新型Linux恶意软件隐藏在无效日期中、黑客通过微软漏洞监视目标电脑|11月26日全球网络安全热点

发布者:腾讯安全
发布于:2021-11-26 14:23

图片




安全资讯报告


Discord恶意软件活动针对加密和NFT社区

 

Discord上的一项新恶意软件活动使用Babadeda加密器来隐藏针对加密、NFT和DeFi社区的恶意软件。

 

Babadeda是一种加密程序,用于加密和混淆看似无害的应用程序安装程序或程序中的恶意负载。

 

从2021年5月开始,威胁行为者一直在以加密为主题的Discord频道上分发由Babadeda作为合法应用程序混淆的远程访问木马。

 

由于其复杂的混淆,它的AV检测率非常低,据Morphisec的研究人员称,其感染率正在加快。

 

新闻来源: 

https://www.bleepingcomputer.com/news/security/discord-malware-campaign-targets-crypto-and-nft-communities/

 

新的Linux恶意软件隐藏在日期无效的cron作业中

 

安全研究人员发现了一种新的Linux远程访问木马(RAT),它通过隐藏在计划在2月31日不存在的一天执行的任务中来保持几乎不可见的配置文件。

 

该恶意软件被称为CronRAT,目前以网络商店为目标,使攻击者能够通过在Linux服务器上部署在线支付撇取器来窃取信用卡数据。CronRAT具有独创性和复杂性的特点,就在线商店的恶意软件而言,许多防病毒引擎都无法检测到它。

 

CronRAT滥用Linux任务调度系统cron,该系统允许调度任务在日历中不存在的日子运行,例如2月31日。Linuxcron系统接受日期规范,只要它们具有有效的格式,即使日历中不存在日期-这意味着计划任务不会执行。

 

这就是CronRAT实现其隐身所依赖的。荷兰网络安全公司Sansec今天的一份报告解释说,它在计划任务的名称中隐藏了一个“复杂的Bash程序”。CronRAT背后的攻击者可以在受感染的系统上运行任何命令。

 

CronRAT已在世界各地的多家商店中被发现,它被用来在服务器上注入窃取支付卡数据的脚本——即所谓的Magecart攻击。

 

Sansec将新恶意软件描述为“对Linux电子商务服务器的严重威胁”,因为它具有以下功能:

  • 无文件执行

  • 定时调制

  • 防篡改校验和

  • 通过二进制混淆协议控制

  • 在单独的Linux子系统中启动串联RAT

  • 伪装成“DropbearSSH”服务的控制服务器

  • 有效负载隐藏在合法的CRON计划任务名称中

 

所有这些功能使CronRAT几乎无法检测到。在Virus Total扫描服务上,12个防病毒引擎无法处理恶意文件,其中58个未将其检测为威胁。

 

新闻来源: 

https://www.bleepingcomputer.com/news/security/new-linux-malware-hides-in-cron-jobs-with-invalid-dates/

 

CISA、FBI建议在网上保持警惕,以抵御感恩节前后的勒索软件攻击

 

在感恩节假期之前,网络安全和基础设施安全局和联邦调查局正在敦促提高警惕,防范勒索软件攻击,要求公司实施多因素身份验证,并要求员工不要点击可疑电子邮件。

 

CISA主管Jen Easterly在一份声明中说:“虽然我们目前还没有意识到具体的威胁,但我们知道威胁行为者不会休假。”“我们将继续提供及时和可操作的信息,以帮助我们的行业和政府合作伙伴在假期期间保持安全和弹性。我们敦促所有组织保持警惕,并向CISA或FBI报告任何网络事件。”

 

“具体来说,恶意网络攻击者经常利用假期和周末来破坏属于组织、企业和关键基础设施的关键网络和系统,”声明继续说道。

 

美国国土安全部表示,从2019年到2020年,勒索软件攻击增加了300%。

 

新闻来源: 

https://1430wcmy.com/2021/11/24/cisa-fbi-recommend-vigilance-online-to-ward-off-ransomware-attacks-around-thanksgiving/

 

零信任可有效应对勒索软件威胁

 

零信任是安全供应商、顾问和政策制定者抛出的最新流行语,作为解决所有网络安全问题的灵丹妙药。大约42%的全球组织表示,他们已经制定了采用零信任的计划。拜登政府还概述了联邦网络和系统采用零信任架构的必要性。

 

零信任的概念已经存在一段时间了,很可能是最低权限访问的扩展。零信任通过“永不信任,始终验证”的原则有助于最大限度地减少攻击者的横向移动(即入侵者用于侦察网络的技术)。在零信任的世界中,不会仅仅因为您位于公司防火墙之后就授予您隐含的信任(无论您从何处登录或尝试访问的资源如何)。只有获得授权的个人才能根据需要访问选择的资源。

 

为了有效地实施零信任,组织必须了解其三个核心组成部分:


1.指导原则

四项指导原则是零信任战略的基本要素。这些包括定义业务成果(组织只有在知道他们试图保护什么以及他们在哪里之后才能有效地保护自己);从内到外进行设计(识别需要细粒度保护的资源并构建与这些资源密切相关的安全控制);概述身份访问要求(为用户和设备提供更细粒度的访问控制管理);并检查和记录所有流量(将经过身份验证的身份与预定义的策略、历史数据和访问请求的上下文进行比较)。

 

2.零信任网络架构

ZTNA由保护面(对公司最有价值的数据、资产、应用和服务资源)组成;微边界(保护资源而不是整个网络环境的粒度保护);微分段(根据业务的不同功能将网络环境分为离散的区域或部门);和特定于上下文的最小权限访问(根据工作角色和相关活动以及通过制定最小权限原则授予资源访问权限)。

 

3.实现零信任的技术

没有一种解决方案可以实现零信任。话虽如此,身份访问管理、多因素身份验证、单点登录、软件定义边界、用户和实体行为分析、下一代防火墙、端点检测和响应以及数据泄漏预防等技术可以帮助您开始零信任。

 

零信任和勒索软件问题

 

零信任不是勒索软件的灵丹妙药,但如果实施得当,它可以帮助创建更强大的安全防御来抵御勒索软件攻击。这是因为,从根本上说,人为错误是所有网络攻击的根本原因,而零信任将焦点重新放在用户身份和访问管理上。零信任还有助于显着减少攻击面,因为内部和外部用户只能访问有限的资源,而所有其他资源都完全隐藏起来。

 

零信任是一种类似于数字化转型的策略。它需要整个组织(不仅仅是IT团队)的承诺;它需要思维方式的改变和架构方法的根本转变;它需要谨慎执行并深思熟虑,并牢记长远;最后,它必须是一个永恒的、不断发展的过程,随着不断变化的威胁形势而变化。几乎一半的网络安全专业人员仍然对应用零信任模型缺乏信心,这是理所当然的-一个错误的举动可能会使组织处于更糟糕的境地。也就是说,成功实施零信任的企业将在对抗勒索软件等不断变化的威胁方面处于更有利的地位,并成为真正具有网络弹性的组织。

 

新闻来源: 

https://www.darkreading.com/vulnerabilities-threats/zero-trust-an-answer-to-the-ransomware-menace-

 

多数网购钓鱼诈骗针对美国消费者

 

对垃圾邮件的分析表明,在假期前夕,大多数针对在线购物者的网络钓鱼诈骗都来自美国(44%)。

 

该数字基于对Bitdefender在2021年11月1日至11月11日期间收集的全球垃圾邮件遥测数据的分析,以预测即将到来的假日购物季。

 

研究表明,尽管网络钓鱼者撒网很广,但他们的重点是美国购物者,美国购物者成为威胁行为者最有吸引力的目标,接收垃圾邮件的比例最大,占全球垃圾邮件总量的44%。

 

紧随其后的是英国(8%)、澳大利亚(6%)、南非(5%)、爱尔兰(4%)、德国(4%)、瑞典(3%)、丹麦(2%)、法国(2%)、罗马尼亚(1%)和意大利(1%)。

 

新闻来源: 

https://www.techradar.com/news/most-phishing-scams-targeting-online-shoppers-originate-in-the-us

 

这个新的隐形JavaScript恶意软件正在感染计算机

 

HP ThreatResearch将新的规避加载程序称为“RATDispenser”,该恶意软件负责在2021年部署至少八个不同的恶意软件系列。已经发现了这种新恶意软件的大约155个样本,分布在三个不同的变体中,暗示它处于活动状态发展。

 

“RATDispenser用于在启动二级恶意软件之前在系统上获得初始立足点,从而建立对受感染设备的控制,”安全研究员帕特里克·施拉普弗说。“所有有效载荷都是RAT,旨在窃取信息并让攻击者控制受害设备。”

 

与其他此类攻击一样,感染的起点是包含恶意附件的网络钓鱼电子邮件,该附件伪装成文本文件,但实际上是经过混淆的JavaScript代码,用于编写和执行VBScript文件,反过来,在受感染的机器上下载最后阶段的恶意软件负载。

 

新闻来源: 

https://thehackernews.com/2021/11/this-new-stealthy-javascript-loader.html



安全漏洞威胁



黑客通过Microsoft MSHTML漏洞利用恶意软件监视目标PC

 

发现一个新的攻击利用Microsoft Windows MSHTML漏洞,使用一种新的基于PowerShell的信息窃取程序来瞄准讲波斯语的受害者,该信息窃取程序旨在从受感染的机器中获取大量详细信息。

 

窃取程序是一个PowerShell脚本,具有强大的收集功能——仅约150行,它为攻击者提供了大量关键信息,包括屏幕截图、电报文件、文档收集以及有关受害者环境的大量数据。近一半的目标来自美国,这家网络安全公司指出,这些攻击可能针对“居住在国外并可能被视为对伊朗伊斯兰政权构成威胁的伊朗人。

 

网络钓鱼活动始于2021年7月,涉及利用CVE-2021-40444,这是一个远程代码执行漏洞,可以使用特制的Microsoft Office文档加以利用。微软于2021年9月修补了该漏洞,几周前就出现了有关主动利用漏洞的报道。

 

攻击者可以制作恶意ActiveX控件,供托管浏览器渲染引擎的Microsoft Office文档使用。攻击者必须说服用户打开恶意文档。将帐户配置为具有较少用户权限的用户与使用管理用户权限操作的用户相比,该系统受到的影响可能较小。

 

SafeBreach描述的攻击序列始于目标接收鱼叉式网络钓鱼电子邮件,该电子邮件以Word文档为附件。打开该文件会触发CVE-2021-40444的漏洞利用,导致执行名为“PowerShortShell”的PowerShell脚本,该脚本能够隐藏敏感信息并将其传输到命令和控制(C2)服务器。

 

虽然在9月15日观察到涉及部署信息窃取程序的感染,但在微软发布该漏洞补丁的第二天,上述C2服务器也被用来收集受害者的Gmail和Instagram凭据,这是该组织发起的两次网络钓鱼活动的一部分。

 

新闻来源: 

https://thehackernews.com/2021/11/hackers-using-microsoft-mshtml-flaw-to.htm



声明:该文观点仅代表作者本人,转载请注明来自看雪