记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

安全威胁情报周报(10.04-10.10)

2021-10-10 23:01


一周威胁情报摘要

威胁趋势

  • 高流量网站中普遍存在原型污染漏洞

  • 全球勒索软件攻击团伙遭到多个国家联合打压(见PDF)

金融威胁情报

  • 世界第二大加密货币交易所 Coinbase 遭到入侵,约6,000名客户的加密货币失窃

  • 新型 Android 银行木马 ERAMC 席卷波兰

  • 火狐插件 “Safepal Wallet” 可用来窃取加密货币,用户需小心!

政府威胁情报

  • 以色列国防公司  EMIT Aviation Consulting 遭到 LockBit 2.0 勒索软件攻击

能源威胁情报

  • 新兴 APT 组织 ChamelGang 瞄准俄罗斯能源、航空组织展开攻击活动

工控威胁情报

  • 美国霍尼韦尔  Experion PKS 和 ACE 控制器被曝存在3个严重漏洞

  • 安讯士 IP 视频监控系统被曝存在漏洞,允许任意代码执行和其他攻击(见PDF)

流行威胁情报

  • 超1.4亿人下载的 Android 热门应用程序被曝数据泄露,你中招了吗?

  • 英国报刊《每日电讯报》数据库10TB 数据遭到泄露(见PDF)

高级威胁情报

  • 推陈出新,Donot组织窃密手法再升级 

  • 伊朗威胁组织  MalKamak 针对全球航空航天和电信公司展开攻击

  • 俄罗斯 APT28 针对约14,000 名 Gmail 用户展开网络钓鱼攻击

  • TA544 组织利用 Ursnif 银行木马伪装成意大利组织展开攻击活动(见PDF)

漏洞情报

  • Apache HTTP Server 被曝存在 0day 漏洞

  • Mozilla发布更新修复Firefox中的多个漏洞(见PDF)

  • 谷歌修复了两个在野利用的0day漏洞(见PDF)

勒索专题

  • 英国跨国工程公司 Weir Group 遭到勒索软件攻击

  • 新兴勒索组织 Atom Silo 针对Confluence 服务器展开攻击(见PDF)

  • 行业出版巨头 Sandhills Global 遭到勒索软件攻击,业务运营中断(见PDF)

钓鱼专题

  • 谨防伪装成 Netflix 的网络钓鱼电子邮件!

  • 恶意网络钓鱼邮件冒充 Naver 客户中心在不断传播(见PDF)

注:由于篇幅限制,仅精选部分发布,全部内容需在后台回复 “1010” 获取完整版 PDF 阅读。



威胁趋势


高流量网站中普遍存在原型污染漏洞

  Tag:漏洞,流量网站

事件概述:

近日,安全研究人员发现超1000个流行网站和18个广泛利用的 JavaScript 库容易受到原型污染漏洞的影响。原型污染是一种针对 JavaScript 对象结构的模糊攻击,无论是服务器端还是客户端,基于应用逻辑、原型污染都会导致其他漏洞。原型污染的关键攻击向量包括用户输入字段和传递给网站的查询参数。如果站点的 JavaScript 代码遍历查询参数而不对其进行清理,那么它最终可能会运行更改对象原型的命令。攻击者还可以通过原型污染发动跨站脚本攻击。据研究人员推测,该漏洞将会被大规模的利用

来源:
https://portswigger.net/daily-swig/prototype-pollution-vulnerabilities-rife-among-high-traffic-websites-study-finds


金融威胁情报


世界第二大加密货币交易所 Coinbase 遭到入侵,约6,000名客户的加密货币失窃

  Tag:加密货币,漏洞,货币盗窃

事件概述:

Coinbase 是世界第二大加密货币交易所,拥有来自100多个国家的6800万用户。近日,Coinbase 披露攻击者在2021年3月至5月20日期间利用漏洞绕过短信多因素身份认证安全功能后,从约6,000名客户账户窃取加密货币,数额不详。

Coinbase 表示攻击者攻击的前提是知道客户的电子邮件地址、密码和与其 Coinbase 帐户相关联的电话号码,且可以访问受害者的电子邮件账户,攻击者才可以利用短信账户恢复过程中存在的漏洞获取访问短信双因素身份验证令牌实施加密货币盗窃。虽然尚未清楚攻击者是如何获取这些信息,但Coinbase 猜测攻击者是通过针对 Coinbase 客户的网络钓鱼活动获取的客户账户凭据,并表示银行木马也可以窃取 Coinbase 账户凭据。由于攻击者在此过程中可以完全访问客户帐户,因此客户的个人敏感信息疑似遭到泄露,包括他们的全名、电子邮件地址、家庭地址、出生日期、帐户活动的 IP 地址、交易历史、帐户持有量和余额。
Coinbase 表示在他们得知攻击后立即修复了"短信账户修复协议"中的漏洞,以防止进一步绕过短信多因素身份验证实施攻击。Coinbase 还建议受害者立即更改密码,用户更改使用更安全的 MFA 方法,例如硬件安全密钥或身份验证应用程序。

来源:
https://www.bleepingcomputer.com/news/security/hackers-rob-thousands-of-coinbase-customers-using-mfa-flaw/



新型 Android 银行木马 ERAMC 席卷波兰

  Tag:银行木马,僵尸网络,波兰,数据泄露

事件概述:
近日,外媒指出疑似 BlackRock 恶意软件背后的组织 DukeEugene 打着“交付服务和政府应用程序”的幌子在波兰地区进行分发新型 Android 银行木马 ERAMC 。该银行木马开发代码几乎以 Cerberus 银行木马为基础,但使用了不同的混淆技术和新的字符串加密方法 Blowfish 加密算法。
  • 2021年8月17日,名为”ermac“和”DukeEugene“论坛成员开始宣传该银行木马,其中名为"DukeEugene"的成员在账户发布向一小部分人(10人)售卖安卓僵尸网络 ERAMC 的消息,收费标准为每月3K美元。
  • 2021年7月,研究人员于发现基于流行银行木马 Cerberus 的新  Android 银行木马 ERAMC。 
  • 2020年9月,Cerberus 银行木马运营商在拍卖失败后在地下黑客论坛公布 Cerberus 源代码。
ERAMC  银行木马的诞生及传播表明,恶意软件源代码的泄露会减缓恶意软件家族蒸发的速度,而且会增加新的威胁者。

来源:
https://securityaffairs.co/wordpress/122657/malware/ermac-banking-trojan.html?utm_source=rss


火狐插件 “Safepal Wallet” 可用来窃取加密货币,用户需小心!

  Tag:加密货币,Firefox

事件概述:
近日,外媒指出火狐(Firefox)浏览器附加组件  Safepal Wallet 旨在欺骗用户窃取加密货币。该附加组件是一种加密货币钱包应用程序,存储超过 10,000 种资产,包括比特币、以太坊和莱特币。用户在安装并使用凭据登录 Safepal Wallet 几小时后,用户加密货币钱包余额会降至0美元。

目前窃取加密货币的 Safepal Wallet 组件已下架,但攻击者建立的钓鱼网站仍在运行,且正在收集用于恢复用户的私钥和钱包的恢复短语。用户在输入恢复短语提交表单后,刷新页面并没有任何明显的响应,但会将信息传递给攻击者,攻击者以此访问受害者的钱包及窃取受害者加密货币。


来源:
https://www.bleepingcomputer.com/news/security/malicious-safepal-wallet-firefox-add-on-stole-cryptocurrency/


政府威胁情报


以色列国防公司 EMIT Aviation Consulting 遭到 LockBit 2.0 勒索软件攻击

  Tag:国防,勒索软件,LockBit 2.0

事件概述:
LockBit 2.0 勒索软件团伙于10月6日发布勒索信,称其袭击了以色列国防公司 EMIT Aviation Consulting Ltd(E.M.I.T Aviation),并从该公司窃取了敏感数据。这家以色列国防公司成立于 1986 年,主要设计和组装完整的飞机、战术和亚战术无人机系统以及移动综合侦察系统。LockBit 勒索软件团伙还威胁 E.M.I.T Aviation 如果拒绝支付赎金将在倒计时2021年10月7日14时50分结束前在暗网泄密网站上公开窃取的相关数据。截至外媒发表文章前,LockBit 勒索软件团伙尚未共享任何文件作为攻击证据。目前也尚不清楚  LockBit 勒索软件团伙是如何入侵该公司的,以及安全漏洞是何时发生的。


来源:
https://securityaffairs.co/wordpress/122892/cyber-crime/e-m-i-t-aviation-consulting-ransomware.html


能源威胁情报


新兴 APT 组织 ChamelGang 瞄准俄罗斯能源、航空组织展开攻击活动

  Tag:APT,俄罗斯,能源,航空

事件概述:
Positive Technologies 研究人员于近日发表报告披露了一个专门针对俄罗斯能源、航空组织开展攻击活动的新兴 APT 组织 ChamelGang,该组织擅长将其恶意软件和网络基础设施伪装成微软、TrendMicro、McAfee、IBM和谷歌等公司的合法服务,并利用 Microsoft Exchange Server 的 ProxyShell 等已知漏洞和恶意软件来破坏网络。
Positive Technologies 自今年3月以来就一直在追踪 ChamelGang 组织,并监测到了该组织的两次成功入侵的攻击活动。在这两次攻击活动中受害者除俄罗斯能源和航空组织外,其受害者还分布于美国、日本、土耳其、台湾、越南、印度、阿富汗、立陶宛和尼泊尔。
技术详情:
第一次攻击主要针对一家俄罗斯能源公司,威胁组织通过供应链获取了能源公司网络的访问权限,从而破坏了 JBoss 应用服务器上子公司 Web 应用程序的易受攻击版本。威胁组织还利用 CVE-2017-12149 严重漏洞在受害者主机上执行远程命令,在横向移动的过程中部署 Shell、后门等工具,并且利用 DLL劫持提升权限和在受害者主机上获得持久性。

第二次攻击主要针对俄罗斯航空生产部门的一个组织,威胁组织在此次攻击活动中使用 Microsoft Exchange 中名为 ProxyShell 的已知漏洞链(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)来破坏网络节点在受害者主机上获取立足点。威胁组织在进入目标网络后安装 DoorMe v2 的修改版本,并使用 BeaconLoader 以及 Cobalt Strike Beacon 在网络内部横向移动并感染节点。

 
来源:
https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/new-apt-group-chamelgang/


工控威胁情报


美国霍尼韦尔  Experion PKS 和 ACE 控制器被曝存在3个严重漏洞

  Tag:美国,严重漏洞

事件概述:
美国网络安全和基础设施安全局 (CISA) 于10月5日发布影响霍尼韦尔 Experion Process Knowledge System(Experion PKS)和 ACE 控制器的多个安全漏洞的公告。Experion PKS  C200、C200E、C300  和ACE 控制器所有版本均受这些漏洞的影响。Experion PKS 是一个分布式控制系统(DCS),旨在控制从石化炼油厂到核电站等各个行业的大型工业操作过程。
CISA 披露的这些漏洞具体信息如下:
  • CVE-2021-38397 :无限制上传具有危险类型的文件
  • CVE-2021-38395:下游组件使用的输出中特殊元素的不当中和
  • CVE-2021-38399:相对路径遍历
这些漏洞可被攻击者用来实施远程代码执行和拒绝服务 (DoS)攻击 。CISA 建议用户采取以下防御措施,降低漏洞利用风险:
  • 尽量减少所有控制系统设备和系统的网络暴露面,并确保它们不能直接从互联网访问;
  • 定位防火墙后的控制系统网络和远端设备,并将其与业务网络隔离;
  • 当需要远程访问时,使用安全的方法,如虚拟专用网(vpn),并将使用的虚拟 VPN 更新到可用的最新版本。  

来源:
https://thehackernews.com/2021/10/multiple-critical-flaws-discovered-in.html


流行威胁情报


超1.4亿人下载的 Android 热门应用程序被曝数据泄露,你中招了吗?

  Tag:Android,数据泄露

事件概述:

CyberNews 安全研究人员于近日发现14个 Android 热门应用程序发生数据泄露。这14个流行的 Android 应用程序是 Firebase 移动应用程序平台开发的,其安装量高达1.425 亿。由于 Firebase 配置错误导致安装这些 Android 应用程序的用户信息发生泄露,其中包括用户名、电子邮件信息。

9月14日,CyberNews 研究人员向谷歌报告了相关发现,并要求发生数据泄露的应用程序开发人员修复问题,保护其用户数据安全。Universal TV Remote Control、Remote for Roku: Codematics、Hybrid Warrior: Dungeon of the Overlord、Find My Kids: Child Cell Phone Location Tracker 这4个应用程序修复了错误问题,但其中9个受影响的应用程序开发人员没有修复他们的相关问题,也没有响应请求,研究人员也并未公布具体应用程序的名称。由于这9个流行的 Android 应用程序未进行修复问题,可能导致至少3050 万用户的数据发生泄露。
由于 Firebase 是一个跨平台工具, Firebase 配置错误也会影响其 iOS 版本。那么如果您的智能手机上安装了 Firebase 应用程序开发平台开发的 Android 应用程序,那么您可能中招了。 

来源:
https://cybernews.com/security/research-popular-android-apps-with-142-5-million-collective-downloads-are-leaking-user-data/


高级威胁情报


推陈出新,Donot组织窃密手法再升级 

  Tag:Donot,APT

事件概述:
近日,微步在线情报局捕获到一批 Donot APT 组织最新投递的使用了更新升级代码的 Windows 恶意样本。Donot(肚脑虫)组织是疑似具有南亚背景的 APT 组织,其主要围绕周边国家的政府机构展开网络攻击活动,窃密敏感信息。该组织具备针对 Windows 与 Android 双平台的攻击能力。
微步情报局针对此次样本分析有如下发现:
  • 攻击者的下载器使用了 Donot 组织常用的异或、加减法对字符串进行解密。
  • 在后续的攻击模块中,攻击者对加解密算法及代码进行了升级,使用了大量 C++的库函数,给逆向分析带来一定困难。
  • Donot 攻击者不像以前使用开源、商业木马,而是投递模块化木马进行不同操作,首先投递木马对信息进行收集,再投递后续载荷将搜集的信息传回 C2 地址。
  • 和以往部分 Donot 组织样本相同,攻击者会与 en.wikipedia.org 检测网络链接,因此判断为此次攻击目标范围不包括国内。

如果您想查看完整文章,可查看“推陈出新,Donot组织窃密手法再升级”,也可直接公众号后台回复"DN"获取PDF版报告。

来源:
https://mp.weixin.qq.com/s/vTPLW6L8ZMgtj_jTZDAa1w



伊朗威胁组织  MalKamak 针对全球航空航天和电信公司展开攻击

  Tag:MalKamak,APT,间谍活动,伊朗

事件概述:
Cybereason Nocturnus 于近日披露了伊朗威胁组织 MalKamak 利用 ShellClient RAT 开展的 GhostShell 活动。GhostShell 活动是一项针对性很强的网络间谍活动,旨在窃取关键资产、组织基础设施和技术的敏感信息,主要针对中东的航空和航天电信行业,其受害者还分布于美国、俄罗斯和欧洲等地区。研究人员还指出GhostShell 活动中的 MalKamak 威胁组织至少从 2018 年活跃,疑似与其他伊朗国家威胁组织 Chafer APT (APT39) 和 Agrius APT有关联。
技术详情:
该组织主要依赖于 Dropbox 进行通信,通过 ShellClient RAT 创建伪装成网络主机检测服务 nhdService 来实现持久性和提升权限,以在受害主机上使用 SYSTEM 特权运行。威胁组织还利用 ShellClient RAT 在受害者主机上部署额外的工具来支持其他操作:利用 PAExec 和 “net use” 命令进行横向移动,部署可执行文件 lsa.exe 来执行凭证转储。威胁组织最后还通过 WinRar 打包窃取的数据进行信息渗漏。


来源:
https://www.cybereason.com/blog/operation-ghostshell-novel-rat-targets-global-aerospace-and-telecoms-firms

微步点评:

1、MITRE ATT&CK
执行:命令行界面+WMI+PowerShell
维持:Windows 服务
权限提升:有效账户
防御规避:文件和信息混淆+伪装
凭据访问:凭证转储
发现:安全软件发现+系统信息发现+系统网络配置发现
横向移动:SMB/Windows 管理共享
信息收集:存档数据收集
命令与控制:数据编码+加密通道+文件传输协议+网络协议
信息渗漏:Web服务+C2通道+其他协议


俄罗斯 APT28 针对约14,000 名 Gmail 用户展开网络钓鱼攻击

  Tag:APT28,俄罗斯,网络钓鱼

事件概述:

谷歌于9月下旬监测到针对各行各业大量 Gmail 用户(约14,000名)的网络钓鱼活动,并警告称这些 Gmail 用户已经成为由国家资助的黑客组织 APT28 精心策划的鱼叉式网络钓鱼攻击活动的目标。该组织是与俄罗斯总参谋部主要情报局 (GRU) 第 85 主要特别服务中心 (GTsSS) ) 26165 军事单位有关联的黑客组织,经常依靠鱼叉式网络钓鱼电子邮件来展开攻击。

谷歌安全部门表示 APT28 此次攻击活动中发送的钓鱼邮件已经被全部阻止,没有进入用户的收件箱,但已经向相关人员发送了警告信息,并且建议攻击主要针对的记者、政府官员、首席执行官等风险人员加入“高级保护计划”,为这些高风险账户添加和激活额外的安全保护。谷歌还表示此次网络攻击的钓鱼邮件中占本月所有钓鱼邮件的86%,敦促用户检查账户安全设置。
来源:

https://therecord.media/google-notifies-14000-gmail-users-of-targeted-apt28-attacks/


漏洞情报

 

Apache HTTP Server 被曝存在 0day 漏洞

  Tag:Apache,0day

事件概述
近期,思科发表报告称 Apache HTTP Server 存在 0day 漏洞 CVE-2021-41733。该漏洞是一个路径遍历和文件泄露漏洞,可能允许攻击者映射文档根目录之外的 URL,还可能导致 CGI 脚本等解释文件源的暴露。研究人员发现疑似有不同的攻击者在利用该漏洞,有些攻击者似乎只是利用该漏洞扫描潜在易受攻击的主机的扫描程序,而其他攻击者似乎正在通过利用此漏洞的各种通用 HTTP 扫描遍历大量的域列表。Apache 2.4.49 版本受该漏洞的而影响,旧版本 Apache 当前不会受到影响。由于 Apache 2.4.50 版本中对 CVE-2021-41773 漏洞的修复不够充分,Apache 出现了第二个新漏洞CVE-2021-42013。因此,Apache发布了Apache  2.4.51版本以完全修复漏洞。

来源:
https://blog.talosintelligence.com/2021/10/apache-vuln-threat-advisory.html


勒索专题



2021年10月8日

英国跨国工程公司Weir Group遭到勒索软件攻击

英国跨国工程公司 Weir Group 披露了其在9月份遭到勒索软件攻击,导致了发货、制造工程中断。Weir Group 在发现攻击后立即采取了隔离和关闭 IT 系统等行动。 该公司表示此次攻击会影响9月份的收入和回款延期,并未对第三季度的订单产生影响,但预计将影响其2021年第四季度的运营。而且由于端到端的价值链的暂时中断会导致第四季度的收入下滑。

截至目前, Weir Group 表示没有任何数据发生泄露,但并未透露更多攻击事件的细节。

来源:

https://www.bleepingcomputer.com/news/security/engineering-giant-weir-group-hit-by-ransomware-attack/



钓鱼专题



2021年10月8日

谨防伪装成 Netfilx 的网络钓鱼电子邮件!

美国在线视频流服务 Netflix 的热播剧《鱿鱼游戏》上映,越来越多的人开始注册 Netflix 账号,犯罪分子便将目光转向了 Netflix  。近日,ESTSecurity 监测发现攻击者伪装成 Netflix 投递钓鱼邮件,诱使用户输入支付信息窃取用户敏感数据信息。微步提示您,谨防 Netflix 的网络钓鱼电子邮件,如发现可疑电子邮件,应立即删除,避免造成损失。

来源:

https://blog.alyac.co.kr/4172


- END -



关于微步在线研究响应团队

ThreatBook


微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载,请微信后台留言:转载+转载平台+转载文章

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”

 



知识来源: ?id=c7bb7e79762a1beadf68601792d4fc82&source_url=https%3A%2F%2Fmp.weixin.qq.com%2Fs%2Fyx8YVrmx7spmtpVcYbRMFw

阅读:57275 | 评论:0 | 标签:情报 威胁情报 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“安全威胁情报周报(10.04-10.10)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云