平安资讯报告
勒索软件团伙应用“有情”的策略,以取得更大的回报
依据欧洲执法机构欧洲刑警组织的数据,仅在2019年至2020年之间,赎金领取的数量就减少了300%。网络犯罪分子以供应链、要害基础设施、医院等为指标的几起重大事件表明,胜利的勒索软件攻打具备如许大的破坏性。
为了取得解密加密文件和服务器所需的解密密钥,许多成为勒索软件攻打受害者的组织将领取赎金,这可能会破费数百万美元的比特币或其余加密货币。网络犯罪分子并没有尝试大规模散发勒索软件并心愿某些攻打可能胜利,而是抉择较少数量的指标,而是依据他们最有可能领取赎金来抉择这些指标。
报告称:“大规模散发勒索软件的攻打仿佛正在缩小,犯罪分子正在转向针对私营公司、医疗保健和教育部门、要害基础设施和政府机构的勒索。”这一转变表明,勒索软件运营商会依据财务能力来抉择指标,以满足更高的赎金要求,以及指标受害者须要尽快恢复经营。
随着犯罪分子在网络中破费更多工夫钻研指标并晋升其特权,以进一步毁坏基础设施并获取更多数据,勒索软件攻打变得更加简单。如果不领取赎金,网络犯罪分子将窃取数据并威逼要公布数据。这些双重勒索攻打对不心愿公开敏感信息的组织非常无效。如果受害者不领取赎金,一些勒索软件攻打曾经开始威逼受害者,通过DDoS攻打进一步毁坏。
欧洲刑警组织示意:“肇事者的作案手法越来越有情和井井有条。许多最臭名远扬的勒索软件从属程序对其受害者进行DDoS攻打,以迫使他们恪守勒索要求。
新闻来源:
https://www.zdnet.com/article…
网络钓鱼攻打比2020年增长31.5%,社交媒体攻打持续攀升
依据PhishLabs的一份报告,网络钓鱼依然是不良行为者的次要攻打媒介,在2020年增长了31.5%。值得注意的是,2021年9月的攻打次数是前一年的两倍多。
网络钓鱼和社交媒体攻打的惊人增长,2021年社交媒体攻打猛增:自1月以来,每个指标的社交媒体攻打均匀数量稳步攀升,往年迄今增长了82%。
在第三季度,企业用户报告的凭据偷盗网络钓鱼攻打中有51.6%以Office365登录为指标。
新闻来源:
https://www.helpnetsecurity.c…
黑客通过博客文章瞄准韩国智库
在自2021年6月开始追踪的一项新流动中,高级继续威逼(APT)组织始终试图在受益机器上植入监督和基于偷盗的恶意软件。
来自Cisco Talos的钻研人员示意,Kimsuky APT,也被称为Thallium或Black Banshee,是这波攻打的罪魁祸首,其中歹意的Blogspot内容被用来诱惑“韩国智囊团,他们的钻研重点是政治与朝鲜、中国、俄罗斯和美国无关的内政和军事话题。”
具体来说,地缘政治和航空航天组织仿佛在APT的关注范畴内。Kimsuky至多自2012年以来始终沉闷。AhnLab示意,电子邮件中附带的表格、考察问卷和钻研文件过来曾被用作网络钓鱼钓饵,而在Talos检测到的流动中,歹意Microsoft Office文档依然是次要的攻打媒介。
通常,歹意VBA宏蕴含在文档中,一旦触发,将从Blogspot下载无效负载。这些博客文章基于Gold Dragon/Brave Prince恶意软件系列提供了三种类型的歹意内容:初始信标、文件窃取程序和植入部署脚本——后者旨在感化端点并启动进一步的恶意软件组件,包含键盘记录器、信息窃取器和用于网站登录凭据偷盗的文件注入器模块。
Kimsuky威逼参与者将扫描他们特地感兴趣的文件。这包含与朝鲜、无核化、美国、中国和俄罗斯之间的关系以及火箭设计、航空燃料钻研、流体力学和材料科学相干的内容。钻研人员说:“Kimsuky是一个积极主动的威逼行为者,指标是韩国的许多实体。该组织始终在不懈地创立新的感化链,以向受害者提供不同类型的恶意软件。此类有针对性的攻打可能导致受限钻研的泄露、未经受权的特务拜访,甚至对指标组织的破坏性攻打。”
新闻来源:
https://www.zdnet.com/article…
Google Play上的“智能电视遥控器”是恶意软件
本周,Google Play商店中的两个Android应用程序被发现蕴含恶意软件。这些应用程序被称为“智能电视遥控器”和“万圣节着色”,前者已被下载至多1,000次。智能电视近程利用程序包“Joker”恶意软件,这些应用程序被Joker恶意软件感化了木马。
Google Play Protect在装置应用程序时会对其进行查看。还会定期扫描您的设施。如果发现潜在无害应用程序,会向用户发送告诉,禁用该应用程序,直到卸载。装置了这些应用程序的用户应立即卸载应用程序,清理他们的智能手机,并查看是否有任何未经受权的订阅或从他们的帐户发动的计费流动。
新闻来源:
https://www.bleepingcomputer….
Windows 10 App Installer在BazarLoader恶意软件攻打中被滥用
TrickBot团伙运营商当初正在滥用Windows 10利用安装程序,将他们的BazarLoader恶意软件部署到成为高度针对性垃圾邮件流动受害者的指标零碎上。
BazarLoader(又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor)是一种荫蔽的后门木马,通常用于毁坏高价值指标的网络并将对受损资产的拜访权发售给其余网络犯罪分子。
它被用于提供额定的有效载荷,例如Cobalt Strike信标,可帮忙威逼行为者拜访受害者的网络并最终部署危险的恶意软件,包含但不限于Ryuk勒索软件。
钓鱼网站上的“预览PDF”按钮不是指向PDF文档,而是关上一个带有ms-appinstaller:前缀的URL。单击该按钮时,浏览器将首先显示正告,询问受害者是否容许该站点关上App Installer。大多数人在看到adobeview.*时可能会疏忽它。单击正告对话框中的“关上”将启动Microsoft的应用程序安装程序,以伪造的Adobe PDF组件的模式在受害者设施上部署恶意软件。
在受感化设施上部署后,BazarLoader将开始收集零碎信息(例如,硬盘、处理器、主板、RAM、本地网络上具备面向公众的IP地址的流动主机)。
新闻来源:
https://www.bleepingcomputer….
安全漏洞威逼
Magniber勒索软件团伙利用Internet Explorer破绽进行攻打
Magniber勒索软件团伙当初正在应用两个Internet Explorer破绽和歹意广告来感化用户并加密他们的设施。这两个Internet Explorer破绽被跟踪为CVE-2021-26411和CVE-2021-40444,两者的CVSSv3严重性评分均为8.8。
第一个CVE-2021-26411已于2021年3月修复,是通过查看特制网站触发的内存损坏破绽。第二个破绽CVE-2021-40444是由关上歹意文档触发的IE渲染引擎中的近程代码执行。在微软于2021年9月修复之前,攻击者曾利用CVE-2021-40444作为零日破绽。
Magniber团伙以利用破绽毁坏零碎和部署勒索软件而闻名。8月,有人察看到Magniber利用“PrintNightmare”破绽毁坏Windows服务器,因为它们对打印的影响,微软须要一段时间来解决。最新的Magniber流动侧重于应用推送破绽利用工具包的歹意广告来利用Internet Explorer破绽,腾讯平安钻研人员确认了“陈腐”有效载荷。
Magniber于2017年开始作为Cerber勒索软件的继承者,最后仅感化来自韩国的用户。该组织随后扩充了指标范畴,并开始感化中国(包含台湾和香港)、新加坡和马来西亚的零碎。Magniber勒索软件始终处于十分沉闷的开发阶段,其有效载荷已被齐全重写了3次。目前,它依然未破解,因而没有解密器能够帮忙复原病毒加密的文件。
新闻来源:
https://www.bleepingcomputer….
新的Golang恶意软件(BotenaGo),针对数百万路由器和物联网设备利用了30多个破绽
AT&T AlienLabs™发现了用开源编程语言Golang编写的新恶意软件。它部署了30多个破绽利用程序,有可能针对数百万个路由器和物联网设施。
依据Intezer最近的一篇文章,Go编程语言在过来几年中在恶意软件作者中的受欢迎水平急剧减少。该网站表明,在野外发现的用Go编写的恶意软件代码减少了2,000%。其日益风行的一些起因与为不同零碎编译雷同代码的容易性无关,这使攻击者更容易在多个操作系统上流传恶意软件。
BotenaGo目前的反病毒(AV)检测率较低。一些杀毒软件应用Go作为Mirai恶意软件检测这些新的恶意软件变种——有效载荷链接看起来的确类似。Alien Labs发现的新恶意软件变种与Mirai恶意软件的攻打性能不同,新变种只会寻找易受攻击的零碎来流传其负载。
新闻来源:
https://cybersecurity.att.com…
发表回复