安全威胁情报周报(2.13~2.19)
2023-2-19 22:19:54 Author: 微步在线研究响应中心(查看原文) 阅读量:17 收藏



Enigma Stealer 以虚假就业为诱饵瞄准加密货币行业

  Tag:加密货币,信息窃取软件

事件概述:

近日,趋势科技研究人员监测发现 Enigma Stealer 恶意软件以虚假就业瞄准加密货币行业人员。攻击者使用几个高度混淆和没有完全开发的自定义加载程序和英特尔驱动程序漏洞 CVE-2015-2291 来加载 Enigma 窃取程序。Enigma 信息窃取器的软件基础是一个用 C# 编写的开源项目 Stealerium ,具备剪辑器和键盘记录器以及使用 Telegram API 的日志记录功能。
技术手法
感染链始于恶意的压缩文件,其中包含虚假的加密货币角色或空缺职位的诱饵文件和包含 Enigma 加载器的伪装成合法的 word 文档。该文件旨在引诱毫无戒心的受害者执行加载程序,Enigma 加载程序使用 API 哈希、字符串加密和无关代码等多种策略来避免检测和加大逆向工程的难度,然后下载、反混淆、解压缩和启动二级有效载荷。成功执行后,恶意软件会与 C2 服务进行通信,接收命令和传递有效载荷。

来源:
https://www.trendmicro.com/en_us/research/23/b/enigma-stealer-targets-cryptocurrency-industry-with-fake-jobs.html


英国国会议员电子邮件疑似遭到俄罗斯黑客入侵

  Tag:政客,俄罗斯,电子邮件

事件概述:
据英国国会议员 (MP) 透露,他的个人电子邮件帐户疑似遭到俄罗斯黑客攻击。苏格兰民族党 (SNP) 议员 在 2 月 8 日发布的一条推文中亦强调了鱼叉式网络钓鱼事件,这些针对其及员工电子邮件账户复杂且有针对性的鱼叉式网络钓鱼攻击,尽管没有攻击成功,但一些被盗的信息可能遭到泄露。
技术手法:
威胁组织通过攻陷内部邮箱账号,利用社会工程向目标国会议员发送附有加密文件的钓鱼信息,以乌克兰军事局势最新情况内容为诱饵诱导目标下载附件文件。当目标点击文件后,会被重定向到目标的电子邮件账户登录页面,待目标输入密码时窃取登录凭据,然后跳转至空白页面。
来源:
https://www.infosecurity-magazine.com/news/uk-politician-email-hacked-russian/

Korenix JetWave工业网络设备被曝存在3个安全漏洞

  Tag:工业网络设备

事件概述:
CyberDanube 研究人员发现 Korenix JetWave工业接入点和 LTE 蜂窝网关中存在3个安全漏洞,可能允许攻击者破坏它们的操作或将它们用作进一步攻击的立足点。目前这三个漏洞尚未分配CVE编号,包含设备 web 服务器中的两个命令注入漏洞和一个可能被触发以实现拒绝 web 服务的漏洞。这三个漏洞都要求攻击者在发起攻击之前进行身份验证。可以通过重新启动目标设备暂时解决拒绝web服务攻击,但攻击者可能会注入可以导致无限期危害的命令。Korenix JetWave 4221 HP-E、3220/3420v3、2212G、2212X/2112S、2211C、2411/2111、2411L/2111L、2414/2114、2424、2460 等型号均受这些漏洞的影响。
Korenix JetWave工业网络设备修复版本已于2023年1月发布,并且 Korenix 已向其客户发送了包含安全建议的通知,建议用户将受影响的设备升级到可用的最新固件版本。
来源:
https://www.helpnetsecurity.com/2023/02/13/korenix-jetwave-industrial-vulnerabilities/


新的威胁组织 TA886 使用 Screenshotter 恶意软件瞄准美国和德国展开攻击

  Tag:TA886,Screenshotter,APT,经济动机

事件概述:
TA886 组织是安全公司 Proofpoint 最近发现的一个具有经济动机的威胁组织,其大部分活动主要活跃于2022年10月之后,使用商品和自定义工具通过电子邮件分发恶意软件。近日,研究人员监测发现 TA886 组织使用名为 Screenshotter 的新恶意软件瞄准美国和德国的组织展开攻击,攻击者通过投递包含恶意URL或恶意附件的网络钓鱼电子邮件,部署 WasabiSeed 和 Screenshotter 恶意软件,并且使用 AHK Bot 和 Rhadamanthys 窃取程序进行后开发活动。
技术手法:
该活动始于批量线程劫持的电子邮件,以自我检查为诱饵,诱使目标启动多步攻击链的恶意链接,通过过滤流量并利用 JavaScript 文件下载并运行 MSI 包,执行嵌入式 VBS 脚本 (WasabiSeed) 并通过在 Windows 启动文件夹中创建自动运行快捷方式来建立持久性。MSI 包会继续重定向 URL 以获取额外的有效负载 Screenshotter 的组件。该组件截取受害者的屏幕截图并将其发送到命令和控制服务器,然后进行另一个无限循环。
来源:
https://www.proofpoint.com/us/blog/threat-insight/screentime-sometimes-it-feels-like-somebodys-watching-me


苹果公司发布安全更新修复 0day 漏洞 CVE-2023-23529

  Tag:苹果,0day漏洞

事件概述:
2月13日,苹果公司推出了针对iOS、iPadOS、macOS和Safari的安全更新,以修复被积极利用的 0day 漏洞CVE-2023-23529。该漏洞与 WebKit 浏览器引擎中的类型混淆错误有关,可能在处理恶意制作的Web内容时被激活,以最高权限执行任意代码。此外,该公司还解决了内核中的 use-after-free 漏洞 CVE-2023-23514,该漏洞可能允许流氓应用程序以最高权限执行任意代码。建议用户将系统升级到iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1和Safari 16.3.1,以降低潜在风险。
来源:

https://support.apple.com/en-us/HT213635

2023年2月12日

以色列理工学院疑似遭到 DarkBit 勒索软件团伙攻击

以色列理工学院(Technion -Israel Institute of Technology)遭到客入侵。一个自称 DarkBit 勒索团伙声称对周日入侵该研究所的勒索软件攻击负责,要求支付80比特币用于解密。此外还威胁称,如果 Technion 拒绝在48小时内支付所要求的金额,他们将提高30%的赎金。但专家指出,黑客团队似乎是出于政治动机,即使满足了要求,他们也不太可能提供解密密钥。

来源:

https://securityaffairs.com/142160/hacking/israeli-technion-suffered-ransomware-attack.html

2023年2月9日

新网络钓鱼活动滥用谷歌广告窃取用户登录凭据
Sentinel Labs 研究人员指出针对 Amazon Web Services(AWS)登录的新网络钓鱼活动正在滥用谷歌广告,将网络钓鱼网站潜入谷歌搜索以窃取用户的登录凭据。最初,威胁行为者将广告直接链接到网络钓鱼页面。在后期阶段,他们增加了重定向步骤。恶意谷歌广告将受害者带到攻击者控制的博客网站,该网站使用“window.location.replace”自动将受害者重定向到一个新网站,该网站托管虚假的AWS登录页面,系统会提示受害者选择他们是 root 用户还是 IAM 用户,然后要求他们输入电子邮件地址和密码窃取凭据。

来源:

https://www.bleepingcomputer.com/news/security/malicious-google-ads-sneak-aws-phishing-sites-into-search-results/


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247499853&idx=1&sn=ea05c2c804cdea6b8ebfe024e92d97c9&chksm=cfcaa359f8bd2a4f79979175b7e801c86bf3952c83cabbf8672073489f00c9834f12565adb8c#rd
如有侵权请联系:admin#unsafe.sh