关于资讯:9月30日全球网络安全热点｜比特币网站被劫持AirTag丢失模式或被用于窃取账号密码

1.新型木马窃取超1000万人财产

新的恶意软件已嵌入至多200个歹意应用程序中，其中许多已设法绕过Android应用程序的官网存储库Google Play商店提供的爱护。

钻研人员示意，木马背地的运营商曾经胜利感化了如此多的设施，从而建设了稳固的非法资金现金流，“每个月产生数百万的经常性支出”。

据信，“GriftHorse”流动自2020年11月以来始终在运作，它依赖于受害者被骗交出他们的电话号码，而后应用该号码为他们订阅优质的短信服务。受害者首先下载看似无辜且非法的Android应用程序。这些应用程序从益智游戏和实用程序到约会软件、食品和饮料，其中最风行的歹意应用程序——翻译器——至多有500,000次下载。

在装置后，用Apache Cordova编写的GriftHorse木马会一直用音讯轰炸用户，揭示他们他们博得了假奖，而后依据他们的地理位置和他们的语言将他们重定向到网站页面。而后要求移动用户提交他们的电话号码以进行验证。如果他们提交这些信息，他们就会“在他们不知情和批准的状况下”订阅高级服务。

其中一些费用高达每月30欧元（35美元）以上，如果受害者没有留神到这一可疑交易，那么实践上，他们可能会间断数月被收取费用，而发出现金的心愿很小。

新闻来源：

https://www.zdnet.com/article...

2.Tomiris后门发现与Sunshuttle、DarkHalo黑客无关

钻研人员发现了Tomiris和SolarWinds破绽DarkHalo背地的APT之间的新分割。

钻研人员示意，一项新流动揭示了DarkHalo的Sunshuttle之间的相似之处，以及与Kazuar的“指标重叠”。

该SolarWinds的事件产生在2020年FireEye的和微软走漏突破口，成千上万的客户受到了歹意更新，但威逼行为者仿佛精心筛选了值得进一步攻打的指标——包含Microsoft、FireEye和政府机构。

微软总裁布拉德·史密斯称此次事件为“世界上有史以来规模最大、最简单的攻打”。

锋芒指向高级持久性威逼(APT)组织DarkHalo/Nobelium作为责任方，他们设法部署了Sunburst/Solorigate后门、Sunspot构建服务器监控软件和Teardrop/Raindrop滴管，旨在部署Cobalt打击信标，在指标零碎上。这个组织的流动被追踪为UNC2452，它也与Sunshuttle/GoldMax后门无关。

新闻来源：
https://www.zdnet.com/article...

3.比特币网站被劫持，用户被骗17,000美元

黑客管制了原始的比特币网站，并以某种形式对其进行了批改以进行欺骗。黑客设法从用户那里收集了17,000美元。

可悲的是，整个骗局在网站上直播的整个过程都设法坑骗了用户。据报道，一些加密货币所有者最终领取了他们的比特币，从而陷入了骗局。攻击者的交易历史列出了来自不同比特币地址的多笔贷款。该帐户的总余额为17,000美元。

“比特币基金会正在回馈社区！咱们心愿反对多年来帮忙过咱们的用户，”比特币网站上的欺骗信息说。“将比特币发送到这个地址，咱们将发送双倍的回报！”该音讯的其余部分说。此外，该音讯还示意，此优惠仅限前10,000名用户。

新闻来源：
https://tech.hindustantimes.c...

4.勒索软件正在引领医院董事会向网络安全投入更多资金

一段时间以来，勒索软件始终困扰着医疗保健提供者组织。COVID-19的暴发也带来了更多的攻打。

Steve Smerz是Halo Health的首席信息安全官，Halo Health是一个临床合作平台的供应商，该平台包含平安音讯、视频、语音、警报和警报，旨在使临床医生可能轻松连贯。

他说，随着勒索软件在2021年下半年持续攻打医疗保健组织，他看到医院和卫生系统委员会正在致力减少网络安全团队的资源。

医院是勒索软件威逼行为者的完满指标。他们领有大量能够加密并影响医院经营能力的数据，银行中有用于领取赎金的资金，以及一个不像其余行业有精通技术的董事会。Smerz认为，零碎和医院最大的破绽之一在于员工外部——因为大多数胜利的勒索软件攻打都是从人开始的。因而，教育和培训员工，接触社会工程和网络钓鱼的办法，是企业进行的爱护打算的重点。

新闻来源：
https://www.healthcareitnews....

5.ContiRansomware扩大了捣毁备份的能力

Conti勒索软件团伙开发了新的策略来拆除备份，尤其是Veeam复原软件。

这是依据网络危险预防公司Advanced Intelligence周三公布的一份报告得出的，该报告具体介绍了Conti如何将其备份毁坏磨难成一门艺术——更好地找到、粉碎和删除备份数据。毕竟，备份是激励勒索软件领取的次要阻碍。

钻研人员写道：“如果受害者有能力通过备份复原文件，那么胜利向Conti领取赎金的可能性就会降到最低，即便数据公布的危险依然存在。”

Conti操作员会查找并模仿特权备份用户，以便为本人授予Veeam备份权限。攻击者通常应用武器化的Rclone（用于治理云存储上的文件的命令行程序）来窃取Veeam备份的数据。最初，为了确保受害者曾经膝盖受伤并且无奈复原，Conti攻击者会锁定受害者的零碎并手动删除Veeam备份。

新闻来源：
https://threatpost.com/conti-...

6.微软正告最新的恶意软件攻打，解释如何防止机密后门

微软最近发现了另一种被微软命名为FoggyWeb的恶意软件，黑客目前正在应用这种恶意软件近程窃取网络管理员凭据。这些凭据容许攻击者组织（该公司名为Nobelium）侵入ActiveDirectory联结服务(ADFS)服务器的管理员帐户并管制用户对各种资源的拜访。这与去年12月披露的SolarWinds软件供应链攻打的幕后黑手是同一组织。

微软威逼情报中心的Ramin Nafisi说：“Nobelium应用FoggyWeb近程浸透受感化ADFS服务器的配置数据库、解密的令牌签名证书和令牌解密证书，以及下载和执行其余组件”。

“FoggyWeb是一种被动且针对性很强的后门，可能从受感化的ADFS服务器中近程窃取敏感信息。它还能够从命令和管制(C2)服务器接管其余歹意组件，并在受感化的服务器上执行它们，”微软补充道。

新闻来源：
https://www.digitaltrends.com...

7.新的FinSpy恶意软件变种应用UEFI Bootkit感化Windows零碎

商业开发的FinFisher监控软件已降级为应用UEFI（对立可扩大固件接口）疏导包感化Windows设施，该疏导包利用木马化的Windows疏导管理器，标记着感化媒介的转变，使其可能回避发现和剖析。

FinFisher（又名FinSpy或Wingbird）自2011年就在野外被发现，是一种实用于Windows、macOS和Linux的特务软件工具集，由英德公司GammaInternational开发，专门提供给执法和情报机构。但与NSOGroup的Pegasus一样，该软件过来也曾被用来监督巴林活动家，并于2017年9月作为鱼叉式网络钓鱼流动的一部分。

FinFisher可能收集用户凭据、文件列表、敏感文档、记录击键、从Thunderbird、Outlook、AppleMail和Icedove中提取电子邮件音讯，拦挡Skype联系人、聊天、通话和传输的文件，并通过获取拜访权限捕捉音频和视频到机器的麦克风和网络摄像头。

“感化这种形式容许攻击者装置的bootkit无需绕过固件安全检查，”卡巴斯基寰球钻研和剖析团队（大）说，在技术深潜以下八个月之久的考察。“UEFI感化十分常见，而且通常难以执行，它们因其隐蔽性和持久性而引人注目。”

新闻来源：
https://thehackernews.com/202...

8.AirTag的“失落模式”存在破绽，可能被用于骗取账号密码

AirTag是苹果公司制作的物品防丢追踪器，在失落之后，用户能够将其设置为“失落模式”，此时他人捡到，能够用任何带有NFC性能的手机扫描，之后弹出网页显示原客人设置的分割信息。

但这条失落信息是网页版本，它会为https：//found.apple.com生成一个URL。任何扫描AirTag的人都会主动跳转到带有所有者分割信息的URL，无需登录或个人信息就能够查看这个页面。

Krebsonsecurity称，“失落模式”并不能阻止有人向电话号码字段中注入代码，因而，扫描AirTag的人可能会被重定向到混充的iCloud页面，或其余歹意网站。被诱骗登陆窃取其账号，甚至重定向某个试图下载恶意软件的链接。

AirTag的这个破绽是由平安参谋Bobby Raunch发现的，他通知KrebsOnSecurity，这个破绽可能让AirTag变得很危险。他认为这样低成本的小型生产产品，可能被不法分子当作攻打的工具。

新闻来源：
https://krebsonsecurity.com/2...