安全資訊報告

網路安全公司Mandiant股價大漲，有報導稱微軟有意收購

MandiantInc.(MNDT)在完全剝離FireEye裝置業務後進入新的一年，這家網路安全軟體和服務公司週二公佈的業績超過了華爾街的預期。

Mandiant的股價在財報釋出後的盤後交易中上漲了3%，此前在常規交易中收盤時上漲了近18%，此前有報導稱微軟(Microsoft Corp.,MSFT)正在洽談收購Mandiant。

去年10月8日，FireEye剝離其傳統產品業務，集中於基於雲的服務和情報諮詢業務，並更名Mandiant。自從那次拆分後，Mandiant能夠更好地專注於它認為自己擅長的領域。

新聞來源：

https://cn.wsj.com/articles/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%85%AC%E5%8F%B8mandiant%E8%82%A1%E4%BB%B7%E5%A4%A7%E6%B6%A8-%E6%9C%89%E6%8A%A5%E9%81%93%E7%A7%B0%E5%BE%AE%E8%BD%AF%E6%9C%89%E6%84%8F%E6%94%B6%E8%B4%AD-11644375338

惡意軟體在感染PC後僅30分鐘就開始閱讀您的電子郵件

根據網路安全機構DFIR對10月份發現的樣本的分析，Qbot惡意軟體於2007年出現，使其在以服務為主導的新勒索軟體世界中幾乎成為古董，但該惡意軟體仍然靈活高效。

該惡意軟體的運營商依賴可點選的網路釣魚訊息，包括納稅提醒、工作機會和COVID-19警報。它可以從Chrome、Edge、電子郵件和網上銀行密碼中竊取資料。

DFIR研究人員研究了一個案例，其中初始訪問許可權未知，但很可能是透過受汙染的Microsoft Excel文件傳遞的，該文件配置為從網頁下載惡意軟體，然後使用Windows計劃任務來獲得對系統的更高階別的訪問許可權。

在初次訪問30分鐘後，觀察到Qbot從中毒電腦收集資料，包括瀏覽器資料和來自Outlook的電子郵件。在感染大約50分鐘後，中毒系統將Qbot dll複製到相鄰的工作站，然後由遠端執行建立服務。幾分鐘後，這臺電腦對另一個相鄰的工作站做了同樣的事情，然後繼續下一個……

Qbot的運營商已經擴充套件到勒索軟體。安全公司卡巴斯基報告稱，與去年相比，截至2021年7月的六個月內，Qbot惡意軟體感染的PC數量增加了65%。微軟因其模組化設計使其難以檢測到，因此重點關注該惡意軟體。

該惡意軟體隱藏惡意程式並建立計劃任務以保留在機器上。一旦在受感染的裝置上執行，它就會使用多種技術進行橫向移動。FBI警告說，Qbot木馬被用來分發ProLock，這是一種“人為操作的勒索軟體”。

新聞來源：

https://www.zdnet.com/article/this-malware-is-reading-your-email-30-minutes-after-the-first-infection/

伊朗駭客事件震驚了全球網路安全社群

在2021年的最後幾天，總部位於德黑蘭的網路安全公司Amnpardaz Software Co.詳細介紹了一個驚人的發現：一臺惠普伺服器中存在一段神秘的惡意程式碼。

當Amnpardaz於12月宣佈發現該惡意軟體時，它引起了安全專業人士的注意。Amnpardaz表示，其技術人員於2020年首次發現該可疑軟體，當時一位客戶提供了一臺似乎出現故障的HPE伺服器。這臺機器一直在正常執行，但似乎是出於自己的意願，它開始反覆刪除其硬碟驅動器。

Amnpardaz調查並發現有人在HPE伺服器的Integrated Lights Out韌體中嵌入了一個精心設計的惡意軟體，使IT經理能夠遠端訪問機器——即使它們已關閉電源。

惡意軟體禁用了伺服器上的關鍵安全控制。該公司表示，它發現了駭客使用該惡意軟體遠端訪問伺服器至少六個月的證據，然後觸發了自毀迴圈以清除攻擊的證據。

惡意軟體使用了伺服器2017年修復的iLO韌體中的一個漏洞。“我們無法瞭解這臺伺服器是如何進入伊朗的。HPE不會直接或間接向伊朗或打算向伊朗傳送產品的任何客戶銷售產品。”由於美國政府的制裁，美國公司幾乎完全禁止向伊朗銷售產品，但這些技術通常可以透過龐大的獨立經銷商和第三方網路非法獲取。

在研究Amnpardaz的調查結果後，位於俄勒岡州的韌體安全公司Eclypsium Inc.表示，該惡意軟體“已被證明是隱秘的、持久的和破壞性的”，對被破壞的機器進行“幾乎無所不能的控制”能力。

新聞來源：

https://www.bloomberg.com/news/newsletters/2022-02-09/iran-malware-in-hpe-server-stuns-cybersecurity-experts

偽造的Windows 11升級安裝程式會感染RedLine惡意軟體

威脅參與者已開始向Windows 10使用者分發虛假的Windows 11升級安裝程式，誘使他們下載和使用RedLine竊取惡意軟體。

攻擊的時機恰逢微軟宣佈Windows 11階段。RedLine竊取程式是目前部署最廣泛的密碼、瀏覽器cookie、信用卡和加密貨幣錢包資訊抓取程式，因此其感染會竊取受害者關鍵隱私資訊。

研究人員稱，攻擊者使用看似合法的“windows-upgraded.com”域來進行其活動的惡意軟體分發部分。

該站點看起來像一個真正的Microsoft站點，如果訪問者單擊“立即下載”按鈕，他們會收到一個1.5MB的ZIP存檔，名為“Windows11InstallationAssistant.zip”。

解壓後會生成一個大小為753MB的資料夾，當受害者啟動資料夾中的可執行檔案時，一個帶有編碼引數的PowerShell程式就會啟動。最終下載惡意DLL檔案，該DLL檔案是一個RedLine竊密木馬的有效負載，它透過TCP連線到C2伺服器，以執行遠端惡意指令。

新聞來源：

https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/

Lazarus駭客以虛假的洛克希德馬丁工作機會瞄準國防工業

高階持續威脅(APT)組織在最近的行動中冒充洛克希德馬丁公司。這家總部位於馬里蘭州貝塞斯達的公司涉足航空、軍事技術、任務系統和太空探索。洛克希德馬丁公司在2020年創造了654億美元的銷售額，在全球擁有約114,000名員工。

2月8日，威脅研究的Qualys高階工程師AkshatPradhan透露了一項新的活動，該活動使用洛克希德馬丁公司的名義攻擊求職者。與過去濫用Northrop Grumman和BAE Systems聲譽的活動類似，Lazarus正在向目標傳送網路釣魚檔案，假裝提供就業機會。

在相關研究中，Outpost24的Blueliv網路安全團隊將Lazarus、Cobalt和FIN7列為當今針對金融行業的最普遍的威脅群體。

新聞來源：

https://www.zdnet.com/article/lazarus-hackers-target-defense-industry-with-fake-lockheed-martin-job-offers/

美國逮捕了兩人並沒收了在2016年Bitfinex駭客攻擊中被盜的36億美元加密貨幣

美國司法部(DoJ)週二宣佈逮捕一對已婚夫婦，他們共謀洗錢價值45億美元的加密貨幣，該加密貨幣在2016年虛擬貨幣交易所Bitfinex遭到駭客攻擊期間被盜用。

34歲的伊利亞·利希滕斯坦(Ilya Lichtenstein)和他的妻子、31歲的希瑟·摩根(Heather Morgan)被指控“透過迷宮般的加密貨幣交易竊取資金”，執法部門透過追蹤這筆錢獲得了超過36億美元的加密貨幣蹤跡，導致“有史以來最大的金融扣押”。

洗錢計劃涉及透過啟動2,000多筆未經授權的交易，將119,754比特幣(BTC)的收益從Bitfinex轉移到Lichtenstein控制下的數字錢包中。在過去五年中，大約25,000個被盜比特幣隨後被轉移並存入這對夫婦持有的金融賬戶。

為了實現這一目標，被告使用了許多複雜的洗錢方法，包括——

• 使用虛假身份設定線上帳戶，

• 使用軟體自動化交易，

• 將被盜資金存入各種虛擬貨幣交易所和暗網市場的賬戶，以混淆交易線索，

• 將比特幣轉換為其他私人數字貨幣，如門羅幣，一種稱為鏈跳的做法，以及

• 濫用美國企業賬戶使其銀行活動合法化

  
  

根據法院授權對兩人控制的線上賬戶的搜查令，執法人員最終獲得了對儲存在Lichtenstein的雲端儲存賬戶中的檔案的訪問許可權，該檔案包含訪問用於接收資金的數字錢包所需的私鑰，從而使當局收回剩餘的94,000多枚比特幣。

Lichtenstein和Morgan都被控串謀洗錢，最高可判處20年監禁，以及串謀詐騙美國，最高可判處5年監禁。

新聞來源：

https://thehackernews.com/2022/02/us-arrests-two-and-seizes-36-million-in.html

FBI警告犯罪分子升級SIM卡交換攻擊以竊取數百萬美元

聯邦調查局(FBI)表示，犯罪分子已升級SIM卡交換攻擊，透過劫持受害者的電話號碼竊取數百萬美元。

騙子透過使用社會工程或在一名或多名受賄員工的幫助下誘使電話服務提供商將目標的電話號碼交換為攻擊者控制的SIM卡來做到這一點。移植SIM卡後，犯罪分子將收到受害者的電話和訊息，從而非常容易繞過基於SMS的MFA、竊取憑據並控制受害者的線上服務帳戶。

FBI的警告是在美國聯邦通訊委員會(FCC)於10月宣佈開始制定規則以阻止SIM交換攻擊之後發出的。FCC的舉措是消費者收到大量投訴的結果，這些投訴涉及SIM卡交換攻擊和移植欺詐導致的重大痛苦和財務損失。

從2018年1月到2020年12月，FBI網際網路犯罪投訴中心(IC3)收到了320起與SIM交換事件相關的投訴，調整後損失約為1200萬美元。2021年，IC3收到了1,611起SIM交換投訴，調整後損失超過6800萬美元。

新聞來源：

https://www.bleepingcomputer.com/news/security/fbi-warns-of-criminals-escalating-sim-swap-attacks-to-steal-millions/

伊朗駭客在“出海”間諜活動中使用新的Marlin後門

一個與伊朗有聯絡的高階持續性威脅(APT)組織更新了其惡意軟體工具集，以包括一個名為Marlin的新後門，作為2018年4月開始的長期間諜活動的一部分。

斯洛伐克網路安全公司ESET將這些代號為“OuttoSea”的攻擊歸因於名為OilRig（又名APT34）的威脅行為者，同時還最終將其活動與以Lyceum（Hexaneaka Siamese Kitten）為名追蹤的第二個伊朗組織聯絡起來。

“該活動的受害者包括以色列、突尼西亞和阿拉伯聯合大公國的外交組織、科技公司和醫療組織。”ESET在其與駭客新聞共享的T32021威脅報告中指出。

該駭客組織至少從2014年開始活躍，眾所周知，它襲擊了中東政府和各種垂直行業，包括化學、能源、金融和電信。2021年4月，以名為SideTwist的植入物針對黎巴嫩，而此前歸因於Lyceum的活動已針對以色列、摩洛哥、突尼西亞和沙烏地阿拉伯的IT公司進行了攻擊。

還值得注意的是，自2018年該活動曝光以來，它們已經演變為放棄多個後門——從DanBot開始，到2021年過渡到Shark和Milan——利用新的資料收集在2021年8月檢測到攻擊名為Marlin的惡意軟體。

新聞來源：

https://thehackernews.com/2022/02/iranian-hackers-using-new-marlin.html

安全漏洞威脅

頂級伺服器發現重大安全漏洞

安全公司Binarly發現了20多個隱藏在BIOS/UEFI軟體中的漏洞，這些漏洞來自各種系統供應商，包括英特爾、微軟、聯想、戴爾、富士通、惠普、HPE、西門子和Bull Atos。

Binarly發現這些問題與InsydeH20的使用有關，InsydeH20是一種用於構建主機板統一可擴充套件韌體介面(UEFI)的框架程式碼，它是計算機作業系統和韌體之間的介面。

上述所有供應商都使用Insyde的韌體SDK進行主機板開發。預計其他內部和第三方BIOS供應商產品中也存在類似型別的漏洞。

這些漏洞特別危險，因為基於UEFI/BIOS的攻擊可以繞過基於韌體的安全機制。這些漏洞包括SMM分配或許可權提升、SMM記憶體損壞和DXE記憶體損壞。

這些漏洞造成的潛在損害非常嚴重，攻擊者可以利用它們繞過基於硬體的安全功能，例如安全啟動、基於虛擬化的安全(VBS)和可信平臺模組(TPM)。這些漏洞存在於UEFI中，允許惡意軟體安裝在系統上，即使硬碟格式化作業系統重灌後仍然存在。

新聞來源：

https://www.networkworld.com/article/3649365/major-security-vulnerability-found-in-top-servers.html

SAP為ICMAD漏洞、log4j問題等釋出補丁

網路安全公司Onapsis發現SAP三個CVSS為10、8.1和7.5的漏洞後，SAP已對其進行了修補。

這些補丁是該公司釋出的關於一系列安全問題的19個安全說明的一部分。其中三個漏洞與log4j相關，CVSS為10。

Onapsis發現的漏洞——被稱為“ICMAD”——允許攻擊者對SAP使用者、業務資訊和流程執行嚴重的惡意活動，最終危及未修補的SAP應用程式。這些問題圍繞著SAP的Internet通訊管理器(ICM)，這是他們許多應用程式的核心元件。

ICM是在SAP系統中啟用HTTP(S)通訊的SAP元件。兩家公司解釋說，由於ICM在設計上暴露於網際網路和不受信任的網路，因此該元件中的漏洞具有更高的風險水平。

Onapsis的技術長JPPerez-Etchegoyen告訴ZDNet，透過一個請求，攻擊者就能夠以純文字形式竊取每個受害者會話和憑據，並修改應用程式的行為。

Perez-Etchegoyen說：“對於攻擊者來說，濫用這些漏洞可能很簡單，因為它不需要先前的身份驗證，沒有必要的先決條件，並且有效載荷可以透過HTTP(S)傳送。”

Onapsis執行長兼聯合創始人Mariano Nunez認為：“這些漏洞可以透過網際網路被利用，而無需攻擊者在目標系統中進行身份驗證，這使得它們非常關鍵。”

新聞來源：

https://www.zdnet.com/article/sap-releases-patches-for-icmad-vulnerabilities/