超三十万台设备感染银行木马、远程代码漏洞可攻击云主机｜12月7日全球网络安全热点

图片

安全资讯报告

勒索软件黑客发布39,000份政府内部文件

Volkskrant周一报道，一家为荷兰警察、紧急服务和安全部门处理敏感文件的技术公司已成为黑客的目标。在公司Abiom拒绝遵守勒索软件组织LockBit的要求后，共有39,000份文件（包括身份证件和发票）在网上泄露。

安全专家Matthijs Koot表示，这次攻击代表了勒索软件运营商的一种新策略。他们没有锁定私人数据，而是威胁要公开安全信息，以损害受害者的声誉。

新闻来源：

https://www.dutchnews.nl/news/2021/12/ransomware-hackers-release-39000-internal-government-files/

虚假支持代理呼叫受害者安装Android银行恶意软件

BRATA Android远程访问木马(RAT)已在意大利被发现，攻击者呼叫短信攻击的受害者以窃取他们的网上银行凭证。BRATA以前在巴西出现过，通过Google Play商店上的应用程序交付，但现在看来其作者正在将其出售给外国运营商。

该意大利活动于2021年6月首次被发现，通过短信网络钓鱼（也称为smishing）发送多个Android应用程序，相关样本在Virus Total中只有50%的安全软件检测为恶意。

攻击始于链接恶意网站的未经请求的短信（SMS），声称是来自银行的消息，敦促收件人下载反垃圾邮件应用程序。最终受害者会下载BRATA恶意软件，或将他们带到网络钓鱼页面以输入其银行帐号密码的页面。攻击者会打电话给受害者，并假装是银行的员工，提供安装应用程序的帮助。

BRATA功能的完整列表包括：

• 拦截SMS消息并将其转发到C2服务器。
• 屏幕录制敏感信息。
• 卸载特定的应用程序（例如，防病毒软件）。
• 隐藏自己的图标应用程序，以减少非高级用户的可追踪性。
• 禁用Google Play Protect以避免被Google标记为可疑应用。
• 修改设备设置以获得更多权限。
• 如果设备被密码或图案锁定，解锁设备。
• 显示钓鱼页面。

攻击者滥用这些权限访问受害者的银行账户，检索二次验证密码，并最终执行欺诈交易。

新闻来源：

https://www.bleepingcomputer.com/news/security/fake-support-agents-call-victims-to-install-android-banking-malware/

针对超过300,000台设备的4个Android银行木马活动

2021年8月至11月期间，四种不同的Android银行木马通过官方Google Play商店传播，导致超过300,000次通过各种应用程序感染，这些应用程序伪装成看似无害的实用程序应用程序，以完全控制受感染的设备。

安装后，这些银行木马程序可以使用一种称为自动转账系统(ATS)的工具，在用户不知情的情况下，秘密窃取用户密码和基于SMS的双因素身份验证代码、击键、屏幕截图，甚至耗尽用户的银行账户。这些应用程序已从Play商店中删除。

恶意dropper应用程序列表如下：

• 两因素身份验证器 (com.flowdivison）
• 保护卫士 (com.protectionguard.app)
• QR CreatorScanner (com.ready.qrscanner.mix)
• Master ScannerLive (com.multifuction.combine.qr)
• 二维码扫描器2021 (com.qr.code.generate)
• QR扫描仪 (com.qr.barqr.scangen)
• PDF文档扫描仪 (com.xaviermuches.docscannerpro2)
• PDF文档扫描仪免费 (com.doscanner.mobile)
• CryptoTracker (cryptolistapp.app.com.cryptotracker)
• 健身房和健身教练 (com.gym.trainer.jeux)

新闻来源：

https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html

Windows、Office盗版激活工具KMSPico被用于传播窃取加密货币钱包的木马

该恶意软件被称为“CryptBot”，是一种信息窃取程序，能够获取浏览器、加密货币钱包、浏览器cookie、信用卡的凭据，并从受感染的系统中捕获屏幕截图。通过破解软件部署，最新的攻击涉及伪装成KMSPico的恶意软件。

KMSPico是一种非官方工具，用于非法激活盗版软件（如MicrosoftWindows和Office套件）的全部功能。

新闻来源：

https://thehackernews.com/2021/12/malicious-kmspico-windows-activator.html

Nobelium黑客组织使用新型隐蔽Ceeloader恶意软件

Nobelium黑客组织通过瞄准其云和托管服务提供商并使用新的自定义“Ceeloader”恶意软件，继续破坏全球政府和企业网络。

Nobelium是微软对去年导致多个美国联邦机构妥协的SolarWinds供应链攻击背后的威胁参与者的名字。该组织被通常称为APT29、The Dukes或Cozy Bear。虽然Nobelium是一个使用自定义恶意软件和工具的高级黑客组织，但他们仍然会留下活动痕迹，研究人员可以使用这些痕迹来分析他们的攻击。

在Mandiant的一份新报告中，研究人员利用这一活动发现了黑客组织使用的策略、技术和程序(TTP)，以及一个名为“Ceeloader”的新自定义下载器。此外，研究人员将Nobelium分为两个不同的活动集群，归因于UNC3004和UNC2652，这可能意味着Nobelium是两个合作的黑客组织。

根据Mandiant所看到的活动，Nobelium参与者继续破坏云提供商和MSP，以此作为获得对其下游客户网络环境的初始访问权限的一种方式。

“至少在一个实例中，威胁行为者识别并破坏了一个本地VPN帐户，并利用该VPN帐户执行侦察并进一步访问受害CSP环境中的内部资源，最终导致内部域帐户遭到破坏”Mandiant解释道。

在至少一个其他漏洞中，黑客组织使用CRYPTBOT密码窃取恶意软件窃取用于对受害者的Microsoft365环境进行身份验证的有效会话令牌。

新闻来源：

https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/

安全漏洞威胁

CERBER勒索软件利用Confluence RCE等多个高危漏洞攻击云主机

12月6日，腾讯安全Cyber-Holmes引擎系统检测并发出告警：CERBER勒索软件传播者利用Atlassian Confluence远程代码执行漏洞（CVE-2021-26084）和GitLabexiftool远程代码执行漏洞(CVE-2021-22205)攻击云上主机。被勒索软件加密破坏的文件无密钥暂不能解密，腾讯安全专家建议所有受影响的用户尽快修复漏洞，避免造成数据完全损失，业务彻底崩溃。

Atlassian Confluence远程代码执行漏洞（CVE-2021-26084）为8月26日披露的高危漏洞，该漏洞的CVSS评分为9.8，是一个对象图导航语言(ONGL)注入漏洞，允许未经身份验证的攻击者在Confluence Server或Data Center实例上执行任意代码，攻击者利用漏洞可完全控制服务器。

GitLab exiftool远程命令执行漏洞（CVE-2021-22205）同样也是网络黑产疯狂利用的高危漏洞。由于Gitlab某些端点路径无需授权，攻击者可在无需认证的情况下利用图片上传功能执行任意代码，攻击者利用漏洞同样可以完全控制服务器。

腾讯安全专家指出，网络黑灰产业对高危漏洞的利用之快令人印象深刻，在Atlassian Confluence远程代码执行漏洞（CVE-2021-26084）和GitLabe xiftool远程代码执行漏洞(CVE-2021-22205)漏洞详情及POC代码公开之后，已检测到多个网络黑灰产业对云主机发起多轮攻击。这些攻击较多为挖矿木马或其他僵尸网络，一般不会造成云主机崩溃瘫痪，今天捕获的针对linux云主机的勒索软件攻击，可造成数据完全损失，业务彻底崩溃。

新闻来源：

https://mp.weixin.qq.com/s/3tc1FrWMhsc7v4q_QmVwTg