安全资讯报告

攻击者劫持Craigslist电子邮件传播恶意软件

Craigslist内部电子邮件系统本月被攻击者劫持以传递令人信服的消息，最终目的是避免Microsoft Office安全控制来传递恶意软件。

这些电子邮件从真实的Craigslist IP地址发送，通知用户他们发布的广告包含不适当的内容并违反了Craigslist的条款和条件，并提供了有关如何避免其帐户被删除的虚假说明。

INKY的研究人员发现，攻击者将电子邮件的HTML操纵成自定义文档，并将恶意软件下载链接上传到Microsoft OneDrive页面。该页面冒充了DocuSign、Norton和Microsoft等主要品牌。这也使该活动能够绕过标准的电子邮件身份验证。

研究人员在本周的一篇帖子中指出：“由于解决问题的URL托管了一个放置在Microsoft OneDrive上的自定义文档，它没有出现在任何威胁情报源中，使其能够绕过大多数安全供应商。”

新闻来源： 

https://threatpost.com/attackers-hijack-craigslist-email-malware/175754/

英国的勒索软件攻击数量一年内翻了一番

英国间谍机构GCHQ负责人透露，在过去一年中，针对英国机构的勒索软件攻击数量翻了一番。

GCHQ的主管杰里米·弗莱明(Jeremy Fleming)表示，将文件和数据锁定在用户的计算机上并要求支付释放费用，这在犯罪分子中变得越来越流行，因为它“基本上没有争议”且利润丰厚。

他在周一在Cipher Brief年度威胁会议上发表的评论是在警告称俄罗斯和中国正在窝藏成功针对西方政府或公司的犯罪团伙之后发表的。

GCHQ拒绝提供今年或去年在英国记录的勒索软件攻击的确切数量。然而，美国财政部本月发布的一份报告显示，今年前六个月美国与勒索软件相关的可疑交易价值约为5.9亿美元。报告称，被认为是犯罪活动幕后黑手的10大黑客组织在过去三年中转移了价值约52亿美元的比特币。

国家网络安全中心(NCSC)首席执行官林迪·卡梅伦(Lindy Cameron)本月在查塔姆研究所智库的一次演讲中表示，勒索软件是英国面临的所有网络威胁中“最直接的危险”。

新闻来源： 

https://www.theguardian.com/uk-news/2021/oct/25/ransomware-attacks-in-uk-have-doubled-in-a-year-says-gchq-boss

企业将面临更多的网络钓鱼攻击

网络保护组织Acronis发布了其年度网络就绪报告，全面概述了现代网络安全格局以及全球企业和远程员工在全球大流行期间面临的主要痛点。 

根据今年对全球18个国家/地区的3,600名中小型公司的IT经理和远程员工的独立调查结果，该报告指出，53%的全球公司在供应方面存在错误的安全感连锁攻击。

攻击的数量和复杂性不断增加

十分之三的公司表示每天至少面临一次网络攻击，与去年类似；今年，只有20%的公司报告说没有受到攻击，低于2020年的32%，这意味着攻击的数量正在增加。

今年最常见的攻击类型达到了历史最高水平，包括频率持续增长的网络钓鱼攻击，现在以58%的比例成为最常见的攻击类型。2021年恶意软件攻击也在增加：今年有36.5%的公司检测到恶意软件攻击，高于2020年的22.2%。

然而，今年是网络钓鱼的一年：自2020年以来，对URL过滤解决方案的需求增长了10倍，20%的全球公司现在意识到网络钓鱼给他们的业务带来的危险。

尽管对多因素身份验证(MFA)的认识不断提高，但近一半的IT经理(47%)并未使用MFA解决方案，这使他们的企业容易受到网络钓鱼攻击。根据这些调查结果，他们要么认为它没有价值，要么认为它太复杂而无法实施。据Acronis称，平均五分之一的远程员工成为网络钓鱼攻击的重点目标，每月收到超过20封网络钓鱼电子邮件。

新闻来源： 

https://www.mybusiness.com.au/technology/8469-businesses-face-increasing-risk-of-phishing-attacks-report

勒索软件组织针对金融服务公司发起网络钓鱼活动

被称为TA505的勒索软件组织已经存在至少六年了，对世界各地的各个行业进行了大规模的电子邮件攻击。现在轮到金融业了。

据报道，在对其签名恶意软件和脚本语言进行了微调后，该集团自上个月以来已将北美银行、信用合作社和其他金融服务公司纳入其目标。通过名为“MirrorBlast”的电子邮件网络钓鱼活动针对各种机构，将用户定向到欺诈站点，FSI员工可能会在该站点意外将恶意软件下载到他们的公司计算机或其他设备上。

客户端安全供应商Feroot的首席执行官兼联合创始人Ivan Tsarynny指出，虽然金融服务机构长期以来一直“受到网络犯罪分子的围攻”，但这些企业通常拥有最“先进的网络安全计划、实践并部署了团队。”

尽管如此，沉寂了一段时间的TA505，是一个不容小觑的沉睡巨人。据美国财政部称，它在过去几年中造成了超过1亿美元的损失。而且这不只是美国金融服务机构，还有在加拿大，欧洲和亚洲的金融公司。

然而，根据Tsarynny的说法，要真正产生影响，勒索软件攻击必须攻击服务器，而像这样的攻击往往是通过客户端进入的。“网络犯罪分子发现他们可以轻松地在FSI网络应用程序和网页上部署恶意的第三方JavaScript，并且可以浏览用户数据，”他说。“犯罪分子不必使用传统的服务器端攻击来收集FSI客户数据。他们可以从用户浏览器中浏览银行网站和Web应用程序中的信息。”

而且，无论勒索软件威胁如何解决，尤其是对于金融服务机构而言，对此类安全危害的担忧还包括合规性和隐私问题。

新闻来源：  

https://www.scmagazine.com/analysis/phishing/ransomware-group-targets-financial-service-firms-with-phishing-campaign

超过1000万Android用户安装“高级短信”诈骗应用程序

一项全球欺诈活动被发现利用151个恶意Android应用程序，下载量达1050万次，在用户不同意和不知情的情况下，将用户引入高级订阅服务。

被称为“UltimaSMS”的优质短信诈骗活动据信于2021年5月开始，涉及的应用程序涵盖广泛的类别，包括键盘、二维码扫描仪、视频和照片编辑器、垃圾邮件拦截器、相机过滤器和游戏，其中大部分欺诈应用程序是由埃及、沙特阿拉伯、巴基斯坦、阿联酋、土耳其、阿曼、卡塔尔、科威特、美国和波兰的用户下载的。

尽管此后大部分有问题的应用程序已从Google Play商店中删除，但截至2021年10月19日，在线市场上仍有82个应用程序可用。

这一切都始于应用程序提示用户输入他们的电话号码和电子邮件地址让受害者订阅高级SMS服务，根据国家和移动运营商的不同，每月收费可达40美元以上。

UltimaSMS广告软件骗局的另一个显着特点是它通过Facebook、Instagram和TikTok等流行社交媒体网站上的广告渠道分发，用研究人员所说的“引人入胜的视频广告”来吸引毫无戒心的用户。

除了卸载上述应用程序外，建议用户禁用运营商的高级短信选项，以防止订阅滥用。

新闻来源：  

https://thehackernews.com/2021/10/over-10-million-android-users-targeted.html

FBI：RanzyLocker勒索软件今年攻击了至少30家美国公司

联邦调查局周一表示，“截至2021年7月，使用Ranzy Locker勒索软件的未知网络犯罪分子已经损害了30多家美国企业，”联邦调查局在TLP白色闪光警报中表示。

“受害者包括关键制造业的建筑部门、政府设施部门的学术部门、信息技术部门和交通部门。”Flash警报是与CISA协调发布的，旨在提供信息以帮助安全专业人员检测和防范此类勒索软件攻击企图。

大多数Ranzy Locker受害者告诉FBI，攻击者通过暴力破解远程桌面协议(RDP)弱口令破坏了他们的网络。最近，其他人报告说，攻击者还利用易受攻击的Microsoft Exchange服务器或使用在网络钓鱼攻击中窃取登录密码。

一旦进入受害者的网络，Ranzy Locker操作员还会在加密受害者公司网络上的系统之前窃取未加密的文件，这是大多数其他勒索软件团伙使用的策略。这些泄露的文件包含敏感信息，包括客户信息、个人身份信息(PII)数据和财务记录，被用作手段迫使受害者支付赎金以取回他们的文件，而不是让数据在线泄露。

当受害者访问该组织的Tor支付站点时，他们会看到一条“被Ranzy Locker锁定”的消息和一个实时聊天屏幕，以与威胁行为者进行谈判。作为这项“服务”的一部分，勒索软件运营商还允许受害者免费解密三个文件，以证明解密者可以恢复他们的文件。

不支付赎金的受害者将在Ranzy Locker的数据泄露站点（称为Ranzy Leak）上公布他们被盗的文件。他们泄漏站点使用的域名过去也被Ako Ransomware使用，这是该团伙从Ako到ThunderX再到Ranzy Locker品牌重塑的一部分。

新闻来源：  

https://www.bleepingcomputer.com/news/security/fbi-ranzy-locker-ransomware-hit-at-least-30-us-companies-this-year/

安全漏洞威胁

纽约时报记者在报道沙特阿拉伯后多次被Pegasus黑客攻击

《纽约时报》记者本·哈伯德(Ben Hubbard)的iPhone在2018年6月至2021年6月的三年时间里多次遭到NSO Group的Pegasus间谍软件工具的黑客攻击，导致2020年7月和2021年6月两次感染。

周日公布调查结果的多伦多大学公民实验室表示，“目标是在他报道沙特阿拉伯并写一本关于沙特王储穆罕默德·本·萨勒曼的书时发生的。”该研究所没有将渗透归因于特定政府。

在与哈伯德分享的一份声明中，这家以色列公司否认参与了黑客攻击，并将调查结果视为“推测”，同时指出这名记者不是“NSO任何客户的Pegasus目标”。

迄今为止，据信NSO Group至少利用了三种不同的iOS漏洞——即2019年12月的iMessage零点击漏洞、2020年7月开始的针对iOS13.5.1和iOS13.7的KISMET漏洞以及针对iOS的FORCEDENTRY漏洞自2021年2月以来，从14.x到14.7.1。

值得指出的是，Apple的iOS14更新包括一个BlastDoor框架，该框架旨在使零点击漏洞利用更加困难，尽管FORCEDENTRY明确破坏了内置于操作系统中的非常安全的功能，促使Apple在9月份发布更新以修复该缺陷2021。

对该活动的取证调查显示，哈伯德的iPhone在2020年7月12日和2021年6月13日两次被监控软件成功入侵，一次是通过KISMET和FORCEDENTRY零点击iMessage漏洞利用，此前两次尝试通过短信均未成功和2018年的WhatsApp。

新闻来源： 

https://thehackernews.com/2021/10/nyt-journalist-repeatedly-hacked-with.html

Trickbot银行木马开发新技术

臭名昭著的Trickbot银行木马已经发展出更先进的攻击工具集。它曾经是一种用于网上银行数据窃取的工具，但已经发展成为一种多模块恶意软件，其活动范围从数据窃取到其他恶意软件分发，包括勒索软件。

卡巴斯基研究人员通过分析Trickbot的61个现有模块并定义了Trickbot的更新方式，追踪了Trickbot的演变。

总的来说，研究人员分析了木马的61个模块，发现它已经获得了数十个窃取凭据和敏感信息的辅助模块。

它使用被盗凭据和漏洞在本地网络上传播，提供远程访问、代理网络流量、执行暴力攻击和下载其他恶意软件。

Trickbot面向全球的公司和个人用户。虽然其活动不受地域限制，但大多数受影响的用户位于美国（13.21%）、澳大利亚（10.25%）和中国（9.77%），其次是墨西哥（6.61%）和法国（6.30%）。

安全专家表示，攻击者会不断更新和刷新他们的工具集。Trickbot已经开发并成为其恶意软件类型中最强大和最危险的样本之一。随着网络罪犯的发展，保护技术也应如此。大多数攻击是可以预防的，这就是为什么拥有最新的安全解决方案很重要的原因。

为了免受特洛伊木马和其他金融威胁的侵害，安全专家建议用户不要点击垃圾邮件中的链接，也不要打开附带的文档，只使用具有多重身份验证解决方案的网上银行。建议确保所有软件都得到更新——包括操作系统和所有软件应用程序，因为攻击者经常利用广泛使用的程序中的漏洞来获取访问权限。

新闻来源： 

https://www.itweb.co.za/content/rxP3jqBme19MA2ye