安全資訊報告

專家發現烏克蘭的NotPetya和WhisperGate攻擊的戰略相似之處

 

對本月早些時候針對數十家烏克蘭機構的Wiper惡意軟體的最新分析顯示，該惡意軟體與2017年針對該國基礎設施和其他地方的NotPetya惡意軟體具有“戰略相似性”。

 

微軟上週發現了這款名為WhisperGate的惡意軟體，稱它觀察到了針對美國政府、非營利組織和資訊科技實體的破壞性網路活動，並將這些入侵歸因於一個代號為“DEV-0586”的新興威脅叢集。"

 

“雖然WhisperGate與2017年攻擊烏克蘭實體的臭名昭著的NotPetya擦除器有一些戰略上的相似之處，包括偽裝成勒索軟體，並針對和破壞主開機記錄(MBR)而不是對其進行加密，但它明顯具有更多旨在造成額外損害的元件，”思科Talos在一份詳細說明其應對工作的報告中表示。

 

這家網路安全公司表示，攻擊中可能使用了被盜憑據，還指出威脅行為者在滲透發生前幾個月就可以訪問一些受害者網路，這是複雜APT攻擊的典型跡象。

 

WhisperGate感染鏈被設計成一個多階段過程，它下載一個擦除主開機記錄(MBR)的有效負載，然後下載託管在Discord伺服器上的惡意DLL檔案，該檔案丟棄並執行另一個擦除有效負載，透過以下方式不可撤銷地破壞檔案用受感染主機上的固定資料覆蓋其內容。

 

該調查結果是在大約80個烏克蘭政府機構的網站遭到破壞一週後釋出的，烏克蘭情報機構確認這兩起事件是針對其關鍵基礎設施的一波惡意活動的一部分，同時還指出這些攻擊利用了最近披露的Log4j訪問某些受感染系統的漏洞。

 

新聞來源：

https://thehackernews.com/2022/01/experts-find-strategic-similarities-bw.html

 

駭客在數十個WordPress外掛和主題中植入了秘密後門

 

在另一個軟體供應鏈攻擊例項中，託管在開發者網站上的數十個WordPress主題和外掛在2021年9月上半月被惡意程式碼後門，目的是感染更多網站。

 

後門使攻擊者可以完全管理使用屬於AccessPressThemes的40個主題和53個外掛的網站，這家位於尼泊爾的公司擁有不少於360,000個活躍的網站安裝。

 

WordPress外掛套件開發商JetPack的安全研究人員在本週釋出的一份報告中表示：“受感染的擴充套件程式包含一個用於Webshell的釋放器，使攻擊者可以完全訪問受感染的站點。”

 

新聞來源：

https://thehackernews.com/2022/01/hackers-planted-secret-backdoor-in.html

 

預計到2030年,勒索軟體保護市場價值837億美元(CAGR)複合年增長率：19%

 

全球勒索軟體保護市場預計將在2021年達到173.6億美元，到2030年達到837億美元，在2022-2030年的預測期內以複合年增長率(CAGR)計算。估計增長19%。

 

全球對資料備份和恢復解決方案的需求不斷增長、企業共享威脅情報，以及多層次安全策略的要求。有良好的市場增長機會。

 

勒索軟體在COVID-19期間，全球保護市場的增長變得明顯，因為大多數在家工作的人更有可能成為勒索軟體攻擊的受害者。犯罪集團越來越多地利用以COVID-19為主題的網路釣魚激勵措施。遠端工作增加了勒索軟體攻擊的風險。勒索軟體攻擊削弱了對家庭和資訊科技的控制，使用者越來越多，因為他們更有可能點選以COVID-19為主題的勒索軟體電子郵件，因此公司將採取勒索軟體對策來防止對其資料的攻擊。

 

展望未來，北美將成為網路安全廠商的最大收入來源，其次是歐洲，預計亞太地區在預測期內將快速增長，這些地區的經濟將快速增長。

 

新聞來源：

http://www.taiwannews.com.tw/en/news/4420119

 

以零信任策略控制勒索軟體和其他惡意軟體

 

根據Comparitech的資料，以勒索軟體為例，2020年有79次成功的攻擊襲擊了美國政府機構，影響了7100萬人。停機時間和恢復成本估計達到1888萬美元，停機時間有時長達數月。據NPR報導，總體而言，美國去年遭受了65,000次攻擊，每小時超過7次。

 

根據Google透明度報告，雖然惡意軟體網站的數量有所下降，但傳播惡意軟體的網路釣魚網站卻激增，2020年平均每週檢測到46,000個。與此同時，ISACA表示，61%的安全專業人員表示他們的團隊人手不足，削弱了防禦能力。

 

防病毒軟體當然可以提供幫助。簽名分析、啟發式分析和其他技術可以阻止大部分連擊。但是組織在防病毒上花費了數百萬美元，而且仍然有太多的惡意軟體導彈越過城牆。顯然，防病毒是必要的，但還不夠。

 

答案不是將更多的錢投入到更多的惡意軟體檢測中。相反，解決方案是實現更好的惡意軟體預防。為此，機構需要將零信任網路安全擴充套件到消滅惡意軟體。

 

零信任背後的概念很簡單：從不信任，始終驗證。換句話說，永遠不要暗中信任任何使用者或裝置來訪問您的任何網路或資料。相反，每次實體請求訪問時，都以最小特權、僅需要的方式明確地對每個使用者或系統進行身份驗證和授權。

 

但機構通常對使用者、裝置或系統應用零信任。如何擴大零信任網路以涵蓋惡意軟體？透過對內容採取零信任的方法。

 

組織建立、傳送、接收和儲存大量內容。此類內容可以包括Microsoft Word、Excel和Power Point、Adobe Acrobat、JPG和PNG影像檔案、日曆檔案等常見檔案型別。

 

不幸的是，該內容還可以隱藏惡意軟體。隱寫術可以以逃避防病毒掃描的方式將惡意可執行檔案、指令碼和其他程式碼嵌入到常見的內容檔案中。該程式碼可以在檔案下載或檔案啟動時啟用。它也可以在幾個月內保持不活動狀態，直到“休眠”惡意軟體喚醒並開始在您的網路中橫向移動。

 

鑑於這一現實，零信任方法要求您不將任何內容視為安全內容，無論您的組織在內部建立內容、從經過身份驗證的來源接收內容、僅在授權團隊成員之間傳輸內容，還是透過防病毒軟體執行內容保護。在您主動使其可信之前，該內容是不可信的。

 

簡而言之，您正在用惡意軟體預防取代惡意軟體檢測。今天的網路安全風險已經改變。新的遠端和混合工作模式擴充套件了邊界，現在真正的邊界是訪問、傳輸和儲存資料的任何地方。

 

與此同時，傳入和傳出資料可能感染惡意軟體的威脅激增。防病毒檢測可以提供幫助，但它已不足以阻止勒索軟體和其他陰險攻擊。當今的機構需要內容保護來擴充套件其零信任模型資料——您最終需要保護的高價值商品。

 

新聞來源：

https://www.nextgov.com/ideas/2022/01/taking-control-ransomware-and-other-malware-zero-trust-strategy/361102/

 

新的NET'Donald Trump'Packer惡意軟體正在傳播遠端訪問木馬(RAT)

 

安全研究人員正在描述一種新穎的.NET惡意軟體打包程式，它會傳送遠端訪問木馬(RAT)以及帶有“DonaldTrump”密碼的資訊竊取程式。因此，自2020年以來一直在跟蹤攻擊方法的ProofPont團隊將惡意軟體稱為“DTPacker”。

 

據該公司稱，DTPacker已被多個攻擊組織使用，並被用於針對全球數千名使用者。最成功的嘗試之一是在虛假的利物浦足球俱樂部(LFC)網站中使用DTPacker進行為期數週的活動。

 

作為一張承載曼聯球迷的名片，LFC網站總是要避開的，但在這種情況下，每個人都應該避開假網站。威脅者使用假LFC網站可能會引誘使用者下載DTPacker，將Agent Tesla惡意軟體放置在他們的系統上。與DTPacker相關的其他惡意軟體型別包括AsyncRAT、Ave Maria和FormBook。

 

研究人員觀察到了多種解碼方法和兩個以唐納德·川普為主題的釣魚主題，因此得名"DTPacker"。

 

新聞來源：

https://winbuzzer.com/2022/01/24/new-net-donald-trump-packer-malware-is-spreading-remote-access-trojans-rats-xcxwbn/

 

Android惡意軟體BRATA在竊取資料後擦除痕跡

 

被稱為BRA他的Android惡意軟體在其最新版本中新增了新的危險功能，包括GPS跟蹤、使用多個通訊渠道的能力，以及在裝置上執行恢復出廠設定以清除所有惡意活動痕跡的功能。

 

BRATA早在2019年就被卡巴斯基首次發現，它是一款主要針對巴西使用者的Android RAT（遠端訪問工具）。

 

2021年12月，Cleafy的一份報告強調了該惡意軟體在歐洲出現，該惡意軟體在歐洲被發現以電子銀行使用者為目標，並在冒充銀行客戶支援代理的欺詐者的參與下竊取他們的憑據。

 

最新版本的BRATA惡意軟體現在針對英國、波蘭、義大利、西班牙、中國和拉丁美洲的電子銀行使用者。每個變體都專注於不同的銀行，具有專門的覆蓋集、語言，甚至不同的應用程式來針對特定的受眾。作者在所有版本中都使用了類似的混淆技術，例如將APK檔案包裝到加密的JAR或DEX包中。這種混淆成功繞過了防病毒檢測。

 

Cleafy研究人員在最新BRATA版本中發現的新功能包括鍵盤記錄功能，它補充了現有的螢幕捕獲功能。儘管它的確切用途對分析師來說仍然是個謎，但所有新變體也都具有GPS跟蹤功能。新惡意功能在“完成欺詐交易或檢測到在虛擬環境執行時，會擦除手機資料”。

 

新聞來源：

https://www.bleepingcomputer.com/news/security/android-malware-brata-wipes-your-device-after-stealing-data/

 

Emotet惡意軟體使用非常規IP地址格式來逃避檢測

 

與之前的Emotet相關攻擊一樣，感染鏈旨在誘騙使用者啟用文件宏並自動執行惡意軟體。該文件使用Excel4.0宏，該功能已被惡意行為者反覆濫用以傳遞惡意軟體。

 

啟用後，該宏將呼叫一個用插入符號混淆的URL，其中主機合併IP地址的十六進位制表示形式-"h^tt^p^：/^/0xc12a24f5/cc.html"-以從遠端主機執行HTML應用程式（HTA）程式碼。

 

網路釣魚攻擊的第二種變體遵循相同的操作方式，唯一的區別是IP地址現在以八進位制格式編碼：

"h^tt^p^：/^/0056.0151.0121.0114/c.html"。

 

"十六進位制和八進位制IP地址的非常規使用可能導致逃避當前依賴於模式匹配的解決方案。"Kenefick說。"像這樣的規避技術可以被認為是攻擊者繼續創新以阻止基於模式的檢測解決方案的證據。“

 

這一發展是在去年年底Emotet活動重新開始之際進行的，此前在協調的執法行動之後，經過長達10個月的中斷。2021年12月，研究人員發現了惡意軟體發展其策略的證據，即將Cobalt Strike後門投放到受感染的系統上。

 

新聞來源：

https://thehackernews.com/2022/01/emotet-now-using-unconventional-ip.html

 

用於推送遠端訪問特洛伊木馬的惡意PowerPoint檔案

 

自2021年12月以來，網路釣魚活動出現了一種日益增長的趨勢，即使用惡意PowerPoint文件分發各種型別的惡意軟體，包括遠端訪問和資訊竊取特洛伊木馬。

 

根據Netskope的威脅實驗室在釋出前與BleepingComputer分享的一份報告，參與者正在使用PowerPoint檔案以及託管惡意軟體有效負載的合法雲服務。

 

在跟蹤的活動中部署的家族是Warzone（又名AveMaria）和AgentTesla，這兩個強大的RAT和資訊竊取者針對許多應用程式。惡意PowerPoint網路釣魚附件包含透過PowerShell和MSH他的組合執行的混淆宏，這兩者都是內建的Windows工具。

 

然後對VBS指令碼進行去模糊處理，並新增新的Windows登錄檔項以實現永續性，從而導致兩個指令碼的執行。第一個從外部URL獲取AgentTesla，第二個禁用Windows Defender。此外，VBS會建立一個計劃任務，該任務每小時執行一個指令碼，該指令碼從BloggerURL獲取PowerShell加密貨幣竊取程式。

 

AgentTesla是一個.基於NET的RAT（遠端訪問木馬），可以竊取瀏覽器密碼，記錄擊鍵，竊取剪貼簿內容等。

第二個有效載荷是Warzone，也是一個RAT後門，但Netskope在報告中沒有提供有關它的許多細節。加密貨幣竊取者是此活動的第三個有效負載，它使用與加密貨幣錢包模式匹配的正規表示式檢查剪貼簿資料。如果找到，它將收件人的地址替換為參與者控制下的地址。該木馬支援支援比特幣，以太坊，XMR，DOGE等加密貨幣交易。

 

最可靠的保護措施是謹慎處理所有未經請求的通訊，並保持MicrosoftOffice套件上的宏處於禁用狀態。

 

新聞來源：

https://www.bleepingcomputer.com/news/security/malicious-powerpoint-files-used-to-push-remote-access-trojans/

 

安全漏洞威脅

F5修補了BIG-IP中的兩個漏洞

 

雲安全和應用交付解決方案提供商F5本週宣佈了針對影響其BIG-IP、BIG-IQ和NGINX產品的25個漏洞的補丁。

 

BIG-IP應用交付控制器(ADC)中總共解決了23個安全漏洞，其中包括13個高嚴重性問題，所有這些問題的CVSS評分均為7.5。

 

大多數高嚴重性錯誤可能導致流量管理微核心(TMM)終止。很少有其他因素會導致記憶體資源利用率增加、虛擬伺服器凍結或JavaScript程式碼執行。

 

在從11.x到16.x的多個BIG-IP版本中發現了安全缺陷。修復包含在版本14.x、15.x和16.x中。

 

F5還發布了針對BIG-IQ集中管理（CVE-2022-23009-CVSS得分為8.0）和NGINX控制器API管理（CVE-2022-23008-CVSS得分為8.7）中的兩個高嚴重性錯誤的補丁。

 

可以利用這些漏洞訪問由同一BIG-IQ系統管理的其他BIG-IP裝置，並分別注入JavaScript程式碼。

 

本週修補的所有九個中等嚴重性漏洞都會影響BIG-IP，但其中一個漏洞-即CVE-2022-23023，會導致記憶體資源利用率增加-也會影響BIG-IQ。

 

這些缺陷可能導致TMM終止、資源利用率增加、虛擬伺服器凍結、某些型別的TCP連線失敗或本地檔案洩漏。

 

此外，F5修復了一個導致DNS重新繫結攻擊的低嚴重性漏洞。

 

美國網路安全和基礎設施安全域性(CISA)鼓勵管理員檢視F5的建議並儘快安裝可用的軟體更新。“遠端攻擊者可以利用這些漏洞實現拒絕服務攻擊。”CISA指出。

 

新聞來源：

https://www.securityweek.com/f5-patches-two-dozen-vulnerabilities-big-ip