威胁趋势
Groove 勒索软件呼吁所有勒索团伙采取统一战线:攻击美国
卡巴斯基发布《第三季度 APT威胁趋势》报告
一周威胁情报摘要
威胁趋势
Groove 勒索软件呼吁所有勒索团伙采取统一战线:攻击美国
卡巴斯基发布《第三季度 APT威胁趋势》报告
金融威胁情报
加密货币行情网站 CoinMarketCap 的敏感数据疑似再次遭到大规模泄露
TA575 威胁组织使用“鱿鱼游戏”诱饵分发 Dridex 银行木马(见PDF)
政府威胁情报
曝光!涉俄APT组织“圣贤熊”针对军队、政府展开经济犯罪和间谍攻击
新型威胁组织 TA2722 利用 RAT 针对菲律宾政府展开攻击活动
美国步枪协会(NRA)遭到 Grief 勒索软件组织袭击,敏感数据发生泄露(见PDF)
巴基斯坦国家航空公司 PIA 的200万份数据被挂售,波及到你了吗?(见PDF)
俄罗斯军事大学疑似发生数据泄露,学生数据大规模被暴露(见PDF)
能源威胁情报
伊朗国家石油分销公司 NIOPDC 遭到网络攻击,全国3,500个站点停止服务
流行威胁情报
《鱿鱼游戏》壁纸 App 被曝存在感染 Android 设备的恶意软件,该 App 你下载了吗?(见PDF)
谷歌商店被曝多个应用程序普遍存在 UltimaSMS 短信骗局
高级威胁情报
俄罗斯威胁组织 Nobelium 将黑手伸向 IT 供应链公司
朝鲜威胁组织 Lazarus 瞄准 IT 供应链展开攻击(见PDF)
朝鲜威胁组织 Kimsuky 利用社会工程开展网络钓鱼攻击活动(见PDF)
漏洞情报
Adobe 发布更新修复产品中多个安全漏洞(见PDF)
WinRAR 压缩软件试用版被曝存在远程代码执行漏洞 CVE-2021-35052
勒索专题
Avast 发布 AtomSilo 、LockFile 和 Babuk 三款勒索软件免费解密器
美国牛奶加工商 Schreiber Foods 遭到网络攻击,工厂长达5天关闭(见PDF)
BillQuick 计费应用程序被黑客用来部署勒索软件(见PDF)
钓鱼专题
仿冒 Microsoft 365 登录页面的 TodayZoo 网络钓鱼活动
威胁趋势
路透社在10月21日报道称 REvil 勒索软件组织在美国 FBI 在内的国际执法行动中被迫下线。而此次 REvil 勒索软件组织下线是该组织销声匿迹两个月后重新回归人们视眼的再次离线 。紧随路透社报道消息后,Groove 勒索软件团伙在其泄露站点发表了俄语博客文章,呼吁所有勒索软件组织应团结起来,共同攻击(对抗)美国。Groove 勒索软件组织这一行为疑似是在美国 FBI 打压 REvil 勒索软件组织后,奋起反抗,与美国为首的国际执法行动做抗争。
同期,荷兰威胁情报研究人员透露的相关信息也与打压美国利益相关,并且 Groove 论坛帖子称针对美国利益计划已经进行了一段时间,美国 FBI 打压 REvil 只是导火索。
事件概述:
随着时间的推移,部分威胁组织的 TTP 会保持一致,严重依赖社会工程成为破坏目标的一种手段,但部分威胁组织会从自身角度出发不停的更新工具集并扩展活动范围。近日,卡巴斯基研究人员针对2021年第三季度的 APT 动态及趋势发布了第三季度 APT 威胁趋势报告。报告指出本季度APT威胁趋势如下:
地缘政治推动了APT组织的发展,例如:Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPand等;
越来越多威胁组织加入了供应链攻击,例如:SmudgeX、DarkHalo 、 Lazarus等组织;
社会工程学、漏洞利用(包括固件漏洞利用)依然是APT组织发起攻击的关键方法;
Bootkits 仍然是 APT 攻击的主要利用的工具,但恶意活动后的监视框架也在逐渐的发展;
中东的活动略有减少,但中文威胁组织的攻击活动异常激增;
.........
来源:
https://securelist.com/apt-trends-report-q3-2021/104708/
金融威胁情报
近日,加密货币行情网站 CoinMarketCap 的敏感数据疑似再次遭到大规模泄露。这些泄露的数据只包括310万电子邮件地址,并不包含密码哈希或其他信息 。早在今年8月份的时候,这些数据曾被公开到泄露站点上,而在本月初,该站点再次公开这些数据。随后,事件当事人 CoinMarketCap 回应称他们的网站并没有发现任何漏洞或者违规操作,这些数据虽然真实度很高,但这些数据是来源于暗网之前泄露的电子邮件列表,与 CoinMarketCap 自身完全无关。自相矛盾的是,CoinMarketCap 虽然没有在此说明中明确表示电子邮件列表是否与其平台上的帐户 100% 相关,但它在之前的一份声明中称发现泄露的数据与其订阅的用户群存在关联。
这件事件虽然就此不了了之,但研究人员联系了此次数据泄露列表中的部分电子邮件相关人员进行核实,确定了部分数据的真实性,并且向5万人发送了通知,仍然没有人回应说他们没有该网站的账户。CoinMarketCap 敏感数据遭到泄露这一事件虽未得到官方证实数据是来自官方系统数据,但攻击者通常会枚举系统泄露的账户信息进行初始接入,CoinMarketCap 注册用户需小心。
政府威胁情报
近日,微步情报局披露了一个针对军队、政府展开经济犯罪和间谍攻击的涉俄新型威胁组织,微步情报局将其命名为 SaintBear(圣贤熊)。该组织活跃时间最早可以追溯到2020年7月,主要以军队、政府机构等行业单位为目标,受害者主要集中于俄罗斯西南方向地缘邻国乌克兰、格鲁吉亚等地区。
“圣贤熊”通常使用涉及军政、COVID 疫苗等相关话题投递攻击诱饵,还存在一些伪造成发票、比特币相关话题的鱼叉邮件,擅长使用鱼叉网络钓鱼和网络渗透展开攻击。由于该组织攻击意图是偏 APT 类的高级情报刺探和偏黑产团伙类的个人信息窃密、敛财,与已披露的俄罗斯背景的 Gamaredon 组织存在一定相似之处。
微步情报局通过整合已有线索和深度拓线分析后,发表了《曝光!涉俄APT组织“圣贤熊”针对军队、政府展开经济犯罪和间谍攻击》报告。“微步在线研究响应中心”微信公众号后台回复 “ST” 关键词可获取完整版(含IOC)报告。
Proofpoint 于10月27日披露了一个冒充菲律宾卫生、劳工和海关组织等多个实体展开攻击活动的新型网络犯罪组织 TA2722(Balikbayan Foxes)。这也是该组织在整个2021年开展一些列攻击活动后,首次被公开披露。TA2722 组织目标除主要针对菲律宾实体外,还涉及北美、欧洲和东南亚的航运、物流、制造、商业服务、制药和能源实体等行业。该组织试图通过获取目标计算机的远程访问权限,然后用于收集信息、安装后续恶意软件和参与商业电子邮件入侵 (BEC) 活动。
研究人员还在此系列攻击活动中发现了两个相关联威胁集群 Shahzad73 和 CPRS,前者最早活动可追溯至2020年8月,全球包括运输能源、建筑、制造、金融、商业服务行业在内数百个实体曾受到该集群的影响。CPRS 集群似乎在2020年10月之前每月都会进行多次活动,然后停止了活动,于2021年9月再次活跃。这两个集群拥有相似的托管服务注册商,还似乎利用不同的域在分发相同基础设施上的 RAT,研究人员将这两个集群高度归属于 TA2722。
技术详情:
TA2722 组织通常伪装成菲律宾政府实体向目标投放英文诱饵电子邮件并利用多种分发机制投递 Remcos 和 NanoCore RAT。
OneDrive URL 链接到带有嵌入式 UUE 文件的 RAR 文件 ;
带有嵌入式 OneDrive 链接或其他恶意 URL 的 PDF 电子邮件附件会导致下载和运行恶意软件的压缩可执行文件(.iso 文件) ;
MS Excel 压缩文档包含恶意宏,如果启用,则会下载恶意软件 。
来源:
https://www.proofpoint.com/us/blog/threat-insight/new-threat-actor-spoofs-philippine-government-covid-19-health-data-widespread
2、TA2722 投放的载荷 Remcos 和 NanoCore RAT :
Remcos 是一种可在线购买的商品远程访问工具。NanoCore 也是商品恶意软件,由“Aeonhack”用 .NET 编写。该代码使用 Eazfuscator.NET 3.3 进行了混淆,并且包括许多功能和插件。NanoCore RAT 在各种黑客论坛上出售。
Remcos 和 NanoCore RAT 由众多网络犯罪威胁参与者使用许多不同的交付技术和诱饵进行分发。
能源威胁情报
伊朗国家基础设施分销公司 NIOPDC 已有80年多年供应石油产品的历史,在全国拥有3,500 多个站点。近日,NIOPDC 遭到黑客攻击,其加油站于当天停止服务,导致许多市民无法及时购进燃料,部分市民的生活在短时间内受到了影响。黑客在攻击NIOPDC 后在其机器设备的屏幕上留下了 ”网络攻击6441“的字符串,而在7月份伊朗火车站遭到攻击后也遇到了相似的情况。目前,尚不清楚二者是否有所关联。专家咨询与干预小组(SAIG)表示正在调查 NIOPDC 服务中断的原因,但没有公开表明攻击背后的黑客组织。
流行威胁情报
事件概述:
10月25日,研究人员 JAKUB VÁVRA 发表报告称于上周向谷歌安全团队报告了80个参与 UltimaSMS 短信诈骗活动的应用程序。随后,这些应用程序在谷歌商店快速下架。黑客在此次短信诈骗活动中借助谷歌商店下载的应用程序为媒介,主动在目标设备后台为受害者注册高付费的短信服务,这些服务最终可以导致受害者严重的财产损失。与此同时,研究人员还发现这些只是 UltimaSMS 短信诈骗活动的一部分,而整个UltimaSMS 活动涉及151款应用程序,而这些应用程序均可在谷歌商定下载。目前,这些应用程序已经被下载超过1,050万次,并且在结构和功能上几乎相同,本质上都是用来传播付费短信诈骗活动的同一款虚假应用的复制品。
UltimaSMS 如何欺骗用户:
当用户安装这些虚假的应用程序时,应用程序会查询用户的位置、国际移动标识码(IMEI)、电话号码,以确定受害者所在国家。然后在受害者打开应用程序后,以本地化语言提示输入电话号码、电子邮件等信息,在后台为受害者订阅高级收费服务。这些付费服务费用会根据地区和移动运营商的不同而波动,每月可收取高达40美元的费用。
1、为什么叫 UltimaSMS 活动?
由于该活动被发现时涉及第一个应用程序叫”Ultima Keyboard 3D Pro“,遂该活动被称之为 ”UltimaSMS“ 活动。
2、UltimaSMS 活动波及的范围:
禁用运营商付费短信选项;
下载应用程序时要保持警惕,要先检查应用程序的评论,然后下载;
要坚持选择官方商店下载应用程序;
在输入信息之前,要认真阅读服务条款和隐私政策;
除非你信任的应用程序,否则不要输入电话号码。
高级威胁情报
轰动一时的 SolarWinds 供应链事件仿佛为俄罗斯威胁组织 Nobelium 拉开了供应链攻击的篇章。该组织在 SolarWinds 供应链攻击曝光后并没有收手,而是从5月以来将矛头转向了全球的 IT 供应链公司。自 2021 年 5 月以来,已有 140 家托管服务提供商 (MSP) 和云服务提供商遭到 Nobelium 组织的攻击,至少有 14 家遭到入侵, 600 多个 Microsoft 客户遭受了该组织的数千次攻击。与之前一样,该组织使用了多样化的工具包,其中包括密码喷洒、令牌盗窃、API滥用和与鱼叉式网络钓鱼等策略和工具。
漏洞情报
近日,Positive Technologies 研究人员 Igor Sak-Sakovskiy 在 Windows 流行的 WinRAR 压缩包应用程序中发现了一个远程代码执行漏洞 CVE-2021-35052。该漏洞允许攻击者拦截和修改发送给应用程序用户的请求,在受害者主机上实现远程代码执行 (RCE)。WinRAR 压缩包应用程序试用版本 5.70 受该漏洞的影响。
WinRAR 等第三方应用程序一旦在设备上安装,就可以读取、写入和修改接入网络的设备上的数据,而对用户可能安装的每个应用程序进行审计是不现实的,所以第三方应用程序的管理成为了企业与个人面临的最大挑战之一。 因此策略对于管理与外部应用程序相关的风险和平衡各种应用程序的业务需求至关重要,管理不当会产生严重的后果。
勒索专题
2021年10月27日
安全厂商 Avast 发布了 AtomSilo 、 LockFile 和 Babuk 勒索软件的免费解密器,允许受害者免费恢复 AtomSilo 、 LockFile、Babuk 勒索软件加密的文件。
AtomSilo 勒索软件解密器:研究人员于10月17日利用漏洞破解了AtomSilo 勒索软件;
LockFile 勒索软件解密器:由于 AtomSilo 勒索软件非常相似,所在 LockFile 勒索软件解密器随着 AtomSilo 勒索软件解密器一起发布;
Babuk 勒索软件解密器:是由9月泄露的源代码和部分解密秘钥创建的。
https://securityaffairs.co/wordpress/123854/malware/atomsilo-lockfile-ransomware-decryptor.html?
钓鱼专题
2021年10月22日
微软揭露了一起使用 TodayZoo 攻击套件的网路钓鱼攻击,黑客以密码需要重置或是文件扫描通知为由,将受害者重定向到仿冒 Microsoft 365 的登录页面,诱使受害者登入网页进而窃取他们的微软帐号及密码。这起攻击行动微软从2021年3月发现并进行追踪,攻击者此次活动活跃时间可追溯于2020年12月,运用亚马逊的 WorkMail 网域(AwsApps[.]com)发送钓鱼邮件,然后将受害者引导到假造的微软登入网页。微软也将这起攻击事件报告了亚马逊,亚马逊也采取相关行动进行了处置。
https://www.zdnet.com/article/this-frankensteins-monster-of-a-phishing-campaign-is-after-your-passwords/
- END -
ThreatBook
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
内容转载与引用
1. 内容转载,请微信后台留言:转载+转载平台+转载文章
2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”