每周安全事件 221216-1222

高级威胁事件

1. Gamaredon 试图入侵北约某国的大型炼油厂未遂

2. 响尾蛇组织近期攻击活动简报

3. 俄罗斯 APT28 渗透美国卫星网络

非传统领域国家安全事件

1. 【海外利益安全】美国将另外 36 家中国公司列入贸易黑名单

国家安全事件

1. 东盟成员国外交部发现新恶意软件SiestaGraph

2. 俄罗斯黑客组织 KillNet 声称侵入了FBI的数据库

3. UAC-0142 组织使用 FateGrab/ StealDeal 恶意软件对乌克兰国防部国防技术创新与发展中心 DELTA 系统用户进行网络攻击

4. 俄罗斯发生多起严重的GPS中断事件

5. 针对乌克兰政府的木马化Windows10 操作系统安装程序

数据泄露事件

1. 蔚来汽车数据被窃遭“天价”勒索

2. 国际乒联泄露马龙和樊振东的信息

3. GitHub 存储库被黑后 Okta 的源代码被盗

4. 沙特军事联系人数据泄露

5. 富士通“Smart City 5G”项目源代码泄露

其他网络安全事件

1. GitHub 为所有公共存储库提供密钥扫描，腾讯微信与其合作

2. DarkTortilla 伪装 Grammarly，Cisco 用于网络钓鱼攻击

3. 伪装成网安公司 SentinelOne 合法 SDK 客户端的恶意 Python 包

4. 终端管理工具MobaXterm中文版暗藏木马陷阱

移动端安全事件

1.  GodFather Android 银行木马针对 400 多个银行和加密应用程序的用户

2. 用于窃取个人数据和信息的 Android MoneyMonger 恶意软件

组织：疑似 Gamaredon（又名Armageddon/ GammaLoad/UAC-0010/APT-C-53/，俄罗斯FSB）

攻击目标： 北约某国的大型炼油厂

原文概述： 当地时间12月20日，Unit 42 研究团队发布报告称，自从他们在2月初发布了关于高级持续威胁（APT）组织 Gamaredon 的博客文章以来，乌克兰及其网络域面临着来自俄罗斯的日益增加的威胁。随着地面进攻和网络空间的冲突继续进行，Gamaredon 一直作为专门的访问创建者和情报收集者运作。

在监控相关领域以及开源情报时，Unit 42 发现了多项值得重视的线索，最关键的一个是8月30日，Gamaredon 组织企图破坏北约成员国内的一家大型炼油公司，但未成功。研究报告并未指明该公司的身份，属于哪个国家，是哪家炼油企业。该起入侵企图是通过鱼叉式网络钓鱼电子邮件实施的，使用包含“军事援助”等词的英文文件。另外，报告还披露了对一乌克兰安全研究人员的死亡威胁，一名似乎与 Gamaredon 有牵连的人威胁要在初次入侵后立即伤害一名驻乌克兰的网络安全研究人员。

使用恶意 .lnk 文件进行网络钓鱼的利用路径

原文链接：

https://unit42.paloaltonetworks.com/trident-ursa/

发布平台： unit42

组织：疑似响尾蛇（又名APT-C-24/ SideWinder/ APT-C-17，印度）

攻击目标： 巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家

原文概述： 近期，奇安信研究人员捕获了响尾蛇组织多个攻击样本。该类样本使用与巴基斯坦相关的学校或者军队为诱饵进行鱼叉攻击，其攻击技战法(TTP)均使用了DotNetToJScript工具生成JS代码来加载.net程序。在近期的攻击活动中响尾蛇组织的攻击手段特点：

    (1)擅用社会工程学，使用更贴切的诱饵，诱饵甚至来自真实文件；

    (2)多阶段下载，并对后续载荷进行混淆处理；

    (3)使用轻量级远程Shell后门，甚至被曝光后仍继续使用相关C2。

响尾蛇组织主要利用电子邮件鱼叉式网络钓鱼、漏洞利用文档和DLL侧加载技术来逃避检测并提供有针对性的植入。常采用的攻击诱饵类型为：office文档和Ink。其中Ink执行后会由Powershell释放真正的文件并下载执行hta脚本，加载后续恶意文件；Office文档则是该组织最喜欢的攻击诱饵，通过利用已知漏洞（如CVE-2017-11882漏洞）来执行后续活动。该组织也会利用白加黑的方式来加载恶意文件。

原文链接：

https://mp.weixin.qq.com/s/NOpFJx4LnMOWhTm0iluFfw

发布平台：  奇安信威胁情报中心

组织：疑似 APT28（又名Fancy Bear/UAC-0028，俄罗斯）

攻击目标： 美国卫星网络

原文概述： 网络安全和基础设施安全局的研究人员最近发现可疑的俄罗斯黑客潜伏在美国卫星网络中，引发了人们对莫斯科渗透和破坏迅速扩张的太空经济的意图的新担忧。虽然攻击的细节很少，但研究人员将此事件归咎于名为 APT28 的俄罗斯军事组织。攻击涉及一家卫星通信提供商，其客户遍布美国关键基础设施领域。上个月在CYBERWARCON 网络安全会议上，CISA 事件响应分析师 MJ Emanuel表示，APT28 似乎已经在受害者的网络中存在了几个月。

这次袭击并不是同类袭击中的第一次。今年早些时候，美国国家安全局（NSA）和国家信息系统安全局 （ANSSI）的分析师调查了与俄罗斯入侵乌克兰同时发生的卫星互联网故障。安全部门怀疑这些失败也是俄罗斯支持的网络犯罪分子所为，犯罪分子可能打算在入侵期间削弱乌克兰的通信。

原文链接：

https://www.cyberscoop.com/apt28-fancy-bear-satellite/

发布平台： cyberscoop

美国商务部以对国家安全、美国利益和人权的担忧为由，将 36 家中国高科技企业及研发机构列入出口管制黑名单，其中包括航空设备、化学品和计算机芯片制造商。中国商务部新闻发言人16日回应称，美方泛化国家安全概念，滥用出口管制等措施，动用国家力量扩大打击中国企业和机构，这是典型的市场扭曲和经济霸凌做法。中方对此坚决反对，将采取必要措施坚决维权。美国商务部将中国36家实体列入美出口管制“实体清单”的同时，将另外25家中国企业从“未经核实清单”中移除。中国学者表示，美国政府以利益为导向推进对华关系，面对美国，中方一定要坚持底线思维。

原文链接：

https://mp.weixin.qq.com/s/lz2D1G0I0dnv43QeMwcNfA

发布平台：  环球网

研究人员发现可能有多个威胁行为者正在使用可能易受攻击且已连接互联网的 Microsoft Exchange 服务器访问并针对东盟成员国的外交事务办公室执行实时在线操作。一旦获得访问权限并受到保护，目标个人的邮箱就会被导出。威胁参与者部署了一个自定义恶意软件后门，该后门利用 Microsoft Graph API 进行命令和控制，研究人员将其命名为 SiestaGraph。一个名为 DoorMe 的 IIS 后门的修改版本被利用了新的功能来分配 shellcode 和加载额外的植入程序。

原文链接：

https://www.elastic.co/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry

发布平台： elastic

俄罗斯黑客组织 KillNet 声称侵入了 FBI 的数据库，据称窃取了超过10,000名美国联邦特工的个人信息。与他们的大多数袭击一样，这次所谓的袭击似乎也具有激励亲克里姆林宫组织的政治色彩。尽管 Killnet 的攻击仍未得到证实，但 KillNet 黑客声称被盗数据包括社交媒体密码和银行详细信息。该组织在 Telegram 上发布了屏幕截图，其中显示了在线商店、医疗 ID 卡以及 Google、Apple 和 Instagram 账户的密码。

发布平台： Telegram

12 月 17 日，乌克兰政府计算机应急响应小组 CERT-UA 透露，Delta 态势感知计划的用户收到了来自国防部的一个受感染电子邮件账户的网络钓鱼电子邮件，邮件声称需要“更新 DELTA 系统中的证书”。电子邮件还包含 PDF 文档，其中含有指向托管在欺诈性 Delta 域上的存档文件的链接，最终将恶意软件 FateGrab 和 StealDeal 投放到受感染的系统中。这些攻击归因于一个名为 UAC-0142 的威胁集群。

Delta是由 Aerorozvidka 开发的基于云的作战态势显示系统，可以实时监控战场上的部队，使其成为威胁行为者有利可图的目标。

原文链接：

https://cert.gov.ua/article/3349703

https://thehackernews.com/2022/12/ukraines-delta-military-system-users.html

发布平台： CERT-UA、thehackernews

研究人员的数据分析显示，上周俄罗斯多个城市发生了多起严重的 GPS 中断事件。主要位于俄罗斯东部地区。安全分析人士解释说，在乌克兰向俄罗斯领土深处发动远程无人机攻击后，传输中断被用来摧毁需要 GPS 导航的无人机。第一个发现 GPS 中断的是 GPSJam，这是一个使用飞机数据跟踪卫星导航系统问题的监控系统。而在 2 月俄罗斯大规模入侵乌克兰期间，只有莫斯科经历了 GPS 干扰。

原文链接：

https://www.wired.co.uk/article/gps-jamming-interference-russia-ukraine

发布平台： wired

UNC4166 威胁组织最近通过模仿合法 Windows 10 安装程序的木马化 ISO 文件将乌克兰政府实体作为目标。在入侵机器后，这些文件会放置几个后门，例如 Stowaway、Beacon 和 Sparepart 以实现持久性。该恶意软件能够传输文件、窃取记录和执行任意命令。

原文链接：

https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government

发布平台： mandiant

12月20日，蔚来首席信息安全科学家卢龙在蔚来官方社区发布公告，2022年12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元（当前约1570.5万元人民币）等额比特币。图片显示，泄露的信息包括22800条蔚来员工数据、39900条车主身份数据、65万条用户地址数据以及包括车主贷款信息在内的其他数据。

发布平台： cnevpost

据荷兰媒体 RTL Nieuws 当地时间12月12日报道，由于国际乒乓球联合会（ITTF）的服务器出现安全问题，数百名乒乓球运动员的护照细节和疫苗接种证明等信息被泄露，其中包括中国运动员马龙和樊振东的信息。泄露原因可能是国际乒乓球联合会的云储存是开放状态，每个人都可以搜索文件夹文档/medical_information。

发布平台： RTL Nieuws

身份验证服务和身份与访问管理（IAM）解决方案的领先提供商 Okta 表示，其私人 GitHub 存储库本月遭到黑客攻击。根据 Okta 发送并被 BleepingComputer 看到的“机密”电子邮件通知，安全事件涉及威胁参与者窃取 Okta 的源代码，客户数据未受影响。该公司表示，尽管窃取了 Okta 的源代码，但攻击者并未获得对 Okta 服务或客户数据的未授权访问权限。

据悉，Okta 不是第一次发生数据泄露事件：今年1月 Okta 曾被黑客攻击并泄露数据，影响约375个组织；今年9月，Okta 旗下的 Autho 也遭遇了类似的泄露事件。

发布平台： Bleeping Computer

黑客在论坛上声称数据来源于情报计算机，数据包括2033位沙特高级军官、情报人员的个人数据，例如SAAF（沙特阿拉伯武装部队）、SANG（沙特阿拉伯国民警卫队）、南区情报总负责人等的数据。黑客称将以25万美元独家出售此份数据。

发布平台： BreachForums

黑客在论坛上泄露了富士通 Smart City 5G 主要项目的内部 Gitlab 源码，泄露数据大小约 14GB。富士通提供范围广泛的产品、服务和电子解决方案，为 180 个国家/地区的客户提供支持。

发布平台： BreachForums

GitHub上周宣布提供免费扫描工具，可帮助开发人员避免经由程序码泄露登入凭证。目前官方与腾讯微信合作扫描令牌，并使用 GitHub Advanced Security 帮助保护共同用户在所有公共存储库和私有存储库上的安全。腾讯微信令牌允许用户验证微信公众号和小程序开发者，获取有关业务应用程序的敏感信息，并可用于验证商家身份。

原文链接：

https://github.blog/changelog/2022-12-19-tencent-weixin-now-partners-with-github/

发布平台： github

研究人员发现一场使用拼写错误的钓鱼网站来分发DarkTortilla恶意软件的活动。攻击者模仿 Grammarly 和 Cisco 网站来引诱受害者。 

1、通过 Grammarly 进行网络钓鱼

当用户单击“Get Grammarly”按钮时，伪装成 Grammarly 网站的钓鱼网站会下载恶意 zip 文件。该 zip 文件包含一个伪装成 Grammarly 可执行文件的恶意 cabinet 文件。执行后，此文件会在临时文件夹中放置另一个基于 .NET 的文件 (EMPLOY~2.EXE) 并执行它。在执行时，这个 .NET 可执行文件从远程服务器下载一个加密的 DLL 文件，并使用 RC4 逻辑在内存中对其进行解密。解码后的 DLL 文件被加载到内存中，并在系统中执行其他恶意活动。

2、通过 CISCO 进行网络钓鱼

当用户单击这些站点时，会从攻击者控制的 URL 下载文件。执行后，恶意软件会启动多项任务，使用防病毒检测规避技术并绕过 UAC。它为恶意软件负载 (Battle.net-Setup.exe) 创建任务调度程序条目作为持久性机制。有效负载检索并加载名为“COROTIA.dll”的新模块，然后从内存中执行它。该模块是实际的 DarkTortilla 负载。最终有效负载负责所有恶意活动，包括检查虚拟环境、创建持久性、显示虚假消息、与其 C2 服务器通信、接收命令以及下载其他有效负载。

3、建立持久性

该恶意软件加载并执行额外的有效负载，以修改快速启动 .LNK 文件在受感染系统上的目标路径。该恶意软件使用此技术来维持其持久性，并在获得持久性后，连接到其 C2 服务器以从远程服务器下载其他有效负载，包括Agent Tesla 、Asyncrat 、Nanocore和RedLine 。

原文链接：

https://blog.cyble.com/2022/12/16/sophisticated-darktortilla-malware-spreading-via-phishing-sites/

发布平台： cyble

网络研究人员发现威胁行为者在 PyPI 上发布了一个名为“SentinelOne”的恶意 Python 包。它伪装成受信任的美国网络安全公司 SentinelOne 的合法 SDK 客户端，提供了预期的功能，可以轻松地从另一个项目中访问 SentinelOne API；但是，此软件包已被木马化以从受感染的开发人员系统中窃取敏感数据（例如 Bash 和 Zsh 历史记录、SSH 密钥、.gitconfig 文件、主机文件、AWS 配置信息、Kube 配置信息等数据）上传到不属于 SentinelOne 基础设施的 IP 地址（54.254.189.27）。目前该恶意信息窃取恶意软件包的所有已发布版本在 PyPI 上的下载次数已超过 1,000 次。

原文链接：

https://blog.reversinglabs.com/blog/sentinelsneak-malicious-pypi-module-poses-as-security-sdk

发布平台： reversing labs

近期，研究人员发现有攻击者以知名终端管理工具MobaXterm中文版为诱饵传播木马程序。MobaXterm本身有免费版本，但用户界面目前不支持中文，攻击者抓住了国内用户这方面的需求，在CSDN和知乎等社区平台发布文章推广带有后门的MobaXterm下载地址。下载得到的压缩包中携带恶意载荷，最终会加载Gh0st木马，执行远程控制和窃密行为。

原文链接：

https://mp.weixin.qq.com/s/1gmyGiZNK_5YaJgy5K3Z_w

发布平台：  奇安信威胁情报中心

一种名为 GodFather 的 Android 银行木马正被用于针对跨越 16 个国家/地区的 400 多个银行和加密货币应用程序的用户。该恶意软件与许多针对 Android 生态系统的金融木马一样，试图通过网络伪造来窃取用户凭据。Group-IB 研究人员对该恶意软件的分析表明它是 Anubis 的继任者。这两个恶意软件家族之间的相似之处扩展到接收命令和控制（C2）地址的方法、C2 命令的实施以及网络伪造、代理和屏幕捕获模块。但是，录音和位置跟踪功能已被删除。

原文链接：

https://blog.group-ib.com/godfather-trojan

发布平台： Group-IB

研究人员已观察到名为 MoneyMonger 的恶意软件活动通过贷款申请窃取个人信息和收集的数据，例如 GPS 位置、短信、联系人、通话记录、文件、照片和录音，以勒索受害人支付高额贷款利息。该活动利用 Flutter 跨平台框架开发恶意应用程序，其背后的参与者通过泄露信息、联系联系人列表以及从受影响的设备发送包含更改内容的消息和照片来威胁受害者。

原文链接：

https://www.zimperium.com/blog/moneymonger-predatory-loan-scam-campaigns-move-to-flutter/

发布平台： zimperium