安全資訊報告

TrickBot惡意軟體團伙關閉其殭屍網路基礎設施

被稱為TrickBot的模組化Windows犯罪軟體平臺於週四正式關閉其基礎設施，此前有報導稱其在近兩個月的活動停滯期間即將退休，標誌著近年來最持久的惡意軟體活動之一的結束。

網路安全公司AdvIntel和Intel471的雙份報告暗示，隨著對其惡意軟體操作的可見性提高，TrickBot的五年傳奇可能即將結束，促使運營商轉向更新、改進惡意軟體，例如BazarBackdoor（又名BazarLoader）。

惡意軟體跟蹤研究專案Abuse.ch的Feodo Tracker顯示，雖然自2021年12月16日以來沒有為TrickBot攻擊設定新的(C2)伺服器，但BazarLoader和Emotet正在全面展開，新的C2伺服器最近分別於2月19日和24日註冊。

TrickBot的滅亡也伴隨著Conti勒索軟體的運營商從前者招募頂尖人才，專注於BazarBackdoor等更隱蔽的替代惡意軟體。

新聞來源：

https://thehackernews.com/2022/02/notorious-trickbot-malware-gang-shuts.html

小丑竊取者惡意軟體增加更多功能來吸引駭客

一種名為Jester Stealer的資訊竊取惡意軟體因其功能和實惠的價格而在地下網路犯罪社群中越來越受歡迎。研究人員說，目前，Jester Stealer以每月99美元的價格授權給使用者，或終身訪問249美元。

根據Cyble Research的分析，Jester Stealer是一種新興惡意軟體，於2021年7月首次出現在網路犯罪論壇上。它使用AES-CBC-256加密的通訊，支援Tor網路伺服器，將日誌重定向到telegram機器人，並在洩露之前將被盜資料捆綁在記憶體中。

小丑偷竊者是一個.net的惡意軟體，通常透過網路釣魚電子郵件到達目標系統，偽裝成txt，jar，ps1，bat，png，doc，xls，pdf，mp3，mp4或ppt檔案附件。或者，威脅行為者使用隨機分發渠道，例如透過YouTube推廣的盜版內容和駭客工具。

它具有多個內建檢查功能，透過檢查分析是否在虛擬化環境中執行來防止分析。如果惡意軟體檢測到主機系統上存在VirtualBox，VMBox或VMWare，它將終止其執行。

所有被盜資料都將複製到系統記憶體中，因此磁碟上不會寫入任何內容。資料在透過埠9050洩露之前存檔在ZIP檔案中，該埠透過TOR代理傳遞。

一旦滲透完成，Jester Stealer就會從受感染的機器中刪除自己，以最大限度地減少受害者意識到資料洩露的可能性。

新聞來源：

https://www.bleepingcomputer.com/news/security/jester-stealer-malware-adds-more-capabilities-to-entice-hackers/

新的"SockDetour"無檔案後門”瞄準美國國防承包商

網路安全研究人員已經擺脫了以前未記錄的隱形自定義惡意軟體SockDetour，該惡意軟體針對美國的國防承包商，目標是在受感染的Windows主機上用作輔助植入物。

Palo Alto Networks的Unit42威脅情報在週四釋出的一份報告中表示，“它很難檢測，因為它在受感染的Windows伺服器上無檔案和無套接字地執行。”

研究人員指出："託管SockDetour的FTP伺服器是一個受損的質量網路裝置提供商（QNAP）小型辦公室和家庭辦公室（SOHO）網路附加儲存（NAS）伺服器。"已知NAS伺服器存在多個漏洞，包括遠端執行程式碼漏洞CVE-2021-28799。

更重要的是，據說同一臺伺服器已經感染了QLocker勒索軟體，這增加了TiltedTemple參與者利用上述漏洞獲得未經授權的初始訪問的可能性。

就其本身而言，SockDetour被設計為一個獨立的後門，它劫持合法程式的網路套接字以建立自己的加密C2通道，然後載入從伺服器檢索到的未識別的外掛DLL檔案。

新聞來源：

https://thehackernews.com/2022/02/new-sockdetour-fileless-socketless.html

惡意軟體透過微軟商店上的遊戲應用程式傳播

一種能夠控制社交媒體帳戶的新惡意軟體正在透過微軟的官方應用商店以特洛伊木馬遊戲應用程式的形式分發，感染了瑞典，保加利亞，俄羅斯，百慕大和西班牙的5，000多臺Windows機器。

以色列網路安全公司Check Point將惡意軟體稱為"Electron Bot"，指的是最近活動中使用的命令和控制（C2）域。襲擊者的身份尚不清楚，但有證據表明他們可能來自保加利亞。

Check Point的Moshe Marelus在本週釋出的一份報告中表示，它主要透過微軟商店平臺分發，並從數十個受感染的應用程式（主要是遊戲）中刪除，這些應用程式由攻擊者不斷上傳。

Electron Bot的核心功能是開啟一個隱藏的瀏覽器視窗，以進行SEO中毒，產生廣告點選量，將流量引導到YouTube和SoundCloud上託管的內容，並推廣特定產品以透過廣告點選產生利潤或提高商店評級以獲得更高的銷售額。

最重要的是，它還具有可以控制Facebook，Google和SoundCloud上的社交媒體帳戶的功能，包括註冊新帳戶，登入以及評論和喜歡其他帖子以增加觀看次數。

新聞來源：

https://thehackernews.com/2022/02/social-media-hijacking-malware.html

英偉達遭受“毀滅性”網路攻擊

美國晶片製造商巨頭英偉達今天證實，它目前正在調查一起“事件”，據報導該事件導致其部分系統停機兩天。

正如The Telegraph首次報導的那樣，受到網路攻擊影響的系統包括公司的開發人員工具和電子郵件系統。報告的中斷是網路入侵的結果，目前尚不清楚事件期間是否有任何業務或客戶資料被盜。

Nvidia告訴BleepingComputer，事件的性質仍在評估中，公司的商業活動沒有受到影響。一位內部人士將這一事件描述為“完全破壞”了英偉達的內部系統。

Lapsus$勒索軟體組織聲稱他們從Nvidia的網路中破壞並竊取了1 TB的資料。他們還在網上洩露了他們聲稱是所有Nvidia員工的密碼雜湊值。

新聞來源：

https://www.bleepingcomputer.com/news/security/gpu-giant-nvidia-is-investigating-a-potential-cyberattack/

安全漏洞威脅

CISA警告Zabbix伺服器中被積極利用的漏洞

美國網路安全基礎設施和安全域性(CISA)發出的通知警告稱，威脅行為者正在利用Zabbix開源工具中的漏洞來監控網路、伺服器、虛擬機器和雲服務。

該機構要求聯邦機構針對被跟蹤為CVE-2022-23131和CVE-2022-23134的安全問題修補任何Zabbix伺服器，以避免來自惡意網路參與者的“重大風險”。其中一個漏洞的嚴重程度得分為9.1（滿分10）。

利用此安全問題的攻擊者可以繞過配置了安全斷言標記語言（SAML，非預設狀態）的伺服器上的身份驗證。SAML是一種開放標準，提供在身份提供者和服務提供者之間交換資料的單點身份驗證（單點登入）。荷蘭國家網路安全中心警告說，該漏洞正在被積極利用，它可以允許以root許可權遠端執行程式碼。

第二個漏洞CVE-2022-23134是中等嚴重性的不當訪問控制問題，允許攻擊者更改配置檔案（setup.php指令碼）並以提升的許可權訪問儀表板。

CISA已將這些漏洞新增到其已知被利用漏洞目錄中，這些漏洞代表了一種常見的攻擊媒介，並要求聯邦機構在3月8日之前安裝可用的補丁。

新聞來源：

https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-vulnerabilities-in-zabbix-servers/

思科交換機作業系統發現新的高危漏洞

思科釋出了軟體更新，以解決其軟體中的四個安全漏洞，這些漏洞可能被惡意行為者武器化以控制受影響的系統。

最關鍵的漏洞是CVE-2022-20650（CVSS評分：8.8），它與CiscoNX-OS軟體的NX-API功能中的命令注入缺陷有關，該缺陷源於使用者提供的資料缺乏足夠的輸入驗證。

"攻擊者可以透過向受影響裝置的NX-API傳送精心編制的HTTPPOST請求來利用此漏洞，"思科說。"成功利用此漏洞可允許攻擊者在底層作業系統上以root許可權執行任意命令。

該漏洞會影響執行思科NX-OS軟體的獨立NX-OS模式下的Nexus3000系列交換機、Nexus5500平臺交換機、Nexus5600平臺交換機、Nexus6000系列交換機和執行思科NX-OS軟體的Nexus9000系列交換機。

新聞來源：

https://thehackernews.com/2022/02/new-flaws-discovered-in-ciscos-network.html