CERBER勒索软件传播者正在利用Atlassian Confluence远程代码执行漏洞（CVE-2021-26084）和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)攻击云上主机。     简况 Atlassian Confluence 远程代码执行漏洞（CVE-2021-26084）为8月26日披露的高危漏洞，该漏洞的CVSS 评分为 9.8，是一个对象图导航语言 (ONGL) 注入漏洞，允许未经身份验证的攻击者在 Confluence Server 或Data Center实例上执行任意代码，攻击者利用漏洞可完全控制服务器。     GitLab exiftool远程命令执行漏洞（CVE-2021-22205）同样也是网络黑产疯狂利用的高危漏洞。由于Gitlab某些端点路径无需授权，攻击者可在无需认证的情况下利用图片上传功能执行任意代码，攻击者利用漏洞同样可以完全控制服务器。     Atlassian Confluence 应用广泛，中国占比最高（21.46%）、其次是美国（21.36%）、德国（18.40%），如下图：   受影响的版本包括： Atlassian Confluence Server/Data Center < 6.13.23 6.14.0 <= Atlassian Confluence Server/Data Center < 7.4.11 7.5.0 <= Atlassian Confluence Server/Data Center < 7.11.6 7.12.0 <= Atlassian Confluence Server/Data Center < 7.12.5     CERBER勒索病毒使用CryptoPP加密库对文件进行加密，加密行为极具针对性。本次捕获的利用Confluence远程代码执行漏洞（CVE-2021-26084）攻击的样本，加密路径针对性包含了Confluence 组件下相关文件。另一样本为样本针对性加密Gitlab目录文件。该样本通过GitLab exiftool 远程代码执行漏洞攻击(CVE-2021-22205)传播。攻击者通过不同漏洞投递的勒索样本，加密目录也会伴随着入侵方式做优化。     被加密后的文件将被添加.locked扩展后缀，同时留下名为__$$RECOVERY_README$$__.html的勒索信，要求登陆指定暗网地址购买解密器。

12月7日，谷歌宣布已采取行动破坏了大规模 Glupteba僵尸网络。Glupteba自2011年以来一直活跃，是一种支持区块链的模块化恶意软件，控制着全球超过 100 万台 Windows PC设备，主要针对美国、印度、巴西和东南亚国家，每天增加数千台新的受感染设备。     简况 Glupteba僵尸网络主要通过PPI网络和和从流量分配系统 (TDS) 购买的流量进行分发，可以窃取用户凭据和cookie，在受感染主机上挖矿，或在 Windows 系统和物联网设备上部署代理。     一个伪装成破解软件下载的网页如下，该网页向用户提供了 Glupteba 的变体：     Glupteba僵尸网络使用 HTTPS 在控制服务器和受感染系统之间传送命令和二进制更新。为了增加基础设施的弹性，运营商还使用比特币区块链实施了备份机制。如果主 C2 服务器没有响应，受感染的系统可以从以下比特币钱包地址检索在最新交易中加密的备份域： '1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1' '15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6' '1CUhaTe3AiP9Tdr4B6weedoe9vNsymLiD97'     Glupteba 僵尸网络运营商还提供以下服务：出售对加载了被盗凭证的虚拟机的访问权限 (dont[.]farm)、代理访问权限 (awmproxy)，以及出售信用卡号 (extracard) ，攻击者可以利用这些权限投放恶意广告以及付款欺诈活动。     谷歌还对两名俄罗斯嫌疑人德米特里·斯塔罗维科夫和亚历山大·菲利波夫，以及其他 15 名身份不明的人提出了临时限制令和起诉。谷歌表示，这17 名被告人是操作 Glupteba僵尸网络的攻击者。     总结 目前，谷歌已经终止了大约 6300 万个 Google Docs。这一行动将对Glupteba的运营产生显著的影响。然而，研究人员表示，Glupteba 的运营商可能会尝试使用备份命令和控制机制重新控制僵尸网络。

12月2日，Conti勒索软件团伙攻击了北欧精选酒店（Nordic Choice Hotels），该酒店预订、入住、退房和创建新房间的系统受到了影响。客人的姓名和联系信息（电话、电子邮件），以及有关预订和住宿的信息可能遭到泄露。   简况 Conti于 2019 年 12 月底出现，是一种勒索软件即服务 (RaaS)，通过TrickBot感染进行传播。据悉，该软件由俄罗斯网络犯罪组织 Wizard Spider 控制。今年5月，美国联邦调查局 (FBI) 披露，Conti 勒索软件团伙已经攻击了至少 16 个医疗保健和急救组织。9月，CISA、联邦调查局 (FBI) 和国家安全局 (NSA) 警告称， 针对美国组织的Conti勒索软件攻击数量有所增加 。   此次攻击事件导致酒店员工无法使用管理入住、退房和付款的酒店预订系统。目前该公司只能改用人工服务开展业务。酒店会员目前无法登录会员账户来预订和管理预订，或申请奖励积分，但仍然可以在未登录的情况下预订住宿。系统技术问题警告如下：   总结 目前，酒店暂未收到来自Conti 勒索软件团伙的赎金要求，酒店正与执法部门合作修复网络攻击带来的影响，一些酒店物业可能会继续在入住、退房和预订过程中遇到延迟。

去年11月底，研究人员发现了以“电子税收发票”为主题，传播Lokibot 恶意软件的钓鱼邮件活动。近日，研究人员再次发现了以“家庭税收”为主题，传播Lokibot的恶意电子邮件活动。LokiBot恶意软件仍然在使用社会工程和漏洞利用等可靠的技术作为交付方法。   简况 研究人员发现了以家庭税收为主题的恶意电子邮件。邮件中的发件人地址伪造成韩国国税局的地址，为hometaxadmin@hometax.go[.]kr或hometaxadmin@hometax[.]kr，邮件中包含电子税务发票相关材料。电子邮件如下图：     研究人员去年曾观察到类似的使用税收为诱饵的电子邮件活动，在去年的样本中，电子邮件的附件是包含恶意宏的PPT文件。在最新的活动中，邮件传播压缩的恶意可执行文件，文件名包含电子邮件中写入的发布日期，压缩文件如下图：     文件中的附件为 Lokibot 恶意软件。文件都是 VB 和 NSIS 的形式，表明攻击者似乎正在开发各种形式的恶意软件。运行该文件后，用户的Web 浏览器、电子邮件客户端和FTP 客户端等程序的信息会被发送到hxxp://63.250.34[.]171/tickets.php地址。     此前，研究人员曾披露LokiBot恶意软件的交付机制，包括： PDF：使用Open Action Object； DOCX：使用框架集机制； RTF：利用CVE-2017-11882漏洞； Internet Explorer：利用 CVE-2016-0189漏洞； Excel：使用嵌入的 OLE 对象和 Word 文档（进一步利用旧漏洞）。     总结 在此次恶意邮件活动中，攻击者使用的地址与国税局的实际地址相似，因此用户很难判断是钓鱼邮件。由于伪装成国家税务局的恶意软件不断传播，因此用户必须格外小心，使用反恶意软件程序扫描这些文件，并且尽量避免运行电子邮件的附件。

随着新冠变异病株Omicron的出现，研究人员已经观察到了利用Omicron病毒作为诱饵的网络钓鱼活动。攻击者通过伪造的大学登录门户，窃取用户的 Office 365 凭据。此次活动的主要目标为北美大学。   简况 攻击始于一封电子邮件，邮件声称包含有关新的 Omicron 变体、COVID-19 测试结果、其他测试要求或类别更改的信息。邮件敦促收件人点击附加的 HTM 文件，用户点击附件后会被定向到伪造的大学登录门户的页面。邮件如下：   样本中的URL使用了与大学类似的命名模式，包含.edu域。例如，针对阿肯色州立大学学生的网络钓鱼攻击中，使用的 URL 为 sso2[.]astate[.]edu[.]boring[.]cf。登录页面如下图：   在某些活动中，攻击者还创建了欺骗 DUO MFA 页面的登录页面，试图窃取多因素身份验证(MFA)凭证。受害者在伪造的登录页面上输入凭据后，会被要求输入手机短信收到的验证码，攻击者可以使用验证码来接管帐户。   目前，攻击者的目标大学包括中央密苏里大学、范德比尔特大学、阿肯色州立大学、普渡大学、奥本大学、西弗吉尼亚大学和威斯康星大学奥什科什分校。   总结 由于在假期期间和假期过后往返校园的学生、教职员工和其他工作人员需要提供新冠测试报告，研究人员估计以Omicron 变体为诱饵的钓鱼活动很可能会在接下来的两个月内增加。

研究人员观察到一项恶意活动，攻击者提供流行软件的虚假安装程序作为诱饵，试图诱骗用户在其系统上执行恶意软件。研究人员表示，恶意软件的开发者很可能是化名为“Magnat”的攻击者。此次活动始于2018年底，主要针对加拿大、美国、澳大利亚、意大利、西班牙、挪威等国。   简况 攻击者建立了一个广告活动，提供软件安装程序的下载链接。安装程序有许多不同的文件名。虚假安装程序一旦运行，就会在受害者的系统上执行执行恶意加载程序，最终的有效载荷包括三个恶意软件： Redline密码窃取程序：可用于收集系统上的所有可用凭据。 MagnatBackdoor后门：配置系统以进行隐秘 RDP 访问，添加一个新用户并设置计划任务以定期 ping C2，并在收到指示时创建一个出站 ssh 隧道转发 RDP服务。 MagnatExtension：chrome 扩展的安装程序，包含多项信息窃取功能，如键盘记录和截屏。   攻击者的时间线如下：   此次恶意活动的攻击重点是加拿大（超过 50% 的感染发生在加拿大），其次是美国和澳大利亚，意大利、西班牙和挪威也出现了几次感染。受害者的地理分布如下：   Redline是一种相对常见的恶意软件，可窃取受感染系统上发现的所有用户名和密码。   MagnatBackdoor是一个基于 AutoIt 的安装程序，配置受感染的 Windows 系统以启用隐蔽的远程桌面协议 (RDP) 访问，并在出站 SSH 隧道上转发 RDP 服务端口。后门的功能如下图：   MagnatExtension由可执行文件提供，可以准备系统和安装扩展。该扩展程序由攻击者提供，并非来自 Chrome 扩展程序商店。该扩展程序本身由三个文件组成：一个清单文件、一个图标和一个 background.js 文件。扩展代码使用多种技术进行混淆，例如函数重定向、加密替换数组、函数包装器和字符串编码。此扩展程序的功能与银行木马程序非常相似，定期连接到 C2 以接收更新的配置设置。然后使用这些设置来控制允许从浏览器窃取数据的功能的行为，例如表单抓取器、键盘记录器和屏幕截图器等。MagnatExtension的功能如下图：   总结 此次攻击活动提供了三个恶意软件，包括两个以前未记录的新家族MagnatBackdoor 和 MagnatExtension。攻击者的动机似乎是通过出售窃取的凭证、欺诈性交易和对系统的远程桌面访问来获取经济利益。