安全资讯报告

Emotet曾经是世界上最危险的恶意软件，它又回来了

Emotet曾被描述为“世界上最危险的恶意软件”，但在被一次重大的国际警察行动取缔之前，显然又回来了——并被安装在感染了TrickBot恶意软件的Windows系统上。

Emotet恶意软件为其控制器提供了一个进入受感染机器的后门，这些机器可以出租给其他组织，包括勒索软件团伙，用于他们自己的活动。Emotet还使用受感染的系统发送自动网络钓鱼电子邮件，以增加僵尸网络的规模。

拆除僵尸网络是近年来网络犯罪活动最严重的破坏之一，因为世界各地的执法机构——包括欧洲刑警组织和联邦调查局——共同努力控制数百台Emotet服务器，这些服务器控制着数百万台感染了恶意软件。调查人员创建的特制killswitch更新在4月份有效地从受感染的计算机上卸载了僵尸网络。

现在，多家网络安全公司的研究人员警告称，Emotet已经回归。另一个恶意软件僵尸网络TrickBot被用来在受感染的Windows系统上安装Emotet，它在1月份被删除后成为许多网络犯罪分子的首选。

“我们在几个Trickbot跟踪器上观察到该机器人试图将DLL下载到系统中。根据内部处理，这些DLL已被识别为Emotet。但是，由于该僵尸网络在今年早些时候被删除，我们对此表示怀疑德国网络安全公司GData的安全研究员Luca Ebach在一篇博客文章中写道。

来自AdvIntel、Crypolaemus和其他公司的网络安全研究人员也证实，这确实看起来像是Emotet的回归，它似乎使用了一种与之前看到的不同的加密技术。

目前，Emotet并没有尝试重新分配自身，而是依靠TrickBot来传播新的感染——但这确实表明Emotet背后的人正试图让僵尸网络重新启动并运行。

“这个新的变种和旧Emotet出了码重叠和技术重复之间的关系，”詹姆斯柄，在团队库姆，一个网络安全公司，是那些中的社区服务和高级安全传道总设计师帮助一月破坏Emotet告诉ZDNet在一封电子邮件中。

“需要一些时间来看看Emotet如何重建，以及它是否会再次成为‘世界上最危险的恶意软件’。你可以肯定，那些帮助第一次将其取缔的人正在密切关注。它不会来“令人惊讶的是，Emotet重新浮出水面。事实上，更多人可能想知道为什么花了这么长时间，”他补充道。

新闻来源： 

https://www.zdnet.com/article/emotet-once-the-worlds-most-dangerous-malware-is-back/

木马SharkBot：专门针对Android手机的新恶意软件

10月底，Cleafy网络安全研究人员发现了这个恶意软件，令人惊讶的是，它似乎不属于任何其他已知家族。Cleafy将他们发现的恶意软件称为SharkBot，这是一种从一些易受攻击的手机中窃取资金的Android恶意软件。

根据ZDNet的报道，SharkBot的重点是从运行Google Android操作系统的手机中窃取资金。截至目前，英国、美国和意大利均出现感染病例。

SharkBot很可能是一个私人僵尸网络，还处于起步阶段或至少处于发展的早期阶段。据研究人员称，SharkBot是一种模块化恶意软件，属于下一代移动恶意软件。

与Gustuff银行木马一样，启动自动填充服务是为了通过使用合法的金融服务应用程序进行欺诈性汇款。这已开始成为恶意软件开发的普遍趋势，也是移动电话（如网络钓鱼域）上发生的旧盗窃技术的一个支点。

Cleafy现在建议SharkBot使用这种技术来尝试绕过生物特征检查、行为分析和多因素身份验证，因为不需要注册新设备。但是，要做到这一点，恶意软件必须首先破坏Android无障碍服务。

一旦最终在Android手机上执行，SharkBot会立即发送请求访问权限。然后，这将通过弹出窗口困扰受害者，直到最终获得批准。

棘手的部分是没有显示安装图标，一旦SharkBot获得所需的所有手机权限，SharkBot就会悄悄地覆盖攻击以窃取凭据和卡信息。SharkBot还基于ATS执行盗窃，还可以键入日志并拦截或隐藏任何传入的SMS消息。

新闻来源： 

https://www.techtimes.com/articles/268055/20211116/new-malware-specializes-android-handsets-trojan-sharkbot-attacks-waves-europe.htm

新的“摩西员工”黑客组织以破坏性攻击为目标针对以色列公司

自2021年9月以来，一个名为“Moses Staff”的具有政治动机的新黑客组织与一波针对以色列组织的针对性攻击有关，其目的是在加密网络之前掠夺和泄露敏感信息，并且无法重新获得访问权限或进行谈判赎金。

Check Point Research在周一发布的一份报告中说：“该组织公开表示，他们攻击以色列公司的动机是通过泄露被盗的敏感数据和加密受害者的网络来造成损害，没有赎金要求。”“用袭击者的话来说，他们的目的是‘打击抵抗并揭露被占领土上犹太复国主义者的罪行。’”

根据该集体发布的统计数据，迄今为止，至少有16名受害者的数据被泄露。除了使用引导加载程序感染系统以防止系统在没有正确加密密钥的情况下启动之外，这些攻击还特别依赖开源库DiskCryptor来执行卷加密。研究人员说，目标是破坏行动并对受害者造成“不可逆转的伤害”。

Check Point没有将攻击者归咎于任何特定国家，理由是缺乏明确的证据，但指出该组织工具集的一些工件已在第一次攻击前几个月从巴勒斯坦提交给VirusTotal。

新闻来源： 

https://thehackernews.com/2021/11/new-moses-staff-hacker-group-targets.html

WordPress网站遭到虚假勒索软件攻击

上周晚些时候开始的新一波攻击已经入侵了近300个WordPress网站以显示虚假的加密通知，试图诱骗网站所有者支付0.1比特币进行恢复。

这些赎金要求带有倒数计时器，以引起紧迫感，并可能使网络管理员惊慌地支付赎金。

虽然与我们在备受瞩目的勒索软件攻击中看到的相比，0.1比特币（约6,069.23美元）的赎金需求并不是特别重要，但对于许多网站所有者来说，这仍然是一个相当大的数额。

研究人员发现这些网站没有被加密，而是攻击者修改了一个已安装的WordPress插件，以显示赎金记录和倒计时。除了显示赎金记录外，该插件还会修改所有WordPress博客文章并将其“post_status”设置为“null”，从而使它们进入未发布状态。

攻击者创造了一种简单而强大的错觉，使网站看起来好像已被加密。通过删除插件并运行命令重新发布帖子和页面，站点恢复到正常状态。

新闻来源： 

https://www.bleepingcomputer.com/news/security/wordpress-sites-are-being-hacked-in-fake-ransomware-attacks/

安全漏洞威胁

研究人员表示，勒索软件团伙现在已经足够有钱购买零日漏洞

随着网络犯罪分子不断寻找新的攻击方式，他们变得越来越先进，有些人现在愿意购买零日漏洞。有关漏洞和漏洞利用的知识在地下论坛上可能会付出高昂的代价，因为能够利用它们对网络犯罪分子来说是非常有利可图的。特别是如果这涉及网络安全研究人员不知道的零日漏洞，因为攻击者知道潜在的受害者将没有机会应用安全更新来防御它。

Digital Shadows网络安全研究人员的分析，详细说明了暗网留言板上关于零日犯罪市场的讨论越来越多。“这个市场是一个极其昂贵且竞争激烈的市场，它通常是国家支持的威胁组织的特权。然而，某些知名网络犯罪集团在过去几年积累了惊人的财富，现在可以竞争与零日漏洞的传统买家一起，”Digital Shadows说。

像这样的漏洞甚至可能花费数百万美元，但对于成功的勒索软件组织来说，这是一个可以承受的价格，如果漏洞按预期工作，该组织从每次成功的勒索软件攻击中赚取数百万美元，他们可以通过提供渗透网络的可靠手段。

发现漏洞的网络罪犯可以将其出租给其他人，而不是直接出售漏洞。如果他们通过复杂的过程出售它，它可能会开始让他们更快地赚钱，并且他们可以继续从中赚钱很长一段时间。如果他们厌倦了租赁，他们还可以选择最终出售零日。

新闻来源： 

https://www.zdnet.com/article/ransomware-gangs-are-now-rich-enough-to-buy-zero-day-flaws-say-researchers/