安全资讯报告

FBI警告：这种新的勒索软件要求高达500,000美元

联邦调查局(FBI)有详细的证据将新的Diavol勒索软件与TrickBot Group联系起来，后者是同名银行木马背后的多产团伙。

Diavol在2021年年中引起了研究人员的注意，当时Fortinet发布了对Diavol的技术分析，该分析与Trickbot Group的另一个名称Wizard Spider建立了一些联系，研究人员也一直在追踪与“双重勒索”Ryuk勒索软件有关的信息。

Ryuk被选择性地部署在遭受双重敲诈勒索的高价值目标上，他们的数据被加密、被盗，然后可能泄露，除非支付赎金。

Trickbot的工具包括Anchor_DNS后门，这是一种用于在受害机器和Trickbot控制的服务器之间传输数据的工具，使用域名系统(DNS)隧道来隐藏具有正常DNS流量的恶意流量。

自10月以来，联邦调查局一直在关注Diavol。Diavol和Trickbot之间的联系在于，Diavol为每个受害者生成的唯一机器人标识符(BotID)与Trickbot和Anchor_DNS恶意软件使用的格式“几乎相同”。Diavol生成BotID后，该机器上的文件将被加密并附加“.lock64”文件扩展名，并且机器会显示勒索消息。

“Diavol与Trickbot Group的开发人员有关，他们负责Trickbot银行木马，”联邦调查局在一份新的快讯中说，并警告说它已经看到高达500,000美元的勒索要求。

新闻来源：

https://www.zdnet.com/article/fbi-warning-this-new-ransomware-makes-demands-of-up-to-500000

日政府拟明确规定公司管理层网络安全责任

日本政府关于通信、电力和铁路等重要基础设施企业的网络安全对策，拟明确规定管理层的责任，已就此展开探讨。将提出信息外泄等造成损失时，有可能被追究公司法上的赔偿责任，意在促进企业强化防护体制。将写进计划今春时隔近5年进行彻底修改的“重要基础设施行动计划”中。22日相关人士透露了这一消息。

鉴于瞄准重要基础设施的攻击增多以及手段的提升，政府将加强应对。行动计划中还将提出重视经济安全的方针。

重要基础设施行动计划将决定通过官民合作推进防护的指针。2017年敲定的现行计划中对于企业的管理层，仅表示期待实施安全对策。

在那之后，国内外相继发生对重要基础设施的网络攻击。去年5月美国最大级别输油管道被迫暂停运转；日本国内各地医院出现多起无法浏览电子病历等情况，陷入停止接收新患者的事态。

政府去年9月敲定的“网络安全战略”中，写进了确保重要基础设施安全“关系到经营的根本”，要求政府构建体制使管理层可发挥领导能力。

新闻来源：

https://china.kyodonews.net/news/2022/01/9a3098290c79.html

新的“BHUNT”恶意软件针对印度人的加密钱包

一份新报告称，网络犯罪分子现在正在窃取加密货币钱包的内容、密码和安全短语，目标是用户在其PC上拥有的加密货币钱包。根据网络安全公司Bitdefender的说法，一种名为“BHUNT”的加密钱包窃取恶意软件通过安装盗版软件进入计算机，并攻击Exodus、Electrum、Atomic、Jaxx、以太坊、比特币和Litecoin钱包。

比特币、以太坊或狗狗币等数字货币存储在称为“钱包”的东西中，可以通过使用您的“私钥”（相当于超级安全密码的加密货币）访问它，没有它，加密货币所有者无法访问该货币。桌面钱包将私钥存储在您的硬盘驱动器或计算机上的SSD上。理想情况下，它们比网络和移动钱包更安全，因为它们不依赖第三方获取数据并且更难窃取。

需要注意的是，该恶意软件附带盗版软件，这些盗版软件是使用torrentz和其他恶意网站下载的。一旦恶意软件安装在您的PC中，它就可以将用户的资金转移到另一个钱包，并窃取驻留在受感染计算机中的其他私人数据。“虽然恶意软件主要专注于窃取与加密货币钱包相关的信息，但它还可以获取存储在浏览器缓存中的密码和cookie，”Bitdefender的报告解释道。“这可能包括社交媒体、银行等的帐户密码，甚至可能导致在线身份接管。”

该恶意软件已在全球范围内检测到，其中受感染用户最多的是印度，其次是澳大利亚、埃及、德国、印度尼西亚、日本、马来西亚、挪威、新加坡、南非、西班牙和美国。

新闻来源：

https://indianexpress.com/article/technology/crypto/new-bhunt-malware-targets-your-crypto-wallets-and-passwords-7736926/

网络钓鱼冒充航运巨头马士基推动STRRAT恶意软件

一项使用虚假运输诱饵的新网络钓鱼活动在毫无戒心的受害者设备上安装了STRRAT远程访问木马。

Fortinet在发现冒充全球航运业巨头马士基航运公司（Maersk Shipping）并使用看似合法的电子邮件地址的网络钓鱼电子邮件后发现了这一新活动。

如果收件人打开附加的文档，运行的宏代码会将STRRAT恶意软件提取到他们的机器上，这是一种强大的远程访问木马，可以窃取信息甚至伪造勒索软件攻击。

STRRAT恶意软件首先收集主机系统的基本信息，例如架构和在其上运行的任何防病毒工具，并检查本地存储和网络功能。

就其功能而言，STRRAT可以执行以下操作：

• 记录用户击键

• 方便遥控操作

• 从Chrome、Firefox和Microsoft Edge等网络浏览器获取密码

• 从Outlook、Thunderbird和Foxmail等电子邮件客户端窃取密码

• 运行伪勒索软件模块以模拟感染

新闻来源：

https://www.bleepingcomputer.com/news/security/phishing-impersonates-shipping-giant-maersk-to-push-strrat-malware/

网络钓鱼电子邮件因Omicron问题而激增500%

据梭子鱼网络公司称，最新的COVID-19变种导致网络钓鱼攻击增加了521%，使用该病毒作为诱饵诱使用户点击。

网络犯罪分子经常在他们的社会工程攻击中使用具有新闻价值的事件，而COVID-19在2020年出现时提供了一个大好机会。

这家安全供应商观察到，从当年2月到3月，COVID-19网络钓鱼电子邮件环比激增667%。当2021年初发布新疫苗时，它又记录了一次显着增长。

现在公众对高度传播的Omicron变种的关注引起了网络钓鱼者的注意。

用于诱骗用户点击恶意链接和/或输入个人详细信息的策略包括提供假冒或未经授权的COVID-19测试以及口罩或手套等防护设备。

新闻来源：

https://www.infosecurity-magazine.com/news/covid19-phishing-surge-500-omicron/

拜登下令加强网络安全：使用双重身份验证和加密术

据美国《华尔街日报》网站1月19日报道，美国总统拜登周三扩大了国家安全局在保护美国政府最敏感的计算机网络方面的作用，他发布了一项加强国防部和情报机构内部网络安全的指示。

报道称，拜登签署的备忘录规定了基本的网络安全实践标准，比如国家安全系统——包括美国国防部和情报机构以及支持它们的联邦承包商——使用双重身份验证和加密术。

报道指出，这项长达17页的新指令授权国家安全局发布所谓有约束力的操作指令，要求国家安全系统的操作人员努力防范已知或潜在的网络安全威胁。

新闻来源：

http://www.cankaoxiaoxi.com/mil/20220121/2466855.shtml

安全漏洞威胁

攻击者使用Log4j漏洞尝试登录时发现Serv-U漏洞

这是一个令人困惑的故事：最初，微软周三警告说，攻击者正在利用SolarWinds Serv-U文件共享软件中先前未公开的漏洞，通过SolarWinds漏洞传播对网络内部设备的Log4j攻击。

SolarWinds在前一天周二发布了修复程序。

SolarWinds随后于周四联系了Threatpost和其他新闻媒体，澄清微软的报告提到了一个威胁者试图使用Log4j漏洞登录Serv-U。但尝试失败，因为Serv-U不使用Log4j代码并且身份验证目标——LDAP（Microsoft Active Directory）——不易受到Log4j攻击。

微软威胁情报中心(MSTIC)表示，被跟踪为CVE-2021-35247的SolarWinds漏洞是一个输入验证漏洞，攻击者可以在给定一些输入的情况下构建查询，并在没有卫生设施的情况下通过网络发送该查询。

该漏洞由微软的Jonathan Bar Or发现，影响Serv-U版本15.2.5及之前的版本。SolarWinds修复了周二发布的Serv-U版本15.3中的漏洞。

Serv-U攻击只是猖獗的Log4j攻击尝试和测试中的最新一次，自上个月这些缺陷被披露以来，Apache的Log4j日志库中的多个缺陷被抛出——并受到了近乎即时的攻击。MSTIC强烈建议受影响的客户应用SolarWinds安全更新。

新闻来源：

https://threatpost.com/microsoft-log4j-attackssolarwinds-serv-u-bug/177824/

Red Hat、Ubuntu就Linux内核漏洞发出警告

Red Hat和Ubuntu已就其Linux发行版中的严重漏洞发出警告。

它被描述为基于堆的缓冲区溢出漏洞(CVE2022-0185)。根据Ubuntu，Linux内核中的文件系统上下文功能包含整数下溢漏洞，导致越界写入。本地攻击者可以使用它来导致拒绝服务（系统崩溃）或执行任意代码。

该安全漏洞影响所有受支持的Ubuntu版本，包括运行Linux内核5.13的Ubuntu21.10（称为Impish Indri）系统、运行Linux内核5.11的Ubuntu21.04（Hirsute Hippo）系统，以及Ubuntu20.04LTS（Focal Fossa）和运行Linux内核5.4LTS的Ubuntu18.04LTS(Bionic Beaver)系统。

Red Hat表示该问题会影响Red Hat Enterprise Linux 8.4 GA及更高版本附带的Linux内核包。以前的Red Hat Enterprise Linux版本不受影响。在使用默认受限SCC（安全上下文约束）的Red Hat OpenShift容器平台上，此问题不可利用。

为了缓解安装未运行容器的Red Hat Enterprise Linux8的问题，管理员可以通过将user.max_user_namespaces设置为0来禁用用户命名空间。请注意，在容器化部署中，例如Red Hat OpenShift Container Platform，这种缓解不能应用。

已针对Red Hat Enterprise Linux8和Red Hat Enterprise Linux8.4扩展更新支持发布了修复程序。

新闻来源：

https://www.itworldcanada.com/article/red-hat-ubuntu-issue-warnings-over-linux-kernel-vulnerability/471089