APT攻击
Lazarus Group利用Log4J漏洞攻击能源供应商
TeamTNT泄露DockerHub的账户凭据
TA453使用欺骗性角色瞄准核安全研究人员
披露BITTER样本
攻击活动
亲巴基斯坦黑客组织GhostSec攻击以色列
俄罗斯主要电视台遭亲乌黑客攻击
针对希腊银行用户的网络钓鱼活动
漏洞情报
Apex One存在的漏洞CVE-2022-40139
WPGateway存在零日漏洞CVE-2022-3180
勒索软件
Lorenz勒索软件通过电话系统入侵企业网络
APT攻击
Lazarus Group利用Log4J漏洞攻击能源供应商
近期,安全研究人员将针对美国、加拿大和日本能源供应商的网络间谍活动与具有朝鲜背景的APT组织Lazarus Group联系起来。攻击者利用存在Log4Shell漏洞的VMware Horizon 服务器执行shellcode,并在受害目标上建立随时可运行各种命令的反向shell。一旦漏洞利用成功,Lazarus Group会部署自定义恶意软件系列VSingle、YamaBot以及远程访问木马MagicRAT,用于窃取受感染设备的数据。
https://blogs.blackberry.com/en/2022/09/shields-up-north-korean-state-sponsored-lazarus-group-targets-american-energy-firms
TeamTNT泄露DockerHub的账户凭据
根据趋势科技的研究人员披露,疑似具有德国背景的APT组织TeamTNT持续通过其控制的两个DockerHub账户泄露凭据数据(该组织滥用DockerHub免费的Container Registry服务分发各种恶意载荷,包括硬币矿工)。其中一个DockerHub账户(名为“alpineos”)托管了一个恶意容器映像,其中包含rootkit、Docker容器逃逸工具包、XMRig Monero硬币矿工、凭证窃取器和Kubernetes漏洞利用工具包。
来源:
https://www.trendmicro.com/en_us/research/22/i/security-breaks-teamtnts-dockerhub-credentials-leak.html
TA453使用欺骗性角色瞄准核安全研究人员
Proofpoint的研究人员披露了具有伊朗背景的APT组织TA453,针对中东事务或核安全的研究人员的攻击活动。此次活动中TA453使用一种新的、精心设计的网络钓鱼技术,通过使用多个角色和电子邮件帐户,诱导目标认为这是一个真实的电子邮件对话。研究人员将这种社会工程技术称为“多角色模拟”(MPI)。攻击者向目标发送一封电子邮件,同时抄送由攻击者控制的另一个电子邮件地址,然后从该电子邮件中回复,进行虚假对话,进一步开展攻击活动。
来源:
https://www.proofpoint.com/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capitalize-fomo
披露BITTER样本
近日,研究人员披露BITTER组织的样本,IOC信息如下所示:
文件名:MoM APSCO and SUPARCO Meeting_09 Sept 2022.chm
MD5:16696b82884de21b3ef5a3b27872d53c
URL:http://novaoutletclub.com/drop/fall.php?st=%computername%*%username% /qn/norestart
来源:
https://twitter.com/shadowchasing1/status/1569625009177653248
攻击活动
亲巴基斯坦黑客组织GhostSec攻击以色列
近日,亲巴基斯坦黑客组织GhostSec在其控制的社交媒体及Telegram频道上宣称,已经入侵了以色列组织使用的55个Berghof PLC(可编程逻辑控制器),并展示了一段成功登录PLC的控制面板的视频,以及显示某些攻击阶段的HMI屏幕截图。研究人员认为,攻击者通过使用默认和通用凭据获得了对PLC控制面板的访问权限,进而允许攻击者开展攻击活动。
来源:
https://securityaffairs.co/wordpress/135656/hacktivism/ghostsec-hacked-berghof-plcs-israel.html
俄罗斯主要电视台遭亲乌黑客攻击
俄乌冲突期间,广电媒体成为网络战的攻击重点。据报道,上周日(9月11日),亲乌克兰的恶意黑客团伙"hdr0"入侵了俄罗斯电视频道并播放反战信息,还将俄罗斯对乌克兰的攻击与美国纽约遭遇9/11恐怖袭击相提并论。除此之外,黑客团伙还在在Telegram上表示,Channel One Russia、Russia-24及Russia-1等多个俄罗斯电视频道均已被攻击。
来源:
https://www.secrss.com/articles/46918
针对希腊银行用户的网络钓鱼活动
Cyble的研究人员发现伪装成希腊退税网的网络钓鱼页面。该钓鱼页面提到了退税金额,并要求受害者确认其当前帐号以转移资金。攻击者诱导受害者输入有效凭据,通过钓鱼页面执行特有的JavaScript键盘记录器窃取击键记录,并将窃取到的凭据上传回攻击者的C2。
来源:
https://blog.cyble.com/2022/09/14/phishing-campaign-targets-greek-banking-users/
漏洞情报
Apex One存在的漏洞CVE-2022-40139
Apex One 是一个端点安全平台,可为企业提供针对恶意工具、恶意软件和漏洞的自动威胁检测和响应。近日,趋势科技发现该平台存在安全漏洞,漏洞编号为CVE-2022-40139。该漏洞允许攻击者能够在未安装补丁的系统上远程执行任意代码。
来源:
https://www.bleepingcomputer.com/news/security/trend-micro-warns-of-actively-exploited-apex-one-rce-vulnerability/
WPGateway存在零日漏洞CVE-2022-3180
近日,Wordfence威胁情报团队发现攻击者正在积极利用WPGateway高级插件中的零日漏洞CVE-2022-3180攻击WordPress网站。CVE-2022-3180漏洞是一个权限提升安全漏洞,该漏洞允许未经身份验证的攻击者通过触发该漏洞添加具有管理员权限的流氓用户,从而完全接管存在漏洞的WordPress的站点。
来源:
https://securityaffairs.co/wordpress/135715/cyber-crime/wordpress-wpgateway-critical-flaw.html
勒索软件
Lorenz勒索软件通过电话系统入侵企业网络
Arctic Wolf Labs的研究人员发现勒索软件Lorenz利用CVE-2022-29499漏洞,破坏Mitel MiVoice Connect以获得初始访问权限,并利用Microsoft的BitLocker Drive Encryption进行数据加密。Lorenz是一个至少从2021年2月开始活跃的勒索软件组织,主要针对位于美国、中国、墨西哥的中小型企业,以向其他攻击者出售加密前被盗的数据迫使其受害者支付赎金,并将受害者内部网络的访问权连同被盗数据一起出售给其他攻击者而闻名。
来源:
https://arcticwolf.com/resources/blog/lorenz-ransomware-chiseling-in/
往期推荐
Mandiant披露伊朗组织APT42——每周威胁动态第95期(09.03-09.08)