安全威胁情报周报(9.12~9.18)
2022-9-18 22:10:2 Author: 微步在线研究响应中心(查看原文) 阅读量:10 收藏


卡巴斯基发布《2022 年上半年工业自动化系统的威胁格局》报告

  Tag:Kaspersky,ICS

事件概述:

近日,卡巴斯基基于检测到的恶意威胁发布《2022 年上半年工业自动化系统的威胁格局》报告,报告指出2022年上半年统计的全球工业自动化系统威胁数据、检测到的各种恶意软件、威胁集中的行业以及面临威胁的国家/地区。文章指出2022年31.8% 的 ICS 计算机检测并阻止了恶意威胁,其中恶意脚本和网络钓鱼页面(JS 和 HTML)、恶意文件、间谍软件(木马间谍、后门和键盘记录程序 )、勒索软件威胁所占百分比大幅增加,web挖矿程序也在期间缓慢的增加。其中楼宇自动化行业、石油/天然气、制造业是工控行业面临威胁前三的行业:楼宇自动化行业的恶意办公文档威胁数量几乎达到全球的两倍,间谍软件、勒索软件威胁也高于其他的行业;石油和天然气行业主要遭到勒索、加密货币矿工、蠕虫、病毒攻击威胁;制造业则主要面临互联网威胁和加密货币矿工威胁。

此外,非洲、东南亚、东亚和中亚等地区在2022年上半年面临的威胁数量在全球地区排名中领先,美国、加拿大以及北欧国家,在近两年半来 ICS 计算机检测及阻止威胁的比例达到最高。由此,卡巴斯基基于2022年上半年不同地区不同行业ICS计算机检测及阻止的威胁数据,指出2022年上半年年工业自动化系统面临的风险急剧增加的威胁形势。

来源:
https://ics-cert.kaspersky.com/publications/reports/2022/09/08/threat-landscape-for-industrial-automation-systems-statistics-for-h1-2022/?

希腊银行用户成为网络钓鱼攻击的最新目标

  Tag:希腊银行,网络钓鱼

事件概述:

近日,研究人员监测发现针对希腊银行用户的网络钓鱼攻击活动。攻击者利用多个URL托管着虚假的希腊退税网站,以退税金额为诱饵要求用户确认其当前账号以转移资金,用户可以在希腊国家银行、阿尔法银行等七家主要银行之间进行选择,然后诱导用户输入网上银行凭据。当用户在输入凭据时,攻击者会利用 JavaScript 键盘记录器记录用户按键,窃取凭据信息,然后将凭据信息回传到攻击者的 C2 服务器。

MITRE ATT&CK:

  • 初始访问:网络钓鱼+利用面向公众的应用程序
  • 信息收集:输入捕获(键盘记录)
来源:
https://blog.cyble.com/2022/09/14/phishing-campaign-targets-greek-banking-users/

葡萄牙总参谋部遭黑客攻击,数百份北约机密文件被放在暗网售卖

  Tag:葡萄牙总参谋部,北约,数据泄露

事件概述:

葡萄牙武装部队总参谋部(EMGFA)是负责葡萄牙武装部队控制、规划和行动的政府机构。近日,外媒报道称 EMGFA 遭到黑客攻击,数据发生泄露,几百份北约机密文件被放到暗网售卖。美国网络情报人员注意到出售的被盗文件,并向美国驻里斯本大使馆发出警报,后者又警告葡萄牙政府数据泄露。随即,来自国家安全局(GNS)和葡萄牙国家网络安全中心的专家组被派往 EMGFA,对该机构的整个网络环节进行全面调查。

据知情人士透露,此次数据泄露造成了严重的后果,可能会导致该国在军师联盟中出现严重信任危机,而且此次攻击事件是一场持续时间很长、无法察觉的网络攻击,攻击中使用的文件被分几个阶段删除。
来源:
https://www.bleepingcomputer.com/news/security/classified-nato-documents-stolen-from-portugal-now-sold-on-darkweb/

朝鲜威胁组织 Lazarus 针对美国能源供应商发起攻击

  Tag:Lazarus,美国,能源

事件概述:

Lazarus 组织是朝鲜背景的威胁组织,具备经济抢劫和信息窃取分工明确的子组织。在过去十年,该组织以间谍活动、盗窃数据和窃取加密货币的活动而闻名。近日,外媒报道指出 Lazarus 组织在2022年2月至2022年7月期间瞄准美国、加拿大和日本的能源供应商的企业网络展开攻击,利用 VMWare Horizon 漏洞进行初始访问,并使用自定义恶意软件 VSingle、YamaBot、MagicRAT 进行窃取数据。
技术手法:
威胁组织利用受 Log4Shell 漏洞影响的 VMWare 服务器运行 shellcode,建立反向 shell 以在受感染的端点上运行任意命令,通过注修改注册表项、WMIC 和 PowerShell 命令停用 Windows Defender 部署 VSingle 和 MagicRAT 恶意软件。VSingle 恶意软件主要进行侦查和窃取凭据,然后在受害者主机上创建新的管理员用户,最后与 C2 建立反向 shell 连接以获取丰富其功能的插件。MagicRAT 可以通过执行硬编码命令自行创建计划任务建立持久性,帮助系统侦察以及从 C2 服务器获取 TigerRAT 等恶意软件。
来源:
https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-take-aim-at-us-energy-providers/

ICS 工控补丁:西门子、施耐德电气修复多个高危漏洞

  Tag:ICS,漏洞

事件概述

近日,西门子和施耐德电气针对数十个影响其工业产品的漏洞发布补丁。西门子发布了五项新公告修复了 37 个相关漏洞,其中包括涉及用于管理网络服务的基于 Web 的 Sinec INS(基础设施网络服务)应用程序的 BIND、ISC DHCP、OpenSSL、Lodash 和 Axios 第三方组件中的14个中高危漏洞,这些漏洞允许攻击者执行 DoS 攻击、获取敏感数据或破坏系统完整性。西门子还修复了 Simcenter Femap 和 Parasolid 产品中的多个漏洞,攻击者可以通过让目标用户打开带有受影响应用程序的特制文件来利用这些漏洞执行任意代码。此外,西门子还修复了Windows 版本的 CoreShield One-Way Gateway (OWG) 软件中用于本地权限提升的高严重性漏洞、 Mendix SAML 模块中绕过身份验证的漏洞和 Ruggedcom 工业网络设备中的 DoS 漏洞。
施耐德电气发布的新公告中修复了 EcoStruxure Machine SCADA Expert 和 Pro-face Blue Open Studio 产品中可能导致任意代码执行、信息泄露、 DoS 、反序列化等多个高度严重漏洞。
来源:
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-high-severity-vulnerabilities

西工大遭网袭事件细节公开之美国NSA网络武器“饮茶”曝光

  Tag:饮茶,美国

事件概述:

近日,国家计算机病毒应急处理中心在对西北工业大学遭境外网络攻击事件进行调查过程中,在西北工业大学的网络服务器设备上发现了美国国家安全局(NSA)专用的网络武器“饮茶”(NSA命名为“suctionchar”),该网络武器为“嗅探窃密类武器”,包含“验证模块(authenticate)”、“解密模块(decrypt)”、“解码模块(decode)”、“配置模块”、“间谍模块(agent)”等多个模块,主要针对 Unix/Linux 平台,旨在窃取目标主机上的远程访问账号密码。

经技术分析与研判,该网络武器与其他网络武器配合下,攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务,获取用户输入的各种用户名密码,包括SSH、TELNET、FTP和其他远程服务登录密码,也可根据配置窃取保存在其他位置的用户名密码信息。更多技术分析细节请点击链接查看原文。

来源:
https://mp.weixin.qq.com/s/Xt8YvU6HmeOObKlaWJjjew

伪猎者APT组织对韩定向攻击:瞄准基金会代表和平昌和平论坛政界人士

  Tag:伪猎者,APT,韩国

事件概述:

伪猎者APT组织于2021年由国内安全厂商披露。据悉,其最早攻击时间可以追溯到2018年,历史攻击目标为包含中国在内的人力资源和贸易相关机构。近期微步情报局监控发现,该组织从2021年12月份至今依然活跃,在今年6月,该组织对韩国境内目标发起定向攻击活动。通过分析攻击事件,有如下发现:
  • 本批次攻击活动目标人员包括汉斯赛德尔基金会韩国代表Bernhard Seliger博士、以及可能与2022平昌和平论坛相关的政界人士。

  • 攻击事件时间节点包括两个:2022年2月上旬针对2022平昌和平论坛相关人士的攻击;2022年6月中旬对Bernhard Seliger博士的定向攻击。均为鱼叉邮件类型的攻击。

  • 攻击者用于攻击载荷托管、C&C通信的网络资产包括公开免费的云端存储站点(如bitbucket.org、statcounter.com)和攻击者私有C&C资产。木马回连地址会涉及这两类的多个url地址。

更多详情内容需查看“伪猎者APT组织对韩定向攻击:瞄准基金会代表和平昌和平论坛政界人士”。

来源:
https://mp.weixin.qq.com/s/MElSffbcrQkBYdVKo3hzFg

WordPress 插件被曝存在 0day 漏洞 CVE-2022-31474

  Tag:WordPress,0day 漏洞

事件概述:

BackupBuddy 是一个 WordPress 插件,该插件允许将备份文件存储在多个位置,包括Google Drive、OneDrive 和 AWS,还允许通过“本地目录复制”功能进行存储备份。近日,研究人员在该插件中发现一个被积极利用的 0day 漏洞 CVE-2022-31474。该漏洞允许未经身份验证的用户下载存储在服务器上的任意文件。该漏洞影响 8.5.8.0 至 8.7.4.1版本,厂商已于2022年9月2日在 8.7.5 版本中对漏洞进行修复。由于这是一个被积极利用的漏洞,厂商强烈建议用户网站更新到最新的修补版本 8.7.5,并向所有运行易受攻击版本的网站的所有者提供更新版本。

来源:
https://securityaffairs.co/wordpress/135518/hacking/backupbuddy-wordpress-zero-day.html

2022年9月14日

利哈伊河谷医疗机构遭受勒索软件攻击

宾夕法尼亚州利哈伊河谷医疗机构(MATLV)宣称在近期遭到了勒索软件攻击。此次攻击于2022年7月3日被发现,该协会第一时间采取行动遏制攻击行为以防止攻击者在未经授权的情况下进一步访问其网络。目前,第三方取证专家已参与协助调查确定攻击的性质和范围。MATLV 经过调查表示没有发现任何滥用患者信息的情况,但攻击者可能访问了部分文件,其中包括75628个人的健康信息。这些信息包含姓名、地址、电子邮件地址、出生日期、社会安全号码、驾驶执照号码、州身份证号码、健康保险提供者姓名、医疗诊断、治疗信息、药物和实验室结果,攻击中暴露的信息类型因患者而异。

来源:
https://www.hipaajournal.com/ransomware-attack-on-medical-associates-of-the-lehigh-valley-affects-75k-patients/

2022年9月13日

TA453黑客组织使用“多角色模拟”技术进行网络钓鱼活动

伊朗组织TA453使用新的网络钓鱼技术展开攻击,即通过使用多个角色和电子邮件帐户,利用心理学让受害者放松警惕进行钓鱼,研究人员将这种技术称为“多角色模拟”(MPI)。攻击者向受害者发送一封电子邮件,同时抄送由攻击者控制的另一个电子邮件地址,然后从该电子邮件中回复。等到受害者放松警惕,再发送一个指向恶意 Word 文档的链接,诱导受害者下载并启用宏,展开恶意操作。

来源:
https://www.proofpoint.com/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capitalize-fomo

点击下方片,关注我们

第一时间为您推送最新威胁情报


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247496298&idx=1&sn=3eb2bb7243f94a6152c01faed83b9fc0&chksm=cfca917ef8bd18680bf91263abefd4a5c2807d5f2b9a9a18aebab258f0f4eda26e0ebe88971e#rd
如有侵权请联系:admin#unsafe.sh