安全威胁情报周报（3.27~4.2）

波多黎水务机构疑似遭到 Vice Society 袭击，数据信息发生泄露

Tag：水务机构，波多黎，勒索，数据泄露

事件概述：

波多黎各水道和下水道管理局（PRASA）是波多黎各最大的供水和废水处理机构之一，负责管理和维护该岛的水资源和下水道系统。3月19日，波多黎各水道与下水道管理局（PRASA）披露网络攻击事件，并表示在袭击发生后迅速启动了事件响应，对入侵媒介、违规范围展开调查。调查发现客户和员工信息遭到泄露，但该局重要基础设施的运营未受影响。目前，该机构尚未透露攻击背后的组织名称，但 Vice Society 勒索软件团伙已将该机构添加到其 Tor 泄露站点的受害者名单中，并发布被盗文件样本，包括个人的护照、驾照和其他文件。

截至目前，PRASA 尚未公开披露与联邦调查局 FBI 和网络安全和基础设施安全局 CISA 调查的结果，以及具体的攻击细节。

来源：

https://securityaffairs.com/144022/hacking/puerto-rico-aqueduct-and-sewer-authority-attack.html

Bitter APT 团伙针对核能行业展开攻击活动

Tag：Bitter，核能行业

事件概述：

Bitter APT 是一个南亚威胁组织，旨在瞄准巴基斯坦、中国、孟加拉国和沙特阿拉伯的能源和政府部门展开攻击活动，多年来一直使用包括网络钓鱼在内的多种策略进行间谍活动，以实现其目标。近日，Intezer 发文披露 Bitter APT 组织针对核能行业组织相关的攻击活动，并建议亚太地区政府、能源和工程领域的实体组织在收到电子邮件时保持警惕，尤其是那些声称来自其他外交实体的电子邮件，处理附件时也务必小心，谨慎打开 CHM 文件。

技术手法：

威胁组织伪装成吉尔吉斯斯坦大使馆，向与核能领域相关的多家公司和学术人员投递电子邮件。邮件邀请收件人参加与他们相关的主题会议，并诱使收件人下载并打开包含 Microsoft 编译的 HTML 帮助文件(CHM)或包含恶意 Excel 文档的 RAR 文件，创建计划任务以实现持久性并从 C2 获取额外的有效载荷。其中 Excel 有效负载仅包含一个公式编辑器漏洞利用程序，它可以创建两个不同的计划任务在受害者设备上实现持久性，使用 cURL 下载下一阶段的 EXE 负载，同时向攻击者发送受感染机器的名称。另一个版本的 CHM 文件也通过编码的 PowerShell 命令执行类似的活动。

来源：

https://www.intezer.com/blog/research/phishing-campaign-targets-nuclear-energy-industry/

WiFi 协议漏洞允许攻击者劫持网络流量

Tag：WiFi，漏洞

事件概述：

网络安全研究人员在 IEEE 802.11 WiFi 协议标准的设计中发现了一个基本的安全漏洞，影响各种设备和操作系统（Linux、FreeBSD、iOS 和 Android）。攻击者可以利用漏洞诱使接入点进入明文形式的泄漏网络帧，并且用于劫持 TCP 连接或拦截客户端和网络流量。虽然这种攻击也可用于窥探流量，但由于大多数 Web 流量都使用 TLS 加密，因此漏洞影响有限。研究人员仍建议采取缓解措施，实施传输层安全性，以尽可能加密传输中的数据，阻断攻击者获取数据。

技术手法：

攻击者通过伪造网络上设备的 MAC 地址，并将节能帧发送到接入点，迫使它们开始对发往目标的帧进行排队。然后发送一个唤醒帧来检索帧堆栈。传输的帧通常使用在 WiFi 网络中的所有设备之间共享的组寻址加密密钥或对每个设备唯一的成对加密密钥进行加密，用于加密两个设备之间交换的帧。但是，攻击者可以通过向接入点发送身份验证和关联帧来更改帧的安全上下文，从而迫使它以明文形式传输帧或使用攻击者提供的密钥对其进行加密，并在 MAC 层拦截发往其他客户端的流量，将恶意内容（例如 JavaScript）注入 TCP 数据包。

来源：

https://www.bleepingcomputer.com/news/security/wifi-protocol-flaw-allows-attackers-to-hijack-network-traffic/

MacStealer：新的基于 macOS 的窃密木马

Tag：MacOS，木马

事件概述：

Uptycs 研究人员团队发现了一种新的 macOS 信息窃取程序 MacStealer，影响 Catalina 和后续基于 Intel M1 和 M2 CPU 的 macOS 版本。该恶意软件允许攻击者从受感染设备的 Firefox、Google Chrome 和 Brave 浏览器窃取密码、cookie 和信用卡数据，检索 KeyChain 数据库（base64编码）和固定后缀的文件，窃取用户敏感数据。

技术手法：

该恶意软件通过 .DMG 文件传播，打开文件后，它会打开一个伪造的密码提示信息以窃取凭据。一旦用户输入他们的登录凭据，窃取程序 MacStealer 就会收集后缀为“.txt”、“.doc”、“.docx”、“.pdf”、“.xls”、“.xlsx”、“.ppt”、“.pptx”、“.jpg”、“. png", ".csv", ".bmp", ".mp3", ".zip", ".rar", ".py", ".db" 的文件，并存储到系统目录，压缩数据并使用 Python 用户代理通过 POST 请求将其发送到 C2，然后从受害者的系统中删除数据文件。同时，MacStealer 将选定的信息传输 Telegram 频道，共享信息。

来源：

https://www.uptycs.com/blog/macstealer-command-and-control-c2-malware

朝鲜背景威胁组织 ScarCruft 正在持续不断发展武器库，展开攻击

Tag：ScarCruft，韩国

事件概述：

ScarCruft 又称为 APT37、Reaper、RedEyes 和 Ricochet Chollima ，至少从 2012 年开始活跃，针对各种韩国实体组织展开间谍活动，滥用包括 Windows 帮助文件 (CHM)、HTA、HWP (Hancom office)、XLL (MS Excel Add-in) 和基于宏的 MS Office 文件分发恶意软件。除了分发恶意软件外，该组织还专注于凭据网络钓鱼攻击。近日，研究人员监测发现 ScarCruft 组织在新的活动中不断改进其技术以躲避检测，除了恶意软件分发之外，ScarCruft 还通过网络钓鱼攻击了多个电子邮件服务和云服务。

技术手法：

威胁组织将基于宏的 MS office Word 文件上传到 GitHub 存储库，或者通过使用带有嵌入式 OLE 对象的 HWP 文件等多种初始攻击向量，执行 MSHTA 以下载基于 PowerShell 的 Chinotto 后门。根据接收的 Powershell 处理的硬编码命令遍历文件信息，通过 cmd 执行命令将结果重定向到特定文件，并在指定目录下创建 ZIP 文档以 base64 编码，通过 POST 请求将收集到的信息回传到 C2。

来源：

https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37

WordPress 通报并修复 WooCommerce 插件中的严重漏洞

Tag：WordPress，WooCommerce

事件概述：

外媒报道称，Automattic 公司在超过50万个运行 WordPress 支付插件 WooCommerce 的网站上自动安装安全更新。该更新版本修复了一个可被用来获得目标商店的管理员访问权限的漏洞，影响插件版本4.8.0到5.6.1。据研究人员称，未经身份验证的攻击者可以利用该漏洞冒充管理员并完全接管网站，而无需与用户交互。由于不需要身份验证，因此该漏洞很可能会被大规模利用。该更新现正在自动推广到尽可能多的商店。WordPress 在发现漏洞后，立即停用了受影响的服务，向 WordPress.com、Pressable 和 WPVIP 上托管的所有网站提供缓解措施和向一些易受攻击的网站推出安全更新修复相关漏洞。

此外，该公司还建议更改存储在 WordPress/WooCommerce 数据库中的私人数据，这可能包括 API 密钥、支付网关的公钥/私钥等，并鼓励支持或开发其他 WooCommerce 商家的任何人分享此信息，并确保他们安装了 WooCommerce Payments 的客户使用的是最新版本的 WooCommerce Payments。

来源：
https://www.bleepingcomputer.com/news/security/wordpress-force-patching-woocommerce-plugin-with-500k-installs/

2023年3月25日

新勒索软件组织 Dark Power 肆虐袭来
外媒报道披露了一个新的勒索组织 Dark Power，该组织在不到一个月的时间内入侵了至少 10 个组织。在大多数方面与任何其他勒索软件组织相似，但与众不同的是它以 Nim 编程语言作为优势。该软件通过利用RDP（远程桌面协议）漏洞进行攻击，成功入侵系统后，它会加密受害者的文件，然后勒索赎金。该软件还具有删除文件和泄漏数据的能力，以增加对受害者的压力。据外媒称 DarkPower 的攻击者似乎来自俄罗斯，并且该软件的勒索金额非常高，通常在数百万美元以上。专家建议企业采取多种安全措施来保护其系统，包括限制RDP访问，定期备份数据，并提供安全意识培训给员工。
来源：
https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month

2023年3月26日

Emotet 利用伪造的 W-9 税单进行钓鱼攻击
外媒报道称 Emotet 恶意软件伪装成美国国税局 W-9 税表展开钓鱼攻击，利用嵌入式脚本的Microsoft OneNote文件进行分发。当微软开始默认阻止启动下载钓鱼文件 Office 文档中的宏后，Emotet 转而使用带有嵌入式脚本的 Microsoft OneNote 文件来安装 Emotet 恶意软件。一旦感染，恶意软件将窃取受害者的电子邮件以用于未来的回复链攻击，发送更多垃圾邮件，并最终安装其他恶意软件，为勒索软件团伙等其他威胁行为者提供初始访问权限。安全工程师建议用户不要打开来自未知发送者的电子邮件，避免启用 Word 附件中的宏，避免钓鱼中招。
来源：
https://www.bleepingcomputer.com/news/security/emotet-malware-distributed-as-fake-w-9-tax-forms-from-the-irs/