安全威胁情报周报（8.8~8.14）

朝鲜威胁组织 Lazarus 瞄准 deBridge Finance 加密货币平台

Tag：Lazarus，deBridge Finance ，加密货币

事件概述：

近日，外媒指出疑似朝鲜背景的威胁组织 Lazarus 瞄准跨链协议加密货币平台 deBridge Finance 展开攻击，投递电子邮件试图窃取加密货币。Lazarus 组织一直专注于攻击区块链技术公司，利用社会工程学在受害者计算机上建立立足点，然后窃取加密货币。

技术手法：

威胁组织通过向 deBridge Finance 员工投递伪装成来自公司联合创始人 Alex Smirnov 的电子邮件。邮件包含一个 PDF 文件和一个包含密码的纯文本文件的 Windows 快捷方式文件 (.LNK)。威胁组织以薪资调整为诱饵诱使受害者点击伪造的PDF文件，然后将受害者定向到一个声称包含PDF密码文件的云存储位置，欺骗受害者点击虚假文本文件获取密码。LNK 文件执行命令从远程位置检索有效负载，并检索运行的进程，然后在启动文件夹中创建恶意文件保持持久性，与C2通信获取下一步指令及收集系统信息。

组织关联：

攻击活动中使用的文件名和基础设施与 Lazarus 组织重叠。
与 Lazarus 组织使用相同的技巧：利用伪造 PDF 技巧掩盖恶意文件并让受害者执行。

来源：
https://www.bleepingcomputer.com/news/security/debridge-finance-crypto-platform-targeted-by-lazarus-hackers/

美国军火承包商洛克希德马丁遭俄罗斯黑客 Killnet 攻击

Tag：美国，Killnet，俄罗斯

事件概述：

近日，外媒报道称俄罗斯黑客组织 Killnet 瞄准美国军火承包商洛克希德马丁公司展开新型攻击。洛克希德马丁公司是美国向乌克兰提供的 M142 高机动火箭炮系统 ( HIMARS ) 的制造商，也是俄乌战争中向乌克兰提供火箭炮系统的军火制造商。外媒指出此次攻击疑似是发生在乌克兰利用这些武器袭击了数十个俄罗弹药库、指挥控制地点和其他关键目标设施后，亲俄黑客组织瞄准洛克希德马丁展开攻击。

目前，由于洛克希德马丁网站处正常活跃状态，且尚未正面回应网络攻击的相关信息，尚不清楚它是否如亲俄黑客所称遭到新型攻击。

来源：
https://www.cybersecurity-insiders.com/russia-killnet-hackers-launch-a-cyber-attack-on-us-lockheed-martin/?utm_source=rss

卢森堡能源公司 Encevo Group 遭攻击，部分数据发生泄露

Tag：能源，卢森堡，数据泄露

事件概述：

近日，外媒称卢森堡能源供应商 Encevo Group 陷入网络攻击漩涡，其主要子公司 Enovos （能源供应公司）和 Creos（能源网络运营商）成为欧洲能源公司网络攻击的最新受害者。Enovos 和 Creos 两家公司的网站在网络攻击中被迫关闭，部分数据发生泄露，但并未影响电力和天然气的供应。据研究人员称此次攻击的幕后黑手为 Alphv 勒索软件组织，该组织还声称袭击了一家管道运营商。

Encevo Group 是最近针对欧洲能源公司的众多攻击目标之一，2月，德国物流集团 Marquard & Bahls 旗下的石油公司 Oiltanking 和 Mabanaft 由于网络攻击导致其装卸系统瘫痪；3月，德国风力涡轮机制造商 Nordex 因网络攻击被迫关闭其多个地点和业务部门的 IT 系统；4月，德国风电场运营商 Deutsche Windtechnik 因网络攻击而瘫痪........这些针对能源行业的攻击在去年呈显著增长趋势。

来源：
https://therecord.media/luxembourg-energy-companies-struggling-with-alleged-ransomware-attack-data-breach/

29款 DrayTek 系列商业路由器中发现 RCE 漏洞 CVE-2022-32548

Tag：DrayTek Vigor，路由器，RCE漏洞

事件概述：

DrayTek Corporation是一家（中国）台湾的网络设备和管理系统制造商，产品包括防火墙、VPN设备、路由器、管理型交换机和无线局域网设备。近日，Trellix 研究人员在DrayTek 系列商业路由器中发现了一个严重的未经身份验证的远程代码执行 (RCE) 漏洞 CVE-2022-32548，该漏洞影响 29 种型号 DrayTek Vigor 的商业路由器。攻击者不需要凭据或用户交互即可利用该漏洞，默认设备配置使攻击者可以直接通过 Internet 和 LAN 展开攻击。攻击者可以利用该漏洞接管设备、访问设备信息、更改DNS设置以及发起 DDoS 攻击和中间人攻击。

截至目前，DrayTek 已针对受漏洞影响的所有型号发布版本更新。

来源：
https://www.bleepingcomputer.com/news/security/critical-rce-vulnerability-impacts-29-models-of-draytek-routers/

TAC-040 组织利用新后门 Ljl Backdoor 展开攻击

Tag：TAC-040，Ljl Backdoor，后门

事件概述：

近日，研究人员在报告中指出 TAC-040 组织利用 Atlassian Confluence 服务器中的漏洞 CVE-2022-26134 部署新后门 Ljl Backdoor 展开攻击。此次攻击发生在 5 月底，持续了 7 天，约 700MB 的数据在攻击事件中遭到泄露。

技术手法：

攻击者通过利用 Atlassian Confluence 服务器中的漏洞 CVE-2022-26134 获得初始访问权限，运行命令枚举本地系统、网络和 Active Directory 环境，使用 Atlassian Confluence 目录中的 tomcat9.exe 父进程执行恶意命令，部署 Ljl Backdoor后门，然后加载远程 .NET 程序、遍历文件目录信息、获取受害者账户信息及系统信息，最后通过压缩文件等方式泄露信息。

来源：
https://cdn1.hubspot.net/hubfs/5556002/2022%20PDF%20Download%20Assets/ADA%20Compliant%20pdfs/eBooks/Deepwatch%20Incident%20Intel%20Report%20-%20Novel%20Backdoor%20Discovered%20-%20Aug%202022.pdf

你的敌人 P2PPhish 已上线，钓鱼圈腥风血雨再次来袭！

Tag：P2PPhish，网络钓鱼

事件概述：

近日，微步情报局监测发现，有不法分子伪装为某部级机构，搭建钓鱼网站实施诈骗。由于该团伙主要通过模仿相关平台域名并以清退为由进行诈骗，因此将其命名为 P2PPhish 组织。微步在线情报局立即对其手法及特点展开分析，具体分析如下：

该团伙至少于2021年开始通过发布虚假新闻进行引诱受害者点击钓鱼链接实施诈骗活动，主要通过在新闻社交等渠道发布虚假信息，引诱受害者访问其搭建的伪造钓鱼网站，以“官方回款”、“清退回款”等名义实施诈骗，并附加成功案例弹窗吸引受害者；
该团伙选择的目标主要是目前市面上暴雷的P2P平台投资者，利用投资者迫切回款的心理进行定向诈骗，骗取个人隐私信息以及所谓的“债权转让金”进行获利;
该团伙使用的域名资产大多以中文拼音和缩写命名，迷惑受害者，例如：“qingtui”、“huikuan”、“cbirc”等字符，且其具有较强的反侦察意识，相关域名、管理后台站点均隐藏信息，大量使用香港短租服务器，可以方便销毁清理痕迹。

更多内容详情需查看"你的敌人P2PPhish已上线，钓鱼圈腥风血雨再次来袭!"。

来源：
https://mp.weixin.qq.com/s/45cycP3E-ERxSDkyDAfSpg

Twitter 540万账户数据泄露元凶 0day 漏洞浮出水面

Tag：Twitter，0day 漏洞，数据泄露

事件概述：

继7月底 Twitter 大规模数据泄露风波后，Twitter 于近日回应证实称，此前暴露540万帐户数据的数据泄露事件是由 0day 漏洞利用引起的。该漏洞允许任何未经身份验证的用户通过提交电话号码/电子邮件来获取任何用户的Twitter ID，即使用户已在隐私设置中禁止此操作，也不会阻止攻击者获取账户 ID 信息。攻击者可利用该漏洞查找限制通过电子邮件/电话号码找到的用户信息，而且任何具有脚本/编码基本知识的攻击者都可以列举出大量之前无法枚举的 Twitter 用户信息。此类数据可以出售给恶意攻击者用于广告目的，或用于在不同的恶意活动中对名人进行攻击。这个漏洞是2021年6月更新代码造成的，当安全人员得知漏洞后立即进行调查并修复了它，当时还没有证据表明有人利用了这个漏洞。

此外，外媒还指出两个不同的威胁参与者以低于原始售价的价格购买了这些数据，这意味着威胁参与者可以使用这些数据来攻击 Twitter 账户。

来源：
https://securityaffairs.co/wordpress/134087/data-breach/twitter-zero-day-data-leak.html

思科修复了ASA/FTD 设备中的 RSA 密钥泄露漏洞

Tag：思科，漏洞

事件概述：

近日，思科发布更新修复一个高严重的漏洞 CVE-2022-20866，该漏洞是由于RSA密钥存储在执行基于硬件的加密的硬件平台的内存中时出现逻辑错误造成的。攻击者可以通过对目标设备使用 Lenstra 侧信道攻击来利用此漏洞检索 RSA 私钥，成功利用该漏洞可以让攻击者获取RSA私钥。一旦获得密钥，攻击者就可以冒充运行 ASA/FTD 软件的设备或解密设备流量。该漏洞影响 Cisco ASA（9.16.1 及更高版本）或 Cisco FTD（7.0.0 及更高版本）软件的产品。

截至目前，思科已发布解决此漏洞的软件更新。思科还建议 ASA/FTD 设备的管理员删除格式错误或易受攻击的 RSA 密钥，并尽可能撤销与这些 RSA 密钥关联的任何证书，已确保设备数据安全。

来源：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-rsa-key-leak-Ms7UEfZz

2022年8月10日

思科遭到勒索软件攻击，2.8GB数据疑似泄露
思科证实 Yanluowang 勒索软件组织在今年5月下旬入侵了公司网络，勒索软件组织试图以泄露被盗数据威胁索要赎金。思科称在其发现恶意攻击行为时及时采取了相应行动遏制攻击。此次攻击事件并未对思科的业务造成任何影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。但勒索软件组织声称已经从思科窃取了2.75GB数据，大约有3100个文件，其中很多文件涉及保密协议、数据转储和工程图纸。勒索软件组织还在暗网上公开了窃取的思科文件列表信息，思科对此表示已采取额外的安全措施来保护系统安全。
来源：
https://www.bleepingcomputer.com/news/security/cisco-hacked-by-yanluowang-ransomware-gang-28gb-allegedly-stolen/

2022年8月8日

警惕针对 MetaMask 钱包用户的网络钓鱼活动！
安全公司发文指出需警惕伪装成 MetaMask 加密钱包瞄准其用户的网络钓鱼活动，该活动使用电子邮件来定位用户并欺骗用户输入密码，以诱导用户同意 KYC 认证并验证他们的钱包，并敦促用户在重定向到 MetaMask 以清空他们的加密钱包之前输入他们的忘记密码提示词。
为保持安全，用户在收到来自未知来源的可疑电子邮件时应保持警惕。此外，请确保在发送任何个人信息之前验证发件人的真实性，使用 MFA 并直接访问该站点，避免点击和访问电子邮件中的页面。
来源：
https://cyware.com/news/a-new-metamask-phishing-campaign-e7772bbe

点击下方片，关注我们

第一时间为您推送最新威胁情报