安全威胁情报周报(2021.06.12-06.18) – 作者:Threatbook

【金融威胁情报】

金融软件公司 Intuit 的 TurboTax 账户被黑,致使数据泄露攻击

Tag:TurboTax,金融,账户接管,数据泄露

外媒Bleeping computer 于近日披露金融软件公司 Intuit 遭受账户接管攻击,其 TurboTax 客户的个人和财务信息遭受泄露。Intuit 在本月早些时候向受影响的客户发送通知信息,表示此次数据泄露事件不是系统性数据泄露。攻击者利用从其他来源(非Intuit来源)获取的凭据(账户和密码)来访问TurboTax 账户,获取包含上一年纳税申报表或正在进行的当前纳税申报表中的信息,例如姓名、社会安全号码、地址、出生日期、驾驶执照号码、财务信息(例如:工资和扣除额)以及纳税申报表中包含的其他个人的信息。Intuit 研究人员在发现攻击后暂时禁用了被入侵的 TurboTax 账户,并积极采取措施保护客户的账户安全。账户停用的用户需拨打电话联系客户服务部门,并在 Intuit 客服的帮助下重新完成激活账户的身份验证流程。

来源:https://www.bleepingcomputer.com/news/security/intuit-notifies-customers-of-compromised-turbotax-accounts/

微步点评

  1. TurboTax 是一个由 Intuit 公司制作的“用于准备美国所得税申报表的软件包”。Turbotax在同类服务的供应市场占有领导地位。TurboTax 是由 Chipsoft 的 Michael A. Chipman 于1984年开发的,并于1993年出售给 Intuit 。
  2. 此次攻击事件并不是攻击者第一次入侵 TurboTax 用户账户窃取财务和个人信息。TurboTax 在2014年/2015年/2019年成为其他三件账户接管的攻击目标。在这几次攻击事件后,Intuit 为受影响的客户提供一年免费的身份保护、信用监控和 Experian IdentityWorks 身份恢复服务。
  3. Intuit表示:网络犯罪分子利用从其他在线服务数据泄露中收集到的用户凭证进行账户接管攻击,账户被盗是账户接管攻击的一部分,这些攻击是用户在多个在线服务上重用相同的登录凭据的结果。

犯罪分子通过邮寄修改过的 Ledger 设备窃取加密货币

Tag:Ledger,加密货币

外媒 BleepingComputer 称诈骗者正在向最近一次数据泄露事件中暴露的 Ledger 客户发送伪造的替换设备来窃取加密货币钱包。由于加密货币价格上涨以及用于保护加密基金的硬件钱包的普及,Ledger成为了诈骗者的热门目标。Reddit 上的一篇帖子中显示 Ledger 用户分享了一个狡猾的骗局。用户收到了一个伪装成 Ledger Nano X 设备的假设备和一封信件,设备采用了真实的外观包装(塑封包装的 Ledger Nano X 盒子),随附的信件解释由于信息泄露,所以发送新设备替换现有设备。虽然信件内容存在语法和拼写错误,但由于数据泄露事件为发送新设备提供了具有说服力的解释。随附的说明还告诉用户如何将钱包转移到新设备,在用户输入恢复短语后,它被发送给攻击者,攻击者通过它转移受害者的钱包来窃取加密货币资金。用户还在 Reddit 上分享了 Ledger 印刷电路板的图片,可以清晰的看到该设备已经被修改,并且添加了闪存驱动器,该行为疑似是为传播恶意软件。

1624609089_60d591413ffb3cfc10b26.png!small?1624609089898

来源:https://www.bleepingcomputer.com/news/cryptocurrency/criminals-are-mailing-altered-ledger-devices-to-steal-cryptocurrency/

伊朗黑客入侵非洲塞拉利昂商业银行

Tag:银行,亲伊朗,反美,非洲

伊朗简报声称来自伊朗的黑客组织入侵了非洲塞拉利昂商业银行网站和美国联邦储备图书馆项目网站(FDLP),在这些网站上存放了亲伊朗的信息和图片。谷歌上搜索塞拉利昂商业银行的网站网页显示为“H4ck3D IRANIAN HACKER”,美国联邦托存图书馆计划网站的页面被篡改为美国总统特朗普的血腥形象以及用波斯语和英语写的一些关于殉难的苏莱曼尼的信息。美国网络安全和基础设施安全局的发言人表示联邦托存图书馆计划的网站遭到了“亲伊朗、反美”黑客的破坏,网站已经下线,美国网络安全和基础设施安全局 (CISA) 正在与美国联邦储备图书馆项目(FDLP )及其他政府合作伙伴合作密切关注此事,目前尚未确定是伊朗国家赞助黑客组织的行为。报道表示在此次攻击事件发生之际,伊朗革命卫队 Qasem Soleimani 在美国于 1 月 2 日在一次袭击中被暗杀后,美国和伊朗之间的紧张局势加剧,伊朗发誓要对暗杀进行报复,暗指潜在的袭击除了攻击美国的盟友之外,还针对整个中东地区的美国资产和利益。美国国务卿随后针对此次攻击事件表示伊朗对美国的一种可以想象的报复可能是网络攻击,目前尚不清楚黑客是否与伊朗有官方立场或关系。

来源:https://iranbriefing.net/iranian-hackers-deface-websites-of-african-bank-us-government-library/

微软365 Defender 研究人员发现并阻止了大规模 BEC 攻击活动

Tag:BEC攻击,金融,钓鱼邮件

微软研究人员于最近发现多起针对托管在 Web 服务中大型商业电子邮件(BEC)的攻击活动,通过网络钓鱼攻击邮箱,添加转发规则访问有关金融交易的电子邮件。攻击者向目标发送带有典型语音邮件诱饵和 HTML 附件的网络钓鱼电子邮件,诱使用户在恶意的登录钓鱼页面输入密码信息,从而窃取凭证信息。窃取的凭据和邮箱被盗用的状态都存储在本地  MySQL  数据库中。攻击者通过凭证网络钓鱼获得对邮箱的访问权限,然后通过添加电子邮件转发规则将金融主题的电子邮件重定向到攻击者控制的电子邮件地址 [email protected][email protected] 。攻击者还添加了从邮箱中删除转发电子邮件的规则,以保持隐蔽。微软研究人员分析表明此次攻击活动得到了强大的云基础设施的支持,并表示攻击者在虚拟机上利用C语言编写的应用程序“EmailRuler”,它使用 ChromeDriver 自动操作受感染的邮箱。

1624609161_60d591896462931632285.png!small?1624609161884

来源:https://www.microsoft.com/security/blog/2021/06/14/behind-the-scenes-of-business-email-compromise-using-cross-domain-threat-data-to-disrupt-a-large-bec-infrastructure/

【政府威胁情报】

印度政府官员成为恶意网络链接攻击的目标

Tag:恶意链接,印度政府,疫苗

SecureReading 媒体于近日报道多位印度政府官员成为黑客使用恶意网络链接攻击的目标。攻击者通过 WhatsApp 、短信和电子邮件等媒介向目标发送恶意链接,更新疫苗状态为诱饵内容,诱使目标点击恶意链接,点击该链接后会将受害者重定向到类似于官方政府网站(“mygov.in”)的“@gov.in”网站,要求受害者在虚假页面上输入他们的官方电子邮件和密码。一些官员甚至接到伪装成陆军医院的来电,攻击者通过电话告知官员通过 WhatsApp 的链接上更新疫苗接种状态。报道中还提到,官员们被警告不要点击这种恶意链接,因为这是一种企图访问官方电子邮件的信件的网络钓鱼活动。

1624609237_60d591d5bc660a8c177e5.png!small?1624609238262

来源:https://securereading.com/malicious-web-link-targets-indian-government-officials/

能源威胁情报】

美国核武器开发合作商 Sol Oriens 遭受勒索软件攻击分析

Tag :核武器,勒索攻击,REvil

2021年6月11日,据国外媒体 threatpost 发布文章宣称美国能源部 (DOE) 的承包商同时也是美国国家核安全局 (NNSA) 核武器开发合作商的 Sol Oriens 公司遭受到网络攻击,微步情报局研究人员随即对此次勒索软件攻击进行了分析。截至目前,微步情报局已掌握 Revil 勒索相关情报,微步在线相关产品均已支持 REvil 勒索软件检测与告警。研究人员对此次攻击事件的受害者、勒索软件进行了详细的分析,还从入侵手法(漏洞利用、RDP暴力破解、水坑攻击等),攻击工具(PSEXESVC 、Sodinokibi  病毒、 IcedID 、 CobaltStrike 、 UACBypass 、内存转存工具等)、处置建议等角度对本次安全事件进行梳理。微步情报局提示此次攻击事件值得引起所有企业的重视,并非大型企业才是勒索软件的目标,作为许多大型企业的承包商、合作商一样面临被攻击的危险,如果一旦失陷,极有可能波及到上级合作商。而在前段时间发生的美国燃油*管道公司 Colonial Pipeline 被勒索攻击事件和此次美国核武器开发合作商 Sol Oriens 公司被勒索攻击事件也说明了,网络安全既是国家安全,希望所有企业能够重视,避免此类事件的发生。

如果您想查看原报告,可在“微步在线研究响应中心”公众号查看。

1624609297_60d5921169dd03b7b540b.png!small?1624609297814

来源:https://mp.weixin.qq.com/s/Yciv_NorC5VYXbtpEBalbQ

美国最大的丙烷制造商披露数据泄露

Tag:丙烷,网络钓鱼,凭据窃取,数据泄露,美国

美国最大的丙烷供应商 AmeriGas 披露了一起数据泄露事件,该事件持续了8秒,但影响了 123 名员工。此次数据泄露起源于一家负责向 AmeriGas 提供运输部 (DOT) 合规服务的供应商 JJ Keller。5月10日,JJ Keller 在与公司电子邮件帐户关联的系统上检测到可疑活动。供应商调查发现攻击者使用网络钓鱼电子邮件入侵了JJ Keller 的一名员工账户,窃取了凭证。攻击者在这短暂的接入 JJ Keller 系统的期间,攻击者可以访问被盗员工账户的文件。JJ Keller 在重置员工的帐户凭据后,立即开展了取证活动确定此次攻击影响的全部范围。JJ Keller 于5月21日通知美国丙烷供应商AmeriGas 发生数据泄露,这次 8 秒的泄露事件中暴露了攻击者可以查看的文件中的 123 名 AmeriGas 员工的记录。据 JJ Keller 称,此次泄露信息可能包括123 名 AmeriGas 员工的信息,还包括Lab ID、社会安全号码、驾驶执照号码和出生日期等。截至目前,JJ Keller 仍然表示没有任何迹象表明员工的信息被复制或滥用。

来源:https://www.documentcloud.org/documents/20890963-ameri-notif-1-march

微步点评

1、AmeriGas 在美国 50 个州为超过 200 万客户提供服务,并拥有 2,500 多个分销点。

2、AmeriGas 此次数据泄露事件是美国燃气公司发生的第二次数据泄露事件。2021年3月,AmeriGas 披露了一起数据泄露未遂的事件,其中一名公司客户服务代理因可能滥用客户信用卡信息而被解雇。

《能源领域 5G 应用实施方案》实施通知

Tag:5G,能源,基础设施,能力建设

为贯彻落实党中央、国务院关于加快推动 5G 应用的相关部署要求,拓展能源领域 5G 应用场景,探索可复制、易推广的 5G 应用新模式、新业态,支撑能源产业高质量发展。国家发展改革委、国家能源局、中央网信办、工业和信息化部于近日联合印发《能源领域5G应用实施方案》。方案基于面向智能电厂、智能电网、智能煤矿、智能油气、综合能源等场景来进一步拓展能源领域 5G 应用场景;基于研制一批关键共性技术、一批场景配套专用技术和产品、研究建立能源领域 5G 应用技术标准体系、推动能源领域 5G 应用技术测试验证、支持建设 5G 应用相关技术创新平台等技术来加快能源领域 5G 专用技术研发;基于推进基础资源共建共享、构建 5G 应用安全保障体系来加大相关基础设施和安全保障能力建设。

来源:http://www.cac.gov.cn/2021-06/11/c_1624994151789241.htm

【工控威胁情报】

ThrougTek P2P 供应链漏洞可导致数以万计的联网摄像头被监听

Tag :ThroughTek,P2P,摄像机,数据泄露

Nozomi Networks 于6月15日披露了一个物联网安全研究中新的安全摄像头漏洞CVE-2021-32934,Nozomi Networks 研究人员向 ThroughTek 报告了该漏洞信息。此漏洞影响ThroughTek 公司的软件组件,攻击者可以利用此漏洞访问音频和视频及其他敏感信息,数以万计的联网摄像机存在被监听的风险。此次漏洞影响1. 3.1.10 以下的所有版本,带有 nossl 标签的 SDK 版本,不使用 AuthKey 进行 IOTC 连接的设备固件,使用 AVAPI 模块而不启用 DTLS 机制的设备固件,使用 P2PTunnel 或 RDT 模块的设备固件。ThroughTek 软件组件被安全摄像头和智能设备供应商广泛使用。他们的工具被整合到数以百万计的连接设备中,从 IP 摄像头到婴儿和宠物监控摄像头,以及机器人和电池设备。它也是多个消费级安全摄像头和物联网设备原始设备制造商供应链的组成部分。 Nozomi Networks 报告漏洞的消息促使 CISA 发布新的 ICS公告,并发布了相关缓解措施。

来源:https://www.nozominetworks.com/blog/new-iot-security-risk-throughtek-p2p-supply-chain-vulnerability/

微步点评:

  1. ThroughTek Co.Ltd 在2008年台湾*台北市成立,是物联网云服务平台解决方案提供商,一直致力于设备连接技术和云服务平台的开发。公司早期主要专注于开发用户友好的点对点(P2P)连接技术,主要应用于消费级视频监控产品。然而,随着物联网的兴起,对日益多样化的硬件产品之间的软件连接解决方案的需求也相应增加。由于 ThroughTek 在软硬件集成方面的丰富经验,公司于2012年正式转为软件公司。
  2. 微步情报局建议您采取防御措施,将利用此漏洞的风险降至最低:

尽量减少所有控制系统设备的网络暴露,并确保不能从外部网络访问;

定位防火墙后面的控制系统网络和远程设备,并将它们与业务网络隔离。

使用安全方法进行远程访问,例如使用虚拟专用网络 (VPN);

增强安全意识: 认识到VPN 可能存在漏洞应及时将版本更新到可用的最新版本,并且意识到 VPN 的安全性取决于其连接的设备。

施耐德 PowerLogic 设备被曝存在诸多漏洞

Tag:PowerLogic ,通信网关,严重漏洞

Dragos 的首席工业控制漏洞分析师 Jake Baines 向施奈德报告了在 EGX 设备中发现的标识为 CVE-2021-22763、CVE-2021-22764、CVE-2021-22765、CVE-2021-22766、CVE-2021-22767、 CVE-2021-22768的漏洞。施耐德于本月早些时候通知客户,其 PowerLogic EGX100 和 EGX300 通信网关受到六个漏洞的影响,这些漏洞可被利用来访问设备、发起拒绝服务 (DoS) 攻击和远程代码执行。受影响的产品是该公司已达到使用寿命的部分电力监控产品。其中五个被评为严重或高度严重的漏洞是由不正确的输入验证引起的。这些漏洞可被用于 DoS 攻击或使用特制 HTTP 数据包的远程代码执行,另一个严重的漏洞与密码恢复机制有关,可以利用它来获得对设备的管理员级别访问权限。由于共享 Web 服务器代码,施耐德已经确定其中两个漏洞也会影响 PowerLogic PM55xx 电能计量设备。受影响的 PowerLogic EGX100 和 EGX300 产品已停产,建议客户更换设备或实施推荐的缓解措施,以降低安全风险。对于受两个漏洞影响的 PowerLogic PM55xx 产品,施耐德发布了相关更新。

来源:https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-03

【流行威胁情报】

恶意软件 SolarMarker 正在通过“搜索引擎优化(SEO)中毒”传播

Tag:SolarMarker ,SEO,关键词,填充

微软在6月12日的推文中表示 SolarMarker 恶意软件组织使用填充了搜索引擎优化 (SEO) 关键字的 PDF 文档来提高他们在搜索引擎上的可见性,将潜在受害者引导到伪装成 Google Drive 的恶意网站上进而传播恶意软件、执行恶意操作。SolarMarker 恶意软件组织使用引擎优化策略(流行的业务术语/特定关键词,包括与业务表单相关的关键词,如“模版”、“发*票”、“收据”、“问卷”、“简历”等)将商业用户引诱到100000多个伪装成合法的恶意谷歌站点,这些站点均安装了远程访问木马 RAT 。攻击者还在恶意 PDF 文档中填充了10多页的关键词,涉及“保险单”、“合同接受”、“如何注入 SQL ”、“数学答案”一系列主题,这些行为旨在使恶意PDF文档在搜索引擎中索引排名靠前。这些PDF文件和引用的恶意网站页面会出现在搜索引擎的搜索结果中。受害者打开这些搜索结果,提示受害者下载所需信息的 .doc 文件或 .pdf 版本,点击链接的受害者会被重定向到5到7个具有 .site、.tk 和 .ga 等顶级域名的站点。经过多次的重定向,用户会被定向到一个伪装成 Google Drive 的网站,提示下载恶意软件。SolarMarker 是一种后门软件,通过浏览器窃取数据和凭据,在受害者内部 Startup 文件夹中创建和修改快捷方式以保持持久性,并将窃取的数据回传到 C2 。

1624851357_60d9439d99c25cbae45de.png!small?1624851360986

来源:https://threatpost.com/rotten-pdfs-flood-web-password-snarfing/166932/

微步点评:

1、SEO 中毒:SEO 中毒是一种老派技术,它使用搜索引擎来传播恶意软件。在这种情况下,攻击者使用了数千份充满关键字和链接的 PDF,将多个站点间的访问者重定向到安装恶意软件的站点。

2、Crowdstrike 在 2 月份对 SolarMarker 使用相同的 SEO 中毒策略提出了警告。该恶意软件主要针对北美的用户。

3、SolarMarker 恶意软件通过SEO中毒传播,利用后门驻足,创建和修改快捷方式实现持久性,在受害者内部收集数据和凭据信息,最后回传给恶意C2。

恶意软件托管域 Cyberium 分发 Mirai 变体

Tag :变体,僵尸网络,Moobot,路由器

AT&T Alien Labs 研究人员观察到一个名为 Moobot 的 Mirai 僵尸网络的变种最近的活动激增,且在扫描 Tenda 路由器的远程代码执行漏洞(CVE-2020-10987)。Moobot是由 Cyber​​ium 托管,Cyber​​ium 还托管了几种不同的 Mirai 变体(如Moobot 和 Satori)。在 Lacework 首次报道 Moobot 僵尸网络时,该域已被用于分发此僵尸网络。但是,Alien Labs 使用该字符串看到的样本数量在过去几个月中大大增加,与原始 Moobot 样本不同。这可能意味着去年的 Moobots 样本被用来创建 Mirai 变体的新分支。据 Lacework 报道 Mirai 变体 Moobot 主要将 Dockers API 添加到 DDoS 僵尸网络中。这种变体的主要区别之一是硬编码字符串“w5q6he3dbrsgmclkiu4to18npavj702f”,而Mirai源代码使用字符串“abcdefghijklmnopqrstuvw012345678”作为种子来生成字母数字字符串。这个随机字符串与其他 Mirai 变体不同的是,Mirai 变体从 Moobot 获得的样本是加密的,试图逃避基于字符串的检测,且保留了以前的其他特征,如要避免的硬编码IP地址列表,如:私有范围、国防部、IANA IP、通用电气、惠普和其他IP地址。

1624851374_60d943ae672eaeb04f108.png!small?1624851378059

来源:https://cybersecurity.att.com/blogs/labs-research/malware-hosting-domain-cyberium-fanning-out-mirai-variants

大众汽车供应商数据泄露,三百多万奥迪客户受到影响

Tag :大众,奥迪,客户信息,数据泄露

大众和奥迪于近日发表了一份关于2019年8月至2021年5月期间某个时间点发生的数据安全事件通告,黑客入侵了第三方供应商的部分网络,可能导致客户数据泄露。第三方汽车供应商直到 2021 年 5 月 10 日才发现了被入侵,截至目前,内部正在调查此次攻击事件泄露的数据范围。报告称此次泄露的数据可能包括330 万客户和潜在买家的全名、电子邮件地址、电话号码和邮政地址信息。此外,还可能涉及泄露美国和加拿大的90000名客户的贷款资格有关的信息,更详细的信息可能包括驾驶证号码、出生日期和社会安全号码、购买/租赁/询问的车辆的车辆识别号 (VIN)、制造商、型号、年份、颜色和装饰包等信息。大众汽车供应商虽未透露对此次事件负责的第三方供应商,但已向受影响的客户发送通知,客户可以致电和在相应的网站上咨询关于此次事件更多影响信息。

来源:https://oag.ca.gov/system/files/Audi%20Contact%20Info%20Letter%20Template.pdf

【高级威胁情报】

Evilnum 组织近期针对欧洲金融企业的攻击活动

Tag:APT,Evilnum,金融,欧洲,鱼叉攻击

微步情报局近期通过威胁狩猎系统捕获到 Evilnum 组织针对数字货币企业的攻击活动,分析发现攻击者以“通用数据保护条例(GDPR)”为诱饵和身份验证信息类型诱饵针对 KOT4X 单位进行鱼叉攻击,诱饵文档采用 LNK 加载 JS 代码的方法执行恶意代码, LNK 文件包含 JS 代码、PDF、EXE 等数据,经过 JS 代码多层解密后执行最后的后门程序,整体分多个阶段执行,复杂程度较高;其载荷具备反调试、检测杀软的功能,多个阶段的载荷都有延迟代码,在获取最终阶段的载荷失败,则会等待3个小时后再次运行,这意味着 Evilnum 组织非常注重自身的防御规避。微步情报局还通过对 LNK 的元数据、手法和诱饵文件特征进行关联,发现该组织活动期间投递的诱饵,均为针对金融企业单位。

Evilnum 组织因使用 Evilnum 恶意软件而闻名,该组织最初于2018年被安全公司披露,主要针对整个欧洲的金融科技公司,擅长使用鱼叉式网络钓鱼电子邮件进行攻击活动。Evilnum 组织专注于间谍活动,企图从目标单位/企业获取财务信息,包括:客户列表和投资及交易信息的文档、演示文稿、交易软件的凭证、浏览器数据、电子邮件登录信息、客户信用卡数据、甚至 VPN 配置等。

如果您想查看原报告,可在“微步在线研究响应中心”公众号查看;如果您想获取完整版(含IOC)报告,可在“微步在线研究响应中心”公众号回复“EV”获取。

1624851668_60d944d4efe5ada01a2d8.png!small?1624851672411

来源:https://mp.weixin.qq.com/s/lryl3a65uIz1AwZcfuzp1A

Andariel APT 组织利用勒索软件针对韩国展开攻击

Tag:Andariel ,Lazarus,勒索软件,韩国

卡巴斯基研究人员报告指出 Andariel 组织是朝鲜背景组织 Lazarus  的一个分支,它是最近使用恶意 Word 文档和模仿 PDF 的文件的攻击活动的幕后黑手。自2020年年中开始, Andariel 组织一直在传播第三阶段的有效载荷,使用恶意的 Word 文档和模仿 PDF 文档作为初始感染媒介。Andariel 组织此前曾针对韩国企业和政府机构,此次攻击活动的受害者也是韩国实体。攻击者将武器化文件作为初始感染媒介发送给受害者,诱使受害者打开恶意文档并启用宏执行恶意操作,第二阶段载荷作为简单代理与 C2 通信,使用 cmd.exe 与 API 执行命令,创建第三阶段有效载荷后门。卡巴斯基研究人员研究发现,基于此活动中的第二阶段有效负载与来自 Andariel 组织的先前恶意软件之间的代码重叠,使用 Windows 命令及其选项的方式与之前的 Andariel 活动几乎具有相同的属性,所以将 Andariel 组织归因于 Lazarus 组织。卡巴斯基还表示 Andariel 组织继续专注于韩国目标,但他们的工具和技术已经有了很大的发展,通过仔细检查整个感染过程,发现Andariel 组织正在通过攻击中传播勒索软件来加强其具备经济动机的地位。

1624851697_60d944f15d5e391b9e14b.png!small?1624851700728

来源:https://securelist.com/andariel-evolves-to-target-south-korea-with-ransomware/102811/

微步点评:

1、Andariel的攻击活动:

2014年:BLACKMINE 活动、GHOSTRAT 活动、XEDA 活动

2015年:“INITROY”/Phase 1 活动、“DESERTWOLF”/Phase 3 活动、“BLACKSHEEP”/Phase 3. 活动

2016年:“INITROY”/Phase 2 活动、“VANXATM”活动

2017年:Mayday 活动

2018年:GoldenAxe 活动

2、Lazarus 是具有朝鲜背景的APT组织,Andariel 和 Stardust Chollima 是其具有明确意义的子组织:Stardust Chollima 组织具有明确的经济利益,Andariel 组织专注于间谍活动和信息窃取。

Ferocious Kitten :在伊朗进行了 6 年的秘密监视

Tag:Ferocious Kitten ,APT,伊朗

Ferocious Kitten (凶猛的小猫) 是一个 APT 组织,至少自 2015 年以来一直针对居住在伊朗的讲波斯语的人。卡巴斯基研究人员注意到了在2020年7月和2021年3月上传到 VT 的可疑文件,其中一个恶意文件文件名为 Romantic Solidarity With Lovers of Freedom2.doc(波斯语翻译),其中包含恶意宏,并附有奇怪的诱饵信息(其中一些会显示抗*议伊朗政权及其机构的图像,或来自抵抗营的视频),试图说服受害者启用宏,将恶意可执行文件投放到受感染系统。攻击者还使用了从右到左置换技术颠倒可执行文件的名称,使其看起来具有不同的扩展名进行防御规避,部署 MarkiRat 恶意软件。MarkiRat 在受害者内部进行键盘记录、复制剪贴板内容、文件下载和上传以及在受害机器上执行任意命令。研究人员将植入的 MarkiRat 恶意软件至少追溯至2015年。卡巴斯基斯研究人员表示可以通过 Ferocious Kitten 威胁组织的 TTP 联系到类似目标的组织:Domestic Kitten 和 Rampant Kitten,此类组织以各种平台( Windows 和 Android)为目标,经常共享 TTP 。

1624851723_60d9450b75489e2d895ad.png!small?1624851726889

来源:https://securelist.com/ferocious-kitten-6-years-of-covert-surveillance-in-iran/102806/

【漏洞情报】 

Apple 修复了今年在野外被利用的九个 0day 漏洞

Tag :0day,野外利用,Apple

Apple 于近日修复了两个“可能已被积极利用”来入侵较旧的 iPhone、iPad 和 iPod 设备的 0day 漏洞。这两个漏洞(编号为 CVE-2021-30761 和 CVE-2021-30762)是由 WebKit 浏览器引擎中的内存损坏引起的,均由匿名研究人员发现并报告。Webkit 是 Apple Web 浏览器和应用程序使用的浏览器渲染引擎,用于在桌面和移动平台(包括 iOS、macOS、tvOS 和 iPadOS)上渲染 HTML 内容。攻击者可以使用恶意制作的 Web 内容来利用这两个漏洞,这些内容在未打补丁的设备上被目标加载后会触发任意代码执行。受影响的设备包括较旧的:iPhone(iPhone 5s、iPhone 6、iPhone 6 Plus)、iPad(iPad Air、iPad mini 2、iPad mini 3)、iPod touch(第 6 代)。这是Apple在今年修复的在野外利用的第九个 0day 漏洞。Apple 在今年3月修补了 iOS 0day 漏洞 CVE-2021-1879,4月修补了IOS  0day 漏洞CVE-2021-30661和MacOS 0day 漏洞 CVE-2021-30657。上个月,Apple 还修补了  XCSSET 恶意软件使用的 macOS  0day漏洞 CVE-2021-30713,以绕过 Apple 旨在保护其用户隐私的 TCC 保护。Apple 还在 5 月份修补了 三个 0day 漏洞(CVE-2021-30663、CVE-2021-30665 和 CVE-2021-30666),Webkit 引擎中发现的错误允许在易受攻击的设备上进行任意远程代码执行 (RCE)。

来源:https://www.bleepingcomputer.com/news/security/apple-fixes-ninth-zero-day-bug-exploited-in-the-wild-this-year/

【勒索专题】

巴西马卡埃市政厅遭受勒索软件攻击

2021年6月9日,巴西马卡埃市政厅发表声明称其遭受了勒索软件攻击,IPTU豁免协议系统的部分数据没有恢复,马卡埃市政厅门户和通过互联网向公众提供的服务并没有受到影响。攻击者利用恶意软件感染计算机,通过内部网络(pendrive、本地网络或家庭办公室 VPN )传播病毒,攻击目标的网络文件服务器、系统和数据库。马卡埃市政厅官员表示在验证入侵后,分析得知一些重要的服务器被感染,大量数据被破坏,致使大部分内部系统无法使用,并向市检察长发送了一份备忘录要求采取必要的法律措施,还要求向打击计算机犯罪警察办公室 (DRCI) 提交事件报告。

来源:http://www.macae.rj.gov.br/noticias/leitura/noticia/prefeitura-de-macae-e-alvo-de-ataque-cibernetico-do-tipo-ransomware#.YMI9D6JibNA.twitter

餐饮服务供应商 Edward Don 遭到勒索软件攻击

2021年6月10日,Bleepingcomputer 报道称餐饮服务供应商 Edward Don 遭受勒索软件攻击。此次攻击严重扰乱了 Edward Don 的电话系统、网络、电子邮件在内的业务运营,导致该公司关闭部分网络以防止攻击蔓延。由于 Edward Don 是餐饮服务供应的主要分销商之一,本次勒索攻击事件也造成了 Edward Don 与医院、餐厅、酒店和酒吧之间的供给链发生了重大中断。Edward Don 目前尚未公开披露此次攻击事件的具体细节。

来源:https://www.bleepingcomputer.com/news/security/foodservice-supplier-edward-don-hit-by-a-ransomware-attack/

CD Projekt:勒索软件攻击中窃取的数据现在在网上流传

2021年6月10日,CD Projekt 于今天警告称在他们 2 月份的 HelloKitty 勒索软件攻击中被盗的内部数据正在互联网上传播,数据可能包括员工和承包商的详细信息。这次攻击破坏了 CD Projekts 网络并据称窃取了 Cyber​​punk 2077、巫师 3、Gwent 以及未发布的巫师 3 版本的完整源代码。除了游戏代码,勒索软件组织人员还声称泄露了会计、行政、法律、人力资源和投资者关系文件。另一个威胁攻击者组织 PayLoad Bin(以前称为 Babuk Locker)也在最近发布了他们声称窃取的364GB 的 CD Projekt 游戏完整源代码。

来源:https://www.bleepingcomputer.com/news/security/cd-projekt-data-stolen-in-ransomware-attack-now-circulating-online/

黑客论坛上发布 Paradise 勒索软件的源代码

2021年6月15日,黑客论坛上发布 Paradise Ransomware 的完整源代码,任何潜在的网络犯罪分子都可利用该勒索软件凯源代码开发自己定制的勒索软件。论坛上发布的源代码中包含俄语注释,清楚地展示了 Paradise Ransomware 开发人员的国家属性。

来源:https://www.bleepingcomputer.com/news/security/paradise-ransomware-source-code-released-on-a-hacking-forum/

声明:本文内容援引自国外媒体,不代表微步在线立场和观点。

来源:freebuf.com 2021-06-28 11:50:51 by: Threatbook

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论