一周威胁情报摘要
一周威胁情报摘要
金融威胁情报 服务器端信用卡窃取器潜伏在鲜为人知的插件中
政府威胁情报 微软交换服务器主页遭遇键盘记录器嵌入攻击
能源威胁情报 LilacSquid 网络间谍活动针对 IT、能源和制药行业
工业威胁情报 ICS蜜罐遭遇“redtail”恶意软件攻击分析
流行威胁情报 SolarMarker恶意软件复杂结构探索
高级威胁情报 LilacSquid APT团伙与数据泄露事件
漏洞情报 Foxit PDF阅读器存在严重漏洞,黑客可执行恶意命令
勒索专题 LockBit 勒索软件团伙声称对加拿大药店连锁企业 London Drugs 的网络攻击负责并威胁泄露数据
数据泄露专题 苹果Wi-Fi定位系统可能被滥用,引发全球隐私问题
服务器端信用卡窃取器潜伏在鲜为人知的插件中
微软交换服务器主页遭遇键盘记录器嵌入攻击
LilacSquid 网络间谍活动针对 IT、能源和制药行业
ICS蜜罐遭遇“redtail”恶意软件攻击分析
SolarMarker恶意软件复杂结构探索
LilacSquid APT团伙与数据泄露事件
Foxit PDF阅读器存在严重漏洞,黑客可执行恶意命令
LockBit 勒索软件团伙声称对加拿大药店连锁企业 London Drugs 的网络攻击负责并威胁泄露数据
苹果Wi-Fi定位系统可能被滥用,引发全球隐私问题
金融威胁情报
金融威胁情报
服务器端信用卡窃取器潜伏在鲜为人知的插件中
Tag:Dessky Snippets插件, WooCommerce
事件概述:
黑客总是在寻找新的方式将恶意软件注入网站,并使用新的方法使其难以被检测。近期,攻击者利用一个名为Dessky Snippets的鲜为人知的WordPress插件,将服务器端恶意软件安装到WooCommerce在线商店中,用以窃取信用卡信息。攻击者在获取到wp-admin管理员面板的访问权限后,常常会滥用WordPress插件,以便在受害者网站中添加或操作代码或文件。在此次攻击中,攻击者选择使用Dessky Snippets插件,该插件在编写时只有几百个活跃安装。
在此次攻击中,攻击者选择使用Dessky Snippets插件,该插件在编写时只有几百个活跃安装。该插件的代码在去混淆和美化后,我们可以看到twentytwenty_get_post_logos(作为WooCommerce woocommerce_after_checkout_billing_form钩子的钩子)向结算表单添加了几个新字段,这些字段请求信用卡详细信息(真正的结算过程在后续页面上请求此信息)。该代码片段在每次页面加载时都会执行。它监视与注入表单字段相关的“ccc”参数的POST数据。一旦检测到这些参数,结算表单中的所有值以及信用卡详细信息都会发送到第三方URL hxxps://2of.cc/wp-content。为了防止此类攻击,电商网站需要定期更新CMS、插件、主题和任何第三方组件以修补漏洞,确保所有账户,包括管理员、sFTP和数据库凭据,都有强大且独特的密码,仅从信誉良好的来源集成第三方JavaScript,避免不必要的第三方脚本,并使用Web应用防火墙阻止恶意机器人,虚拟修补已知漏洞,并过滤有害流量。
来源:
https://blog.sucuri.net/2024/05/server-side-credit-card-skimmer-lodged-in-obscure-plugin.html?&web_view=true
政府威胁情报
政府威胁情报
微软交换服务器主页遭遇键盘记录器嵌入攻击
Tag:键盘记录器, ProxyShell
事件概述:
来源:
https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/positive-technologies-detects-a-series-of-attacks-via-microsoft-exchange-server/
能源威胁情报
能源威胁情报
LilacSquid 网络间谍活动针对 IT、能源和制药行业
Tag:LilacSquid, 欧洲能源公司
事件概述:
自2021年起,名为LilacSquid的APT组织针对美国工业和研究领域的IT软件供应商、欧洲能源公司和亚洲制药实体发起了数据泄露攻击,作为其网络间谍活动的一部分。攻击者利用已知软件漏洞和远程桌面协议凭证进行入侵,并使用开源远程管理工具MeshAgent或InkLoader分发PurpleInk恶意软件,这是一种定制版的QuasarRAT木马。
技术综述:Cisco Talos的报告揭示了LilacSquid的攻击技术细节。PurpleInk恶意软件能够执行新应用程序、文件操作、远程shell部署、目录和进程枚举、系统信息收集以及与命令和控制服务器的通信。研究人员还指出,LilacSquid使用的攻击技术和工具与Lazarus Group的子集Andariel有相似之处,包括MeshAgent和Secure Socket Funneling的使用。
来源:
工业威胁情报
工业威胁情报
ICS蜜罐遭遇“redtail”恶意软件攻击分析
Tag:ICS蜜罐, redtail
事件概述:
本文介绍了一种名为“redtail”的恶意软件对ICS蜜罐的攻击事件。该恶意软件主要用于秘密挖掘加密货币,其特点是可以在4种不同的CPU架构上运行,这意味着它有可能感染大量的设备/主机。在这次攻击中,威胁行为者首先通过SSH端口2222连接到蜜罐,然后上传了5个文件(redtail.arm7, redtail.arm8, redtail.i686, redtail.x86_64, setup.sh)。然后,攻击者运行命令使setup.sh文件可执行,然后将自定义公钥添加到~/.ssh/authorized_keys文件中,并使用命令使该文件不可修改。通过对setup.sh的代码进行深入分析,我们发现远程IP的真实意图:根据主机架构的不同,将相应的redtail可执行文件的内容复制到主机上的“.redtail”文件中,并执行这个新文件,然后删除原始的上传的redtail文件。
本次攻击的初步分析开始于对一个早期攻击观察的评估。分析人员首先评估了IP地址193.222.96.163,该IP地址首次被发现在2024年2月23日12:23:25通过SSH端口2222连接到蜜罐,显示为快速连续登录,每次增加23(这是机器人行为的标志)。在使用[root/lenovo]凭据登录失败后,攻击者成功使用[root/Passw0rd123]凭据登录。认证后,攻击者向蜜罐上传了5个文件(redtail.arm7, redtail.arm8, redtail.i686, redtail.x86_64, setup.sh)。然后,攻击者运行命令使setup.sh文件可执行,然后将自定义公钥添加到~/.ssh/authorized_keys文件中,并使用命令使该文件不可修改。对setup.sh的代码进行深入分析,我们可以更深入地了解远程IP的意图。具体来说,shell脚本试图根据chattr +ai命令的输出确定主机架构。然后,脚本将相关的redtail可执行文件的内容复制到主机上的“.redtail”文件中,并执行这个新文件,然后删除原始上传的redtail文件。如果无法确定架构,那么所有的“redtail”文件内容都会被复制到“.redtail”文件中以备不时之需。
来源:
https://unsafe.sh/go-241047.html
流行威胁情报
流行威胁情报
SolarMarker恶意软件复杂结构探索
Tag:SolarMarker, Recorded Future Network Intelligence
事件概述:
SolarMarker,也被称为Yellow Cockatoo和Jupyter Infostealer,是一种以窃取信息为主的恶意软件,自2021年以来一直活跃。该恶意软件采用了多层次的基础设施,并针对教育、医疗和中小企业等行业。为了避免被检测,它采用了如Authenticode证书和大型zip文件等先进的逃避技术。SolarMarker的运营核心是其分层基础设施,至少包括两个集群:一个主要的用于活动操作,另一个可能用于测试新策略或针对特定地区或行业。这种分离增强了恶意软件的适应性和反应对策的能力,使其特别难以根除。
Recorded Future Network Intelligence揭示了多个行业的大量受害者,包括教育、医疗、政府、酒店和中小企业。这种恶意软件既针对个人,也针对组织,窃取大量数据,这些数据可能在犯罪论坛上出售,导致进一步的剥削和攻击。在短期内,防御SolarMarker的策略应包括执行应用程序允许列表,以防止下载看似合法的含有恶意软件的文件。如果允许列表不可行,企业应对员工进行彻底的安全培训,以识别潜在破坏的迹象,如意外的文件下载或重定向,可能表明有恶意广告。报告的附录详细说明,使用YARA和Snort规则对于检测当前和历史感染至关重要。鉴于恶意软件的不断演变,定期更新这些规则,结合分析网络工件等额外的检测方法,是必要的。从长期来看,监控网络犯罪生态系统对于预测新威胁非常重要。组织应该完善他们的安全政策,并增强防御机制,以领先于像SolarMarker背后的威胁行为者。这包括针对网络犯罪基础设施的更好的监管措施,以及执法努力从源头解决这些威胁。
来源:
https://www.recordedfuture.com/exploring-the-depths-of-solarmarkers-multi-tiered-infrastructure
高级威胁情报
高级威胁情报
LilacSquid APT团伙与数据泄露事件
Tag:LilacSquid, InkLoader
事件概述:
LilacSquid是一个新发现的APT组织,与美国和欧洲多个行业的数据泄露攻击有关。该组织利用公开漏洞和盗取的凭证入侵系统,使用开源工具如MeshAgent和InkLoader进行侦察,并投放如PurpleInk这样的定制恶意软件。LilacSquid还使用SSF技术建立远程服务器隧道,其战术与朝鲜APT组织Andariel相似,专注于长期访问受害组织以窃取数据。
LilacSquid的入侵手段包括利用已知漏洞和盗取远程桌面协议凭证。其技术栈包括开源远程管理工具MeshAgent、.NET基础的加载器InkLoader,以及高度混淆的QuasarRAT木马变种PurpleInk。该组织还使用SSF技术建立远程服务器隧道,其策略与Andariel和Lazarus Group相似,专注于长期数据窃取。
来源:
https://www.darkreading.com/cyberattacks-data-breaches/lilacsquid-apt-employs-open-source-tools-quasarrat
漏洞情报
漏洞情报
Foxit PDF阅读器存在严重漏洞,黑客可执行恶意命令
Tag:Foxit PDF阅读器, 恶意命令
事件概述:
Check Point Research发现Foxit PDF阅读器存在一个设计缺陷,黑客可通过该漏洞执行恶意命令。研究人员观察到这种利用PDF漏洞的行为主要针对Foxit Reader的用户,而Adobe Reader用户则不受此漏洞影响。该漏洞已被多个威胁行为者利用,从电子犯罪到间谍活动均有涉及。这些活动利用了该漏洞的低检测率和防护不力,甚至有行为者通过非传统方式(如Facebook)分享这些恶意PDF文件。Check Point Research已经对三个深度案例进行了隔离和调查,从军事聚焦的间谍活动到具有多个链接和工具的电子犯罪,形成了令人印象深刻的攻击链。
Foxit PDF阅读器的设计缺陷主要体现在默认选项“OK”,这可能导致大多数目标用户忽视这些消息并执行恶意代码。恶意命令在受害者“同意”默认选项两次后执行。黑客利用这种有缺陷的逻辑和常见的人类行为,将最“有害”的选择作为默认选项。此外,研究人员还发现,Foxit Reader的这个漏洞被多个威胁行为者利用,从电子犯罪到间谍活动均有涉及。这些活动利用了该漏洞的低检测率和防护不力,甚至有行为者通过非传统方式(如Facebook)分享这些恶意PDF文件。研究人员已经对三个深度案例进行了隔离和调查,从军事聚焦的间谍活动到具有多个链接和工具的电子犯罪,形成了令人印象深刻的攻击链。
来源:
https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/
勒索专题
勒索专题
LockBit 勒索软件团伙声称对加拿大药店连锁企业 London Drugs 的网络攻击负责并威胁泄露数据
Tag:LockBit 勒索软件团伙, Cronos 行动
事件概述:
LockBit 勒索软件团伙声称,他们在今年四月份对加拿大药店连锁企业 London Drugs 发动了网络攻击,并威胁在与该公司的谈判失败后在线上公布被盗数据。London Drugs 拥有超过 9000 名员工,在阿尔伯塔、萨斯喀彻温、马尼托巴和不列颠哥伦比亚等地的 80 多家门店提供医疗和药店服务。尽管该公司表示并未发现客户或员工数据受到影响,但 LockBit 勒索软件团伙在其勒索门户网站上添加了 London Drugs 的名字,声称他们发起了四月份的网络攻击,并威胁公布从该公司系统中盗取的数据。然而,该勒索团伙尚未提供他们从 London Drugs 服务器中盗取任何文件的证据,只声称与 London Drugs 交涉支付 2500 万美元的赎金失败。
LockBit 勒索软件团伙自 2019 年 9 月以 ABCD 的名字出现后,随后更名为 LockBit。自从出现以来,LockBit 已经声称对包括波音、大陆汽车巨头、意大利内政部、美国银行和英国皇家邮政等许多政府和全球知名组织发动了攻击。然而,2024 年 2 月,执法部门在被称为 Cronos 行动中关闭了 LockBit 的基础设施,查获了包含超过 2500 个解密密钥的 34 台服务器,这些密钥帮助创建了一个免费的 LockBit 3.0 黑色勒索软件解密器。尽管如此,LockBit 仍在活动,并已经转移到新的服务器和暗网域名。它继续在全球范围内针对受害者,并在美国和英国当局最近关闭其基础设施后,以大量释放旧数据和新数据作为报复。
来源:
https://www.bleepingcomputer.com/news/security/lockbit-says-they-stole-data-in-london-drugs-ransomware-attack/
数据泄露专题
数据泄露专题
苹果Wi-Fi定位系统可能被滥用,引发全球隐私问题
Tag:Wi-Fi定位系统, BSSID
事件概述:
马里兰大学的研究人员Erik Rye和Dave Levin在一篇题为“利用Wi-Fi定位系统对大众进行监控”的论文中指出,苹果的Wi-Fi定位系统(WPS)的设计可能导致大规模监控,甚至包括那些不使用苹果设备的用户。研究人员利用苹果系统的设计,编译了一个包含4.9亿个全球BSSIDs的数据库,可以用来跟踪个人和团体的移动。他们报告了他们的发现给苹果、Starlink和GL.iNet,并指出一种防止你的BSSID进入WPS数据库的方法是在AP的Wi-Fi网络名称或SSID后面添加_nomap字符串。苹果在3月27日的隐私和位置服务帮助页面更新中添加了对_nomap的支持。研究人员称,苹果正在认真对待他们的报告,并希望这些补救措施将有助于保护那些永远不知道在他们的SSID后面添加“_nomap”以防止他们被包含在苹果地理位置数据库中的接入点所有者的隐私。
苹果的Wi-Fi定位系统(WPS)的设计可能被滥用,导致大规模监控,包括那些不使用苹果设备的用户。这种威胁甚至适用于那些不拥有WPS设计的设备的用户。由于苹果的WPS不需要身份验证或限速,并且免费使用,研究人员能够在短时间内积累大量的地理位置BSSIDs。他们编译了一个包含4.9亿个全球BSSIDs的数据库,可以用来跟踪个人和团体的移动。研究人员建议,为防止BSSID进入WPS数据库,可以在AP的Wi-Fi网络名称或SSID后面添加_nomap字符串。苹果在3月27日的隐私和位置服务帮助页面更新中添加了对_nomap的支持。研究人员还建议实施BSSID随机化,这是防止被WPS跟踪的最强大的防御。他们希望这项研究能鼓励IEEE的技术专家关注这个问题,就像他们过去对MAC地址随机化做的那样。
来源:
https://https://go.theregister.com/feed/www.theregister.com/2024/05/23/apple_wifi_positioning_system/
- END -
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...