安全研究
全部分类

关键信息基础设施安全动态周报【2022年第30期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-08-05 16:48
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第30期】天地和兴播报。

关键信息基础设施安全动态周报【2022年第30期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第30期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-08-05 16:48
  • 访问量:
详情

 

目   录

第一章 国内关键信息基础设施安全动态

(一)居易科技DrayTek Vigor路由器存在严重漏洞

第二章 国外关键信息基础设施安全动态

(一)欧洲天然气管道公司Creos遭受勒索软件攻击

(二)欧洲导弹制造商MBDA泄露数据

(三)德国半导体制造商Semikron遭受LV勒索软件攻击

(四)美国联邦法院系统面临严重复杂网络安全漏洞

(五)黑客组织Guacamaya泄露多家矿业公司超2TB数据

(六)阿尔巴尼亚政府网站遭受伊朗破坏性网络攻击

(七)西班牙研究中心遭受俄罗斯网络攻击

(八)威胁行为者利用新型Woody木马攻击俄罗斯组织

(九)Vmware修复严重身份验证绕过漏洞

(十)LockBit 3.0利用Windows Defender进行有效负载

(十一)恶意软件如何欺骗用户和杀毒软件?

 

 

第一章 国内关键信息基础设施安全动态

(一)居易科技DrayTek Vigor路由器存在严重漏洞

威胁检测和响应公司Trellix研究人员发现,中国台湾制造商DrayTek的数十款Vigor路由器存在一个严重漏洞,未经身份验证的攻击者可以进行远程代码执行。如果设备的管理界面已在线暴露,则无需用户交互即可进行攻击。该漏洞编号为CVE-2022-32548,CVSS评分为10.0。

该漏洞最初是在Vigor 3910设备中发现的,但使用相同代码库的其他型号也受到影响,涉及近30种DrayTek Vigor路由器模型,影响数十万使用Vigor路由器的中小型企业,可能会遭受攻击。DrayTek在得知该漏洞存在后不到30天就发布了固件更新,以修补该漏洞。

该漏洞编号为CVE-2022-32548,可允许未经身份验证的远程攻击者执行任意代码,并完全控制易受攻击的设备,然后攻击者可以利用受感染的设备访问组织的网络和内部资源。

黑客可以获取敏感信息、拦截网络流量、或滥用受感染的路由器进行僵尸网络活动。失败的利用尝试可能会导致拒绝服务(DoS)情况。

Shodan搜索显示,超过76万台暴露在互联网上的DrayTek路由器,包括英国的约27万台和越南的14万台,而且可能还有更多只能从内部网络访问的路由器。

Trellix研究人员发现的漏洞影响超过20万台互联网暴露设备,无需任何用户交互即可受到攻击。从本地网络发起的攻击确实需要一些用户交互,这是来自局域网的一键式攻击。

虽然Trellix没有看到任何迹象表明此漏洞已被广泛利用,但威胁行为者在攻击中以DrayTek路由器为目标的情况并不少见,因此用户尽快安装补丁非常重要。

Trellix警告表示,“边缘设备,例如Vigor 3910路由器,位于内部和外部网络之间的边界。因此它们是网络犯罪分子和威胁行为者的主要目标。远程入侵边缘设备可能会导致企业内部网络的全面入侵。这就是为什么确保这些设备保持安全和更新至关重要,并且生产边缘设备的供应商拥有适当的流程,以便在漏洞披露后快速有效地响应,就像DrayTek所做的那样。”

Trellix提供了有关该漏洞的技术细节、用于检测利用尝试的信息、以及显示CVE-2022-32548实际利用的视频。

参考来源:SecurityWeek http://985.so/b9wrd

 

 

第二章 国外关键信息基础设施安全动态

(一)欧洲天然气管道公司Creos遭受勒索软件攻击

中欧天然气管道和电力网络运营商Creos所有者Encevo在7月25日宣布,其于7月22日至23日周末遭受了网络攻击。网络攻击导致Encevo和Creos的客户网站无法使用,但所提供的能源供应服务并未中断。在此次攻击中,许多数据从计算机系统中被黑客泄露,或无法访问。

LPHV勒索软件组织又名BlackCat,7月29日声称对此次事件负责,从Creos窃取了超过150GB的数据,包含180,000个文件,包括合同、协议、护照、账单、电子邮件等。

 

 

Creos在卢森堡大公国拥有并管理电力网络和天然气管道,规划、建设和维护其拥有或负责管理的高、中、低压电网和高、中、低压天然气管道。Encevo是在五个欧盟国家经营的能源供应商。

7月28日,Encevo发布了有关网络攻击的最新消息,初步调查结果表明,网络入侵者已经从被访问的系统中窃取了“一定数量的数据”。

Encevo目前正在尽一切努力分析被黑客攻击的数据。目前,Encevo集团还不具备所有必要的信息来亲自通知每个相关人员。Encevo已向大公国警察局提出了投诉,也通知了CNPD(国家数据保护委员会)、ILR(卢森堡监管研究所)和主管部门。

Encevo不同业务部门的团队、IT和数据取证专家正在调查个人数据是否已被披露,并将积极联系担心数据泄露的数据主体。由内部和外部取证IT专家组成的事件响应小组立即启动,对可疑账户或入口点进行暂时中断或封锁。

Encevo无法估计影响的范围,并恳请客户耐心等待调查结束,届时每个人都会收到个性化的通知。Encevo的媒体门户没有进一步进行更新,因此调查过程可能仍在进行中。当有更多信息可用时,Encevo将把这些信息发布在网络攻击的专用网页上。

目前,建议所有客户重置与Encevo和Creos服务交互的在线账户凭据。此外,如果这些密码在其他网站上相同,也应该在这些网站上更改密码。

参考来源:Encevo http://985.so/bw3jp

 

(二)欧洲导弹制造商MBDA泄露数据

威胁行为者Andrastea声称,其利用欧洲导弹开发商和制造商MBDA系统中存在的漏洞并获得了访问权限,窃取了超过60GB数据,包括军事项目、商业活动、合同协议、以及通信信息。对此MBDA进行了回应,承认有文件被盗,但否认系统被黑客入侵,声称黑客披露的数据是从外部硬盘驱动器获得的,不是机密数据也不是敏感数据。

MBDA回应了有关其基础设施遭到网络攻击的传言,称其系统遭到破坏的说法是错误的。MBDA在声明中表示,该公司成为了网络犯罪组织的攻击目标,并散布了入侵信息系统的虚假信息,企图勒索支付赎金。攻击者从MBDA意大利分部使用的外部驱动程序获取了MBDA数据,并要求支付赎金,以换取不泄露或出售这些文件。

MBDA表示,“数据的来源已经确定,是从外部硬盘驱动器上获取的。已经确认,没有发生对公司安全网络的黑客攻击。到目前为止,内部验证流程表明,在线提供的数据既不是机密数据,也不是敏感数据。”

MBDA没有解释威胁行为者是如何从意大利获取外部硬盘驱动器的。MBDA还补充表示,他们不会屈服于勒索,也不会向犯罪分子支付赎金。相反,他们将与意大利执法部门合作,对肇事者采取一切法律行动。

2022年7月30日,一个名为Andrastea的黑客组织自称是一群网络安全研究人员,在一个流行的黑客论坛上发布了关于利用严重网络漏洞破坏MBDA的声明。

黑客声称,在此次入侵中,他们下载了大约60GB的数据,包括有关MBDA员工信息、机密军事项目、技术示意图、合同、协议等。Andrastea分享了被盗数据样本,以证明他们拥有的数据是真实的。

 

 

MBDA是欧洲最大的导弹开发商和制造商之一,目前向90个客户销售45种导弹类型。另外15个正在开发中,包括空对空、地对空、空对地、反舰、反坦克和多发射器系统。该公司的年收入为42亿欧元,在法国、德国、意大利、英国、美国和印度设有实体办事处,拥有13,000名员工。

参考来源:BleepingComputer http://985.so/bwp9m

 

(三)德国半导体制造商Semikron遭受LV勒索软件攻击

德国电力电子制造商Semikron披露,其遭受了勒索软件攻击,部分公司网络被加密。勒索信件显示,攻击者是LV勒索软件组织,并声称窃取了2TB的文件。

Semikron在德国、巴西、中国、法国、印度、意大利、斯洛伐克和美国的24个办事处和8个生产基地拥有3,000多名员工,2020年的营业额约为4.61亿美元,是世界领先的电力工程部件制造商之一,每年安装的风力涡轮机中有35%使用其技术运行。

Semikron在声明中表示,“Semikron集团遭受了专业黑客组织的网络攻击,攻击者声称从我们的系统中窃取了数据。此次攻击还导致了我们的IT系统和文件部分加密,目前正在对整个网络进行调查取证和清理。”

德国联邦信息安全办公室发布警告表示,该公司遭受了勒索软件攻击,并威胁要泄露窃取的数据。

Semikron没有分享有关事件中使用的勒索软件的任何信息,但Semikron系统上部署的加密勒索信件显示,攻击者是LV勒索软件组织,并声称窃取了2TB的文件。

Semikron正在外部网络安全和取证专家的帮助下调查该在系统加密之前从系统中窃取数据事件。Semikron在整个调查过程中通知了相关部门,并与其合作,如果发现任何数据被盗的证据,将提醒客户和合作伙伴。

Semikron表示,“与此同时,我们正在努力恢复工作能力,以最大限度地减少对员工、客户和合同合作伙伴的干扰,并确保IT系统尽可能地安全。我们也得到主管部门的支持,调查和协调进一步措施。”

参考来源:BleepingComputer http://985.so/bwsdy

 

(四)美国联邦法院系统面临严重复杂网络安全漏洞

众议院司法委员会主席杰罗德·纳德勒众议员表示,美国联邦法院系统自2020年初以以来面临着极其严重和复杂的网络安全漏洞,这对司法部和其他机构产生了挥之不去的影响。

纳德勒在司法部国家安全司监督听证会上表示,委员会于2022年3月获悉,法院文件管理系统安全故障涉及的广度和范围令人震惊。更令人担忧的是,这次安全漏洞对未决民事和刑事诉讼以及正在进行的国家安全或情报事务产生的令人不安的影响。

纳德勒表示,该事件与影响美国一系列联邦机构的SolarWinds漏洞是分开的,他要求负责国家安全的助理司法部长Matthew Olsen谈谈该漏洞影响了部门多少案件。

Olsen表示,“虽然我不能直接谈论正在进行的调查的性质,涉及危害公共司法诉讼的威胁类型,但鉴于到法院经常掌握的信息的性质,这是一个重大担忧。就事件影响的具体案例而言,我想不出任何特别的事情。”

司法部发言人在听证会后表示,该机构既不确认也不否认正在对此事进行调查。

德克萨斯州民主党众议员Sheila Jackson Lee表示,尽快获取所涉案件的后续信息非常重要,因为“这是一组危险的情况,现已公开宣布,我们需要知道有多少受到影响。”

由美国法院行政办公室管理的联邦法院系统在2021年1月的一份声明中表示,在SolarWinds事件后,它已经更新了处理高度敏感的法院文件的程序。

声明指出,安全审计发现司法机构的案件管理/电子案件档案系统存在漏洞,“目前正在调查由于这些漏洞而对CM/ECF系统的保密性造成的明显损害。”

参考来源:CyberScoop http://985.so/bwq21

 

(五)黑客组织Guacamaya泄露多家矿业公司超2TB数据

名为Guacamaya的黑客组织8月3日发布了中美洲和南美洲五家公共和私营矿业公司以及两个负责环境监督的公共机构的文件,包括超过2TB的电子邮件和文件,为了揭露该地区的环境破坏。这些材料被发布到一个名为Enlace Hacktivista的网站上,该网站用于记录黑客历史、共享教育资源,并为黑客发布信息、泄密和公报提供空间。

在一份声明中,该组织谴责美国和其他国际政府和公司掠夺该地区资源的行为对环境造成了破坏。“正如我们自己的母亲警告我们的那样,我们真正想要的只是停止这种情况。我们希望他们停止,一劳永逸地停止开采、采矿、污染,以及对支配地位的渴望。”

泄露的信息来自厄瓜多尔国有矿业公司ENAMI、哥伦比亚国家人权署、哥伦比亚新格拉纳达能源公司、智利矿业公司Quiborax、委内瑞拉石油公司Oryx、巴西矿业公司Tejucana、危地马拉环境与自然事物部。

Guacamaya在今年3月发布了一家瑞士投资集团的矿业子公司的4.2TB的黑客材料,其中详细描述了这些公司在危地马拉的明显污染情况。这些文件被全球65名记者大规模报道,不仅揭露了污染证据,还揭露了操纵地方政府和监视记者的行为。

在那次黑客攻击之后,Guacamaya组织发布了一段视频,详细说明了他们如何访问系统并窃取文件和电子邮件。他们还接受了Forbidden Stories的采访,谈论为什么要追捕这些公司,并发表了一系列报道。

参考来源:CyberScoop http://985.so/bw0mr

 

(六)阿尔巴尼亚政府网站遭受伊朗破坏性网络攻击

Mandiant研究人员发现,北约成员国阿尔巴尼亚政府系统最近遭受的网络攻击与伊朗有关。

阿尔巴尼亚政府在7月中旬宣布,由于网络攻击,被迫关闭了一些公共在线服务。Mandiant调查了这起事件,发现了一种新的勒索软件。

Mandiant研究人员在网络攻击发起几天后从阿尔巴尼亚上传到公共恶意软件存储库后发现了该勒索软件,命名为Roadsweep。虽然无法确认攻击中确实使用了勒索软件,但该恶意软件会加密受感染系统上的文件,然后留下勒索信件,表明其目标是阿尔巴尼亚政府。

Mandiant还发现了一个名为HomeLand Justice的网站和Telegram频道,声称对阿尔巴尼亚政府进行了勒索软件攻击。该网站引用了wiper活动,暗示该网站由对阿尔巴尼亚政府不满的公民运营。然而该实体的重点似乎是伊斯兰圣战者组织(MEK),这是一个被美国国务院指定为恐怖组织的伊朗反对派组织。

HomeLand Justice和Roadsweep勒索软件共享了一个相同的横幅,提到了Manëz和Durrës,Manëz是阿尔巴尼亚Durrës县的一个小镇,原定于7月23日至24日举办世界自由伊朗峰会。由于“恐怖袭击威胁”,反对伊朗政府的实体本应举行的活动被推迟。

对Roadsweep勒索软件的分析表明,与至少从2012年就存在的名为Chimneysweep的后门共享代码,并允许其操作员截取屏幕截图、记录击键和窃取文件。在针对波斯语和阿拉伯语的攻击中观察到该恶意软件,包括MEK组织。

在阿尔巴尼亚政府宣布因网络攻击而关闭系统后不久,该国境内有人将Zeroclear擦除恶意软件样本上传到公共恶意软件存储库。虽然无法确认该恶意软件是否用于破坏性行动,但Zeroclear此前曾被与伊朗有关的威胁行为者用于在中东进行破坏性活动。

基于所有这些信息,Mandiant认为伊朗威胁行为者参与了对阿尔巴尼亚政府的袭击。而且由于Roadsweep勒索软件攻击比过去的Chimneysweep操作复杂得多,因此可能是多个威胁组织合作进行了此次行动。

Mandiant研究人员还认为,其他北约成员国可能会成为类似行动的目标。“在伊朗反对派团体会议即将召开的同一周,使用勒索软件针对北约成员国的政府网站和公民服务进行出于政治动机的破坏性行动,这将是与伊朗有关的威胁行为者的厚颜无耻的行动。随着围绕伊朗核协议的谈判继续停滞不前,这一活动表明,伊朗在未来进行网络攻击行动时可能会感到不那么克制。这项活动在短期内对其他北约成员国的公共和私人组织构成了积极威胁。”

参考来源:SecurityWeek http://985.so/b9wmx

 

(七)西班牙研究中心遭受俄罗斯网络攻击

西班牙国家研究委员会(CSIC)上个月遭受了勒索软件攻击,归咎于俄罗斯黑客。

CSIC是西班牙科学与创新部下属的国家科学研究和技术开发机构,其特殊地位在于“拥有自己的资产和财务、职能和管理自主权”。

该机构在8月2日的一份声明中表示,勒索软件攻击发生在7月16日至17日的周末,并于7月18日星期一被发现。在识别出入侵后,网络安全运营中心(COCS)和国家密码中心(CCN)的协议立即被激活。

CSIC遵循该协议,并将其几个研究中心与网络隔离,以控制攻击并防止其传播到未受到直接影响的网段。目前,该机构的大多数中心仍然处于断开状态,且无法使用,因为其中只有略高于25%的中心处于在线状态。

CSIC表示,“迄今为止,刚刚超过四分之一的CSIC中心已经连接到网络,并且在接下来的几天内,将在整个中心网络中恢复。”

CSIC没有披露其系统是否被加密。对该事件的调查仍在进行中,但负责团队没有发现攻击者窃取了敏感或机密信息的迹象。专家指出,网络攻击源自俄罗斯威胁行为者。虽然不完全清楚,但该机构似乎表明,这次攻击是网络犯罪团伙所为。

此次攻击类似于马克斯普朗克研究所或美国国家航空航天局(NASA)等其他研究中心遭受的攻击。马克斯普朗克协会是德国研究机构的非营利性协会,也是世界上最负盛名的协会之一,其数十名科学家是诺贝尔奖获得者。7月,该组织披露其等离子体物理研究所的系统感染了Emotet恶意软件。

2020年,DoppelPaymer勒索软件组织声称攻击了NASA的IT服务提供商和IT承包商DMI。

参考来源:BleepingComputer http://985.so/bw0u6

 

(八)威胁行为者利用新型Woody木马攻击俄罗斯组织

Malwarebytes研究人员发现,一个未知的威胁行为者正在使用一种名为Woody RAT的新远程访问木马针对俄罗斯组织,可远程控制和窃取受感染设备的信息。。攻击者使用利用Follina Windows漏洞CVE-2022-30190的存档文件和Microsoft Office文档来传递恶意软件。攻击者试图以俄罗斯航空航天和国防实体OAK为攻击目标。

Malwarebytes报告表示,“该RAT的最早版本通常被归档成一个zip文件,假装是一个俄罗斯组织的特定文件。当Follina漏洞为世人所知时,威胁行为者转而使用该漏洞来分发有效载荷。”

在利用存档文件的攻击者中,存档通过鱼叉式网络钓鱼电子邮件发送给受害者。anketa_brozhik.doc.zip其中包含Woody Rat可执行文件,以及Anketa_Brozhik.doc.exe和zayavka.zip其中包含伪装成参与selection.doc.exe的应用程序的Woody Rat。

2022年6月7日发现了利用Windows Follina漏洞的攻击,当时研究人员观察到威胁行为者使用名为Памятка.docx的武器化Microsoft Office文档。这份名为“信息安全备忘录”的诱饵文档提供了密码、机密信息等的安全实践。

为了逃避基于网络的监控,Woody RAT恶意软件结合使用RSA-4096和AES-CBC来加密发送到命令和控制服务器的数据。

RAT具有多种后门功能,例如将任意文件写入机器、执行附加恶意软件、捕获屏幕截图、枚举目录、删除文件、以及收集正在运行的进程列表。

对恶意代码的分析表明,该恶意软件内嵌了2个.NET DLL,分别名为WoodySharpExecutor和WoodyPowerSession。WoodySharpExecutor允许恶意软件运行从C2接收的.NET代码,而WoodyPowerSession允许恶意软件执行从C2接收的PowerShell命令和脚本。

一旦创建了命令线程,恶意软件就会使用ProcessHollowing技术将自己从磁盘中删除。

报告表示,“这个非常有能力的RAT是我们追踪的未知威胁行为者。从历史上看,中国的APT组织Tonto以及朝鲜的Konni都以俄罗斯为目标。但是根据我们能够收集到的信息,没有任何可靠的指标可以将此活动归因于特定的威胁行为者。”

参考来源:SecurityAffairs http://985.so/b9bmb

 

(九)Vmware修复严重身份验证绕过漏洞

VMware紧急修复了一个严重身份验证绕过漏洞CVE-2022-31656,影响多个产品中的本地域用户,未经身份验证的攻击者可以利用该漏洞获得管理员权限。

VMware表示,“对UI具有网络访问权限的恶意行为者可能无需进行身份验证即可获得管理访问权限。”

该漏洞的CVSS v3评分为9.8,影响Workspace ONE Access、Identity Manager和vRealize自动化产品。VNG Security的PetrusViet向VMware报告了这个漏洞。

VMware还修复了以下漏洞:CVE-2022-31657 URL注入漏洞、CVE-2022-31658 JDBC注入远程代码执行漏洞、CVE-2022-31659 SQL注入远程代码执行漏洞、CVE-2022-31660本地权限提升漏洞、CVE-2022-31661本地权限提升漏洞、CVE-2022-31662路径遍历漏洞、CVE-2022-31663跨站脚本(XSS)漏洞、CVE-2022-31664本地权限提升漏洞、和CVE-2022-31665 JDBC注入远程代码执行漏洞。

受影响的产品包括:VMware Workspace ONE Access、VMware Workspace ONE访问连接器、VMware身份管理器、VMware Identity Manager连接器、VMware vRealize自动化、VMware云基础、以及vRealize Suite生命周期管理器。

VMware表示,“这些漏洞包括身份验证绕过、远程代码执行和权限提升漏洞。身份验证绕过意味着对Workspace ONE Access、VMware Identity Manager 和vRealize Automation具有网络访问权限的攻击者可以获得管理员访问权限。远程代码执行(RCE)意味着攻击者可以欺骗组件执行未经授权的命令。权限提升意味着具有本地访问权限的攻击者可以成为虚拟设备的root。在本地部署中快速采取措施修补或缓解这些问题非常重要。”

参考来源:SecurityAffairs http://985.so/bw1rs

 

(十)LockBit 3.0利用Windows Defender进行有效负载

SentinelOne研究人员发现,LockBit 3.0勒索软件即服务的附属机构一直在滥用Windows Defender命令行工具,在攻击期间解密和加载Cobalt Strike有效负载。

4月份SentinelOne报告称,在涉及LockBit勒索软件的攻击中,威胁行为者利用名为VMwareXferlogs.exe的合法VMware命令行实用程序来侧载Cobalt Strike有效负载。

在另一次攻击中,攻击者利用了与Windows Defender相关的命令行工具,黑客使用MpCmdRun.exe来解密和加载利用后的Cobalt Strike有效载荷。

攻击最初利用针对VMware Horizon Server实例的Log4Shell漏洞。黑客随后进行了侦察,并试图获得下载和执行利用后有效载荷所需的权限。

SentinelOne表示,“防御者需要警惕一个事实,LockBit勒索软件运营商和附属机构正在探索和利用新颖的living off the land工具,来帮助他们加载Cobalt Strike信标并,规避一些常见的EDR和传统AV检测工具。重要的是,应该仔细审查组织的安全软件以及工具。VMware和Windows Defender等产品在企业中具有很高的普及率,如果允许他们在已安装的安全控制之外运行,则对威胁行为者具有很高的实用性。”

LockBit勒索软件自2019年以来一直存在,可能已被用于攻击数千个组织。网络犯罪分子加密受害者的文件,并窃取有价值的信息,并威胁除非支付赎金,否则将公开这些信息。

LockBit3.0,又名LockBit Black,是最近出现的。LockBit 3.0的泄密网站上目前列出了60多名受害者,网络犯罪分子要求一些受害者支付数百万美元,以换取文件不公开。

LockBit勒索软件运营商声称,作为漏洞和各种其他类型信息的漏洞赏金计划的一部分,将提供高达100万美元的奖金。然而网络安全界对这些说法持怀疑态度。

参考来源:SecurityWeek http://985.so/bwvmb

 

(十一)恶意软件如何欺骗用户和杀毒软件

恶意软件感染设备的主要方法之一是欺骗人们下载和运行恶意文件。为了实现这种欺骗,恶意软件开发者正在使用各种技巧,其中一些技巧包括将恶意软件可执行文件伪装成合法应用程序、使用有效证书签名、或者破坏可信任的站点以将其用作分发站点。

扫描上传文件以查找恶意软件的安全平台VirusTotal表示,其中一些技巧的发生规模比最初想象的要大得多。VirusTotal平台根据每天提交的200万份文件编制了一份报告,包括从2021年1月到2022年7月的统计数据,说明了恶意软件的分布趋势。

通过合法、流行和排名靠前的网站分发恶意软件,威胁行为者可以避开基于IP的阻止列表,享受高可用性,并提供更高级别的信任。VirusTotal检测到250万个可疑文件从Alexa排名前1000的网站中的101个域名下载。

最知名的案例是Discord,已成为恶意软件分发的温床,托管服务和云服务提供商Squarespace和亚马逊也记录了大量恶意软件。

使用从公司窃取的有效证书对恶意软件样本进行签名是逃避主机上的AV检测和安全警告的可靠方法。在2021年1月至2022年4月期间上传到VirusTotal的所有恶意样本中,签名超过一百万,其中87%使用了有效证书。

用于签署提交给VirusTotal的恶意样本的最常见证书颁发机构包括Sectigo、DigiCert、USERTrust和Sage South Africa。

将恶意软件可执行文件伪装成合法、流行的应用程序在2022年呈上升趋势。受害者下载这些文件时认为他们正在获取所需的应用程序,但在运行安装程序时,会用恶意软件感染系统。

被模仿最多的应用程序是Skype、Adobe Acrobat、VLC和7zip。Windows优化程序CCleaner是黑客的主要选择之一,并且其分发量的感染率异常高。

还有将恶意软件隐藏在合法应用程序安装程序中,并在后台运行感染过程,而真正的应用程序在前台执行。这个过程有助于欺骗受害者,还可以避开一些不审查PR资源结构和可执行文件内容的防病毒引擎。

根据VirusTotal的统计数据,这种做法今年似乎也在增加,使用Google Chrome、Malwarebytes、Windows Updates、Zoom、Brave、Firefox、ProtonVPN和Telegram作为诱饵。

在下载软件时,可以使用操作系统的内置应用程序商店,或访问应用程序的官方下载页面。此外,请注意搜索结果中可能排名更高的促销广告,因为它们很容易被欺骗,看起来像合法网站。

下载安装程序后,请务必在执行文件之前对文件执行AV扫描,以确保不是伪装的恶意软件。最后,避免使用torrent站点来破解受版权保护的软件或注册机,因为通常会导致恶意软件感染。

参考来源:BleepingComputer http://985.so/bw11r

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号