正文

安全威胁情报周报(1.22~1.28)

admin
admin V管理员 /0 评论 /153 阅读
0129
此篇文章发布距今已超过298天,您需要注意文章的内容或图片是否可用!


一周威胁情报摘要

金融威胁情报
能源威胁情报

  • Veolia北美水务部门系统遭网络勒索攻击

工控威胁情报

  • CISA发布六项工业控制系统安全公告

流行威胁情报

  • “暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动

高级威胁情报

  • 年度报告 | 2023 年高频攻击情报大全,主打一个群魔乱舞

  • ScarCruft 组织针对安全研究人员发起网络钓鱼攻击

漏洞情报

  • 漏洞通告 | Confluence RCE 已发现在野利用

勒索专题

  • Kasseika勒索软件:利用Martini驱动程序的安全工具绕过攻击链

钓鱼专题

  • TA866恶意邮件活动再现,使用新型PDF附件传播恶意链接

金融威胁情报

阿根廷金融平台 Payoneer 账户遭遇双因素身份验证绕过攻击

Tag:Payoneer,2FA

事件概述:
最近,许多阿根廷的Payoneer用户在睡觉时收到了一次性密码(OTP)短信,但惊醒后发现他们受到双因素认证(2FA)保护的账户被黑客入侵,资金被盗。Payoneer是一家在线金融服务平台,由于它能够绕过当地银行监管,在阿根廷备受欢迎。此次事件始于上周末,许多受2FA保护的用户发现账户被盗,损失金额从5000至60000美元不等。受害者表示,在睡觉前他们收到了Payoneer的密码重置短信,但未执行操作,然而仍发现资金已被盗。大部分资金被转移到了163.com域名下的未知电子邮件地址。
调查显示,受影响用户大多是Movistar和Tuenti的客户,尤其是Movistar的用户。有人猜测最近Movistar的数据泄露或短信运营商遭到攻击可能与此次入侵有关,但泄露并未暴露用户的邮箱地址,而这是Payoneer重置密码所需的信息之一。尽管Payoneer认为这是钓鱼,但尚未披露具体的入侵细节。由于Payoneer系统的弱点在于依赖短信的2FA和密码恢复过程,目前尚未就此事件发表评论或调查结果。
来源:

https://www.bleepingcomputer.com/news/security/payoneer-accounts-in-argentina-hacked-in-2fa-bypass-attacks/

能源威胁情报

Veolia北美水务部门系统遭网络勒索攻击

Tag:水务系统,勒索

事件概述:
上周,大型水务和污水系统运营商 Veolia 的北美运营部门遭受了网络勒索攻击,暴露了关键基础设施部门受到网络犯罪团伙持续威胁的现实。Veolia官员本周在一份声明中表示,此次攻击影响了其北美市政水务部门的软件和系统。尽管攻击仅限于公司内部后端系统,未直接影响其水务或污水处理运营,但部分客户在尝试使用公司的在线账单支付系统时遇到了延迟。此外,尽管官员表示目前系统已正常运行,并强调在此事件期间进行的所有支付都已生效,但未提及受影响个体的身份。

Veolia北美部门此次遭受网络勒索攻击,正值美国多个联邦机构发布指导方针,以帮助该国的水务系统运营商更好地应对网络攻击。同时,英国的主要运营商Southern Water表示遭到了勒索软件组织Black Basta的攻击。这也是网络罪犯瞄准水务和污水公司的趋势的一部分,包括2023年11月伊朗支持的网络勒索软件组织Cyber Av3ngers对宾夕法尼亚州Aliquippa市的市政水务系统发动的攻击。此次事件进一步凸显了水务行业面临的网络安全挑战。

来源:

https://securityboulevard.com/2024/01/ransomware-attack-targets-major-north-american-water-company/

工控威胁情报

CISA发布六项工业控制系统安全公告

Tag:ICS,漏洞

事件概述:
2024年1月23日,CISA发布了六项工业控制系统(ICS)安全公告,针对目前围绕ICS存在的安全问题、漏洞和利用进行了及时的信息披露。
这些公告分别涉及APsystems能源通信单元(ECU-C)电力控制软件、Crestron AM-300、Voltronic Power ViewPower Pro、Westermo Lynx 206-F2G、Lantronix XPort和Orthanc Osimis DICOM Web Viewer等产品的漏洞和安全问题。

这些漏洞可能导致攻击者获取敏感数据、执行特定命令和函数并获得完全管理员权限,甚至可能导致拒绝服务、获取管理员凭据或实现远程代码执行等严重后果。对于受影响的产品,CISA建议采取防御措施,包括最小化网络暴露、将控制系统网络和远程设备置于防火墙后面并隔离业务网络、在需要远程访问时使用更安全的方法等。

来源:

https://www.cisa.gov/news-events/alerts/2024/01/23/cisa-releases-six-industrial-control-systems-advisories

流行威胁情报

“暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动

Tag:黑产,远控木马

事件概述:
近期,国内安全厂商发现一组利用非官方软件下载站进行投毒和攻击下游用户的安全事件。攻击者通过在下载站上发布含有恶意文件的运维工具,针对国内IT运维人员,特别是macOS平台下的用户。当用户下载并执行这些含有恶意文件的运维工具时,恶意文件会连接攻击者服务器下载并执行远控木马,从而窃取主机中的数据和文件。攻击者利用这些数据和文件确定受害者及其所在单位的信息,为后续横向渗透做准备。
技术手法:
攻击者使用远程控制的方式窃取受害者macOS操作系统主机中的文件。然后,他们使用工具如fscan、nmap对内网进行扫描,获取更多服务器和主机的信息。接着,攻击者尝试使用口令破解、漏洞利用等渗透手段获取更多系统权限,并在服务器上部署并运行hellobot后门。尽管攻击者的横向渗透水平相对较弱,但仍成功获取服务器的系统权限,可能导致数据被窃、信息泄露、被长期监视等安全风险。
来源:

高级威胁情报

年度报告 | 2023 年高频攻击情报大全,主打一个群魔乱舞

Tag:黑灰产,APT

事件概述:
2023年是黑产、黑客大肆利用技术进行高频攻击的一年。黑产团伙更新迭代技术,尤其在自动化技术与人工智能相结合方面进展显著,大幅降低了网络攻击门槛,扩大了攻击范围,增加了受害者数量。重点攻击涉及金融、能源等国计民生行业,政府部门成为黑灰产的主要目标,高校与科研院所是APT组织攻击的对象。
微步情报局对2023年网络攻击事件进行了梳理,总结了五类重点攻击的现状和未来趋势:
  • 狐潜鼠伏:黑产团伙活跃,包括银狐、花斑豹、黄雀、山猫等,利用社工技术、电子邮件、社交软件、供应链投毒等手段,攻击目标广泛,威胁样本具备多种绕过手法。
  • 巧取豪夺:勒索软件不断演进,勒索团伙数量增加,攻击范围扩大,技术能力提升,危害程度加重,勒索攻击向着“APT化”发展。
  • 群魔乱舞:我国依然是APT组织的重点攻击目标,包括白象、DarkHotel、海莲花等多个APT组织对政府部门、高校、科研等行业的轮番攻击,攻击手法多样
  • 愿者上钩:钓鱼仿冒攻击蓬勃发展,攻击者通过钓鱼网站窃取敏感信息,钓鱼攻击呈现“广撒网”趋势,使用顶级域名和模板化钓鱼工具。
  • 僵而不死:传统僵木蠕仍然是企业网络安全的隐患,攻击者利用免杀木马生成工具生成新的僵木蠕,通过DGA与C2结合控制木马爆发时间,影响企业网络安全。

综上所述,2023年网络安全威胁与攻击呈现多样化、持续化、智能化趋势,企业需要提高警惕,采取有效对策应对各类安全威胁。更多内容需后台回复关键词“CTI2023”获取。

来源:

ScarCruft 组织针对安全研究人员发起网络钓鱼攻击

Tag:ScarCruft,网络钓鱼

事件概述:
朝鲜 APT 组织 ScarCruft 近期发起了针对朝鲜专家和媒体机构的攻击活动。这次活动包括使用技术威胁研究报告作为诱饵,试图钓鱼获取威胁情报消费者的信息。ScarCruft还持续测试新的感染链,包括利用技术威胁研究报告作为诱饵的新感染链,预示着他们可能会将目标扩展至威胁研究人员、网络安全政策机构和其他网络安全专业人士。
技术手法 :
ScarCruft 组织使用 Windows快捷方式(LNK)文件作为感染链的起点,通过多阶段感染链传播自定义后门RokRAT。LNK文件执行PowerShell代码,提取并显示诱饵PDF文档,并下载hex编码文件,随后解码并执行文件内容。其中包括了执行RokRAT后门的shellcode。而另一感染链则直接在LNK文件中嵌入了部署RokRAT后门的武器化shellcode。ScarCruft还试图针对朝鲜的最新网络威胁动态进行钓鱼或社会工程活动,以此迷惑或攻击消费威胁情报报告的受众。
来源:https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals/

漏洞情报

漏洞通告 | Confluence RCE 已发现在野利用

Tag:RCE,在野利用

事件概述:
微步漏洞团队于近日捕获到Confluence远程代码执行漏洞(CVE-2023-22527)情报,攻击者可在无需登录的情况下,利用该漏洞构造恶意请求,导致远程代码执行。Atlassian Confluence是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。
微步漏洞团队通过对历史在野利用数据分析,发现Confluence常被用于勒索攻击,所以有理由相信勒索组织能够快速利用该漏洞完成武器化工具。微步HFish已捕获到该漏洞存在在野利用。1. 8.5.0 ≤ version ≤ 8.5.3 ,2. 8.0.x,8.1.x,8.2.x,8.3.x,8.4.x 版本受影响。
综上所述,该漏洞利用难度低,危害大,极有可能(或已经)被用于勒索,建议用户尽快对Confluence实例进行升级加固。
来源:

勒索专题

2024 年 1 月 23 日

Kasseika勒索软件:利用Martini驱动程序的安全工具绕过攻击链

外媒报道称,随着勒索软件团伙采用BYOVD(Bring Your Own Vulnerable Device)攻击数量的增加,Kasseika勒索软件成为最新加入这一趋势的团伙之一。Kasseika与Akira、BlackByte和AvosLocker一样,都采用了这种策略,允许攻击者终止杀毒软件进程和服务,以部署勒索软件。Kasseika勒索软件滥用了Martini驱动程序来终止受害机器上的杀毒软件相关进程。进一步分析显示,大部分BlackMatter使用的源代码也被用于这次攻击。由于BlackMatter的源代码并不广泛可得,因此它在这次Kasseika勒索软件攻击中的使用表明了一个成熟的攻击者,属于获取或购买了其权限的有限群体。Kasseika勒索软件通过针对性网络钓鱼技术进行初始访问,并从目标公司的一名员工那里获取凭据。随后,它使用远程管理工具(RATs)获得特权访问,并在目标网络内进行横向移动。此外,Kasseika勒索软件滥用了合法的Windows RAT PsExec来执行其恶意文件,并进一步采用批处理脚本加载其恶意实体。最后,它滥用Martini驱动程序有效地禁用各种安全工具,以躲避防御。

来源:

https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html

钓鱼专题

2024 年 1 月 18 日

TA866恶意邮件活动再现,使用新型PDF附件传播恶意链接


Proofpoint研究人员发现了TA866恶意邮件活动的回归,此前已有九个月没有活动。1月11日,Proofpoint拦截了一次针对北美地区的大规模活动,涉及数千封邮件,主题为发票,附件为名为“Document_[10 digits].pdf”的PDF文件。这些PDF文件包含OneDrive链接,点击后将触发一个多步感染链,最终导致恶意软件有效载荷的传播,是WasabiSeed和Screenshotter自定义工具集的变种。攻击链类似于2023年3月20日观察到的上一次活动,但有一个重大变化是此次使用了PDF附件包含的OneDrive链接,而以往活动通常使用带有宏的Publisher附件或直接在电子邮件正文中使用404 TDS URL。Proofpoint追踪到此次活动涉及两个威胁组织,分别为TA571和TA866。TA571是垃圾邮件分发器,TA866则负责后期利用工具,包括JavaScript、带有WasabiSeed组件的MSI和带有Screenshotter组件的MSI。Proofpoint评估TA866是一个有组织的威胁组织,能够规模化地执行深思熟虑的攻击,具备定制工具,并能够从其他威胁组织那里购买工具和服务。
来源:https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign

---End---


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com