安全资讯报告

25个恶意JavaScript库通过官方NPM包存储库分发

一批25个恶意JavaScript库进入了官方NPM软件包注册表，目的是从受感染的系统中窃取Discord令牌和环境变量。

DevOps安全公司JFrog表示，这些库利用了仿冒技术并伪装成其他合法软件包，例如colors.js、crypto-js、discord.js、marked和noblox.js，并将这些软件包归咎于“新手恶意软件”的作品作者。

这些发现是一系列披露中的最新发现，这些披露揭露了滥用NPM来部署从信息窃取器到完全远程访问后门的一系列有效负载，这使得开发人员必须检查他们的包依赖关系以减轻仿冒和依赖混乱攻击。

新闻来源：

https://thehackernews.com/2022/02/25-malicious-javascript-libraries.html

《2022年网络钓鱼状态》发布

根据电子邮件安全供应商Proofpoint的最新统计数据，基于电子邮件的网络钓鱼攻击在2021年变得更加成功——勒索软件攻击也在让受害者支付赎金需求方面取得了更大的成功。

该供应商的新报告——《2022年网络钓鱼状态》——提供了对网络钓鱼正在发生的事情的见解，这种偷偷摸摸的电子邮件传播攻击通常是勒索软件事件的起点。该报告也有关于勒索软件的新细节。

该报告认为，83%的组织表示他们在2021年经历了一次基于电子邮件的网络钓鱼攻击，而2020年这一比例为57%。这相当于去年遭受成功网络钓鱼攻击的组织增加了46%。

同时，他们表示，2021年有68%的组织被勒索软件感染，高于2020年的66%。其中近三分之二的组织遭受了三个单独的勒索软件感染，而近15%的组织遭受了超过10个单独的勒索软件感染感染。

100%接受调查的美国组织都表示他们开展了网络安全培训计划，64%表示他们为企业的所有员工分配了网络安全培训。

至关重要的是，“这种方法正在奏效，84%的美国组织表示安全意识培训降低了网络钓鱼失败率，这是所有接受调查的国家中最高的，”科斯格罗夫说。

新闻来源：

https://venturebeat.com/2022/02/22/22-very-bad-stats-on-the-growth-of-phishing-ransomware/

Asustor NAS设备受到Deadbolt勒索软件攻击

根据多份关于Asustor NAS设备受到DeadBolt勒索软件攻击的报告，继针对QNAPNAS设备的勒索软件攻击之后，现在轮到Asustor受苦了。

目前尚不清楚攻击者是如何设法破坏Asustor设备的，以及哪些型号容易受到攻击。这部分是因为该公司仍然对此保持沉默，但用户应该希望尽快收到一份声明和一个补丁。

据称，AS6602T、AS-6210T-4K、AS5304T、AS6102T或AS5304T不会受到这些攻击，而AS5304T、AS6404T、AS5104T和AS7004T似乎会受到影响。

初步报告显示，攻击者设法破坏了Asustor的EZ Connect实用程序中发现的漏洞，该实用程序允许用户远程连接到NAS系统。

QNAP也遭到了DeadBolt攻击，截至发稿时，运营商索要0.03比特币，约合1,100美元。他们还提出以5个比特币（约185,000美元）的价格出售漏洞本身的详细信息，以及以50个比特币（185万美元）的价格出售针对恶意软件的主解密密钥。

新闻来源：

https://www.techradar.com/news/asustor-nas-devices-hit-by-deadbolt-ransomware-attack

中国研究人员详述NSA-Linked Equation Group的Linux后门

来自中国盘古实验室的一组研究人员发表了一份长达50页的报告，详细介绍了一种Linux恶意软件，据称该恶意软件被称为方程式组织的威胁组织用于攻击许多目标，该组织与美国国家安全局(NSA)有联系。

本周研究人员详细介绍的后门被称为Bvp47，它于2013年在调查一起影响中国政府组织的事件时首次被发现。他们当时确定这似乎是一个“顶级APT后门”，但进一步调查需要他们无法获得的私钥。

该恶意软件根据其源代码中常见的“Bvp”字符串和加密算法中使用的“0x47”值命名为Bvp47。

2016年和2017年，一个自称影子经纪人的神秘组织泄露了大量据称从与NSA相关的方程式组织窃取的数据，其中包括许多黑客工具和漏洞利用。在这些泄漏中，盘古实验室的研究人员找到了进一步分析Bvp47后门所需的私钥。

据研究人员称，该活动似乎在十多年的时间里针对45个国家的近300个实体。

盘古实验室表示，该后门被用于攻击北美、欧洲和亚洲的电信、高等教育、军事、科学和经济发展部门的组织。Bvp47似乎旨在为其运营商提供对受感染设备的长期控制，它包括rootkit、安全功能绕过、反取证、自删除和其他功能。

新闻来源：

https://www.securityweek.com/chinese-researchers-detail-linux-backdoor-nsa-linked-equation-group

乌克兰政府和银行再次遭受DDoS攻击

多个乌克兰政府机构（包括外交部、国防部和内政部、安全局和内阁）以及两家最大的国有银行的网站再次成为分布式拒绝攻击的目标。服务(DDoS)攻击。

互联网监管机构NetBlocks还证实，Privatbank（乌克兰最大的银行）和Oschadbank（国家储蓄银行）网站在袭击中受到重创，并与乌克兰政府网站一起被击倒。

“今天，一些政府和银行机构的网站再次遭受了大规模的DDoS攻击。一些被攻击的信息系统不可用或断断续续地工作，”乌克兰国家特殊通信和信息保护局（SSCIP）表示。

在上周事件发生三天后发布的一份报告中，乌克兰计算机应急响应小组(CERT-UA)表示，攻击者使用DDoS即服务平台和多个僵尸网络（包括Mirai和Meris）

新闻来源：

https://www.bleepingcomputer.com/news/security/ukrainian-government-and-banks-once-again-hit-by-ddos-attacks/

支付赎金后勒索软件勒索并未停止

一项调查勒索软件受害者经历的全球调查强调了勒索软件参与者缺乏可信度，因为在大多数支付赎金的情况下，勒索仍在继续。

该调查由网络安全专家Venafi进行，受访者得出的最重要发现如下：

• 在支付了请求金额的所有勒索软件受害者中，有83%被再次勒索、两次甚至三倍。

• 支付赎金的受害者中有18%的数据仍然暴露在暗网上。

• 8%拒绝支付赎金，攻击者试图敲诈他们的客户。

• 35%的受害者支付了赎金，但仍然无法检索他们的数据。

至于勒索软件攻击者的勒索手段，总结如下：

• 38%的勒索软件攻击威胁使用被盗数据敲诈客户。

• 35%的勒索软件攻击威胁要在暗网上暴露被盗数据。

• 32%的攻击威胁要直接将数据泄露事件通知受害者的客户。

  
  

正如Venafi在其报告中强调的那样，支付赎金只会激励骗子返回更多，因为它发出的信号是受害者认为这是摆脱麻烦的最简单方法，这只不过是一种幻觉。

新闻来源：

https://www.bleepingcomputer.com/news/security/ransomware-extortion-doesnt-stop-after-paying-the-ransom/

对乌克兰的破坏性攻击使用了新的数据擦除恶意软件

网络安全公司发现了一种新的数据擦除器，用于对乌克兰网络的破坏性攻击。数据擦除器是一种恶意软件，它会故意破坏设备上的数据以使数据无法恢复并使操作系统不再正常工作。

新的数据擦除器被检测为Win32/KillDisk.NCV，并已部署在乌克兰网络上的数百台设备上。ESET指出该恶意软件是在21年12月28日编译的，这表明攻击可能已经计划了一段时间。

“其中一个样本的PE编译时间戳是2021年12月28日，这表明攻击可能已经准备了近两个月，”ESET在推特上写道。

安全研究员Silas Cutler证实，数据擦除器还会破坏设备的主引导记录，使设备无法启动。ESET警告说，至少在其中一次攻击中，它们不是针对单个计算机的，而是直接从Windows域控制器部署的。这表明威胁参与者在一段时间内可以访问这些网络。

新闻来源：

https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/

1亿部三星手机的加密功能存在缺陷

三星出货了大约1亿部加密不完善的智能手机，包括从2017年的Galaxy S8到去年的Galaxy S21的各种型号。

特拉维夫大学的研究人员发现了“严重”密码设计缺陷，这些缺陷可能让攻击者窃取设备的基于硬件的密码密钥：解锁智能手机中关键数据宝库的密钥。

更重要的是，网络攻击者甚至可以利用三星的加密失误——已在多个CVE中已经解决——来降级设备的安全性，这将使手机容易受到攻击。

设计缺陷主要影响使用ARM的TrustZone技术的设备：基于ARM的Android智能手机（占大多数）为可信执行环境(TEE)提供的硬件支持，以实现安全敏感功能。

这些安全漏洞不仅允许网络犯罪分子窃取存储在设备上的加密密钥：它们还允许攻击者绕过安全标准，例如FIDO2。

新闻来源：

https://threatpost.com/samsung-shattered-encryption-on-100m-phones/178606/

安全漏洞威胁

Synology DSM中的漏洞允许执行任意命令

在Synology NAS设备上，漏洞允许远程验证用户通过易受攻击的Disk Station Manager(DSM)执行任意命令。

Synology已解决其Disk Station Manager NAS操作系统(DSM)中的安全漏洞。该漏洞允许授权攻击者在受影响的NAS上远程执行任何命令。由于DSM6.2和7.0中都存在该问题。

新闻来源：

https://www.guru3d.com/news-story/vulnerability-in-synology-dsm-allows-execution-of-arbitrary-commands.html