正文

安全威胁情报周报(9.4~9.10)

admin
admin V管理员 /0 评论 /282 阅读
0911
此篇文章发布距今已超过439天,您需要注意文章的内容或图片是否可用!

一周威胁情报摘要

金融威胁情报

  • 全球自动化欺诈服务Classiscam崭露头角,非法获利6450万美元

政府威胁情报

  • LockBit 勒索团伙疑似泄露窃取的英国国防承包商文件

能源威胁情报

  • 俄罗斯“花式熊”APT 针对乌克兰能源设施展开攻击

工控威胁情报

  • 华硕路由器曝严重安全漏洞,需立即更新

流行威胁情报

  • 研究人员披露Emotet银行木马再次出现

高级威胁情报

  • Lazarus组织使用VMConnect恶意软件进行供应链攻击

漏洞情报

  • 8月漏洞人工验真报告合集,看看有漏的没?

勒索专题

  • 美国佐治亚州 Forsyth County 遭遇勒索软件攻击,黑客威胁泄露敏感数据

钓鱼专题

  • ASEC报告:PDF文档欺诈钓鱼攻击事件



金融威胁情报


全球自动化欺诈服务Classiscam崭露头角,非法获利6450万美元

  Tag:金融诈骗

事件概述:

在COVID-19大流行等重大事件改变了我们的生活和工作方式之前,俄罗斯的Group-IB计算机应急响应团队(CERT-GIB)与其数字风险保护部门首次发现了一项名为Classiscam的全新自动化欺诈计划。这一计划最早于2019年夏季在俄罗斯发现,但随着全球人口在自我隔离的数月中转向在线购物,于2020年春季迅速升温。Classiscam最初在分类网站上启动,欺诈分子发布虚假广告,并运用社交工程技巧欺骗用户通过银行卡转账购买商品。随着时间的推移,Classiscam计划变得高度自动化,可在其他服务上运行,如在线市场和拼车网站。

Classiscam计划迅速从俄罗斯扩展到全球,涵盖欧洲、美国、亚太地区以及中东和非洲等多个地区。截至2023年上半年,Group-IB研究人员已发现1,366个不同的Classiscam群组,其中393个群组在Telegram上操作,拥有超过38,000名成员。这些群组估计已非法获利 6450万美元。

技术手法:
Classiscam最初是一个相对简单的欺诈服务,通过虚假广告引诱用户购买商品或服务,通过银行卡转账或直接扣款获取资金。随着时间的推移,它变得更加自动化,使用Telegram机器人进行聊天来协调操作,创建网络钓鱼和欺诈页面。Classiscam操作依赖于欺骗性的社交工程能力,引导潜在受害者访问自动生成的欺诈网站。它还演化为更加复杂的操作,包括对银行账户余额的检查,假银行登录页面的添加以窃取用户凭据。此外,Classiscam 服务还包括信息窃取器,这些恶意软件可以收集浏览器账户的密码并传输给操作者。这个欺诈计划持续发展,需要警惕。
来源:
https://www.group-ib.com/blog/classiscam-2023/



政府威胁情报


LockBit 勒索团伙疑似泄露窃取的英国国防承包商文件

  Tag:勒索,数据泄露,国防

事件概述:

英国安防公司Zaun Ltd.近日遭LockBit勒索团伙网络攻击,虽然只侵入了公司内部网络的一小部分,但涉及英国国防部机构物理安全的敏感文件疑似遭到泄露。这次攻击发生在2023年8月初,黑客通过入侵一台控制制造机器的Windows 7电脑实施。尽管Zaun表示其网络安全系统成功阻止了数据被加密,但攻击者仍然窃取了约10GB的数据,可能包括历史电子邮件、订单、图纸和项目文件。尽管该公司声称没有机密文件受到影响,然而,多家英国小报的报道称,LockBit团队已将涉及Zaun与英国国防部门实体合作的敏感信息泄露到了暗网。

泄露的公司数据据称包括英国中部皇家空军基地、英格兰南部军事研究设施以及威尔士西部的英国陆军兵营的安全设备细节。此外,还暴露了与一系列英国监狱有关的信息,以及军事和情报机构(包括GCHQ和苏格兰皇家海军基地)的销售订单。

尽管Zaun公司试图在新闻稿中淡化被窃取数据的重要性,但这次事件引发了对英国国防安全的广泛担忧。攻击可能会影响国防部门的物理安全设备,凸显了企业面临的网络威胁,强调了及时升级和维护网络安全的迫切性。


来源:

https://www.darkreading.com/attacks-breaches/lockbit-leaks-documents-filched-from-uk-defence-contractor


能源威胁情报


俄罗斯“花式熊”APT 针对乌克兰能源设施展开攻击

  Tag:APT28,乌克兰能源设施

事件概述:

近日,乌克兰计算机应急响应小组披露称俄罗斯“花式熊”组织针对乌克兰能源基础设施展开攻击。攻击者采用附件钓鱼的方式进行初始接入,通过伪装向目标发送附带名为“photo.zip”文件的电子邮件。当受害者点击邮件中的链接时,下载包含三个JPG图像和一个BAT文件的ZIP 文件。执行BAT文件后,计算机会打开多个虚假网页,创建文件,并运行一个VBS文件。这个VBS文件进一步执行了一个CMD文件,CMD文件通过HTTP GET请求获取了系统信息。此外,攻击者还下载了TOR浏览器,以便通过TOR网络传输信息,保持匿名。攻击还包括获取用户账户的密码哈希值。最终,攻击者试图建立持久性访问,以便能够远程控制受感染的计算机系统。

这次攻击凸显了攻击者继续使用合法程序功能(LOLBAS)和外部服务来规避安全措施的趋势,凸显了网络安全领域新的挑战


来源:
https://cert.gov.ua/article/5702579


工控威胁情报


华硕路由器曝严重安全漏洞,需立即更新!

  Tag:路由器,漏洞

事件概述:

三款华硕Wi-Fi路由器(包括华硕RT-AX55、RT-AX56U_V2和RT-AC86U)面临严重的远程代码执行漏洞威胁,然而,这三款路由器仍在华硕官网和零售商处销售。这些漏洞均为格式字符串漏洞,根源于指令验证不当,例如对用户输入的验证不足。这使得黑客可以远程、无需身份验证即可接管华硕路由器,只需发送经过特殊构造的指令即可利用漏洞。

截至目前,华硕已发布了三款受影响路由器的固件更新,强烈建议设备所有者立即安装这些更新,以确保设备免受潜在的攻击威胁。此外,建议用户禁用远程管理功能,以防止未来的远程攻击。这一措施可以进一步提高设备的安全性,确保用户的网络和个人信息不会受到不必要的风险。


来源:
https://www.ghacks.net/2023/09/06/critical-security-vulnerabilities-in-asus-routers-update-immediately/



流行威胁情报


研究人员披露Emotet银行木马再次出现

  Tag:Emotet,银行木马

事件概述:

Emotet自2014年首次出现以来,一直是一种具有危险性和持久性的恶意软件。尽管在2021年初执法机构试图将其关闭,但Emotet表现出极强的生存力,甚至在欧洲刑警组织进行了重大打击行动后仍然存活。今年,它以epoch 4和epoch 5版本回归,并采用Microsoft Word和Microsoft OneNote中的宏和嵌入式脚本进行感染。Emotet不仅仅是一种银行木马,还具备下载其他恶意软件的功能。威胁组织利用多种感染途径,包括恶意宏、VBS、WSF、ZipBombing、LNK文件和HTA文件,以实现快速传播。

自2023年3月重新活跃以来,Emotet的感染途径从最初的大型Microsoft Word文档宏转移到OneNote笔记。最新版本的Emotet载荷显示其技术战术过程(TTPs)发生了重大变化,包括新的传播方式,以规避检测机制。感染主要通过恶意电子邮件活动进行传播,涵盖了“zip bombing”、OneNote附件以及加密附件等多种变种。这表明Emotet仍然是一个严重的网络威胁,需要采取相应的安全措施来保护系统免受其侵害。

来源:
https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html


高级威胁情报


Lazarus组织使用VMConnect恶意软件进行供应链攻击

  Tag:Lazarus,APT,供应链

事件概述:

在2023年8月初,ReversingLabs的研究人员揭示了一起恶意供应链攻击活动,被称为“VMConnect”。这一活动涉及24个恶意Python软件包,这些恶意软件包采用多种伪装技巧,包括模仿合法软件包、使用变形和隐藏恶意功能等,以避免检测。它们被发布在Python Package Index(PyPI)这一开源仓库上,而且这些软件包伪装成一些知名的Python开源工具。随后,研究小组持续监控PyPI,不久后又发现了另外三个新的恶意Python软件包,被认为是VMConnect活动的延续,并指出这次攻击与朝鲜国家支持的Lazarus Group的子组织Labyrinth Chollima有着显著关联。
技术手法:
VMConnect恶意供应链攻击采用了一系列伪装和隐藏技术,旨在规避检测。其中一个恶意软件包tablediter模仿了热门Python工具prettytable,但恶意功能并不在软件包安装时执行,而是在项目中使用时触发。这一恶意功能通过添加到add_row函数中,与C2服务器通信,下载新的命令并执行。此方法的巧妙之处在于,它绕过了传统的安全监测工具,这些工具通常在软件包安装时执行检测,而不会等到软件包在项目中被导入和调用。这提高了恶意软件的隐蔽性,使其更难被检测到。
另外两个恶意软件包request-plus和requestspro采用类似的伪装策略。这些软件包在模仿合法包的同时,实际上包含了信息收集和恶意代码执行的功能。它们通过复制合法包的文件并在__init__.py文件中添加一些代码来实现这些功能。一旦被导入并调用,这些软件包将启动信息收集功能,将数据发送到C2服务器,接收并执行恶意命令。
来源:
https://www.reversinglabs.com/blog/vmconnect-supply-chain-campaign-continues


漏洞情报


8月漏洞人工验真报告合集,看看有漏的没?

  Tag:漏洞

事件概述:

今年8月,各种漏洞的消息四处传播,微步漏洞团队广捞消息,并对捕获的每一条漏洞都进行了严谨的人工验证和复现。整体漏洞有以下趋势:

1.国产OA、财务系统、邮件系统、摄像头安防平台是外网主要攻击目标;
2.集权系统(如域控、堡垒机、虚拟化平台、安全设备)是内网首要攻击目标;
3.特定行业供应链的0day储备已经成为各攻击方能力差异化的点;
4.恶意群发钓鱼命中率较低,因此更多的钓鱼行为会结合办公软件、聊天软件的漏洞,对于防守方来说防不胜防;
5.能直接获取敏感数据的漏洞占比增高,类似敏感凭证泄露、任意文件读取、SQL注入等。
为了帮助广大用户和企业更好地了解这些漏洞的细节和应对措施,微步漏洞团队已经将所有验证的漏洞汇总成报告,报告共140+页,包含近200个漏洞。查看“”获取报告。

来源:



勒索专题



2023年8月30日

美国佐治亚州 Forsyth County 遭遇勒索软件攻击,黑客威胁泄露敏感数据

美国佐治亚州 Forsyth County 在今年早些时候遭受了一次网络勒索软件攻击。该县官员承认了这次攻击,但对细节了解甚少。然而,勒索软件团伙AlphV已经承认对此次攻击负责,并威胁将泄露350GB 窃取的数据。此次攻击导致社会安全号码和驾驶执照号码等敏感信息遭到访问。Forsyth County已采取措施与执法机构和网络安全公司合作,进行调查和回应。这次事件是佐治亚州今年发生的最新一起勒索软件攻击事件,也是美国境内第53起地方政府受到勒索软件攻击的事件之一。


来源:
https://therecord.media/forsyth-county-georgia-ransomware-alphv-post?&web_view=true


钓鱼专题



2023年9月4日

ASEC报告:PDF文档欺诈钓鱼攻击事件

AhnLab Security Emergency Response Center(ASEC)发现一种新型的网络钓鱼攻击,攻击者通过电子邮件附件传播伪装成PDF文档查看器的欺诈脚本文件。攻击者使用了包括购买订单(PO,Purchase Order)、订单、收据和发票等关键词的文件名。在文档内容中,使用了模糊处理的图像作为背景,并在执行附件的HTML文件时显示“要查看文档,请使用电子邮件密码登录”的提示。攻击还包括通过Telegram发送用户信息给攻击者,利用了Telegram的匿名性和加密功能,以逃避反病毒软件的检测。这次攻击试图以伪装成PDF文档查看器的方式引诱用户输入敏感信息,用户需谨慎对待不明来源的电子邮件附件,以确保安全。

来源:
https://asec.ahnlab.com/ko/56551/



---End---



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客