安全资讯报告

美国塔尔萨市政府花费200万美元耗时8个月从勒索软件攻击中恢复过来

政府官员说，八个月后，经过200万美元的维修和升级，该市的计算机系统已经恢复并全速运行。

4月下旬的一次勒索软件攻击损坏了该市471台服务器中的约40%，以及该市5,000台台式机和笔记本电脑中的约20%。

该市首席信息官迈克尔·德林格(Michael Dellinger)表示，这200万美元用于一次性支出，例如软件和许可。未来，该市每年将在云服务、维护和其他与运行升级后的计算机系统相关的费用上多花费约30万美元。

网络安全专家称，塔尔萨世界7月份报道称，勒索软件攻击背后的黑客可能与一个名为Conti的组织有关。联邦调查局的网络部门在5月发布了一份警告，警告Conti勒索软件在美国的影响力。据该咨询报告称，当时FBI已经确定了至少16起针对医疗保健和急救网络的Conti勒索软件攻击，其中包括执法部门和市政当局。

新闻来源：

https://tulsaworld.com/news/local/govt-and-politics/city-has-spent-2-million-recovering-from-ransomware-attack-city-officials-say/article_5ee68f46-5d08-11ec-8d83-8743a5eaba47.html

当网络安全边界防护逐渐模糊，零信任或将成下一轮爆点

“零信任的本质是一种理念和思路，不是某种固定的技术，也不是对既有技术和体系结构的颠覆。”在日前由国家信息中心《信息安全研究》杂志社主办的网络安全创新发展高峰论坛上，中国信息安全研究院副院长左晓栋这样说。

随着国家政策为数字化转型创造利好环境，数字化转型不断深入，以云计算、人工智能、大数据为主的新一代数字技术正改造企业IT架构，信息化环境也逐渐从之前的“以网络为中心”变成现在的“以数据为中心”，传统的边界防护模式逐渐“失灵”。

根据IDC研究，近年来，远程办公、业务协同、分支互联等业务需求快速发展，企业原有的网络边界逐渐泛化，导致基于边界的传统安全架构不再可靠，零信任成为一个必选项，零信任或将成为网络安全下一轮爆发点。

“零信任是框架不是具体技术，是技术组合不是单一技术，可由多种方法实现，而不是固化的方式。”国家信息技术安全研究中心总师郭晓雷也认为，我国数据安全保护相关要求及访问控制应用情况，需要建立包含物理设备、信息系统、数据等在内的资源清单并加强标识化管理，对资源实施细粒度访问控制，开展持续的面向信任的监测和分析。

新闻来源：

https://news.gmw.cn/2021-12/20/content_35393732.htm

新的Phorpiex僵尸网络变种窃取了50万美元的加密货币

埃塞俄比亚、尼日利亚、印度、危地马拉和菲律宾的加密货币用户正成为一种名为Twizt的Phorpiex僵尸网络新变种的目标，该变种导致在过去一年中盗窃了价值500,000美元的虚拟硬币。

详细介绍了这些攻击的以色列安全公司Check Point Research表示，最新的进化版本“使僵尸网络能够在没有主动[命令和控制]服务器的情况下成功运行”，并补充说它支持不少于35个与不同区块链相关的钱包，包括比特币、以太坊、达世币、狗狗币、莱特币、门罗币、瑞波币和Zilliqa，以促进加密盗窃。

Phorpiex，也称为Trik，以其性勒索垃圾邮件和勒索软件活动以及加密劫持而闻名，该计划利用目标的设备（如计算机、智能手机和服务器）在未经他们同意或不知情的情况下秘密挖掘加密货币。

它还因使用一种称为加密货币剪切板盗的技术而臭名昭著，该技术涉及在交易过程中通过部署恶意软件来窃取加密货币，该恶意软件会自动将预期的钱包地址替换为威胁参与者的钱包地址。Check Point表示，它确定了Phorpiex使用的60个独特的比特币钱包和37个以太坊钱包。

已在96个国家发现了受Phorpiex感染的机器人，其次是埃塞俄比亚、尼日利亚和印度。据估计，僵尸网络还劫持了大约3,000笔交易，总价值约为38个比特币和133个以太币。

新闻来源：

https://thehackernews.com/2021/12/new-phorpiex-botnet-variant-steals-half.html

专家发现部署在美国联邦机构网络上的后门

一个与国际权利相关的美国联邦政府委员会已成为后门的目标，据报道该后门破坏了其内部网络，研究人员将其描述为“经典的APT类型操作”。

捷克安全公司Avast在一份声明中说：“这次攻击可以提供网络的完全可见性和系统的完全控制，因此可以用作多阶段攻击的第一步，以更深入地渗透这个或其他网络。”上周发布的报告。

攻击分两个阶段进行，以部署两个恶意二进制文件，使身份不明的对手能够拦截互联网流量并执行他们选择的代码，从而允许运营商完全控制受感染的系统。它通过滥用WinDivert（一种适用于Windows的合法数据包捕获实用程序）来实现这一点。

两个样本都伪装成名为“oci.dll”的Oracle库，在攻击期间部署的第二阶段解密器被发现与趋势科技研究人员在2018年详细介绍的另一个可执行文件有相似之处，后者深入研究了信息盗窃被称为“红色签名行动”的供应链攻击针对的是韩国的组织。这些重叠导致Avast威胁情报小组怀疑攻击者可以访问后者的源代码。

新闻来源：

https://thehackernews.com/2021/12/experts-discover-backdoor-deployed-on.html

超过500,000Android用户从Google应用商店下载了新的Joker恶意软件

一个从Google Play应用商店下载超过500,000次的恶意Android应用被发现托管恶意软件，该应用会悄悄地将用户的联系人列表泄露到攻击者控制的服务器，并在用户不知情的情况下为用户注册不需要的付费高级订阅。

最新的Joker恶意软件是在名为Color Message（“com.guo.smscolor.amessage”）的专注于消息传递的应用程序中发现的，该应用程序已从官方应用程序市场中删除。

Color Message访问用户的联系人列表并通过网络将其泄露[并]自动订阅不需要的付费服务。为了使其难以被删除，应用程序能够在安装后隐藏它的图标。

新闻来源：

https://thehackernews.com/2021/12/over-500000-android-users-downloaded.html

网络钓鱼攻击在虚假的报价请求中冒充辉瑞

攻击者正在开展一项针对性很强的网络钓鱼活动，冒充辉瑞公司从受害者那里窃取商业和财务信息。辉瑞是一家著名的制药公司，因其生产目前为数不多的针对COVID-19的mRNA疫苗之一而受到广泛宣传。

网络钓鱼者的目标是利用广为人知的品牌名称，因为与冒充虚构实体相比，他们成功的机会大大增加。此活动背后的参与者在网络钓鱼活动中非常勤奋，将“干净”的PDF附件与新注册的域结合起来，这些域显示为辉瑞官方在线空间。然后，他们从这些域中生成电子邮件帐户，用于网络钓鱼电子邮件分发，以绕过电子邮件保护解决方案。

新闻来源：

https://www.bleepingcomputer.com/news/security/phishing-attacks-impersonate-pfizer-in-fake-requests-for-quotation/

勒索软件运营商泄露了从物流巨头Hellmann窃取的数据

物流巨头Hellmann Worldwide Logistics已证实，在本月早些时候的一次网络攻击中，攻击者能够从其系统中窃取数据。12月9日星期四，在检测到漏洞后，该公司关闭了其中央数据中心的服务器，将它们与环境的其他部分隔离并控制了事件。

Hellmann在173个国家/地区提供空运和海运、铁路和公路运输以及其他服务，显然是RansomEXX勒索软件的目标，其运营商已经提供了据称从这家德国公司窃取的数据。在Tor网络上的泄密网站之一，黑客以145个存档文件的形式发布了70.64GB的压缩数据，其中包含客户姓名、用户ID、电子邮件和密码等。

在上周发布的更新的网络事件声明中，这家德国公司证实攻击者从其服务器窃取了数据，但它没有提供有关泄露信息类型的详细信息。

新闻来源：

https://www.securityweek.com/ransomware-operators-leak-data-stolen-logistics-giant-hellmann

安全漏洞威胁

Dridex银行恶意软件利用利用Log4j漏洞传播

攻击者利用Log4Shell的关键漏洞，通过Dridex银行木马或Meterpreter感染易受攻击的设备。

Dridex恶意软件是一种银行木马，最初是为了从受害者那里窃取网上银行凭证而开发的。然而，随着时间的推移，恶意软件已经演变成一个加载 器，可以下载各种模块，这些模块可用于执行不同的恶意行为，例如安装额外的有效载荷、传播到其他设备、截取屏幕截图等等。

Dridex感染会导致来自据信与Evil Corp黑客组织有关的勒索软件攻击，这些勒索软件感染包括BitPaymer、DoppelPaymer和其他可能使用受限的勒索软件变体。

Meterpreter，是一种为攻击者提供的反向shell渗透测试工具,使用Meterpreter，攻击者可以连接到受感染的Linux服务器并远程执行命令以在网络上进一步传播、窃取数据或部署勒索软件。

新闻来源：

https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-to-install-dridex-banking-malware/