目录
【恶意软件威胁情报】
XLoader窃密程序现已支持攻击macOS系统,售价仅49美元
新型恶意软件Mosaic Loader正在全球范围内传播
Toddler新型银行木马针对欧洲的攻击活动激增
FickerStealer:用Rust语言编写的特殊窃密程序
【热点事件威胁情报】
以色列NSO集团使用“pegasus”间谍软件监听全球5万名政要记者
【东奥会专题】
东京奥运会购票人信息遭泄露
以东京奥运会作为主题,针对日本PC的Wiper恶意软件
【勒索专题】
美国Campbell律师事务所遭勒索软件攻击
英格兰北部车站数以百计的触摸屏售票机遭勒索软件攻击
研究人员揭示Mespinoza勒索软件的攻击策略
【能源行业威胁情报】
黑客在暗网上售卖石油巨头沙特阿美公司的1TB数据,标价500万美元
【高级威胁情报】
StrongPity组织首次在攻击活动中部署 Android 恶意软件
研究人员发现COBALT GYPSY组织与针对Exchange 服务器的攻击有关
腾云蛇组织(APT-C-61)针对南亚地区的攻击活动
疑似南亚APT组织Donot针对阿富汗地区的攻击活动分析
TA2721组织通过西班牙语诱饵文件传播Bandook远控木马
Lazarus组织针对加密货币行业的社工攻击
【恶意软件威胁情报】
XLoader窃密程序现已支持攻击macOS系统,售价仅49美元
研究人员发现,网络犯罪分子对一款针对Windows系统的著名恶意软件“Formbook”进行了编码修改,将其改造成了一款新型的信息窃取型恶意软件——XLoader。XLoader原本只感染Windows平台,但现在XLoader新变种不仅能够攻击Windows系统,还可以针对macOS系统执行信息窃取任务,窃取用户的浏览器、计算机登录密码等信息。XLoader目前在一个暗网地下论坛中,被不同的卖家以“僵尸网络加载服务” ( MaaS )的形式出售。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2223
新型恶意软件Mosaic Loader正在全球范围内传播
7月20日,研究人员披露了一个名为“Mosaic Loader”的新的恶意软件家族,这个恶意软件正在全球范围内传播,充当全方位服务的恶意软件传送平台,通过远程访问木马 (RAT)、Facebook cookie 窃取程序和其他威胁感染受害者。Mosaic Loader恶意软件的目标是寻找盗版软件和游戏的用户,软件通过搜索结果中的付费广告传播,伪装成破解的安装程序到达目标系统,下载恶意软件sprayer,从 C2 服务器获取 URL 列表,并从接收到的链接下载有效负载。研究人员之所以将Mosaic Loader如此命名,是因为该软件使用一种独特的混淆技术,可以将小代码块打乱,从而形成复杂的结构。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2213
Toddler新型银行木马针对欧洲的攻击活动激增
研究人员表示,新型Android银行木马Toddler(也称TeaBot/Anatsa)针对欧洲的攻击活动正在急速增加。Toddler木马于今年1月份首次被披露,主要针对西班牙,但其恶意软件样本中也包含了针对西班牙语、英语、意大利语、德语、法语和荷兰语用户的文本内容,该恶意软件仍在积极开发中,目前为止已攻击了60家欧洲银行的客户,感染了超过7632台设备。在渗透到攻击者使用的命令和控制 (C2) 服务器后,研究人员还发现了 1000 多组被盗银行凭据。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2196
FickerStealer:用Rust语言编写的特殊窃密程序
研究人员发布了对窃密软件FickerStealer的分析报告。FickerStealer是一种用Rust编写的信息窃取程序,于2020 年 8 月首次在野出现,恶意软件用于从 WinSCP、Discord、Google Chrome、Electrum 等应用程序中窃取敏感信息,包括登录凭据、信用卡信息、加密货币钱包和浏览器信息。此外,FickerStealer还可以充当File Grabber从受感染计算机收集其他文件,并且可以充当下载器来下载和执行多个第二阶段恶意软件。FickerStealer由于其诱人的价格以及特别的信息窃取方法迅速在地下论坛上的网络犯罪分子中流行起来。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2222
【热点事件威胁情报】
以色列NSO集团使用“pegasus”间谍软件监听全球5万名政要记者
7月18日,英国《卫报》和法国《世界报》等17家媒体共同披露,一款名为“pegasus”的间谍软件在全球至少50多个国家被用来监听人权活动人士、记者和律师,涉及人数可能高达5万人。“pegasus”间谍软件由总部位于以色列的网络科技公司NSO集团开发,是一种具有高度侵入性的工具。该软件能够侵入苹果和安卓操作系统,提取短信、照片和电子邮件,对通话进行录音,并在使用者不知情的情况下远程启动手机的话筒和摄像头。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2206
【东奥会专题】
东京奥运会购票人信息遭泄露
7月21日,一名政府官员称,东京奥运会门票购票人的登录ID和密码已在互联网上泄露。该官员称购票人的ID和密码暴露了购票人的姓名、地址、银行帐户等信息。泄密网站上泄露的内容还包括残奥会购票人的姓名、地址和银行账户信息,以及一个奥运会志愿者门户网站。这位政府官员表示,奥运会组织机构已展开调查,且声称已经采取措施防止此类信息进一步传播。该官员同时表示,此次数据泄漏的规模并不大,但没有透露具体有多少账户被泄露。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2214
以东京奥运会作为主题,针对日本PC的Wiper恶意软件
7月21日,在举办2021年东京奥运会开幕式的两天前,一家日本安全公司发现了一个以奥运会为主题的恶意软件样本,样本中包含在受感染系统上擦除文件的功能。 此次发现的Wiper 恶意软件仅搜索位于用户个人 Windows 文件夹中的某些特定的文件类型,包括Microsoft Office文件、 TXT、LOG 和 CSV 文件等,这些文件通常会存储日志、数据库或密码信息。此外,wiper 还针对使用Ichitaro 日语文字处理器创建的文件 ,因此研究人员确定这个wiper恶意软件是专门针对日本的计算机(通常安装 Ichitaro 应用程序)而创建的。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2220
【勒索专题】
美国Campbell律师事务所遭勒索软件攻击
2021年2月,美国律师事务所Campbell Conroy&O’Neil,PC (Campbell) 遭到勒索软件攻击,可能导致客户的数据泄露。Campbell公司为数十家财富500强和全球500强公司提供法律咨询,客户名单包括来自不同行业的知名公司。7月16日,Campbell发布声明称,2021年2月27日,Campbell公司发现勒索软件阻止了公司对系统上某些文件的访问,并且攻击者访问了某些客户的信息。在发现攻击后,Campbell聘请了第三方取证调查员对事件进行调查,并将安全漏洞通知了联邦调查局。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2197
英格兰北部车站数以百计的触摸屏售票机遭勒索软件攻击
近日,英格兰北部的车站的触摸屏售票机遭勒索软件攻击,导致整个网络中的数百台自助售票机离线。两个月前,该地区的 420 个车站安装了 600 台由Northern运营的触摸屏售票机。Northern 的一位发言人表示,该公司的自助售票机在上周遇到了技术问题被迫离线 ,供应商正在调查离线的原因,但有迹象表明售票机服务受到勒索软件的网络攻击。Northern公司建议客户在售票机仍处于中断状态时,使用手机应用程序或在网站和售票处买票。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2209
研究人员揭示Mespinoza勒索软件的攻击策略
近日,研究人员追踪了Mespinoza勒索软件团伙的基础设施,并揭示了该组织的方法和策略。Mespinoza 勒索软件由一个多产的组织运营,该团伙攻击的主要目标为美国出版机构、房地产、工业制造和教育机构,赎金要求高达 160 万美元,最高支付记录高达 470,000 美元。联邦调查局最近发布了一份关于该组织(也称为 PYSA)的警报,因为该组织曾对美国和英国的 K-12 学校、学院、大学甚至神学院进行疯狂的网络攻击。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2199
【能源行业威胁情报】
黑客在暗网上售卖石油巨头沙特阿美公司的1TB数据,标价500万美元
近日,一个自称ZeroX的网络犯罪集团窃取了沙特石油和天然气巨头沙特阿美公司1TB 的敏感数据,并在暗网上以500万美元的可议价对外出售,具体数据包括近1.5万名员工的个人信息、多个炼油厂内部系统项目文件、客户名单与合同等。沙特石油公司是全球最大的公共石油和天然气公司之一,拥有超过66000名员工,年收入近2300亿美元。沙特阿美公司表示,黑客组织要求该公司支付5000万美元赎金以赎回被窃的数据。沙特阿美将此次数据泄露归因于第三方承包商,并表示事件未对公司的日常运营造成影响。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2221
【高级威胁情报】
StrongPity组织首次在攻击活动中部署 Android 恶意软件
近日,研究人员对发布在叙利亚电子政务网站上的Android恶意软件样本进行了调查,发现该样本可能归因于StrongPity APT 组织。样本中的木马代码嵌入技术,与StrongPity组织为 Windows 平台编写的恶意代码的木马功能具有类似的模式。这是该组织首次被公开观察到在攻击活动中部署Android恶意软件。研究人员根据确定的测试样本发现,攻击者尝试了多种技术来引诱目标受害者,如重新打包的应用程序、受感染的网站和流行应用程序的伪造变体。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2217
研究人员发现COBALT GYPSY组织与针对Exchange 服务器的攻击有关
研究人员一直在调查一个长期运行的入侵活动,在 2021 年 4 月的一次威胁追踪活动中,研究人员在客户环境中的多个主机上发现了 web shell,随后分析发现了SharePoint 服务器曾遭到入侵,本地 Exchange 服务器也曾遭到入侵。研究人员分析称这两组活动是不相关的,并且是由不同的威胁组织发起的。经过分析,研究人员怀疑对Exchange服务器的入侵活动与伊朗威胁组织COBALT GYPSY有关。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2218
腾云蛇组织(APT-C-61)针对南亚地区的攻击活动
研究人员自2020年起就发现了南亚地区的境外APT组织活动,最早活跃可追溯到2020年1月,至今还很活跃。该APT组织的攻击活动主要针对巴基斯坦、孟加拉等国家的国家机构、军工、科研、国防等重要领域。与南亚地区中活跃的蔓灵花、响尾蛇等APT组织暂无关联,属于新的攻击组织。该APT组织通过鱼叉邮件配合社会工程学手段进行渗透,向目标设备传播恶意程序,暗中控制目标设备,持续窃取设备上的敏感文件。由于其使用的C2、载荷下发、窃取的数据存储等均依赖于云服务,且使用的木马为python语言编写,因此研究人员将其命名为腾云蛇,编号为APT-C-61。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2201
疑似南亚APT组织Donot针对阿富汗地区的攻击活动分析
近日,研究人员发现,南亚地区 APT组织近期攻击活动频发。其利用恶意RTF模板注入漏洞利用样本对周边国家地区开展了多次攻击活动。在此次攻击活动中,攻击者利用此前披露的Donot组织类似攻击手法,疑似针对阿富汗地区。攻击样本所加载的Payload均采用多层解密,最后阶段的恶意代码BaneChant(MMCore)后门为内存加载,增加了样本的查杀难度。经过分析,研究人员认为此次攻击或应归属到Donot组织,但不排除与Patchwork组织存在联系。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2202
TA2721组织通过西班牙语诱饵文件传播Bandook远控木马
研究人员发现了一个高度活跃的新威胁组织TA2721,研究人员也将其称为 Caliente Bandits。该组织使用西班牙语诱饵来分发一种不常用的远程访问木马Bandook,攻击针对从金融到娱乐的多个行业,主要影响这些行业中会说西班牙语的个人。研究人员发现,TA2721 组织自4月以来每周都会传播带有Bandook的电子邮件,但活动的规模较小,每次攻击活动发送的信息少于300条。攻击者倾向于在几周或几个月的时间内使用相同的命令和控制(C2)基础设施,研究人员在过去六个月中只观察到了三个不同的C2域。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2208
Lazarus组织针对加密货币行业的社工攻击
近期研究人员捕获到了Lazarus组织针对加密货币相关行业的社工攻击活动,该组织在寻找到攻击目标信息后,疑似通过即时通讯软件主动和目标取得联系,并发送修改过的开源PDF软件(Secure PDF Viewer.exe)和携带加密payload的恶意PDF文件(Android Hardware Wallet.pdf)。单独打开”Secure PDF Viewer.exe”无恶意行为,”Android Hardware Wallet.pdf”无法用常规软件打开,所以该组织会利用社工的方式,诱使攻击目标使用exe文件查看pdf文件,最终解密出后台恶意程序执行,达到远控和窃取信息的目的。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2211
安恒威胁情报中心介绍
平台地址:https://ti.dbappsecurity.com.cn/
安恒威胁情报中心汇聚了海量威胁情报,支持多点渠道数据输入,支持自动情报数据产出,能实现网络安全的高效赋能。平台使用者可通过自定义策略进行威胁监控、威胁狩猎,并对输入数据进行自动化的生产加工,同时支持人工分析团队对情报进行复核整理。
来源:freebuf.com 2021-07-23 16:26:10 by: 安恒威胁情报中心
请登录后发表评论
注册