勒索软件出现新变体、Log4Shell漏洞成黑客攻击窗口｜12月13日全球网络安全热点

安全资讯报告

帮助Kelihos恶意软件逃避检测的俄罗斯人被判4年监禁

今年早些时候在美国因参与网络犯罪活动而被定罪的一名俄罗斯公民被判处四年徒刑。

41岁的奥列格·科什金(Oleg Koshkin)因一项共谋实施计算机欺诈和滥用以及一项计算机欺诈和滥用罪被判处48个月监禁。

Koshkin一直住在爱沙尼亚，经营旨在帮助恶意软件逃避反恶意软件产品检测的在线服务。他的网站Crypt4U.com和fud.bz提供了所谓的加密服务，恶意软件开发人员可以使用这些服务来加密他们的作品，以增加他们不被发现的机会。

虽然这些服务被用于各种类型的恶意软件，但美国对这名男子的诉讼集中在Kelihos僵尸网络的创建者如何使用他的服务上，据说该僵尸网络已经在全球范围内诱捕了大约200,000台设备。

Kelihos曾一度是最大的僵尸网络之一，在2017年被关闭。

新闻来源：

https://www.securityweek.com/russian-who-helped-kelihos-malware-evade-detection-sentenced-4-years-prison

QBot：恶意软件攻击的基石

在过去几年中，Qbot（Qakbot或QuakBot）已发展成为广泛传播的Windows恶意软件，允许威胁行为者窃取银行凭据和Windows域凭据，传播到其他计算机，并提供对勒索软件团伙的远程访问。

受害者通常通过其他恶意软件感染或通过使用各种诱饵（包括假发票、付款和银行信息、扫描文档或发票）的网络钓鱼活动感染Qbot。

已知使用Qbot破坏企业网络的勒索软件团伙包括REvil、Egregor、ProLock、PwndLocker和MegaCortex。QBot威胁始于带有恶意链接、附件或嵌入图像的电子邮件。最近看到这种类型的内部回复链攻击成功地针对宜家，安全解决方案难以跟踪和阻止。QBot攻击者最新的做法是在电子邮件正文中的嵌入图像，其中包含恶意URL。

发送电子邮件后，Qbot攻击链使用以下步骤：

• 启用宏-通过电子邮件传送的每个Qbot活动都利用恶意宏来传送Qbot有效负载。

• Qakbot交付-Qbot通常作为带有htm或.dat扩展名的可执行文件下载，然后重命名为不存在的文件扩展名，如.waGic或.wac。

• 进程注入-Qbot负载然后作为DLL注入其他进程，最常见的是MSRA.exe和Mobsync.exe。

• 创建计划任务，以便在每次重新启动Windows和用户登录设备时启动Qbot。

• 凭据和浏览器数据窃取-从Windows凭据管理器中窃取凭据，并从已安装的Web浏览器中窃取浏览器历史记录、密码和cookie。

• 电子邮件泄露-从受感染设备窃取电子邮件，攻击者将其用于针对员工和业务合作伙伴的假冒回复钓鱼邮件。

• 其他有效载荷、横向移动和勒索软件。

新闻来源：

https://www.bleepingcomputer.com/news/security/microsoft-these-are-the-building-blocks-of-qbot-malware-attacks/

BlackCat：在野外发现一种新的基于Rust的勒索软件

关于在野外发现的第一个基于Rust语言的勒索软件菌株的详细信息已经浮出水面，BlackCat类似于之前出现的许多其他变体，作为勒索软件即服务(RaaS)运行，其中核心开发人员招募附属机构来破坏公司环境并加密文件，如果公司拒绝支付赎金，攻击者就威胁泄露文件。

从2021年12月4日开始，BlackCat已在XSS和Exploit等俄语地下市场上以用户名“alphv”和RAMP论坛上的“赎金”做广告，以招募其他参与者，包括渗透测试人员，并加入他们自称“下一代勒索软件”的团伙。

据称，勒索软件攻击者还运营着五个洋葱域，其中三个用作该组织的谈判站点，其余被归类为“Alphv”公共泄密站点和私人泄密站点。

新闻来源：

https://thehackernews.com/2021/12/blackcat-new-rust-based-ransomware.html

安全漏洞威胁

黑客在全球利用Log4j漏洞推送恶意软件

威胁参与者和研究人员正在扫描和利用Log4j2漏洞(该漏洞被命名为Log4Shell)来部署恶意软件或查找易受攻击的服务器。

Log4j2漏洞允许攻击者通过搜索或将浏览器的用户代理更改为特殊字符串，在易受攻击的服务器上远程执行命令。Apache官方发布了Log4j2.15.0来解决漏洞，但攻击者已经开始扫描和利用易受攻击的服务器来窃取数据、安装恶意软件或接管服务器。

安全厂商已经发现攻击者利用漏洞部署挖矿木马、僵尸网络、以及Cobalt Strike的破解版本（Cobalt Strike是一个合法的渗透测试工具包，可以实现强大的远程控制管理功能）

新闻来源：

https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/