绿盟威胁情报周报（2023.11.06-2023.11.12）

本周热点概览

热点资讯

高级红队之驱动通信隐藏技术
警惕！Python软件包索引资源库中存在BlazeStealer恶意软件
Higaisa组织针对中国用户的网络钓鱼行动
全球近50个国家签署倡议：承诺永不向网络犯罪团伙支付赎金
研究人员发现Jupyter Infostealer新变种
俄罗斯沙虫黑客在2022年10月造成了停电
刚披露就被利用，攻击者盯上了Apache ActiveMQ 漏洞
波音公司确认“网络事件”的影响，从 LockBit 赎金名单中离奇消失
西门子、爱立信等企业示警，称欧盟网络安全严苛规则将扰乱供应链
黑客肆虐，70 多座城市陷入黑暗！德国政府被勒索软件狂攻

热点资讯

高级红队之驱动通信隐藏技术

标签：红队

概述：上一章简单说了驱动在无签名时如何进行加载，但我们加载后还需要与三环建立通信。如果我们使用IO进行通信，在使用mapper加载后会蓝屏且很容易被发现。所以我们需要一些其他的手段进行通信：劫持通信.data ptr技术。

链接：https://ti.nsfocus.com/security-news/IlNAC

警惕！Python软件包索引资源库中存在BlazeStealer恶意软件

标签：BlazeStealer

概述：Checkmarx 在与《 The Hacker News》共享的一份报告中提到， Python 软件包索引（PyPI）资源库中有一组新的恶意 Python 软件包。该软件包会入侵到开发者系统中窃取敏感信息。这些软件包伪装成了看似无害的混淆工具，但其实在其中隐藏着一个名为 BlazeStealer 的恶意软件。

链接：https://ti.nsfocus.com/security-news/IlNAw

Higaisa组织针对中国用户的网络钓鱼行动

标签：Higaisa

概述：Cyble研究与情报实验室(CRIL)发现了一个新的APT攻击行动，其重点是通过模仿知名软件应用程序的网络钓鱼网站来引诱毫无戒心的受害者。在此次攻击行动中，攻击者将钓鱼网站伪装成专为中国用户定制的OpenVPN软件，并充当传播恶意负载的主机。执行后，安装程序会在系统上投放并运行基于Rust的恶意软件，随后触发Shellcode。Shellcode执行反调试和解密操作。然后，它与远程威胁攻击者建立加密的命令和控制(C&C)通信。该恶意软件的特征与Higaisa APT组织在过去的行动中使用的特征相似。

链接： https://ti.nsfocus.com/security-news/IlNzU

全球近50个国家签署倡议：承诺永不向网络犯罪团伙支付赎金

标签：勒索软件

概述：在华盛顿特区举办的第三届国际反勒索软件倡议峰会上，近50个国家将签署有史以来首个联合反勒索软件倡议政策声明——其政府机构将停止向勒索软件团伙支付赎金。

链接：https://ti.nsfocus.com/security-news/IlNzm

研究人员发现Jupyter Infostealer新变种

标签：Jupyter Infostealer

概述：Jupyter Infostealer（又称Yellow Cockatoo、Solarmarker、Polazert）是一种恶意软件，最早在2020年底被发现。研究人员近期发现了新一轮的Jupyter Infostealer攻击活动，并从中发现Jupyter Infostealer新变种。在过去的两周里，研究人员观察到Jupyter Infostealer感染数量逐渐增多，发现了26个感染案例。

链接：https://ti.nsfocus.com/security-news/IlNAo

俄罗斯沙虫黑客在2022年10月造成了停电

标签：Sandworm

概述：Mandiant的研究人员表示，俄罗斯军事黑客于2022年10月在一次此前未公开的网络攻击中成功触发了乌克兰一个电网变电站的断路器。这次中断是由格鲁乌主要情报局(GRU Main Intelligence Directorate)一个俗称“沙虫”(Sandworm)的部门造成的，与此同时，乌克兰各地的关键基础设施遭到了大规模导弹袭击。

链接：https://ti.nsfocus.com/security-news/IlNAQ

刚披露就被利用，攻击者盯上了Apache ActiveMQ 漏洞

标签：CVE-2023-46604, HelloKitty

概述：Apache 软件基金会 (ASF)于 10 月 27 日披露了一个被追踪为CVE-2023-46604的漏洞，允许有权访问 ActiveMQ 消息代理的远程攻击者在受影响的系统上执行任意命令。Rapid7 的研究人员报告称，在ASF 披露漏洞的同一天，就观察到了两个针对该漏洞的利用活动。Rapid7 托管检测和响应团队的研究人员在博客文章中表示，攻击者都试图在目标系统上部署勒索软件二进制文件，以勒索受害者。研究人员根据勒索信息和其他攻击属性，将恶意活动归因于 HelloKitty 勒索软件。至少从 2020 年起，HelloKitty 勒索软件活动就一直在蔓延。作为向受害者勒索赎金的额外手段，其运营人员倾向于进行双重勒索攻击，不仅加密数据，还窃取数据。Rapid7 威胁研究主管凯特琳·康登 (Caitlin Condon) 表示，该漏洞的利用代码已公开，研究人员已经确认了可利用性。Rapid7 观察到的威胁活动看起来像是自动利用，而且并不是特别复杂，因此建议企业组织迅速修补，以防止潜在的利用。

链接：https://ti.nsfocus.com/security-news/IlNz2

波音公司确认“网络事件”的影响，从 LockBit 赎金名单中离奇消失

标签：LockBit

概述：

波音公司已向媒体证实，由于 LockBit 勒索团伙先前声称发生的“网络事件”，部分运营受到了影响。这家公司及其LOGO从 LockBit 的官方受害者数据泄露页面上神秘消失。

周三晚间，波音发言人对《网络新闻》表示：“我们意识到网络事件影响了我们的零部件和分销业务。”周四凌晨，至少有一个与该业务相关的网站显示了一条消息，称该网站“因技术问题而停机”。目前尚不清楚此次中断是否与网络攻击有关。其他部分和配送站点似乎运行正常。

链接： https://ti.nsfocus.com/security-news/IlNyM

西门子、爱立信等企业示警，称欧盟网络安全严苛规则将扰乱供应链

标签：供应链

概述：IT之家 11 月 7 日消息，据路透社，西门子、爱立信、施耐德电气以及行业组织 DigitalEurope 昨日联合发出警告，表示欧盟针对智能设备网络安全风险所提出的规则很有可能扰乱供应链，甚至可以造成类似新冠疫情期间的严重后果。

链接：https://ti.nsfocus.com/security-news/IlNzS

黑客肆虐，70 多座城市陷入黑暗！德国政府被勒索软件狂攻

标签：勒索软件

概述：本周发生的勒索软件攻击已使德国西部多个城市和地区的地方政府服务陷入瘫痪。周一早些时候，一个未知的黑客组织对当地市政服务提供商Südwestfalen IT的服务器进行了加密。为了防止恶意软件传播，该公司限制了70多个城市的基础设施访问，主要是在德国西部的北莱茵-威斯特法伦州。该公司在一个临时网站上发布的声明中表示，此次袭击使当地政府服务“受到严重限制”，因为事件发生后，其主网站无法访问。

链接：https://ti.nsfocus.com/security-news/IlNyO

绿盟威胁情报中心

绿盟威胁情报中心（NSFOCUS Threat Intelligence center, NTI）是绿盟科技为落实智慧安全3.0战略，促进网络空间安全生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。

绿盟威胁情报中心官网：https://nti.nsfocus.com/

绿盟威胁情报云：https://ti.nsfocus.com/

点击下方“阅读原文”查看更多

↓↓↓