安全资讯报告

微软称“破坏性恶意软件”被用于对付乌克兰组织

微软表示，它发现了破坏性恶意软件被用来破坏乌克兰多个组织的系统。在周六发布的博客中，微软威胁情报中心(MSTIC)表示，它于1月13日首次发现了类似勒索软件的恶意软件。

微软解释说：“MSTIC评估说，该恶意软件的设计看起来像勒索软件，但缺乏赎金恢复机制，旨在具有破坏性，旨在使目标设备无法操作，而不是获得赎金。”

目前，我们的调查团队已经在数十个受影响的系统上发现了恶意软件，随着我们调查的继续，这个数字可能会增加。这些系统跨越多个政府、非营利组织和信息技术组织，所有这些组织都位于乌克兰。我们不知道该攻击者运营周期的当前阶段，也不知道乌克兰或其他地理位置可能存在多少其他受害组织。但是，这些受影响的系统不太可能代表其他组织报告的全部影响范围。

微软补充说，目前还不清楚恶意软件的目的是什么，但表示所有乌克兰政府机构、非营利组织和公司都应该注意它。微软表示，这种攻击“与他们观察到的网络犯罪勒索软件活动不一致”，因为通常情况下，勒索软件有效载荷是为每个受害者定制的。

“在这种情况下，在多个受害者身上观察到相同的勒索有效载荷。几乎所有勒索软件都会加密文件系统上文件的内容。在这种情况下，恶意软件会覆盖MBR，没有恢复机制。”微软解释说。

新闻来源：

https://www.zdnet.com/article/microsoft-says-destructive-malware-being-used-against-ukrainian-organizations/

Linux恶意软件呈上升趋势，以下是三大威胁

基于Linux的系统无处不在，并且是互联网基础设施的核心部分，但低功耗的物联网(IoT)设备已成为Linux恶意软件的主要目标。随着数十亿联网设备（如汽车、冰箱和网络设备）在线，物联网设备已成为某些恶意软件活动的主要目标——即分布式拒绝服务(DDoS)攻击，其中垃圾流量旨在淹没目标并使其脱机。

安全供应商CrowdStrike在一份新报告中表示，2021年最流行的基于Linux的恶意软件家族是XorDDoS、Mirai和Mozi，它们合计占当年所有基于Linux的物联网恶意软件的22%。这些也是针对所有基于Linux的系统的恶意软件的主要驱动力，与2020年相比，2021年的恶意软件增长了35%。

Mozi于2019年出现，是一个点对点僵尸网络，它使用分布式哈希表(DHT)——一种查找系统——并依靠弱Telnet密码和已知漏洞来针对网络设备、物联网和录像机，以及其他联网产品。DHT的使用允许Mozi将其命令和控制通信隐藏在合法的DHT流量后面。Crowdstrike指出，与2021年相比，2021年的墨子样本数量增加了10倍。

XorDDoS是一个用于大规模DDoS攻击的Linux僵尸网络，它至少从2014年就已经存在，它使用不受强密码或加密密钥保护的SSH服务器扫描网络以查找Linux服务器。它试图猜测密码以使攻击者远程控制设备。

最近，XorDDoS开始针对云中配置错误的Docker集群，而不是其历史目标，例如路由器和连接互联网的智能设备。Docker容器对加密货币挖掘恶意软件很有吸引力，因为它们提供了更多的带宽、CPU和内存，但DDoS恶意软件从物联网设备中受益，因为它们提供了更多可供滥用的网络协议。然而，由于许多物联网设备已经被感染，Docker集群成为了一个替代目标。

根据CrowdStrike的说法，一些XorDDoS变体用于扫描和搜索2375端口打开的Docker服务器，提供未加密的Docker套接字和对主机的远程root无密码访问。这可以为攻击者提供对机器的root访问权限。

新闻来源：

https://www.zdnet.com/article/linux-malware-is-on-the-rise-here-are-three-top-threats-right-now/

微软针对1月Windows更新问题发布OOB更新

Microsoft已发布紧急带外(OOB)更新，以解决由2021年1月补丁星期二期间发布的Windows更新引起的多个问题。

“此更新解决了与VPN连接、WindowsServer域控制器重新启动、虚拟机启动失败以及ReFS格式的可移动媒体无法安装相关的问题。”

今天发布的所有OOB更新都可以在MicrosoftUpdateCatalog上下载：

Windows8.1、WindowsServer2012R2：KB5010794、WindowsServer2012：KB5010797

微软1月例行更新给管理员带来了一系列严重问题。根据报告，Windows域控制器受到自发重启的困扰，Hyper-V不再在Windows服务器上启动，Windows弹性文件系统(ReFS)卷不能访问，无法连接到VPN、L2TPVPN等问题。

新闻来源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-oob-updates-for-january-windows-update-issues/

朝鲜黑客从全球加密货币初创公司窃取了数百万美元

与Lazarus子组织BlueNoroff相关的运营商与一系列针对全球中小型公司的网络攻击有关，旨在耗尽他们的加密货币资金，这是朝鲜国家赞助的多产的又一次出于经济动机的行动演员。

俄罗斯网络安全公司卡巴斯基正在追踪名为“SnatchCrypto”的入侵，并指出该活动自2017年以来一直在运行，并补充说这些攻击针对位于中国、香港、印度、波兰的金融科技领域的初创公司，俄罗斯、新加坡、斯洛文尼亚、捷克共和国、阿联酋、美国、乌克兰和越南。

研究人员说：“攻击者一直在巧妙地滥用在目标公司工作的员工的信任，向他们发送具有监视功能的全功能Windows后门，伪装成合同或其他业务文件。为了最终清空受害者的加密钱包，攻击者开发了广泛而危险的资源：复杂的基础设施、漏洞利用和恶意软件植入。”

根据区块链分析公司Chainalysis发布的一份新报告，LazarusGroup与对加密货币平台的七次攻击有关，仅在2021年就提取了价值近4亿美元的数字资产，高于2020年的3亿美元。

SnatchCrypto攻击没有什么不同，因为它们是攻击者致力于“跟踪和研究”加密货币公司的努力的一部分，通过精心策划社会工程计划，通过伪装成合法的风险投资公司与目标建立信任，只是为了诱使受害者进入打开带有恶意软件的文档，该文档检索旨在运行通过加密通道从远程服务器接收的恶意可执行文件的有效负载。

新闻来源：

https://thehackernews.com/2022/01/north-korean-hackers-stole-millions.html

美国政府与科技巨头讨论开源软件安全

白宫主办了一场峰会，美国政府和主要科技公司的代表在会上讨论了开源软件的安全性。最近披露和利用影响广泛使用的Log4j日志记录实用程序的漏洞再次突出了开源安全和软件供应链安全的重要性。

白宫峰会的目标是找出提高开源软件安全性并有效支持开源社区的方法。讨论的重点是防止开源代码和软件包中的漏洞，改进发现和修复缺陷的过程，以及改进分发和实施补丁的响应时间。

“参与者讨论了通过将安全功能集成到开发工具中并保护用于构建、存储和分发代码的基础设施的想法，使开发人员更容易编写安全代码，例如使用代码签名和更强大的数字身份等技术。”白宫在峰会结束后表示。

“在第二类，参与者讨论了如何优先考虑最重要的开源项目并建立可持续的机制来维护它们。在最后一个类别中，与会者讨论了加快和改进软件物料清单使用的方法，按照总统行政命令的要求，以便更容易了解我们购买和使用的软件中的内容。”

参与者包括拜登政府、五角大楼、商务部、能源部、国土安全部及其网络安全和基础设施安全局(CISA)、美国国家标准与技术研究院和美国国家科学基金会的代表.

私营部门由Akamai、亚马逊、Apache软件基金会、Apple、Cloudflare、Facebook(Meta)、GitHub、谷歌、IBM、Linux基金会、开源安全基金会、微软、甲骨文、RedHat和VMware代表。

新闻来源：

https://www.securityweek.com/us-government-tech-giants-discuss-open-source-software-security

Qlocker勒索软件回归，瞄准全球QNAP（威联通）NAS设备

Qlocker勒索软件背后的威胁行为者再次瞄准全球暴露在互联网上的QNAP网络附加存储(NAS)设备。

Qlocker此前曾在4月19日那周开始的大规模勒索软件活动中针对QNAP客户，在破坏他们的NAS设备后，将受害者的文件移动到受密码保护的7-zip档案中，扩展名为.7z。

QNAP警告说，攻击者正在利用HBS3HybridBackupSync应用程序中的CVE-2021-28799硬编码凭据漏洞入侵用户的设备并锁定他们的文件。受影响的QNAP用户在支付0.01比特币（当时价值约500美元）的赎金以获取恢复数据所需的密码后，在一个月内损失了大约350,000美元。

新的Qlocker勒索软件活动于1月6日开始，它在受感染的设备上放置名为!!!READ_ME.txt的勒索票据。这一系列新的Qlocker攻击开始以来，BleepingComputer看到的Tor受害者页面显示赎金要求在0.02到0.03比特币之间。

新闻来源：

https://www.bleepingcomputer.com/news/security/qlocker-ransomware-returns-to-target-qnap-nas-devices-worldwide/

安全漏洞威胁

Edge将缓解“不可预见的活跃”零日漏洞

MicrosoftEdge已向Beta通道添加了一项新功能，该功能将减少未来对未知零日漏洞的野蛮利用。

新功能是新浏览模式的一部分，旨在在浏览Web时专注于MicrosoftEdge的安全性。

“这个功能是向前迈出的一大步，因为它让我们减少了不可预见的活跃零日（基于历史趋势），”微软解释说。

“启用后，此功能会带来硬件强制堆栈保护、任意代码保护(ACG)和内容流保护(CFG)，以支持安全缓解措施，以提高用户在Web上的安全性。”

Microsoft在MicrosoftEdgeBeta频道的98.0.1108.23版本中包含了这一额外的保护层，以防止在野外利用的零日漏洞。

新闻来源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-will-mitigate-unforeseen-active-zero-day-bugs/

3个WordPress插件中的高危漏洞影响了84,000个网站

研究人员披露了一个影响三个不同WordPress插件的安全漏洞，这些插件影响了超过84,000个网站，并且可能被恶意行为者滥用以接管易受攻击的网站。

WordPress安全公司Wordfence在上周发布的一份报告中说：“这个漏洞使攻击者可以在易受攻击的网站上更新任意网站选项，只要他们可以诱骗网站管理员执行操作，例如点击链接。”

被追踪为CVE-2022-0215的跨站点请求伪造(CSRF)漏洞在CVSS等级上的评级为8.8，并影响Xootix维护的三个插件:

• Login/SignupPopup(InlineForm+Woocommerce),

• SideCartWoocommerce(Ajax),and

• WaitlistWoocommerce(Backinstocknotifier)

新闻来源：

https://thehackernews.com/2022/01/high-severity-vulnerability-in-3.html