安全資訊報告

勒索軟體攻擊後，Expeditors關閉了全球業務

總部位於西雅圖的物流和貨運代理公司Expeditors International在週末遭到網路攻擊，迫使該組織關閉其全球大部分業務。

該公司沒有提及網路攻擊的型別，但從其描述和給BleepingComputer的匿名提示來看，這看起來像是一起大規模的勒索軟體事件。

在隨後的新聞稿中，該公司重申，網路攻擊迫使其在全球範圍內關閉了大部分系統，以維護“整個全球系統環境的安全”。影響是巨大的，因為Expeditors的運營受到限制，其中包括貨運、海關和配送活動，這可能導致其客戶的貨運停滯不前。

該公司指出，系統將繼續處於離線狀態，直到它們可以從備份中安全地恢復。同時，該公司正在與其運營商和服務提供商一起尋找解決方案，以儘量減少對客戶的影響。但是，沒有估計何時恢復運營。

新聞來源：

https://www.bleepingcomputer.com/news/security/expeditors-shuts-down-global-operations-after-likely-ransomware-attack/

一個新版本的CryptBot資訊竊取程式透過多個網站分發，這些網站提供免費下載遊戲和專業級軟體的破解。

安全分析師報告稱，威脅參與者不斷重新整理他們的C2、dropper站點和惡意軟體本身，因此CryptBot是目前變化最大的惡意操作之一。

根據報告，CryptBot威脅參與者透過假裝提供軟體破解、金鑰生成器或其他實用程式的網站分發惡意軟體。為了獲得廣泛的知名度，威脅參與者利用搜尋引擎最佳化將惡意軟體分發站點排名在谷歌搜尋結果的頂部，從而提供穩定的潛在受害者流。

根據共享的惡意軟體分發站點的螢幕截圖，威脅參與者使用自定義域或託管在Amazon AWS上的網站。惡意網站不斷更新，因此有各種各樣的不斷變化的誘餌將使用者吸引到惡意軟體分發站點。這些網站的訪問者在到達交付頁面之前會經過一系列重定向，因此登入頁面可能位於被濫用於SEO中毒攻擊的受損合法網站上。

CryptBot的新樣本表明，其作者希望簡化其功能並使惡意軟體更輕、更精簡，並且不太可能被檢測到。在這種情況下，反沙盒例程已被刪除，僅在最新版本中保留了反虛擬機器CPU核心計數檢查。此外，冗餘的第二個C2連線和第二個外洩資料夾均已刪除，新變體僅具有單個資訊竊取C2。

新聞來源：

https://www.bleepingcomputer.com/news/security/revamped-cryptbot-malware-spread-by-pirated-software-sites/

美國最大的炊具分銷商、全球第二大炊具分銷商Meyer Corporation已向美國司法部長辦公室通報了影響其數千名員工的資料洩露事件。

根據與美國緬因州和加利福尼亞州總檢察長辦公室共享的通知信，邁耶於2021年10月25日成為網路攻擊的受害者。

Meyer的公告沒有提供有關導致披露資料洩露的網路攻擊的詳細資訊，在Conti勒索網站上發現了一個可追溯到2021年11月7日的相關列表。Conti入口網站上的Meyer條目提供了一個ZIP檔案，其中包含據稱在網路攻擊期間被勒索軟體團伙竊取的2%的資料。

新聞來源：

https://www.bleepingcomputer.com/news/security/cookware-giant-meyer-discloses-cyberattack-that-impacted-employees/

透過Google Play商店分發的一種名為Xenomorph的新惡意軟體已經感染了超過50,000臺Android裝置以竊取銀行資訊。

Xenomorph惡意軟體透過通用效能提升應用程式（例如“FastCleaner”）進入GooglePlay商店，該應用程式的安裝量為50,000。

此類實用程式是銀行木馬（包括Alien）使用的經典誘餌，因為人們總是對承諾提高Android裝置效能的工具感興趣。

Xenomorph的功能目前還沒有完全成熟，因為木馬正在大力開發中。但是，它仍然是一個重大威脅，因為它可以實現其資訊竊取目的，並且針對不少於56家不同的歐洲銀行。

該惡意軟體可以攔截通知、記錄SMS並使用注入來執行覆蓋攻擊，因此它已經可以竊取用於保護銀行賬戶的憑據和一次性密碼。程式碼中存在但尚未實現的命令示例是指鍵盤記錄功能和行為資料收集。

新聞來源：

https://www.bleepingcomputer.com/news/security/new-xenomorph-android-malware-targets-customers-of-56-banks/

對2022年1月下旬針對伊朗國家媒體公司共和國廣播公司(IRIB)的網路攻擊部署了擦除資料的惡意軟體和其他植入程式，該國的國家基礎設施繼續面臨一波針對性攻擊。

在駭客攻擊過程中還部署了定製的惡意軟體，能夠擷取受害者的螢幕截圖，以及用於安裝和配置惡意可執行檔案的後門、批處理指令碼和配置檔案。

Check Point表示，它沒有足夠的證據來正式歸因於特定的威脅行為者，目前尚不清楚攻擊者是如何獲得對目標網路的初始訪問許可權的。迄今為止發現的攻擊活動包括：

建立後門及其永續性，
啟動“惡意”影片和音訊檔案，以及
安裝wiper惡意軟體以試圖破壞被黑網路資料，擦除器的主要目的是破壞儲存在計算機中的檔案，包括擦除主開機記錄(MBR)、清除Windows事件日誌、刪除備份、終止程式和更改使用者的密碼。
在幕後，攻擊涉及使用批處理指令碼中斷影片流，以刪除與IRIB使用的廣播軟體TFIAristaPlayoutServer相關的可執行檔案，並迴圈播放影片檔案（“TSE_90E11.mp4”）。

攻擊者利用了四個後門：WinScreeny、HttpCallbackService、HttpService和ServerLaunch，這是一個使用HttpService啟動的dropper。綜合起來，不同的惡意軟體使攻擊者能夠捕獲螢幕截圖、從遠端伺服器接收命令並執行其他惡意活動。

新聞來源：

https://thehackernews.com/2022/02/iranian-state-broadcaster-irib-hits-by_21.html