记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

安全威胁情报周报(11.08-11.14)

2021-11-15 04:25


一周威胁情报摘要

威胁趋势
  • 中小型企业如何应对网络攻击?
金融威胁情报
  • 美国金融服务公司 Robinhood 遭到攻击,约700万客户敏感信息遭到泄露(见PDF)
  • 亚洲唯一上市证券托管机构 CVL 被曝存在漏洞,导致超4,000万数据发生泄露(见PDF)
  • 黑客组织利用 Google Ads 窃取了约50万美元的加密货币
  • 去中心化金融(DeFi)平台 bZx 遭到攻击,约5,500万美元失窃(见PDF)
  • 新型比特币骗局:利用“人质“风格视频在 Instagram 上传播(见PDF)
政府威胁情报
  • 相煎何急,印APT组织蔓灵花针对巴基斯坦政府机构展开定向攻击
  • 匈牙利政府被曝购买且使用了 NSO Group 的 Pegasus 间谍软件(见PDF)
  • 美国 1.8TB 警用直升机监控录像的数据被公开,数据安全成隐患(见PDF)
  • 美国国防承包商电子站协会EWA电子邮件系统遭到攻击,敏感数据发生泄露

  • 朝鲜侦查总局打着韩国智库的幌子针对韩国国防部门展开攻击(见PDF)
能源威胁情报
  • 澳大利亚供水供应商 Sunwater 服务器失陷9个月未被发现
工控威胁情报
  • 西门子和施耐德电气通报并修复多个漏洞
  • OT 和 IOT设备使用的套件 BusyBox 被曝存在14个漏洞(见PDF)
流行威胁情报
  • PhoneSpy 间谍软件针对韩国 Android 用户展开攻击
  • Netflix、Instagram 和 Twitter 用户成为新型 Android 银行木马 MasterFred 的受害者(见PDF)
  • 日本关西大学数据库在泄露站点上被公开售卖(见PDF)
高级威胁情报
  • 朝鲜威胁组织 Kimsuky 利用恶意博客瞄准韩国智库传播恶意软件(见PDF)
  • 朝鲜威胁组织 Lazarus 小号疑似被暴露;使用捆绑恶意软件的 IDA Pro7.5 展开攻击
  • “双剑合璧”,TA551 威胁组织与 ITG23组织合作进行 Conti 勒索软件攻击(见PDF)
漏洞情报
  • Mozilla 发布更新修复 Thunderbird 系列严重漏洞
  • 微软11月补丁修复了包含6个 0day 漏洞在内的55个漏洞(见PDF)
勒索专题
  • 德国医疗软件供应商 Medatixx 遭到勒索软件攻击,内部IT系统受到影响
  • 德国电子零售巨头 MediaMarkt 疑似遭到勒索软件组织袭击,德国和荷兰的商店运营被迫中断(见PDF)
钓鱼专题
  • 谨防冒充 Proofpoint 窃取凭据的网络钓鱼攻击!
注:由于篇幅限制,仅精选部分发布,公众号后台回复 “1114” 获取完整版 PDF 阅读。



威胁趋势


中小型企业如何应对网络攻击?

网络安全威胁在不断演变的同时,风险是不会有丝毫降低的。虽然任何企业都无法幸免于网络攻击,但由于中小型企业通常缺乏大型企业的安全基础设施,又存在“中小型企业不太可能成为网络攻击的目标”普遍的误解,促使越来越多的中小型企业安全建设更加脆弱,同样也成为了网络犯罪分子完美的选择目标。

根据美国小企业管理局 (SBA) 最近的一项调查指出 88% 的中小型企业容易受到网络攻击的原因:1)许多企业觉得他们自身负担不起专业的 IT 解决方案;2)投入到网络安全的时间有限;3)其他:无从下手等等。
那么,中小型企业如何保护自己免受网络攻击呢?
1、从主观意识里移除积深已久的误解“中小型企业不太可能成为网络攻击的目标”,了解遭受攻击的风险并找出可以进行最大改进的地方。
2、采取强有力的策略和最佳实践:为员工建立基本的安全实践和政策;实施合理的行政、物理和技术保障措施。
3、由于员工是企业数据泄露的主要原因之一,应从当下开始培训员工,增强自身和企业安全建设。
4、企业应投资网络安全软件和利用可用的公共资源、工具,最大化抵御网络攻击带来的威胁。

来源:

https://www.darkreading.com/attacks-breaches/4-tips-on-how-small-to-midsize-businesses-can-combat-cyberattacks


金融威胁情报


黑客组织利用 Google Ads 窃取了约 50 万美元的加密货币

  Tag:Google Ads,货币失窃

事件概述:

Check Point Research (CPR) 于近日监测发现黑客利用谷歌公司广告服务产品 Google Ads 在几天内窃取了超50万美元的加密货币。

技术详情:

黑客将 Google Ads 置于谷歌加密钱包相关搜索页面的顶端,投放伪装成 Phantom App、MetaMask 和 Pancake Swap 钱包的广告,诱使目标点击包含恶意链接的虚假广告,将受害者重定向到伪装成原始钱包的钓鱼网站。然后攻击者会通过以下两种方式来窃取受害者钱包中的加密货币:1)如果受害者具备加密货币钱包,钓鱼网站会窃取受害者的钱包密码,从而窃取钱包中的加密货币;2)如果受害者没有加密货币钱包,则会为受害者创建新的钱包,捕获受害者输入的密码,继而窃取加密货币。

 

来源:
https://blog.checkpoint.com/2021/11/04/scammers-used-google-ads-to-steal-500k-worth-of-cryptocurrency/


政府威胁情报


相煎何急,印APT组织蔓灵花针对巴基斯坦政府机构展开定向攻击

  Tag:蔓灵花,BITTER,印度,巴基斯坦

事件概述:
近日,微步情报局捕获一起印度方向蔓灵花组织针对巴基斯坦电信管理局的攻击活动。该活动疑似是蔓灵花组织在回击巴基斯坦团伙 SideCopy 仿冒印度 KAVACH 软件发起的攻击活动。微步情报局经过分析有如下发现:
  • 攻击者使用仿冒的 OpenVPN 安装包对巴基斯坦电信管理局进行攻击,该安装包会同时运行木马与正常的 OpenVPN 安装程序;

  • 木马运行过程中,会先删除以往的旧版本木马,再下载执行新的木马;

  • 攻击者会依次判断受害主机,并且只对部分感兴趣的主机进行下发后续木马操作;根据代码来看,攻击者只对运行了某些特定进程的用户感兴趣,并通过关键词 “llll” 判断返回内容中恶意 PE 文件的起始位置;

  • .........

点击“相煎何急,印APT组织蔓灵花针对巴基斯坦政府机构展开定向攻击”查看完整报告,或者在公众号后台回复“BT”获取完整版(含IOC)PDF报告。

 

来源:
https://mp.weixin.qq.com/s/MQgEVZVqQmcyOXVlEgpezA




美国国防承包商电子站协会EWA电子邮件系统遭到攻击,敏感数据发生泄露

  Tag:国防承包商,数据泄露,美国

事件概述:

电子站协会 Electronic Warfare Associates (EWA) 是美国国防承包商之一,主要向美国国防部、国土安全部和司法部提供电子设备。近日,EWA 披露其电子邮件系统于今年8月2日遭到网络攻击,敏感信息数据文件发生泄露。这不是该公司第一次成为网络攻击的受害者,早在2020 年 1 月,EWA 遭到了 Ryuk 勒索软件攻击,其 Web 服务器被感染。

据 EWA 透露称此次泄露的数据信息包括收件人的姓名、社会安全号码(SSN)和驾驶证号码,但并未透露攻击者是否获得了机密技术文件的访问权限,机密技术文件是否发生泄露等相关问题。目前,EWA虽然不清楚这些泄露的数据已经被滥用,但保证将通过 Equifax Complete Premier 服务为受影响的个人提供为期两年的免费欺诈检测和身份盗用保护服务。

来源:
http://dojmt.gov/wp-content/uploads/Data-Breach-Notification-25.pdf


能源威胁情报


澳大利亚供水供应商 Sunwater 服务器失陷9个月未被发现

  Tag:澳大利亚,供水供应商

事件概述:

澳大利亚昆士兰政府的供水供应商 Sunwater 管理着 19 个主要水坝和 1,600 英里长的水管道,向超过 5,000 名客户提供散装水,并为昆士兰州 Wide Bay-Burnett 和西北地区的几个政府客户提供水咨询服务。近日,昆士兰审计署发布的年度财务审计报告显示供水供应商 Sunwater 使用的服务器在2020 年8月至2021年5月之间遭到黑客破坏,且9个月内 Sunwater 未发现攻击痕迹。黑客主要针对 Sunwater 较旧且更易受攻击的系统版本进行攻击,在 Sunwater 服务器部署了自定义植入程序,将访问者流量重新定向到在线视频平台,增加了在线视频平台的访问量。此攻击并没有导致客户信息、财务信息受到破坏,入侵 Sunwater 服务器的组织疑似被归因于经济动机的组织。

来源:

https://securityaffairs.co/wordpress/124498/hacking/queensland-water-supplier-hacked.html?


工控威胁情报


西门子和施耐德电气通报并修复多个漏洞

  Tag:西门子,施耐德电气,漏洞

事件概述:

近日,西门子和施耐德电气于近日共发布了20个补丁修复产品中的50多个漏洞。
西门子:
西门子发布了13条公告修复了其产品中的36个漏洞,其中包括 Siveillance Video DLNA Server中的路径遍历漏洞,SENTRON powermanager V3 中的本地代码执行和权限提升漏洞,NX 中的代码执行漏洞以及 PSS、SICAM 和 SIMATIC 产品中的 DoS 漏洞,Climatix POL909的信息泄露漏洞,SIMATIC RTLS 定位管理器的 DoS 和信息泄露漏洞、Mendi 的信息泄露和内容操作漏洞和 NX的代码执行漏洞等。
施耐德电气:
施耐德电气于11月9日发布七项更新共修复了17个漏洞,包括导致代码执行、信息泄露、DoS 攻击的漏洞。
来源:

https://www.securityweek.com/ics-patch-tuesday-siemens-and-schneider-electric-address-over-50-vulnerabilities-0?


流行威胁情报


PhoneSpy 间谍软件针对韩国 Android 用户展开攻击

  Tag:Android,PhoneSpy,韩国,间谍软件

事件概述:

移动安全公司 Zimperium 于近日监控发现一款针对韩国 Android 设备用户的间谍软件,已经有超 1,000 韩国人成为该间谍软件的受害人。目前,各大 Android 应用商店尚未发现 PhoneSpy 间谍软件,攻击者疑似是利用基于 Web 流量重定向和社会工程分发该间谍软件,而不是通过应用商店这种媒介分发。一旦间谍软件获得受害者的访问控制权限后,便可以访问摄像头拍照、录制视频和音频、获取精确的 GPS 位置、查看设备中的图片等等。

技术详情:

PhoneSpy 间谍软件首先伪装成针对韩国用户各种应用程序,疑似借助网络流量重定向和社会工程等方式传播。当受害者一旦安装虚假的应用程序后,该应用程序便会请求权限并打开一个仿冒韩国流行消息应用程序 “Kakao Talk” 登录页面的网络钓鱼页面来窃取凭据。该间谍软件还会滥用其权限并充当远程访问木马,让攻击者可以完全访问受害者 Android 设备,收集信息和执行后续恶意操作,然后将收集到的信息回传到攻击者的 C2 服务器。


来源:
https://blog.zimperium.com/phonespy-the-app-based-cyberattack-snooping-south-korean-citizens/


高级威胁情报


朝鲜威胁组织Lazarus小号疑似被暴露;使用捆绑恶意软件的IDA Pro7.5展开攻击

  Tag:Lazarus,APT,朝鲜,IDA,Twitter

事件概述:
朝鲜 APT 组织 Lazarus 在今年初通过养推特大V账号,配合定制开发的恶意软件+0day漏洞针对安全研究人员进行了一系列的网络攻击活动。
近日,0xcc 研究人员披露了一个高度疑似 Lazarus 组织 Twitter 账号 “Stephen McKenzie”,该账号于今年8月份注册。研究人员指出该账号疑似是  Lazarus 组织放长线钓大鱼注册的小号。
今年10月,国外安全厂商 ESET 曝光了朝鲜威胁组织 Lazarus 使用捆绑恶意软件的 IDA Pro7.5 针对安全研究人员展开攻击。Lazarus 组织使用恶意 DLL 文件替换了在 IDA Pro 安装期间执行的内部组件 win_fw.dll,然后创建一个从 IDA 插件文件夹中启动第二个恶意组件 idahelper.dll 的计划任务,启动恶意 DLL  idahelper.dll 后下载后续恶意载荷。
微步提示您,如果您安装了 IDA Pro7.5,建议尽快自行检查。

来源:

https://twitter.com/ESETresearch/status/1458438155149922312


漏洞情报


Mozilla 发布更新修复 Thunderbird 系列严重漏洞

  Tag:Mozilla,Thunderbird,严重漏洞

事件概述

近日,Mozilla 在发布的 Thunderbird 91.3 更新版本中修复了多个严重漏洞 CVE-2021-38507、CVE-2021-38508、CVE-2021-38509、CVE-2021-38510、MOZ-2021-0008、MOZ-2021-0007,这些漏洞可能导致拒绝服务、欺骗源、绕过安全策略并允许任意代码执行。一个月前,Mozilla 强制从 78.x 版本升级到 91.x 版本,以确保每个用户都运行最新的稳定版本的电子邮件客户端。但是,由于两个主要版本之间的附加组件不兼容问题,许多用户依然选择继续使用 78.x 版本。据 Mozilla 最新统计数据显示, 目前只有 65% 的 Thunderbird 用户升级到 91.x 版本,其余用户仍在使用旧的、不受支持的、现在易受攻击的版本,Mozilla  78.x 版本的用户依然面临着巨大的风险。

来源:
https://www.bleepingcomputer.com/news/security/mozilla-thunderbird-913-released-to-fix-high-impact-flaws/


勒索专题



2021年11月9日

德国医疗软件供应商 Medatixx 遭到勒索软件攻击,内部 IT 系统受到影响

德国医疗软件供应商 Medatixx  遭到勒索软件攻击,内部 IT 系统受到影响,管理实践系统(PVS)并未受到影响,但由于未知攻击者在攻击过程中窃取了哪些数据, Medatixx 客户的密码疑似发生泄露。而且 Medatixx 产品在 21,000 多家医疗机构中使用, Medatixx 敦促客户在勒索软件攻击严重损害其整个运营后更改其应用程序密码。

来源:
https://www.bleepingcomputer.com/news/security/medical-software-firm-urges-password-resets-after-ransomware-attack/


钓鱼专题



2021年11月4日

谨防冒充 Proofpoint 窃取凭据的网络钓鱼攻击!

研究人员发现一起针对一家全球通信公司凭据网络钓鱼攻击活动。攻击者冒充 Proofpoint 并利用链接钓鱼、社会工程、品牌模仿、复制现有工作流程、接管账户等技术试图窃取受害者的 Microsoft 和 Google 电子邮件凭据。

微步提醒您谨防冒充 Proofpoint 窃取凭据的网络钓鱼攻击。

来源:
https://www.armorblox.com/blog/proofpoint-credential-phishing/


- END -



关于微步在线研究响应团队

ThreatBook


微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载,请微信后台留言:转载+转载平台+转载文章

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”

 



知识来源: ?id=e4d13b81fec131b0a3649cf5aae6fee0&source_url=https%3A%2F%2Fmp.weixin.qq.com%2Fs%2FrzHDN86SOk3CvXlOPPPL1Q

阅读:25860 | 评论:0 | 标签:情报 威胁情报 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“安全威胁情报周报(11.08-11.14)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云