正文

[0216] 一周重点威胁情报|天际友盟情报站

admin
admin V管理员 /0 评论 /187 阅读
0216
此篇文章发布距今已超过349天,您需要注意文章的内容或图片是否可用!


热点情报

  • 微软补丁日通告:2024年2月版

  • 攻击者通过Microsoft云帐户劫持活动针对企业高管

  • Raspberry Robin蠕虫软件利用Windows 1day漏洞攻击

APT攻击

  • Turla团伙向波兰非政府组织投递新型后门TinyTurla-NG

  • Sticky Werewolf组织以下载CCleaner为幌子攻击白俄罗斯公司

技术洞察

  • Bumblebee恶意软件下载器回归

  • 多种恶意软件正通过YouTube视频传播

  • 黑客利用Ivanti SSRF漏洞部署新的DSLog后门

  • 基于合法工具开发的Revenge RAT恶意软件分析

  • 基于Rust编写的新MacOS后门软件冒充Visual Studio更新

情报详情

  • 微软补丁日通告:2024年2月版

微软近期发布了2024年2月的安全更新。本次安全更新修复了总计73个安全漏洞(包括两个被积极利用的零日漏洞),其中存在66个重要漏洞(Important)、5个严重漏洞(Critical)、2个被评为中等漏洞(moderate)。在漏洞类型方面,主要包括30个远程代码执行漏洞、10个特权提升漏洞、10个欺骗漏洞、9个拒绝服务漏洞、5个信息泄露漏洞、3个安全功能绕过漏洞。本次发布的安全更新涉及.NET、Azure、Microsoft Office、Internet Shortcut Files、Microsoft Exchange Server、Microsoft Edge、Microsoft Windows、Windows Hyper-V、Windows SmartScreen、Microsoft WDAC OLE DB provider for SQL等多个产品和组件。

更多信息,可参考微软2024年2月安全更新说明:https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb

详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=e4553aba869b43219e1376b54ca9e9c0

  • 攻击者通过Microsoft云帐户劫持活动针对企业高管

Proofpoint研究人员一直在监测一场正在进行的云账户劫持活动,该活动影响了数十个Microsoft Azure环境,并危及包括多个高管在内的数百个用户账户。这些攻击使用文档附件,文档嵌入了伪装成“查看文档”按钮的链接,点击按钮会将受害者转到网络钓鱼页面。Proofpoint表示,这些消息针对的是目标组织内拥有更高特权的员工,这提升了成功帐户泄露的价值。常见的目标包括销售总监、客户经理和财务经理。分析师确定攻击者使用Linux用户代理字符串进行未经授权访问Microsoft365应用,此用户代理与各种入侵后活动相关联,例如MFA操纵、数据泄露、内部和外部网络钓鱼、财务欺诈以及在邮箱中创建模糊处理规则等。

详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=6a2c4b19519b40069e7f142840763fe5

  • Raspberry Robin蠕虫软件利用Windows 1day漏洞攻击

Check Point近期披露了Raspberry Robin蠕虫软件使用了两个新的1day LPE漏洞进行攻击。Raspberry Robin是在2021年首次被发现的蠕虫,它主要通过USB驱动器等可移动存储设备传播,以在受感染的系统上建立立足点,并进行其他有效载荷的部署。它与EvilCorp、FIN11、TA505、Clop 勒索软件团伙和其他恶意软件攻击者有关。自发现以来,Raspberry Robin不断发展,增加了新功能以及规避技术,并采用了多种分发方法。其中一个规避技巧是投放虚假的有效载荷来误导研究人员。
Check Point报告称,从2023年10月开始,他们观察到Raspberry Robin的运营活动有所增加,针对全球系统进行大规模攻击。在最近的活动中,一个值得注意的转变是使用Discord平台将恶意存档文件拖放到目标上,并通过电子邮件将链接发送到目标。存档文件包含一个数字签名的可执行文件OleView.exe和一个恶意DLL文件aclui.dll,当受害者运行可执行文件时,会侧加载dll文件,从而激活系统中的Raspberry Robin。当Raspberry Robin首次在计算机上运行时,它将自动尝试使用各种1day漏洞来提升设备上的权限。研究发现,此次新的Raspberry Robin活动利用了CVE-2023-36802和CVE-2023-29360漏洞,这是Microsoft流服务代理和Windows TPM设备驱动程序中的两个本地权限升级漏洞。

详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=fe67ee5676f0458697696355278c0ad1

一直以来,天际友盟秉承“创造安全价值”的理念,致力于提供全生命周期的数字风险防护服务,为客户的数字化业务保驾护航。天际友盟以专注的威胁情报技术研究能力为支撑,以成熟多样的产品与服务落地,将数字风险防护的价值应用到众多客户的多样行业场景之中。

天际友盟技术骨干均为国内安全行业的专家人才,有着超过10年的安全从业经验,对威胁情报、数字风险、大数据分析、人工智能等领域有着深入的了解和丰富的实践经验。

天际友盟目前在北京、上海、深圳、广州、珠海、江苏、西安、沈阳、长春、哈尔滨、长沙、石家庄、太原、香港、澳门等多地设有分支机构,为全国各地的客户及合作伙伴提供及时、高效、优质的服务。2024年天际友盟在新加坡设立了东南亚业务中心,覆盖亚太市场。
了解更多内容请访问:https://www.tj-un.com

客户案例

威胁情报

CNCERT | 上海网信办 | 国家信息中心 | 国家电网

中国航信 | 中国电子技术标准化研究院 | 青岛税务局

河北省税务局 |中国银行 | 宁夏银行

国家信息技术安全研究中心 | 天津经开区 | ASTRI

华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车

河南电力 | 北京电力 | 浙江电力 | 中国移动

中国电信北京研究院 | 湖南广电 | Green Radar

北京电视台 | 天懋信息 | 核工业计算机应用研究所

上海观安 | 数梦工场 | 重庆银行 | 北京安态

数字风险防护
中国银行 | 交通银行 | 厦门国际银行
深圳农村商业银行 | 泉州银行 | 立桥银行 | 秦皇岛银行
黄河农村银行 | 乌鲁木齐银行 | 中国银联 | 泸州银行
昆仑银行 | 绵阳市商业银行 | 中泰证券 | 辉腾金控
安信证券 | 中国航信 | 大业信托 | 国信证券 | 国信期货
国家电网 | 核工业计算机应用研究所 | 顺丰速递
青岛市税务局 | 河北省税务局 | 中国密码学会
一图一数 | 抖音 | Tiktok | 懂车帝 | 字节跳动
火山小视频 | Musical.ly | 火币网 | OKCoin | Bit-Z
西瓜视频 | 京东 | 今日头条 | TANDL


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com