超三十万台设备感染银行木马、远程代码漏洞可攻击云主机|12月7日全球网络安全热点

2021-12-07 14:35:06 浏览数 (2)

安全资讯报告

勒索软件黑客发布39,000份政府内部文件

Volkskrant周一报道,一家为荷兰警察、紧急服务和安全部门处理敏感文件的技术公司已成为黑客的目标。在公司Abiom拒绝遵守勒索软件组织LockBit的要求后,共有39,000份文件(包括身份证件和发票)在网上泄露。

安全专家Matthijs Koot表示,这次攻击代表了勒索软件运营商的一种新策略。他们没有锁定私人数据,而是威胁要公开安全信息,以损害受害者的声誉。

新闻来源:

https://www.dutchnews.nl/news/2021/12/ransomware-hackers-release-39000-internal-government-files/

虚假支持代理呼叫受害者安装Android银行恶意软件

BRATA Android远程访问木马(RAT)已在意大利被发现,攻击者呼叫短信攻击的受害者以窃取他们的网上银行凭证。BRATA以前在巴西出现过,通过Google Play商店上的应用程序交付,但现在看来其作者正在将其出售给外国运营商。

该意大利活动于2021年6月首次被发现,通过短信网络钓鱼(也称为smishing)发送多个Android应用程序,相关样本在Virus Total中只有50%的安全软件检测为恶意。

攻击始于链接恶意网站的未经请求的短信(SMS),声称是来自银行的消息,敦促收件人下载反垃圾邮件应用程序。最终受害者会下载BRATA恶意软件,或将他们带到网络钓鱼页面以输入其银行帐号密码的页面。攻击者会打电话给受害者,并假装是银行的员工,提供安装应用程序的帮助。

BRATA功能的完整列表包括:

  • 拦截SMS消息并将其转发到C2服务器。
  • 屏幕录制敏感信息。
  • 卸载特定的应用程序(例如,防病毒软件)。
  • 隐藏自己的图标应用程序,以减少非高级用户的可追踪性。
  • 禁用Google Play Protect以避免被Google标记为可疑应用。
  • 修改设备设置以获得更多权限。
  • 如果设备被密码或图案锁定,解锁设备。
  • 显示钓鱼页面。

攻击者滥用这些权限访问受害者的银行账户,检索二次验证密码,并最终执行欺诈交易。

新闻来源:

https://www.bleepingcomputer.com/news/security/fake-support-agents-call-victims-to-install-android-banking-malware/

针对超过300,000台设备的4个Android银行木马活动

2021年8月至11月期间,四种不同的Android银行木马通过官方Google Play商店传播,导致超过300,000次通过各种应用程序感染,这些应用程序伪装成看似无害的实用程序应用程序,以完全控制受感染的设备。

安装后,这些银行木马程序可以使用一种称为自动转账系统(ATS)的工具,在用户不知情的情况下,秘密窃取用户密码和基于SMS的双因素身份验证代码、击键、屏幕截图,甚至耗尽用户的银行账户。这些应用程序已从Play商店中删除。

恶意dropper应用程序列表如下:

  • 两因素身份验证器 (com.flowdivison)
  • 保护卫士 (com.protectionguard.app)
  • QR CreatorScanner (com.ready.qrscanner.mix)
  • Master ScannerLive (com.multifuction.combine.qr)
  • 二维码扫描器2021 (com.qr.code.generate)
  • QR扫描仪 (com.qr.barqr.scangen)
  • PDF文档扫描仪 (com.xaviermuches.docscannerpro2)
  • PDF文档扫描仪免费 (com.doscanner.mobile)
  • CryptoTracker (cryptolistapp.app.com.cryptotracker)
  • 健身房和健身教练 (com.gym.trainer.jeux)

新闻来源:

https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html

Windows、Office盗版激活工具KMSPico被用于传播窃取加密货币钱包的木马

该恶意软件被称为“CryptBot”,是一种信息窃取程序,能够获取浏览器、加密货币钱包、浏览器cookie、信用卡的凭据,并从受感染的系统中捕获屏幕截图。通过破解软件部署,最新的攻击涉及伪装成KMSPico的恶意软件。

KMSPico是一种非官方工具,用于非法激活盗版软件(如MicrosoftWindows和Office套件)的全部功能。

新闻来源:

https://thehackernews.com/2021/12/malicious-kmspico-windows-activator.html

Nobelium黑客组织使用新型隐蔽Ceeloader恶意软件

Nobelium黑客组织通过瞄准其云和托管服务提供商并使用新的自定义“Ceeloader”恶意软件,继续破坏全球政府和企业网络。

Nobelium是微软对去年导致多个美国联邦机构妥协的SolarWinds供应链攻击背后的威胁参与者的名字。该组织被通常称为APT29、The Dukes或Cozy Bear。虽然Nobelium是一个使用自定义恶意软件和工具的高级黑客组织,但他们仍然会留下活动痕迹,研究人员可以使用这些痕迹来分析他们的攻击。

在Mandiant的一份新报告中,研究人员利用这一活动发现了黑客组织使用的策略、技术和程序(TTP),以及一个名为“Ceeloader”的新自定义下载器。此外,研究人员将Nobelium分为两个不同的活动集群,归因于UNC3004和UNC2652,这可能意味着Nobelium是两个合作的黑客组织。

根据Mandiant所看到的活动,Nobelium参与者继续破坏云提供商和MSP,以此作为获得对其下游客户网络环境的初始访问权限的一种方式。

“至少在一个实例中,威胁行为者识别并破坏了一个本地VPN帐户,并利用该VPN帐户执行侦察并进一步访问受害CSP环境中的内部资源,最终导致内部域帐户遭到破坏”Mandiant解释道。

在至少一个其他漏洞中,黑客组织使用CRYPTBOT密码窃取恶意软件窃取用于对受害者的Microsoft365环境进行身份验证的有效会话令牌。

新闻来源:

https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/

安全漏洞威胁

CERBER勒索软件利用Confluence RCE等多个高危漏洞攻击云主机

12月6日,腾讯安全Cyber-Holmes引擎系统检测并发出告警:CERBER勒索软件传播者利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLabexiftool远程代码执行漏洞(CVE-2021-22205)攻击云上主机。被勒索软件加密破坏的文件无密钥暂不能解密,腾讯安全专家建议所有受影响的用户尽快修复漏洞,避免造成数据完全损失,业务彻底崩溃。

Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)为8月26日披露的高危漏洞,该漏洞的CVSS评分为9.8,是一个对象图导航语言(ONGL)注入漏洞,允许未经身份验证的攻击者在Confluence Server或Data Center实例上执行任意代码,攻击者利用漏洞可完全控制服务器。

GitLab exiftool远程命令执行漏洞(CVE-2021-22205)同样也是网络黑产疯狂利用的高危漏洞。由于Gitlab某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码,攻击者利用漏洞同样可以完全控制服务器。

腾讯安全专家指出,网络黑灰产业对高危漏洞的利用之快令人印象深刻,在Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLabe xiftool远程代码执行漏洞(CVE-2021-22205)漏洞详情及POC代码公开之后,已检测到多个网络黑灰产业对云主机发起多轮攻击。这些攻击较多为挖矿木马或其他僵尸网络,一般不会造成云主机崩溃瘫痪,今天捕获的针对linux云主机的勒索软件攻击,可造成数据完全损失,业务彻底崩溃。

新闻来源:

https://mp.weixin.qq.com/s/3tc1FrWMhsc7v4q_QmVwTg

0 人点赞