安全資訊報告

全球檢測到超過270萬例Emotet惡意軟體案例

據一家美國資訊保安公司稱，自去年年底以來，全球已發現超過270萬起涉及Emotet惡意軟體的案件，該惡意軟體被認為是世界上最危險的惡意軟體，儘管其伺服器早些時候在國際執法行動中被拆除。

Emotet透過電子郵件附件傳送後感染計算機，近幾個月來迅速傳播，11月確診病例90,000例，1月確診病例107萬例。Proofpoint Inc.表示，2月初發現了超過125萬例病例。

在日本，包括家居用品製造商Lion Corp.和住宅建築商Sekisui House Ltd.在內的20多家公司和組織據信受到了該惡意軟體的攻擊。專家警告說，該惡意軟體於2014年首次出現，可以竊取敏感資訊。它通常透過偽裝成客戶和朋友回覆訊息的電子郵件傳遞。

新聞來源：

https://english.kyodonews.net/news/2022/02/1b60294a9bb3-over-27-million-cases-of-emotet-malware-detected-globally.html

網路犯罪集團多年來一直以航空和運輸部門為目標

安全公司Proofpoint在一份報告中表示，至少自2017年以來，一個鮮為人知的網路犯罪集團一直在無情地針對多個行業的公司，包括航空、國防和交通運輸。

使用代號TA2541進行跟蹤，該組織一直是近年來最持久的威脅之一，即使他們的攻擊在很大程度上並不複雜，並且依賴於在目標網路上感染和部署商品惡意軟體。

Proofpoint表示TA2541攻擊通常遵循相同的模式，即依靠大量魚叉式網路釣魚電子郵件來接近目標。這些電子郵件幾乎總是用英語寫成，誘使受害者下載通常託管在雲端儲存提供商上的檔案，因為他們知道到這些服務的連結幾乎從未在大公司內部被阻止。

下載並執行後，這些檔案通常會安裝一種稱為遠端訪問木馬(RAT)的惡意軟體，該惡意軟體允許TA2541操作員訪問受感染的計算機。

它的垃圾郵件活動從每個活動的數百到數千條訊息不等。研究人員說：“似乎在接受者中分佈廣泛，這表明TA2541並不針對具有特定角色和功能的人。”Proofpoint表示，它也無法確定這些攻擊的確切目的和目標是什麼，目前還不清楚該組織是否從事任何形式的間諜活動、盜竊或貨幣化活動。

新聞來源：

https://therecord.media/cybercrime-group-relentlessly-targets-aviation-and-transportation-sectors-for-years/

網路攻擊摧毀了烏克蘭軍隊和主要銀行的站點

烏克蘭當局表示，由於R國可能入侵的威脅導致緊張局勢持續，週二發生的一系列網路攻擊使烏克蘭軍隊、國防部和主要銀行的網站下線。

儘管如此，沒有跡象表明相對較低階別的分散式拒絕服務攻擊可能成為更嚴重和更具破壞性的網路惡作劇的煙幕。

至少有10個烏克蘭網站因攻擊而無法訪問，其中包括國防部、外交部和文化部以及烏克蘭最大的兩家國有銀行。在此類攻擊中，網站被大量垃圾資料包淹沒，使它們無法訪問。

烏克蘭網路防禦高階官員維克多·佐拉（Victor Zhora）表示：“我們沒有任何（可能）被這次DDoS攻擊隱藏的破壞性行為的任何資訊。”他說，應急小組正在努力切斷襲擊者並恢復服務。

烏克蘭最大的國有銀行Privatbank和國有Sberbank的客戶報告了線上支付和銀行應用程式的問題。網路管理公司Kentik Inc.的網際網路分析主管Doug Madory表示，攻擊者的目標之一是烏克蘭軍隊和Privatbank的託管服務提供商。

新聞來源：

https://www.securityweek.com/cyberattacks-knock-out-sites-ukrainian-army-major-banks

MyloBot惡意軟體變種傳送勒索電子郵件，索要2,732美元的比特幣

已觀察到新版本的MyloBot惡意軟體部署了惡意負載，這些負載被用於傳送勒索電子郵件，要求受害者支付2,732美元的數字貨幣。

MyloBot還利用了一種稱為程式空心的技術，其中攻擊程式碼被注入到暫停和空心的程式中，以規避基於程式的防禦。這是透過取消對映分配給活動程式的記憶體並將其替換為要執行的任意程式碼來實現的。

“第二階段可執行檔案在C:\ProgramData下建立一個新資料夾。”Minerva實驗室研究員Natalie Zargarov在一份報告中說。“它在系統目錄下查詢svchost.exe並在掛起狀態下執行它。使用APC注入技術，它將自身注入到生成的svchost.exe程式中。”

該惡意軟體旨在濫用端點傳送勒索訊息，暗示收件人的線上行為，例如訪問色情網站，並威脅要洩露據稱是透過闖入其計算機網路攝像頭錄製的影片。

新聞來源：

https://thehackernews.com/2022/02/new-mylobot-malware-variant-sends.html

安全漏洞威脅

Microsoft Exchange Server漏洞被用於金融欺詐

Squirrelwaffle、ProxyLogon等針對Microsoft Exchange Server的組合被用於透過電子郵件劫持進行財務欺詐。

Sophos的研究人員披露了最近發生的一起事件，在該事件中，Microsoft Exchange Server的目標是劫持電子郵件執行緒並傳播惡意垃圾郵件，該事件尚未修補以保護其免受去年披露的一系列嚴重漏洞的侵害。

Sophos記錄的最近案例將Microsoft Exchange Server缺陷與Squirrelwaffle結合在一起，Squirrelwaffle是去年首次在惡意垃圾郵件活動中記錄的惡意軟體載入程式。載入程式通常透過惡意Microsoft Office文件或附加到網路釣魚電子郵件的DocuSign內容分發。

Sophos表示，在最近的攻擊活動中，載入程式是在Microsoft Exchange Server遭到破壞後部署的。該伺服器屬於一個未命名的組織，用於透過劫持員工之間現有的電子郵件執行緒，將Squirrelwaffle“大規模分發”到內部和外部電子郵件地址。

在這種情況下，垃圾郵件活動被用來傳播Squirrelwaffle，但此外，攻擊者還提取了一個電子郵件執行緒並利用其中的內部知識進行財務欺詐。

新聞來源：

https://www.zdnet.com/article/squirrelwaffle-loader-leverages-microsoft-exchange-server-vulns-for-financial-fraud/

VMware針對中國天府杯期間發現的漏洞釋出補丁

在參加中國天府杯的安全研究人員發現這些問題後，VMware於週二釋出了針對影響VMware ESXi、Workstation、Fusion和Cloud Foundation的多個漏洞的補丁程式。

該公司釋出了安全公告VMSA-2022-0004，並告訴ZDNet，他們鼓勵客戶“以安全強化配置”部署他們的產品，同時應用所有更新、安全補丁和緩解措施。該公告涵蓋CVE-2021-22040、CVE-2021-22041、CVE-2021-22042、CVE-2021-22043和CVE-2021-22050。

“VMware ESXi、Workstation和Fusion在XHCI USB控制器中包含一個釋放後使用漏洞。VMware已評估此問題的嚴重性在重要嚴重性範圍內，最高CVSSv3基本得分為8.4。虛擬機器上的本地管理許可權可能會利用此問題來執行程式碼，因為虛擬機器的VMX程式在主機上執行，”該公司解釋說。它補充說，VMware ESXi、Workstation和Fusion在UHCI USB控制器中也包含一個雙取漏洞。

VMware還表示，由於VMX有權設定授權票證，因此ESXi包含未經授權的訪問漏洞。它給該問題的最大CVSSv3基本評分為8.2，並指出在VMX程式中具有特權的駭客可能只能訪問以高特權使用者身份執行的設定服務。

VMware ESXi還存在一個TOCTOU（Time-of-checkTime-of-use）漏洞，該漏洞存在於處理臨時檔案的方式中。該問題的最大CVSSv3基本分數也為8.2，因為它允許具有設定訪問許可權的惡意行為者透過編寫任意檔案來提升其許可權。

但Blumira技術長Matthew Warner表示，這些漏洞都需要本地訪問，在某些情況下，還需要特權本地訪問。Warner指出，理論上，如果攻擊者利用來賓、進入來賓並在其上安裝USB，則可以遠端執行CVE-2021-22041。

新聞來源：

https://www.zdnet.com/article/vmware-patches-released-after-vulnerabilities-found-during-tianfu-cup/