安全威胁情报周报(10.31~11.6)
2022-11-6 22:8:52 Author: 微步在线研究响应中心(查看原文) 阅读量:12 收藏


Android 银行木马 Drinik 瞄准多家印度银行,展开间谍攻击

  Tag:Android 银行木马,间谍

事件概述:

近日,印度计算机应急响应小组发现了一个升级版的 Drinik 恶意软件,该恶意软件旨在冒充印度个人所得税部门并针对18家印度银行发起攻击,利用与之前相同的活动主题来欺骗受害者窃取数据。Drinik 恶意软件的早期变种于 2016 年作为 SMS 窃取程序首次被发现,2021年8 月恶意软件演变为 Android 银行木马,随着 Drinik 恶意软件的更新迭代,在近期研究人员捕获的攻击活动中已衍变为高级威胁,具备键盘记录、屏幕录制、滥用CallScreeningService来管理来电和通过FirebaseCloudMessaging 接收命令等功能。

技术手法:

与许多其他银行木马一样,Drinik 的新变种依赖于 Accessibility Service 服务。启动恶意软件后,恶意软件会提示受害者授予权限,然后请求启用辅助功能服务,获取屏幕录制、禁用 Google Play Protect、执行自动手势和捕获关键日志所需的权限。然后 Drinik 恶意软件使用 WebView 加载与税务网站网页一模一样的虚假网页,在向受害者显示登录页面之前,恶意软件会显示一个用于生物特征验证的页面,诱导受害者输入 PIN ,恶意软件会通过使用 MediaProjection 录制屏幕并捕获按键来窃取生物 PIN 码。待身份验证后,恶意软件会将目标定向到虚假的印度个人所得税网站,引诱受害者输入敏感数据,然后将收集到的内容回传到 C&C 服务器。

来源:
https://blog.cyble.com/2022/10/27/drinik-malware-returns-with-advanced-capabilities-targeting-indian-taxpayers/

黑客部署 RomCom RAT 针对乌克兰军事机构发起攻击

  Tag:RomCom,乌克兰

事件概述:

近日,外媒报道称研究人员监测发现黑客组织利用 RomCom 远程访问木马瞄准乌克兰军事机构展开攻击。除了乌克兰军方,该行动的其他目标还包括美国、巴西和菲律宾的 IT 公司、食品经纪人和食品制造实体公司。该活动的先前迭代涉及使用特洛伊木马高级 IP 扫描程序,但自10 月 20 日起,黑客组织已切换到 pdfFiller,并且在积极尝试改进策略阻止安全检测。

技术手法:

黑客通过在网站托管包含 RomCom RAT的木马版本有效载荷恶意安装程序包,或通过合法的“高级 IP 扫描仪”应用程序网站分发。一旦受害者安装了木马捆绑包,它就会将 RomCom RAT 下载到系统中,收集受害者系统信息和捕获屏幕截图,然后将收集的信息回传到远程服务器。
来源:
https://blogs.blackberry.com/en/2022/10/unattributed-romcom-threat-actor-spoofing-popular-apps-now-hits-ukrainian-militaries

欧盟最大铜生产商 Aurubis 遭受网络攻击,生产未受到影响

  Tag:能源,欧盟

事件概述:

Aurubis 是欧洲最大的铜生产商和世界第二大铜生产商,在全球拥有6900名员工,每年生产100万吨阴极铜。近日,Aurubis 其网站上发布的公告称遭网络攻击,迫使其关闭 IT 系统以防止攻击蔓延,一些业务被迫改用手动方式,以便在熔炼厂恢复计算机辅助的自动化之前,保持足够的进出货物流量。据 Aurubis 称此次攻击并未影响生产,但无法估计其所有系统恢复正常运行需要的时间。目前,该公司仍在评估网络攻击的影响,并正在与当局密切合作以加快这一进程。尽管上述所有迹象都带有勒索软件攻击的典型迹象,但截至目前, Aurubis 尚未公开有关其网络攻击的任何细节。

来源:

https://www.bleepingcomputer.com/news/security/largest-eu-copper-producer-aurubis-suffers-cyberattack-it-outage/

精密金属制造和金属解决方案提供商 Asahi Group Holdings 遭勒索软件攻击

  Tag:工控,勒索

事件概述:
Asahi Group Holdings 是一家精密金属制造和金属解决方案提供商,40多年来,公司一直以不同的专家团队在精密金属和薄膜涂层行业提供端到端的服务。近日,外媒报道称 BlackByte 勒索软件组织从 Asahi Group Holdings 窃取了包含财务和销售报告的数千兆字节的文件。该勒索软件团伙要求 Asahi Group Holdings 缴纳50万美元赎金购买数据,支付60万美元删除被盗数据。BlackByte 勒索软件操作自2021年9月以来一直活跃,2021年10月,来自 Trustwave 的 SpiderLabs 的研究人员 发布了一个解密器 ,可以让 BlackByte 勒索软件早期版本的受害者免费恢复他们的文件。但是不久后,解密器失效。2022年8月,新版本的 BlackByte 勒索软件出现在威胁领域,勒索软件运营商正在使用自带易受攻击的驱动程序(BYOVD)攻击来绕过安全产品。

来源:

https://securityaffairs.co/wordpress/137803/cyber-crime/blackbyte-ransomware-asahi-group-holdings.html

谷歌商店中被曝存在多款针对加密货币和银行的恶意 Android 应用程序

  Tag:谷歌,Android,恶意软件

事件概述:

近日,研究人员在谷歌商店中发现了5款累计安装量超过 130000 次的恶意 Android dropper 应用程序,它们分发诸如 SharkBot 和 Vultur 之类的银行木马,这些木马能够窃取财务数据并展开设备欺诈活动。这些 dropper 的目标包括来自意大利、英国、德国、西班牙、波兰、奥地利、美国、澳大利亚、法国和荷兰的金融机构的231个银行和加密货币钱包应用程序。

虽然 Google 的开发者计划政策限制了REQUEST_INSTALL_PACKAGES 权限的使用,以防止其被滥用以安装任意应用程序包,但这些 dropper 一旦启动,就会通过打开一个假冒应用程序列表的谷歌商店页面绕过这个障碍,从而导致以更新为幌子下载恶意软件。官方应用商店(如 Google Play)上应用程序上捆绑 Dropper 越来越成为一种流行且有效的攻击技术,黑客也不断改进策略以绕过谷歌应用商店限制策略,借助应用商店将银行恶意软件分发给毫无戒心的用户,以此展开恶意攻击。
来源:
https://thehackernews.com/2022/10/these-dropper-apps-on-play-store.html

曝光!“海莲花”组织运营的物联网僵尸网络 Torii

  Tag:海莲花,APT,僵尸网络

事件概述:

“海莲花”,又名APT32和OceanLotus,是疑似越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源行业、海事机构、边防机构、卫生部门、海域建设部门、科研院所和航运企业等进行网络攻击。2020年至今,“海莲花”利用国内外失陷 IoT 设备做流量中转,微步情报局长期跟进“海莲花”组织,并且掌握其使用的大部分 CobaltStrike 通信 C2 资产。在此前提下,微步情报局对其流量隐藏的手法深入调查分析,于2021年找到证据确定 Torii 僵尸网络背后攻击者实际为“海莲花”组织,并且证实Torii僵尸网络控制的主机被用于 APT 攻击活动的流量隐藏&跳板,流量转发的方式包括 iptables 转发、tinyPortMapper 等,失陷设备代理流量的木马类型包括 CobaltStrike、Buni、Torii、Remy 等。
微步在线深入分析且结合公开披露的信息,有足够的信心将Torii僵尸网络背后的攻击组织归因为“海莲花”,证据如下:
1、Torii僵尸网络所控制的主机主要被用于“海莲花”攻击活动中的流量中转&隐藏,在少量攻击活动中,该木马也用于控制存储性质的主机窃取数据;
2、Torii木马、RotaJakiro(双头龙)和“海莲花”MacOS平台所使用的木马,三者存在相似的代码设计思路;
3、资产特点和APT32历史中所使用的一致,包括但不限于:域名注册服务商“Internet Domain Service BS Corp.”、NS服务器“he.net”、IP服务器提供商“EstNOC OY”。
更多内容详情,需查看“曝光!“海莲花”组织运营的物联网僵尸网络 Torii”。
来源:
https://mp.weixin.qq.com/s/v2wiJe-YPG0ng87ffBB9FQ

OpenSSL 出现高危漏洞,请立即升级!

  Tag:OpenSSL,高危漏洞

事件概述:

近日,微步捕获到 OpenSSL 缓冲区溢出漏洞(CVE-2022-3602)相关情报,攻击者可以利用该漏洞造成缓冲区溢出, 可能造成远程代码执行。OpenSSL 是一个强大的、商业级的、功能齐全的工具包,用于通用加密和安全通信。当应用程序验证不受信任的X.509证书(包括TLS证书)时, 可能被攻击者利用此漏洞, 该漏洞已经在 OpenSSL 3.0.7 版本被修复。OpenSSL 3.0.0 - 3.0.6 版本均受该漏洞的影响,对于自主编译使用 OpenSSL 的用户,且 OpenSSL 版本为3.0.0 - 3.0.6 ,请尽快升级至3.0.7;对于应用程序中使用了 OpenSSL 的用户,请检查相关库的版本,并联系应用厂商进行更新。
更多内容需查看“
OpenSSL 出现高危漏洞,请立即升级!”。
来源:
https://mp.weixin.qq.com/s/vVNvVEmfhfJxzePQm_xflA

2022年11月1日

澳大利亚国防军通信服务平台遭到勒索软件攻击

外媒报道称澳大利亚军事人员和国防雇员使用的通信平台 ForceNet 疑似成为勒索软件的最新受害者。此次攻击始于 2022 年 10 月,但攻击并未破坏其防御 ICT 系统,数据也并未遭到泄露。据国防部部长助理称尽管此次攻击并未导致数据泄露,但会认真对待此次事件,并会将此次事件通知给所有人员。

来源:
https://www.hackread.com/australia-defence-communications-ransomware-attack/

2022年11月2日

黑客利用 Warzone RAT 瞄准匈牙利用户展开网络钓鱼攻击

研究人员监测发现黑客组织利用 Warzone RAT 恶意软件针对匈牙利用户展开钓鱼活动 。攻击者伪装成匈牙利政府发送包含附件的电子邮件,以通知用户他们的新凭证被添加到政府门户网站信息,诱导用户执行程序将 Warzone RAT 写入到内存中并运行。Warzone RAT 提供了键盘记录、收集 cookie、对桌面和摄像头进行远程访问、窃取密码、建立持久性等功能,并且可以根据 Windows 版本提供了不同的权限提升方式。

来源:
https://cyware.com/news/warzone-rat-targets-hungarian-users-in-new-phishing-campaign-8a2d8e2a

点击下方名片,关注我们

第一时间为您推送最新威胁情报


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247496961&idx=1&sn=a3a8b76753f5c1658c2c8849420c3abb&chksm=cfca9615f8bd1f037ec8d0a51a31bc3067ae36120aaec089c553b8ece9e80680db8e24bb21b9#rd
如有侵权请联系:admin#unsafe.sh