安全资讯报告

专家发现乌克兰的NotPetya和WhisperGate攻击的战略相似之处

对本月早些时候针对数十家乌克兰机构的Wiper恶意软件的最新分析显示，该恶意软件与2017年针对该国基础设施和其他地方的NotPetya恶意软件具有“战略相似性”。

微软上周发现了这款名为WhisperGate的恶意软件，称它观察到了针对美国政府、非营利组织和信息技术实体的破坏性网络活动，并将这些入侵归因于一个代号为“DEV-0586”的新兴威胁集群。"

“虽然WhisperGate与2017年攻击乌克兰实体的臭名昭著的NotPetya擦除器有一些战略上的相似之处，包括伪装成勒索软件，并针对和破坏主引导记录(MBR)而不是对其进行加密，但它明显具有更多旨在造成额外损害的组件，”思科Talos在一份详细说明其应对工作的报告中表示。

这家网络安全公司表示，攻击中可能使用了被盗凭据，还指出威胁行为者在渗透发生前几个月就可以访问一些受害者网络，这是复杂APT攻击的典型迹象。

WhisperGate感染链被设计成一个多阶段过程，它下载一个擦除主引导记录(MBR)的有效负载，然后下载托管在Discord服务器上的恶意DLL文件，该文件丢弃并执行另一个擦除有效负载，通过以下方式不可撤销地破坏文件用受感染主机上的固定数据覆盖其内容。

该调查结果是在大约80个乌克兰政府机构的网站遭到破坏一周后发布的，乌克兰情报机构确认这两起事件是针对其关键基础设施的一波恶意活动的一部分，同时还指出这些攻击利用了最近披露的Log4j访问某些受感染系统的漏洞。

新闻来源：

https://thehackernews.com/2022/01/experts-find-strategic-similarities-bw.html

黑客在数十个WordPress插件和主题中植入了秘密后门

在另一个软件供应链攻击实例中，托管在开发者网站上的数十个WordPress主题和插件在2021年9月上半月被恶意代码后门，目的是感染更多网站。

后门使攻击者可以完全管理使用属于AccessPressThemes的40个主题和53个插件的网站，这家位于尼泊尔的公司拥有不少于360,000个活跃的网站安装。

WordPress插件套件开发商JetPack的安全研究人员在本周发布的一份报告中表示：“受感染的扩展程序包含一个用于Webshell的释放器，使攻击者可以完全访问受感染的站点。”

新闻来源：

https://thehackernews.com/2022/01/hackers-planted-secret-backdoor-in.html

预计到2030年,勒索软件保护市场价值837亿美元(CAGR)复合年增长率：19%

全球勒索软件保护市场预计将在2021年达到173.6亿美元，到2030年达到837亿美元，在2022-2030年的预测期内以复合年增长率(CAGR)计算。估计增长19%。

全球对数据备份和恢复解决方案的需求不断增长、企业共享威胁情报，以及多层次安全策略的要求。有良好的市场增长机会。

勒索软件在COVID-19期间，全球保护市场的增长变得明显，因为大多数在家工作的人更有可能成为勒索软件攻击的受害者。犯罪集团越来越多地利用以COVID-19为主题的网络钓鱼激励措施。远程工作增加了勒索软件攻击的风险。勒索软件攻击削弱了对家庭和信息技术的控制，用户越来越多，因为他们更有可能点击以COVID-19为主题的勒索软件电子邮件，因此公司将采取勒索软件对策来防止对其数据的攻击。

展望未来，北美将成为网络安全厂商的最大收入来源，其次是欧洲，预计亚太地区在预测期内将快速增长，这些地区的经济将快速增长。

新闻来源：

http://www.taiwannews.com.tw/en/news/4420119

以零信任策略控制勒索软件和其他恶意软件

根据Comparitech的数据，以勒索软件为例，2020年有79次成功的攻击袭击了美国政府机构，影响了7100万人。停机时间和恢复成本估计达到1888万美元，停机时间有时长达数月。据NPR报道，总体而言，美国去年遭受了65,000次攻击，每小时超过7次。

根据Google透明度报告，虽然恶意软件网站的数量有所下降，但传播恶意软件的网络钓鱼网站却激增，2020年平均每周检测到46,000个。与此同时，ISACA表示，61%的安全专业人员表示他们的团队人手不足，削弱了防御能力。

防病毒软件当然可以提供帮助。签名分析、启发式分析和其他技术可以阻止大部分连击。但是组织在防病毒上花费了数百万美元，而且仍然有太多的恶意软件导弹越过城墙。显然，防病毒是必要的，但还不够。

答案不是将更多的钱投入到更多的恶意软件检测中。相反，解决方案是实现更好的恶意软件预防。为此，机构需要将零信任网络安全扩展到消灭恶意软件。

零信任背后的概念很简单：从不信任，始终验证。换句话说，永远不要暗中信任任何用户或设备来访问您的任何网络或数据。相反，每次实体请求访问时，都以最小特权、仅需要的方式明确地对每个用户或系统进行身份验证和授权。

但机构通常对用户、设备或系统应用零信任。如何扩大零信任网络以涵盖恶意软件？通过对内容采取零信任的方法。

组织创建、发送、接收和存储大量内容。此类内容可以包括Microsoft Word、Excel和Power Point、Adobe Acrobat、JPG和PNG图像文件、日历文件等常见文件类型。

不幸的是，该内容还可以隐藏恶意软件。隐写术可以以逃避防病毒扫描的方式将恶意可执行文件、脚本和其他代码嵌入到常见的内容文件中。该代码可以在文件下载或文件启动时激活。它也可以在几个月内保持不活动状态，直到“休眠”恶意软件唤醒并开始在您的网络中横向移动。

鉴于这一现实，零信任方法要求您不将任何内容视为安全内容，无论您的组织在内部创建内容、从经过身份验证的来源接收内容、仅在授权团队成员之间传输内容，还是通过防病毒软件运行内容保护。在您主动使其可信之前，该内容是不可信的。

简而言之，您正在用恶意软件预防取代恶意软件检测。今天的网络安全风险已经改变。新的远程和混合工作模式扩展了边界，现在真正的边界是访问、传输和存储数据的任何地方。

与此同时，传入和传出数据可能感染恶意软件的威胁激增。防病毒检测可以提供帮助，但它已不足以阻止勒索软件和其他阴险攻击。当今的机构需要内容保护来扩展其零信任模型数据——您最终需要保护的高价值商品。

新闻来源：

https://www.nextgov.com/ideas/2022/01/taking-control-ransomware-and-other-malware-zero-trust-strategy/361102/

新的NET'Donald Trump'Packer恶意软件正在传播远程访问木马(RAT)

安全研究人员正在描述一种新颖的.NET恶意软件打包程序，它会发送远程访问木马(RAT)以及带有“DonaldTrump”密码的信息窃取程序。因此，自2020年以来一直在跟踪攻击方法的ProofPont团队将恶意软件称为“DTPacker”。

据该公司称，DTPacker已被多个攻击组织使用，并被用于针对全球数千名用户。最成功的尝试之一是在虚假的利物浦足球俱乐部(LFC)网站中使用DTPacker进行为期数周的活动。

作为一张承载曼联球迷的名片，LFC网站总是要避开的，但在这种情况下，每个人都应该避开假网站。威胁者使用假LFC网站可能会引诱用户下载DTPacker，将Agent Tesla恶意软件放置在他们的系统上。与DTPacker相关的其他恶意软件类型包括AsyncRAT、Ave Maria和FormBook。

研究人员观察到了多种解码方法和两个以唐纳德·特朗普为主题的钓鱼主题，因此得名"DTPacker"。

新闻来源：

https://winbuzzer.com/2022/01/24/new-net-donald-trump-packer-malware-is-spreading-remote-access-trojans-rats-xcxwbn/

Android恶意软件BRATA在窃取数据后擦除痕迹

被称为BRATA的Android恶意软件在其最新版本中添加了新的危险功能，包括GPS跟踪、使用多个通信渠道的能力，以及在设备上执行恢复出厂设置以清除所有恶意活动痕迹的功能。

BRATA早在2019年就被卡巴斯基首次发现，它是一款主要针对巴西用户的Android RAT（远程访问工具）。

2021年12月，Cleafy的一份报告强调了该恶意软件在欧洲出现，该恶意软件在欧洲被发现以电子银行用户为目标，并在冒充银行客户支持代理的欺诈者的参与下窃取他们的凭据。

最新版本的BRATA恶意软件现在针对英国、波兰、意大利、西班牙、中国和拉丁美洲的电子银行用户。每个变体都专注于不同的银行，具有专门的覆盖集、语言，甚至不同的应用程序来针对特定的受众。作者在所有版本中都使用了类似的混淆技术，例如将APK文件包装到加密的JAR或DEX包中。这种混淆成功绕过了防病毒检测。

Cleafy研究人员在最新BRATA版本中发现的新功能包括键盘记录功能，它补充了现有的屏幕捕获功能。尽管它的确切用途对分析师来说仍然是个谜，但所有新变体也都具有GPS跟踪功能。新恶意功能在“完成欺诈交易或检测到在虚拟环境运行时，会擦除手机数据”。

新闻来源：

https://www.bleepingcomputer.com/news/security/android-malware-brata-wipes-your-device-after-stealing-data/

Emotet恶意软件使用非常规IP地址格式来逃避检测

与之前的Emotet相关攻击一样，感染链旨在诱骗用户启用文档宏并自动执行恶意软件。该文档使用Excel4.0宏，该功能已被恶意行为者反复滥用以传递恶意软件。

启用后，该宏将调用一个用插入符号混淆的URL，其中主机合并IP地址的十六进制表示形式-"h^tt^p^：/^/0xc12a24f5/cc.html"-以从远程主机执行HTML应用程序（HTA）代码。

网络钓鱼攻击的第二种变体遵循相同的操作方式，唯一的区别是IP地址现在以八进制格式编码：

"h^tt^p^：/^/0056.0151.0121.0114/c.html"。

"十六进制和八进制IP地址的非常规使用可能导致逃避当前依赖于模式匹配的解决方案。"Kenefick说。"像这样的规避技术可以被认为是攻击者继续创新以阻止基于模式的检测解决方案的证据。“

这一发展是在去年年底Emotet活动重新开始之际进行的，此前在协调的执法行动之后，经过长达10个月的中断。2021年12月，研究人员发现了恶意软件发展其策略的证据，即将Cobalt Strike后门投放到受感染的系统上。

新闻来源：

https://thehackernews.com/2022/01/emotet-now-using-unconventional-ip.html

用于推送远程访问特洛伊木马的恶意PowerPoint文件

自2021年12月以来，网络钓鱼活动出现了一种日益增长的趋势，即使用恶意PowerPoint文档分发各种类型的恶意软件，包括远程访问和信息窃取特洛伊木马。

根据Netskope的威胁实验室在发布前与BleepingComputer分享的一份报告，参与者正在使用PowerPoint文件以及托管恶意软件有效负载的合法云服务。

在跟踪的活动中部署的家族是Warzone（又名AveMaria）和AgentTesla，这两个强大的RAT和信息窃取者针对许多应用程序。恶意PowerPoint网络钓鱼附件包含通过PowerShell和MSHTA的组合执行的混淆宏，这两者都是内置的Windows工具。

然后对VBS脚本进行去模糊处理，并添加新的Windows注册表项以实现持久性，从而导致两个脚本的执行。第一个从外部URL获取AgentTesla，第二个禁用Windows Defender。此外，VBS会创建一个计划任务，该任务每小时执行一个脚本，该脚本从BloggerURL获取PowerShell加密货币窃取程序。

AgentTesla是一个.基于NET的RAT（远程访问木马），可以窃取浏览器密码，记录击键，窃取剪贴板内容等。

第二个有效载荷是Warzone，也是一个RAT后门，但Netskope在报告中没有提供有关它的许多细节。加密货币窃取者是此活动的第三个有效负载，它使用与加密货币钱包模式匹配的正则表达式检查剪贴板数据。如果找到，它将收件人的地址替换为参与者控制下的地址。该木马支持支持比特币，以太坊，XMR，DOGE等加密货币交易。

最可靠的保护措施是谨慎处理所有未经请求的通信，并保持MicrosoftOffice套件上的宏处于禁用状态。

新闻来源：

https://www.bleepingcomputer.com/news/security/malicious-powerpoint-files-used-to-push-remote-access-trojans/

安全漏洞威胁

F5修补了BIG-IP中的两个漏洞

云安全和应用交付解决方案提供商F5本周宣布了针对影响其BIG-IP、BIG-IQ和NGINX产品的25个漏洞的补丁。

BIG-IP应用交付控制器(ADC)中总共解决了23个安全漏洞，其中包括13个高严重性问题，所有这些问题的CVSS评分均为7.5。

大多数高严重性错误可能导致流量管理微内核(TMM)终止。很少有其他因素会导致内存资源利用率增加、虚拟服务器冻结或JavaScript代码执行。

在从11.x到16.x的多个BIG-IP版本中发现了安全缺陷。修复包含在版本14.x、15.x和16.x中。

F5还发布了针对BIG-IQ集中管理（CVE-2022-23009-CVSS得分为8.0）和NGINX控制器API管理（CVE-2022-23008-CVSS得分为8.7）中的两个高严重性错误的补丁。

可以利用这些漏洞访问由同一BIG-IQ系统管理的其他BIG-IP设备，并分别注入JavaScript代码。

本周修补的所有九个中等严重性漏洞都会影响BIG-IP，但其中一个漏洞-即CVE-2022-23023，会导致内存资源利用率增加-也会影响BIG-IQ。

这些缺陷可能导致TMM终止、资源利用率增加、虚拟服务器冻结、某些类型的TCP连接失败或本地文件泄漏。

此外，F5修复了一个导致DNS重新绑定攻击的低严重性漏洞。

美国网络安全和基础设施安全局(CISA)鼓励管理员查看F5的建议并尽快安装可用的软件更新。“远程攻击者可以利用这些漏洞实现拒绝服务攻击。”CISA指出。

新闻来源：

https://www.securityweek.com/f5-patches-two-dozen-vulnerabilities-big-ip