一周威胁情报摘要
一周威胁情报摘要
金融威胁情报 朝鲜威胁组织加大力度攻击加密货币行业,盗窃超30亿美元
能源威胁情报 伊朗威胁组织利用以色列制造的PLC攻击美国供水设施
工控威胁情报 Sierra Wireless路由器被曝存在多个漏洞
流行威胁情报
Rare Wolf组织针对俄罗斯机构发起网络钓鱼攻击
高级威胁情报
AeroBlade组织针对美国航空航天工业组织发起网络攻击
漏洞情报 漏洞通告 | 用友U8 cloud远程代码执行漏洞
勒索专题 BlueSky勒索软件针对MSSQL服务器展开攻击
钓鱼专题 WordPress用户遭受钓鱼攻击,恶意插件植入后门
朝鲜威胁组织加大力度攻击加密货币行业,盗窃超30亿美元
伊朗威胁组织利用以色列制造的PLC攻击美国供水设施
Sierra Wireless路由器被曝存在多个漏洞
Rare Wolf组织针对俄罗斯机构发起网络钓鱼攻击
AeroBlade组织针对美国航空航天工业组织发起网络攻击
漏洞通告 | 用友U8 cloud远程代码执行漏洞
BlueSky勒索软件针对MSSQL服务器展开攻击
WordPress用户遭受钓鱼攻击,恶意插件植入后门
金融威胁情报
金融威胁情报
朝鲜威胁组织加大力度攻击加密货币行业,盗窃超30亿美元
Tag:Lazarus,APT,加密货币
https://go.recordedfuture.com/hubfs/reports/cta-2023-1130.pdf
能源威胁情报
能源威胁情报
伊朗威胁组织利用以色列制造的PLC攻击美国供水设施
Tag:CyberAv3ngers, 可编程逻辑控制器(PLC)
PLC在能源、食品和饮料制造以及医疗保健等其他行业也有使用,可能会被重新标记,因此攻击的数量和威胁的范围仍然不清楚。在周一的新闻发布会上,CISA执行助理主任Eric Goldstein敦促所有行业的组织采取一些基本步骤来保护他们的运营技术环境:不要将PLC暴露在开放的互联网上,不要使用默认密码。此外,他还建议组织开始实施我们的联合咨询中的其他缓解措施,并检测其中概述的妨害指标。目前,Cyberav3ngers似乎是唯一一个针对美国关键基础设施设施中的以色列制造设备的团伙。
参考链接:
https://go.theregister.com/feed/www.theregister.com/2023/12/04/iran_terrorist_us_water_attacks/
工控威胁情报
工控威胁情报
Sierra Wireless路由器被曝存在多个漏洞
Tag:OpenDNS, TinyXML
Sierra Wireless是一家专业提供工业网络连接解决方案的加拿大公司,最近因安全问题受到关注。安全专家在其路由器软件中发现了约21个漏洞,如OpenDNS和TinyXML。这些漏洞可能已经或有可能暴露了近87,000多台路由器,涉及到卫生保健、废物管理、零售、紧急服务和车辆追踪等各个行业,面临潜在的网络攻击。这些漏洞被安全专家称为“Sierra:21”,漏洞可以通过软件更新得到解决,但是完全推出改更新可能需要一些时间,由于更新取决于不同行业的路由器管理员何时意识到这个情况并应用必要的更新。值得注意的是,受影响的5G双无线路由器主要部署在西方国家,如美国、加拿大、法国、澳大利亚和泰国。
根据研究,这些路由器漏洞可能使黑客能够窃取数据并控制路由器,允许他们注入恶意代码。此外,这些漏洞使设备成为进入关键网络的潜在入口点。此外,黑客可能利用低功耗广域设备作为机器人,发动分布式拒绝服务(DDoS)攻击,导致管理软件崩溃,或发起中间人攻击。建议尽快修复漏洞,减少攻击威胁。
https://www.cybersecurity-insiders.com/sierra-wireless-routers-are-vulnerable-to-cyber-attacks/?utm_source=rss&utm_medium=rss&utm_campaign=sierra-wireless-routers-are-vulnerable-to-cyber-attacks
流行威胁情报
流行威胁情报
Rare Wolf组织针对俄罗斯机构发起网络钓鱼攻击
Tag:网络钓鱼,黑灰产
https://bi.zone/expertise/blog/rare-wolf-okhotitsya-za-privatnymi-dannymi-s-pomoshchyu-falshivykh-nakladnykh-1s-predpriyatie/
高级威胁情报
高级威胁情报
AeroBlade组织针对美国航空航天工业组织发起网络攻击
Tag:AeroBlade,航空航天
https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry
漏洞情报
漏洞情报
漏洞通告 | 用友U8 cloud远程代码执行漏洞
Tag:远程代码执行漏洞
https://mp.weixin.qq.com/s/oUcwqkUwA3ym7ix3MJytrA
勒索专题
勒索专题
2023年12月4日
BlueSky勒索软件针对MSSQL服务器展开攻击
外媒报道称一场针对MSSQL服务器的入侵事件,导致了BlueSky勒索软件的恶意攻击。BlueSky勒索软件自2022年6月首次被发现以来,一直与Conti和Babuk勒索软件存在代码关联。与其他报告不同的是,这次威胁行为者通过MSSQL暴力破解攻击获取了访问权限,然后利用Cobalt Strike和Tor2Mine执行了后渗透活动。在威胁行为者访问网络仅一小时内,他们便广泛部署了BlueSky勒索软件,将其传播至整个网络。这次事件的核心在于威胁行为者通过暴力破解MSSQL的“sa”(系统管理员)帐户成功获取了初始访问权限。接着,他们利用Cobalt Strike和Tor2Mine进行了多阶段的攻击,包括利用“xp_cmdshell”在SQL服务器上执行PowerShell命令、注入合法进程、远程服务创建实现横向移动,最终在32分钟内将BlueSky勒索软件传播到整个网络。这次入侵事件的复杂性和速度展示了威胁组织的高度组织和技术水平。
参考链接:
https://thedfirreport.com/2023/12/04/sql-brute-force-leads-to-bluesky-ransomware/
BlueSky勒索软件针对MSSQL服务器展开攻击
外媒报道称一场针对MSSQL服务器的入侵事件,导致了BlueSky勒索软件的恶意攻击。BlueSky勒索软件自2022年6月首次被发现以来,一直与Conti和Babuk勒索软件存在代码关联。与其他报告不同的是,这次威胁行为者通过MSSQL暴力破解攻击获取了访问权限,然后利用Cobalt Strike和Tor2Mine执行了后渗透活动。在威胁行为者访问网络仅一小时内,他们便广泛部署了BlueSky勒索软件,将其传播至整个网络。这次事件的核心在于威胁行为者通过暴力破解MSSQL的“sa”(系统管理员)帐户成功获取了初始访问权限。接着,他们利用Cobalt Strike和Tor2Mine进行了多阶段的攻击,包括利用“xp_cmdshell”在SQL服务器上执行PowerShell命令、注入合法进程、远程服务创建实现横向移动,最终在32分钟内将BlueSky勒索软件传播到整个网络。这次入侵事件的复杂性和速度展示了威胁组织的高度组织和技术水平。
参考链接:
https://thedfirreport.com/2023/12/04/sql-brute-force-leads-to-bluesky-ransomware/
外媒报道称一场针对MSSQL服务器的入侵事件,导致了BlueSky勒索软件的恶意攻击。BlueSky勒索软件自2022年6月首次被发现以来,一直与Conti和Babuk勒索软件存在代码关联。与其他报告不同的是,这次威胁行为者通过MSSQL暴力破解攻击获取了访问权限,然后利用Cobalt Strike和Tor2Mine执行了后渗透活动。在威胁行为者访问网络仅一小时内,他们便广泛部署了BlueSky勒索软件,将其传播至整个网络。
参考链接:
https://thedfirreport.com/2023/12/04/sql-brute-force-leads-to-bluesky-ransomware/
钓鱼专题
钓鱼专题
2023年12月1日
WordPress用户遭受钓鱼攻击,恶意插件植入后门
Wordfence Threat Intelligence Team报告了一起针对WordPress用户的钓鱼攻击。钓鱼邮件冒充WordPress团队,声称用户网站存在远程代码执行漏洞(CVE-2023-45124,目前不是有效的CVE),并引导受害者下载名为“Patch”的插件进行安装。插件下载链接将受害者重定向至一个逼真的假页面。如果受害者安装了插件,将植入一个具有用户名wpsecuritypatch的恶意管理员用户。同时,插件还下载一个名为wp-autoload.php的后门,用于确保攻击者持久访问,并提供多种形式的访问,包括文件管理器、SQL客户端、PHP控制台和命令行终端。截至目前,Wordfence已做出响应,更新了威胁情报,未发现其用户受到感染。并将尽快发布恶意插件和后门的恶意软件签名。用户需注意防范此类钓鱼邮件,不点击链接或安装插件。Wordfence呼吁转发警报,提醒WordPress站点的朋友和熟人注意防范。
参考链接:
https://wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/
WordPress用户遭受钓鱼攻击,恶意插件植入后门
Wordfence Threat Intelligence Team报告了一起针对WordPress用户的钓鱼攻击。钓鱼邮件冒充WordPress团队,声称用户网站存在远程代码执行漏洞(CVE-2023-45124,目前不是有效的CVE),并引导受害者下载名为“Patch”的插件进行安装。插件下载链接将受害者重定向至一个逼真的假页面。如果受害者安装了插件,将植入一个具有用户名wpsecuritypatch的恶意管理员用户。同时,插件还下载一个名为wp-autoload.php的后门,用于确保攻击者持久访问,并提供多种形式的访问,包括文件管理器、SQL客户端、PHP控制台和命令行终端。截至目前,Wordfence已做出响应,更新了威胁情报,未发现其用户受到感染。并将尽快发布恶意插件和后门的恶意软件签名。用户需注意防范此类钓鱼邮件,不点击链接或安装插件。Wordfence呼吁转发警报,提醒WordPress站点的朋友和熟人注意防范。
参考链接:
https://wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/
Wordfence Threat Intelligence Team报告了一起针对WordPress用户的钓鱼攻击。钓鱼邮件冒充WordPress团队,声称用户网站存在远程代码执行漏洞(CVE-2023-45124,目前不是有效的CVE),并引导受害者下载名为“Patch”的插件进行安装。插件下载链接将受害者重定向至一个逼真的假页面。如果受害者安装了插件,将植入一个具有用户名wpsecuritypatch的恶意管理员用户。同时,插件还下载一个名为wp-autoload.php的后门,用于确保攻击者持久访问,并提供多种形式的访问,包括文件管理器、SQL客户端、PHP控制台和命令行终端。截至目前,Wordfence已做出响应,更新了威胁情报,未发现其用户受到感染。并将尽快发布恶意插件和后门的恶意软件签名。用户需注意防范此类钓鱼邮件,不点击链接或安装插件。Wordfence呼吁转发警报,提醒WordPress站点的朋友和熟人注意防范。
参考链接:
https://wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/
---End---
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...