安全威胁情报周报(9.3~9.9)
2022-9-9 19:17:48 Author: 微步在线研究响应中心(查看原文) 阅读量:24 收藏


DangerousSavanna:针对非洲法语区金融机构展开的攻击活动

  Tag:非洲,法语

事件概述:

近日,Check Point 发布报告指出中非和西非超过 85% 的金融机构多次遭到信息泄露、身份盗窃、汇款欺诈等多重破坏性网络攻击活动。其中名为 DangerousSavanna 的恶意活动,在过去的两年里,一直针对科特迪瓦、摩洛哥、喀麦隆、塞内加尔和多哥等多个非洲法语地区的金融机构,利用多样化的鱼叉式网络钓鱼邮件展开攻击。
技术手法:
感染链始于法语编写的网络钓鱼电子邮件,威胁组织利用 Gmail 和 Hotmail 服务伪装成非洲金融机构域名向目标投递包含恶意附件文件的钓鱼邮件,附件通常包含宏文档和远程模版。威胁组织利用包含宏的 Word 文档,执行 Startup 文件夹中经过反向字符串混淆和插入符号混淆的 LNK 文件,从服务器下载并执行 PowerShell 命令,绕过 AMSI 并最终安装 PoshC2 植入程序控制受感染的设备,并利用循环向服务器发送请求与 C2 服务器进行通信,回传包含有关受害者的信息。
来源:
https://research.checkpoint.com/2022/dangeroussavanna-two-year-long-campaign-targets-financial-institutions-in-french-speaking-africa/

亲俄黑客组织NoName057(16)瞄准乌克兰政府等机构展开大规模 DDoS 攻击

  Tag:NoName057(16),DDoS攻击

事件概述:

俄乌战争开始至今, KillNet、Anonymous、乌克兰 IT 军队、Legion Spetsnaz RF 等黑客组织纷纷加入站队参与战斗。其中包括一个鲜为人知的亲俄组织 NoName057(16),其主要瞄准乌克兰政府、新闻机构、军队、供应商、电信公司、运输当局、金融机构等组织的网站以及支持乌克兰的邻国(如爱沙尼亚、立陶宛、挪威)展开 DDoS 攻击。该组织拥有自己专属的 Telegram 频道,并在成功袭击芬兰和波兰议会后于8月初在媒体上开始曝光自己。
技术手法:
第一阶段:黑客组织通过部署 RedLine Stealer 执行 Bobik 更新;第二阶段 Bobik 的 Updater 提取、释放最终的 DDoS 模块(Bobik 的 RuntimeBroker),并确保模块的持久性。当 RuntimeBroker 运行时,该模块会与 C2 服务器建立通信并下载定义 DDoS 攻击目标的配置文件,然后使用定义的线程(通常是五个线程)展开攻击。

来源:

https://decoded.avast.io/martinchlumecky/bobik/

意大利能源机构 GSE 疑似遭到 BlackCat 勒索软件攻击

  Tag:意大利,勒索软件,BlackCat

事件概述:

近日,意大利能源机构 Gestore dei Servizi Energetici SpA (GSE) 证实在8月底遭到网络攻击,在其发现攻击行为后,GSE 第一时间关闭了其网站和系统,防止攻击者窃取数据,并及时联系警方介入展开调查。在 GSE 公开披露攻击事件前,BlackCat 勒索软件组织在其暗网数据泄露网站上将意大利能源机构 GSE 添加为受害者,并声称公开从 GSE 窃取的大约700GB数据文件,其中包括合同、报告、项目信息、会计文件和其他内部机密数据,并宣传对意大利能源机构 GSE 的攻击事件负责。
在攻击事件发生一周后,GSE 网站仍处于关闭状态,但截至目前,GSE 网站已恢复正常访问。
来源:
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-attack-on-italian-energy-agency/

Contec Healthcare 生命体征监护仪被曝存在多个漏洞

  Tag:医疗,漏洞

事件概述:

近日,Contec Healthcare 生命体征监护仪中被曝存在多个漏洞,攻击者可以利用这些漏洞进行拒绝服务攻击、访问root shell、更改配置、修改固件,并导致监视器显示不正确的信息。其中最严重的漏洞是 CVE-2022-38100,攻击者可以通过特殊格式的 UDP 请求向设备发送格式错误的网络数据来利用该漏洞,致使设备崩溃并重新启动。在大规模拒绝服务攻击中,攻击者可以同时在连接到网络的所有易受攻击的设备展开攻击。Contec Healthcare 生命体征监护仪存在的其他漏洞分别是 CVE-2022-3027、CVE-2022-36385、CVE-2022-027、CVE-2022-38069。

此外,还建议设备采取以下步骤来降低漏洞利用的风险:

  1. 在 CPU 级别禁用 UART 功能;

  2. 在授予对终端/引导加载程序的访问权限之前强制执行唯一设备身份验证;

  3. 在可能的情况下,强制执行安全启动;

  4. 应限制对设备的访问,最大限度地减少网络暴露面,将设备定位在防火墙后面,并在需要远程访问时使用安全方法连接到设备,例如 VPN;

  5. ...........

来源:
https://www.hipaajournal.com/multiple-vulnerabilities-identified-in-contec-health-vital-signs-patient-monitors/

谷歌商店被曝存在升级版本的 SharkBot 恶意软件

  Tag:谷歌商店,SharkBot,Android

事件概述:

继谷歌商店被曝存在多款恶意软件后,研究人员近期又在谷歌商店上发现升级后的SharkBot 恶意软件,该恶意软件存在于两个 Android 应用程序中。这些应用程序虽然在提交给  Google 的自动审查时没有添加任何恶意代码,但 SharkBot 恶意软件会在用户安装应用程序后释放并安装启动恶意软件。据 Fox IT 文章指出这两款恶意应用程序是“Mister Phone Cleaner”和“Kylhavy Mobile Security”,安装量总计 60000 次。截至目前,这两个包含 SharkBot 恶意软件的应用程序已从谷歌商店删除,但安装它们的用户仍面临风险,建议安装的用户应手动删除这些恶意应用程序。
SharkBot 进化历程:
  • 2022年3 月,NCC 研究人员在谷歌商店上发现了首批搭载它的应用程序,恶意软件可以执行覆盖攻击、通过键盘记录窃取数据、拦截 SMS 消息,或通过滥用辅助功能服务让威胁者完全远程控制主机设备;
  • 5月,研究人员发现了带有域生成算法 (DGA)、更新的通信协议和完全重构的代码的 SharkBot 新版本;
  • 8月22日,研究人员发现了该恶意软件的新版本 (2.25),它增加了从银行帐户登录中窃取 cookie 的功能,新的 dropper 应用程序不会像以前那样滥用辅助功能服务,且能够自动单击 UI 中显示的所有按钮来安装 SharkBot。

来源:
https://blog.fox-it.com/2022/09/02/sharkbot-is-back-in-google-play/

伊朗黑客组织 APT42 部署新型定制间谍软件展开攻击

  Tag:伊朗,APT42,间谍软件

事件概述:

APT42 是伊朗背景威胁组织,旨在瞄准对伊朗政府具有战略利益的个人和组织进行信息收集和监视行动。该组织从七年前开始就针对政府官员、政策制定者、记者、全球学者和伊朗持有不同政见者进行长期鱼叉式钓鱼活动,窃取帐户凭据,然后部署定制的 Android 恶意软件跟踪受害者、访问设备的存储和提取通信数据。近日,Mandiant 发文指出 APT42 通过部署新型定制 Android 间谍软件监视目标,其主要攻击行为如下:
  • 凭据收集: 通过高度针对性的鱼叉式网络钓鱼活动来攻击企业和个人电子邮件帐户,利用社会工程策略窃取凭据,然后利用收集的多重身份验证 (MFA) 代码以绕过身份验证,并使用受损凭证来访问网络设备和初始受害者雇主、同事和亲属的帐户。

  • 监视行动:利用基础设施用作 Android 移动恶意软件的命令和控制 (C2) 服务器,旨在针对伊朗感兴趣的目标展开监视和追踪活动,目标包括伊朗境内的激进分子和持不同政见者。

  • 恶意软件:利用自定义后门和轻量级工具补充它的武器库,展开恶意操作。

来源:
https://www.mandiant.com/resources/blog/apt42-charms-cons-compromises

Chrome 通报并修复 0day 漏洞 CVE-2022-3075

  Tag:0day漏洞,Chrome

事件概述:

近日,谷歌针对 Windows、Mac 和 Linux 用户发布了Chrome 105.0.5195.102,以修复 0day 漏洞 CVE-2022-3075。该漏洞是由于 Mojo 中的数据验证不足导致的,Mojo是一个运行库的集合,用于任意跨进程、进程内边界传递消息。尽管浏览器供应商表示 0day 漏洞已被广泛利用,但尚未分享相关的技术细节或信息。

此次版本更新是 Google 自年初以来修复的第六个 Chrome 0day 漏洞,其他五个 0day 漏洞是分别是 CVE-2022-2856、CVE-2022-2294、CVE-2022-1364、CVE-2022-1096、CVE-2022-0609。

来源:
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop.html

2022年9月6日

美国第二大学区LAUSD 遭勒索软件攻击

美国第二大学区洛杉矶联合大学 (LAUSD) 于近日披露在9月初其信息技术 (IT) 系统遭到勒索软件攻击, LAUSD 的基础设施受到影响。LSAUD 在发现攻击行为后第一时间展开内部调查,初步分析确认员工医疗保健和工资单等数据没有受到影响,学校的安全和应急机制也未受到影响。9月6日,该学区表示学校仍将保持开放状态,同时努力恢复受影响的服务器,但业务正常运营可能会延迟。
来源:
https://www.bleepingcomputer.com/news/security/second-largest-us-school-district-lausd-hit-by-ransomware/

2022年9月4日

黑客针对美国运通客户展开新的网络钓鱼欺诈攻击

Armorblox 研究人员发现了一项针对美国运通客户的新网络钓鱼活动。黑客以账户重要通知为诱饵诱使受害者打开附件,打开后附件会显示为来自美国运通的合法电子邮件通信,而内容会指导持卡人查看附加的安全加密消息,诱导欺骗受害者点击链接,将受害者重定向到虚假的美国运通登录页面,旨在欺骗受害者输入他们的用户ID和密码。
来源:
https://securityaffairs.co/wordpress/135292/hacking/phishing-scam-targets-american-express.html

点击下方片,关注我们

第一时间为您推送最新威胁情报



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247496185&idx=1&sn=c808e44d27b475087856b2c73d1d6a71&chksm=cfca92edf8bd1bfb44b4dcccad3d34aab44bebbce04a3a9294a1b960b4080f977805fe5593a4#rd
如有侵权请联系:admin#unsafe.sh