技嘉遭受勒索软件攻击、联邦调查局取缔了黑客组织 Revil｜全球网络安全热点

安全资讯报告

联邦调查局通过自己的黑客攻击取缔了顶级勒索软件黑客组织Revil

政府已经成功地破解了黑客组织雷维尔的勒索背后的实体，对企业软件供应商的攻击。联邦调查局、特勤局、网络司令部和其他国家的组织已共同努力，本月将该组织的业务下线。据报道，该组织的暗网博客暴露了从其目标收集的信息，但也处于离线状态。

本周早些时候，有关该组织下线的报道开始浮出水面，TechCrunch写道，其Tor网站周一不再可用。由于该组织的一名疑似领导人在论坛上发帖称其服务器“遭到破坏”，引发了对黑客攻击的猜测，但当时尚不清楚谁该为此负责。路透社援引消息人士的话说，政府针对勒索软件黑客（包括REvil）的行动仍在进行中。

随着攻击对公司的成本越来越高（据报道，一家公司支付了4000万美元的赎金以恢复其运营），美国正在慢慢扭转与勒索软件相关的团体的螺丝钉。财政部推动制裁，使被黑机器更难变现，司法部成立了一个团队来调查加密货币交易所犯下的罪行，并在其公告中多次引用勒索软件的影响。

由于与之相关的攻击的高调或高影响性质，REvil受到了大量关注。苹果供应商泄露了本周推出的MacBook的原理图，以及对大型肉类加工商JBS、IT管理软件开发商Kaseya、Travelex和Acer的攻击，都归咎于它。该组织被美国财政部的金融犯罪执法网络命名为就报告的支出而言最大的勒索软件组织之一。

REvil之前已经下线——它的网站在7月份从暗网上消失了，就在FBI表示该组织负责关闭JBS的一个月后，该公司负责全球五分之一的肉类供应。

该组织总是有可能卷土重来，尽管据报道，试图从7月的倒闭中恢复过来是它首先受到来自美国的袭击的原因。据路透社消息，该组织的一名成员恢复了备份，并在不知不觉中包含了被执法部门破坏的系统。一位俄罗斯安全专家告诉路透社，感染备份是REvil本身常用的一种策略。

新闻来源： 

https://www.theverge.com/2021/10/22/22740239/revil-ransomware-hacking-fbi-cyber-command-secret-service-down

勒索软件团伙伪装成真正的公司招募技术人才

犯罪组织认为已成立了一个假公司招聘员工潜能的软件。据研究人员称，这家假公司使用的名称是Bastion Secure。该公司表示它销售网络安全服务。但该网站的运营商是一个名为Fin7的知名黑客组织，Recorded Future和微软表示。

联邦检察官和研究人员称，Fin7已经入侵了数百家企业，窃取了超过2000万条客户记录，并编写了用于中断美国东南部部分地区汽油输送的黑客软件。

使用BS徽标的Bastion Secure网站列出了本质上是技术性的工作，并且看起来类似于在任何安全公司执行的工作——程序员、系统管理员和擅长发现软件错误的人。据公司网站称，潜在员工将按照可预测的时间表周一至周五每天工作9小时，提供午餐休息时间。

冒充合法公司进行招聘的企图代表了勒索软件提供者发展和传播破坏肉类生产、医院护理、教育和数百家企业的祸害的新发展。安全研究人员表示，勒索软件运营商拥有数亿美元的非法收入，越来越像犯罪初创公司一样运营，拥有专业的支持人员、软件开发、云计算服务和媒体关系。

Fin7已经入侵了数千个计算机系统，多年来专注于窃取和出售信用卡信息。联邦检察官说，这个70人的团体对公司和个人造成了超过30亿美元的损失。

微软安全分析师尼克卡尔在Mandiant会议上发言时表示，该组织最近从窃取卡信息转向勒索软件，现在它管理勒索软件服务并进行入侵以部署文件加密软件。

微软认为，Fin7生产了在春季破坏Colonial Pipeline Co.运营的黑客攻击中使用的软件。卡尔先生在他的演讲中说，据信实际的黑客攻击是由Fin7的一个犯罪附属机构实施的。研究人员表示，Fin7以DarkSide的名义推销其勒索软件业务，但最近将其称为BlackMatter。

新闻来源： 

https://www.wsj.com/articles/ransomware-gang-masquerades-as-real-company-to-recruit-tech-talent-11634819400

CISA警告在npm包中发现恶意软件，每周下载数百万次

一个非常流行的JavaScript库（npm包）今天遭到黑客攻击，并被恶意代码修改，这些代码在使用受感染版本的系统上下载并安装了密码窃取程序和加密货币挖掘程序。

该事件于10月22日星期五被发现。它影响了UAParser.js，这是一个用于读取存储在用户代理字符串中的信息的JavaScript库。根据其官方网站，该库被Facebook、苹果、亚马逊、微软、Slack、IBM、HPE、戴尔、甲骨文、Mozilla、Shopify、Reddit和许多硅谷精英等公司使用。根据其npm页面，该库每周的下载量也经常在600万到700万之间。

• 受损版本：0.7.29、0.8.0、1.0.0
• 补丁版本：0.7.30、0.8.1、1.0.1

UAParser.js库的作者Faisal Salman说：“我相信有人劫持了我的npm帐户并发布了一些可能会安装恶意软件的受感染软件包（0.7.29、0.8.0、1.0.0）。”在发现黑客攻击数小时后，Salman删除了受感染的库版本——以防止用户意外感染自己——并发布了干净的版本。

对恶意代码的分析揭示了可以从远程服务器下载和执行二进制文件的额外脚本。为Linux和Windows平台提供了二进制文件。“从命令行参数来看，其中一个看起来像一个加密矿工，但这可能只是为了伪装”一位GitHub用户周五表示。但根据另一位GitHub用户的调查结果，在Windows系统上，脚本还会下载并执行信息窃取木马（可能是Danabot恶意软件的一个版本），其中包含导出浏览器cookie、浏览器密码和操作系统凭据的功能。

由于大量下载和依赖该库的大公司，美国网络安全和基础设施安全局(CISA)在周五深夜发布了有关该事件的安全警报，敦促开发人员更新到安全版本。

GitHub的安全团队也注意到了这一事件并发布了自己的建议，敦促在开发过程中使用该库的系统立即重置密码和轮换令牌。这标志着本周发现的第四个恶意npm包。周三，Sonatype还发现了三个新发布的npm库，其中包含类似的恶意代码，旨在下载和安装加密货币矿工，针对Linux和Windows系统。

新闻来源： 

https://therecord.media/malware-found-in-npm-package-with-millions-of-weekly-downloads/

微软：TodayZoo网络钓鱼工具包用于广泛的凭据窃取攻击

微软周四披露了一系列“广泛的凭据网络钓鱼活动”，该活动利用自定义网络钓鱼工具包将至少五个不同的广泛传播的组件拼接在一起，目的是窃取用户登录信息。

这家科技巨头的Microsoft 365 Defender威胁情报团队于2020年12月在野外检测到该工具的第一个实例，将复制粘贴攻击基础设施称为“TodayZoo”。

研究人员说：“大量可供出售或出租的网络钓鱼工具包和其他工具使孤狼攻击者可以轻松地从这些工具包中挑选最佳功能。他们将这些功能放在一个定制的套件中，并试图为自己带来所有好处。TodayZoo就是这种情况。”

网络钓鱼工具包通常作为一次性付款在地下论坛上出售，是包含图像、脚本和HTML页面的打包存档文件，使威胁行为者能够设置网络钓鱼电子邮件和页面，使用它们作为诱饵来收集凭据并将其传输给攻击者-受控服务器。

TodayZoo网络钓鱼活动没有什么不同，因为发件人电子邮件冒充Microsoft，声称是密码重置或传真和扫描仪通知，将受害者重定向到凭据收集页面。最突出的是网络钓鱼工具包本身，它是由从其他工具包中提取的大量代码拼凑而成的，“一些可通过可公开访问的诈骗卖家出售，或者由其他工具包经销商重复使用和重新包装。”

新闻来源： 

https://thehackernews.com/2021/10/microsoft-warns-of-todayzoo-phishing.html

Google拦截了160万封网络钓鱼电子邮件

根据谷歌威胁分析小组发布的一份报告，自2021年5月以来，谷歌阻止了160万封网络钓鱼电子邮件。据报道，这些电子邮件是恶意软件活动的一部分，旨在窃取YouTube帐户和推广加密货币计划。

根据谷歌威胁分析小组与YouTube、Gmail、信任和安全、网络犯罪调查小组和安全浏览团队合作透露的详细信息，谷歌将Gmail上相关网络钓鱼电子邮件的数量减少了99.6%。

“我们阻止了160万条发送给目标的消息，显示了62K安全浏览网络钓鱼页面警告，阻止了24K文件并成功恢复了4K帐户，”谷歌在一篇博文中表示。

根据报告，背后的责任人参与了传播虚假信息活动、政府支持的黑客攻击和出于经济动机的滥用行为。该公司表示：“自2019年底以来，我们的团队利用CookieTheft恶意软件破坏了针对YouTube用户的出于经济动机的网络钓鱼活动。”

“该活动背后的参与者，我们将其归因于在俄语论坛招募的一群黑客，他们通过虚假的合作机会（通常是防病毒软件、VPN、音乐播放器、照片编辑或在线游戏的演示）引诱他们的目标)，劫持他们的频道，然后要么将其出售给出价最高的人，要么用它来传播加密货币骗局，”它补充道。

在博客文章中，该公司还分享了用于吸引用户的各种策略、技术和程序(TTP)的示例。此外，Google还提供了有关用户如何进一步保护自己的指南。

新闻来源： 

https://indianexpress.com/article/technology/tech-news-technology/google-blocked-1-6-million-phishing-emails-in-2021-heres-why-7586306/

NCC提醒尼日利亚人注意针对银行账户的FluBot恶意软件

尼日利亚通信委员会(NCC)昨天发出警报，称这是一种名为“FluBot”的极具破坏性的恶意软件，该恶意软件攻击Android移动银行应用程序。

根据NCC的说法，Flubot“模仿Android移动银行应用程序在目标应用程序上绘制虚假的网络视图，其目标超越窃取个人数据，主要目标是窃取信用卡详细信息或网上银行凭据。”

NCC解释说，FluBot“通过短信传播，可以窥探传入的通知、发起呼叫、读取或写入短信，并将受害者的联系人列表传输到其控制中心。”NCC表示，该恶意软件“通过伪装成FedEx、DHL、Correos和Chrome应用程序来攻击Android设备”，并迫使毫无戒心的用户更改其设备上的可访问性配置，以保持设备上的持续存在。

新闻来源： 

https://www.thisdaylive.com/index.php/2021/10/23/ncc-alerts-nigerians-to-deadly-flubot-malware-targeting-bank-accounts/

黑客使用微软签名的Rootkit恶意软件窃取游戏内数据

根据Gizmodo的说法，欺诈者现在正在部署一个名为FiveSys的rootkit，它有一个奇怪的数字签名。

值得注意的是，微软的数字签名用来验证程序是否安全。由于这家科技巨头赋予的行业标准标签，网络犯罪分子可以不受限制地使用rootkit。此外，受感染的程序现在无论在何处运行，都会授予黑客“无限特权”。

在同一项调查中，Gizmodo表示，“FiveSys”黑客经常针对在线游戏玩家，通过窃取他们的密码来窃取他们的游戏内购买。鉴于rootkit不仅仅允许窃取游戏内购买，Bitdefender研究人员认为它可能被用来挖掘其他敏感数据。

研究人员认为，“FiveSys”充斥着互联网上的破解应用程序。研究人员发现有问题的rootkit起源于中国，其大多数受害者是中国网络游戏玩家。在亚洲国家之外，“FiveSys”rootkit尚未产生影响。

新闻来源： 

https://en.brinkwire.com/technology/hackers-microsoft-signed-rootkit-malware-steals-in-game-purchases-and-data-warns-online-gamers/

安全漏洞威胁

技嘉遭勒索软件攻击：

保密信息和客户详细信息泄露，黑客威胁更严重

据报道，技嘉最近面临大规模数据泄露，这是AvosLocker黑客组织勒索软件攻击的一部分。在一份新闻稿式的公告中，该组织报告了他们从技嘉窃取的信息，并威胁要泄露更多信息。该Privacysharks平台独立证实的传闻，并在一份报告中，提供了有关从技嘉窃取数据的详细信息。

根据Privacysharks的说法，AvosLocker窃取了技嘉客户的信用卡信息、员工工资数据、员工护照的 PDF 副本以及技嘉与梭子鱼网络之间的保密协议。 

AvosLocker没有发布数据泄露的全部内容。然而，他们威胁说，如果技嘉拒绝与他们谈判，他们将“泄露我们拥有的所有数据”。 

自2017 年臭名昭著的WannaCry攻击以来，勒索软件攻击一直在上升。Comparitech的一份报告表明，仅在 2021 年，美国企业就因勒索软件攻击而遭受了高达 210 亿美元的直接和间接损失。 

新闻来源： 

https://www.notebookcheck.net/Gigabyte-hit-by-ransomware-attack-NDA-d-information-and-customer-details-leak-out-with-hackers-threatening-worse.574681.0.html

恶意软件中的错误为安全研究人员创建后门

恶意软件作者经常利用流行软件中的漏洞。但是，恶意软件也容易出现错误和编码错误，导致它崩溃并充当后门——授权和未经授权的用户可以通过任何方法绕过正常的安全措施并获得高级用户访问权限——供白帽黑客使用。

Zscaler进行了研究以查看一些流行的恶意软件家族中存在哪些类型的漏洞，讨论这些错误或漏洞在防止恶意软件感染中的用途，并找出这些漏洞是否是真正的漏洞和编码错误或逃逸机制。

研究人员对2019年至2021年3月收集的恶意样本数据集进行了大规模分析，使用行为相似性对样本进行聚类，并使用MITRE的通用弱点枚举(CWE)系统对恶意软件进行分类。

研究人员查看了多个具有不同类型漏洞的恶意软件示例。他们观察到，有时恶意软件不会验证所查询API的输出或无法处理不同类型的C&C响应。作者经常根据他们的本地环境开发恶意软件，而不考虑其他技术，例如ASLR、DEP，这些技术需要在恶意软件中加载模块导致它们崩溃。

新闻来源： 

https://www.securitymagazine.com/articles/96348-bugs-in-malware-creating-backdoors-for-security-researchers

WordPress缓存插件漏洞影响100万个网站

流行的WordPress插件WP Fastest Cache插件被Jetpack安全研究人员发现存在多个漏洞，可能允许攻击者承担完全的管理员权限。这些漏洞影响了超过一百万的WordPress安装。

WP Fastest Cache是一个WordPress插件，被超过一百万个WordPress网站使用。

发现了多个漏洞：

• 经过身份验证的SQL注入
• 通过跨站请求伪造存储的XSS

经过身份验证的SQL注入

Authenticated SQL Injection允许登录用户通过数据库访问管理员级别的信息。SQL注入漏洞是一种针对数据库的攻击，数据库是存储网站元素（包括密码）的地方。成功的SQL注入攻击可能会导致整个网站被接管。

Jetpack安全公告描述了该漏洞的严重性：

“如果被利用，SQL注入漏洞可能允许攻击者访问受影响站点数据库中的特权信息（例如，用户名和散列密码）。只有在网站上安装并激活了经典编辑器插件时，才能利用它。”

通过跨站请求伪造存储的XSS

XSS（跨站点脚本）漏洞是一种比较常见的漏洞，它是由验证网站输入的方式存在缺陷造成的。用户可以在网站上输入内容的任何地方，例如联系表单，如果输入未经清理，都可能容易受到XSS攻击。

Jetpack安全警告

Jetpack的安全研究人员建议WP Fastest Cache WordPress插件的所有用户立即更新他们的插件。

新闻来源： 

https://www.searchenginejournal.com/wp-fastest-cache-vulnerability/424278/