安全事件周報 (10.25-10.31)

超過1000萬Android用戶被高端簡訊詐騙應用鎖定

日期: 2021年10月26日
等級: 高
作者: Ravie Lakshmanan
標籤: Android, ultimasms, sms scam
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: google

近日，一場全球性的欺詐活動被發現利用151個惡意安卓應用程式，在用戶不知情的情況下將其引入付費訂閱服務，下載量達1050萬次。

該活動被稱為「ultimasms」被認為是2021年5月開始,應用覆蓋範圍廣泛,包括鍵盤、二維碼掃描儀,視頻和圖片編輯,垃圾郵件,相機過濾器,和遊戲,

大多數欺詐用戶應用程式下載在埃及、沙烏地阿拉伯、巴基斯坦、阿聯、土耳其、阿曼、卡達、科威特、美國和波蘭。

詳情

Over 10 Million Android Users Targeted With Premium SMS Scam Apps

https://thehackernews.com/2021/10/over-10-million-android-users-targeted.html

惡意Firefox插件阻止瀏覽器下載安全更新

日期: 2021年10月26日
等級: 高
作者: Ravie Lakshmanan
標籤: Mozilla, Firefox, Add-ons
行業: 信息傳輸、軟體和信息技術服務業

Mozilla2021年10月25日透露，它已經阻止了45.5萬用戶安裝的兩個惡意firefox插件，這兩個插件被發現濫用代理API來阻礙下載到瀏覽器的更新。

問題中的兩個擴展，命名為bypass和bypassxm，以一種阻止安裝了它們的用戶下載更新，訪問更新的屏蔽列表，並更新遠程配置的內容的方式幹擾了火狐。

詳情

Malicious Firefox Add-ons Block Browser From Downloading Security Updates

https://thehackernews.com/2021/10/malicious-firefox-add-ons-block-browser.html

攻擊者劫持Craigslist電子郵件以繞過安全，發送惡意軟體

日期: 2021年10月26日
等級: 高
來源: threatpost
標籤: Craigslist, Hijack, Deliver Malware
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: microsoft

10月，craigslist內部電子郵件系統被攻擊者劫持，來傳遞虛假消息，最終目的是避開微軟辦公安全控制，從而傳播惡意軟體。

這些電子郵件來自一個真實的craigslistIP位址，通知用戶他們發布的某個廣告包含不適當的內容，違反了craigslist的條款和條件，並給出了如何避免他們的帳戶被刪除的錯誤指示。

詳情

Attackers Hijack Craigslist Emails to Bypass Security, Deliver Malware

https://threatpost.com/attackers-hijack-craigslist-email-malware/175754/

SquirreWaffle惡意軟體通過垃圾郵件進行傳播

日期: 2021年10月26日
等級: 高
作者: Bill Toulas
標籤: squirrelwaffle, spam, botnet, Qakbot
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: cisco, microsoft, wordpress

一種名為squirrelwaffle的新惡意軟體威脅已經出現，它為參與者提供了一個初始立腳點，並提供了一種將惡意軟體投放到已被攻破的系統和網絡上的方法。

新的惡意軟體工具通過垃圾郵件進行傳播，並部署Qakbot和CobaltStrike。

詳情

Spammers use Squirrelwaffle malware to drop Cobalt Strike

https://www.bleepingcomputer.com/news/security/spammers-use-squirrelwaffle-malware-to-drop-cobalt-strike/

Wslink：作為伺服器運行的惡意加載程序

日期: 2021年10月27日
等級: 高
作者: Vladislav Hrčka
標籤: wslink, malicious loader, Windows
行業: 信息傳輸、軟體和信息技術服務業

研究人員發現了一個新型Windows二進位加載器，不同於其他這樣的加載器，它作為伺服器運行，並在內存中執行接收的模塊。

這個新的惡意軟體命名為wslink，以它的一個dll命名。在過去的兩年裡，中歐、北美和中東的遙測中只發現了幾次攻擊。

到目前為止，還無法獲得它應該接收的任何模塊。

沒有代碼、功能或操作上的相似性表明這可能是來自已知攻擊者組的工具。

攻擊方式

- System Services

- Encrypted Channel

- Obfuscated Files or Information

- Shared Modules

詳情

Wslink: Unique and undocumented malicious loader that runs as a server

https://www.welivesecurity.com/2021/10/27/wslink-unique-undocumented-malicious-loader-runs-server/

Android間諜軟體應用在為期三年的活動中瞄準以色列

日期: 2021年10月27日
等級: 高
作者: Bill Toulas
標籤: Android, Spyware
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: google, israel, adobe, facebook, whatsapp

自2018年以來，一組Android應用程式一直在用間諜軟體感染以色列用戶，如Threema、Al-AqsaRadio、Al-AqsaMosque、JerusalemGuide、PDF查看器、Wire和其他應用程式。

這些商業間諜軟體具有強大功能，包括：

-文件洩露

-通話錄音

-位置追蹤

-鍵盤記錄

-照片和視頻捕捉

-實時錄音

-剪貼板管理

-網絡釣魚

-shell命令執行

詳情

Android spyware apps target Israel in three-year-long campaign

https://www.bleepingcomputer.com/news/security/android-spyware-apps-target-israel-in-three-year-long-campaign/

Avast為AtomSilo和LockFile勒索軟體系列發布免費解密程序

日期: 2021年10月27日
等級: 高
作者: Pierluigi Paganini
標籤: atomsilo, lockfile, decrypters
行業: 信息傳輸、軟體和信息技術服務業

網絡安全公司avast2021年10月27日發布了atomsilo和lockfile勒索軟體的解密工具，允許受害者免費恢復他們的文件。

專家指出，atomsilo和lockfile勒索軟體只有一些小的區別，因此，avast提供了一個單一的解密器。

詳情

Avast releases free decrypters for AtomSilo and LockFile ransomware families

https://securityaffairs.co/wordpress/123854/malware/atomsilo-lockfile-ransomware-decryptor.html

安卓間諜軟體在日本作為殺毒軟體傳播

日期: 2021年10月28日
等級: 高
作者: Bill Toulas
標籤: Android, spyware, Japan
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: google, israel

日本安全研究人員yusukeosumi發現了一種名為fakecop的新型安卓信息竊取器，並警告稱，惡意apk的傳播速度正在加快，它正在冒充kddi在網絡釣魚活動中傳播。

此外，virustotal上的62個av引擎中只有22個檢測到惡意軟體，這表明攻擊者做了隱藏。

詳情

Android spyware spreading as antivirus software in Japan

https://www.bleepingcomputer.com/news/security/android-spyware-spreading-as-antivirus-software-in-japan/

發現惡意NPM庫安裝密碼竊取和勒索軟體

日期: 2021年10月28日
等級: 高
作者: Ravie Lakshmanan
標籤: NPM, Libraries
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: roblox

黑客再次向官方的NPM庫發布了兩個輸入錯誤的庫，它們模仿了遊戲公司roblox的合法軟體包，目的是傳播竊取憑證，安裝遠程訪問木馬，並用勒索軟體感染被破壞的系統。

假包命名為「noblox.js-proxy」和「noblox.js-proxies」被發現冒充一個庫稱為「noblox.js」roblox遊戲api包裝器上可用npm,擁有近20000每周下載。

詳情

Malicious NPM Libraries Caught Installing Password Stealer and Ransomware

https://thehackernews.com/2021/10/malicious-npm-libraries-caught.html

谷歌Chrome被濫用以「合法」Win 10應用程式的形式發布惡意軟體

日期: 2021年10月29日
等級: 高
來源: threatpost
標籤: Chrome, Win 10
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: microsoft

最新發現的惡意軟體活動背後的不法分子正瞄準Windows10，這些惡意軟體可以通過一種被稱為用戶帳戶控制(uac)的技術巧妙地繞過Windows網絡安全保護，從而感染系統。

來自rapid7的研究人員最近發現了這一活動，並警告稱，攻擊者的目標是從目標受感染的電腦中提取敏感數據並竊取加密貨幣。

該惡意軟體通過濫用Windows環境變量和本機計劃任務，以確保它以較高的權限持續執行，從而在PC上保持持久性。

詳情

Google Chrome is Abused to Deliver Malware as 『Legit』 Win 10 App

https://threatpost.com/chrome-deliver-malware-as-legit-win-10-app/175884/

Fortinet警告稱，「黑色星期五」騙局將竊取加密貨幣

日期: 2021年10月30日
等級: 高
作者: Jonathan Greig
標籤: Black Friday, fortiguard, Amazon
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: amazon, microsoft

Fortinet的fortiguard實驗室發現了一種新的騙局，利用亞馬遜禮品卡生成器的誘惑從人們那裡竊取加密貨幣。fortiguard實驗室的研究人員說，他們發現了一個名為「amazongifttool.exe」的文件，該文件在一個公開的文件庫網站上作為免費的亞馬遜禮品卡生成器進行銷售。當人們下載並打開該文件時，惡意的winlogin.exe就會被刪除並執行。

詳情

Fortinet warns of Black Friday scams involving PS5s, Xboxes and fake Amazon gift card generators that steal crypto

https://www.zdnet.com/article/fortinet-warns-of-black-friday-scams-involving-ps5s-xbox-and-fake-amazon-gift-card-generator-stealing-crypto/

勒索軟體Chaos通過假的Minecraft Alt列表定位遊戲玩家

日期: 2021年10月30日
等級: 高
作者: Bill Toulas
標籤: Chaos Ransomware Gang, Minecraft
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: nintendo

ChaosRansomwareGang通過在遊戲論壇上宣傳的假MINECRAFTALT列表加密遊戲玩家的Windows設備。

《Minecraft》是一款非常受歡迎的沙盒視頻遊戲，目前有超過1.4億人在玩，根據任天堂的銷售數據，它是日本最暢銷的遊戲。

詳情

Chaos ransomware targets gamers via fake Minecraft alt lists

https://www.bleepingcomputer.com/news/security/chaos-ransomware-targets-gamers-via-fake-minecraft-alt-lists/

新的「Shrootless」漏洞可讓攻擊者在macOS系統上安裝Rootkit

日期: 2021年10月30日
等級: 高
作者: Ravie Lakshmanan
標籤: Shrootless, macOS, Rootkit
行業: 信息傳輸、軟體和信息技術服務業
涉及組織: apple, microsoft

微軟2021年10月28日披露了一個新漏洞的細節，該漏洞可能允許攻擊者繞過macos的安全限制，完全控制設備，在不被傳統安全解決方案標記的情況下對設備進行任意操作。

這一漏洞被稱為「shrootless」，編號為cve-2021-30892，漏洞在於蘋果籤名的安裝後腳本包的安裝方式，黑客可以構造惡意文件來劫持安裝程序。

涉及漏洞cve-2021-30892

連結: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-30892

詳情

New 'Shrootless' Bug Could Let Attackers Install Rootkit on macOS Systems

https://thehackernews.com/2021/10/new-shrootless-bug-could-let-attackers.html

相關安全建議

1. 在網絡邊界部署安全設備，如防火牆、IDS、郵件網關等

2. 做好資產收集整理工作，關閉不必要且有風險的外網埠和服務，及時發現外網問題

3. 及時對系統及各個服務組件進行版本升級和補丁更新

4. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程式，應及時更新到最新版本

5. 各主機安裝EDR產品，及時檢測威脅

6. 注重內部員工安全培訓

7. 不輕信網絡消息，不瀏覽不良網站、不隨意打開郵件附件，不隨意運行可執行程序

8. 勒索中招後，應及時斷網，並第一時間聯繫安全部門或公司進行應急處理