安全資訊報告

卡巴斯基表示，銀行惡意軟體攻擊“變得越來越企業化”

2021年，金融威脅形勢發生了積極變化，受惡意軟體影響的使用者總數顯著減少，其中PC惡意軟體下降了35%。儘管如此，作為網路犯罪分子最有利可圖的目標，金融組織仍然面臨著巨大的威脅。

根據卡巴斯基最新的2021年金融網路威脅報告，攻擊正變得越來越以企業為中心，而不是以消費者為中心。2021年，每三分之一(37.8%)的PC銀行惡意軟體攻擊針對企業使用者，自2018年以來增長了近14%。

2020年至2021年期間，企業使用者在銀行惡意軟體攻擊中的份額增加了近2%，並在2018年至2021年期間大幅增加了13.7個百分點。

Zbot在金融網路犯罪分子中使用惡意軟體排名第一，但SpyEye從第八大最常見的銀行惡意軟體（2020年的3.4%份額）飆升至2021年的第二大常見惡意軟體（12.2%）。

被歐洲刑警組織描述為“世界上最危險的惡意軟體”的Emotet(9.3%)在2020年至2021年期間下降了5個百分點。

新聞來源：

https://www.itnewsafrica.com/2022/02/banking-malware-attacks-are-becoming-increasingly-corporate/

NVIDIA確認員工憑證在網路攻擊中被盜

NVIDIA本週承認，員工憑證在2月23日的一次網路攻擊中被盜，並確認攻擊者已開始線上洩露資訊。

英偉達發言人告訴SecurityWeek，此次入侵發生在2月23日，並影響了某些“IT資源”。

“在發現事件後不久，我們進一步強化了我們的網路，聘請了網路安全事件響應專家，並通知了執法部門。”NVIDIA發言人補充道。

雖然對該事件的調查仍在繼續，但NVIDIA表示尚未發現勒索軟體已部署在其網路上的證據。

新聞來源：

https://www.securityweek.com/nvidia-confirms-employee-credentials-stolen-cyberattack

內容過濾裝置被濫用於65倍放大DDoS攻擊

研究人員發現了DDoS攻擊的一個令人震驚的新趨勢，該攻擊針對資料包檢查和內容過濾裝置，可達到6,533%的巨大放大水平。有了這樣的放大級別，威脅參與者可以用有限的頻寬/裝置發起災難性攻擊。

Akamai發現了一種在野外使用的新DDoS攻擊方法，稱為“TCP Middlebox Reflection”，該方法於2021年8月由美國大學研究人員團隊首次研究。

middlebox不僅處理資料包頭，還處理資料包的內容，因此它們被用於深度資料包檢測(DPI)系統。使用特製的TCP資料包序列來濫用middlebox中易受攻擊的防火牆和內容過濾策略執行系統，從而導致裝置發出大量響應。

Akamai分析師觀察到一個具有33位元組有效負載的實際SYN資料包觸發2,156位元組響應，實現了65倍的放大係數。

“研究作者指出，全球有數十萬個middlebox系統容易受到這種TCP反射濫用的影響。在他們的測試中，他們發現放大率超過了流行且經常被濫用的UDP反射向量，”Akamai的報告解釋道。每次反射都會增加一個新的放大步驟，因此響應大小會很快失控，這些攻擊的效力甚至可以超過成熟的UDP向量。

Akamai建議採用以下緩解方法：將所有長度大於0位元組的SYN洪水視為可疑；引入SYN挑戰以破壞握手並在到達應用程式和伺服器之前丟棄惡意資料流；結合使用反欺騙和狀態外緩解模組；新增防火牆ACL（規則）以丟棄長度大於100的；新增SYN資料包。

新聞來源：

https://www.bleepingcomputer.com/news/security/content-filtering-devices-abused-for-65x-ddos-amplification/

TeaBot惡意軟體重新進入Google Play商店

TeaBot銀行木馬再次在Google Play商店中被發現，它偽裝成二維碼應用程式並傳播到10,000多臺裝置上。

研究人員發現TeaBot偽裝成一款名為“QR碼和條形碼-掃描器”的應用程式，該應用程式顯示為合法的QR碼掃描實用程式。

安裝後，應用程式會透過彈出訊息請求更新，但與Play商店指南規定的標準程式相反，更新是從外部來源獲取。Cleafy將下載源追溯到屬於同一使用者(feleanicusor)的兩個GitHub儲存庫，其中包含多個TeaBot樣本，於2022年2月17日上傳。

一旦受害者接受從不受信任的來源安裝更新，TeaBot就會作為名為“QRCodeScanner:Add-On”的新應用程式載入到他們的裝置上。新應用程式會自動啟動並請求使用者授予使用無障礙服務的許可權，

TeaBot新增了英語、俄語、斯洛伐克語和中文等版本，這表明該惡意軟體正在瞄準全球受害者群體。

與2021年初的樣本相比，該惡意軟體現在具有更強的字串混淆功能，並且針對銀行、保險、加密錢包和加密交換應用程式的目標數量增加了500%（從60到400個）。

新聞來源：

https://www.bleepingcomputer.com/news/security/teabot-malware-slips-back-into-google-play-store-to-target-us-users/

安全漏洞威脅

嚴重的漏洞影響了印刷電路板檔案檢視器

思科Talos部門的安全研究人員披露了六個影響Gerbv的嚴重漏洞，Gerbv是本地Linux應用程式，可在許多常見的UNIX平臺上找到，也有Windows版本可用。Gerbv已從SourceForge下載超過100萬次。

該軟體專為檢視顯示電路板層的檔案格式而設計，包括Excellon鑽孔檔案、RS-274XGerber檔案和pick-n-place檔案，可用作獨立應用程式或庫。

“一些PCB製造商在其Web介面中使用Gerbv等軟體作為將Gerber（或其他受支援的）檔案轉換為影像的工具。使用者可以將gerber檔案上傳到製造商網站，這些檔案將轉換為要在瀏覽器中顯示的影像，以便使用者可以驗證上傳的內容是否符合他們的期望。”Talos解釋說。

這使得攻擊者可以在沒有使用者互動或提升許可權的情況下透過網路訪問軟體。研究人員解釋說，已識別的漏洞會影響Gerbv在開啟Gerber檔案時使用的功能。

新披露的四個漏洞（跟蹤為CVE-2021-40391、CVE-2021-40393、CVE-2021-40394和CVE-2021-40401）的CVSS得分為10。所有四個漏洞都可以透過上傳專門的製作檔案到Gerbv。

另外兩個嚴重的漏洞——被跟蹤為CVE-2021-40400和CVE-2021-40402——可以被利用來洩露資料。兩者都可以透過提供特製的Gerber檔案來利用。

Cisco的Talos研究人員還發現了一箇中等嚴重性的資訊洩露漏洞(CVE-2021-40403)，該漏洞會影響Gerbv的取放輪換解析功能。研究人員說，使用特製檔案，攻擊者可以洩露記憶體內容。

新聞來源：

https://www.securityweek.com/critical-vulnerabilities-impact-widely-used-printed-circuit-board-file-viewer