安全资讯报告

AvosLocker勒索软件用简单但非常聪明的技巧来逃避PC防御

安全公司Sophos警告称，今年夏天出现的一个人工操作的勒索软件团伙AvosLocker正在寻找合作伙伴，希望填补REvil退出留下的空白。AvosLocker的主要功能之一是使用AnyDesk远程IT管理工具并在Windows安全模式下运行它。

AnyDesk是一种合法的远程管理工具，它已成为犯罪分子之间流行的TeamViewer替代品，TeamViewer提供了相同的功能。在连接到网络时以安全模式运行AnyDesk允许攻击者保持对受感染机器的控制。

虽然AvosLocker只是重新包装其他团伙的技术，但Sophos事件响应主管Peter Mackenzie将其使用描述为“简单但非常聪明”。AvosLocker攻击者在攻击的最后阶段将计算机重新启动到安全模式，但还会修改安全模式启动配置以允许安装和运行AnyDesk。

攻击者使用IT管理工具PDQ Deploy将多个Windows批处理脚本推送到预定的目标机器，包括Love.bat、update.bat和lock.bat。这些脚本会禁用可以在安全模式下运行的安全产品，禁用Windows Defender，并允许攻击者的AnyDesk工具在安全模式下运行。他们还设置了一个带有自动登录详细信息的新帐户，然后连接到目标的域控制器以远程访问和运行勒索软件可执行文件update.exe。

新闻来源：

https://www.zdnet.com/article/this-new-ransomware-has-simple-but-very-clever-tricks-to-evade-pc-defenses/

网络钓鱼事件导致西弗吉尼亚医院的数据泄露

西弗吉尼亚州的一家医院系统因网络钓鱼攻击而遭受数据泄露，黑客可以访问多个电子邮件帐户。

黑客在5月10日至8月15日期间访问了多个电子邮件帐户。这些帐户包含来自患者、提供者、员工和承包商的敏感信息。该公司于10月29日结束了对该事件的调查，发现该攻击是由电子邮件网络钓鱼事件引起的。

2021年7月28日，一家供应商报告称未收到Mon Health的付款，MonHealth首次意识到了这一事件。作为回应，Mon Health立即展开了调查，并确定未经授权的个人获得了Mon Health承包商的电子邮件帐户并从该帐户发送电子邮件，试图通过欺诈性电汇从Mon Health获取资金。

新闻来源：

https://www.zdnet.com/article/phishing-incident-causes-data-breach-at-west-virginia-hospitals/

香港NFT项目Monkey Kingdom因网络钓鱼攻击损失130万美元

Monkey Kingdom通过Twitter宣布，黑客通过Discord的安全漏洞窃取了社区的130万美元加密资金。

据其开发人员称，这次黑客攻击首先发生在对Grape的破坏，这是一种在Solana上验证用户的流行解决方案。黑客随后利用该漏洞接管了一个管理帐户，该帐户在Monkey Kingdom Discord的公告频道中发布了网络钓鱼链接。跟随链接的用户连接了他们的钱包，期望他们会收到NFT，但结果却被骗子耗尽了他们的SOL代币。

新闻来源：

https://cointelegraph.com/news/hong-kong-nft-project-monkey-kingdom-loses-1-3m-in-phishing-hack-launches-compensation-fund

安全漏洞威胁

新恶意软件可绕过关键Office漏洞补丁

Sophos发布了一个新漏洞的详细信息，该漏洞绕过了影响Microsoft Office文件的关键漏洞(CVE-2021-40444)的补丁。

SophosLabs Uncut的一篇新文章“攻击者在测试无CAB的40444漏洞”报告了这一发现，该文章展示了攻击者如何利用公开可用的概念验证Office漏洞并将其武器化以提供Formbook恶意软件。

2021年9月，微软发布了一个补丁，以防止攻击者执行嵌入在Word文档中的恶意代码，该文档下载.cab存档，而该存档又包含一个恶意可执行文件。攻击者通过将恶意Word文档放置在特制的RAR存档中来重新利用原始漏洞，成功规避了原始补丁。

“攻击的预补丁版本涉及打包到Microsoft cab文件中的恶意代码。当微软的补丁关闭该漏洞时，攻击者发现了一个概念验证，展示了如何将恶意软件捆绑到RAR文件中”他解释说。

“之前曾使用RAR压缩包来分发恶意代码，但这里使用的过程异常复杂。之所以成功，可能只是因为补丁的范围非常狭窄，而且用户打开RAR所需的WinRAR程序具有很强的容错性和似乎并不介意存档是否格式错误，例如，因为它被篡改了。”

研究人员发现，攻击者创建了一个异常的RAR存档，其中包含一个PowerShell脚本，其中包含存储在存档中的恶意Word文档。攻击者创建并分发垃圾邮件，其中包含格式错误的RAR文件作为附件。电子邮件邀请收件人解压缩RAR文件以访问Word文档。打开Word文档触发了一个运行前端脚本的进程，最终导致感染Formbook恶意软件。

因此，对员工进行教育并提醒他们对电子邮件文件保持怀疑至关重要，尤其是当他们收到来自他们不认识的人或公司的不寻常或不熟悉的压缩文件格式时。

CVE-2021-40444漏洞是一个严重的远程代码执行(RCE)漏洞，攻击者可以利用该漏洞在所有者不知情的情况下在目标机器上执行任何代码或命令，微软在9月发布了补丁。

新闻来源：

https://itbrief.co.nz/story/critical-microsoft-office-patch-exploited-by-new-malware

Conti勒索软件正在利用Log4Shell漏洞

Log4Shell是一个危险的安全问题——现在著名的勒索软件组织Conti正在利用它来攻击易受攻击的服务器以勒索数百万美元。

该Log4Shell漏洞（CVE-2021-44228）影响log4j的Java库，它使用了大量的软件。全球数以百万计的系统使用该库的易受攻击版本并处于危险之中。

在该漏洞公开一周后，它开始被最多产的有组织的俄语勒索软件组织之一Conti使用。Conti使用“双重勒索”方案：如果公司不支付赎金，不仅他们的数据丢失，而且还会在互联网上公开曝光或出售给竞争对手，因为该集团负责将其上的所有加密数据泄露出去。

Conti组织热衷于寻找感染公司和传播勒索软件的新方法，他们经常利用漏洞利用作为最初的入侵媒介。

该组织利用Log4Shell漏洞专门针对VMware vCenter服务器。该漏洞用于访问服务器，然后能够在目标公司的网络中横向移动。与他们可能使用的其他漏洞利用相比，这是一个显着的区别：这个漏洞专门用于在受感染网络内横向移动；攻击者已经成功获得了对公司网络的初始访问权限。

这是迄今为止最大和最有利可图的Log4Shell漏洞使用，因为使用它的后果可能是更多公司的业务受到干扰。他们中的一些人可能会选择支付赎金以恢复正常，而不是将他们的数据暴露在互联网上。

新闻来源：

https://www.techrepublic.com/article/conti-ransomware-is-exploiting-the-log4shell-vulnerability-to-the-tune-of-millions/