安全资讯报告

黑客滥用Slack API窃取航空公司数据

攻击者正在部署一个新发现的名为“Aclip”的后门，该后门滥用Slack API进行秘密通信。

该威胁行为者的活动始于2019年，目标是一家未具名的亚洲航空公司，以窃取航班预订数据。

根据IBM SecurityX-Force的一份报告，威胁行为者很可能是ITG17，又名“MuddyWater”，这是一个非常活跃的黑客组织，在全球范围内维护着一个目标组织。

新闻来源：

https://www.bleepingcomputer.com/news/security/state-sponsored-hackers-abuse-slack-api-to-steal-airline-data/

大规模网络钓鱼研究显示谁更容易上钩

一项涉及14,733名参与者在为期15个月的实验中进行的大规模网络钓鱼研究得出了一些令人惊讶的发现，这些发现与之前构成流行行业实践基础的研究结果相矛盾。

研究人员向参与者的常规工作电子邮件发送了虚假的网络钓鱼电子邮件，并部署了一个电子邮件客户端按钮，使他们能够轻松报告可疑电子邮件。

该研究的四个目标：

• 哪些员工容易陷入网络钓鱼

• 漏洞如何随时间演变

• 嵌入式培训和警告的有效性如何

• 员工是否可以做任何事情来帮助网络钓鱼检测。

研究发现：

• 年轻人和老年人更容易点击网络钓鱼链接；

• 点击钓鱼链接与性别无关；

• 与那些不需要计算机来完成日常工作的人相比，那些使用专门软件执行重复性任务的人更容易陷入网络钓鱼陷阱；

• 不断暴露于网络钓鱼的员工最终会陷入网络钓鱼，因为32.1%的研究参与者点击了至少一个危险链接或附件；

• 研究人员发现模拟网络钓鱼练习中的自愿嵌入式培训是无效的；

新闻来源：

https://www.bleepingcomputer.com/news/security/large-scale-phishing-study-shows-who-bites-the-bait-more-often/

新的无文件攻击使用Windows注册表作为逃避检测的方法

观察到一种新的基于JavaScript的远程访问木马(RAT)通过社会工程活动传播，它采用狡猾的“无文件”技术作为其检测规避方法的一部分，以逃避发现和分析。

该恶意软件被Prevailion的对抗性反情报团队(PACT)的研究人员称为DarkWatchman，它使用DGA域名来构建C2基础架构，并利用Windows注册表进行存储操作，从而实现它绕过反恶意软件引擎。

研究人员马特斯塔福德和谢尔曼史密斯说，RAT“利用新方法实现无文件持久性、系统活动和动态运行时功能，如自我更新和重新编译”，并补充说它“代表了无文件恶意软件技术的演变，因为它将注册表用于几乎所有临时和永久存储，因此从不向磁盘写入任何内容，允许它在大多数安全工具的检测阈值以下或附近运行。”

DarkWatchman通过鱼叉式网络钓鱼电子邮件分发，伪装成俄罗斯货运公司Pony Express交付的货物的“免费存储到期通知”，DarkWatchman为进一步的恶意活动提供了一个隐蔽的网关。这些电子邮件附有ZIP存档形式的据称发票，而该发票又包含感染Windows系统所需的有效载荷。

新闻来源：

https://thehackernews.com/2021/12/new-fileless-malware-uses-windows.html

安全漏洞威胁

在野外检测到Apache的Log4j漏洞大规模扫描活动

黑客们正在积极瞄准安全研究人员最初在运行应用程序Java版本的Minecraft服务器上发现的Apache Log4j漏洞。Log4j是来自Apache软件基金会(ASF)的Java开源日志记录库。

远程代码执行(RCE)Log4Shell漏洞CVE-2021-44228可能允许未经身份验证的攻击者通过操纵日志消息来下载恶意软件。

专家警告说，大量易受攻击的服务器可能很快就会受到攻击，该漏洞可能引发“迷你互联网崩溃”。德国电信集团的网络应急响应小组(CERT)表示，其蜜罐受到了试图利用该漏洞的威胁行为者的攻击。同样，新西兰CERT、Bad Packets和GreyNoise表示，他们已经检测到针对易受攻击的服务器的大规模扫描活动。

根据Contrast Security的联合创始人兼首席科学家Arshan Dabirsiaghi的说法，这是多年来发现的最大的Java零日漏洞之一。

“任何记录数据的Java应用程序都使用Log4j，它是Java生态系统中最流行的日志记录框架，被数以百万计的应用程序使用，”Dabirsiaghi说。“这种零日漏洞会影响使用Log4j的任何应用程序，并允许攻击者在其他系统上运行恶意代码和命令。毫无疑问，这是我们多年来看到的最大的Java漏洞。这绝对是残酷的。”

新闻来源：

https://www.cpomagazine.com/cyber-security/mass-scanning-activity-for-apaches-log4j-zero-day-vulnerability-detected-in-the-wild/

网络安全专家讨论对潜在Log4j蠕虫的担忧

VMware网络安全战略负责人Tom Kellermann表示，Log4j漏洞是他职业生涯中见过的最严重的漏洞之一，也是有史以来暴露的最严重的漏洞之一。

Kellermann称Apache是“世界应用程序和计算环境之间桥梁的巨大支持之一”，并补充说，Log4j的利用将“破坏这种支持的稳定性并破坏建立在它之上的数字基础设施的稳定性”。

但他最担心的是有人通过创建蠕虫进一步将漏洞武器化，Kellermann将其描述为一种多态类型的恶意软件，基本上可以自行传播。

蠕虫的可能性在网络安全社区中引起了重要的讨论。网络安全专家马库斯·哈钦斯(Marcus Hutchins)在多个Twitter帖子中称，对蠕虫病毒的担忧“被夸大了”。

其他人表示，虽然该漏洞是可蠕虫的，但目前没有证据表明这是威胁行为者的优先事项。根据Digital Shadows高级分析师Chris Morgan的说法，蠕虫还需要大量的时间和精力来开发。

新闻来源：

https://www.zdnet.com/article/log4j-update-experts-say-log4shell-exploits-will-persist-for-months-if-not-years/

谷歌称NSO Pegasus零点击是“有史以来技术上最复杂的漏洞利用”

谷歌安全研究人员挑选出了最臭名昭著的iPhone漏洞利用，并发现了一个前所未见的黑客路线图，其中包括一个伪装成GIF图像的PDF文件，并内置了自定义编码的虚拟CPU出布尔像素操作。

“我们认为这是我们见过的技术上最复杂的漏洞之一，”谷歌的Ian Beer和Samuel Groß在对远程代码执行漏洞的技术深入研究中写道，该漏洞是在针对沙特一名活动家野外攻击中捕获的。

谷歌表示，它收到了来自Citizen Lab的漏洞利用样本，并与库比蒂诺通常保密的安全工程和架构(SEAR)小组合作进行了一项技术分析，发现在出售给世界各国政府的漏洞利用平台中存在一系列令人头疼的技术复杂性。

研究人员表示，该漏洞利用的复杂性证实了总部位于以色列的NSO集团黑客的超强实力。

在其细分中，该漏洞利用有效地创造了“一种没有防御的武器”，并指出零点击漏洞利用在后台静默工作，甚至不需要目标点击链接或浏览恶意软件网站。“除非不使用设备，否则无法防止零点击漏洞利用，”研究小组说。

研究人员证实，Pegasus的初始入口点是Apple专有的iMessage，它默认安装在iPhone、iPad和macOS设备上。通过瞄准iMessage，NSO Group黑客只需要一个AppleID用户名的电话号码即可瞄准并发射窃听植入物。

谷歌将该漏洞描述为“非常可怕”，并表示NSO Group黑客有效地诱杀了一个PDF文件，伪装成GIF图像，并使用编码的虚拟CPU来启动和运行漏洞。“使用超过70,000个定义逻辑位操作的段命令，[NSO的黑客]定义了一个小型计算机架构，具有寄存器和完整的64位加法器和比较器等功能，用于搜索内存和执行算术运算。它没有那么快Javascript，但它在计算上基本上是等价的。”

新闻来源：

https://www.securityweek.com/google-says-nso-pegasus-zero-click-most-technically-sophisticated-exploit-ever-seen