安全資訊報告

   高度嚴重的Rust程式設計錯誤可能導致檔案、目錄刪除

Rust程式語言的維護者釋出了一個針對高嚴重性漏洞的安全更新，該漏洞可能被惡意方濫用，以未經授權的方式從易受攻擊的系統中清除檔案和目錄。

Rust安全響應工作組(WG)在2021年1月20日釋出的公告中表示：“攻擊者可以利用此安全問題誘使特權程式刪除攻擊者無法訪問或刪除的檔案和目錄。”

Rust1.0.0到Rust1.58.0受此漏洞影響。該漏洞被追蹤為CVE-2022-21658（CVSS評分：7.3），歸功於安全研究員HansKratz，該團隊在上週釋出的Rust1.58.1版本中推出了修復程式。

具體來說，問題源於在名為“std::fs::remove_dir_all”的標準庫函式中執行不正確的檢查以防止遞迴刪除符號連結（又名symlinks）。這會導致競爭條件，反過來，攻擊者可以透過濫用他們對特權程式的訪問來刪除敏感目錄，從而可靠地利用這種條件。

新聞來源：

https://thehackernews.com/2022/01/high-severity-rust-programming-bug.html

加拿大外交部被黑，部分服務中斷

加拿大政府外交和領事關係部加拿大全球事務部上週遭到網路攻擊。雖然關鍵服務仍可訪問，但目前無法訪問某些線上服務，因為政府系統繼續從攻擊中恢復。

在一份宣告中，加拿大財政部秘書處(TBS)、加拿大共享服務部和通訊安全機構共同證實，上週某個時間發生了涉及加拿大全球事務部的網路事件。該攻擊於1月19日被發現，之後採取了緩解措施。

加拿大政府進一步表示，已經採取了緩解措施並且系統正在恢復，有一些網際網路和基於網際網路的服務的訪問不可用，沒有跡象表明任何其他政府部門受到了這次襲擊的影響，事件背後的威脅行為者尚未揭曉。

新聞來源：

https://www.bleepingcomputer.com/news/security/canadas-foreign-affairs-ministry-hacked-some-services-down/

TrickBot惡意軟體使用新技術逃避檢測

臭名昭著的TrickBot惡意軟體背後的網路犯罪運營商再次加大了賭注，透過新增多層防禦來繞過反惡意軟體產品來微調其技術。

TrickBot最初是一種銀行木馬，現已發展成為一種多用途的犯罪軟體即服務(CaaS)，被各種行為者用來提供額外的有效載荷，例如勒索軟體。迄今為止，已經確定了100多種TrickBot變體，其中之一是“Trickboot”模組，可以修改受感染裝置的UEFI韌體。

2020年秋季，微軟與少數美國政府機構和私人安全公司聯手應對TrickBot殭屍網路，在全球範圍內關閉了大部分基礎設施，以阻礙其運營。

但事實證明，TrickBot不受刪除嘗試的影響，運營商迅速調整他們的技術，透過網路釣魚和惡意垃圾郵件攻擊傳播多階段惡意軟體，更不用說透過與Shathak（又名TA551）等其他附屬公司合作來擴充套件他們的分銷渠道擴大規模。

最近，涉及Emotet的惡意軟體活動已將TrickBot作為“交付服務”觸發感染鏈，將Cobalt Strike後門投放到受感染的系統上。截至2021年12月，估計有149個國家/地區的140,000名受害者被TrickBot感染。

IBM Trusteer觀察到的新更新與用於竊取銀行憑證和瀏覽器cookie的實時Web注入有關。這透過在嘗試導航到銀行門戶時將受害者引導到釣魚網址來實現，這是所謂的瀏覽器中間人攻擊的一部分。

還使用了一種伺服器端注入機制，該機制攔截來自銀行伺服器的響應並將其重定向到攻擊者控制的伺服器，該伺服器反過來在網頁中插入額外的程式碼，然後再將其轉發回客戶端。

新聞來源：

https://thehackernews.com/2022/01/trickbot-malware-using-new-techniques.html

隨著物聯網攻擊的增加，專家擔心更嚴重的威脅

隨著針對物聯網裝置的攻擊不斷增加，威脅研究人員警告公司要確保他們瞭解自己的裝置並制定適當的流程來維護和保護它們。

在1月25日的一篇部落格文章中，威脅情報公司Intel471表示，2020年和2021年對物聯網裝置的攻擊激增，導致機密資訊被盜，並建立了用於發起分散式拒絕服務(DDoS)攻擊的大規模殭屍網路。該公司還看到主要的惡意軟體程式碼庫Mirai和Gafgyt被用來破壞連線裝置，其中Mirai的變體是在地下論壇上向目標公司出售非法訪問許可權的最流行方式。

英特爾471首席情報官Michael DeBolt表示，隨著攻擊者轉向更注重利潤的動機，這種威脅今年只會增加。

物聯網市場的兩個趨勢正在融合，從而產生一個重大的安全問題。大量裝置的製造商正在新增用於管理和更新的連線功能，並提供額外的服務，從而在大多陣列織中導致更大的攻擊面。然而，這些裝置的管理並沒有跟上步伐，使得其中許多裝置容易受到攻擊。

例如，根據Cynerio1月20日的一份報告，在醫療領域，醫療環境中53%的聯網醫療裝置和其他物聯網裝置存在嚴重漏洞。靜脈泵和病人監護儀是醫院中最常見的連線裝置，佔平均醫療環境中物聯網裝置的57%。

物聯網裝置中的漏洞遠遠超出家庭路由器和消費產品。由於許多這些連線的裝置都基於相同的作業系統（例如Linux或Wind River System的VxWorks），因此各種醫療裝置、製造控制器和監控系統（僅舉幾例）也經常被發現存在漏洞。對物聯網控制器或監控裝置的攻擊很容易導致公用事業、醫院或智慧建築和城市基礎設施內的運營停止，從而使任何贖金需求變得更加重要。

新聞來源：

https://www.darkreading.com/iot/as-iot-attacks-increase-experts-fear-more-serious-threats

駭客使用新的惡意軟體打包程式DTPacker來避免檢測

一個名為DTPacker的以前未記錄的惡意軟體打包程式分發多個遠端訪問特洛伊木馬（RAT）和資訊竊取程式，如Agent Tesla，Ave Maria，AsyncRAT和FormBook，以掠奪資訊並促進後續攻擊,該惡意軟體使用多種混淆技術來逃避防病毒，沙盒和分析。

涉及打包程式的攻擊鏈依賴於網路釣魚電子郵件作為初始感染媒介。這些郵件包含惡意文件或壓縮的可執行附件，開啟後，會部署打包程式以啟動惡意軟體。

打包程式與下載器的不同之處在於，它們攜帶了混淆的有效載荷，以一種充當"保護二進位制檔案的盔甲"的方式向安全解決方案隱藏其真實行為，並使逆向工程更加困難。

DTPacker的不同之處在於它的功能是兩者兼而有之。它的名字來源於這樣一個事實，即它使用了兩個唐納德·川普主題的固定鍵-"trump2020"和"Trump2026"-來解碼最終提取和執行最終有效負載的嵌入式或下載資源。

新聞來源：

https://thehackernews.com/2022/01/hackers-using-new-malware-packer.html

安全漏洞威脅

在polkit的pkexec中發現本地提權漏洞（CVE-2021-4034）

研究人員今天警告說，Polkit的pkexec元件中的一個漏洞被識別為CVE-2021-4034（PwnKit），漏洞存在於所有主要Linux發行版的預設配置中，可以被利用來獲得系統root許可權。

CVE-2021-4034被命名為PwnKit，其起源已被追蹤到12年前pkexec的初始提交，這意味著所有Polkit版本都受到影響。作為Polkit開源應用程式框架的一部分，該框架協商特權和非特權程式之間的互動，pkexec允許授權使用者以另一個使用者的身份執行命令，作為sudo的替代方案。

研究人員發現，pkexec程式可以被本地攻擊者用來增加Ubuntu，Debian，Fedora和CentOS預設安裝的許可權。PwnKit也可能在其他Linux作業系統上被利用。PwnKit是"Polkit中的記憶體損壞漏洞，它允許任何非特權使用者使用預設polkit配置在易受攻擊的系統上獲得系統root許可權。”

在Qualys釋出PwnKit的技術細節後不到三個小時，網際網路已出現一個漏洞利用POC。經驗證，該POC可以利用獲取系統root許可權。研究人員在ARM64系統上進一步測試了它，表明它也適用於該架構。

Ubuntu已經推送了PolicyKit的更新，以解決版本14.04和16.04ESM（擴充套件安全維護）以及更新版本18.04、20.04和21.04中的漏洞。使用者只需執行標準系統更新，然後重新啟動計算機即可使更改生效。

Redhat還為工作站和企業產品上的polkit提供了安全更新，用於支援的架構，以及擴充套件生命週期支援、TUS和AUS。

對於尚未推送修補程式的作業系統，臨時緩解措施是使用以下命令剝離pkexec的讀/寫許可權：

chmod0755/usr/bin/pkexec

新聞來源：

https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/

駭客利用MSHTML漏洞監視政府和國防目標

網路安全研究人員週二結束了一場多階段的間諜活動，目標是監督國家安全政策的高階政府官員和西亞國防工業的個人。

該攻擊是獨一無二的，因為它利用Microsoft OneDrive作為命令和控制（C2）伺服器，並分為多達六個階段，以儘可能隱藏，Trellix-一家在安全公司McAfee Enterprise和FireEye合併後建立的新公司-在與駭客新聞分享的一份報告中說。

"這種型別的通訊使惡意軟體在受害者的系統中不被注意，因為它只會連線到合法的Microsoft域，而不會顯示任何可疑的網路流量，"Trellix解釋說。

據說，與秘密行動相關的初步活動跡象早在2021年6月18日就開始了，9月21日和29日報告了兩名受害者，隨後在10月6日至8日的短短三天內又報告了17名受害者。

Trellix將這些攻擊適度地歸因於總部位於俄羅斯的APT28組織，該組織是2020年SolarWinds妥協背後的威脅行為者，基於原始碼以及攻擊指標和地緣政治目標的相似性。

感染鏈始於執行包含MSHTML遠端執行程式碼漏洞（CVE-2021-40444）的Microsoft Excel檔案，該檔案用於執行惡意二進位制檔案，該檔案充當稱為Graphite的第三階段惡意軟體的下載程式。

DLL可執行檔案使用OneDrive作為C2伺服器，透過Microsoft Graph API檢索其他stager惡意軟體，最終下載並執行Empire，這是一個基於PowerShell的開源後開發框架，被威脅行為者廣泛濫用用於後續活動。

如果有的話，這一發展標誌著對MSTHML渲染引擎缺陷的持續利用，微軟和SafeBreach Labs披露了多個活動，這些活動已經將漏洞武器化，以植入惡意軟體並分發自定義Cobalt Strike Beacon載入器。

新聞來源：

https://thehackernews.com/2022/01/hackers-exploited-mshtml-flaw-to-spy-on.html