安全资讯报告

臭名昭著的迷宫（Maze）勒索软件停止运营并发布了解密密钥

在过去的三年中，Maze的工作人员使用其勒索软件诱捕了数十名受害者。现在，突然间，Maze似乎已经放弃了。他们已经发布了主解密密钥并销毁了恶意软件的大部分代码。

迷宫公告当然有可能对该组织的受害者有所帮助。访问主密钥允许安全研究人员开发解密器，受害者可以使用这些解密器免费恢复他们的文件。

除了Maze，还发布了Sekhmet和Egregor勒索软件的密钥。Egregor由该集团于2020年9月推出，即Maze业务关闭前一个月。Sekhmet于2020年春天首次出现。

研究人员指出，对于那些希望取回文件的人来说，包含密钥更像是公告中一个有趣的部分，而不是一个突破。谁会把被勒索软件破坏的文件长期保存，并期待攻击者公开密钥后修复呢/p>

新闻来源：

https://www.forbes.com/sites/leemathews/2022/02/12/notorious-maze-ransomware-gang-closes-up-shop-and-releases-decryption-keys/

网络犯罪分子瞄准可穿戴设备

近年来，运动手表和计步器等可穿戴设备越来越受欢迎。安全专家在用于远程患者监护的可穿戴设备的最广泛使用的数据传输协议中发现了30多个漏洞。在33个漏洞中，有18个在2021年很严重。漏洞的数量正在增长，因为这比上一年增加了10个。其中许多漏洞仍未修补。

其中一些漏洞允许网络犯罪分子拦截从设备在线发送的数据。医疗保健数字化持续的大流行导致医疗保健部门的快速数字化。随着医院和医护人员超负荷工作以及许多人在家隔离，组织被迫重新考虑提供患者护理的方式。

自2014年以来，已在MQTT协议中发现了90个漏洞，包括严重漏洞，其中许多漏洞至今仍未修补。所有这些漏洞都使患者面临数据被盗的风险。此外，可穿戴设备会跟踪您的健康数据以及您的位置和活动。这不仅打开了数据窃取的可能性，而且还有潜在的跟踪。

新闻来源：

https://executive-people.nl/691656/cybercriminelen-richten-pijlen-op-wearables.html

黑客在印度活动家和律师的设备上植入虚假数字证据

一个以前不为人知的黑客组织与针对印度各地的活动家、学者和律师的针对性攻击有关，试图植入“有罪的数字证据”。

网络安全公司SentinelOne将入侵归咎于它追踪的一个名为“ModifiedElephant”的组织，这是一个难以捉摸的威胁行为者，至少从2012年开始运作，其活动与印度国家利益密切相关。

研究人员说：“ModifiedElephant通过使用商业上可用的远程访问木马(RAT)进行操作，并且与商业监控行业有潜在的联系。威胁行为者使用带有恶意文档的鱼叉式网络钓鱼来传递恶意软件，例如NetWire、DarkComet和简单的键盘记录程序。”

ModifiedElephant的主要目标是促进对目标个人的长期监视，最终为受害者的受损系统提供“证据”，目的是陷害和监禁易受攻击的对手。

研究人员说：“网络钓鱼电子邮件采用多种方法来获得合法性的外观。包括具有转发历史的虚假正文内容，其中包含长长的收件人列表，带有许多看似虚假帐户的原始电子邮件收件人列表，或者只是使用新电子邮件或诱饵文件多次重新发送他们的恶意软件。”

同样使用网络钓鱼电子邮件分发的还有一种针对Android的身份不明的商品木马，攻击者可以利用该木马拦截和管理SMS和呼叫数据、擦除或解锁设备、执行网络请求以及远程管理受感染的设备。SentinelOne将其描述为“理想的低成本移动监控工具包”。

新闻来源：

https://thehackernews.com/2022/02/hackers-planted-fake-digital-evidence.html

微软正在加大从内存中窃取Windows密码的难度

默认情况下，Microsoft启用了Microsoft Defender“减少攻击面”安全规则，以阻止黑客尝试从LSASS进程中窃取Windows凭据。

当威胁参与者破坏网络时，他们会尝试通过窃取凭据或利用漏洞来横向传播到其他设备。窃取Windows凭据的最常见方法之一是在受感染设备上获得管理员权限，然后转储在Windows中运行的本地安全授权服务器服务(LSASS)进程的内存。

此内存转储包含已登录计算机的用户的Windows凭据的NTLM哈希值，可以暴力破解明文密码或用于Pass-the-Hash攻击以登录其他设备。

为了防止威胁参与者滥用LSASS内存转储，Microsoft引入了阻止访问LSASS进程的安全功能。其中一项安全功能是Credential Guard，它将LSASS进程隔离在一个虚拟化容器中，以防止其他进程访问它。

作为一种在不引起Credential Guard引入的冲突的情况下缓解Windows凭据盗窃的方法，Microsoft很快将默认启用Microsoft Defender攻击面减少(ASR)规则。规则“阻止从Windows本地安全机构子系统窃取凭据”可防止进程打开LSASS进程并转储其内存，即使它具有管理权限。

新闻来源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-is-making-it-harder-to-steal-windows-passwords-from-memory/

安全漏洞威胁

微软修复让黑客绕过防病毒扫描的Defender漏洞

Microsoft最近解决了Windows Defender防病毒软件中的一个漏洞，该漏洞允许攻击者在不触发Defender的恶意软件检测引擎的情况下植入和执行恶意负载。

这个安全漏洞影响了最新的Windows 10版本，威胁攻击者至少从2014年就可以滥用它。

该漏洞是由注册表项的安全设置松懈造成的。此项包含从Microsoft Defender扫描中排除的位置（文件、文件夹、扩展名或进程）列表。

可以利用该弱点，因为“所有人”组可以访问注册表项。这使得本地用户（无论他们的权限如何）可以通过命令行通过查询Windows注册表来访问它。

在找出哪些文件夹已添加到防病毒排除列表后，攻击者可以从受感染的Windows系统上的排除文件夹中传递和执行恶意软件，而不必担心其恶意负载会被拦截。

通过利用这一弱点，可以从排除的文件夹中执行Conti勒索软件样本，并加密Windows系统，而不会出现Microsoft Defender的任何警告或检测迹象。

SentinelOne威胁研究员Antonio Cocomazzi证实，在安装2022年2月补丁星期二Windows更新后，该漏洞将无法再用于Windows1020H2系统。一些用户在安装2022年2月补丁星期二Windows累积更新后看到了新的权限更改。Windows高级安全设置的Defender排除权限确实已经更新，“所有人”组已从注册表项的权限中删除。

新闻来源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-defender-flaw-letting-hackers-bypass-antivirus-scans/

CISA必修漏洞清单新增15个漏洞

网络安全和基础设施安全局(CISA)已将15个新漏洞添加到其已知已利用漏洞目录中，基于有证据表明威胁参与者正在积极利用下表中列出的漏洞。

CISA表示，这些类型的漏洞是各种恶意网络参与者的常见攻击媒介，并对联邦企业构成重大风险。

超过一半的漏洞被归类为远程代码执行(RCE)漏洞，这是最危险的漏洞类型之一，因为它使攻击者能够在被黑客攻击的站点上运行几乎任何代码。

新闻来源：

https://www.securitymagazine.com/articles/97071-cisa-adds-15-new-vulnerabilities-to-exploit-catalog

53%的医院物联网设备存在安全漏洞

根据Cynerio的2022年医疗保健物联网设备安全状况报告，医院环境中超过一半的物联网(IoT)设备被发现存在严重的网络安全漏洞。

医疗保健环境中的安全漏洞不仅会给医院数据带来风险，还会给患者和依赖物联网设备的人带来风险。根据安全报告，三分之一的床边物联网医疗设备存在严重的网络风险。此外，79%的医院物联网设备至少每月使用一次，这缩短了修补漏洞的可用时间。

该报告概述了医院物联网设备面临的主要网络漏洞，以及面临最高级别安全风险的设备，这些设备由基于NIST网络安全框架的框架衡量。高风险级别的前五名设备包括：

• 静脉输液泵

• Internet协议语音(VoIP)电话

• 超声波

• 配药器

• 网络摄像机

新闻来源：

https://www.securitymagazine.com/articles/97065-53-of-hospital-iot-devices-have-security-vulnerabilities

CISA表示攻击中利用了“HiveNightmare”Windows漏洞

美国网络安全和基础设施安全局(CISA)在其已知被利用漏洞列表中添加了16个新的CVE，其中包括联邦机构需要在两周内修补的Windows漏洞。

CISA周四在其“已知已利用漏洞目录”中添加的15个漏洞中的大多数都是旧漏洞——它们在2014年、2015年、2016年、2017年、2018年和2020年被披露。它们影响Windows、Jenkins、Apache Struts和ActiveMQ、Oracle的WebLogic、Microsoft Office、D-Link路由器和Apple的OSX操作系统。

第16个漏洞是苹果本周在iOS和macOS中修补的WebKit零日漏洞，周五被添加到列表中。

周四添加的最新漏洞是CVE-2021-36934，这是Microsoft于2021年8月修补的Windows本地权限提升漏洞。这家科技巨头最初于2021年7月发布了解决方法和缓解措施，当时该问题被披露。

该漏洞名为HiveNightmare和SeriousSam，可以让低权限的本地用户获得SYSTEM权限。网络安全专家在披露时警告说，由于该漏洞很容易被利用，因此可能构成严重风险。甚至在微软发布补丁之前，该漏洞的技术细节和概念验证(PoC)漏洞利用就已公开。

最近似乎没有任何关于积极利用CVE-2021–36934的公开报告。然而，CISA最近向SecurityWeek证实，它知道目录中包含的每个缺陷都会受到现实世界的攻击，即使在某些情况下似乎没有任何关于恶意利用的公开报告。该机构表示，它没有公开提供有关剥削的细节。

新闻来源：

https://www.securityweek.com/cisa-says-hivenightmare-windows-vulnerability-exploited-attacks

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树首页概览22084 人正在系统学习中

来源：腾讯安全