[0106] 一周重点威胁情报｜天际友盟情报站

热点情报

基于Lockbit3.0勒索软件构建器的新加密器在国内传播
针对Microsoft Exchange Server的OWASSRF漏洞利用披露
Raspberry Robin蠕虫不断进化以攻击欧洲金融和保险部门
近20家汽车制造商被曝API安全漏洞，允许黑客执行恶意活动
攻击者对哥伦比亚银行发起SQL注入攻击以部署BitRAT恶意软件

APT攻击

黑客组织利用PureLogs窃取程序入侵意大利
APT-C-56近期针对外贸行业发起网络钓鱼攻击
APT组织盲眼鹰针对厄瓜多尔的近期活动分析
Bluebottle网络犯罪组织瞄准非洲法语国家银行

技术洞察

Dridex恶意软件回归，使用新技术感染MacOs
PyTorch机器学习工具包使用者遭遇供应链攻击
Linux SSH服务器成为Shc恶意软件下载器攻击目标
新型Linux恶意软件借助30个过时漏洞感染基于WordPress的网站

情报详情

基于Lockbit3.0勒索软件构建器的新加密器在国内传播

深信服近期发现，基于2022年9月泄露的Lockbit3.0勒索病毒构建器开发的新加密器正在国内传播。此次勒索活动共发现两个样本，且样本仅在启动方式上存在区别，即文件名含pass的需带密码参数启动，反之则不需带密码参数启动。样本使用Salsa-20算法加密文件，同时由于在加密线程期间，其大量使用RtlEncryptMemory和RtlDecyptMemory保护包含私钥的内存，因而无法直接获取到私钥。样本执行后，被加密的文件默认添加后缀名变化为“.xNimqxKZh”，赎金提示信息文件名则改为“xNimqxKZh.README.txt”。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=43a76ed08c0c4619a0956e9721531e26

针对Microsoft Exchange Server的OWASSRF漏洞利用披露

CrowdStrike近期发布了一篇针对Microsoft Exchange Server的OWASSRF新漏洞利用方法的博客。其中，OWASSRF指的是与Outlook网页版(被称为Outlook Web Access和Outlook Web Application)相关的服务器端请求伪造。OWASSRF漏洞利用方法涉及两个不同漏洞：CVE-2022-41080和CVE-2022-41082，它们允许攻击者通过Outlook Web Access (OWA) 进行远程代码执行 (RCE)。

此外，Unit 42观察到在2022年11月底和12月初期间存在对OWASSRF漏洞的积极利用，且所有OWASSRF攻击尝试都使用了相同的PowerShell后门：SilverArrow。该后门实际上是一个远程shell，它将连接到远程服务器并进入循环模式以接收其他的PowerShell命令。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=30d27af5925647e1b32db33a55c5454a

Raspberry Robin蠕虫不断进化以攻击欧洲金融和保险部门

Security Joes最近发布报告称，欧洲金融和保险业已成为新版本Raspberry Robin蠕虫的目标。Raspberry Robin也被称为QNAP蠕虫，由微软追踪为DEV-0856的组织运营，主要通过受感染的USB驱动器进行传播。但攻击者在本次活动中利用了两种手段分发该恶意软件：1)通过恶意链接或附件诱导受害者下载伪装为压缩文件的MSI安装程序；2)通过在eu[.]adbison-redirect[.]com上托管的恶意广告活动。

此外，报告显示Raspberry Robin最新版本更新了下载器机制，并增加了反分析能力，同一个QNAP服务器被多轮攻击使用，且受害者数据不再是明文形式。另外，活动受害者主要为讲西班牙语和葡萄牙语的组织，且攻击者开始收集更多的受害者系统数据。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=1dd97731731c474d8cb8e3d68a2b18cb

近20家汽车制造商被曝API安全漏洞，允许黑客执行恶意活动

近20家汽车制造商和服务被爆出API安全漏洞，这些漏洞可能允许黑客执行恶意活动，从解锁、启动和跟踪汽车到暴露客户的个人信息。安全漏洞影响了多个知名品牌，包括宝马、劳斯莱斯、梅赛德斯-奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪等。这些漏洞还影响了汽车技术品牌Spireon和Reviver以及流媒体服务SiriusXM。受影响的供应商目前已修复披露的所有问题，因此现在无法利用它们。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=208eb2b3c5e046ba80ea6722acf4a03b

攻击者对哥伦比亚银行发起SQL注入攻击以部署BitRAT恶意软件

Qualys最近称，攻击者一直在使用哥伦比亚银行客户的被盗信息作为网络钓鱼电子邮件的诱饵，最终目标是在受害者系统上部署BitRAT恶意软件。

据研究人员描述，攻击者主要通过对哥伦比亚一家合作银行的IT基础设施发起SQL注入攻击，以窃取银行敏感信息并制作令人信服的Excel诱饵文件。泄露的详细信息包括Cédula号码(哥伦比亚公民的国民身份证件），电子邮件地址，电话号码，客户姓名，付款记录，工资详细信息和地址等。此外，Excel文件包含一个高度混淆的宏，它会释放并执行一个可加载第二阶段dll文件的.inf负载。dll文件则最终使用WinHTTP库将BitRAT嵌入式有效负载从GitHub下载到受害者系统中的%temp%目录。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=c4b04064ec4d4a35a26bb5de74a2b9c1

欢迎登陆天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html