美国通信安全委员会(ACSC)提醒各组织和人民,注意小心利用Windows BlueKeep漏洞向加密货币开采者发动的网络攻击。
“澳大利亚信号局的澳大利亚网络安全中心(ACSC)及其州和地区合作伙伴,正在继续回应被称为Emotet的广泛恶意软件活动,同时回应黑客利用BlueKeep漏洞开采加密货币的报道。”ACSC发表的咨询意见写道。
发出此警报之前,Microsoft 发出了更多的BlueKeep攻击,这些攻击可能会带来破坏性的有效负载,并敦促各组织修补其系统。
该澳大利亚机构还警告说,在过去几个月里,Emotet 活动袭击了澳大利亚,对各组织和政府部门都构成了重大威胁。
尽管警报已降级至4级-“‘Lean Forward”,但网络事件管理安排(CIMA)仍将保持活动状态(CIMA 4级要求通过增加国家层面的监测、分析和战略协调与参与,采取预防性方法)。
10月底,为响应Emotet活动,CIMA被激活为3级。
ACSC于2019年10月25日宣布激活澳大利亚的CIMA至3级-“Alert ”,以应对Emotet恶意软件对易受攻击系统的广泛利用。这种恶意软件造成的威胁需要在国家层面立即采取行动,以确保从关键基础设施提供商到小型企业的澳大利亚组织都能收到缓解建议,以保护其网络。
ACSC负责人Rachel Noble PSM表示:“在野外有两个与网络安全威胁有关的问题。尽管上周Emotet感染数量有所下降,但人们和企业仍应保持警惕。”
“我们还关注网络犯罪分子利用BlueKeep漏洞来访问计算机并在用户不知情的情况下控制计算机的报道。”
最近,研究人员提醒道,利用BlueKeep漏洞发起的第一次大规模黑客攻击活动旨在在受感染的系统上安装加密货币矿工。受欢迎的专家Kevin Beaumont观察了一些EternalPot RDP蜜罐在受到攻击后崩溃。
受欢迎的专家Marcus Hutchins分析了Beaumont共享的数据,并确认蜜罐系统受到攻击者的攻击,攻击者利用BlueKeep漏洞交付了一个Monero采矿机。
该漏洞被跟踪为CVE-2019-0708,会影响Windows远程桌面服务(RDS),Microsoft已在2019年5月的补丁周二更新中解决了该漏洞。BlueKeep是一个可蠕虫的漏洞,恶意软件作者可以利用它来创建具有WannaCry功能的恶意代码 。
如Microsoft所述,此漏洞可能被具有可攻击功能的恶意软件利用,它可能在没有用户交互的情况下被利用,从而使恶意软件以不受控制的方式传播到目标网络。
ACSC还警告称,Emotet威胁是一种自2014年以来一直活跃的银行特洛伊木马。
2019年,自4月初,Trend Micro的研究人员发现了一个恶意软件活动,该活动发布了一个新的Emotet特洛伊木马变种,危害了设备。自将其用作Proxy C2代理服务器以来,安全专家没有发现任何与Emotet相关的活动。Talos的专家发现,2019年4月,Emotet仅在8.5%的感染尝试中使用劫持电子邮件对话。现在情况已经改变了,最新的活动发现,Emotet近四分之一的外发邮件中出现了被盗的电子邮件线程。
这一威胁是在9月份的一个活跃的垃圾邮件分发活动。来自Malwarebytes的研究人员发现,该木马开始大量发送垃圾邮件,而垃圾邮件最初针对的是德国、波兰和意大利以及美国的用户。该活动继续针对奥地利、瑞士、西班牙、英国和美国的用户。
研究人员观察到,发送的数十万条消息只是分发工作的一部分。
这项活动最显著的特点是重复使用被盗的电子邮件内容,诱骗收件人打开附件或点击用于获取和执行Emotet的武器化Word文档的链接。
Noble还说:“虽然我们已经帮助许多组织减轻了当前形式的Emotet的影响,但就像大多数形式的恶意软件和勒索软件一样,随着网络犯罪分子试图逃避侦查和法律,Emotet可能会继续演变。”
诺布尔表示:“我再次提醒所有澳大利亚人对Emotet、BlueKeep和其他形式的病毒或漏洞保持警惕。威胁是真实存在的,但你可以采取一些措施来应对。”
ACSC还提供有关Emotet的技术建议,以使各组织能够采取必要的对策应对威胁。
