安全資訊報告

臭名昭著的迷宮（Maze）勒索軟體停止運營併發布瞭解密金鑰

在過去的三年中，Maze的工作人員使用其勒索軟體誘捕了數十名受害者。現在，突然間，Maze似乎已經放棄了。他們已經發布了主解密金鑰並銷燬了惡意軟體的大部分程式碼。

迷宮公告當然有可能對該組織的受害者有所幫助。訪問主金鑰允許安全研究人員開發解密器，受害者可以使用這些解密器免費恢復他們的檔案。

除了Maze，還發布了Sekhmet和Egregor勒索軟體的金鑰。Egregor由該集團於2020年9月推出，即Maze業務關閉前一個月。Sekhmet於2020年春天首次出現。

研究人員指出，對於那些希望取回檔案的人來說，包含金鑰更像是公告中一個有趣的部分，而不是一個突破。誰會把被勒索軟體破壞的檔案長期儲存，並期待攻擊者公開金鑰後修復呢？

新聞來源：

https://www.forbes.com/sites/leemathews/2022/02/12/notorious-maze-ransomware-gang-closes-up-shop-and-releases-decryption-keys/

網路犯罪分子瞄準可穿戴裝置

近年來，運動手錶和計步器等可穿戴裝置越來越受歡迎。安全專家在用於遠端患者監護的可穿戴裝置的最廣泛使用的資料傳輸協議中發現了30多個漏洞。在33個漏洞中，有18個在2021年很嚴重。漏洞的數量正在增長，因為這比上一年增加了10個。其中許多漏洞仍未修補。

其中一些漏洞允許網路犯罪分子攔截從裝置線上傳送的資料。醫療保健數字化持續的大流行導致醫療保健部門的快速數字化。隨著醫院和醫護人員超負荷工作以及許多人在家隔離，組織被迫重新考慮提供患者護理的方式。

自2014年以來，已在MQTT協議中發現了90個漏洞，包括嚴重漏洞，其中許多漏洞至今仍未修補。所有這些漏洞都使患者面臨資料被盜的風險。此外，可穿戴裝置會跟蹤您的健康資料以及您的位置和活動。這不僅開啟了資料竊取的可能性，而且還有潛在的跟蹤。

新聞來源：

https://executive-people.nl/691656/cybercriminelen-richten-pijlen-op-wearables.html

駭客在印度活動家和律師的裝置上植入虛假數字證據

一個以前不為人知的駭客組織與針對印度各地的活動家、學者和律師的針對性攻擊有關，試圖植入“有罪的數字證據”。

網路安全公司SentinelOne將入侵歸咎於它追蹤的一個名為“ModifiedElephant”的組織，這是一個難以捉摸的威脅行為者，至少從2012年開始運作，其活動與印度國家利益密切相關。

研究人員說：“ModifiedElephant透過使用商業上可用的遠端訪問木馬(RAT)進行操作，並且與商業監控行業有潛在的聯絡。威脅行為者使用帶有惡意文件的魚叉式網路釣魚來傳遞惡意軟體，例如NetWire、DarkComet和簡單的鍵盤記錄程式。”

ModifiedElephant的主要目標是促進對目標個人的長期監視，最終為受害者的受損系統提供“證據”，目的是陷害和監禁易受攻擊的對手。

研究人員說：“網路釣魚電子郵件採用多種方法來獲得合法性的外觀。包括具有轉發歷史的虛假正文內容，其中包含長長的收件人列表，帶有許多看似虛假帳戶的原始電子郵件收件人列表，或者只是使用新電子郵件或誘餌檔案多次重新傳送他們的惡意軟體。”

同樣使用網路釣魚電子郵件分發的還有一種針對Android的身份不明的商品木馬，攻擊者可以利用該木馬攔截和管理SMS和呼叫資料、擦除或解鎖裝置、執行網路請求以及遠端管理受感染的裝置。SentinelOne將其描述為“理想的低成本移動監控工具包”。

新聞來源：

https://thehackernews.com/2022/02/hackers-planted-fake-digital-evidence.html

微軟正在加大從記憶體中竊取Windows密碼的難度

預設情況下，Microsoft啟用了Microsoft Defender“減少攻擊面”安全規則，以阻止駭客嘗試從LSASS程式中竊取Windows憑據。

當威脅參與者破壞網路時，他們會嘗試透過竊取憑據或利用漏洞來橫向傳播到其他裝置。竊取Windows憑據的最常見方法之一是在受感染裝置上獲得管理員許可權，然後轉儲在Windows中執行的本地安全授權伺服器服務(LSASS)程式的記憶體。

此記憶體轉儲包含已登入計算機的使用者的Windows憑據的NTLM雜湊值，可以暴力破解明文密碼或用於Pass-the-Hash攻擊以登入其他裝置。

為了防止威脅參與者濫用LSASS記憶體轉儲，Microsoft引入了阻止訪問LSASS程式的安全功能。其中一項安全功能是Credential Guard，它將LSASS程式隔離在一個虛擬化容器中，以防止其他程式訪問它。

作為一種在不引起Credential Guard引入的衝突的情況下緩解Windows憑據盜竊的方法，Microsoft很快將預設啟用Microsoft Defender攻擊面減少(ASR)規則。規則“阻止從Windows本地安全機構子系統竊取憑據”可防止程式開啟LSASS程式並轉儲其記憶體，即使它具有管理許可權。

新聞來源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-is-making-it-harder-to-steal-windows-passwords-from-memory/

安全漏洞威脅

微軟修復讓駭客繞過防病毒掃描的Defender漏洞

Microsoft最近解決了Windows Defender防病毒軟體中的一個漏洞，該漏洞允許攻擊者在不觸發Defender的惡意軟體檢測引擎的情況下植入和執行惡意負載。

這個安全漏洞影響了最新的Windows 10版本，威脅攻擊者至少從2014年就可以濫用它。

該漏洞是由登錄檔項的安全設定鬆懈造成的。此項包含從Microsoft Defender掃描中排除的位置（檔案、資料夾、副檔名或程式）列表。

可以利用該弱點，因為“所有人”組可以訪問登錄檔項。這使得本地使用者（無論他們的許可權如何）可以透過命令列透過查詢Windows登錄檔來訪問它。

在找出哪些資料夾已新增到防病毒排除列表後，攻擊者可以從受感染的Windows系統上的排除資料夾中傳遞和執行惡意軟體，而不必擔心其惡意負載會被攔截。

透過利用這一弱點，可以從排除的資料夾中執行Conti勒索軟體樣本，並加密Windows系統，而不會出現Microsoft Defender的任何警告或檢測跡象。

SentinelOne威脅研究員Antonio Cocomazzi證實，在安裝2022年2月補丁星期二Windows更新後，該漏洞將無法再用於Windows1020H2系統。一些使用者在安裝2022年2月補丁星期二Windows累積更新後看到了新的許可權更改。Windows高階安全設定的Defender排除許可權確實已經更新，“所有人”組已從登錄檔項的許可權中刪除。

新聞來源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-defender-flaw-letting-hackers-bypass-antivirus-scans/

CISA必修漏洞清單新增15個漏洞

網路安全和基礎設施安全域性(CISA)已將15個新漏洞新增到其已知已利用漏洞目錄中，基於有證據表明威脅參與者正在積極利用下表中列出的漏洞。

CISA表示，這些型別的漏洞是各種惡意網路參與者的常見攻擊媒介，並對聯邦企業構成重大風險。

超過一半的漏洞被歸類為遠端程式碼執行(RCE)漏洞，這是最危險的漏洞型別之一，因為它使攻擊者能夠在被駭客攻擊的站點上執行幾乎任何程式碼。

新聞來源：

https://www.securitymagazine.com/articles/97071-cisa-adds-15-new-vulnerabilities-to-exploit-catalog

53%的醫院物聯網裝置存在安全漏洞

根據Cynerio的2022年醫療保健物聯網裝置安全狀況報告，醫院環境中超過一半的物聯網(IoT)裝置被發現存在嚴重的網路安全漏洞。

醫療保健環境中的安全漏洞不僅會給醫院資料帶來風險，還會給患者和依賴物聯網裝置的人帶來風險。根據安全報告，三分之一的床邊物聯網醫療裝置存在嚴重的網路風險。此外，79%的醫院物聯網裝置至少每月使用一次，這縮短了修補漏洞的可用時間。

該報告概述了醫院物聯網裝置面臨的主要網路漏洞，以及面臨最高階別安全風險的裝置，這些裝置由基於NIST網路安全框架的框架衡量。高風險級別的前五名裝置包括：

• 靜脈輸液泵

• Internet協議語音(VoIP)電話

• 超聲波

• 配藥器

• 網路攝像機

新聞來源：

https://www.securitymagazine.com/articles/97065-53-of-hospital-iot-devices-have-security-vulnerabilities

CISA表示攻擊中利用了“HiveNightmare”Windows漏洞

美國網路安全和基礎設施安全域性(CISA)在其已知被利用漏洞列表中新增了16個新的CVE，其中包括聯邦機構需要在兩週內修補的Windows漏洞。

CISA週四在其“已知已利用漏洞目錄”中新增的15個漏洞中的大多數都是舊漏洞——它們在2014年、2015年、2016年、2017年、2018年和2020年被披露。它們影響Windows、Jenkins、Apache Struts和ActiveMQ、Oracle的WebLogic、Microsoft Office、D-Link路由器和Apple的OSX作業系統。

第16個漏洞是蘋果本週在iOS和macOS中修補的WebKit零日漏洞，週五被新增到列表中。

週四新增的最新漏洞是CVE-2021-36934，這是Microsoft於2021年8月修補的Windows本地許可權提升漏洞。這家科技巨頭最初於2021年7月釋出瞭解決方法和緩解措施，當時該問題被披露。

該漏洞名為HiveNightmare和SeriousSam，可以讓低許可權的本地使用者獲得SYSTEM許可權。網路安全專家在披露時警告說，由於該漏洞很容易被利用，因此可能構成嚴重風險。甚至在微軟釋出補丁之前，該漏洞的技術細節和概念驗證(PoC)漏洞利用就已公開。

最近似乎沒有任何關於積極利用CVE-2021–36934的公開報告。然而，CISA最近向SecurityWeek證實，它知道目錄中包含的每個缺陷都會受到現實世界的攻擊，即使在某些情況下似乎沒有任何關於惡意利用的公開報告。該機構表示，它沒有公開提供有關剝削的細節。

新聞來源：

https://www.securityweek.com/cisa-says-hivenightmare-windows-vulnerability-exploited-attacks