金融威胁情报
美国橡树岭银行披露数据泄露事件
美国金融公司摩根士丹利遭到黑客攻击,发生数据泄漏
政府威胁情报
三部门联合发布关于网络产品安全漏洞管理规定的通知
赛门铁克发布关于政府部门攻击事件和策略的白皮书
能源威胁情报
工控威胁情报
流行威胁情报
BIOPASS RAT 的水坑攻击活动
谷歌商店再次下架含有 Joker 木马的 App
高级威胁情报
漏洞情报
谷歌 0day 漏洞已被在野利用,需紧急修复
Adobe 更新修复6个程序中的28个漏洞
勒索专题
注:由于篇幅限制,只摘取16篇发布,如想阅读完整版(22篇)周报,后台回复“718”获取 PDF 版。
近日,美国北卡罗来纳州橡树岭银行披露2021年4月26日至27日之间发生的数据泄露事件。此次攻击事件导致橡树岭银行的五家分行短暂关闭,部分客户的敏感数据信息遭到泄露。橡树岭银行在发现攻击者在未经授权访问其银行客户数据后,立即向美国联邦调查局报告事件并展开调查。调查发现,攻击者在访问银行系统后可能窃取了部分客户的历史敏感数据,在2009年9月30日之前开设账户的客户敏感信息可能遭到泄露,这些泄露的信息可能包括社会安全号码、银行账号、出生日期和驾驶证号码等信息。橡树岭银行的五家分行虽然受此次攻击事件影响在4月下旬都关闭两天,但是其银行发言人表示在关闭期间,客户依然可以访问网上银行和手机银行,以及通过 ATM 进行存款和取款。该银行已于7月7日向受影响客户发送数据泄露事件通知,并向受影响的客户提供12个月的身份保护服务。截至外媒发表报道之前,橡树岭银行发言人表示目前没有任何证据证明其客户信息被盗。来源:
https://www.wfmynews2.com/article/news/local/bank-of-oak-ridge-cyberattack/83-d1d540ba-c6fb-473e-99f1-417771b181e9
Tag:数据泄露,美国,第三方供应商
美国跨国金融公司摩根士丹利 (Morgan Stanley) 公司于7月2日发表通知称,由于攻击者入侵第三方供应商 Guidehouse 的 Accellion FTA 服务器,摩根士丹利客户敏感信息遭到泄露。第三方供应商于今年5月份通知摩根士丹利公司数据泄露事件,随后摩根士丹利公司向受影响的客户发送数据泄露通知。该银行表示由于第三方供应商遭到黑客攻击,摩根士丹利客户涉及 Guidehouse 拥有的文件及加密文件可能遭到泄露,泄露的数据还包含股票参与者姓名、地址、出生日期、社会安全号码、法人公司名称等信息。据称,虽然被盗文件以加密形式存储在受感染的 Guidehouse Accellion FTA 服务器上,但攻击者在攻击过程中还获得解密的密钥,可能存在加密信息泄露。但摩根士丹利称被盗信息并不包含可以访问摩根士丹利客户金融账户的账号密码等敏感信息。来源:
https://s3.documentcloud.org/documents/20985259/morgan-stanley-bc-20210702.pdf
三部门联合发布关于网络产品安全漏洞管理规定的通知
Tag:漏洞管理
事件概述:
为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,工业和信息化部、国家互联网信息办公室和公安部联合制定《网络安全漏管理规定》,该规定于7月12日发布,自2021年9月1日起施行。
《网络安全漏洞管理规定》主要围绕国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作;工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理;公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动实施。 规定还要求网络产品提供者应当履行网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施。《网络安全漏洞管理规定》还鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞,还对其发布、修补等行为进行明确要求。
来源:
2020年12月,SolarWinds 供应链攻击影响了美国联邦政府、北约、英国政府和欧洲议会的多个部门,以及数千家私营部门组织,据报道是美国有史以来遭受的最严重的网络间谍事件之一,也是诸多政府部门遭受重创事件之一。针对政府部门的网络攻击数不胜数,美国和国际政府部门成为黑客攻击的主要目标,有组织的犯罪分子、外国黑客、政治黑客和其他人的攻击不仅侵蚀公众对目标政府实体的信任,而且还可能严重影响政府的运作以及会对敏感信息和关键基础设施造成重大风险和财务成本损失。网络安全成为全球各国政府日益关注的一个重大问题。随着联邦、州和地方政府越来越多的成为黑客试图窃取、操纵敏感数据和破坏业务的目标。赛门铁克发布关于政府部门有关事件和策略的白皮书,主要围绕遭受的攻击范围以及各种策略展开,详细的讲述针对政府部门的勒索软件、间谍活动、拒绝服务攻击事例,针对政府部门攻击的APT组织,恶意活动的发展趋势以及向政府部门提供保护网络安全的缓解措施。https://symantec.broadcom.com/hubfs/Attacks-Against-Government-Sector.pdf
安徽省关于印发电力供应保障三年行动方案(2022—2024)的通知
近年来,由于安徽省电力需求保持较快增长,国家能源局将安徽省2022—2024年电力供需形势确定为红色预警。为保障未来三年的电力供应及完善电力需求侧管理机制,安徽省人民政府办公厅于近日印发了《安徽省电力供应保障三年行动方案(2022—2024年)》(皖政办秘〔2021〕69号,以下简称《行动方案》)。《行动方案》以保证安徽全省电力供应,解决“十四五”期间存在的电力供应保障能力缺口的主要目标;以提高电力保供能力,有效削减用电负荷,创新形成新型保供力量,提高全民节电意识,加强运行调度管理为主要任务。《行动方案》主要围绕内建外引大力开源,努力提高供应能力;强化管理努力节流,有效削减用电负荷;推进能源改革创新,形成新型保供力量;促进能源消费转型,提高全民节电意识;加强运行调度管理,确保系统顶峰能力行动。该方案主要致力于加强区域协调发展,多方争取省外电力;激发市场主体活力,创新建设应急顶峰机组等创新举措。
来源:
https://baijiahao.baidu.com/s?id=1705157203374759760&wfr=spider&for=pc
广东省发展改革委关于印发《广东省2021年能耗双控工作方案》的通知
根据《中华人民共和国节约能源法》和国家关于能耗双控工作的决策部署,为确保完成全省2021年能耗双控目标,广东省发展改革委制定《广东省2021年能耗双控工作方案》。该方案于近期发表,坚定不移贯彻落实新发展理念,坚决贯彻国家关于能耗双控工作的决策部署,把节能工作贯穿于经济社会发展全过程和各领域,切实推动经济社会高质量发展。该方案以严格落实目标责任制、完善能耗双控管理之地、严格落实节能审查制度、严格节能监督执法来强化能耗双控;以调整产业结构和优化能源结构积极推进结构优化调整;加强工业、建筑、交通运输、消费流通、公共机构、重点用能单位的节能管理;完善价格、财务税收、绿色金融、市场化等配套政策;通过加强组织领导、健全节能法规标准、加强节能宣传培训强化保障措施。
来源:http://www.paperinsight.net/ljz/1895.html
施耐德电气可编程逻辑控制器(Modico PLC)存在严重漏洞
Tag:Modicon PLC , ModiPwn近期, Armis 研究人员披露施耐德电气可编程逻辑控制器(Modicon PLC)发现一个严重(CVE-2021-22779)。该漏洞是身份验证绕过漏洞,允许攻击者绕过身份验证机制,从而导致在易受攻击的 PLC 上执行本地远程代码。CVE-2021-22779涉及在开发过程中用于调试 Modicon 硬件的未记录指令,这些未记录的命令可以允许对 PLC 进行完全控制、覆盖关键内存区域、泄漏敏感内存内容或调用内部函数。这些命令还可用于接管 PLC 并在设备上获得本机代码执行,更改 PLC 的操作,同时对管理 PLC 的工程工作站进行隐藏更改。据研究人员表示该漏洞还影响 Modicon M340、M580 PLC 的最新固件版本和 Modicon 系列的其他型号。截至外媒报道前,ModiPwn 供应商尚未发布关于该漏洞的补丁。技术详情:
攻击者可以利用 CVE-2021-22779 绕过身份验证并保留 PLC,上传未配置应用程序密码的新项目文件,释放 PLC reservation,断开与设备的连接,用基于 Reservation 的方法在不需要密码的情况下重新连接 PLC ,通过利用可以到达 RCE( WritePhysicalAddress 或 PrivateMessage )的未记录命令之一来实现代码执行。
来源:
https://www.armis.com/research/modipwn/
Tag:高危漏洞,三菱电气
三菱电机于近日发布公告称其多个空调系统存在高危漏洞(CVE-2021-20598),该漏洞是 XXE (XML External Entity Injection) 漏洞。 这个漏洞是通过向监听 TCP 端口号1025的进程发送 XXE 有效载荷来触发,这会导致应用程序发出任意 HTTP 或 FTP 请求。利用此漏洞可能导致受影响的系统模型和固件版本上发生拒绝服务或信息泄露。据 CISA 披露,三菱电机空调系统膨胀控制器 PAC-YG50ECA:2.20 及更早版本,空调系统 BM 适配器 BAC-HD150:2.21 及更早版本和空调系统集中控制器的多个版本受此漏洞影响。截至目前,三菱电机除发布相关补丁外,还提供可用的缓解措施和用于检查设备版本漏洞影响的说明。https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-005_en.pdf
BIOPASS RAT 的水坑攻击活动
近日,趋势科技研究人员发现了一种新恶意软件 BIOPASS RAT 的攻击活动。攻击者通过水坑攻击,诱骗访问者下载伪装成 Adobe Flash Player 、 Microsoft Silverlight 安装程序的恶意软件加载程序。这些恶意软件程序加载 Cobalt Strike shellcode 和以前未记录的用 Python 编写的后门 BIOPASS RAT。该恶意软件主要针对中国在线浏览器,包括谷歌浏览器、Edge 浏览器 、2345浏览器、QQ 浏览器、360安全浏览器、搜狗等浏览器。在此次攻击活动攻击者利用水坑接入,在受感染的网站上注入攻击者自定义的JavaScript 代码来交付恶意软件,这些代码通常注入在目标在线支持的聊天页面中。注入的脚本将通过向端口列表发送 HTTP 请求,尝试扫描受影响的主机,以端口是否接收到任何带有预期字符串的响应来判断主机是否被感染。如果主机尚未被感染,它将用攻击者自己的内容替换原始页面内容,并且显示一条错误消息和说明信息,通知网站访问者下载并执行恶意加载程序 Flash 安装程序或 Silverlight 安装程序(Adobe Flash 和 Microsoft Silverlight 已被各自的供应商弃用)。然后创建登录时的计划任务,运行 BPS 后门或 Cobalt Strike 加载器。
来源:
https://www.trendmicro.com/en_us/research/21/g/biopass-rat-new-malware-sniffs-victims-via-live-streaming.html
谷歌商店再次下架含有 Joker 木马的 App
继谷歌商店下架8个含有 Joker 恶意软件的 App 和9个窃取 Facebook 凭据的木马 App 后,再次下架 Joker 变体伪装的 App 。Cyble 研究人员近期在谷歌商店发现 Joker 木马伪装的应用程序 QR Scanner Free。Joker 恶意软件通常执行间谍软件和特洛伊木马程序的恶意软件功能,为用户注册订阅高级收费服务,并将感染的应用程序从攻击者的命令与控制服务器下载到毫无戒备心理的用户设备上,然后利用与广告网站交互的广告从用户设备中窃取短信、设备信息、联系方式等信息。攻击者还可以利用恶意软件在未经用户同意的情况下从用户账户窃取资金。研究人员表示该应用程序在2021年7月5日前仍存在于谷歌商店中。随后,谷歌商店立即下架该恶意 App 。
https://blog.cyble.com/2021/07/09/android-app-disguised-as-a-qr-scanner-spreads-joker-variant-trojan/老树新花:Kimsuky 使用的新版 KGH 间谍组件分析
近期,微步情报局近期通过威胁狩猎系统监测到 Kimsuky APT 组织使用 KGH 间谍组件在进行攻击活动。Kimsuky 组织此次攻击活动疑似针对俄罗斯方向相关团体。研究人员通过样本分析发现,Kimsuky 组织使用一款名为 “MakeMail” 的私有工具用以制作钓鱼邮件进行攻击活动,利用漏洞 CVE-2019-0880 在受害者内部提权,利用 KGH 间谍组件窃取目标隐私信息。研究人员在文章中还披露,Kimsuky 组织在此次攻击活动中的 KGH 间谍组件非常有特点,复用KGH 间谍组件的部分代码,在其旧版本的基础上拓展持久化、远程控制等功能,且使用 FTP 协议与 C2 服务器通信。据样本显示, KGH 间谍组件疑似多个开发人员协同工作。微步情报局会对相关攻击活动持续进行跟踪,及时发现安全威胁并快速响应处置。如果您想查看完整版报告,点击查看“”;如果您想获取含 IOC 的完整报告,可在后台回复“KGH”获取 PDF 版。SpoofedScholars 活动:TA453 组织冒充英国学者开展攻击活动
Tag:SpoofedScholars,TA453,APT据 Proofpoint 研究人员近日报道,TA453 组织冒充伦敦大学和非洲研究学院的英国学者发起攻击活动,活动被称为“SpoofedScholars”。该活动至少从2021年1月开始,主要针对知名学术机构的高级教授、智囊团、关注中东地区事务的记者进行攻击活动,收集敏感信息。由于这些目标与伊斯兰革命卫队(IRGC)历史收集信息目标一致,研究人员表示此次攻击活动可能是为(IRGC)收集情报。TA453 是一个伊朗背景的 APT 组织,又称 Charming Kitten、 APT35、 Ajax Security Team、NewsBeef、 Newscaster 和 Phosphorus。该组织将继续迭代、创新和收集,以支持IRGC 的信息收集优先事项。Proofpoint 研究人员表示 TA453 组织将继续欺骗世界各地的学者,以支持 IRGC 的情报收集行动和伊朗政府的利益。在此次攻击活动中,TA453 组织向目标投递诱饵内容为“美国在中东的安全挑战在线会议的会邀”的电子邮件,待目标确定激活会邀的具体时间后,该组织便会向目标提供一个指向伦敦大学研究机构被破坏的“网络研讨会控制面板”,然后滥用创建的凭证收集页面收集受害者凭据。https://www.proofpoint.com/us/blog/threat-insight/operation-spoofedscholars-conversation-ta453
根据 CitizenLab 报道称,一家名为 Candiru 的以色列公司出售利用 Windows 漏洞的间谍软件,该软件已被用于针对巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡等多个国家的政客、人权活动家、记者、学者、大使馆工作人员和政治异议人士发起攻击。截至目前,该活动至少有100名受害者。此次事件利用的漏洞是 Windows 内核提权漏洞 CVE-2021-31979 和 CVE-2021-33771,可被野外利用提权。微软于7月13日修复了 Candiru 利用的两个 Windows 内核提权漏洞,并更新了工具。微软随后于7月14日发布了四个野外利用的 0day 漏洞(Chrome 中的 CVE-2021-21166 和CVE-2021-30551、Internet Explorer 中的 CVE-2021-33742、WebKit (Safari) 中 的 CVE-2021-1879),三个 0day 被用来攻击亚美尼亚。其中包括两个谷歌 0day 漏洞 CVE-2021-21166 和 CVE-2021-30551,这两漏洞作为一次性链接通过电子邮件发送给目标的,链接会将目标重定向到一个对其设备进行指纹识别的网页,收集有关客户端的系统信息并生成 ECDH 密钥以加密漏洞利用,然后将此数据发送回漏洞利用服务器。由于这些 0day 漏洞已有在野利用,微步情报局建议您针对上述相关漏洞尽快响应处置、更新修复。https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
事件概述:
据外媒披露,Adobe 于7月12日发布更新版本,修复 Adobe Dimension、Illustrator、Framemaker、Acrobat、Reader 和 Bridge 中的漏洞。Adobe 通过更新总共修复28个漏洞,分别修复APSB21-40 | Adobe Dimension 的1个关键漏洞,APSB21-42 | Adobe Illustrator 中的2个关键漏洞和1个重要漏洞,APSB 21-45 | Adobe Framemaker中的1 个关键漏洞,APSB21-51 | Adobe Acrobat 和 Reader 中的14个关键漏洞和5个重要漏洞,APSB21-53 | Adobe Bridge中的 4个关键漏洞和1个中等漏洞。这些漏洞几乎都可能导致任意代码执行,攻击者可以利用这些漏洞在易受攻击的计算机上执行任意命令。
来源:
https://www.bleepingcomputer.com/news/security/adobe-updates-fix-28-vulnerabilities-in-6-programs/
Sonicwall 发布针对固件的勒索软件活动的紧急通知
2021年7月14日,网络设备制造商SonicWall向其客户发出了一份紧急通知,宣称一场使用被盗凭证的勒索软件活动即将展开,该活动的目标是安全移动访问(SMA) 100系列和安全远程访问(SRA)产品未打补丁且已停产8.x固件。SonicWall 除了在网站上发表通知外,还向使用 SMA 和 SRA 设备的个人发送电子邮件,敦促用户断开产品的连接。SonicWall 表示漏洞已在较新的版本中进行了修补,并敦促用户更新到最新的可用 SRA 和 SMA 固件。
来源:
https://www.zdnet.com/article/sonicwall-releases-urgent-notice-about-imminent-ransomware-targeting-firmware/
美国零售商 Guess 遭勒索软件攻击,数据发生泄露
2021年7月13日,美国服装品牌和零售商 Guess 披露因2月份勒索软件攻击导致的数据泄露事件。此次攻击可能是由 DarkSide 勒索软件团伙实施的,该团伙于4月份在其数据泄露站点上列出 Guess 超过200 GB 的文件。Guess 称此次事件不会影响客户支付卡的信息,并且对公司运营和财务也没有产生重大影响。
来源:
https://securityaffairs.co/wordpress/120029/cyber-crime/guess-discloses-data-breach.html?utm_source=rss
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。
内容转载与引用
1. 内容转载,请微信后台留言:转载+转载平台+转载文章
2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
![[1108] 一周重点威胁情报|天际友盟情报站](https://zhousa.com/zb_users/theme/quietlee/style/noimg/4.jpg "[1108] 一周重点威胁情报|天际友盟情报站")
还没有评论,来说两句吧...