一周威胁情报摘要
一周威胁情报摘要
金融威胁情报 能源威胁情报 Veolia北美水务部门系统遭网络勒索攻击
工控威胁情报 CISA发布六项工业控制系统安全公告
流行威胁情报 “暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动
高级威胁情报 年度报告 | 2023 年高频攻击情报大全,主打一个群魔乱舞
ScarCruft 组织针对安全研究人员发起网络钓鱼攻击
漏洞情报 漏洞通告 | Confluence RCE 已发现在野利用
勒索专题 Kasseika勒索软件:利用Martini驱动程序的安全工具绕过攻击链
钓鱼专题 TA866恶意邮件活动再现,使用新型PDF附件传播恶意链接
Veolia北美水务部门系统遭网络勒索攻击
CISA发布六项工业控制系统安全公告
“暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动
年度报告 | 2023 年高频攻击情报大全,主打一个群魔乱舞
ScarCruft 组织针对安全研究人员发起网络钓鱼攻击
漏洞通告 | Confluence RCE 已发现在野利用
Kasseika勒索软件:利用Martini驱动程序的安全工具绕过攻击链
TA866恶意邮件活动再现,使用新型PDF附件传播恶意链接
金融威胁情报
金融威胁情报
阿根廷金融平台 Payoneer 账户遭遇双因素身份验证绕过攻击
Tag:Payoneer,2FA
https://www.bleepingcomputer.com/news/security/payoneer-accounts-in-argentina-hacked-in-2fa-bypass-attacks/
能源威胁情报
能源威胁情报
Veolia北美水务部门系统遭网络勒索攻击
Tag:水务系统,勒索
Veolia北美部门此次遭受网络勒索攻击,正值美国多个联邦机构发布指导方针,以帮助该国的水务系统运营商更好地应对网络攻击。同时,英国的主要运营商Southern Water表示遭到了勒索软件组织Black Basta的攻击。这也是网络罪犯瞄准水务和污水公司的趋势的一部分,包括2023年11月伊朗支持的网络勒索软件组织Cyber Av3ngers对宾夕法尼亚州Aliquippa市的市政水务系统发动的攻击。此次事件进一步凸显了水务行业面临的网络安全挑战。
来源:
https://securityboulevard.com/2024/01/ransomware-attack-targets-major-north-american-water-company/
工控威胁情报
工控威胁情报
CISA发布六项工业控制系统安全公告
Tag:ICS,漏洞
这些漏洞可能导致攻击者获取敏感数据、执行特定命令和函数并获得完全管理员权限,甚至可能导致拒绝服务、获取管理员凭据或实现远程代码执行等严重后果。对于受影响的产品,CISA建议采取防御措施,包括最小化网络暴露、将控制系统网络和远程设备置于防火墙后面并隔离业务网络、在需要远程访问时使用更安全的方法等。
来源:
https://www.cisa.gov/news-events/alerts/2024/01/23/cisa-releases-six-industrial-control-systems-advisories
流行威胁情报
流行威胁情报
“暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动
Tag:黑产,远控木马
高级威胁情报
高级威胁情报
年度报告 | 2023 年高频攻击情报大全,主打一个群魔乱舞
Tag:黑灰产,APT
狐潜鼠伏:黑产团伙活跃,包括银狐、花斑豹、黄雀、山猫等,利用社工技术、电子邮件、社交软件、供应链投毒等手段,攻击目标广泛,威胁样本具备多种绕过手法。 巧取豪夺:勒索软件不断演进,勒索团伙数量增加,攻击范围扩大,技术能力提升,危害程度加重,勒索攻击向着“APT化”发展。 群魔乱舞:我国依然是APT组织的重点攻击目标,包括白象、DarkHotel、海莲花等多个APT组织对政府部门、高校、科研等行业的轮番攻击,攻击手法多样 愿者上钩:钓鱼仿冒攻击蓬勃发展,攻击者通过钓鱼网站窃取敏感信息,钓鱼攻击呈现“广撒网”趋势,使用顶级域名和模板化钓鱼工具。 僵而不死:传统僵木蠕仍然是企业网络安全的隐患,攻击者利用免杀木马生成工具生成新的僵木蠕,通过DGA与C2结合控制木马爆发时间,影响企业网络安全。
综上所述,2023年网络安全威胁与攻击呈现多样化、持续化、智能化趋势,企业需要提高警惕,采取有效对策应对各类安全威胁。更多内容需后台回复关键词“CTI2023”获取。
ScarCruft 组织针对安全研究人员发起网络钓鱼攻击
Tag:ScarCruft,网络钓鱼
漏洞情报
漏洞情报
漏洞通告 | Confluence RCE 已发现在野利用
Tag:RCE,在野利用
勒索专题
勒索专题
2024 年 1 月 23 日
Kasseika勒索软件:利用Martini驱动程序的安全工具绕过攻击链
外媒报道称,随着勒索软件团伙采用BYOVD(Bring Your Own Vulnerable Device)攻击数量的增加,Kasseika勒索软件成为最新加入这一趋势的团伙之一。Kasseika与Akira、BlackByte和AvosLocker一样,都采用了这种策略,允许攻击者终止杀毒软件进程和服务,以部署勒索软件。Kasseika勒索软件滥用了Martini驱动程序来终止受害机器上的杀毒软件相关进程。进一步分析显示,大部分BlackMatter使用的源代码也被用于这次攻击。由于BlackMatter的源代码并不广泛可得,因此它在这次Kasseika勒索软件攻击中的使用表明了一个成熟的攻击者,属于获取或购买了其权限的有限群体。Kasseika勒索软件通过针对性网络钓鱼技术进行初始访问,并从目标公司的一名员工那里获取凭据。随后,它使用远程管理工具(RATs)获得特权访问,并在目标网络内进行横向移动。此外,Kasseika勒索软件滥用了合法的Windows RAT PsExec来执行其恶意文件,并进一步采用批处理脚本加载其恶意实体。最后,它滥用Martini驱动程序有效地禁用各种安全工具,以躲避防御。 来源:
https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html
Kasseika勒索软件:利用Martini驱动程序的安全工具绕过攻击链
外媒报道称,随着勒索软件团伙采用BYOVD(Bring Your Own Vulnerable Device)攻击数量的增加,Kasseika勒索软件成为最新加入这一趋势的团伙之一。Kasseika与Akira、BlackByte和AvosLocker一样,都采用了这种策略,允许攻击者终止杀毒软件进程和服务,以部署勒索软件。Kasseika勒索软件滥用了Martini驱动程序来终止受害机器上的杀毒软件相关进程。进一步分析显示,大部分BlackMatter使用的源代码也被用于这次攻击。由于BlackMatter的源代码并不广泛可得,因此它在这次Kasseika勒索软件攻击中的使用表明了一个成熟的攻击者,属于获取或购买了其权限的有限群体。Kasseika勒索软件通过针对性网络钓鱼技术进行初始访问,并从目标公司的一名员工那里获取凭据。随后,它使用远程管理工具(RATs)获得特权访问,并在目标网络内进行横向移动。此外,Kasseika勒索软件滥用了合法的Windows RAT PsExec来执行其恶意文件,并进一步采用批处理脚本加载其恶意实体。最后,它滥用Martini驱动程序有效地禁用各种安全工具,以躲避防御。 来源:
https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html
Kasseika勒索软件:利用Martini驱动程序的安全工具绕过攻击链
来源:
https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html
钓鱼专题
钓鱼专题
2024 年 1 月 18 日
TA866恶意邮件活动再现,使用新型PDF附件传播恶意链接
Proofpoint研究人员发现了TA866恶意邮件活动的回归,此前已有九个月没有活动。1月11日,Proofpoint拦截了一次针对北美地区的大规模活动,涉及数千封邮件,主题为发票,附件为名为“Document_[10 digits].pdf”的PDF文件。这些PDF文件包含OneDrive链接,点击后将触发一个多步感染链,最终导致恶意软件有效载荷的传播,是WasabiSeed和Screenshotter自定义工具集的变种。攻击链类似于2023年3月20日观察到的上一次活动,但有一个重大变化是此次使用了PDF附件包含的OneDrive链接,而以往活动通常使用带有宏的Publisher附件或直接在电子邮件正文中使用404 TDS URL。Proofpoint追踪到此次活动涉及两个威胁组织,分别为TA571和TA866。TA571是垃圾邮件分发器,TA866则负责后期利用工具,包括JavaScript、带有WasabiSeed组件的MSI和带有Screenshotter组件的MSI。Proofpoint评估TA866是一个有组织的威胁组织,能够规模化地执行深思熟虑的攻击,具备定制工具,并能够从其他威胁组织那里购买工具和服务。来源:https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign
TA866恶意邮件活动再现,使用新型PDF附件传播恶意链接
Proofpoint研究人员发现了TA866恶意邮件活动的回归,此前已有九个月没有活动。1月11日,Proofpoint拦截了一次针对北美地区的大规模活动,涉及数千封邮件,主题为发票,附件为名为“Document_[10 digits].pdf”的PDF文件。这些PDF文件包含OneDrive链接,点击后将触发一个多步感染链,最终导致恶意软件有效载荷的传播,是WasabiSeed和Screenshotter自定义工具集的变种。攻击链类似于2023年3月20日观察到的上一次活动,但有一个重大变化是此次使用了PDF附件包含的OneDrive链接,而以往活动通常使用带有宏的Publisher附件或直接在电子邮件正文中使用404 TDS URL。Proofpoint追踪到此次活动涉及两个威胁组织,分别为TA571和TA866。TA571是垃圾邮件分发器,TA866则负责后期利用工具,包括JavaScript、带有WasabiSeed组件的MSI和带有Screenshotter组件的MSI。Proofpoint评估TA866是一个有组织的威胁组织,能够规模化地执行深思熟虑的攻击,具备定制工具,并能够从其他威胁组织那里购买工具和服务。来源:https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign
TA866恶意邮件活动再现,使用新型PDF附件传播恶意链接
TA866恶意邮件活动再现,使用新型PDF附件传播恶意链接
Proofpoint研究人员发现了TA866恶意邮件活动的回归,此前已有九个月没有活动。1月11日,Proofpoint拦截了一次针对北美地区的大规模活动,涉及数千封邮件,主题为发票,附件为名为“Document_[10 digits].pdf”的PDF文件。这些PDF文件包含OneDrive链接,点击后将触发一个多步感染链,最终导致恶意软件有效载荷的传播,是WasabiSeed和Screenshotter自定义工具集的变种。攻击链类似于2023年3月20日观察到的上一次活动,但有一个重大变化是此次使用了PDF附件包含的OneDrive链接,而以往活动通常使用带有宏的Publisher附件或直接在电子邮件正文中使用404 TDS URL。Proofpoint追踪到此次活动涉及两个威胁组织,分别为TA571和TA866。TA571是垃圾邮件分发器,TA866则负责后期利用工具,包括JavaScript、带有WasabiSeed组件的MSI和带有Screenshotter组件的MSI。Proofpoint评估TA866是一个有组织的威胁组织,能够规模化地执行深思熟虑的攻击,具备定制工具,并能够从其他威胁组织那里购买工具和服务。
---End---
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...