安全威胁情报周报(10.1~10.9)
2022-10-9 22:10:38 Author: 微步在线研究响应中心(查看原文) 阅读量:20 收藏


Lazarus 黑客组织针对加密货币行业工作者展开网络钓鱼攻击

  Tag:Lazarus,网络钓鱼,加密货币

事件概述:
近日,外媒报道称朝鲜背景威胁组织 Lazarus 利用虚假的加密货币平台 Crypto 工作机会瞄准加密领域的工作人员展开网络钓鱼攻击,旨在窃取数字资产和加密货币。自2020年以来,该组织以加密货币行业工作人员为目标展开名为“Operation In(ter)ception”的活动,利用恶意文件破坏公司内部网络、窃取货币和进行间谍活动。2022年8月,该组织假冒 Coinbase 的恶意工作机会利用 Windows 恶意软件或 macOS 恶意软件针对目标展开攻击。
技术手法:
威胁组织通过在 LinkedIn平台上投放虚假的工作机会,诱使目标下载伪装成 PDF 的 macOS 二进制文件。恶意二进制文件会在后台库目录下创建新的文件夹并释放第二阶段载荷,建立持久性和C2进行通信,获取第三阶段有效载荷,执行恶意攻击。

来源:

https://www.sentinelone.com/blog/lazarus-operation-interception-targets-macos-users-dreaming-of-jobs-in-crypto/

伊朗黑客针对阿尔巴尼亚政府展开网络攻击

  Tag:阿尔巴尼亚政府,伊朗

事件概述:
近日,美国联邦调查局 (FBI) 和网络安全和基础设施安全局 (CISA) 联合发布报告,称伊朗黑客组织“国土正义”(HomeLand Justice)在2022年7月部署破坏性恶意软件之前,在阿尔巴尼亚政府网络中潜藏了14个月,大约对阿尔巴尼亚政府内部网络内部进行了一年的持续网络访问,定期泄露电子邮件内容,部署勒索软件式文件加密器和磁盘擦除恶意软件展开攻击。
技术详情:
攻击者通过利用 CVE-2019-0604 漏洞获得目标的初始访问权限,随后使用几个 aspx webshell 维持持久性,并使用 RDP、SMB 和 FTP 进行横向移动。攻击者通过RDP 登录到受害者组织的打印服务器并启动进程 (Mellona.exe)传递 GoXml.exe加密器,同时使用使用 Disk Wiper 工具擦除原始磁盘驱动器。
MITRE ATT&CK:

初始访问:利用公众应用+有效账户

横向移动:RDP+SMB+FTP

凭证访问:Mimikatz + LSASS

命令与控制:应用层协议

影响:磁盘擦除+数据加密

来源:

https://www.cisa.gov/uscert/ncas/alerts/aa22-264a

施耐德电气修复可编程逻辑控制器(PLC)关键漏洞 CVE-2021-22779

  Tag:施耐德,漏洞

事件概述:
近日,外媒发表报道指出施耐德电气为其 EcoStruxure 平台和一些 Modicon 可编程逻辑控制器 (PLC) 发布了补丁,以解决一年多前披露的一个严重漏洞 CVE-2021-22779。该漏洞是身份验证绕过漏洞,攻击者可通过欺骗控制器和 M340 控制器之间的 Modbus 通信,以读写模式进行未经授权的访问,可以改变 PLC 的操作,同时对管理控制器的工程工作站隐藏恶意修改。
在研究人员披露漏洞时,该漏洞具备相应的缓解措施,但施耐德电气尚未发布补丁。该供应商于 2022 年 3 月开始发布补丁,最初为 EcoStruxure 软件发布了修复程序,在接下来的几个月中,该公司针对可编程逻辑控制器(PLC )发布了固件补丁。

来源:

https://www.securityweek.com/details-disclosed-after-schneider-electric-patches-critical-flaw-allowing-plc-hacking

谷歌商店被曝存在伪装成应用程序的 Harley 木马

  Tag:谷歌商店,木马

事件概述:
继谷歌商店曝出存在多款恶意软件后,近期又被曝出存在伪装成应用程序的 Harley 木马 Trojan Subscribers。近3年,该类恶意程序下载量超过480万次,近190款应用程序被感染。威胁组织为了将病毒传播到不同的系统,通过下载原始应用程序并将其恶意代码放入其中,然后以其他名称将它们重新上传到谷歌商店,在用户不知情的情况下注册付费服务展开欺诈。为避免成为此类应用程序的受害者,反病毒专家建议在下载应用程序之前先查看应用程序的评论,针对评论有问题的应用程序应避免下载。
技术手法:
Harley 系列的木马恶意软件在应用程序中包含一个有效负载,并使用多种方法来解密和执行有效负载。 解密后,Harley 会收集有关用户设备的信息,连接到移动网络,打开来自 C&C 服务器的订阅地址列表,自动输入用户的手机号码及 OTP,最终在用户不知情或不同意的情况下订阅付费服务。  

来源:

https://www.cysecurity.news/2022/09/harley-trojan-affecting-users-by.html

Lazarus 组织使用 BYOVD 技术瞄准国防、金融行业的攻击活动

  Tag:Lazarus,BYOVD

事件概述:
自2009年以来,朝鲜背景威胁组织 Lazarus 不仅将矛头瞄准韩国,而且还转向瞄准了美洲、亚洲和欧洲的各个国家。2022 年初,Lazarus 组织利用 BYOVD 技术针对韩国的国防、金融、媒体和制药行业展开了攻击。威胁组织通过利用 rootkit 恶意软件滥用易受攻击的驱动程序内核模块直接读取和写入内核内存区域,禁用系统内包括 AV 在内的所有监控系统展开攻击。该种技术主要在硬件供应公司的易受攻击的驱动程序模块上执行,使用最新的Windows操作系统,不再加载未签名的驱动程序,直接使用这种合法签名的易受攻击的驱动程序来轻松控制内核区域,执行恶意操作。
技术手法:
威胁组织通过利用旧版本的 INITECH 进程来执行初始攻击,利用“ENE Technology”制造的硬件相关模块的漏洞,通过简单的绕过读取和写入任意内核内存区域,并通过修改与内核相关的所有区域(包括文件、进程、线程、注册表和事件过滤器)中的数据,禁用系统内的所有监控程序包括AV,执行恶意攻击。

来源:

https://asec.ahnlab.com/wp-content/uploads/2022/09/Analysis-Report-on-Lazarus-Groups-Rootkit-Attack-Using-BYOVD_Sep-22-2022.pdf

ISC 通报并修复 BIND DNS 软件中的多个高危漏洞

  Tag:ISC,高危漏洞

事件概述:      

近日,互联网系统协会 Internet Systems Consortium(ISC) 发布补丁公告修复了 BIND DNS 软件中的六个可远程利用的高危漏洞,其中四个高危漏洞都是拒绝服务(DoS)漏洞,漏洞信息如下:

  •  CVE-2022-2906 是通过 TKEY RR(仅限 OpenSSL 3.0.0+)处理 Diffie-Hellman 密钥交换的代码中的内存泄漏漏洞;
  • CVE-2022-38177 是 ECDSA DNSSEC 验证码中的内存泄漏漏洞。攻击者可以通过签名长度不匹配来触发漏洞;
  • CVE-2022-3080,当特制查询被发送到解析器时,在某些情况下可能会导致 BIND 9 解析器崩溃;
  • CVE-2022-38178,是 EdDSA DNSSEC 验证码中的内存泄漏漏洞。
截至目前,ISC 称尚未发现上述漏洞的在野利用。

来源:

https://securityaffairs.co/wordpress/136164/security/bind-dns-software-flaws-2.html

美国国防公司 Elbit Systems 披露数据泄露事件

  Tag:国防公司,美国,数据泄露

事件概述:

Elbit Systems Ltd. 是全球领先的创新、技术型系统供应商,提供各种国防和商业应用,Elbit Systems of America, LLC 是 Elbit Systems Ltd. 在美国的全资子公司。近日,美国国防公司 Elbit Systems 披露数据泄露事件,称 365 人受到影响,个人姓名、地址、社会安全号码、出生日期、直接存款信息和种族信息可能遭到泄露。该国防公司还表示其在网络中发现异常活动后,第一时间关闭了系统以防止威胁蔓延。对于受到数据泄露影响的用户,Elbit Systems 表示将提供为期12个月的免费身份保护和监控服务。

此次攻击背后的幕后黑手疑似是 Black Basta 勒索软件团伙,该团伙在其泄密网站上发布了一些宣称是 Elbit Systems 的审计报告、保密协议和工资报告在内的文件,作为其攻击的证据。Black Basta 组织自2022年4月以来一直活跃,与其他勒索软件操作一样,实施双重勒索攻击。

来源:

https://securityaffairs.co/wordpress/136310/cyber-crime/elbit-systems-of-america-data-breach.html

2022年9月26日

法国医院遭 LockBit 勒索软件攻击后,拒绝支付赎金导致数据曝光

法国巴黎南部边缘的一家医院Centre Hospitalier Sud Francilien(CHSF)在遭到勒索软件攻击,拒绝支付赎金后,导致患者和工作人员的近12GB数据被泄露,泄露的内容包括社会安全号码、实验室报告和其他健康数据。CHSF 在上个月底遭受网络攻击后,收到了一个与 LockBit 勒索软件合作的组织的1000万美元赎金要求信息后,CHSF 没有支付赎金。随后,攻击者推迟了最后通牒的日期,并将赎金要求降至100万美元。CHSF 医院表示即使降低赎金要求,依然拒绝支付赎金,并称绝不会向犯罪势力妥协。

来源:

https://www.govinfosecurity.com/lockbit-publishes-stolen-data-as-hospital-rejects-extortion-a-20155

2022年9月22日

攻击者利用恶意 OAuth 应用程序发起网络钓鱼活动

微软发文指出攻击者对未启用多因素身份验证的高风险账户展开撞库攻击,获得对托管 Microsoft Exchange 服务器的云账户的访问权限,部署恶意OAuth 应用程序,该应用程序在电子邮件服务器中添加了一个恶意的入站连接器。然后,攻击者使用此入站连接器和传输规则以规避检测,通过受感染的 Exchange 服务器传递网络钓鱼电子邮件,展开网络钓鱼活动。

来源:

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-via-oauth-apps-for-phishing/

点击下方片,关注我们

第一时间为您推送最新威胁情报



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247496495&idx=1&sn=1e9649713f5692af0386fc685f303fa6&chksm=cfca903bf8bd192dc71d7a7d044878d276cdbab100b1bb9dd4f4c782fd9cb1a8150f16ab310c#rd
如有侵权请联系:admin#unsafe.sh