安全资讯报告

网络间谍用自己的恶意软件感染自己

在使用自己的自定义远程访问木马(RAT)感染自己后，一个与印度有关的网络间谍组织意外地将其操作暴露给了安全研究人员。

威胁行为者至少自2015年12月以来一直活跃，并且由于使用复制粘贴代码而被跟踪为PatchWork（又名Dropping Elephant、Chinastrats或Quilted Tiger）。

在PatchWork的最近一次活动中，即2021年11月下旬至12月上旬，Malwarebytes Labs观察到威胁行为者使用恶意RTF文件冒充巴基斯坦当局，用一种名为Ragnatela的BADNEWSRAT的新变体感染目标。

在发现PatchWork操作员用RAT感染了他们自己的开发系统后，研究人员能够在使用VirtualBox和VMware进行测试和Web开发以及在具有双键盘布局（即英语和印度语）的计算机上进行测试时对其进行监控。

在观察他们的行动的同时，他们还获得了有关该组织受害目标的信息，包括巴基斯坦国防部以及伊斯兰阿巴德国防大学、UVAS大学生物学院等多所大学分子医学和生物科学系的教职员工。科学、卡拉奇HEJ研究所和SHU大学。

“由于攻击者自己的恶意软件捕获的数据，我们能够更好地了解谁坐在键盘后面，”Malwarebytes Labs补充道。“该组织利用虚拟机和VPN来开发、推送更新和检查受害者。”

新闻来源：

https://www.bleepingcomputer.com/news/security/oops-cyberspies-infect-themselves-with-their-own-malware/

RaspberryPi使用电磁波检测恶意软件

法国计算机科学与随机系统研究所的一个团队开发了一种检测恶意软件的新方法，该方法不需要在目标设备上安装软件。

正如Tom's Hardware报道的那样，研究人员创建了一个基于Raspberry Pi的系统，该系统能够使用示波器和H场探头扫描设备的电磁波。特定的波表明设备上存在恶意软件，研究人员设法“获得有关恶意软件类型和身份的精确知识”。

使这项新技术如此令人印象深刻的原因在于，它不需要对目标设备进行修改，也不需要进行任何交互，只需要能够扫描EM波。没有软件安装也意味着恶意软件编写者使用的任何混淆技术根本不起作用。事实上，混淆技术也可以被检测和分析。

最终结果是一个恶意软件检测准确率为99.82%的系统，这对于恶意软件分析师来说是无价的。这也将被证明是恶意软件编写者的噩梦，因为他们试图弄清楚如何在EM扫描仪中隐藏他们的恶意代码，而无法检测到它的存在。

新闻来源：

https://www.pcmag.com/news/no-software-required-raspberry-pi-uses-electromagnetic-waves-to-detect

Abcbot僵尸网络与Xanthe Cryptomining恶意软件的运营商有关

对名为Abcbot的新兴DDoS僵尸网络背后的基础设施的新研究发现了与2020年12月曝光的加密货币挖掘僵尸网络攻击的联系。

奇虎360的Netlab安全团队于2021年11月首次披露了涉及Abcbot的攻击，该攻击是通过恶意shell脚本触发的，该脚本针对华为、腾讯、百度和阿里云等云服务提供商运营的不安全云实例，下载恶意软件选择机器加入僵尸网络，但不是在终止竞争威胁参与者的进程并建立持久性之前。

一个有趣的转折是，它延续了僵尸网络的分析，通过映射所有已知妥协的指标（国际石油公司），包括IP地址，URL和样本，揭示Abcbot的代码和功能水平相似的是被称为一个cryptocurrency采矿作业赞茜说利用错误配置的Docker实现来传播感染。

Cado Security的Matt Muir在与The Hacker News分享的一份报告中说：“Xanthe和Abcbot都是由同一威胁者负责，并且正在将其目标从在受感染主机上挖掘加密货币转向更传统上与僵尸网络相关的活动，例如DDoS攻击。”.

两个恶意软件系列之间的语义重叠范围从源代码的格式到例程的名称，有些函数不仅具有相同的名称和实现（例如，“nameservercheck”），而且还附加了“go”这个词到函数名称的末尾（例如，“filerungo”）。“这可能表明该功能的Abcbot版本已经迭代了多次，每次迭代都添加了新功能，”Muir解释说。

此外，对恶意软件工件的深入检查揭示了僵尸网络能够通过使用“autoupdater”、“logger”、“sysall”和“system”等通用、不显眼的名称来创建多达四个自己的用户，以避免检测，并将它们添加到sudoers文件中，以赋予流氓用户对受感染系统的管理权限。

“在任何平台上的恶意软件系列和特定样本之间经常可以看到代码重用甚至同类复制，”Muir说。“从开发的角度来看这是有道理的；就像合法软件的代码被重用以节省开发时间一样，非法或恶意软件也会发生同样的情况。”

新闻来源：

https://thehackernews.com/2022/01/abcbot-botnet-linked-to-operators-of.html

勒索DDoS攻击变得更强大和更普遍

2021年底，随着攻击者要求赎金以阻止攻击，分布式拒绝服务事件的数量有所增加。

去年第四季度，作为DDoS攻击目标的Cloudflare客户中，约有四分之一表示他们收到了肇事者的赎金通知。这些攻击中有很大一部分发生在2021年12月，当时几乎三分之一的Cloudflare客户报告说收到了勒索信。

Cloudflare在今天的博客文章中说，与上个月相比，报告的DDoS勒索攻击数量翻了一番。据该公司称，2021年是大多数此类攻击发生的时间，同比增长29%，环比增长175%。

去年9月，攻击者针对VoIP.ms网络语音提供商部署了RDDoS，由于该公司的DNS服务器变得无法访问，因此中断了电话服务。

从IP地址来看，这些DDoS事件大部分来自中国、美国、巴西和印度，由Meris等僵尸网络部署，今年出现了对俄罗斯互联网巨头Yandex的2180万次请求的破纪录攻击。

与拒绝用户访问服务的应用层DDoS不同，网络层DDoS攻击针对试图关闭路由器和服务器的公司的整个网络基础设施。

新闻来源：

https://www.bleepingcomputer.com/news/security/extortion-ddos-attacks-grow-stronger-and-more-common/

安全漏洞威胁

WordPress 5.8.3修补多个注入漏洞

上周发布的安全版本WordPress 5.8.3修补了四个与注入相关的漏洞。

其中两个缺陷是SQL注入——一个影响WP_Meta_Query（由WordPress安全团队的Ben Bidner发现），另一个影响WP_Query（由GiaoHangTietKiemJSC的ngocnb和khuyenn发现）。

SonarSource的Simon Scannell报告了一个影响某些多站点安装的对象注入问题，以及一个存储的跨站点脚本(XSS)错误。Karim El Ouerghemmi也因XSS漏洞而受到赞誉。这些漏洞影响3.7和5.8之间的WordPress版本。

支持自动更新的网站可能已经更新。已建议其他WordPress用户从他们的仪表板手动更新。

新闻来源：

https://www.securityweek.com/wordpress-583-patches-several-injection-vulnerabilities