平安资讯报告
专家发现乌克兰的NotPetya和WhisperGate攻打的策略相似之处
对本月早些时候针对数十家乌克兰机构的Wiper恶意软件的最新剖析显示,该恶意软件与2017年针对该国基础设施和其余中央的NotPetya恶意软件具备“策略相似性”。
微软上周发现了这款名为WhisperGate的恶意软件,称它察看到了针对美国政府、非营利组织和信息技术实体的破坏性网络流动,并将这些入侵归因于一个代号为“DEV-0586”的新兴威逼集群。”
“尽管WhisperGate与2017年攻打乌克兰实体的臭名远扬的NotPetya擦除器有一些策略上的相似之处,包含伪装成勒索软件,并针对和毁坏主疏导记录(MBR)而不是对其进行加密,但它显著具备更多旨在造成额定侵害的组件,”思科Talos在一份具体阐明其应答工作的报告中示意。
这家网络安全公司示意,攻打中可能应用了被盗凭据,还指出威逼行为者在浸透产生前几个月就能够拜访一些受害者网络,这是简单APT攻打的典型迹象。
WhisperGate感化链被设计成一个多阶段过程,它下载一个擦除主疏导记录(MBR)的无效负载,而后下载托管在Discord服务器上的歹意DLL文件,该文件抛弃并执行另一个擦除无效负载,通过以下形式不可撤销地毁坏文件用受感化主机上的固定数据笼罩其内容。
该调查结果是在大概80个乌克兰政府机构的网站受到毁坏一周后公布的,乌克兰情报机构确认这两起事件是针对其要害基础设施的一波歹意流动的一部分,同时还指出这些攻打利用了最近披露的Log4j拜访某些受感化零碎的破绽。
新闻来源:
https://thehackernews.com/202…
黑客在数十个WordPress插件和主题中植入了机密后门
在另一个软件供应链攻打实例中,托管在开发者网站上的数十个WordPress主题和插件在2021年9月上半月被恶意代码后门,目标是感化更多网站。
后门使攻击者能够齐全治理应用属于AccessPressThemes的40个主题和53个插件的网站,这家位于尼泊尔的公司领有不少于360,000个沉闷的网站装置。
WordPress插件套件开发商JetPack的平安钻研人员在本周公布的一份报告中示意:“受感化的扩大程序蕴含一个用于Webshell的释放器,使攻击者能够齐全拜访受感化的站点。”
新闻来源:
https://thehackernews.com/202…
预计到2030年,勒索软件保护市场价值837亿美元(CAGR)复合年增长率:19%
寰球勒索软件保护市场预计将在2021年达到173.6亿美元,到2030年达到837亿美元,在2022-2030年的预测期内以复合年增长率(CAGR)计算。预计增长19%。
寰球对数据备份和复原解决方案的需要一直增长、企业共享威逼情报,以及多层次安全策略的要求。有良好的市场增长机会。
勒索软件在COVID-19期间,寰球爱护市场的增长变得显著,因为大多数在家工作的人更有可能成为勒索软件攻打的受害者。犯罪集团越来越多地利用以COVID-19为主题的网络钓鱼激励措施。近程工作减少了勒索软件攻打的危险。勒索软件攻打减弱了对家庭和信息技术的管制,用户越来越多,因为他们更有可能点击以COVID-19为主题的勒索软件电子邮件,因而公司将采取勒索软件对策来避免对其数据的攻打。
展望未来,北美将成为网络安全厂商的最大支出起源,其次是欧洲,预计亚太地区在预测期内将快速增长,这些地区的经济将快速增长。
新闻来源:
http://www.taiwannews.com.tw/…
以零信赖策略管制勒索软件和其余恶意软件
依据Comparitech的数据,以勒索软件为例,2020年有79次胜利的攻打袭击了美国政府机构,影响了7100万人。停机工夫和复原老本预计达到1888万美元,停机工夫有时长达数月。据NPR报道,总体而言,美国去年蒙受了65,000次攻打,每小时超过7次。
依据Google透明度报告,尽管恶意软件网站的数量有所降落,但流传恶意软件的网络钓鱼网站却激增,2020年均匀每周检测到46,000个。与此同时,ISACA示意,61%的平安业余人员示意他们的团队人手不足,减弱了防御能力。
防病毒软件当然能够提供帮忙。签名剖析、启发式剖析和其余技术能够阻止大部分连击。然而组织在防病毒上破费了数百万美元,而且依然有太多的恶意软件导弹越过城墙。显然,防病毒是必要的,但还不够。
答案不是将更多的钱投入到更多的恶意软件检测中。相同,解决方案是实现更好的恶意软件预防。为此,机构须要将零信赖网络安全扩大到毁灭恶意软件。
零信赖背地的概念很简略:从不信赖,始终验证。换句话说,永远不要暗中信赖任何用户或设施来拜访您的任何网络或数据。相同,每次实体申请拜访时,都以最小特权、仅须要的形式明确地对每个用户或零碎进行身份验证和受权。
但机构通常对用户、设施或零碎利用零信赖。如何扩充零信赖网络以涵盖恶意软件?通过对内容采取零信赖的办法。
组织创立、发送、接管和存储大量内容。此类内容能够包含Microsoft Word、Excel和Power Point、Adobe Acrobat、JPG和PNG图像文件、日历文件等常见文件类型。
可怜的是,该内容还能够暗藏恶意软件。隐写术能够以回避防病毒扫描的形式将歹意可执行文件、脚本和其余代码嵌入到常见的内容文件中。该代码能够在文件下载或文件启动时激活。它也能够在几个月内放弃不活动状态,直到“休眠”恶意软件唤醒并开始在您的网络中横向挪动。
鉴于这一事实,零信赖办法要求您不将任何内容视为平安内容,无论您的组织在外部创立内容、从通过身份验证的起源接管内容、仅在受权团队成员之间传输内容,还是通过防病毒软件运行内容爱护。在您被动使其可信之前,该内容是不可信的。
简而言之,您正在用恶意软件预防取代恶意软件检测。明天的网络安全危险曾经扭转。新的近程和混合工作模式扩大了边界,当初真正的边界是拜访、传输和存储数据的任何中央。
与此同时,传入和传出数据可能感化恶意软件的威逼激增。防病毒检测能够提供帮忙,但它已不足以阻止勒索软件和其余阴险攻打。当今的机构须要内容爱护来扩大其零信赖模型数据——您最终须要爱护的高价值商品。
新闻来源:
https://www.nextgov.com/ideas…
新的NET’Donald Trump’Packer恶意软件正在流传近程拜访木马(RAT)
平安钻研人员正在形容一种新鲜的.NET恶意软件打包程序,它会发送近程拜访木马(RAT)以及带有“DonaldTrump”明码的信息窃取程序。因而,自2020年以来始终在跟踪攻打办法的ProofPont团队将恶意软件称为“DTPacker”。
据该公司称,DTPacker已被多个攻打组织应用,并被用于针对寰球数千名用户。最胜利的尝试之一是在虚伪的利物浦足球俱乐部(LFC)网站中应用DTPacker进行为期数周的流动。
作为一张承载曼联球迷的名片,LFC网站总是要避开的,但在这种状况下,每个人都应该避开假网站。威逼者应用假LFC网站可能会诱惑用户下载DTPacker,将Agent Tesla恶意软件搁置在他们的零碎上。与DTPacker相干的其余恶意软件类型包含AsyncRAT、Ave Maria和FormBook。
钻研人员察看到了多种解码办法和两个以唐纳德·特朗普为主题的钓鱼主题,因而得名”DTPacker”。
新闻来源:
https://winbuzzer.com/2022/01…
Android恶意软件BRATA在窃取数据后擦除痕迹
被称为BRATA的Android恶意软件在其最新版本中增加了新的危险性能,包含GPS跟踪、应用多个通信渠道的能力,以及在设施上执行复原出厂设置以革除所有歹意流动痕迹的性能。
BRATA早在2019年就被卡巴斯基首次发现,它是一款次要针对巴西用户的Android RAT(近程拜访工具)。
2021年12月,Cleafy的一份报告强调了该恶意软件在欧洲呈现,该恶意软件在欧洲被发现以电子银行用户为指标,并在假冒银行客户反对代理的欺诈者的参加下窃取他们的凭据。
最新版本的BRATA恶意软件当初针对英国、波兰、意大利、西班牙、中国和拉丁美洲的电子银行用户。每个变体都专一于不同的银行,具备专门的笼罩集、语言,甚至不同的应用程序来针对特定的受众。作者在所有版本中都应用了相似的混同技术,例如将APK文件包装到加密的JAR或DEX包中。这种混同胜利绕过了防病毒检测。
Cleafy钻研人员在最新BRATA版本中发现的新性能包含键盘记录性能,它补充了现有的屏幕捕捉性能。只管它的确切用处对分析师来说依然是个谜,但所有新变体也都具备GPS跟踪性能。新歹意性能在“实现欺诈交易或检测到在虚拟环境运行时,会擦除手机数据”。
新闻来源:
https://www.bleepingcomputer….
Emotet恶意软件应用非常规IP地址格局来回避检测
与之前的Emotet相干攻打一样,感化链旨在诱骗用户启用文档宏并主动执行恶意软件。该文档应用Excel4.0宏,该性能已被歹意行为者重复滥用以传递恶意软件。
启用后,该宏将调用一个用插入符号混同的URL,其中主机合并IP地址的十六进制示意模式-“h^tt^p^:/^/0xc12a24f5/cc.html”-以从近程主机执行HTML应用程序(HTA)代码。
网络钓鱼攻打的第二种变体遵循雷同的操作形式,惟一的区别是IP地址当初以八进制格局编码:
“h^tt^p^:/^/0056.0151.0121.0114/c.html”。
“十六进制和八进制IP地址的非常规应用可能导致回避以后依赖于模式匹配的解决方案。”Kenefick说。”像这样的躲避技术能够被认为是攻击者持续翻新以阻止基于模式的检测解决方案的证据。“
这一倒退是在去年年底Emotet流动从新开始之际进行的,此前在协调的执法口头之后,通过长达10个月的中断。2021年12月,钻研人员发现了恶意软件倒退其策略的证据,行将Cobalt Strike后门投放到受感化的零碎上。
新闻来源:
https://thehackernews.com/202…
用于推送近程拜访特洛伊木马的歹意PowerPoint文件
自2021年12月以来,网络钓鱼流动呈现了一种日益增长的趋势,即应用歹意PowerPoint文档散发各种类型的恶意软件,包含近程拜访和信息窃取特洛伊木马。
依据Netskope的威逼实验室在公布前与BleepingComputer分享的一份报告,参与者正在应用PowerPoint文件以及托管恶意软件无效负载的非法云服务。
在跟踪的流动中部署的家族是Warzone(又名AveMaria)和AgentTesla,这两个弱小的RAT和信息窃取者针对许多应用程序。歹意PowerPoint网络钓鱼附件蕴含通过PowerShell和MSHTA的组合执行的混同宏,这两者都是内置的Windows工具。
而后对VBS脚本进行去模糊解决,并增加新的Windows注册表项以实现持久性,从而导致两个脚本的执行。第一个从内部URL获取AgentTesla,第二个禁用Windows Defender。此外,VBS会创立一个打算工作,该工作每小时执行一个脚本,该脚本从BloggerURL获取PowerShell加密货币窃取程序。
AgentTesla是一个.基于NET的RAT(近程拜访木马),能够窃取浏览器明码,记录击键,窃取剪贴板内容等。
第二个有效载荷是Warzone,也是一个RAT后门,但Netskope在报告中没有提供无关它的许多细节。加密货币窃取者是此流动的第三个无效负载,它应用与加密货币钱包模式匹配的正则表达式查看剪贴板数据。如果找到,它将收件人的地址替换为参与者管制下的地址。该木马反对反对比特币,以太坊,XMR,DOGE等加密货币交易。
最牢靠的保护措施是审慎解决所有未经请求的通信,并放弃MicrosoftOffice套件上的宏处于禁用状态。
新闻来源:
https://www.bleepingcomputer….
安全漏洞威逼
F5修补了BIG-IP中的两个破绽
云平安和利用交付解决方案提供商F5本周发表了针对影响其BIG-IP、BIG-IQ和NGINX产品的25个破绽的补丁。
BIG-IP利用交付控制器(ADC)中总共解决了23个安全漏洞,其中包含13个高严重性问题,所有这些问题的CVSS评分均为7.5。
大多数高严重性谬误可能导致流量治理微内核(TMM)终止。很少有其余因素会导致内存资源利用率减少、虚构服务器解冻或JavaScript代码执行。
在从11.x到16.x的多个BIG-IP版本中发现了平安缺点。修复蕴含在版本14.x、15.x和16.x中。
F5还公布了针对BIG-IQ集中管理(CVE-2022-23009-CVSS得分为8.0)和NGINX控制器API治理(CVE-2022-23008-CVSS得分为8.7)中的两个高严重性谬误的补丁。
能够利用这些破绽拜访由同一BIG-IQ系统管理的其余BIG-IP设施,并别离注入JavaScript代码。
本周修补的所有九个中等严重性破绽都会影响BIG-IP,但其中一个破绽-即CVE-2022-23023,会导致内存资源利用率减少-也会影响BIG-IQ。
这些缺点可能导致TMM终止、资源利用率减少、虚构服务器解冻、某些类型的TCP连贯失败或本地文件透露。
此外,F5修复了一个导致DNS从新绑定攻打的低严重性破绽。
美国网络安全和基础设施安全局(CISA)激励管理员查看F5的倡议并尽快装置可用的软件更新。“近程攻击者能够利用这些破绽实现拒绝服务攻打。”CISA指出。
新闻来源:
https://www.securityweek.com/…
发表回复