资安一周第164期：MSHTML重大漏洞已被用于勒索软件攻击。Telegram成为犯罪份子的主要交易场所

9/16-9/22必看资安新闻

 

＃漏洞攻击  ＃勒索软件攻击

MSHTML重大漏洞已被用于勒索软件攻击

微软于9月7日提出警告，MSHTML重大漏洞CVE-2021-40444已被骇客用于攻击行动，该公司在14日的例行修补（Patch Tuesday）提供修补程式。事隔2日，他们揭露攻击行动的更多细节，指出攻击者正运用此漏洞来散布勒索软件。

该公司表示，他们在8月侦测到近10个资安事故与之相关：骇客利用恶意Office文件，并搭配此MSHTML漏洞，散布特制Cobalt Strike的Beacon启动器（Loader）。而根据Beacon所连结的网络基础架构，微软发现与多个犯罪活动有关，其中包括人为操作的勒索软件。详全文

图片来源：微软

 

＃即时通讯软件  ＃Telegram

Telegram成为犯罪份子的主要交易场所

提供全程加密的通讯服务Telegram，标榜不会将用户资料提供给各国-，而有许多从事民主、人权活动的人士采用。但根据英国《金融时报》与资安业者Cyberint联手调查，这样的安全与便利性，却也成为犯罪集团分享外泄资料与进行交易的主要管道。

Cyberint指出，骇客在此提到分享外泄电子邮件帐密的骇客用语，在过去1年成长4倍，而自暗网连至Telegram的连结，2020年有17万个，今年已超过100万个。详全文

 

＃漏洞攻击  ＃APT攻击

国家级骇客锁定Zoho自助式密码管理平台漏洞

美国联邦调查局（FBI）、美国网络安全暨基础架构安全署（CISA），以及美国海岸防卫网战司令部（CGCYBER）在9月16日，共同提出警告，国家级骇客正在锁定重大安全漏洞CVE-2021-40539，这项漏洞存在于Zoho旗下的自助式密码管理暨单一签入解决方案，也就是：ManageEngine ADSelfService Plus。

此漏洞为身份验证绕过漏洞，一旦遭到滥用，骇客可执行远端攻击。上述这些资安单位认为，锁定该漏洞的骇客，包含由国家支撑的APT组织，将对重要基础设施公司、美国国防承包商、学术机构带来重大风险。详全文

图片来源：美国网络安全暨基础架构安全署

 

＃漏洞攻击  ＃僵尸网络  ＃DDoS攻击

僵尸网络Mirai攻击Azure管理工具OMI的重大漏洞

微软在9月份例行修补（Patch Tuesday）中，修补存在于Azure Open Management Infrastructure（OMI）的RCE漏洞CVE-2021-38647（亦被称为Omigod），但到了9月17日，又有资安研究人员发现，僵尸网络Mirai正在利用这个重大漏洞发动DDoS攻击，据信来源IP地址位于中国。详全文

图片来源：推特

 

＃木马程式攻击  ＃就地取材

金融木马ZLoader攻击德国、澳洲银行机构

资安业者SentinelOne于9月13日，揭露最近发动的金融木马（Bank Trojan）ZLoader攻击行动细节。攻击者先是透过投放Google广告，锁定使用“Team viewer download”作为关键字的用户，一旦使用者点选了攻击者购买的广告，就会被引导到冒牌TeamViewer的网站，下载MSI安装档案，但实际上，若是使用者执行这个档案，将会在受害电脑植入ZLoader。

为了避免ZLoader被拦截，攻击者在植入木马程式之前，会先停用Microsoft Defender所有模组，并将regsvr32、EXE可执行档案、DLL程式库设置为例外。详全文

 

＃网络钓鱼  ＃SIM Swapping  ＃BEC

意大利黑手党开始参与网络犯罪

欧洲刑警组织（Europol）于9月20日宣布，破获与意大利黑手党有关的犯罪集团，该集团透过网钓攻击与诈骗盗走了他人的财产，1年内的不法获利超过千万欧元，总计有106人被逮捕，118个银行账户遭到冻结。详全文

 

＃勒索软件攻击

相机大厂Olympus疑遭勒索软件BlackMatter攻击

日本相机及光学大厂Olympus于9月11日发出公告，表明于9月8日遭遇网络攻击事故，影响东欧、中东及非洲（EMEA）的IT系统，该公司已启动调查，并暂停受影响系统的资料传输。而对于此起事故，Olympus并未进一步说明细节，但根据新闻网站TechCrunch的报导，该公司疑似遭到勒索软件BlackMatter攻击，赎金金额不详。详全文

 

＃勒索软件攻击

美国谷物合作社遭BlackMatter攻击，被勒索590万美元

根据《华尔街日报》与《BleepingComputer》于9月20日的报导，美国爱荷华州的谷物合作社New Cooperative，疑似于9月18日遭到勒索软件BlackMatter攻击，骇客声称窃得1,000GB资料，包含了Solimap网站的程式码、研究成果、员工的敏感资料，以及财务文件等，骇客向New Cooperative提出590万美元的赎金要求，且要胁在9月25日前付钱，否则赎金将会加倍。详全文

 

＃渗透测试工具  ＃Cobalt Strike

攻击者打造Linux版Cobalt Strike的Beacon，锁定电信、-、金融业发动攻击

资安业者Intezer于9月13日，揭露自8月出现的攻击行动，锁定全球的电信公司、-单位、IT公司、金融机构，以及顾问公司等，而其中最引起研究人员注意的，就是攻击者使用的工具中，出现了重新以Scratch程式语言制作、能在Linux操作系统执行的渗透测试工具Cobalt Strike的Beacon，而且，其中的Linux版本无法被防毒软件识别为有害。Intezer将新的作案工具命名为Vermilion Strike，并表示这是首度针对Linux主机而来的Cobalt Strike攻击。详全文

 

＃资料外泄

逾1,200所美国K-12学校的学生资料曝露在暗网

美国网络安全及基础设施安全局（CISA）与FBI联手，在2020年12月提出警告，骇客针对采用远距教学的K-12学校发动攻击，目的是窃取学校服务器的资料，而近期新闻网站NBC News也报导此事。

NBC News今年在暗网中，看到骇客发布超过1,200家K-12学校的档案，这些档案充斥着学生个资，包括名字、生日、性别，以及社会安全码等。由于这些学校往往缺乏资安资源，学生个资外泄后，日后恐面临资料窃盗的风险，对此，专家建议家长，在孩童成年以前，最好都冻吉他们的信用。详全文

 

 

更多资安动态

●OpenSSL 3.0正式推出，加入新的FIPS模组
●Fortinet、Linksys联手推出居家办公网络安全设备
●Google修补2个已发生攻击的Chrome漏洞