安全資訊報告
Xenomorph惡意軟體在Google Play上偽裝成一個名為“Fast Cleaner”的合法程式
奈及利亞通訊委員會(NCC)已提醒奈及利亞公眾注意新發現的惡意軟體,其電腦保安事件響應小組(CSIRT)在安全建議中表示,已發現名為Xenomorph的惡意軟體針對來自歐洲的56家金融機構,具有高影響力和高漏洞率。該軟體會竊取使用者在Android裝置上的銀行應用程式登入憑據。
“一旦在受害者的裝置上啟動並執行,Xenomorph可以收集裝置資訊和簡訊服務(SMS),攔截通知和新簡訊,執行覆蓋攻擊,並阻止使用者解除安裝它。該威脅還要求提供輔助功能服務許可權,這允許它授予自己更多許可權。”
該惡意軟體還透過在合法登入頁面上覆蓋虛假登入頁面來竊取受害者的銀行憑證,並指出由於它還可以攔截訊息和通知,它允許其運營商繞過基於SMS的兩因素身份驗證和登入在沒有提醒他們的情況下進入受害者的賬戶。
Xenomorph被發現針對56個網上銀行應用程式,其中28個來自西班牙,12個來自義大利,9個來自比利時,7個來自葡萄牙,以及加密貨幣錢包和電子郵件服務等通用應用程式。
新聞來源:
https://nairametrics.com/2022/02/27/ncc-raises-alarm-over-malware-that-steals-banking-app-login-details/
阿聯酋的移動惡意軟體攻擊穩步下降
卡巴斯基在2021年的移動威脅報告中強調,這種下降是由於網路犯罪分子鞏固了他們的努力,轉而專注於更復雜、危險和有利可圖的威脅。與2020年相比,2021年阿聯酋使用者面臨的移動惡意軟體攻擊減少了29%。
中東其他國家的移動惡意軟體事件也有所減少。埃及下降了驚人的52%,其次是卡達(47%)、科威特(46%)、阿曼(27%)和巴林(13%)。
報告顯示,僅有兩個動態不同的國家是沙烏地阿拉伯(增長19%)和土耳其(其份額異常增長了67%)。
這種動態反映了全球趨勢,因為網路犯罪分子往往越來越少地投資於現代安全解決方案成功消除的主流威脅。相反,他們選擇更多地投資於新的移動惡意軟體,這種惡意軟體變得越來越複雜,具有竊取使用者銀行和遊戲憑證以及其他個人資料的新方法。
2021年,卡巴斯基在全球檢測到超過95,000個新的移動銀行木馬,但使用此類惡意軟體的攻擊數量仍然相似。此外,木馬(能夠執行遠端命令的惡意程式)的份額翻了一番,到2021年達到8.8%。
新聞來源:
https://www.itp.net/security/uae-mobile-malware-attacks-steady-decline-kaspersky
英偉達反擊勒索軟體團伙
Lapsus$勒索軟體組織聲稱,英偉達最近幾天對Lapsus$勒索軟體團伙發起了報復性打擊,以防止該晶片製造商竊取的資料被洩露。
Lapsus$在Telegram上表示,訪問Nvidia員工的VPN需要一臺PC註冊移動裝置管理(MDM)。據勒索軟體運營商稱,出於這個原因,Nvidia能夠連線到Lapsus$使用的虛擬機器。
Nvidia能夠成功加密Lapsus$的資料,但勒索軟體組織表示它有備份,這意味著它的資料“不受影響”Lapsus$聲稱它沒有被競爭對手的勒索軟體組織入侵。
據The National報導,2021年12月,Lapsus$據稱入侵了巴西衛生部網站並關閉了多個系統,其中一個系統包含有關國家免疫計劃的資訊,另一個系統用於頒發數字疫苗接種證書。目前尚不清楚Lapsus$的基地在哪裡,或者他們是否與其他勒索軟體團伙有聯絡。
新聞來源:
https://www.crn.com.au/news/nvidia-strikes-back-at-ransomware-gang-576607
伊朗駭客濫用Telegram Messenger API的新型間諜惡意軟體
2021年11月,一名伊朗地緣政治關係威脅行為者部署了兩個具有“簡單”後門功能的新目標惡意軟體,作為對未具名中東政府實體的入侵的一部分。
網路安全公司Mandiant將這次攻擊歸咎於它在綽號UNC3313下跟蹤的未分類叢集,它以“適度的信心”評估與MuddyWater國家贊助的組織相關的“中等信心”。
“UNC3313進行監視並收集戰略資訊以支援伊朗的利益和決策,”研究人員Ryan Tomcik、Emiel Haeghebaert和Tufail Ahmed說。“目標模式和相關誘餌顯示出對具有地緣政治關係的目標的強烈關注。”
據說這些攻擊是透過魚叉式網路釣魚訊息精心策劃的,以獲得初始訪問許可權,然後利用公開可用的攻擊性安全工具和遠端訪問軟體進行橫向移動並保持對環境的訪問。
這些網路釣魚郵件以職位晉升為誘餌,誘騙多名受害者單擊URL下載託管在OneHub上的RAR存檔檔案,這為安裝合法的遠端訪問軟體ScreenConnect獲得立足點鋪平了道路。
攻擊的後續階段涉及提升許可權、對目標網路執行內部偵察以及執行混淆的PowerShell命令以在遠端系統上下載其他工具和有效負載。
還觀察到了一個名為STARWHALE的以前未記錄的後門,這是一個Windows指令碼檔案(.WSF),它執行透過HTTP從硬編碼命令和控制(C2)伺服器接收到的命令的命令。
在攻擊過程中交付的另一個植入程式是GRAMDOOR,之所以如此命名,是因為它使用TelegramAPI與攻擊者控制的伺服器進行網路通訊以逃避檢測,再次強調了使用通訊工具促進滲透資料的。
該調查結果還與來自英國和美國的網路安全機構的一項新聯合諮詢相吻合,該諮詢指責MuddyWater集團針對全球國防、地方政府、石油和天然氣以及電信部門發動了間諜攻擊。
新聞來源:
https://thehackernews.com/2022/02/iranian-hackers-using-new-spying.html
製造業是巴西勒索軟體攻擊最多的行業
根據IBM釋出的一份關於拉丁美洲安全威脅的報告,來自制造業的公司感受到了勒索軟體團伙精心策劃的攻擊的最大影響。
製造公司是巴西受攻擊最嚴重的部門,佔2021年勒索軟體攻擊的20%。根據該研究,這反映了一種全球趨勢,因為網路犯罪分子發現製造組織在全球供應鏈中發揮的關鍵作用向受害者施壓支付贖金。
此外,研究人員指出,拉丁美洲的商業電子郵件洩露(BEC)攻擊率高於世界任何其他地區,巴西從2019年的0%加速到2021年的26%。BEC是該地區第二常見的攻擊型別。2021年,未修補的漏洞導致了18%的攻擊。
該研究稱,與上一年相比,拉丁美洲2021年的網路攻擊增加了4%。研究表明,巴西、墨西哥和秘魯是該地區去年受災最嚴重的國家。
SonicWall本月早些時候釋出的另一份關於網路威脅的報告發現,巴西在勒索軟體攻擊方面僅次於美國、德國和英國。該國在2021年的入侵嘗試超過3300萬次,在上一年的同一排名中排名第九,勒索軟體攻擊次數為380萬次。
新聞來源:
https://www.zdnet.com/article/manufacturing-is-the-most-targeted-sector-by-ransomware-in-brazil/
豐田所有日本工廠停線:供應商遭網路攻擊
據日經中文網訊息,3月1日豐田在日本國內的所有工廠(14家工廠28條生產線)全部停工。原因是製造豐田汽車零部件的供應商遭到網路攻擊,管理零部件供應的豐田系統受到了影響。豐田正在研究2日以後能否正常開工。日野汽車和大發工業的日本國內工廠也以相同理由停工。
受到網路攻擊的是豐田的一家主要供應商——生產樹脂零部件的小島衝壓工業。小島衝壓工業表示“由於受到網路攻擊而發生了系統故障是事實”。
關於網路攻擊的發起方、病毒種類及受害情況,小島衝壓工業表示“正在調查”。據相關人員表示,目前“豐田的負責人及網路安全專家已進入小島衝壓工業公司內部,正在調查原因和恢復方法”。
日野將暫停日本國內的共兩家整車工廠。分別是面向日本國內外生產大中型卡車的茨城縣古河工廠和生產豐田代工汽車及小型卡車的東京都羽村工廠。日野表示“2日以後的投產情況尚未確定”。在豐田停產的工廠中也包含子公司大發的京都工廠。據估計將造成數百輛汽車減產。
新聞來源:
http://finance.ce.cn/stock/gsgdbd/202203/01/t20220301_37365573.shtml
安全漏洞威脅
CISA警告Schneider和GE Digital的SCADA軟體存在嚴重缺陷
美國網路安全和基礎設施安全域性(CISA)上週釋出了一份工業控制系統(ICS)公告,該公告涉及影響施耐德電氣Easergy中壓保護繼電器的多個漏洞。
該機構在2022年2月24日的公告中說:“成功利用這些漏洞可能會洩露裝置憑據、導致拒絕服務狀況、裝置重啟或允許攻擊者完全控制中繼。”可能會使電網失去保護。
兩個高度嚴重的弱點會影響v30.205之前的Easergy P3版本和v01.401.101之前的Easergy P5版本。漏洞詳情如下:
不到10天,CISA就施耐德電氣的互動式圖形SCADA系統(IGSS)中的多個嚴重漏洞發出了另一個警報,如果成功利用這些漏洞,可能會導致“資料洩露和使用IGSS的SCADA系統失去控制”。
美國聯邦機構也對通用電氣的Proficy CIMPLICITY SCADA軟體拉響了警報,警告了兩個安全漏洞,可被濫用以洩露敏感資訊、實現程式碼執行和本地許可權提升。
新聞來源:
https://thehackernews.com/2022/02/cisa-warns-of-high-severity-flaws-in.html