正文

安全威胁情报周报(8.28~9.3)

admin
admin V管理员 /0 评论 /277 阅读
0905
此篇文章发布距今已超过445天,您需要注意文章的内容或图片是否可用!

一周威胁情报摘要

金融威胁情报

  • 产权贷款机构TMX数据泄露危机升级,近500万客户受影响

政府威胁情报

  • 英国伦敦警察局承包商遭黑客入侵,警员数据面临泄露风险

能源威胁情报

  • 加拿大第二大城市电力系统遭勒索攻击:被迫重建IT基础设施

工控威胁情报

  • Cisco NX-OS软件被曝存在远程身份验证漏洞,可导致拒绝服务

流行威胁情报

  • 黑灰产团伙“暗钩”通过钓鱼活动传播恶意木马,持续活跃至今

高级威胁情报

  • APT-C-55(Kimsuky)组织使用韩文域名进行恶意活动

漏洞情报

  • Mozilla发布Firefox 117,修复13个漏洞

勒索专题
钓鱼专题

  • QR码被滥用:新型网络钓鱼威胁崭露头角


金融威胁情报


产权贷款机构TMX数据泄露危机升级,近500万客户受影响

  Tag:贷款机构,数据泄露

事件概述:

近日,产权贷款机构TitleMax的母公司Savannah TMX Finance Corporate Services 发布告警称,涉及近500万名客户的数据泄露事件比先前预估的更为严重。攻击者不仅窃取了大量个人信息,包括护照号码和社会保障号码,还盗取了付款卡数据和卡片安全码。该公司在18个州拥有超过1000家门店,经营多个品牌,如TitleBucks、InstaLoan和EquityAuto Loan。在3月30日,该公司向4822580名客户发出告警,黑客在2月的12天内窃取了他们的个人信息,因此,公司面临着至少四起集体诉讼。最新的修订版数据泄露通知中指出,除了已知被窃取的个人信息外,攻击者还有可能窃取客户的付款卡数据以及卡片安全码等敏感信息。不过,该公司并未透露这些新增信息的来源。一般情况下,类似的通知通常来自支付卡发行机构,通过追踪使用被盗支付卡数据产生的欺诈活动,从而找到数据泄露的源头。与此同时,最新的通知修订还将受影响的人数上调至4895817人。公司此前于2月13日报告发现“我们系统中的可疑活动”。第三方事件响应公司参与调查后发现,入侵行为似乎始于2022年12月初。除此之外,TMX及其品牌因其车辆抵押放款业务长期以来受到联邦监管的审查。尽管宣传其贷款具有合理的利率,但ProPublica在今年一月的调查发现,实际年度借款成本可能高达179%。

来源:
https://www.bankinfosecurity.com/title-lender-tmx-now-says-payment-card-data-stolen-in-breach-a-22921?&web_view=true


政府威胁情报


英国伦敦警察局承包商遭黑客入侵,警员数据面临泄露风险

  Tag:警察局,数据泄露

事件概述:

近期,伦敦警察局的数据遭到泄露,因承包商的IT系统被黑客入侵。警方确认已发现“伦敦警察局供应商的IT系统存在未经授权的访问”。此次事件泄露了4.7万名警察官员和员工的姓名、职级、照片、审批级别和薪资编号。尽管黑客未获取个人信息如地址、电话号码或财务细节,警方仍表示关切。警方已采取安全措施,并向国家犯罪局以及信息专员办公室报告了此事。近年来,英国警察部队的黑客袭击有所减少,但最近几个月内出现了一些引人注目的事件。该事件凸显了保护敏感数据的重要性,警方需加强网络安全,防范未来类似事件。


来源:
https://www.silicon.co.uk/projects/public-sector/met-police-contractor-hack-527331


能源威胁情报


加拿大第二大城市电力系统遭勒索攻击:被迫重建IT基础设施

  Tag:电力系统,加拿大

事件概述:

近期,LockBit勒索软件团伙频繁攻击关键机构、政府和企业,引起网络安全专家关切。该勒索团伙声称8月3日对加拿大蒙特利尔市电力基础设施管理机构CSEM实施了勒索软件攻击。尽管遭受攻击,CSEM拒绝支付赎金,并在重建信息技术基础设施的同时,求助国家当局和魁北克执法部门。

LockBit团伙威胁于周三泄露数据,与其声称的攻击当天相同。过去一周,该勒索团伙高调行动,攻击数量远超其他勒索软件团伙。然而,网络安全专家对该团伙的运营能力产生怀疑。Jon DiMaggio的报告指出,LockBit的领导层在8月头两周消失不见,于8月13日再次露面。报告称,由于后端基础设施和带宽问题,团伙难以发布窃取数据,主要依靠声誉迫使受害者支付赎金。Kaspersky的报告显示,泄露的LockBit 3.0勒索软件构建工具导致恶意行为者生成396个不同样本,引发进一步关注。


来源:



工控威胁情报


Cisco NX-OS软件被曝存在远程身份验证漏洞,可导致拒绝服务

  Tag:Cisco,漏洞,拒绝服务

事件概述:

近期披露,Cisco NX-OS软件中存在TACACS+和RADIUS远程认证漏洞,未经身份验证的本地攻击者可借助该漏洞使受影响设备意外重新加载,造成拒绝服务。漏洞产生于处理启用TACACS+或RADIUS定向请求选项时的输入验证错误。攻击者能够在受影响设备的登录提示中输入经过精心制作的字符串,从而成功利用漏洞,导致设备意外重新加载,引发拒绝服务情况。此漏洞仅限于使用Telnet进行利用,而SSH连接不受影响。

Cisco已发布软件更新以解决此漏洞,但目前尚无有效的临时解决方案。受影响的产品范围包括多个系列的交换机和虚拟边缘设备。用户可以通过删除相关CLI命令来取消TACACS+和RADIUS定向请求支持,但在实施任何解决方案之前,需谨慎评估适用性和有效性,以免影响网络性能。


来源:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-remoteauth-dos-XB6pv74m?&web_view=true


流行威胁情报


黑灰产团伙“暗钩”通过钓鱼活动传播恶意木马,持续活跃至今

  Tag:黑灰产,木马

事件概述:

研究人员近期发现黑灰产团伙“暗钩”通过虚假WPS、Telegram和letsvpn安装包进行钓鱼活动。“暗钩”团伙自2022年8月活跃,使用多种对抗检测手段,追踪编为“GRP-LY-1004”。投递途径包括钓鱼网站、邮件、社交媒体。木马具有窃取密码等功能,具有高度隐蔽性。该事件揭示了黑灰产团伙通过钓鱼活动传播恶意软件的危害。用户需增强网络安全意识,警惕鱼钩,避免成为攻击目标。网络犯罪活动持续威胁个人和机构安全,防范措施和合作至关重要。

技术手法:

“暗钩”团伙采用了Setup Factory Runtime工具生成exe安装包,其中嵌入了lua脚本,用于释放加密的木马文件和木马加载器。一旦加载器启动,它执行一系列恶意操作,包括绕过安全性措施、进行内存注入等,最终成功解密出Gh0st远控木马。一旦木马进入后门运行阶段,它开始执行多项任务,其中之一是收集受感染主机的信息。这些信息可能包括系统配置、文件内容等,同时木马还会尝试与C2服务器建立连接,以便与攻击者进行通信。远控木马的功能十分多样,其中一些包括能够关闭进程、卸载自身、窃取主机上的敏感信息等。值得一提的是,这个木马还具备反检测机制,它可以有效地规避安全监测,使其在受感染系统上运行时更加难以被察觉。这些恶意功能的结合使“暗钩”团伙的攻击更加隐蔽和危险。

来源:
https://mp.weixin.qq.com/s/Anng7y_mnBTHQEVsv4XsCQ


高级威胁情报


APT-C-55(Kimsuky)组织使用韩文域名进行恶意活动

  Tag:Kimsuky,APT

事件概述:

APT-C-55(Kimsuky)组织自2013年以来一直在持续活动,主要针对韩国政府、智囊团、外交部门、新闻机构和教育学术机构等目标进行网络攻击。近年来,他们扩大了攻击范围,包括美国、俄罗斯和欧洲各国。他们的主要目标是窃取情报和进行网络攻击活动。尽管安全厂商多次披露了他们的攻击活动,但APT-C-55仍然持续存在,并且攻击活动逐渐升级。他们不仅持续开发各种攻击载荷,包括带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件、lnk文件等。最近,国内安全厂商捕获到了APT-C-55(Kimsuky)组织针对韩国地区的最新攻击行动。

攻击者一如既往地使用恶意宏文件和LNK文件作为入口点,引导用户点击这些恶意文件,然后启动复杂的无文件攻击链,最终窃取用户信息。不同寻常的是,这次攻击中,Kimsuky组织使用了韩文域名进行恶意载荷的下载和通信,而不是常规的英文域名。攻击过程中,Kimsuky组织使用LNK文件作为初始载荷,解密后释放VBS脚本文件,随后下载多个阶段的VBS载荷,最终执行Powershell脚本用于收集信息。攻击者还设置计划任务,用于下载后续VBS载荷,最终在内存中执行Powershell代码,以完成信息窃取。

来源:



漏洞情报


Mozilla发布Firefox 117,修复13个漏洞

  Tag:火狐,漏洞

事件概述:

Mozilla最近发布了Firefox 117版本,修复了13个漏洞,包括7个高危漏洞。其中4个漏洞可能导致浏览器崩溃,影响IPC CanvasTranslator、IPC ColorPickerShownCallback、IPC FilePickerShownCallback和JIT UpdateRegExpStatics组件。另一个漏洞(CVE-2023-4577)也可能导致崩溃。

Mozilla还修复了Firefox for Windows中的整数溢出漏洞(CVE-2023-4576),可能泄露敏感数据,可能导致绕过沙箱逃逸。此外,Firefox 117还解决了多个高危内存安全漏洞,影响了Firefox ESR和Thunderbird。

更新中还修复了6个中低危漏洞,可能导致站点欺骗、敏感信息泄露、未提供潜在威胁警告、缓冲区溢出等问题。Mozilla还发布了Firefox ESR 115.2版本,修复了14个漏洞,其中12个也在Firefox 117中解决,以及Firefox ESR 102.15版本,修复了6个漏洞。这次更新强调了Mozilla对浏览器安全性的持续关注和改进。


来源:
https://www.securityweek.com/high-severity-memory-corruption-vulnerabilities-patched-in-firefox-chrome/


勒索专题



2023年8月24日

研究人员披露Akira勒索软件组织工具

研究人员发现一款新的勒索软件病毒(文件名:r.exe),其分析结果表明,这一威胁自2023年8月1日起开始活跃。更引人注目的是,这一勒索软件实际上是早期变种ADHUBLLKA勒索软件的一个分支,而ADHUBLLKA勒索软件则首次于2020年1月13日出现。

这种勒索软件的攻击方式包括要求受害者通过基于TOR的受害者门户进行通信,以在支付赎金后获取解密密钥。对于受感染的受害者,勒索软件组织建议他们直接联系组织,然后开具进一步协商所需的票据,其中包括提交样本文件和支付协商等。值得注意的是,勒索软件组织并不会直接向受害者提供解密的示例屏幕截图,而是通过图像托管服务ImgBB来实现这一目的,从而证实了该组织内部存在一个可用的解密工具。

此外,文章还揭示了这一勒索软件的族谱,包括其演化过程和变种,其顺序为ADHUBLLKA → BIT → LOLKEK → OBZ → U2K → TZW。这种细致的分析帮助研究人员更好地理解这一勒索软件家族的演变过程,从而更好地对抗未来可能的威胁


来源:
https://stairwell.com/resources/akira-pulling-on-the-chains-of-ransomware/



钓鱼专题



2023年8月29日

QR码被滥用:新型网络钓鱼威胁崭露头角

QR码,一种可由智能手机扫描的方形编码图像,正变得越来越流行。全球智能手机用户达到了69.2亿,几乎86%的人口可以轻松访问这些图像中的信息。QR码扫描器已成为绝大多数智能手机的标配。然而,QR码也成为网络犯罪分子的新工具。他们利用QR码进行网络钓鱼攻击,通常伪装成多因素身份验证通知,引诱受害者扫描QR码,然后将他们引导至恶意网络钓鱼页面。有些攻击甚至使用个性化模板,伪装成合法消息。

此外,还出现了将QR码嵌入PDF附件的趋势,进一步增加了反垃圾邮件过滤器的规避性。这些QR码的滥用使得未经警觉的受害者可能会绕过企业的安全机制,构成严重的网络威胁。为了保护自身安全,提高警觉度至关重要,同时,组织也应加强员工培训和网络安全措施。


来源:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/think-before-you-scan-the-rise-of-qr-codes-in-phishing/



---End---






推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下