微软去年安全业务收入150亿美元、新勒索软件以威联通设备为目标｜1月27日全球网络安全热点

安全资讯报告

新的DeadBolt勒索软件以QNAP设备为目标

一个新的DeadBolt勒索软件组织正在使用他们声称的设备软件中的零日漏洞对全球QNAP（威联通）NAS设备进行加密。

攻击于今天1月25日开始，QNAP设备突然发现其文件已加密，并且文件名附加了.deadbolt文件扩展名。

QNAP设备的登录页面并没有在设备上的每个文件夹中创建赎金记录，而是被劫持以显示一个屏幕，显示“警告：您的文件已被DeadBolt锁定”，攻击者要求受害者向每个指定的比特币地址支付0.03比特币（约1,100美元）。

DeadBolt勒索软件攻击仅影响可通过Internet访问的NAS设备。攻击者声称，愿意向QNAP出售所有受影响的受害者解密文件密钥和0day信息，只要QNAP支付50个比特币（约合185万美元）。

新闻来源：

https://www.bleepingcomputer.com/news/security/new-deadbolt-ransomware-targets-qnap-devices-asks-50-btc-for-master-key/

Chaes银行木马劫持了带有恶意扩展程序的Chrome

一项涉及800多个受感染的WordPress网站的大规模活动正在传播针对巴西电子银行用户凭据的银行木马。

该活动中使用的特洛伊木马被称为"Chaes"，根据Avast的研究人员的说法，自2021年底以来，它一直在积极传播。

尽管该安全公司通知了巴西CERT，但该活动仍在继续，数百个网站仍然受到恶意脚本的攻击，这些脚本会推送恶意软件。

当受害者访问其中一个受感染的网站时，他们会收到一个弹出窗口，要求他们安装伪造的Java运行时应用程序。含有恶意代码的有害Chrome扩展程序将安装在受害者的系统上。研究人员表示，他们观察到在受害者的设备上安装了五种不同的恶意Chrome浏览器扩展程序。

新闻来源：

https://www.bleepingcomputer.com/news/security/chaes-banking-trojan-hijacks-chrome-with-malicious-extensions/

Linux版本的LockBit勒索软件以VMware ESXi服务器为目标

LockBit是最新的勒索软件团伙，其Linux加密器已被发现专注于VMware ESXi虚拟机的加密。企业越来越多地迁移到虚拟机，以节省计算机资源、整合服务器并简化备份。

因此，勒索软件团伙已经发展了他们的策略，以创建Linux加密器，专门针对流行的VMware vSphere和ESXi虚拟化平台。虽然ESXi不是严格意义上的Linux，但它确实具有许多共同的特征，包括运行ELF64 Linux可执行文件的能力。

十月份，LockBit开始在RAMP黑客论坛上推广其勒索软件即服务操作的新功能，包括针对VMware ESXi虚拟机的新Linux加密器。

在一份新的报告中，趋势科技的研究人员分析了勒索软件团伙的Linux加密器，并解释了它如何用于针对VMWare ESXi和vCenter安装。与其他Linux加密器一样，LockBits提供了一个命令行界面，允许附属公司启用和禁用各种功能以定制其攻击。

LockBit linux加密器广泛使用VMware ESXI和VMware vCenter命令行实用程序来检查正在运行的虚拟机并干净地关闭它们，以便在加密时不会损坏它们。

新闻来源：

https://www.bleepingcomputer.com/news/security/linux-version-of-lockbit-ransomware-targets-vmware-esxi-servers/

微软去年安全业务收入150亿美元

美国微软公司财报显示其第二财季盈利和营收均好于预期。该股最初在盘后交易中下跌，但在该公司发布的销售预测也超出预期后转为上涨。

据一份声明称，微软营收较上年同期增长20%，而去年同期增长了近22%。上一季度微软的净收入增长了21%达到18.7.7亿美元。

微软的智能云部门，包括Azure公有云、GitHub和Windows Server等服务器产品，创造了183.3亿美元的收入。这相当于25.5%的增长率，略高于根据Street Account调查的分析师对18.3亿美元的共识。

来自Azure和其它云服务的收入增长46%，结束了连续四个季度增长在50%以上的趋势，预期为46%。Street Account调查的分析师此前预计Azure增长率为45.3%。

Na della说该公司在2021年创造了150亿美元的安全收入，比上一年增长了近45%。2020年，安防收入增长40%以上。

新闻来源：

https://www.cnbc.com/2022/01/25/microsoft-msft-earnings-q2-2022.html

安全漏洞威胁

苹果为网络摄像头，用户帐户黑客攻击漏洞支付了10万美元

一位安全研究人员声称，由于报告了一系列Safari和macOS漏洞，这些漏洞可能被利用来劫持用户的在线帐户和网络摄像头，因此收到了Apple的赏金。

2020年，研究人员瑞安·皮克伦（Ryan Pickren）从苹果公司获得了75，000美元的收入，因为几个Safari漏洞可能被利用来劫持iOS和macOS设备的摄像头和麦克风。利用此漏洞需要诱骗目标用户访问恶意网站。

在2021年，他继续关注Apple软件的安全性，并确定了另一个可能产生更大影响的漏洞利用链。

在最近的一篇博客文章中，Pickren表示，最新的漏洞利用链有四个不同的漏洞。其中两个被分配了CVE标识符-CVE-2021-30861和CVE-2021-30975-而另外两个被认为是设计缺陷而不是实际的漏洞。

触发漏洞需要受害者单击恶意网站上的"打开"按钮。如果成功执行了该漏洞，攻击者不仅可以访问受害者的网络摄像头，还可以访问他们在Safari中另一个选项卡中访问的每个网站上的帐户。这包括Gmail，iCloud，Facebook和PayPal帐户。

该漏洞利用链涉及Safari中的通用跨站点脚本（UXSS）漏洞，滥用名为ShareBear的默认iCloud共享应用程序，以及绕过Gatekeeper检查。

受害者将通过ShareBear被欺骗，允许攻击者植入一个文件，他们以后可以在不需要任何用户交互的情况下执行该文件。即使最初植入的文件不是恶意的，攻击者也可以在受害者不知情的情况下更改文件的内容和扩展名。

当ShareBear用于共享文件时，用户只需单击一次"打开"按钮。然后，可以随时远程执行该文件，而无需再次获得用户的许可。

此攻击中利用的漏洞已于2021年7月中旬报告给Apple。苹果在2021年秋季修补了Pickren发现的一些安全漏洞，其余问题在2022年初得到解决。这位研究人员表示，苹果公司为他的发现总共奖励了他10万美元。

新闻来源：

https://www.securityweek.com/apple-pays-out-100000-user-account-webcam-hacking-exploit

SonicWall客户被警告漏洞攻击

黑客已经开始瞄准最近修补的漏洞，该漏洞影响了SonicWall的安全移动访问（SMA）100系列设备，虽然迄今为止观察到的攻击似乎并不成功，但这种情况可能很快就会改变。

有问题的安全漏洞是CVE-2021-20038，这是一个关键的远程执行代码漏洞，SonicWall在12月修补了该漏洞以及影响SMA100系列产品的其他几个问题。

CVE-2021-20038是一种基于堆栈的缓冲区溢出，可允许攻击者完全控制运行SMA装置的设备或虚拟机。

Rapid7的研究人员发现了这个漏洞，本月早些时候披露了细节，其他人至少发布了一个概念验证（PoC）漏洞。

NCCGroup首席安全顾问Rich Warren本周警告说，他们已经开始看到利用CVE-2021-20038的疯狂尝试。

新闻来源：

https://www.securityweek.com/sonicwall-customers-warned-possible-attacks-exploiting-recent-vulnerability