阅读: 16
3月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告。
另外,本次微软共修复了9个Critical级别漏洞,69个Important 级别漏洞,其中包括2个0 day漏洞。强烈建议所有用户尽快安装更新。
在本月的威胁事件中,与俄罗斯有联系的Nodaria集团公布了从受感染计算机中窃取各种信息的新威胁情报组织Nodaria(又名UAC-0056)正在使用一种新的情报窃取恶意软件来攻击乌克兰的目标。 该恶意软件(Infostealer.Graphiron)是用Go编写的,旨在从受感染的计算机收集各种信息,包括系统信息,凭据,屏幕截图和文件。石墨铁使用的第一个证据是在 2022 年 10 月发现的。 它至少会持续使用到 2023 年 1 月中旬,并且可以合理地假设它仍将是 Nodaria 工具包的一部分。
以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/
一、 漏洞态势
2023年03月绿盟科技安全漏洞库共收录159个漏洞, 其中高危漏洞48个,微软高危漏洞21个。
* 数据来源:绿盟科技威胁情报中心,本表数据截止到2023.04.03
注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
二、 威胁事件
- 旧的网络团伙使用新的加密器 – ScrubCrypt旧的网络
【标签】ScrubCrypt
【时间】2023-03-09
【简介】
在2023年1月至2月期间,FortiGuard实验室在一个特定的URI中观察到一个针对可利用的Oracle Weblogic服务器的有效载荷。这个有效负载提取ScrubCrypt,它混淆和加密应用程序,使它们能够避开安全程序。它已经有了一个更新版本,卖家的网页保证它可以绕过Windows Defender,并提供反调试和一些绕过功能。
【参考链接】
https://ti.nsfocus.com/security-news/IlOL7
【防护措施】
绿盟威胁情报中心关于该事件提取29条IOC,其中包含6个IP和23个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Graphiron:俄罗斯在乌克兰部署新的信息窃取恶意软件
【标签】Graphiron
【时间】2023-03-09
【简介】
与俄罗斯有联系的Nodaria集团公布了从受感染计算机中窃取各种信息的新威胁情报组织Nodaria(又名UAC-0056)正在使用一种新的情报窃取恶意软件来攻击乌克兰的目标。 该恶意软件(Infostealer.Graphiron)是用Go编写的,旨在从受感染的计算机收集各种信息,包括系统信息,凭据,屏幕截图和文件。石墨铁使用的第一个证据是在 2022 年 10 月发现的。 它至少会持续使用到 2023 年 1 月中旬,并且可以合理地假设它仍将是 Nodaria 工具包的一部分。
【参考链接】
https://ti.nsfocus.com/security-news/IlOL3
【防护措施】
绿盟威胁情报中心关于该事件提取7条IOC,其中包含1个IP和6个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 黑飞:间谍组织瞄准材料技术
【标签】Blackfly
【时间】2023-03-09
【简介】
集团的目标是单一亚洲企业集团的多家子公司。Blackfly间谍组织(又名APT41,Winnti Group,Bronze Atlas)继续对亚洲的目标发动攻击,最近针对一家亚洲企业集团的两家子公司,这两家公司都在材料和复合材料领域运营,这表明该组织可能试图窃取知识产权。
【参考链接】
https://ti.nsfocus.com/security-news/IlOL5
【防护措施】
绿盟威胁情报中心关于该事件提取13条IOC,其中包含13个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 微软OneNote文件被网络钓鱼活动用来传播恶意软件
【标签】AsyncRAT
【时间】2023-03-16
【简介】
最近引起FortiGuard Labs注意的几个网络钓鱼活动被发现发送带有恶意Microsoft OneNote文件的网络钓鱼电子邮件,以传播AsyncRAT恶意软件。在此分析中,您将了解此攻击的内容,例如哪种网络钓鱼电子邮件启动活动,恶意Microsoft OneNote文件如何参与活动,如何利用它在受害者的设备上下载和执行恶意文件,使其能够逃避检测和分析的技术类型,以及恶意软件 AsyncRAT 如何与其 C2 服务器通信,包括它支持哪些控制命令来完全控制受害者的设备。
【参考链接】
https://ti.nsfocus.com/security-news/IlOL1
【防护措施】
绿盟威胁情报中心关于该事件提取4条IOC,其中包含1个IP和3个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Blackfly一个针对材料技术的间谍组织
【标签】Blackfly,APT41
【时间】2023-03-16
【简介】
期运行的APT集团Blackfly是中国已知运行时间最长的持续针对性攻击(APT)组织之一,至少自1年以来一直活跃。 已知早期攻击使用以下恶意软件系列:PlugX/Fast (Backdoor.Korplug)、Winnti/Pasteboy (Backdoor.Winnti) 和 Shadowpad (Backdoor.Shadowpad)。 该组织最初因其对电脑游戏行业的攻击而闻名。 从那时起,攻击的目标已经多样化,目标组织包括半导体、电信、材料制造、制药、媒体、广告、酒店、自然资源、金融科技和食品。
【参考链接】
https://ti.nsfocus.com/security-news/IlOKZ
【防护措施】
绿盟威胁情报中心关于该事件提取16条IOC,其中包含16个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 窥视死神(APT37)的监视行动
【标签】APT37
【时间】2023-03-27
【简介】
在我们为保护我们的客户而进行的日常搜索中,我们发现了两个带有开放目录的朝鲜-nexus 入侵集Reaper (又名 APT37)的命令和控制服务器(C2),使我们能够观察托管的植入程序以及受害者的外泄数据。
【参考链接】
https://ti.nsfocus.com/security-news/IlOJR
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 澳大利亚博彩巨头Crown Resorts遭Cl0p勒索软件攻击并导致数据泄露
【标签】CI0p
【时间】2023-03-30
【简介】
澳大利亚赌博和娱乐巨头皇冠度假村(Crown Resorts)披露了一起由最近发现的GoAnywhere零日漏洞造成的数据泄露事件。
【参考链接】
https://ti.nsfocus.com/security-news/IlOLP
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Bitter APT黑客组织针对中国核能行业
【标签】Bitter
【时间】2023-03-29
【简介】
最近发现一个被追踪为“Bitter APT”的网络间谍黑客组织以中国核能行业为目标,使用网络钓鱼电子邮件感染带有恶意软件下载程序的设备。Bitter 是一个疑似南亚黑客组织,以亚太地区能源、工程和政府部门的知名组织为目标。
【参考链接】
https://ti.nsfocus.com/security-news/IlOLz
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 朝鲜黑客转向“云挖掘”以获取加密货币,以避免执法部门的审查
【标签】朝鲜黑客
【时间】2023-03-29
【简介】
个涉嫌冒充记者并伪造LinkedIn账户以收集情报的朝鲜间谍部门正在使用一种新颖的方式来资助他们的国际黑客行动:出租基于云的电力来挖掘加密货币。
【参考链接】
https://ti.nsfocus.com/security-news/IlOLL
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 解密一线活跃的 Royal,“勒索”与“加密器”的双重陷阱
【标签】Royal
【时间】2023-03-29
【简介】
Royal 勒索家族从2022年1月开始活动,一直活跃在勒索一线,于2023年2月2日,微步沙箱捕获 Royal Linux 版勒索软件。经微步情报局分析发现:Royal 勒索组织和其他大多数活跃的勒索组织不同,该组织并不提供 RaaS (勒索软件即服务)服务。与其他勒索组织相同的是均采用双重勒索的方式即勒索+窃密形式进行勒索,一般勒索金额为25至200万美金,如果受害者拒交赎金,攻击者将会将把敏感信息投放至暗网,促使受害者缴纳赎金;【参考链接】
https://ti.nsfocus.com/security-news/IlOI7
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。