安全资讯报告

财政部长耶伦称勒索软件对经济构成“直接威胁”

   美国财政部长珍妮特·L·耶伦（JanetL. Yellen）表示，今年疑似勒索软件支付的金额可能会翻一番，对美国经济构成“直接威胁”。

   耶伦的评论出现在财政部最近的一份报告中，该报告将近6亿美元的交易与金融服务公司在2021年前六个月提交给美国政府的“可疑活动报告”中的勒索软件支付联系起来。报告称：“勒索软件和网络攻击正在损害美国大大小小的企业，并对我们的经济构成直接威胁。”

   然而，在联邦领导层和公司对勒索软件攻击的持续威胁做出更广泛的协调反应和更大的紧迫感之前，支付赎金可能是唯一合理的选择。在勒索软件攻击中，受害者通常无法从政府那里获得帮助，因为政府缺乏应对越来越多的攻击的人力和资源。

   2021年5月，黑客利用勒索软件攻击勒索了数百万美元的赎金，破坏了殖民地管道并导致美国汽油短缺。

   据信，发起勒索软件的网络犯罪分子主要来自俄罗斯和前苏联国家，在朝鲜和伊朗也有活动。黑客组织的名字非常险恶：DarkSide、REvil、BlackMatter和EvilCorp。

   9月1日，美国联邦调查局发布警告称，勒索软件攻击正以美国食品和农业部门为目标，造成金融破坏并影响美国的食品供应链。9月下旬，爱荷华州玉米和大豆农民拥有的农业合作社New CooperativeInc.遭到了BlackMatter勒索软件组织的攻击。攻击者要求合作社为解密密钥支付590万美元，并且不发布被盗数据。

   乔拜登总统上周宣布网络安全是一场全球危机，与30个盟国和友好国家举行了勒索软件峰会。

   网络安全公司Recorded FutureInc.的高级威胁分析师Allan Liska告诉彭博社：“Sinclair似乎受到了Macaw勒索软件的攻击，这是10月初首次报道的一种相对较新的病毒。”

   网络安全公司Recorded Future的勒索软件分析师Allan Liska告诉NBC，仅今年到目前为止，美国约有850家医疗保健网络和医院受到勒索软件的影响。根据飞利浦和CyberMDX的一项新研究，由于勒索软件攻击不断升级，近一半的美国医院在过去六个月中断开了网络连接。

    新闻来源： 

https://thecrimereport.org/2021/10/21/u-s-treasury-tags-ransomware-as-growing-threat-to-economy/

科技巨头宏碁证实，黑客入侵了其位于中国台湾的部分系统

宏碁最初证实，在一个名为Desorden的组织声称从宏碁印度窃取了超过60GB的数据后，其在印度的一些服务器遭到黑客攻击。

黑客声称获得了数百万客户的信息、数千家零售商和分销商使用的登录凭据以及各种公司和财务文件。宏碁立即证实了其印度服务器遭到破坏，但将其描述为针对其在印度的售后服务系统的孤立攻击。

据DataBreaches.net称，黑客表示，他们还破坏了中国台湾的一些宏碁系统，并声称马来西亚和印度尼西亚的服务器也很容易受到攻击。据称，攻击者从中国台湾的服务器中窃取了员工信息。

在该公司发布的第二份声明中，宏碁证实在中国台湾检测到攻击，但强调客户数据没有受到损害。宏碁表示：“该事件已报告给当地执法部门和相关部门，并未对我们的业务连续性造成干扰，对我们的财务和运营也没有重大影响。”

Desorden通常会从主要组织窃取文件，然后威胁如果受害者不支付赎金，就将其在黑市上出售。从宏碁的声明来看，该公司不会支付任何赎金。

新闻来源： 

https://www.securityweek.com/acer-confirms-breach-servers-taiwan

两名东欧人因向网络犯罪分子提供防弹托管服务而被判刑

两名东欧国民因向网络犯罪分子提供“防弹托管（bulletproofhosting）”服务而在美国被判刑，他们在2009年至2015年期间利用技术基础设施在全国范围内分发恶意软件并攻击金融机构。

爱沙尼亚30岁的Pavel Stassi和立陶宛33岁的Aleksandr Shorodumov因参与该计划而分别被判处24个月和48个月的监禁。

事态发展是在Stassi和Shorodumov以及俄罗斯的Aleksandr Grichishkin和Andrei Skvortsov今年5月早些时候对Racketeer Influenced Corrupt Organization(RICO)指控认罪之后几个月的事。美国司法部（DoJ）表示，另外两名共同被告格里希什金和斯克沃尔佐夫正在等待宣判，面临最高20年的监禁。

法庭文件显示，两人都在一家未具名的防弹托管服务提供商担任管理员，该提供商将IP地址、服务器和域出租给网络犯罪客户，以传播恶意软件，例如Zeus、SpyEye、Citadel和Blackhole Exploit kit。访问受害者的机器，将他们加入僵尸网络，并窃取银行凭证。

此外，被告还通过监控用于屏蔽技术基础设施的网站，帮助其客户将其犯罪活动从执法部门匿名化，然后将标记的内容移至以虚假或被盗身份注册的新基础设施，以故意增加难度追踪。

新闻来源： 

https://thehackernews.com/2021/10/two-eastern-europeans-sentenced-for.html

谷歌破坏了大规模的网络钓鱼和恶意软件活动 

根据谷歌的威胁分析小组(TAG)的说法，自2019年底以来，它一直在破坏由俄罗斯黑客分包商网络运行的网络钓鱼活动，这些分包商一直以“高度定制”的网络钓鱼电子邮件和窃取cookie的恶意软件为目标，瞄准YouTube用户。

该组织的主要目标是劫持YouTube帐户进行直播诈骗，这些诈骗提供免费的加密货币以换取最初的贡献。该组织的另一个主要收入来源是出售被劫持的YouTube频道，价格从3美元到4,000美元不等，具体取决于频道的订阅者数量。

谷歌表示，截至今年5月，它已拦截了160万条发送给目标的消息，显示了62,000个安全浏览网络钓鱼警报，并恢复了大约4,000个被劫持的帐户。

网络钓鱼电子邮件提供旨在从浏览器窃取会话cookie的恶意软件。虽然“传递cookie”攻击并不新鲜，但它很巧妙：它不会绕过多因素身份验证(MFA)，但即使用户在帐户上启用MFA也能工作，因为会话cookie在用户使用后被盗已经通过两个因素进行身份验证，例如密码和智能手机。一旦恶意软件执行，cookie就会上传到攻击者的服务器以进行账户劫持。

TAG分析师Ashley Shen解释说：“它重新成为最大的安全风险可能是由于多因素身份验证(MFA)的广泛采用使得滥用变得困难，并将攻击者的重点转移到社会工程策略上。”

谷歌将这次活动归因于一群“在俄语论坛中招募”的“黑客”。然后，承包商用虚假的商业机会欺骗目标，例如通过防病毒软件、VPN、音乐播放器、照片编辑软件或在线游戏的演示获利的机会。但随后攻击者劫持了YouTube频道并出售或使用它来直播加密货币骗局。

新闻来源： 

https://www.zdnet.com/article/google-disrupts-massive-phishing-and-malware-campaign/

安全漏洞威胁

APT攻击者利用较老的Microsoft漏洞使用商业RAT木马入侵

APT伪装成一家IT公司，利用一个存在20年以上既强大又古老的Microsoft Office漏洞，正在攻击阿富汗和印度的目标。

研究人员发现，一个被描述为“独狼”的APT正在利用一个存在数十年的Microsoft Office缺陷，向印度和阿富汗的组织提供大量商品RAT。

攻击者使用政治和政府为主题的恶意域作为活动的诱饵，目标是使用开箱即用的RAT的移动设备，例如适用于Windows和AndroidRAT的dcRAT和QuasarRAT。根据CiscoTalos周二发布的一份报告，他们通过利用CVE-2017-11882在恶意文档中提供RAT。

CVE-2017-11882是Microsoft Office中一个存在20多年的内存损坏漏洞，该漏洞在该公司于2017年修补之前持续了17年。然而，就在两年前，攻击者被发现利用该漏洞，允许他们自动运行恶意代码而无需用户交互。

研究人员表示，该活动背后的高级持续威胁(APT)还在两步攻击的侦察阶段使用了自定义文件枚举器和感染器，随后在活动的后续版本中添加了第二阶段，以部署最终的RAT有效载荷，RAT木马具有多种功能以实现对受害者端点的完全控制。

研究人员表示，为了托管恶意软件有效载荷，威胁行为者注册了多个具有政治和政府主题的域，用于欺骗受害者，特别是与阿富汗外交和人道主义努力相关的域，以针对该国的实体。该活动反映了网络犯罪分子和APT出于多种原因使用商品RAT而不是自定义恶意软件来对付受害者的趋势有所增加。

研究人员指出，使用商品RAT为攻击者提供了一系列开箱即用的功能，包括初步侦察能力、任意命令执行和数据泄露。使用商品恶意软件还可以为攻击者节省开发自定义恶意软件的时间和资源投资。

新闻来源： 

https://threatpost.com/apt-commodity-rats-microsoft-bug/175601/

   谷歌向20亿Chrome用户发出警示

在不到两周前确认了四个严重漏洞之后，谷歌发布了一篇新的博客文章，揭示在Chrome中发现了另外五个“高”级漏洞以及其他11个漏洞。

按照标准做法，谷歌目前正在限制有关新黑客的信息，以便为Chrome用户争取时间升级。因此，这就是该公司目前分享的关于高评级威胁的全部内容：

• 高-CVE-2021-37981：Skia中的堆缓冲区溢出。

• 高-CVE-2021-37982：在隐身模式下免费使用。

• 高-CVE-2021-37983：在开发工具中免费使用。

• 高-CVE-2021-37984：PDFium中的堆缓冲区溢出。

• 高-CVE-2021-37985：在V8中免费使用。

虽然缺少细节，但新威胁延续了最近几个月的模式。“Use-After-Free”（UAF）漏洞上个月对Chrome的攻击次数超过10倍，本月暴露了一个零日UAF漏洞，另外三个高等级攻击（总共六个）构成了最新的漏洞。

为了对抗这些威胁，谷歌发布了一个重要的Chrome更新版本95.0.4638.54。升级方法是导航到Settings>Help>About Google Chrome，检测Chrome的版本号，更新到最新版本，重启浏览器。

新闻来源： 

https://www.forbes.com/sites/gordonkelly/2021/10/20/google-chrome-hack-new-attack-exploit-upgrade-chrome-now/