APT攻击
UNC2447通过窃取思科员工的凭证开展攻击活动
捕获APT32攻击样本
Lazarus Group冒充Coinbase攻击金融科技行业
TAC-040利用Confluence漏洞部署Ljl后门
P2PPhish组织疯狂的钓鱼活动
Lazarus Group部署DTrack和Maui勒索软件
Tropical Scorpius利用ROMCOM RAT开展攻击活动
DeathStalker利用VileRAT工具攻击外汇公司
攻击活动
在PyPI存储库中发现10个恶意Python包
通信巨头Twilio遭短信网络攻击
漏洞数据
ZCS邮件服务器存在RCE漏洞CVE-2022-27925
勒索软件
BlueSky通过多线程进行快速加密
APT攻击
UNC2447通过窃取思科员工的凭证开展攻击活动
近日,思科研究人员就攻击者通过入侵思科员工个人的谷歌账户,窃取同步在谷歌Chrome浏览器中的思科VPN访问凭证事件做出响应。研究人员发现,攻击者为了绕过多因素身份验证,以各种受信任的公司为幌子,进行了一系列复杂的语音网络钓鱼攻击。研究人员将此攻击归因为UNC2447。UNC2447是一个具有俄罗斯背景、以牟取经济利益为动机的APT组织。此前曾观察到该组织利用勒索软件实施双重勒索攻击,目前已知其使用的勒索软件包括FIVEHANDS、HELLOKITTY等。
来源:
https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
捕获APT32攻击样本
研究人员在8月10日披露APT32新样本,表格内为样本具体的IOC。
文件名 | MD5 | SHA1 | SHA256 |
Screenshot.rar | 8128a63bab1a0e5802d9db94eb2ce551 | 1cc32d920971bd7c0040232a2b66b021d36d01ba | 1b079dd98d6d085535421d5291cf4730afc23e7191f96f9f5b699ab1794d1335 |
xc1i5rgl | 840637dffacdccb119f54e72fd0515a3 | 602151c05130e88f38a5fd1f0d7d7a2918a2ee89 | 685833840db06f40f7834f8014630f52bb33d8b3e07dcfdb1b507f7437439cd2 |
MSVCR100.7z | c44513f95606e0e2808e87e3d8b27b8d | 6ed124d2358a8ee449a8827ee7ef5a12f90db3b0 | 8195b7d31d79cf1b85d46bfde58deb61fb51545ce77bae4a7706a45e43fc0446 |
来源:
https://twitter.com/shadowchasing1/status/1557287930267578368
https://bazaar.abuse.ch/browse/tag/oceanlotus/
Lazarus Group冒充Coinbase攻击金融科技行业
近日,朝鲜背景的APT组织Lazarus Group发起了一项新的社会工程攻击活动。该组织冒充Coinbase(世界上最大的加密货币交易平台之一),针对性攻击金融科技行业的员工。攻击者通过社交媒体领英联系目标,并以提供工作机会为由进行初步沟通。当受害者下载关于工作职位的PDF文件时,通过点击PDF图标会下载恶意可执行文件,并进一步加载恶意DLL文件。恶意软件将使用了GitHub作为命令和控制服务器。下图是诱饵文档截图。
来源:
https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-crypto-experts-with-fake-coinbase-job-offers/
https://twitter.com/h2jazi/status/1555205042331947011?cxt=HHwWhsC80eCvmZUrAAAA
TAC-040利用Confluence漏洞部署Ljl后门
Deepwatch研究人员披露TAC-040组织,并发现该组织利用Atlassian Confluence服务器中的CVE-2022-26134漏洞部署一个名为Ljl的新后门。此次攻击发生在5月底,持续了7天。证据表明,攻击者使用Atlassian Confluence目录中的tomcat9.exe父进程执行了恶意命令,此外攻击者执行各种命令来枚举本地系统、网络、环境等信息。据估计,受害目标的大约700MB数据已被泄露。
来源:
https://www.deepwatch.com/labs/deepwatch-ati-detects-and-responds-to-never-before-discovered-backdoor-deployed-using-confluence-vulnerability-for-suspected-espionage/
https://5556002.fs1.hubspotusercontent-na1.net/hubfs/5556002/2022%20PDF%20Download%20Assets/ADA%20Compliant%20pdfs/Reports/ljlBackdoor%20Analysis.pdf
P2PPhish组织疯狂的钓鱼活动
近日,微步研究人员发现通过模仿相关P2P平台域名并以清退为由进行的诈骗活动,微步将该活动背后的组织命名为P2PPhish。该组织至少于2021年开始通过发布虚假新闻,引诱受害者点击钓鱼链接实施诈骗活动。主要通过在新闻社交等渠道发布虚假信息,引诱受害者访问其搭建的伪造钓鱼网站,以“官方回款”、“清退回款”等名义实施诈骗,并附加成功案例弹窗吸引受害者。其选择的目标主要是目前市面上暴雷的P2P平台投资者,利用投资者迫切回款的心理进行定向诈骗,骗取个人隐私信息以及所谓的“债权转让金”进行获利。
来源:
Lazarus Group部署DTrack和Maui勒索软件
近日,卡巴斯基研究人员在同一台服务器上检测到攻击者部署的DTrack恶意软件以及Maui勒索软件。Lazarus Group有选择地部署勒索软件以牟取经济利益。根据这次攻击的手法,发现Maui勒索软件事件背后的TTP与Andariel事件(又名Stonefly事件)非常相似,因此将此次攻击活动归因于Lazarus Group。下图是受害者的地理分布情况。
来源:
https://securelist.com/andariel-deploys-dtrack-and-maui-ransomware/107063/
Tropical Scorpius利用ROMCOM RAT开展攻击活动
Tropical Scorpius(又名UNC2596),自2019年开始活跃,研究人员发现Tropical Scorpius已使用Cuba Ransomware攻击政府、金融、服务、科技等多个领域。该组织除了与Cuba Ransomware有关,还发现与Industrial Spy网站有关,该网站允许攻击者或者竞争对手购买从受害商业公司窃取的数据。Industrial Spy使用的赎金票据与Cuba Ransomware赎金票据非常相似,两份票据包含了完全相同的联系信息。此次攻击活动中,攻击者使用了自定义远程访问木马ROMCOM RAT,其中包含了独特的C2协议。
来源:
https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/
DeathStalker利用VileRAT工具攻击外汇公司
DeathStalker(又名Evilnum),自2012年开始活跃,主要针对欧洲金融和投资公司开展攻击活动。近日,卡巴斯基披露了该组织利用VileRAT工具针对外汇公司的攻击。VileRAT(也称为PyVil)是一种Python植入程序,在经过混淆和打包将VileRAT程序与py2exe捆绑为一个独立的二进制文件,作为攻击手法更新的一部分。下图是VileRAT感染流程。
来源:
https://securelist.com/vilerat-deathstalkers-continuous-strike/107075/
攻击活动
在PyPI存储库中发现10个恶意Python包
CloudGuard Spectral在PyPI上检测到10个恶意包。PyPI是开发人员用于Python编程语言的Python包索引,是Python用户最常用的存储库。攻击者在恶意程序包中安装信息窃取程序,使攻击者能够窃取开发人员的私人数据。
来源:
https://research.checkpoint.com/2022/cloudguard-spectral-detects-several-malicious-packages-on-pypi-the-official-software-repository-for-python-developers/
通信巨头Twilio遭短信网络攻击
近日,通信巨头公司Twilio称遭到短信网络攻击。攻击者通过发送钓鱼短信,诱使Twilio的员工点击其中嵌入的链接,并成功窃取了多名员工的登录凭据。攻击者使用窃取的凭据访问Twilio公司内部系统,并查看某些重要客户数据。
来源:
https://www.bleepingcomputer.com/news/security/twilio-discloses-data-breach-after-sms-phishing-attack-on-employees/
漏洞情报
ZCS邮件服务器存在RCE漏洞CVE-2022-27925
Volexity研究人员在处理的攻击事件中,发现受害者的Zimbra Collaboration Suite(ZCS)电子邮件服务器遭到严重破坏。调查证据表明,攻击者利用了ZCS中的远程代码执行(RCE)漏洞CVE-2022-27925开展攻击活动。Volexit确认了全球1,000多个被入侵的ZCS电子邮件服务器实例。下图是受感染Zimbra服务器的地理分布情况。
来源:
https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/
勒索软件
BlueSky通过多线程进行快速加密
BlueSky是一款新兴勒索软件,主要针对Windows系统,并利用多线程加密技术加快文件加密速度。研究人员观察该勒索软件与Conti勒索软件和Babuk Ransomware分别在代码和加密方法上存在一定相似性。从技术趋势上看,勒索软件正在采用现代先进技术,包括对恶意样本进行编码和加密,或使用多阶段勒索软件投递和加载来防御规避。
来源:
https://unit42.paloaltonetworks.com/bluesky-ransomware/
往期推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...