一周威胁情报摘要

金融威胁情报
Enigma Stealer 以虚假就业为诱饵瞄准加密货币行业
政府威胁情报
英国国会议员电子邮件疑似遭到俄罗斯黑客入侵
工控威胁情报
Korenix JetWave工业网络设备被曝存在3个安全漏洞
高级威胁情报
新的威胁组织 TA886 使用 Screenshotter 恶意软件瞄准美国和德国展开攻击
漏洞情报
苹果公司发布安全更新修复 0day 漏洞 CVE-2023-23529
勒索专题
以色列理工学院疑似遭到 DarkBit 勒索软件团伙攻击
钓鱼专题
新网络钓鱼活动滥用谷歌广告窃取用户登录凭据

金融威胁情报

Enigma Stealer 以虚假就业为诱饵瞄准加密货币行业

Tag：加密货币，信息窃取软件

事件概述：

近日，趋势科技研究人员监测发现 Enigma Stealer 恶意软件以虚假就业瞄准加密货币行业人员。攻击者使用几个高度混淆和没有完全开发的自定义加载程序和英特尔驱动程序漏洞 CVE-2015-2291 来加载 Enigma 窃取程序。Enigma 信息窃取器的软件基础是一个用 C# 编写的开源项目 Stealerium ，具备剪辑器和键盘记录器以及使用 Telegram API 的日志记录功能。

技术手法：

感染链始于恶意的压缩文件，其中包含虚假的加密货币角色或空缺职位的诱饵文件和包含 Enigma 加载器的伪装成合法的 word 文档。该文件旨在引诱毫无戒心的受害者执行加载程序，Enigma 加载程序使用 API 哈希、字符串加密和无关代码等多种策略来避免检测和加大逆向工程的难度，然后下载、反混淆、解压缩和启动二级有效载荷。成功执行后，恶意软件会与 C2 服务进行通信，接收命令和传递有效载荷。

来源：

https://www.trendmicro.com/en_us/research/23/b/enigma-stealer-targets-cryptocurrency-industry-with-fake-jobs.html

政府威胁情报

英国国会议员电子邮件疑似遭到俄罗斯黑客入侵

Tag：政客，俄罗斯，电子邮件

事件概述：

据英国国会议员 (MP) 透露，他的个人电子邮件帐户疑似遭到俄罗斯黑客攻击。苏格兰民族党 (SNP) 议员在 2 月 8 日发布的一条推文中亦强调了鱼叉式网络钓鱼事件，这些针对其及员工电子邮件账户复杂且有针对性的鱼叉式网络钓鱼攻击，尽管没有攻击成功，但一些被盗的信息可能遭到泄露。

技术手法：

威胁组织通过攻陷内部邮箱账号，利用社会工程向目标国会议员发送附有加密文件的钓鱼信息，以乌克兰军事局势最新情况内容为诱饵诱导目标下载附件文件。当目标点击文件后，会被重定向到目标的电子邮件账户登录页面，待目标输入密码时窃取登录凭据，然后跳转至空白页面。

来源：
https://www.infosecurity-magazine.com/news/uk-politician-email-hacked-russian/

工控威胁情报

Korenix JetWave工业网络设备被曝存在3个安全漏洞

Tag：工业网络设备

事件概述：

CyberDanube 研究人员发现 Korenix JetWave工业接入点和 LTE 蜂窝网关中存在3个安全漏洞，可能允许攻击者破坏它们的操作或将它们用作进一步攻击的立足点。目前这三个漏洞尚未分配CVE编号，包含设备 web 服务器中的两个命令注入漏洞和一个可能被触发以实现拒绝 web 服务的漏洞。这三个漏洞都要求攻击者在发起攻击之前进行身份验证。可以通过重新启动目标设备暂时解决拒绝web服务攻击，但攻击者可能会注入可以导致无限期危害的命令。Korenix JetWave 4221 HP-E、3220/3420v3、2212G、2212X/2112S、2211C、2411/2111、2411L/2111L、2414/2114、2424、2460 等型号均受这些漏洞的影响。

Korenix JetWave工业网络设备修复版本已于2023年1月发布，并且 Korenix 已向其客户发送了包含安全建议的通知，建议用户将受影响的设备升级到可用的最新固件版本。

来源：
https://www.helpnetsecurity.com/2023/02/13/korenix-jetwave-industrial-vulnerabilities/

高级威胁情报

新的威胁组织 TA886 使用 Screenshotter 恶意软件瞄准美国和德国展开攻击

Tag：TA886，Screenshotter，APT，经济动机

事件概述：

TA886 组织是安全公司 Proofpoint 最近发现的一个具有经济动机的威胁组织，其大部分活动主要活跃于2022年10月之后，使用商品和自定义工具通过电子邮件分发恶意软件。近日，研究人员监测发现 TA886 组织使用名为 Screenshotter 的新恶意软件瞄准美国和德国的组织展开攻击，攻击者通过投递包含恶意URL或恶意附件的网络钓鱼电子邮件，部署 WasabiSeed 和 Screenshotter 恶意软件，并且使用 AHK Bot 和 Rhadamanthys 窃取程序进行后开发活动。

技术手法：

该活动始于批量线程劫持的电子邮件，以自我检查为诱饵，诱使目标启动多步攻击链的恶意链接，通过过滤流量并利用 JavaScript 文件下载并运行 MSI 包，执行嵌入式 VBS 脚本 (WasabiSeed) 并通过在 Windows 启动文件夹中创建自动运行快捷方式来建立持久性。MSI 包会继续重定向 URL 以获取额外的有效负载 Screenshotter 的组件。该组件截取受害者的屏幕截图并将其发送到命令和控制服务器，然后进行另一个无限循环。

来源：
https://www.proofpoint.com/us/blog/threat-insight/screentime-sometimes-it-feels-like-somebodys-watching-me

漏洞情报

苹果公司发布安全更新修复 0day 漏洞 CVE-2023-23529

Tag：苹果，0day漏洞

事件概述：

2月13日，苹果公司推出了针对iOS、iPadOS、macOS和Safari的安全更新，以修复被积极利用的 0day 漏洞CVE-2023-23529。该漏洞与 WebKit 浏览器引擎中的类型混淆错误有关，可能在处理恶意制作的Web内容时被激活，以最高权限执行任意代码。此外，该公司还解决了内核中的 use-after-free 漏洞 CVE-2023-23514，该漏洞可能允许流氓应用程序以最高权限执行任意代码。建议用户将系统升级到iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1和Safari 16.3.1，以降低潜在风险。

来源：

https://support.apple.com/en-us/HT213635