hackers Team和Extreme Jackal，是一個高階持續威脅(APT)組織，主要關注在中東運營的實體。與該行為者相關的攻擊活動利用地緣政治和軍事主題誘使使用者開啟Microsoft Office附件並單擊惡意連結。

Zscaler詳述的最新活動沒有什麼不同，它利用與以色列和巴勒斯坦之間持續衝突相關的誘餌主題在受感染系統上提供.NET後門，進而利用Dropbox API與攻擊者控制的伺服器並傳輸資料。

該植入程式使用特定的命令程式碼來控制受感染的機器，支援拍攝快照、列出和上傳相關目錄中的檔案以及執行任意命令的功能。研究人員在調查攻擊基礎設施時表示，他們發現至少有五個用於此目的的Dropbox帳戶。

新聞來源：

https://thehackernews.com/2022/01/molerats-hackers-hiding-new-espionage.html

大約三分之一的“網路釣魚”網站的生命週期只有24小時

卡巴斯基（Kaspersky）的一份題為“網路釣魚頁面的生命週期”的報告得出結論，網路犯罪分子在其“網路釣魚”計劃中使用的虛假網站中有一半的生命週期不到四天，其中三分之一甚至不會持續前24小時。

網路釣魚是一種網路犯罪策略，包括冒充受信任的實體並誘騙受害者提供其登入憑據或其他敏感資訊。例如，出於顯而易見的原因，銀行非常常用於網路釣魚活動。網路犯罪分子通常透過虛假電子郵件發起聯絡，然後將受害者重定向到虛假網站。“網路釣魚”的其他變體透過稱為“網路釣魚”的SMS或通常稱為“網路釣魚”的電話發起聯絡。

在卡巴斯基一個月監控的5,307個網站中，有33%（1,784個）在第一天檢測結束前就消失了。48小時後，該百分比增加到42%(2,238)，72小時後增加到46%(2,481)，到第四天結束時增加到50%(2,654)。在30天期限結束時，只有28%的虛假網站仍然可以訪問。

新聞來源：

https://globalcirculate.com/one-third-of-phishing-websites-usually-disappear-within-24-hours/

2021年軟體供應鏈攻擊增加了兩倍

2021年可以說是軟體供應鏈攻擊之年——SolarWinds讓世界大開眼界，威脅程度變得顯而易見的一年。

除了SolarWinds之外，其他主要攻擊還包括Kaseya、Codecov、ua-parser-js和Log4j。在每種情況下，對攻擊者的吸引力在於分散式程式碼中的單個破壞、妥協或漏洞可能導致多個甚至數千名受害者。

在Argon（Aqua Security公司）對客戶安全評估進行了為期六個月的分析之後，2021年軟體供應鏈安全報告強調了犯罪重點的主要領域：開源漏洞和中毒；程式碼完整性問題；並利用軟體供應鏈流程和供應商信任來分發惡意軟體或後門。

共同的因素是開源軟體——一種內部系統開發人員通常天生信任並自動使用的程式碼源。

Argon的分析強調了三個主要問題領域：開源應用程式中的漏洞、受損的管道工具和程式碼/工件完整性。

易受攻擊的應用程式供應鏈攻擊主要集中在兩個方面：濫用已廣泛分發和安裝的應用程式中的漏洞，以及在下載之前從源頭毒化軟體包。前者的一個2021例子是Log4j攻擊，而後者的一個例子是us-parser-js包中毒。

第二個攻擊向量是受損的管道工具。“它使攻擊者能夠在構建過程中更改程式碼或注入惡意程式碼並篡改應用程式（就像SolarWinds的情況一樣）”報告(PDF)說。“攻擊者還使用受感染的軟體包登錄檔來上傳受感染的工件而不是合法的工件。此外，還有數十個外部依賴項連線到管道，可用於訪問它併發起攻擊”，例如Codecov攻擊。

研究人員確定的第三個風險領域是將不良程式碼上傳到原始碼儲存庫。這會影響工件質量和安全狀況。報告在其研究中指出，“在許多情況下，發現的問題數量巨大，需要專門的清理專案來減少暴露，例如秘密清理、標準化容器影像和其他活動。”

總體而言，Argon認為，與2020年相比，2021年軟體供應鏈攻擊的數量增加了兩倍。

新聞來源：

https://www.securityweek.com/software-supply-chain-attacks-tripled-2021-study

安全漏洞威脅

Wordpress外掛中有超過10,000個安全漏洞

在第三方Wordpress外掛中發現的漏洞越來越多，這使駭客更容易工作，也更容易完全控制他們正在攻擊的網站。據RiskBased Security的研究人員稱，去年，在Wordpress擴充套件中發現了2,240個漏洞。與2020年相比，這一數字增加了142%。

截至去年年底，Wordpress外掛中總共報告了10,359個漏洞。這些漏洞中有四分之三是公開的，這意味著可以線上找到有關如何利用它們的資訊。此外，檢測到的7,592個漏洞可以被遠端利用。

最近，Automattic（Wordpress的所有者）發現了對AccessPress的攻擊，AccessPress為Wordpress開發了53個外掛和40個主題。攻擊後，所有AccessPress主題和外掛都感染了後門，該後門到達了所有安裝了這些工具的站點。

AccessPress外掛和主題目前在超過360,000個站點中使用。據W3Techs稱，Wordpress平臺是43%的網站的基礎。

新聞來源：

https://www.news.ro/economic/exista-peste-10-000-de-gauri-de-securitate-in-plugin-urile-de-wordpress-1922404322492022010820565944

Dark Souls 3漏洞利用可以讓駭客控制你的整個計算機

根據Dexerto的一份報告，在《Dark Souls 3》中發現的遠端程式碼執行(RCE)漏洞可能導致駭客控制你的計算機。該漏洞只會使線上玩的PC遊戲玩家面臨風險，並可能影響Dark Souls、Dark Souls 2和即將推出的Elden Ring。此後，各種《Dark Souls》遊戲的伺服器已被關閉。

該漏洞在The__Grim__Sleeper的Dark Souls 3線上Twitch直播中被看到。在直播結束時（1:20:22），The__Grim__Sleeper的遊戲崩潰了，屬於微軟文字語音生成器的機器人聲音突然開始批評他的遊戲玩法。The__Grim__Sleeper隨後報告說Microsoft PowerShell自行開啟，這表明駭客使用該程式執行了觸發文字轉語音功能的指令碼。

然而，這可能不是惡意駭客的實際意圖。“駭客”試圖聯絡DarkSouls開發者FromSoftware解決該問題，據報導，他被忽略了，所以他開始使用流媒體影片來引起人們對這個問題的關注。

但如果惡意攻擊者先發現這個問題，結果可能會更糟。RCE是最危險的漏洞之一，它允許駭客在受害者的計算機上執行惡意程式碼，造成無法彌補的損害，並可能在他們使用時竊取敏感資訊。

幸運的是，FromSoftware和Bandai Namco似乎正在解決這個問題。週日清晨，DarkSouls推特賬號宣佈《黑暗之魂：重製版》、《黑暗之魂2》和《黑暗之魂3》的PvP伺服器已暫時關閉。

新聞來源：

https://www.theverge.com/2022/1/22/22896785/dark-souls-3-remote-execution-exploit-rce-exploit-online-hack

CISA在漏洞列表中增加了17個漏洞

網路安全和基礎設施安全域性(CISA)將17個被積極利用的漏洞新增到“已知利用漏洞目錄”中。

“已知被利用漏洞目錄”是一個漏洞列表，這些漏洞已被威脅參與者在攻擊中濫用，並且需要由聯邦民事執行局(FCEB)機構進行修補。

“具有約束力的操作指令(BOD)22-01：降低已知被利用漏洞的重大風險建立了已知被利用漏洞目錄作為對聯邦企業帶來重大風險的已知CVE的活名單，”CISA解釋說。

目錄中列出的漏洞允許威脅參與者執行各種攻擊，包括竊取憑據、訪問網路、遠端執行命令、下載和執行惡意軟體或從裝置竊取資訊。

加上這17個漏洞，該目錄現在總共包含341個漏洞，幷包括機構必須應用安全更新來解決錯誤的日期。

下面列出了本週新增的17個新漏洞，CISA要求在2月的第一週內修補其中的10個。

跟蹤為CVE-2021-32648的“October CMS Improper Authentication”漏洞必須在2022年2月1日之前修復，因為它最近被用於入侵和破壞烏克蘭政府網站。安全專家將這些攻擊歸咎於與白俄羅斯有關的駭客組織Ghostwriter。

微軟發現被跟蹤為CVE-2021-35247的新的“SolarWindsServ-U不正確輸入驗證”漏洞被用來將Log4j攻擊傳播到配置為LDAP伺服器的Windows域控制器。

新聞來源：

https://www.bleepingcomputer.com/news/security/cisa-adds-17-vulnerabilities-to-list-of-bugs-exploited-in-attacks/