安全资讯报告

10个国家协调关闭勒索软件VPN服务

周一，包括美国联邦调查局在内的10个国家的执法机构关闭了一项用于匿名勒索软件攻击的15台服务器VPN服务。

据乌克兰执法部门称，VPNLab[.]net据称为至少150次勒索软件攻击提供了掩护，从而获得了大约6000万欧元的赎金。该服务总部设在德国，汉诺威警方领导了调查。欧洲刑警组织将该服务描述为“网络犯罪分子的热门选择”。

参与拆除的国家包括德国、荷兰、加拿大、捷克共和国、法国、匈牙利、拉脱维亚、乌克兰、美国和英国。欧洲刑警组织和欧洲司法组织提供了额外的支持，包括举办了60多次协调会议。

俄罗斯执法部门上周逮捕了REvil勒索软件团伙的14名成员，这是警方针对勒索软件制造商的重大突破。

新闻来源：

https://www.scmagazine.com/analysis/ransomware/10-nations-coordinate-shutdown-of-ransomware-vpn-service

ESET深入研究了前两年Donot Team对南亚国家的攻击

Donot Team（也称为APT-C-35、肚脑虫和SectorE02）是至少从2016年开始运营的威胁行为者，并以使用Windows和Android恶意软件针对南亚的组织和个人而闻名。一份报告将该组织的恶意软件与一家印度网络安全公司联系起来，该公司可能正在向该地区的政府出售间谍软件或提供黑客出租服务。

ESET的调查认为，该组织非常顽固，至少在过去两年中一直针对相同的组织。

Donot Team的活动受到间谍活动的推动，使用他们的签名恶意软件：“yty”恶意软件框架，其主要目的是收集和泄露数据。根据遥测数据，Donot Team专注于南亚的少数目标——孟加拉国、斯里兰卡、巴基斯坦和尼泊尔。这些攻击集中在：政府和军事组织、外交部、大使馆等。

新闻来源：

https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/

DHL取代微软成为2021年第四季度网络钓鱼尝试中被模仿最多的品牌

Check Point Research发布第四季度品牌网络钓鱼报告，重点介绍黑客模仿的领先品牌，该报告重点介绍了犯罪分子在10月、11月和12月试图窃取个人个人信息或支付凭证时最常模仿的品牌。

DHL首次在第四季度占据第一名，取代微软成为网络犯罪分子最有可能成为网络钓鱼诈骗目标的品牌。23%的品牌网络钓鱼尝试与全球物流和航运公司有关，高于第三季度的9%，因为攻击者试图在一年中最繁忙的零售期间利用易受攻击的在线消费者。微软在第三季度再次领跑，占所有网络钓鱼尝试的29%，但在第四季度仅占网络钓鱼诈骗的20%。联邦快递也在2021年第四季度首次出现在前十名名单中，这无疑是由于大流行仍然是一个关键问题，威胁行为者在节日前夕试图针对脆弱的在线购物者的结果。

以下是在品牌网络钓鱼尝试中按整体外观排名的顶级品牌：

• DHL（与全球23%的网络钓鱼攻击有关）

• 微软(20%)

• WhatsApp(11%)

• 谷歌（10%）

• 领英(8%)

• 亚马逊(4%)

• 联邦快递(3%)

• 机器人(3%)

• 贝宝(2%)

• 苹果(2%)

新闻来源：

https://finance.yahoo.com/news/dhl-replaces-microsoft-most-imitated-110000658.html

FluBot木马已感染1100万部手机

FluBot是专为Android设备设计的木马，自2020年以来已出现在多个欺诈性短信活动（smishing）中。据估计，它已成功感染六万多个终端，并编制了一份包含约1100万个电话号码的列表。攻击者冒充快递公司或邮局试图让用户安装恶意应用程序。它的最终目标是窃取银行信息以访问受害者的账户。

在其最著名的版本中，该木马会伪装成虚假的货运和包裹跟踪消息。Flubot通过设备的地址簿迅速传播，据专家介绍，这也是其成功获取如此多终端和电话号码的原因之一。此外，flubot能够窃取银行信息（银行访问数据、信用卡、支付数据……）、短信或联系人列表信息，甚至在控制设备后还能拨打电话。此外，它还允许从攻击者的控制中心执行远程命令，并阻止用户卸载应用程序。

在第一波中，受害者收到了一条短信，表明收到了一个包裹，并提供了一个链接来跟踪它。因此，去年Correos、DHL和FedEX等公司的SMS中出现了身份盗用。单击链接后，SMS会将受害者重定向到伪装成官方网站的页面，并要求他们下载跟踪应用程序。这个“应用程序”是直接从恶意应用程序商店下载的，而不是GooglePlay商店，木马隐藏在里面。

新闻来源：

https://thegoaspotlight.com/2022/01/17/flubot-the-trojan-that-has-infected-11-million-mobiles/

时尚巨头Moncler确认勒索软件攻击后数据泄露

意大利奢侈品时尚巨头Moncler证实，他们在12月被AlphV/BlackCat勒索软件窃取并于今天在暗网上发布的文件后遭受了数据泄露。

攻击发生在2021年的最后一周，当时这家奢侈时尚品牌宣布中断其IT服务，但保证攻击只会导致暂时性中断。

在一份声明中，Moncler证实，与其员工、前雇员、供应商、顾问、业务合作伙伴和客户相关的一些数据今天被AlphaV(BlackCat)勒索软件操作泄露。Moncler表示，他们拒绝支付赎金要求的前景，因为这违反了其创始原则，导致被盗数据的发布。从网站上共享的屏幕截图来看，被盗数据包括收入报表、带有似乎是客户信息的电子表格、发票和其他文件。

Moncler Group是首批ALPHV(BlackCat)勒索软件受害者之一，这是一项新的勒索软件即服务(RaaS)操作，于2021年12月初启动。

新闻来源：

https://www.bleepingcomputer.com/news/security/fashion-giant-moncler-confirms-data-breach-after-ransomware-attack/

野外出现与FIN8黑客组织相关联的新白兔勒索软件

最近在野外出现了一个名为“白兔”的新勒索软件家族，根据最近的研究结果，它可能是FIN8黑客组织的副业。FIN8是一个出于经济动机的行为者，多年来一直被发现以金融组织为目标，主要是通过部署可以窃取信用卡详细信息的POS恶意软件。

研究人员分析了2021年12月对美国银行的攻击期间获得的白兔勒索软件样本。勒索软件可执行文件是一个小负载，文件大小为100KB，需要在命令行执行时输入密码才能解密恶意负载。其他勒索软件操作（包括Egregor、MegaCortex和SamSam）之前曾使用过执行恶意负载的密码。

一旦使用正确的密码执行，勒索软件将扫描设备上的所有文件夹并加密目标文件，为它加密的每个文件创建赎金记录。在加密设备时，可移动驱动器和网络驱动器也是目标，Windows系统文件夹被排除在加密之外，以防止操作系统无法使用。赎金通知通知受害者他们的文件已被泄露，并威胁如果不满足要求，将发布和/或出售被盗数据。受害者支付赎金的最后期限设置为四天，之后攻击者威胁要将被盗数据发送给数据保护机构，从而导致数据泄露GDPR处罚。

新型勒索软件使用了前所未有的Badhatch版本（又名“Sardonic”），这是一个与FIN8相关的后门。通常，这些参与者将他们的自定义后门保留给自己，并继续私下开发它们。

新闻来源：

https://www.bleepingcomputer.com/news/security/new-white-rabbit-ransomware-linked-to-fin8-hacking-group/

安全漏洞威胁

Microsoft Edge引入针对潜在0Day漏洞的保护

Microsoft Edge浏览器开发人员在beta测试通道中添加了一项新功能，旨在保护用户免受实际攻击中的潜在利用和零日漏洞。该功能是新浏览模式的一部分，旨在确保Microsoft Edge在浏览Internet时保持安全。

“启用后，该功能提供硬件堆栈保护、任意代码保护（Arbitrary Code Guard，ACG）和内容流保护（Content Flow Guard，CFG），以提高互联网上的用户安全。”开发人员解释说。

在Microsoft Edge最新测试版的发行说明中，微软还提到添加自定义主密码，允许用户在自动填写Web表单中保存的密码之前输入额外的身份验证步骤。

新闻来源：

https://www.securitylab.ru/news/528759.php

Oracle发布近500个新的安全补丁

Oracle发布2022年的第一个重要补丁更新准备了497个新补丁，该补丁计划已于1月18日发布。

包括Oracle Essbase、图形服务器和客户端、安全备份、通信应用程序、通信、建筑和工程、企业管理器、金融服务应用程序、融合中间件、保险应用程序、PeopleSoft、支持工具和应用程序中的严重漏洞将得到修补。

涉及套件：航空公司数据模型、大数据图、通信数据模型、商务、食品和饮料应用程序、电子商务套件、GoldenGate、健康科学应用程序、医疗保健应用程序、酒店应用程序、Hyperion、iLearning、JDEdwards、MySQL、策略自动化、零售应用程序、REST数据服务、Siebel CRM、供应链、系统、Spatial Studio和TimesTen In-Memory。其中许多漏洞无需身份验证即可远程利用。

其他2022个重要补丁更新计划将于4月19日、7月19日和10月18日发布。Oracle在2021年1月、4月、7月和2021年10月发布的CPU总共包含1,400多个安全修复程序。

新闻来源：

https://www.securityweek.com/oracle-release-nearly-500-new-security-patches