安全资讯报告

多名俄罗斯人通过黑客攻击赚了数百万美元

美国当局周一表示，包括一名现在被美国拘留的商人在内的五名俄罗斯人实施了一项规模高达8200万美元的内幕交易计划，使他们能够从通过黑客攻击窃取的公司信息中获利。

弗拉迪斯拉夫·克柳申(Vladislav Klyushin)是一家总部位于莫斯科的信息技术公司的所有者，检察官称该公司与俄罗斯政府有广泛联系，他于周六从瑞士被引渡，在波士顿面临共谋、证券欺诈和其他指控。

Klyushin于3月份在滑雪旅行时在瑞士被捕，在虚拟法庭听证会上短暂出现在马萨诸塞州的监狱中。保释听证会暂定于周四举行。

检察官指控他和其他人利用通过入侵两家供应商的计算机系统获得的收益报告进行交易，这些供应商帮助公司向美国证券交易委员会提交季度和年度报告。当局表示，计算机系统被M-13雇员伊万·耶尔马科夫（Ivan Yermakov）入侵，SEC在相关诉讼中表示，该计划从2018年到2020年总共净赚至少8250万美元。

新闻来源：

https://www.reuters.com/world/russian-businessman-made-millions-insider-trading-through-hacking-us-says-2021-12-20/

Facebook阻止七家恶意软件传播者，删除数百个帐户，通知50,000个潜在黑客目标

几周前，Apple起诉NSO Group以针对iPhone用户。它还开始通知被NSO间谍软件攻击的用户，这可能会使不友好的民族国家的进一步监视工作无效。

但在苹果采取反NSO行动之前，Facebook起诉该公司使用WhatsApp部署恶意软件。这两起诉讼都对CFAA产生了一些令人不安的影响——这可能会给抓取数据的研究人员和搜索安全漏洞的安全研究人员带来未来的问题。

Facebook已经扰乱了七家不同的间谍软件制造公司的运营，封锁了他们的互联网基础设施，发送停止和终止信函，并禁止他们进入其平台。

“由于我们长达数月的调查，我们对七个不同的受雇监视实体采取了行动，以破坏他们使用数字基础设施滥用社交媒体平台并通过互联网对人们进行监视的能力，”负责人说。威胁中断David Agranovich和网络间谍调查负责人Mike Dvilyanski。

Meta的完整报告[PDF]列出了在这次雇佣监视清除中被驱逐的公司，Meta向全球大约50,000人发出警报，我们认为他们是这些恶意活动的目标。我们最近对其进行了更新，为人们提供有关目标类型及其背后参与者的更详细的信息，以便他们能够根据我们在每种情况下检测到的监视攻击链的阶段，采取措施保护他们的帐户。

新闻来源：

https://www.techdirt.com/articles/20211219/10423048147/facebook-blocks-seven-malware-purveyors-deletes-hundreds-accounts-notifies-50000-potential-hacking-targets.shtml

Windows 10 21H2将勒索软件保护添加到安全基线

Microsoft已发布适用于Windows 10的最终版安全配置基线设置，版本21H2，今天可从Microsoft安全合规性工具包获得。

新的Windows 10安全基线的亮点是添加了篡改保护作为默认启用的设置（这也是两个月前Windows 11安全基线中的默认设置）。

篡改保护使用默认安全值自动锁定Microsoft Defender Antivirus，阻止使用注册表、PowerShell cmdlet或组策略更改它们的尝试。

启用它后，勒索软件在尝试执行以下操作时将面临更具挑战性的任务：

• 禁用病毒和威胁防护

• 禁用实时保护

• 关断行为监控

• 禁用防病毒软件（例如IOfficeAntivirus(IOAV)）

• 禁用云提供的保护

• 删除安全情报更新

• 禁用对检测到的威胁的自动操作

Windows安全基线提供Microsoft推荐的安全配置，可减少Windows系统的攻击面并提高企业端点的整体安全状况。Windows 10 21H2安全基线现在可通过Microsoft安全合规工具包下载，包括组策略对象(GPO)备份和报告、将设置应用于本地GPO所需的脚本以及策略分析器规则。

下载地址：

https://www.microsoft.com/download/details.aspx?id=55319

新闻来源：

https://www.bleepingcomputer.com/news/microsoft/windows-10-21h2-adds-ransomware-protection-to-security-baseline/

德国制造的Auerswald VoIP系统中发现秘密后门

在对来自德国电信硬件制造商Auerswald的广泛使用的互联网协议语音(VoIP)设备的固件进行渗透测试时发现了多个后门，这些后门可能会被滥用以获取对设备的完全管理访问权限。

“在COMpact 5500R PBX的固件中发现了两个后门密码，”RedTeam Pentesting的研究人员在周一发布的技术分析中说。“一个后门密码是给秘密用户‘Schandelah’使用的，另一个可以给最高权限的用户‘admin’使用。”没有发现禁用这些后门的方法。”

该漏洞的标识符为CVE-2021-40859，严重等级为9.8。在9月10日负责任地披露之后，Auerswald在2021年11月发布的固件更新（8.2B版）中解决了这个问题。

PBX是Private Branch Exchange的缩写，是一种为私人组织服务的交换系统。它用于建立和控制电信端点之间的电话呼叫，包括常用电话机、公共交换电话网络(PSTN)上的目的地以及VoIP网络上的设备或服务。

研究人员发现，根据官方文档，除了“sub-admin”（管理设备所必需的帐户）之外，这些设备还被配置为检查硬编码的用户名“Schandelah”。“事实证明，Schandelah是德国北部一个小村庄的名字，Auerswald在那里生产他们的设备，”研究人员说。

研究人员说：“使用后门，攻击者可以以最高权限访问PBX，使他们能够完全破坏设备。”“后门密码没有记录。它们与供应商支持的记录密码恢复功能秘密共存。”

新闻来源：

https://thehackernews.com/2021/12/secret-backdoors-found-in-german-made.html

安全漏洞威胁

Conti Ransomware拥有完整的Log4Shell攻击链

Conti勒索软件团伙上周成为第一个采用Log4Shell漏洞并将其武器化的专业犯罪软件组织，现在已经建立了一个完整的攻击链。

截至12月20日，攻击链已采用以下形式：Emotet->CobaltStrike->HumanExploitation->（无ADMIN$共享）->Kerberoast->vCenter ESXi with vCenter的log4shell扫描。

多个Conti小组成员于12月12日开始讨论利用Log4Shell漏洞作为初始攻击向量。这导致扫描AdvIntel于第二天（12月13日）首先跟踪的易受攻击的系统。

在公开披露该漏洞的几个小时内，攻击者就开始扫描易受攻击的服务器并发动快速演变的攻击，以投放硬币矿工、Cobalt Strike、Orcus远程访问木马(RAT)。为未来的攻击、Mirai和其他僵尸网络以及后门逆向bashshell。

但在所有威胁参与者中，Conti“在当今的威胁格局中扮演着特殊的角色，主要是由于其规模，”他们解释说。这是一个高度复杂的组织，由多个团队组成。AdvIntel估计，根据对Conti日志的审查，这个讲俄语的团伙在过去六个月中赚了超过1.5亿美元。但他们仍在继续扩张，Conti不断寻找新的攻击面和方法。

新闻来源：

https://threatpost.com/conti-ransomware-gang-has-full-log4shell-attack-chain/177173/

FBI发现APT正在利用最近的ManageEngine桌面中心漏洞

联邦调查局(FBI)已发布关于Zoho的ManageEngine Desktop Central产品中最近漏洞被利用的警报。

跟踪为CVE-2021-44515的安全错误是一种身份验证绕过，可用于实现远程代码执行。该错误会影响ServiceDesk Plus的专业版和企业版，并可能影响全球数以万计的组织。

该漏洞评级为严重（CVSS得分为9.8），该漏洞于12月初公开，当时Zoho警告说威胁行为者已经在攻击中利用该漏洞。

现在，联邦调查局表示，至少自2021年10月以来，高级持续威胁(APT)攻击者的利用一直在持续。攻击者一直在受感染的桌面中央服务器上投放webshell，以覆盖合法功能并设置用于入侵后的活动.

攻击者使用webshell投放更多工具、枚举域用户、执行侦察并尝试在网络中横向移动并窃取凭据。

新闻来源：

https://www.securityweek.com/fbi-sees-apts-exploiting-recent-manageengine-desktop-central-vulnerability