关于网络安全:厨具巨头员工数据在攻击中遭泄露伊朗国家广播被恶意软件攻击｜2月22日全球网络安全热点

平安资讯报告

勒索软件攻打后，Expeditors敞开了寰球业务

总部位于西雅图的物流和货运代理公司Expeditors International在周末受到网络攻击，迫使该组织敞开其寰球大部分业务。

该公司没有提及网络攻击的类型，但从其形容和给BleepingComputer的匿名提醒来看，这看起来像是一起大规模的勒索软件事件。

在随后的新闻稿中，该公司重申，网络攻击迫使其在寰球范畴内敞开了大部分零碎，以保护“整个寰球零碎环境的平安”。影响是微小的，因为Expeditors的经营受到限制，其中包含货运、海关和配送流动，这可能导致其客户的货运停滞不前。

该公司指出，零碎将持续处于离线状态，直到它们能够从备份中平安地复原。同时，该公司正在与其运营商和服务提供商一起寻找解决方案，以尽量减少对客户的影响。然而，没有预计何时复原经营。

新闻来源：

https://www.bleepingcomputer….

盗版软件站点流传CryptBot恶意软件

一个新版本的CryptBot信息窃取程序通过多个网站散发，这些网站提供收费下载游戏和专业级软件的破解。

平安分析师报告称，威逼参与者一直刷新他们的C2、dropper站点和恶意软件自身，因而CryptBot是目前变动最大的歹意操作之一。

依据报告，CryptBot威逼参与者通过伪装提供软件破解、密钥生成器或其余实用程序的网站散发恶意软件。为了取得宽泛的知名度，威逼参与者利用搜索引擎优化将恶意软件散发站点排名在谷歌搜寻后果的顶部，从而提供稳固的潜在受害者流。

依据共享的恶意软件散发站点的屏幕截图，威逼参与者应用自定义域或托管在Amazon AWS上的网站。歹意网站不断更新，因而有各种各样的一直变动的钓饵将用户吸引到恶意软件散发站点。这些网站的访问者在达到交付页面之前会通过一系列重定向，因而登录页面可能位于被滥用于SEO中毒攻打的受损非法网站上。

CryptBot的新样本表明，其作者心愿简化其性能并使恶意软件更轻、更精简，并且不太可能被检测到。在这种状况下，反沙盒例程已被删除，仅在最新版本中保留了反虚拟机CPU内核计数查看。此外，冗余的第二个C2连贯和第二个外泄文件夹均已删除，新变体仅具备单个信息窃取C2。

新闻来源：

https://www.bleepingcomputer….

厨具巨头Meyer披露网络攻击泄露了员工数据

美国最大的炊具分销商、寰球第二大炊具分销商Meyer Corporation已向美国司法部长办公室通报了影响其数千名员工的数据泄露事件。

依据与美国缅因州和加利福尼亚州总检察长办公室共享的告诉信，迈耶于2021年10月25日成为网络攻击的受害者。

Meyer的布告没有提供无关导致披露数据泄露的网络攻击的详细信息，在Conti勒索网站上发现了一个可追溯到2021年11月7日的相干列表。Conti门户网站上的Meyer条目提供了一个ZIP文件，其中蕴含据称在网络攻击期间被勒索软件团伙窃取的2%的数据。

新闻来源：

https://www.bleepingcomputer….

新的Xenomorph Android恶意软件针对56家银行客户

通过Google Play商店散发的一种名为Xenomorph的新恶意软件曾经感化了超过50,000台Android设施以窃取银行信息。

Xenomorph恶意软件通过通用性能晋升应用程序（例如“FastCleaner”）进入GooglePlay商店，该应用程序的装置量为50,000。

此类实用程序是银行木马（包含Alien）应用的经典钓饵，因为人们总是对承诺进步Android设施性能的工具感兴趣。

Xenomorph的性能目前还没有齐全成熟，因为木马正在鼎力开发中。然而，它依然是一个重大威逼，因为它能够实现其信息窃取目标，并且针对不少于56家不同的欧洲银行。

该恶意软件能够拦挡告诉、记录SMS并应用注入来执行笼罩攻打，因而它曾经能够窃取用于爱护银行账户的凭据和一次性明码。代码中存在但尚未实现的命令示例是指键盘记录性能和行为数据收集。

新闻来源：

https://www.bleepingcomputer….

伊朗国家广播公司IRIB被破坏性Wiper恶意软件攻打

对2022年1月下旬针对伊朗国家媒体公司共和国广播公司(IRIB)的网络攻击部署了擦除数据的恶意软件和其余植入程序，该国的国家基础设施持续面临一波针对性攻打。

在黑客攻击过程中还部署了定制的恶意软件，可能截取受害者的屏幕截图，以及用于装置和配置歹意可执行文件的后门、批处理脚本和配置文件。

Check Point示意，它没有足够的证据来正式归因于特定的威逼行为者，目前尚不分明攻击者是如何取得对指标网络的初始拜访权限的。迄今为止发现的攻打流动包含：

• 建设后门及其持久性，
• 启动“歹意”视频和音频文件，以及
• 装置wiper恶意软件以试图毁坏被黑网络数据，擦除器的次要目标是毁坏存储在计算机中的文件，包含擦除主疏导记录(MBR)、革除Windows事件日志、删除备份、终止过程和更改用户的明码。
• 在幕后，攻打波及应用批处理脚本中断视频流，以删除与IRIB应用的播送软件TFIAristaPlayoutServer相干的可执行文件，并循环播放视频文件（“TSE_90E11.mp4”）。

攻击者利用了四个后门：WinScreeny、HttpCallbackService、HttpService和ServerLaunch，这是一个应用HttpService启动的dropper。综合起来，不同的恶意软件使攻击者可能捕捉屏幕截图、从近程服务器接管命令并执行其余歹意流动。

新闻来源：

https://thehackernews.com/202…