安全威胁情报周报（8.15~8.21）

CopperStealer 利用 Chromium 恶意扩展程序窃取加密货币

Tag：CopperStealer， Chromium

事件概述：

近日，趋势科技研究人员监测发现威胁组织通过利用恶意浏览器扩展程序分发CopperStealer 恶意软件，从受感染的机器上窃取加密货币交易网站的 API 密钥，利用 API 密钥执行交易并窃取加密货币。CopperStealer 恶意软件是一个信息窃取软件，与之前版本的域生成算法相似、服务器构建框架相同，主要通过滥用浏览器窃取程序、广告软件浏览器扩展程序或远程桌面等各种组件分发恶意软件展开攻击。

技术手法：

CopperStealer 第一阶段的二进制文件被加密并附加到合法应用程序中，其入口点被 shellcode 覆盖，此 shellcode 从可执行文件头读取有效负载的偏移量和 XOR 解密密钥。第二阶段利用 CRX 扩展程序修改浏览器用户数据目录文件关闭浏览器通知信息，然后为扩展程序添加注册表信息，重新启动浏览器以启动恶意扩展程序，执行后续恶意操作。

来源：
https://www.trendmicro.com/en_us/research/22/h/copperstealer-distributes-malicious-chromium-browser-extension-steal-cryptocurrencies.html

阿根廷科尔多瓦司法机构遭到 PLAY 勒索软件组织攻击

Tag：司法机构，勒索软件

事件概述：

近日，外媒报道称阿根廷科尔多瓦司法机构在8月13日疑似遭到 PLAY 勒索软件组织攻击，导致其 IT 系统和在线门户网站关闭，数据库受到影响。据外媒称此次攻击事件是阿根廷史上针对公共机构最严重的攻击事件。但是与大多数勒索软件组织勒索攻击留下冗长的赎金票据不同的是 Play 赎金票据异常简单，而且 Play 勒索软件组织并没有在每个文件夹中都创建赎金记录文档 ReadMe.txt ，而是仅在硬盘驱动器的根目录C盘中创建，并且信息仅包含单词 "PLAY" 和联系电子邮件地址。

截至目前，关于此次勒索软件攻击事件，尚未有勒索软件团伙相关的数据泄漏信息或司法机构数据在攻击期间被盗的迹象。司法机构也尚未公布此次攻击事件的具体细节。

来源：
https://www.bleepingcomputer.com/news/security/argentinas-judiciary-of-c-rdoba-hit-by-play-ransomware-attack/

英国水资源供应商遭攻击，IT系统中断

Tag：水能源，英国

事件概述：

SouthSouth Staffordshire Water 是一家英国水资源供应商。8月15日，该公司发表声明称遭到网络攻击，导致 IT服务中断，但安全和配水系统仍可以正常运行，不会影响向其客户或其子公司 Cambridge Water 和 South Staffs Water 的客户供应安全水。

与此同时，Clop 勒索软件团伙在洋葱网站上发布公告称 Thames Water 成为其最新受害者，并声称已经访问了他们的 SCADA 系统，这一事件将对 Thames Water 的 1500 万客户造成影响。但 Clop 勒索软件团伙并没有加密 Thames Water 的数据，只是从受感染的系统中窃取了 5TB 数据要挟 Thames Water 支付赎金。Thames Water 是英国最大的水供应商和废水处理供应商，服务于大伦敦地区和泰晤士河周边地区。然而，勒索软件组织在与 Thames Water 索要赎金谈判破裂后，勒索软件组织发布了第一个被盗数据样本，其中包括护照、水处理 SCADA 系统的屏幕截图、驾驶执照等信息。随后， Thames Water 对此回应称有关 Clop 勒索软件团伙入侵其网络的报道是“网络骗局”。

据外媒称在查证 Clop 勒索软件组织泄露的信息时发现了包含 South Staffordshire Water 信息，勒索软件组织可能错误地标识了他们的受害者，或者他们试图使用虚假证据敲诈一家更大的公司。截至8月17日，Clop 勒索软件组织已将 South Staffordshire Water 列为其受害者。

来源：
https://www.bleepingcomputer.com/news/security/hackers-attack-uk-water-supplier-but-extort-wrong-company/

半导体公司 Realtek SDK 漏洞可能导致许多路由器面临远程攻击

Tag：路由器，漏洞

事件概述：

近日，安全研究人员披露了一个中国台湾的半导体公司 Realtek 的 eCos 操作系统 SDK 严重漏洞 CVE-2022-27255 。该漏洞是一个基于堆栈的缓冲区溢出漏洞，允许未经身份验证的远程攻击者执行任意代码创建后门、拦截网络流量、修改网络流量路由或致使网络设备崩溃。rtl819x-eCos-v0.x 和 rtl819x-eCos-v1.x 系列设备均受该漏洞的而影响。除此之外，研究人员还发现近 20 家供应商使用易受 CVE-2022-27255 攻击的产品，包括 D-Link、Nexxt、Tenda、 Intelbras 产品，以及超过 60,000 个带有未受保护的管理面板的路由器。

Realtek 针对上述漏洞已在3月发布固件更新，建议用户安装更新版本以确保设备安全。

来源：
https://socradar.io/exploit-code-of-critical-realtek-sdk-vulnerability-released/

揭秘传奇木马 Emotet 前世今生

Tag：Emotet，木马，僵尸网络

事件概述：

2021年末，欧洲刑警组织捣毁的 Emotet 僵尸网络卷土重来，以极快的速度恢复且初具规模，重新对外提供恶意软件分发服务。根据监测，近几个月来 Emotet 感染活动非常活跃，不断升级病毒组件，并针对日本地区进行了重点攻击，也由此波及了部分关联的中国企业。微步情报局对 Emotet 僵尸网络的背后团伙、攻击事件及手法、资产通信进行了深入的分析，目前主要的结论如下：

团伙画像：Emotet 僵尸网络主要通过伪装成收款单、节日祝福、新冠疫情通告等内容的钓鱼邮件进行传播。其攻击的地区遍布全球，对各种制造、互联网、金融等行业均有涉及，近期我们也观测到其针对国内政企单位的大范围攻击活动，值得警惕。
技术特点：Emotet 木马载荷使用 WordPress 失陷站存储，且木马回连的C2服务器同样为失陷站点，因此从网络资产维度难以追踪到攻击者的真实身份。对抗检测的技术较为成熟：样本层面加壳或使用混淆器混淆，且二进制文件通过随机字节改变哈希值，流量层面使用 HTTPS 协议加上自定义的加密信道进行通信。
危害：受 Emotet 感染的机器会加入僵尸网络，定期接收任务执行，用于窃取本地账密，邮件和发送钓鱼邮件，代理和下载执行其他第三方银行木马、勒索软件等功能，造成企业敏感信息泄露，甚至造成内部范围传播并勒索，危害很大。

更多内容详情需查看“揭秘传奇木马 Emotet 前世今生”。

来源：
https://mp.weixin.qq.com/s/pQYN6CvAUMr4PBVMvSmBrg

俄罗斯威胁组织 Shuckworm 持续瞄准乌克兰展开攻击

Tag：Shuckworm，APT，俄罗斯，乌克兰

事件概述：

Shuckworm（又名 Gamaredon，Armageddon）是一个俄罗斯背景的威胁组织，最早活跃于2014年，旨在针对乌克兰展开网络间谍活动。近日，赛门铁克研究人员监测发 Shuckworm 组织持续瞄准乌克兰，分发信息窃取恶意软件展开攻击。此次活动始于7月15日，8月8日活动仍在持续进行。

技术手法：

威胁组织通过水坑投递自解压的压缩文档，然后使用 mshta.exe 下载伪装成 HTML 应用程序 (HTA) 文件的 XML 文件，部署和执行恶意软件窃取程序。受害者设备上部署的后门可以截取受害者设备屏幕、录制音频、记录按键、下载并执行 .exe 文件或下载并加载 DLL 文件，最后将收集到的信息回传到C2。

来源：
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/russia-ukraine-shuckworm

Apple 发布安全更新修复影响 iPhone、iPad 和 Mac 的两个0day 漏洞

Tag：Apple，0day，漏洞

事件概述：

近日，Apple 发布安全更新 macOS Monterey 12.5.1 和 iOS 15.6.1/iPadOS 15.6.1 修复已被积极利用的两个 0day 漏洞 CVE-2022-32894 和 CVE-2022-32893。CVE-2022-32894 是操作系统内核中的越界写入漏洞，攻击者可以利用此漏洞以内核权限执行代码从而有效地完全控制设备。CVE-2022-32893 是 WebKit（Safari 和其他可以访问 Web 的应用程序使用的 Web 浏览器引擎）中的越界写入漏洞，此漏洞允许攻击者执行任意代码，并且由于它位于 Web 引擎中，恶意攻击者也可以通过访问恶意制作的网站而进行远程利用。

运行 macOS Monterey 的 Mac、iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）均受这两个漏洞的影响。由于这两 0day 漏洞可能被恶意攻击者用于针对性攻击，Apple 还建议用户尽快安装发布的安全更新以保护设备安全。

来源：
https://www.bleepingcomputer.com/news/security/apple-security-updates-fix-2-zero-days-used-to-hack-iphones-macs/

2022年8月11日

Conti 勒索软件组织采用回拨网络钓鱼技术展开攻击
外媒称臭名昭著的 Conti 勒索软件组织的三个分支组织采用回拨网络钓鱼技术作为入侵目标网络的初始访问媒介。此项网络钓鱼攻击的独特之处在于放弃了电子邮件中的恶意链接或附件，转而使用电话号码，通过提醒收件人信用卡即将收取高级订阅费用，诱骗收件人拨打电话号码。这些有针对性的活动大幅增加了对金融、技术、法律和保险领域实体组织的攻击数量。
来源：
https://thehackernews.com/2022/08/conti-cybercrime-cartel-using-bazarcall.html

2022年8月12日

警惕针对医疗供应商的网络钓鱼活动！
研究人员监测发现针对医疗保健供应商的恶意网络钓鱼活动。恶意电子邮件会发送到包含指向 Evernote 主题网站的恶意链接的目标组织，使用个性的主题诱使收件人下载木马文件以窃取凭据。
在诸如此类的网络钓鱼活动中获得的凭据可以让攻击者访问电子邮件帐户，可能导致大量敏感数据泄露。被入侵的电子邮件帐户可用于在内部进行网络钓鱼攻击，并可以为攻击者提供对组织进行更广泛攻击所需的立足点。许多勒索软件攻击始于网络钓鱼电子邮件，用户需要格外警惕网络钓鱼活动。
来源：
https://www.hipaajournal.com/healthcare-providers-targeted-in-evernote-phishing-campaign/