一周安全资讯0528ChromeLoader恶意软件激增

　　宏观新闻
　　【勒索软件攻击正以惊人的速度增加】根据最新报告，勒索软件泄露事件增加了13，超过了过去五年的总和。VerizonBusiness2022数据泄露调查报告揭示了今年严峻的网络安全形势，并详细介绍了影响国际网络安全格局的焦点问题。除了勒索事件的增加，它还发现82的网络漏洞涉及人为因素，包括社交攻击、人为的错误等。除此之外，62的系统入侵事件中，也发现威胁参与者会危害其合作伙伴。Verizon在报告里表示：特别令人担忧的是勒索软件泄露事件的惊人增长，由于犯罪分子会使用越来越复杂的恶意软件，所以在某一方面，勒索软件通过非法获取私人信息并勒索赎金就显得特别成功。尽管勒索软件无处不在，而且可能具有破坏性，但其核心只是一种将组织访问权货币化的模型。报告里还列举了一个大范围受影响的供应链事件，损害目标重要的合作伙伴对威胁行为者来说简直是增加了他们的勒索资本。与出于经济动机的威胁行为者不同，民族国家的威胁行为者可能不会只满足于当前获取的数据，而是选择进一步入侵目标，以此获取更多机密。关于人为因素，报告指出，人为因素仍然是违规的主要驱动因素：无论是使用被盗凭据、网络钓鱼还是仅仅是一个错误，人们继续在事件和违规行为中扮演重要角色。同时，报告发现，受云存储配置错误的影响，人为的错误仍然是未来勒索事件发生的主要因素。2022DBIR还发现了会影响机构财产的四种常见网络攻击类型：凭证、网络钓鱼、利用漏洞和僵尸网络。这四种攻击情况在DBIR的所有领域都普遍存在，如果没有处理每一种情况的计划，没有一个组织是安全的。
　　【ChromeLoader恶意软件激增，恐将威胁全球浏览器】据调查，相较年初以来的稳定，ChromeLoader恶意软件的数量在本月有所上升，这将导致浏览器劫持成为一种普遍的威胁。ChromeLoader是一种浏览器劫持程序，它可以修改受害者的网络浏览器设置，以宣传不需要的软件、虚假广告，甚至会在搜索页面展示成人游戏和约会网站。威胁行为者将用户流量重定向到广告网站，通过营销联盟系统获得经济收益。虽然这类劫持者并不少见，但ChromeLoader因其持久性、数量和感染途径而脱颖而出，其中包括对滥用PowerShell。今年2月以来，RedCanary研究人员一直保持对ChromeLoader的追踪，据他说，劫持者使用恶意ISO存档文件来感染他们的受害者。ISO文件会被伪装成游戏或商业软件的破解可执行文件，所以受害者在不知情的情况下会从torrent或恶意网站下载它。研究人员还注意到，Twitter上有帖子推广破解的Android游戏，并提供二维码，这也会导致用户进入恶意软件托管网站。当在Windows10及以上版本操作系统双击ISO文件时，会将ISO文件挂载为虚拟光驱。这个ISO文件包含一个可执行文件，它使用CSInstaller。exe这样的名称，假装是一个游戏破解程序或keygen。最后，ChromeLoader执行并解码PowerShell命令，从远程资源获取存档并加载为谷歌Chrome扩展。完成此操作后，PowerShell将删除计划任务，使Chrome感染一个静默注入的扩展程序，该扩展程序劫持浏览器并操纵搜索引擎结果。
　　【新报告指出美国政府缺乏关于勒索软件攻击的全面数据】根据美国参议院委员会的一份新报告，美国政府缺乏关于勒索软件攻击的全面数据，而且现有的报告比较分散。美国国土安全部和公共事务委员会近日发布了一份51页的报告，呼吁政府迅速实施新的授权，要求联邦机构和关键基础设施组织在遭遇勒索软件之后必须上报，以及需要支付的赎金。为了撰写这份报告，委员会进行了为期10个月的调查，并重点关注加密货币在勒索软件支付中的作用。结果发现有关攻击的报告是零散且不完整的，部分原因是FBI和CISA都声称拥有一站式服务报告攻击的网站分别是IC3。gov和StopRansomware。gov。新法律要求关键基础设施组织在72小时内向CISA报告网络攻击，并在24小时内向CISA报告勒索软件的赎金。CISA在3月份表示将立即与FBI分享事件报告，但调查发现这种安排存在缺陷。报告指出：虽然这些机构声明他们彼此共享数据，但在与委员会工作人员的讨论中，勒索软件事件响应公司质疑此类通信渠道对协助攻击受害者的影响的有效性。除了FBI和CISA的双重报告职能之外，财政部的FinCEN、运输安全管理局和证券交易委员会还有针对特定部门的报告制度，以及通过FBI外地办事处和一些州政府的报告。报告指出：这些机构没有统一捕获、分类或公开共享信息。
　　安全动态
　　【因欺骗性定向广告，推特遭1。5亿美元巨额罚款】BleepingComputer网站披露，美国联邦贸易委员会（FTC）将对推特处以1。5亿美元巨额罚款，原因是该公司将收集到的电话号码和电子邮件地址，用于定向广告投放。根据法庭披露出的信息来看，自2013以来，Twitter以保护用户账户为理由，开始要求超过了1。4亿用户提供个人信息，但并没有告知用户这些信息也将允许广告商向其投放定向广告。推特此举违反了联邦贸易委员会法案和2011年委员会行政命令，这些法案明确禁止了该公司歪曲隐私和安全做法，并从欺骗性的收集数据中获利。据悉，早在2009年1月至5月期间，在黑客获得推特的管理控制权后，该公司未能保护用户的个人信息，行政命令随之颁布。FTC主席LinaM。Khan表示，Twitter以进行安全保护为由，从用户处获得数据，但最后也利用这些数据向用户投放广告，这种做法虽然提高了Twitter的收入来源，但也影响了超过1。4亿Twitter用户，1。5亿美元的罚款侧面反映了Twitter这一做法的严重性。目前，推特已同意与联邦贸易委员会达成和解，支付1。5亿美元的民事罚款，并对使用用户信息进行广告盈利事件道歉。除此之外，在联邦法院批准和解后，推特也将实施新的合规措施以改善其数据隐私做法。
　　【成功逮捕！SilverTerrier团伙头目被尼日利亚警方控制】经过了为期一年代号为黛利拉行动的调查，尼日利亚警方于近日在拉各斯的穆尔塔拉穆罕默德国际机场逮捕了一名37岁男子，该男子是网络犯罪团伙SilverTerrier（又名TMT）的疑似头目。本次抓捕行动得到了几家全球大型网络安全公司（包括GroupIB，PaloAltoNetworksUnit42和TrendMicro）的支持。SilverTerrier是一个拥有数百人成员规模的团伙，自2014年进入公众视野以来它就一直相当活跃，该团伙十分注重于商业电子邮件犯罪（BEC）。2020年5月，这个团伙曾发动过一次引发广泛关注的攻击。当时，PaloAltoNetworks的研究人员观察到，团伙以COVID19为诱饵对全球医疗机构和政府组织发动了攻击。在此之前，2020年11月，国际刑警组织领导了打击SilverTerrier团伙的猎鹰行动（OperationFalcon）。此后，在猎鹰二号行动中，国际刑警组织逮捕了SilverTerrier团伙的15名成员。尼日利亚逮捕了这名著名的网络罪犯，这证明了我们的国际执法联盟和国际刑警组织的私营部门伙伴在打击网络犯罪方面长期不懈的努力收到了成果，尼日利亚警察部门助理总督察、国际刑警组织尼日利亚国家中央局局长、国际刑警组织执行委员会非洲事务副主席GarbaBabaUmar这样对媒体说道。
　　【新型勒索软件Cheers正攻击VMwareESXi服务器】据BleepingComputer网站5月25日消息，一种名为Cheers的新型勒索软件出现在网络犯罪领域，目标是针对易受攻击的VMwareESXi服务器。VMwareESXi是全球大型组织普遍使用的虚拟化平台，因此对其进行加密通常会严重破坏企业的运营。近期已有多个针对VMwareESXi平台的勒索软件组，包LockBit和Hive。而Cheers勒索软件由趋势科技最新发现，并将新变种称为Cheerscrypt。在扫描文件夹以查找要加密的文件时，勒索软件将在每个文件夹中创建名为HowToRestoreYourFiles。txt的勒索记录。这些赎金记录包括有关受害者被加密文件情况的信息、Tor数据泄露站点和赎金缴纳站点的链接。每个受害者都有一个唯一的Tor站点，但数据泄露站点OnionURL是静态的。根据BleepingComputer的研究，Cheers似乎于2022年3月开始运作，虽然迄今为止只发现了Linux勒索软件版本，但不排除也存在针对Windows系统的变体。BleepingComputer发现了Cheers的数据泄露和受害者勒索Onion网站，该网站目前仅列出了四名受害者。但该门户的存在表明Cheers在攻击期间执行数据泄露，并将被盗数据用于双重勒索攻击。
　　【38万个KubernetesAPI服务器暴露在公网】研究人员发现，有超过38万个KubernetesAPI服务器允许对公共互联网进行访问，这就使得这个用于管理云部署的流行开源容器成为了威胁者的一个攻击目标和广泛的攻击面。根据本周发表的一篇博文，Shadowserver基金会在扫描互联网上的KubernetesAPI服务器时发现了这个问题，受影响的服务器已经超过了45万个。根据该帖子，ShadowServer每天会对IPv4空间的443和6443端口进行扫描，寻找响应HTTP200OK状态的IP地址，这表明该请求已经成功。研究人员说，在Shadowserver发现的超过45万个KubernetesAPI实例中，有381645个响应为200OK。总的来说，Shadowserver发现了454，729个KubernetesAPI服务器。因此，开放的API实例占Shadowserver扫描的所有实例的近84。此外，根据该帖子，大部分可访问的Kubernetes服务器有201348个，有将近53是在美国被发现的。根据该帖子，虽然这种扫描结果并不意味着这些服务器完全开放或容易受到攻击，但它确实有这样一种情况，这些服务器都有一个不必要的暴露的攻击面。研究人员指出，这种访问很可能是无意的。他们补充说，这种暴露还可能会出现各种版本和构建信息发生泄漏。
　　【通用汽车遭撞库攻击被暴露车主个人信息】近期，通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动，经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡，针对此次事件，通用汽车也及时给受影响的客服发邮件并告知客户。为了弥补客户所受损失，通用汽车表示，他们将为所有受此事件影响的客户恢复奖励积分。但根据调查，这些违规行为并不是通用汽车被黑客入侵的结果，而是由针对其平台上的客户的一波撞库攻击引起的。黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史、紧急联系人、WiFi热点设置（包括密码）等。但帐户里不包含出生日期、社会安全号码、驾驶执照号码、信用卡信息或银行帐户信息，因此这些信息没有被泄露。除了重置密码外，通用汽车还建议受影响的用户向银行索取信用报告，如有必要还可进行账户安全冻结。不幸的是，通用汽车的在线站点不支持双重身份验证，所以其网站无法阻止撞库攻击。不过还有一种做法是客户可以给所有的支付动作添加PIN码验证环节。至于受影响的客户数量，通用汽车只向加州总检察长办公室提交了一份通知样本，因此我们只知道该州受影响的客户数量，也就是略低于5，000家。