安全资讯报告

黑客因通过SIM卡劫持窃取数百万美元的加密货币而被判入狱

美国司法部(DoJ)表示，与名为The Community的国际黑客组织有关联的第六名成员因涉及数百万美元的SIM交换阴谋而被判刑。

来自美国密苏里州的22岁的加勒特·恩迪科特(Garrett Endicott)在2019年被起诉后承认了电信欺诈和严重身份盗窃的指控，被判入狱10个月，并被勒令支付总额为121,549.37美元的赔偿金。

目标是利用电话号码作为网关来劫持目标使用的不同在线服务，例如电子邮件、云存储和加密货币交换帐户，方法是重置他们的密码和通过短信发送的一次性验证码作为攻击的一部分。双因素身份验证(2FA)过程，使网络犯罪人员能够规避安全措施。

美国司法部表示：“社区成员参与Sim Hijacking以从全国各地的受害者那里窃取加密货币，包括加利福尼亚、密苏里、密歇根、犹他、德克萨斯、纽约和伊利诺伊，”美国司法部表示，导致加密货币被盗。盗窃时间从不同的受影响方的2,000美元到超过500万美元不等。

新闻来源：

https://thehackernews.com/2021/12/hacker-jailed-for-stealing-millions-of.html

研究显示针对黑色星期五购物者的网络钓鱼活动激增

电子邮件安全公司Egress发布的研究表明，在黑色星期五之前，模仿主要品牌的网络钓鱼工具包激增，网络犯罪分子正在加紧对假日购物的网络钓鱼攻击季节。

这项与Orpheus Cyber合作进行的研究揭开了网络犯罪分子如何准备利用零售活动的神秘面纱，报告称与网络钓鱼工具包明确相关的拼写错误域名增加了397%。亚马逊是网络犯罪分子的热门选择，在预期的黑色星期五促销活动之前，冒充该品牌的网络钓鱼工具包增加了334.1%。亚马逊是与网络钓鱼工具包相关的欺诈网页的顶级品牌，研究人员观察到近4,000个模仿该品牌的网页——是流行的在线拍卖网站eBay检测到的网页数量的三倍，是美国零售巨头沃尔玛的四倍多。

专家认为，在圣诞节前的几个月里，对网络钓鱼工具包的需求将继续增加，网络犯罪分子会利用在此期间发送的真实营销电子邮件数量的增加来掩盖自己的恶意攻击。在此期间，网络犯罪分子通常会将他们的恶意攻击伪装成零售商优惠、订单确认或交货确认电子邮件。

新闻来源：

https://www.realwire.com/releases/Research-reveals-surge-in-phishing-as-a-service-activity

Microsoft Exchange Server在新的网络钓鱼活动中被滥用

专门从事通信技术风险和信息管理的咨询公司Certitude的IT安全研究人员称，威胁行为者正在利用未打补丁的Microsoft Exchange Server向不知情的客户发送网络钓鱼电子邮件。

这是另一场未打补丁的Exchange Server被滥用于恶意目的的活动。2021年8月，发现攻击者使用ProxyShell攻击针对未打补丁的Exchange服务器——2021年9月，Conti勒索软件附属公司正在使用ProxyShell漏洞攻击未打补丁的Exchange服务器。

在一篇博客文章中，Certitude的Peter Wagner透露，该公司于2021年11月初披露，该公司收到了有关发送到其客户电子邮件帐户的包含可疑URL的网络钓鱼电子邮件的信息。

这些电子邮件是作为对先前发送的消息的回复发送的，因此这些电子邮件看起来是合法的。电子邮件标头表明这些来自客户的Exchange而不是来自外部来源的欺骗。

进一步的调查显示，该活动的目标是没有安装更新包含多个高危漏洞的内部Exchange服务器。这些漏洞包括ProxyShell（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）和ProxyLogon（CVE-2021-26855）。但是，研究人员没有在Exchange服务器上发现恶意软件。

新闻来源：

https://www.hackread.com/unpatched-microsoft-exchange-servers-phishing/

APT黑客越来越多地使用RTF注入进行网络钓鱼

APT黑客组织在最近的网络钓鱼活动中使用了一种新颖的RTF（富文本格式）模板注入技术。这种技术是一种从远程URL检索恶意内容的简单而有效的方法，威胁分析师预计它很快就会覆盖更广泛的威胁参与者。

富文本格式(RTF)文件是由Microsoft创建的一种文档格式，可以使用Microsoft Word、写字板和几乎所有操作系统上的其他应用程序打开。创建RTF文件时，您可以包含一个RTF模板，用于指定文档中文本的格式。这些模板是在显示文件内容以正确格式化之前导入到RTF查看器的本地文件。

虽然RTF模板旨在本地托管，但攻击者现在正在滥用此合法功能来检索URL资源而不是本地文件资源。这种替换允许威胁行为者将恶意负载加载到Microsoft Word等应用程序中，或针对远程URL执行NTLM身份验证以窃取Windows凭据。此外，由于这些文件作为RTF模板传输，因此它们更容易绕过检测网络钓鱼诱饵，因为它们最初不存在于RTF文件中。

创建远程RTF模板非常简单，因为威胁行为者所要做的就是{\*\templateURL}使用十六进制编辑器将命令添加到RTF文件中。该方法也适用于在Microsoft Word中打开的doc.rtf文件，强制应用程序在将内容提供给受害者之前从指定的URL检索资源。

Proofpoint在亲印度黑客组织DoNot Team、与俄罗斯有关联的Gamaredon黑客组织和TA423威胁参与者的网络钓鱼活动中观察到了这种有效载荷检索方法。为了抵御这种威胁，您应该避免下载和打开通过未经请求的电子邮件到达的RTF文件，使用AV扫描仪扫描它们，并通过应用最新的可用安全更新来使您的Microsoft Office保持最新状态。

新闻来源：

https://www.bleepingcomputer.com/news/security/state-backed-hackers-increasingly-use-rtf-injection-for-phishing/

    Microsoft Exchange服务器被黑客入侵以部署BlackByte勒索软件

BlackByte勒索软件团伙现在通过使用ProxyShell漏洞利用Microsoft Exchange服务器来破坏公司网络。

ProxyShell是一组三个Microsoft Exchange漏洞的名称，这些漏洞允许在链接在一起时在服务器上未经身份验证的远程代码执行。

自从研究人员披露了这些漏洞后，攻击者就开始利用它们来破坏服务器并安装webshell、硬币矿工和勒索软件。

• CVE-2021-34473-预身份验证路径混淆导致ACL绕过（KB5001779于4月修补）

• CVE-2021-34523-ExchangePowerShell后端的特权提升（KB5001779于4月修补）

• CVE-2021-31207-授权后任意文件写入导致RCE（KB5003435于5月修补）

研究人员分析了BlackByte勒索软件攻击，发现攻击者利用ProxyShell漏洞在受感染的Microsoft Exchange服务器上安装webshell。WebShell是上传到Web服务器的小脚本，允许威胁行为者获得对设备的持久性并远程执行命令或将其他文件上传到服务器。利用植入的webshell在服务器上放置Cobalt Strike信标，注入Windows更新代理进程。然后使用广泛滥用的渗透测试工具在受感染系统上转储服务帐户的凭据。最后，攻击者接管帐户，安装AnyDesk远程访问工具，进入横向移动阶段。

新闻来源：

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-blackbyte-ransomware/

安全漏洞威胁

惠普针对打印机产品漏洞发布固件更新

HPInc.已针对影响其多功能打印机(MFP)产品的150多种型号的多个安全漏洞发布固件更新。

根据发现漏洞并于2021年4月向惠普报告的F-Secure研究人员称，它们对企业组织构成了威胁，因为它们为攻击者提供了一种窃取数据并在网络上立足的手段。

这些缺陷也很危险，因为取证工具通常无法从多功能打印机中恢复证据。F-Secure表示，想要保持隐身状态的攻击者可以利用这些漏洞并留下很少的证据。

这些漏洞被分配了两个漏洞标识符：CVE-2021-39237是两个暴露的物理端口的单一标识符，CVE-2021-39238是两个不同的字体解析缺陷。包含漏洞的惠普产品包括该公司的HP LaserJet、HP LaserJet Managed、HP PageWide和HP PageWide Managed打印机型号。

在宣布补丁可用性的公告中，HP将其中一个漏洞(CVE-2021-39238)描述为严重的缓冲区溢出问题，将另一个(CVE-2021-39237)描述为只能被某人利用的高严重性信息泄露漏洞，利用漏洞需要对设备进行物理访问。

F-Secure表示可以通过多种方式利用这些漏洞。这包括从USB驱动器打印、使用社会工程学说服用户打印恶意文档、在PDF中嵌入字体解析缺陷的漏洞利用或直接连接到物理LAN端口并打印。

这些漏洞存在于受影响的HP打印机的字体解析器和通信板中。字体解析器的缺陷可以被远程利用并且是蠕虫病毒，这意味着攻击者可以创建能够在企业网络中易受攻击的打印机上自我复制的恶意软件。与此同时，通信板中的错误只能被能够物理访问设备的人利用。

新闻来源：

https://www.darkreading.com/vulnerabilities-threats/hp-issues-firmware-updates-for-printer-product-vulnerabilities