欢迎光临
我们一直在努力

安全威胁情报周报(11.29-12.05)

一周威胁情报摘要

威胁趋势

  • 以色列国防部大幅限制出口销售间谍工具的国家数量

金融威胁情报

  • 美国银行、摩根大通银行成为最新银行业欺诈的受害者(见PDF)

  • 谷歌云平台账户成为黑客挖掘加密货币的新媒介(见PDF)

  • 中国台湾省多家券商的交易系统遭到黑客撞库攻击(见PDF)

  • 威胁组织利用 Yanluowang 勒索软件针对金融部门组织展开攻击

政府威胁情报

  • 美国国防承包商 AT&T疑似遭到 EwDoor 僵尸攻击

能源威胁情报

  • 澳大利亚电力公司 CS Energy 成为勒索软件最新受害者,发电及电力传输未受影响

  • 海事服务提供商太古离岸(SPO)遭到 Clop 勒索软件攻击,数据发生泄露(见PDF)

工控威胁情报

  • 日本松下电器公司遭到网络攻击,数据发生泄露

流行威胁情报

  • 加拿大亚阿尔伯塔省疫苗网站存在安全漏洞,导致疫苗隐私数据遭到泄露(见PDF)

  • Flubot 银行木马席卷芬兰 Android 用户

高级威胁情报

  • 东亚黑客组织BlackTech针对金融、教育等行业展开攻击

  • APT37 利用 Chinotto 间谍软件针对人权活动家和叛逃者展开监视活动(见PDF)

  • Lazarus 组织冒充三星招聘人员针对韩国安全公司进行网络钓鱼攻击

漏洞情报

  • 第三方 0patch 抢先发布 Windows 本地提权 0day 漏洞的免费非官方补丁

  • Zoom 视频会议软件存在的两个漏洞,促使用户更容易受到攻击(见PDF)

勒索专题

  • 美国生物制药公司 Supernus Pharmaceuticals 拒绝向 Clop 勒索软件组织拒绝支付赎金

钓鱼专题

  • 旨在窃取银行凭据的网络钓鱼活动在德国肆虐

  • 宜家成为网络钓鱼回复链攻击的最新受害者(见PDF)

注:由于篇幅限制,仅精选部分发布,公众号后台回复 “1205” 获取完整版 PDF 阅读。


威胁趋势

以色列国防部大幅限制出口销售间谍工具的国家数量

近日,以色列国防部进行调整出口名单,大幅限制了该国网络安全公司出售间谍工具的国家数量,将65个国家从出口名单中剔除。以色列商业报纸 Calcalist 在名单修订后进行首次报道,从原来102个出口国家名单中剔除了65个国家,现在只包括 37 个国家:澳大利亚、奥地利、比利时、保加利亚、加拿大、克罗地亚、塞浦路斯、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、冰岛、印度、爱尔兰、意大利、日本、拉脱维亚、列支敦士登、立陶宛、卢森堡、马耳他、新新西兰、挪威、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、韩国、西班牙、瑞典、瑞士、荷兰、英国和美国。

继美国商务部在11月初将 NSO Group 和 Candiru 加入其贸易黑名单后,以色列国防部大幅限制出口国家名单。以色列国防部允许出口的国家名单中缺少了摩洛哥、巴林、沙特阿拉伯和阿联酋等国家,这些国家在之前已被确定为以色列间谍软件供应商 NSO Group 的客户。在限制出口方面,以色列国防部此举实际上使当地网络安全公司更难向拥有极权政权或有侵犯人权记录的国家推销其软件。

来源:
https://thehackernews.com/2021/11/israel-bans-sales-of-hacking-and.html


金融威胁情报

威胁组织利用 Yanluowang 勒索软件针对金融部门组织展开攻击

  Tag:勒索软件,Yanluowang,金融

事件概述
Symantec 在近日发现勒索软件组织 Yanluowang 至少自2021年8月以来就被某个威胁组织利用,针对美国金融部门组织、制造、IT服务、咨询和工程部门公司展开攻击。研究人员指出由于该威胁组织使用的 TTP 与 Canthroid 组织开发的 Thieflock 勒索软件攻击相关联,该威胁组织可能是 Thieflock 的一个附属机构,并且未来将可能转向依赖于新的 Yanloowang 勒索软件开展攻击。
技术详情:  
威胁组织利用 PowerShell 将包括 BazarLoader 在内的工具下载到受感染系统,在威胁组织展开攻击之前侦查目标系统。一旦获取目标访问权限后,威胁组织便会通过注册表启用 RDP 以启用远程访问,部署合法的远程访问工具 ConnectWise(以前称为 ScreenConnect)进行横向移动,然后部署 Adfind 和 netscan.exe识别感兴趣的目标系统。在下一阶段使用 GrabFF、GrabChrome、BrowserPassView 凭据转储工具窃取目标凭据。此外,威胁组织还部署了屏幕捕获工具进行信息收集,利用连接代理与 C2 通信。
组织关联:
Yanluowang 与 Thieflock 部分 TTP 重叠:
使用自定义密码恢复工具,例如 GrabFF 和其他开源密码转储工具;
使用开源网络扫描工具(SoftPerfect Network Scanner);
使用免费浏览器,例如 s3browser 和 Cent 浏览器。
来源:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/yanluowang-ransomware-attacks-continue


政府威胁情报

美国国防承包商 AT&T疑似遭到 EwDoor 僵尸攻击

  Tag:AT&T,美国国防承包商,EwDoor,僵尸

事件概述:
AT&T 是全美最大的固网电话及移动电话电信服务提供商,也是美国国防承包商之一。近日,安全厂商监测发现 EW Door 僵尸网络利用 CVE-2017-6079 攻击 AT&T设备EdgeMarc Enterprise Session Border Controller,短时间内竟有 5700 名美国活跃的受害者。该僵尸网络主要功能为 DDoS 和后门,且攻击设备主要与电话通信相关的设施,研究人员推测认为是攻击者针对 AT&T 攻击主要目的是 DDoS 攻击和收集通话记录等敏感信息。

技术详情:

Ewdoor 僵尸网络在受感染设备上运行时,执行收集设备信息,在 SHELL 脚本中使用 crontab 命令来实现持久化,然后并通过解密的 bt tracker 得到 C2 地址。继而采用动态链接库通信,并将收集到的设备主机名、NIC 地址等信息回传给 C2,并执行 C2 下发的命令。

来源:
https://blog.netlab.360.com/warning-ewdoor-botnet-is-attacking-att-customers/


能源威胁情报

澳大利亚电力公司 CS Energy 成为勒索软件最新受害者,发电及电力传输未受影响

  Tag:电力,勒索软件,澳大利亚

事件概述:

澳大利亚昆士兰州政府全资拥有的发电公司 CS Energy  于11月30日发表声明,称11月27日其 ICT 网络遭到勒索软件攻击,CS Energy 立即将企业网络与其他内部网络采取隔离并制定业务连续性流程来遏制这一勒索攻击事件。Callide 和 Kogan Creek 发电站的发电并未受到此次勒索攻击事件的影响,将继续发电且输送电力到澳大利亚电力市场。CS Energy 在声明中还着重强调要恢复其网络的安全性,并支持员工、客户和业务合作伙伴妥善解决他们可能由于勒索攻击事件导致的任何问题。

这次勒索软件攻击是 CS Energy 今年发生的第二次重大攻击事件,早在今年5月份,CS Energy 的 Callide 电站发生爆炸,导致昆士兰州 477,000 户家庭和企业断电。

来源:
https://www.csenergy.com.au/news/cs-energy-responds-to-cyber-security-incident


工控威胁情报

日本松下电器公司遭到网络攻击,数据发生泄露

  Tag:数据泄露,松下电器,日本

事件概述:
日本八大电机企业之一的松下电器于11月26日发表声明证实其网络在11月11日遭到攻击,且攻击者在入侵的过程中未经授权访问了文件服务器的一部分数据,疑似数据发生泄露。松下电器声明还指出其在检测到未经授权的访问后,立即采取了阻止外部访问网络等安全措施,并向有关部门报告了事件,及联合第三方展开调查,确定数据泄露影响的客户和范围。
据日本媒体 Mainichi 和 NHK 透露,此次攻击活动实际上始于6月22日,并于11月3日结束,NHK 还透露此次被攻击的松下电器的服务器存储了有关松下业务合作伙伴和公司技术的信息。松下电器相关人员并没有直面回应该外媒透露的言论,但随后在采访时推翻了11月11日遭到攻击的措辞,承认11月11日实际上是指首次发现漏洞的日期。

来源:

https://news.panasonic.com/global/press/data/2021/11/en211126-4/en211126-4-1.pdf


流行威胁情报

Flubot 银行木马席卷芬兰 Android 用户

  Tag:Flubot ,银行木马,Android,芬兰

事件概述:
芬兰国家网络安全中心(NCSC-FI)于近日发布告警信息称 Flubot 银行木马正在通过短信垃圾邮件大肆传播,且该恶意软件针对使用 Android 设备和订阅移动短信服务的人员,iPhone 和其他设备则被定向到拥有其他欺诈资料的网站。据 NCSC-FI 透露,其中芬兰曾在一天之内收到了数以万计传播 Flubot 银行木马的恶意短信。微步建议您警惕这种传播恶意软件的垃圾短信,避免造成财产损失和数据泄露。
技术详情:
攻击者通常会向目标投递主题是收件人收到了语音邮件信息或来自移动运营商信息的短信消息,诱使收件人点击短信中的链接,要求用户授权以安装恶意软件。恶意软件一旦安装后,可能会从受害者设备窃取数据并发送传播恶意软件的诈骗信息,这些消息可能会在文中随机和不合逻辑的位置出现+、/、&、% 和 @ 字符。

来源:
https://www.kyberturvallisuuskeskus.fi/en/news/ncsc-fi-issued-severe-alert-malware-being-spread-sms


高级威胁情报

东亚黑客组织BlackTech针对金融、教育等行业展开攻击

  Tag:BlackTech,APT,金融,教育

事件概述:
BlackTech 是一个主要针对东亚地区的商业间谍组织,其活动可追溯至2010年,其攻击的目标行业包含金融、政府、科技、教育、体育和文化等,其目的是窃取机密数据(各种账密、机密文件等)和获取经济利益。该组织主要使用鱼叉式网络钓鱼邮件进行攻击,惯用 Plead、TSCookie、Gh0st、Bifrose 等木马。

近期,微步情报局通过微步在线威胁情报云监测到 BlackTech 在多次攻击活动中使用的后门木马,包含 Windows 版本和 Linux 版本。在针对 Windows 平台的攻击中,BlackTech 使用的后门木马是由 Gh0st 源码修改而来,具备 RAT 能力。在针对 Linux 平台的攻击中,BlackTech 使用的后门木马有两种类型,一种是 Bifrose 后门木马;另一种是用 Python 编写打包的具备上传文件、下载文件、执行命令等功能的木马。且这些木马多数杀毒引擎较难查杀,经过分析还发现 BlackTech 在近期的攻击活动中不断改变和丰富武器库。

完整内容查看“东亚黑客组织BlackTech针对金融、教育等行业展开攻击”,或者直接在公众号后台回复“BL”获取完整版 PDF 报告。

来源:
https://mp.weixin.qq.com/s/m7wo0AD4yiAFfTm1Jhq2NQ



Lazarus 组织冒充三星招聘人员针对韩国安全公司进行网络钓鱼攻击

  Tag:Lazarus,APT,朝鲜,网络钓鱼

事件概述:
近日,谷歌安全研究人员指出 Lazarus(又称为Zinc Group)冒充三星招聘人员向韩国反恶意软件解决方案安全公司员工发送虚假的工作机会,开展网络钓鱼活动。
技术详情:
威胁组织伪装成三星招聘人员向韩国反恶意软件解决方案安全公司员工发送包含附件的虚假工作机会电子邮件,附件是一个职位简介的 PDF 文档。受害者无法通过标准的 PDG 阅读器直接打开附件,以此诱使受害者点击链接下载存储在谷歌设备上的 PDF 安全阅读器。该 PDF 阅读器是 PDFTron 的污染版本,安装该应用程序后,会在受害者的设备上建立一个后门,执行后续恶意操作。
早前,威胁组织就曾通过招聘信息开展攻击,首先利用创建的 Twitter 、LinkedIn 等虚假账号与感兴趣的研究人员建立初始通信后,以询问是否共同进行漏洞研究,共享 Visual Studio 项目。受害者执行共享项目会通过 Visual Studio Build Events 调用执行项目中包含的额外 DLL,恶意代码会安装恶意后门接管受害者计算机。

来源:
https://services.google.com/fh/files/misc/gcat_threathorizons_full_nov2021.pdf


漏洞情报

第三方 0patch 抢先发布 Windows 本地提权 0day 漏洞的免费非官方补丁

  Tag:Windows,0day,漏洞

事件概述:

近日,0patch 社区项目推出 Windows 本地提权 0day 漏洞13字节的轻量级补丁。该漏洞存在于 Windows 任务调度程序 ALPC 接口,漏洞实现利用需具备以下条件:

0patch  推出的补丁虽不是官方补丁,但这个轻量级补丁解决了漏洞问题,但要阻止多个变体触发漏洞的利用,还是建议用户在微软给出修复方案后尽快应用官方修复方案、补丁。

来源:
https://securityaffairs.co/wordpress/125061/security/unofficial-patches-cve-2021-24084-zeroday.html


勒索专题

2021年11月24日

美国生物制药公司 Supernus Pharmaceuticals 拒绝向 Clop 勒索软件组织拒绝支付赎金

生物制药公司 Supernus Pharmaceuticals, In 称其遭到勒索软件攻击,但对业务和运营并没有产生重大影响。据该公司透露此次勒索软件攻击始于2021年11月中旬左右,勒索软件组织对公司系统上的某些文件进行了加密,部署了恶意软件以阻止对公司系统的访问。

截至目前,该公司尚未支付任何赎金,并已能够恢复由勒索软件组织加密的所有信息。

来源:

https://www.databreaches.net/supernus-pharmaceuticals-targeted-in-ransomware-incident-form-8-k/


钓鱼专题

2021年11月30日

旨在窃取银行凭据的网络钓鱼活动在德国肆虐

Proofpoint 研究人员发现,自 2021 年 8 月下旬以来,试图窃取德国银行凭证的凭证网络钓鱼活动有所增加,攻击者使用多个定制的、拥有的登陆页面来欺骗 Volksbank 和 Sparkasse 等德国主要银行,通过网络钓将受害者引导至凭据收集页面的链接或二维码,旨在窃取银行分行数据、登录标识和 PIN 等信息。由于每个活动都包含影响数百个组织的数万条消息,该活动可能将继续影响数百个组织。
来源:

https://www.proofpoint.com/us/blog/threat-insight/high-volume-german-phishing-campaign-aims-steal-banking-credentials


点击下方名片,关注我们
第一时间为您推送最新威胁情报

赞(0) 打赏
未经允许不得转载:黑客技术网 » 安全威胁情报周报(11.29-12.05)
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏