服务器端信用卡窃取器潜伏在鲜为人知的插件中

  Tag：Dessky Snippets插件, WooCommerce

事件概述：

黑客总是在寻找新的方式将恶意软件注入网站，并使用新的方法使其难以被检测。近期，攻击者利用一个名为Dessky Snippets的鲜为人知的WordPress插件，将服务器端恶意软件安装到WooCommerce在线商店中，用以窃取信用卡信息。攻击者在获取到wp-admin管理员面板的访问权限后，常常会滥用WordPress插件，以便在受害者网站中添加或操作代码或文件。在此次攻击中，攻击者选择使用Dessky Snippets插件，该插件在编写时只有几百个活跃安装。

在此次攻击中，攻击者选择使用Dessky Snippets插件，该插件在编写时只有几百个活跃安装。该插件的代码在去混淆和美化后，我们可以看到twentytwenty_get_post_logos（作为WooCommerce woocommerce_after_checkout_billing_form钩子的钩子）向结算表单添加了几个新字段，这些字段请求信用卡详细信息（真正的结算过程在后续页面上请求此信息）。该代码片段在每次页面加载时都会执行。它监视与注入表单字段相关的“ccc”参数的POST数据。一旦检测到这些参数，结算表单中的所有值以及信用卡详细信息都会发送到第三方URL hxxps://2of.cc/wp-content。为了防止此类攻击，电商网站需要定期更新CMS、插件、主题和任何第三方组件以修补漏洞，确保所有账户，包括管理员、sFTP和数据库凭据，都有强大且独特的密码，仅从信誉良好的来源集成第三方JavaScript，避免不必要的第三方脚本，并使用Web应用防火墙阻止恶意机器人，虚拟修补已知漏洞，并过滤有害流量。

来源：

https://blog.sucuri.net/2024/05/server-side-credit-card-skimmer-lodged-in-obscure-plugin.html?&web_view=true

政府威胁情报

微软交换服务器主页遭遇键盘记录器嵌入攻击

  Tag：键盘记录器, ProxyShell

事件概述：

来源：

https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/positive-technologies-detects-a-series-of-attacks-via-microsoft-exchange-server/

能源威胁情报

LilacSquid 网络间谍活动针对 IT、能源和制药行业

  Tag：LilacSquid, 欧洲能源公司

事件概述：

自2021年起，名为LilacSquid的APT组织针对美国工业和研究领域的IT软件供应商、欧洲能源公司和亚洲制药实体发起了数据泄露攻击，作为其网络间谍活动的一部分。攻击者利用已知软件漏洞和远程桌面协议凭证进行入侵，并使用开源远程管理工具MeshAgent或InkLoader分发PurpleInk恶意软件，这是一种定制版的QuasarRAT木马。

技术综述：Cisco Talos的报告揭示了LilacSquid的攻击技术细节。PurpleInk恶意软件能够执行新应用程序、文件操作、远程shell部署、目录和进程枚举、系统信息收集以及与命令和控制服务器的通信。研究人员还指出，LilacSquid使用的攻击技术和工具与Lazarus Group的子集Andariel有相似之处，包括MeshAgent和Secure Socket Funneling的使用。

来源：

ICS蜜罐遭遇“redtail”恶意软件攻击分析

  Tag：ICS蜜罐, redtail

事件概述：

来源：

https://unsafe.sh/go-241047.html

流行威胁情报

SolarMarker恶意软件复杂结构探索

  Tag：SolarMarker, Recorded Future Network Intelligence

事件概述：

SolarMarker，也被称为Yellow Cockatoo和Jupyter Infostealer，是一种以窃取信息为主的恶意软件，自2021年以来一直活跃。该恶意软件采用了多层次的基础设施，并针对教育、医疗和中小企业等行业。为了避免被检测，它采用了如Authenticode证书和大型zip文件等先进的逃避技术。SolarMarker的运营核心是其分层基础设施，至少包括两个集群：一个主要的用于活动操作，另一个可能用于测试新策略或针对特定地区或行业。这种分离增强了恶意软件的适应性和反应对策的能力，使其特别难以根除。

Recorded Future Network Intelligence揭示了多个行业的大量受害者，包括教育、医疗、政府、酒店和中小企业。这种恶意软件既针对个人，也针对组织，窃取大量数据，这些数据可能在犯罪论坛上出售，导致进一步的剥削和攻击。在短期内，防御SolarMarker的策略应包括执行应用程序允许列表，以防止下载看似合法的含有恶意软件的文件。如果允许列表不可行，企业应对员工进行彻底的安全培训，以识别潜在破坏的迹象，如意外的文件下载或重定向，可能表明有恶意广告。报告的附录详细说明，使用YARA和Snort规则对于检测当前和历史感染至关重要。鉴于恶意软件的不断演变，定期更新这些规则，结合分析网络工件等额外的检测方法，是必要的。从长期来看，监控网络犯罪生态系统对于预测新威胁非常重要。组织应该完善他们的安全政策，并增强防御机制，以领先于像SolarMarker背后的威胁行为者。这包括针对网络犯罪基础设施的更好的监管措施，以及执法努力从源头解决这些威胁。

来源：

https://www.recordedfuture.com/exploring-the-depths-of-solarmarkers-multi-tiered-infrastructure

高级威胁情报

LilacSquid APT团伙与数据泄露事件

  Tag：LilacSquid, InkLoader

事件概述：

LilacSquid是一个新发现的APT组织，与美国和欧洲多个行业的数据泄露攻击有关。该组织利用公开漏洞和盗取的凭证入侵系统，使用开源工具如MeshAgent和InkLoader进行侦察，并投放如PurpleInk这样的定制恶意软件。LilacSquid还使用SSF技术建立远程服务器隧道，其战术与朝鲜APT组织Andariel相似，专注于长期访问受害组织以窃取数据。

LilacSquid的入侵手段包括利用已知漏洞和盗取远程桌面协议凭证。其技术栈包括开源远程管理工具MeshAgent、.NET基础的加载器InkLoader，以及高度混淆的QuasarRAT木马变种PurpleInk。该组织还使用SSF技术建立远程服务器隧道，其策略与Andariel和Lazarus Group相似，专注于长期数据窃取。

来源：

https://www.darkreading.com/cyberattacks-data-breaches/lilacsquid-apt-employs-open-source-tools-quasarrat

漏洞情报

Foxit PDF阅读器存在严重漏洞，黑客可执行恶意命令

  Tag：Foxit PDF阅读器, 恶意命令

事件概述：

Check Point Research发现Foxit PDF阅读器存在一个设计缺陷，黑客可通过该漏洞执行恶意命令。研究人员观察到这种利用PDF漏洞的行为主要针对Foxit Reader的用户，而Adobe Reader用户则不受此漏洞影响。该漏洞已被多个威胁行为者利用，从电子犯罪到间谍活动均有涉及。这些活动利用了该漏洞的低检测率和防护不力，甚至有行为者通过非传统方式（如Facebook）分享这些恶意PDF文件。Check Point Research已经对三个深度案例进行了隔离和调查，从军事聚焦的间谍活动到具有多个链接和工具的电子犯罪，形成了令人印象深刻的攻击链。

Foxit PDF阅读器的设计缺陷主要体现在默认选项“OK”，这可能导致大多数目标用户忽视这些消息并执行恶意代码。恶意命令在受害者“同意”默认选项两次后执行。黑客利用这种有缺陷的逻辑和常见的人类行为，将最“有害”的选择作为默认选项。此外，研究人员还发现，Foxit Reader的这个漏洞被多个威胁行为者利用，从电子犯罪到间谍活动均有涉及。这些活动利用了该漏洞的低检测率和防护不力，甚至有行为者通过非传统方式（如Facebook）分享这些恶意PDF文件。研究人员已经对三个深度案例进行了隔离和调查，从军事聚焦的间谍活动到具有多个链接和工具的电子犯罪，形成了令人印象深刻的攻击链。

来源：

https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/

勒索专题

LockBit 勒索软件团伙声称对加拿大药店连锁企业 London Drugs 的网络攻击负责并威胁泄露数据

  Tag：LockBit 勒索软件团伙, Cronos 行动

事件概述：

LockBit 勒索软件团伙声称，他们在今年四月份对加拿大药店连锁企业 London Drugs 发动了网络攻击，并威胁在与该公司的谈判失败后在线上公布被盗数据。London Drugs 拥有超过 9000 名员工，在阿尔伯塔、萨斯喀彻温、马尼托巴和不列颠哥伦比亚等地的 80 多家门店提供医疗和药店服务。尽管该公司表示并未发现客户或员工数据受到影响，但 LockBit 勒索软件团伙在其勒索门户网站上添加了 London Drugs 的名字，声称他们发起了四月份的网络攻击，并威胁公布从该公司系统中盗取的数据。然而，该勒索团伙尚未提供他们从 London Drugs 服务器中盗取任何文件的证据，只声称与 London Drugs 交涉支付 2500 万美元的赎金失败。

LockBit 勒索软件团伙自 2019 年 9 月以 ABCD 的名字出现后，随后更名为 LockBit。自从出现以来，LockBit 已经声称对包括波音、大陆汽车巨头、意大利内政部、美国银行和英国皇家邮政等许多政府和全球知名组织发动了攻击。然而，2024 年 2 月，执法部门在被称为 Cronos 行动中关闭了 LockBit 的基础设施，查获了包含超过 2500 个解密密钥的 34 台服务器，这些密钥帮助创建了一个免费的 LockBit 3.0 黑色勒索软件解密器。尽管如此，LockBit 仍在活动，并已经转移到新的服务器和暗网域名。它继续在全球范围内针对受害者，并在美国和英国当局最近关闭其基础设施后，以大量释放旧数据和新数据作为报复。

来源：

https://www.bleepingcomputer.com/news/security/lockbit-says-they-stole-data-in-london-drugs-ransomware-attack/

数据泄露专题

苹果Wi-Fi定位系统可能被滥用，引发全球隐私问题

  Tag：Wi-Fi定位系统, BSSID

事件概述：

马里兰大学的研究人员Erik Rye和Dave Levin在一篇题为“利用Wi-Fi定位系统对大众进行监控”的论文中指出，苹果的Wi-Fi定位系统（WPS）的设计可能导致大规模监控，甚至包括那些不使用苹果设备的用户。研究人员利用苹果系统的设计，编译了一个包含4.9亿个全球BSSIDs的数据库，可以用来跟踪个人和团体的移动。他们报告了他们的发现给苹果、Starlink和GL.iNet，并指出一种防止你的BSSID进入WPS数据库的方法是在AP的Wi-Fi网络名称或SSID后面添加_nomap字符串。苹果在3月27日的隐私和位置服务帮助页面更新中添加了对_nomap的支持。研究人员称，苹果正在认真对待他们的报告，并希望这些补救措施将有助于保护那些永远不知道在他们的SSID后面添加“_nomap”以防止他们被包含在苹果地理位置数据库中的接入点所有者的隐私。

苹果的Wi-Fi定位系统（WPS）的设计可能被滥用，导致大规模监控，包括那些不使用苹果设备的用户。这种威胁甚至适用于那些不拥有WPS设计的设备的用户。由于苹果的WPS不需要身份验证或限速，并且免费使用，研究人员能够在短时间内积累大量的地理位置BSSIDs。他们编译了一个包含4.9亿个全球BSSIDs的数据库，可以用来跟踪个人和团体的移动。研究人员建议，为防止BSSID进入WPS数据库，可以在AP的Wi-Fi网络名称或SSID后面添加_nomap字符串。苹果在3月27日的隐私和位置服务帮助页面更新中添加了对_nomap的支持。研究人员还建议实施BSSID随机化，这是防止被WPS跟踪的最强大的防御。他们希望这项研究能鼓励IEEE的技术专家关注这个问题，就像他们过去对MAC地址随机化做的那样。

来源：

https://https://go.theregister.com/feed/www.theregister.com/2024/05/23/apple_wifi_positioning_system/

- END -