安全资讯报告

勒索软件团伙使用“无情”的策略，以获得更大的回报

根据欧洲执法机构欧洲刑警组织的数据，仅在2019年至2020年之间，赎金支付的数量就增加了300%。网络犯罪分子以供应链、关键基础设施、医院等为目标的几起重大事件表明，成功的勒索软件攻击具有多么大的破坏性。

为了获得解密加密文件和服务器所需的解密密钥，许多成为勒索软件攻击受害者的组织将支付赎金，这可能会花费数百万美元的比特币或其他加密货币。网络犯罪分子并没有尝试大规模分发勒索软件并希望某些攻击能够成功，而是选择较少数量的目标，而是根据他们最有可能支付赎金来选择这些目标。

报告称：“大规模分发勒索软件的攻击似乎正在减少，犯罪分子正在转向针对私营公司、医疗保健和教育部门、关键基础设施和政府机构的勒索。”这一转变表明，勒索软件运营商会根据财务能力来选择目标，以满足更高的赎金要求，以及目标受害者需要尽快恢复运营。

随着犯罪分子在网络中花费更多时间研究目标并提升其特权，以进一步破坏基础设施并获取更多数据，勒索软件攻击变得更加复杂。如果不支付赎金，网络犯罪分子将窃取数据并威胁要发布数据。这些双重勒索攻击对不希望公开敏感信息的组织十分有效。如果受害者不支付赎金，一些勒索软件攻击已经开始威胁受害者，通过DDoS攻击进一步破坏。

欧洲刑警组织表示：“肇事者的作案手法越来越无情和有条不紊。许多最臭名昭著的勒索软件附属程序对其受害者进行DDoS攻击，以迫使他们遵守勒索要求。

新闻来源： 

https://www.zdnet.com/article/ransomware-gangs-are-now-using-ruthless-tactics-as-they-aim-for-bigger-payouts/

网络钓鱼攻击比2020年增长31.5%，社交媒体攻击继续攀升

根据PhishLabs的一份报告，网络钓鱼仍然是不良行为者的主要攻击媒介，在2020年增长了31.5%。值得注意的是，2021年9月的攻击次数是前一年的两倍多。

网络钓鱼和社交媒体攻击的惊人增长，2021年社交媒体攻击猛增：自1月以来，每个目标的社交媒体攻击平均数量稳步攀升，今年迄今增长了82%。

在第三季度，企业用户报告的凭据盗窃网络钓鱼攻击中有51.6%以Office365登录为目标。

新闻来源： 

https://www.helpnetsecurity.com/2021/11/11/phishing-attacks-grow-2020/

黑客通过博客文章瞄准韩国智库

在自2021年6月开始追踪的一项新活动中，高级持续威胁(APT)组织一直试图在受害机器上植入监视和基于盗窃的恶意软件。

来自Cisco Talos的研究人员表示，Kimsuky APT，也被称为Thallium或Black Banshee，是这波攻击的罪魁祸首，其中恶意的Blogspot内容被用来引诱“韩国智囊团，他们的研究重点是政治与朝鲜、中国、俄罗斯和美国有关的外交和军事话题。”

具体来说，地缘政治和航空航天组织似乎在APT的关注范围内。Kimsuky至少自2012年以来一直活跃。AhnLab表示，电子邮件中附带的表格、调查问卷和研究文件过去曾被用作网络钓鱼诱饵，而在Talos检测到的活动中，恶意Microsoft Office文档仍然是主要的攻击媒介。

通常，恶意VBA宏包含在文档中，一旦触发，将从Blogspot下载有效负载。这些博客文章基于Gold Dragon/Brave Prince恶意软件系列提供了三种类型的恶意内容：初始信标、文件窃取程序和植入部署脚本——后者旨在感染端点并启动进一步的恶意软件组件，包括键盘记录器、信息窃取器和用于网站登录凭据盗窃的文件注入器模块。

Kimsuky威胁参与者将扫描他们特别感兴趣的文件。这包括与朝鲜、无核化、美国、中国和俄罗斯之间的关系以及火箭设计、航空燃料研究、流体力学和材料科学相关的内容。研究人员说：“Kimsuky是一个积极主动的威胁行为者，目标是韩国的许多实体。该组织一直在不懈地创建新的感染链，以向受害者提供不同类型的恶意软件。此类有针对性的攻击可能导致受限研究的泄露、未经授权的间谍访问，甚至对目标组织的破坏性攻击。”

新闻来源： 

https://www.zdnet.com/article/north-korean-hackers-target-the-souths-think-tanks-through-blog-posts/

Google Play上的“智能电视遥控器”是恶意软件

本周，Google Play商店中的两个Android应用程序被发现包含恶意软件。这些应用程序被称为“智能电视遥控器”和“万圣节着色”，前者已被下载至少1,000次。智能电视远程应用程序包“Joker”恶意软件，这些应用程序被Joker恶意软件感染了木马。

Google Play Protect在安装应用程序时会对其进行检查。还会定期扫描您的设备。如果发现潜在有害应用程序，会向用户发送通知，禁用该应用程序，直到卸载。安装了这些应用程序的用户应立即卸载应用程序，清理他们的智能手机，并检查是否有任何未经授权的订阅或从他们的帐户发起的计费活动。

新闻来源： 

https://www.bleepingcomputer.com/news/security/careful-smart-tv-remote-android-app-on-google-play-is-malware

Windows 10 App Installer在BazarLoader恶意软件攻击中被滥用

TrickBot团伙运营商现在正在滥用Windows 10应用安装程序，将他们的BazarLoader恶意软件部署到成为高度针对性垃圾邮件活动受害者的目标系统上。

BazarLoader（又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor）是一种隐蔽的后门木马，通常用于破坏高价值目标的网络并将对受损资产的访问权出售给其他网络犯罪分子。

它被用于提供额外的有效载荷，例如Cobalt Strike信标，可帮助威胁行为者访问受害者的网络并最终部署危险的恶意软件，包括但不限于Ryuk勒索软件。

钓鱼网站上的“预览PDF”按钮不是指向PDF文档，而是打开一个带有ms-appinstaller:前缀的URL。单击该按钮时，浏览器将首先显示警告，询问受害者是否允许该站点打开App Installer。大多数人在看到adobeview.*时可能会忽略它。单击警告对话框中的“打开”将启动Microsoft的应用程序安装程序，以伪造的Adobe PDF组件的形式在受害者设备上部署恶意软件。

在受感染设备上部署后，BazarLoader将开始收集系统信息（例如，硬盘、处理器、主板、RAM、本地网络上具有面向公众的IP地址的活动主机）。

新闻来源： 

https://www.bleepingcomputer.com/news/security/windows-10-app-installer-abused-in-bazarloader-malware-attacks/

安全漏洞威胁

Magniber勒索软件团伙利用Internet Explorer漏洞进行攻击

Magniber勒索软件团伙现在正在使用两个Internet Explorer漏洞和恶意广告来感染用户并加密他们的设备。这两个Internet Explorer漏洞被跟踪为CVE-2021-26411和CVE-2021-40444，两者的CVSSv3严重性评分均为8.8。

第一个CVE-2021-26411已于2021年3月修复，是通过查看特制网站触发的内存损坏漏洞。第二个漏洞CVE-2021-40444是由打开恶意文档触发的IE渲染引擎中的远程代码执行。在微软于2021年9月修复之前，攻击者曾利用CVE-2021-40444作为零日漏洞。

Magniber团伙以利用漏洞破坏系统和部署勒索软件而闻名。8月，有人观察到Magniber利用“PrintNightmare”漏洞破坏Windows服务器，由于它们对打印的影响，微软需要一段时间来解决。最新的Magniber活动侧重于使用推送漏洞利用工具包的恶意广告来利用Internet Explorer漏洞，腾讯安全研究人员确认了“新鲜”有效载荷。

Magniber于2017年开始作为Cerber勒索软件的继承者，最初仅感染来自韩国的用户。该组织随后扩大了目标范围，并开始感染中国（包括台湾和香港）、新加坡和马来西亚的系统。Magniber勒索软件一直处于非常活跃的开发阶段，其有效载荷已被完全重写了3次。目前，它仍然未破解，因此没有解密器可以帮助恢复病毒加密的文件。

新闻来源： 

https://www.bleepingcomputer.com/news/security/magniber-ransomware-gang-now-exploits-internet-explorer-flaws-in-attacks/

新的Golang恶意软件(BotenaGo)，针对数百万路由器和物联网设备利用了30多个漏洞

AT&T AlienLabs发现了用开源编程语言Golang编写的新恶意软件。它部署了30多个漏洞利用程序，有可能针对数百万个路由器和物联网设备。

根据Intezer最近的一篇文章，Go编程语言在过去几年中在恶意软件作者中的受欢迎程度急剧增加。该网站表明，在野外发现的用Go编写的恶意软件代码增加了2,000%。其日益流行的一些原因与为不同系统编译相同代码的容易性有关，这使攻击者更容易在多个操作系统上传播恶意软件。

BotenaGo目前的反病毒(AV)检测率较低。一些杀毒软件使用Go作为Mirai恶意软件检测这些新的恶意软件变种——有效载荷链接看起来确实相似。Alien Labs发现的新恶意软件变种与Mirai恶意软件的攻击功能不同，新变种只会寻找易受攻击的系统来传播其负载。

新闻来源： 

https://cybersecurity.att.com/blogs/labs-research/att-alien-labs-finds-new-golang-malwarebotenago-targeting-millions-of-routers-and-iot-devices-with-more-than-30-exploits