目录
【恶意软件威胁情报】
PurpleFox利用基于WPAD的中间人攻击针对印度尼西亚用户
Mirai僵尸网络变种利用未公开的KGUARD DVR固件漏洞进行传播
Warzone RAT:利用公式编辑器进行投放的窃密木马
窃取Facebook账户密码的Android应用程序
【热点事件威胁情报】
REvil组织利用Kaseya软件平台发起大规模供应链勒索攻击,约200家企业遭受影响
黑客攻击支持特朗普的社交媒体应用程序,泄露近90,000名平台用户数据
【政府行业威胁情报】
黑客入侵了波兰国会议员的电子邮件帐户
【保险行业威胁情报】
美国保险巨头AJG在遭勒索攻击后报告数据泄露
【水务行业威胁情报】
美国水务公司WSSC Water遭到勒索软件攻击
【攻击活动威胁情报】
攻击者使用Bandook木马攻击委内瑞拉企业网络
以全球能源部门为目标的网络钓鱼活动
【高级威胁情报】
Lazarus组织利用招聘信息针对特定国家的定向攻击事件
SideCopy APT组织以印度政府和军方为目标的攻击活动
WildPressure APT组织针对能源行业发起攻击
Bitter APT组织针对我国军工、贸易和能源等领域的攻击活动
疑似Kimsuky针对韩国军工行业的攻击
【恶意软件威胁情报】
PurpleFox利用基于WPAD的中间人攻击针对印度尼西亚用户
PurpleFox是一款著名的漏洞利用工具包,研究人员发现攻击者利用PurpleFox针对印度尼西亚用户进行攻击。攻击者在Cloudflare注册了域名“wpad.id”,然后加载WPAD服务的URL,这将返回一个利用CVE-2019-1367的JavaScript版本,其中包含自定义Shellcode,Shellcode从URL下载下一阶段以投放有效载荷。攻击者利用WPAD域感染用户,使用这种技术,可以实现零点击攻击,因为在系统启动时访问WPAD URL,无需任何用户输入。除了印度尼西亚顶级域之外,研究人员暂时没有发现其他受到影响的国家顶级域。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2152
Mirai僵尸网络变种利用未公开的KGUARD DVR固件漏洞进行传播
研究人员检测到一个 Mirai 变体样本,并将这个新型僵尸网络命名为“mirai_ptea”。该僵尸网络利用 KGUARD DVR 中的一个未公开漏洞来传播和执行分布式拒绝服务 (DDoS) 攻击,目前至少有大约 3,000 台在线设备可能受到该漏洞的影响。Mirai 僵尸网络自2016年出现以来,一直与一系列大规模 DDoS 攻击有关,其中包括2016 年 10 月针对DNS服务提供商Dyn的攻击,此次攻击导致欧洲和北美的用户无法访问主要的互联网平台和服务。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2146
Warzone RAT:利用公式编辑器进行投放的窃密木马
研究人员发现攻击者正试图通过诱饵文档诱骗用户以投送Warzone RAT,Warzone RAT是APT组织Confucius攻击活动中使用的恶意软件。Warzone RAT利用了微软方程式编辑器组件中一个非常古老但很流行的漏洞“CVE-2017-11882”。感染链以“.docx”诱饵文档开始,文档打开后,将下载RTF漏洞利用程序(CVE-2017-11882),该漏洞被触发后,muka.dll将被释放并执行,Muka.dll用于下载Warzone RAT。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2153
窃取Facebook账户密码的Android应用程序
研究人员在 Google Play 上发现了9个窃取 Facebook 用户登录名和密码的恶意应用程序。这些木马以无害软件的形式进行传播,安装次数超过 5,856,010 次。这些应用程序功能齐全,很可能会削弱潜在受害者的警惕性。系统会提示用户登录Facebook帐户以访问所有应用程序的功能,并屏蔽应用程序内广告。因为某些应用程序中确实存在广告,因此Android用户很容易被引导,登录个人账户。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2149
【热点事件威胁情报】
REvil组织利用Kaseya软件平台发起大规模供应链勒索攻击,约200家企业遭受影响
2021年7月2日,REvil勒索软件团伙(又名Sodinokibi)利用Kaseya公司的VSA产品漏洞,进行大规模的供应链勒索攻击。该勒索组织利用Kaseya VSA产品漏洞,分发带有恶意软件的Kaseya VSA 软件更新,该更新被替换成勒索软件,可以加密受感染系统上的文件。REvil组织在网站上表示, 可以通过支付7000万美元的比特币获取通用解密器对所有受害者解密。目前至少有 8 家托管服务提供商 (MSP) 遭到入侵,200 多家客户已受影响。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2145
黑客攻击支持特朗普的社交媒体应用程序,泄露近90,000名平台用户数据
上周日,美国前总统唐纳德·特朗普的高级顾问杰森·米勒,宣布一个新的社交媒体平台GETTR正式开始运营,但在在推出社交媒体平台的当天,该平台就遭到了黑客的攻击。GETTR是一个支持特朗普的新社交媒体平台,由前特朗普顾问杰森米勒创建,作为Twitter 的替代品。该平台可在谷歌和苹果应用商店上下载,目前,在GETTR上注册的用户已经超过 50万人。杰森·米勒表示,该攻击在几分钟内就被发现并解决,黑客所能做的就是更改一些用户名。但黑客表示,已经使用不安全的API抓取了近90,000名GETTR用户的私人信息,并在黑客论坛上公开了该数据。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2160
【政府行业威胁情报】
黑客入侵了波兰国会议员的电子邮件帐户
波兰反情报部门近日表示,最近大约有十几名议会成员的电子邮件账户遭到黑客攻击,影响了现任和前任政府官员的100多个电子邮件账户。波兰反情报部门表示,有证据表明黑客与俄罗斯的秘密机构之间存在联系,疑似攻击是由UNC1151 的黑客实施的。
该机构发布声明表示,被泄露的账户中有总理高级助手 Michal Dworczyk 的个人账户,遭到黑客攻击的议会成员几乎来自议会的每一个反对派组织,受到影响个人已经得到通知,并接受了网络安全培训。该声明没有指明被黑客攻击的议员的身份。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2156
【保险行业威胁情报】
美国保险巨头AJG在遭勒索攻击后报告数据泄露
全球保险经纪和风险管理公司Arthur J. Gallagher (AJG) 在 9 月下旬发生勒索软件攻击后,正在向可能受影响的个人邮寄违规通知信。根据提供给缅因州总检察长办公室的信息,有7376人可能受到影响。该公司表示,在2020年6月3日至2020年9月26日期间,未知方访问或获取了公司网络中包含的某些数据。尽管AJG在宣布勒索软件攻击的SEC文件中没有说明攻击者是否访问或窃取了任何客户或员工数据,但随后的调查发现,该公司存储在系统上的多种敏感信息被泄露。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2147
【水务行业威胁情报】
美国水务公司WSSC Water遭到勒索软件攻击
美国水务公司WSSC Water于5月24日遭到了勒索软件攻击,攻击目标是该公司非必要业务系统的部分网络。尽管该公司在攻击发生后的几个小时内就删除了恶意软件并锁定了威胁,但攻击者还是访问了其内部文件。WSSC Water已向联邦调查局、马里兰州总检查局和地方国土安全局报告了此次攻击事件。就目前的情况看,攻击事件似乎并未影响到当地供水,调查仍在进行当中。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2151
【攻击活动威胁情报】
攻击者使用Bandook木马攻击委内瑞拉企业网络
2021 年,研究人员检测到一项针对西班牙语国家企业网络的持续活动,其中 90% 的活动发生在委内瑞拉。在将此活动中使用的恶意软件与之前记录的内容进行比较时,研究人员发现了Bandook恶意软件的新功能和变化 。另外,这项针对委内瑞拉的活动至少自2015年就开始活跃,但并没有任何记录。鉴于活动中所使用的恶意软件和目标语言环境,研究人员将此活动命名为 Bandidos。研究人员并没有确定这个恶意活动的具体垂直目标。主要受害者是委内瑞拉的企业网络;有些在制造公司,有些在建筑、医疗保健、软件服务,甚至零售业。鉴于恶意软件的功能和泄露的信息种类,Bandidos 的主要目的似乎是监视受害者。 Bandidos更类似于网络犯罪行动,而不是APT 活动。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2162
以全球能源部门为目标的网络钓鱼活动
研究人员发现了一个复杂的攻击活动,这场攻击活动的目标是能源、石油和天然气和电子行业的大型国际公司,以及石油和天然气供应商。一旦成功入侵,攻击者可以向与目标组织的员工发送定制的鱼叉式钓鱼电子邮件,以传播恶意软件。电子邮件的内容和发件人看起来像是从相关行业的另一家公司发送的,提供业务合作伙伴关系或机会。该活动至少在一年前开始,由于该活动涉及多个常见的恶意软件系列,因此很难将其归因于已知的威胁组织。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2167
【高级威胁情报】
Lazarus组织利用招聘信息针对特定国家的定向攻击事件
研究人员观察到了Lazarus组织的最新攻击活动,这场活动可能针对美国和欧洲的工程求职者和从事机密工程工作的员工。攻击活动中的文件用波音和BAE系统公司的工作机会吸引受害者,试图假冒新的国防承包商和工程公司,如空中客车、通用汽车和莱茵金属公司等。所有这些文件都包含宏恶意软件,这些宏恶意软件在活动中被开发和改进。恶意文档的核心技术是相同的,并且攻击者试图减少潜在的检测并增加宏的功能。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2157
SideCopy APT组织以印度政府和军方为目标的攻击活动
研究人员发现,SideCopy组织针对印度实体展开的恶意软件活动有所增加。SideCopy是一个 APT 组织,它模仿 Sidewinder APT 的感染链来传播恶意软件。SideCopy组织使用类似于 APT36的主题和策略,使用与印度政府和国防军相关的主题针对印度政府人员进行鱼叉式网络钓鱼电子邮件攻击。研究人员发现了多个感染链,该小组既使用了自定义远程访问木马RAT,如CetaRAT、MargulasRAT、ReverseRAT、ActionRAT,也使用了商用 RAT,如njRAT、Lillith RAT和Epicenter RAT。在成功感染受害者后,SideCopy 组织会部署具有各种功能的 RAT 插件,如文件枚举器、凭据窃取器和键盘记录器。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2159
WildPressure APT组织针对能源行业发起攻击
最近,研究人员发现,WildPressure APT组织在针对能源行业的最新攻击活动中添加了 macOS 恶意软件变体,同时招募受感染的 WordPress 网站进行攻击。升级后的恶意软件工具集可攻击 Windows 和 macOS 操作系统,这象征着WildPressure组织攻击战略的升级和攻击范围的扩大。WildPressure 于 2020 年 3 月首次曝光,研究人员在一场针对中东工业相关实体的恶意活动首次发现该组织。在该活动中,WildPressure组织分发了一个名为“Milum”的全功能 C++ 木马,从而远程控制受感染设备。据信,攻击活动最早于 2019 年 8 月开始,受害者主要来自中东的石油和天然气行业。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2161
Bitter APT组织针对我国军工、贸易和能源等领域的攻击活动
研究人员发现一批针对我国军工、贸易和能源等领域的网络攻击活动。攻击手法存在伪造身份向目标发送鱼叉邮件,投递包含恶意CHM文件的附件诱导受害者运行。经归因分析发现,这批活动具备APT组织“苦象”的历史特征,且在针对目标、恶意代码和网络资产等层面均存在关联,属于Bitter组织在2021年上半年的典型攻击模式。 Bitter 组织又名蔓灵花、苦象,其在攻击活动中使用了多个功能插件,其中多数用于在目标机器上进行窃密作业,包括asms和sthost窃密插件。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2154
疑似Kimsuky针对韩国军工行业的攻击
研究人员发现疑似Kimsuky针对韩国军工行业的攻击。 Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由Kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术组织等进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件等。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2164
安恒威胁情报中心介绍
平台地址:https://ti.dbappsecurity.com.cn/
安恒威胁情报中心汇聚了海量威胁情报,支持多点渠道数据输入,支持自动情报数据产出,能实现网络安全的高效赋能。平台使用者可通过自定义策略进行威胁监控、威胁狩猎,并对输入数据进行自动化的生产加工,同时支持人工分析团队对情报进行复核整理。
来源:freebuf.com 2021-07-10 10:48:18 by: 安恒威胁情报中心
请登录后发表评论
注册