安全资讯报告

Emotet现在放弃Cobalt Strike，快速推进勒索软件攻击

在一个令人担忧的发展中，臭名昭著的Emotet恶意软件现在直接安装Cobalt Strike信标，为威胁行为者提供即时网络访问权限，并使勒索软件攻击迫在眉睫。

Emotet是一种恶意软件感染，它通过包含恶意Word或Excel文档的垃圾邮件进行传播。这些文件利用宏在受害者的计算机上下载和安装Emotet木马，然后用它来窃取电子邮件并在设备上部署更多恶意软件。

从历史上看，Emotet会在受感染的设备上安装TrickBot或Qbot木马。这些木马最终会在受感染的设备上部署Cobalt Strike或执行其他恶意行为。

Cobalt Strike是一个合法的渗透测试工具包，允许攻击者在受感染设备上部署“信标”以执行远程网络监视或执行进一步的命令。但是，Cobalt Strike在使用破解版本作为其网络漏洞的一部分的威胁行为者中非常受欢迎，并且通常用于勒索软件攻击。

新闻来源：

https://www.bleepingcomputer.com/news/security/emotet-now-drops-cobalt-strike-fast-forwards-ransomware-attacks/

谷歌暂时瓦解了感染100万台PC的僵尸网络

谷歌透露，它最近破坏了受Glupteba感染的庞大计算机网络。该公司估计，该恶意软件已感染全球约100万台Windows PC，这将使其成为迄今为止最大的已知僵尸网络之一。

僵尸网络是由受单一方控制的恶意软件感染的计算机或联网设备组成的网络。在这种情况下，谷歌将Glupteba追溯到至少两个来自俄罗斯的人。该公司正在起诉他们，希望它能“开创先例，为僵尸网络运营商创造法律和责任风险，并有助于阻止未来的活动。”

Google表示，它看到网络每天增长约1,000台设备。将计算机添加到Glupteba僵尸网络的恶意软件通常隐藏在提供免费软件的粗略网站上。据谷歌称，Glupteba的运营商使用恶意软件窃取个人数据、挖掘加密货币并通过受感染的机器引导其他互联网流量。

谷歌与互联网基础设施提供商协调破坏僵尸网络，但警告说，到目前为止，它只是暂时阻止了它。Glupteba使用区块链技术作为防止完全关闭的故障保护。当它没有收到所有者的消息时，该软件被编程为自动使用比特币区块链上编码的数据来获取有关如何重新连接的说明。

新闻来源：

https://www.engadget.com/google-disrupts-glupteba-botnet-202342050.html

警告：又一个针对QNAPNAS设备的比特币挖矿恶意软件

NAS设备制造商QNAP(威联通)周二发布了针对其设备的加密货币挖掘恶意软件的新咨询警告，敦促客户立即采取预防措施。

“据报道，一个比特币矿工将QNAPNAS作为目标。一旦NAS被感染，CPU使用率就会变得异常高，其中一个名为‘[oom_reaper]’的进程可能会占用总CPU使用率的50%左右，”这家台湾公司在一份声明中表示。警报。“这个进程模拟了一个内核进程，但它的[进程标识符]通常大于1000。”

该公司建议用户将其QTS（和QuTS Hero）操作系统更新到最新版本，为管理员和其他用户帐户强制执行强密码，并避免将NAS设备暴露在互联网上。QNAPNAS设备长期以来一直是近年来许多恶意活动的有利可图的目标。

新闻来源：

https://thehackernews.com/2021/12/warning-yet-another-bitcoin-mining.html

SolarWinds攻击者发现使用新策略和恶意软件

在臭名昭著且影响深远的SolarWinds供应链攻击一年后，其协调者再次发起进攻。研究人员表示，他们已经看到威胁组织——微软将其称为“Nobelium”，并与R国间谍机构有关联——以新颖的策略和定制的恶意软件危害全球商业和政府目标，窃取数据并在网络中横向移动。

他们在周一发布的一份报告中说，Mandiant的研究人员已经确定了两个不同的活动集群，它们可以“合理地”归因于威胁组，他们将其跟踪为UNC2452。

Microsoft在10月份披露的Nobelium活动的目标，其中该组织被发现使用凭证填充和网络钓鱼，以及API滥用和令牌盗窃，以收集合法的帐户凭据和对经销商网络的特权访问。研究人员当时表示，该活动的最终目标似乎是触及下游客户网络。

Nobelium还在4月份使用名为FoggyWeb的后门攻击了ActiveDirectory服务器，从而进行了凭据盗窃。在Mandiant观察到的最新集群中，被盗凭据还促进了对目标组织的初始访问。

黑客的武器库中还有新的恶意软件：研究人员称之为Ceeloader的新型定制下载器。他们写道，这种经过高度混淆的恶意软件是用C语言编写的，可以直接在内存中执行shellcode有效负载。

新闻来源：

https://threatpost.com/solarwinds-attackers-new-tactics-malware/176818/

Emotet在TrickBot死而复生的过程中感染了14万受害者

TrickBot和Emotet都是僵尸网络，恶意软件感染联网设备网络，可以执行一系列恶意活动。TrickBot起源于C++银行木马，是2016年Dyre恶意软件的继承者，具有窃取财务详细信息、帐户凭据和其他敏感信息的能力；横向扩散能力；并删除其他竞争性恶意软件，包括Conti、Diavol和Ryuk勒索软件。

在执法部门试图拆除其基础设施一年多后，TrickBot恶意软件感染了149个国家/地区的约140,000名受害者，该恶意软件正迅速成为Emotet的入口点。

自2020年11月1日以来发现的大多数受害者来自葡萄牙(18%)、美国(14%)和印度(5%)，其次是巴西(4%)、土耳其(3%)、俄罗斯(3%)和中国(3%)，Check Point Research在一份报告中指出，政府、金融和制造实体成为受影响最大的行业。

新闻来源：

https://thehackernews.com/2021/12/140000-reasons-why-emotet-is.html