安全威胁情报周报（5.15~5.21）

安全威胁情报周报（5.15~5.21）
2023-5-21 22:10:14 Author: 微步在线研究响应中心(查看原文) 阅读量:34 收藏

印度贷款机构遭 LockBit 3.0 勒索团伙攻击，600GB数据发生泄露

Tag：LockBit，印度银行，数据泄露

事件概述：

据 GovInfoSecurity 报道称，印度贷款机构 Fullerton India 遭到 LockBit 3.0 勒索软件的攻击，600GB 数据发生泄露。Fullerton India 在印度拥有699家分支机构，为约210万客户提供上门信贷服务。作为预防措施，Fullerton India 被迫暂停线上运营，并与全球网络安全专家展开合作，保护其网络环境。LockBit 3.0是一种高级勒索软件，攻击者可以使用它来加密受害者的数据，并索要赎金以解密客户数据。在加密了贷款机构的数据后，勒索软件组织向该机构索要了300万美元的赎金，并要求在4月29日前支付。这次攻击导致该印度贷款机构遭受了严重的数据泄露，攻击者已将被盗数据上传至互联网，大量敏感信息遭到曝光，包括客户个人身份信息、财务记录和其他机密文件。目前，Fullerton India 已恢复客户服务并采取防护措施加强网络安全。来源：
https://www.govinfosecurity.com/lockbit-30-leaks-600-gbs-data-stolen-from-indian-lender-a-22010

DownEx 恶意软件瞄准中亚政府展开网络间谍活动

Tag：间谍活动，中亚政府

事件概述：

2022 年底，研究人员首次发现了一种名为 DownEx 的恶意软件，该软件旨在瞄准中亚地区的政府展开网络间谍活动。DownEx 利用社交工程技术和欺骗性电子邮件攻击进行传播，并且攻击活动已持续一段时间。该恶意软件具备多种高级功能，包括窃取敏感信息、监控受害者活动以及下载其他恶意软件。

技术手法：

该威胁组织采用社交工程技术发送钓鱼电子邮件，其中携带恶意负载的可执行文件被伪装成 Microsoft Word 文档。为了绕过恶意检测，他们避免使用双重扩展名，并在后台释放两个恶意文件。其中一个文件是伪装的 Word 文档，而另一个是无扩展名 HTA 文件，其中包含嵌入的 VBScript 代码，旨在减少引起怀疑的可能性。此外，威胁组织还使用多个 C/C++ 编写的工具，用于枚举网络上的资源、递归解析本地和网络驱动器，并收集具有多个扩展名的文件。为了与 C2 进行通信，威胁组织还部署了一个基于 Python 的后门，并使用受密码保护的 zip 文件来泄露收集到的信息。

来源：

https://www.bitdefender.com/blog/businessinsights/deep-dive-into-downex-espionage-operation-in-central-asia/

Netgear 路由器漏洞被曝允许攻击者监控用户网络和发动远程攻击

Tag：路由器，漏洞，远程攻击

事件概述：

Netgear RAX30 路由器于近日被曝存在五个安全漏洞，分别是CVE-2023-27357（缺少身份验证信息泄露漏洞）、 CVE-2023-27368（基于堆栈的缓冲区溢出身份验证绕过漏洞）、CVE-2023-27369（基于堆栈的缓冲区溢出身份验证绕过漏洞）、CVE-2023-27370（设备配置明文存储信息泄露漏洞）、 CVE-2023-27367（命令注入远程代码执行漏洞）。攻击者可以利用这些漏洞来监控用户的互联网活动、劫持互联网连接并将流量重定向到恶意网站，或通过注入恶意软件来感染网络流量，绕过身份验证并实施远程代码执行。此外，邻近网络的恶意行为者还可以利用这些漏洞来访问和控制网络智能设备，如安全摄像头、恒温器和智能锁，篡改路由器设置，甚至对其他设备或网络发起攻击。

为了解决这些漏洞并降低潜在风险，建议使用 Netgear RAX30 路由器的用户升级到网络公司于 2023 年 4 月 7 日发布的固件版本 1.0.10.94。安装最新的固件版本可以修复这些漏洞并提高路由器的安全性。

来源：
https://thehackernews.com/2023/05/netgear-routers-flaws-expose-users-to.html

新的 Android 恶意软件 “FluHorse” 以欺骗手段瞄准东亚市场

Tag：Android，FluHorse，恶意软件

事件概述：

近日，CheckPoint 披露了一种名为 FluHors 的新型 Android 恶意软件。这种恶意软件通过电子邮件针对东亚市场的各个领域组织，旨在窃取受害者的凭据和双因素身份验证（2FA）代码。FluHors 伪装成多个合法应用程序的恶意 Android 应用程序，其中大多数应用程序的安装量超过100万次。有些情况下，恶意软件攻击的第一阶段使用的电子邮件可能来自知名实体组织，这使得恶意软件可能在数月之久都不会被发现，从而成为一种持久、危险且难以察觉的威胁。

技术手法：

威胁组织利用伪造的知名实体组织的电子邮件，针对政府部门和大型工业公司在内的多个目标实体组织，进行钓鱼邮件攻击，采用欺骗手段引诱用户点击链接并下载 APK 文件。恶意软件利用客户端 JavaScript 执行检查，验证用户代理是否符合预期。如果验证成功，恶意软件将下载 APK 文件。一旦恶意软件安装成功，它将请求获取短信权限，并通过一系列窗口逐步获取用户的凭据和信用卡数据。在第三个窗口中，恶意软件要求用户等待10分钟，以使用户在这段时间内不会怀疑出现任何问题或关闭应用程序。然后恶意软件的操作员可以执行所需操作，包括拦截所有带有2FA代码的短信和窃取数据。

来源：

https://thehackernews.com/2023/05/new-android-malware-fluhorse-targeting.html

SideCopy 使用 Action RAT 和 AllaKore RAT 渗透印度组织

Tag：SideCopy ，印度

事件概述：

据外媒报道称， SideCopy 是一个活跃的 APT 组织，专门瞄准印度地区的政府机构、军事组织和大型企业展开攻击。威胁组织使用精心设计的社交工程攻击、钓鱼邮件和恶意文件传播来感染目标系统。一旦系统被感染，SideCopy 便利用高度定制化的恶意软件 Action RAT 和 Allakore RAT 来窃取敏感信息、实施远程访问和执行恶意操作。ActionRAT 是一种远程访问工具，它允许攻击者在受感染的系统上执行各种操作，包括文件传输、键盘记录和远程控制。而 Allakore 是一种后门软件，提供持久访问和隐蔽性的功能，使攻击者能够长期监视和控制受感染的系统。

技术手法：

威胁组织利用网络钓鱼邮件为初始感染媒介，投递与印度国防研究与发展组织相关的 ZIP 文件。其中 ZIP 文件中包含的三个文件中的两个文件似乎包含未格式化的数据，与感染链无关，似乎是迷糊性诱饵，第三个文件是一个 Microsoft Windows 快捷方式文件，使用 Microsoft HTML 应用程序 (HTA) 实用程序或 “mshta.exe” 扩展到由攻击者控制的域，下载恶意文件 Pantomime.hta 读入内存流下载下一阶段载荷。威胁组织还通过创建注册表项伪装成合法文件，并确保在受害者设备上具有持久性。最终，威胁组织通过部署和执行作为 C2 的 DUser.dll，使用原始套接字或通过 HTTP 通过 TCP 进行通信，使用 Windows API 调用指示 RAT 启动其他进程，释放其他载荷。

来源：

https://www.fortinet.com/blog/threat-research/clean-rooms-nuclear-missiles-and-sidecopy

WordPress Elementor 插件漏洞致使100万个网站账户面临被劫持的风险

Tag：WordPress Elementor，漏洞，账户劫持

事件概述：

最近发现 WordPress Elementor 中最受欢迎的插件之一 "Essential Addons for Elementor" 存在一个易受未经身份验证的权限升级漏洞（CVE-2023-32243）。该漏洞可能允许远程攻击者获得网站管理员的权限，进而未经授权地访问私人信息、篡改或删除网站内容，甚至传播恶意软件。漏洞源于插件中的密码重置功能未正确验证密码重置密钥，而是直接更改给定用户的密码。该漏洞影响的版本范围是5.4.0~5.7.1。考虑到 "Essential Addons for Elementor" 插件被超过一百万个 WordPress 网站使用，该漏洞的曝光可能导致攻击者劫持数百万个网站的用户账户。

为了修复这个漏洞，插件开发者发布了 Elementor 5.7.2 版本及其搭配使用的 Essential Addons 修复程序。强烈建议所有插件用户尽快升级到最新版本，以确保网站的安全性。

来源：

https://www.bleepingcomputer.com/news/security/wordpress-elementor-plugin-bug-let-attackers-hijack-accounts-on-1m-sites/

2023年5月15日

新型勒索软件 RA Group 针对美国公司进行双重勒索攻击
Cisco 研究人员披露了一个名为 "RA Group" 的新型勒索软件组织，其主要目标是美国和韩国的制药、保险、财富管理和制造公司。这个勒索软件攻击活动始于2023年4月，该组织在暗网上建立了一个数据泄露站点，发布受害者的详细信息和被盗数据，并采用了常见的"双重勒索"策略。尽管勒索门户网站于2023年4月22日启动，但第一批受害组织的信息仅在创立勒索门户网站后的一周内发布，其中包括数据样本文件、被盗内容类型的描述以及被盗数据的链接。此外，据 Cisco 的报告称，RA Group 使用了基于泄露源代码的 Babuk 勒索软件的加密器，其显著特征是每次攻击都有为目标组织定制的自定义赎金票据，并且可执行文件的命名方式也以受害者的名称命名。
来源：
https://blog.talosintelligence.com/ra-group-ransomware/

2023年5月10日

网络钓鱼警报：新服务“Greatness” 加剧了针对 Microsoft 365 的攻击风险
外媒报道称一项名为 "Greatness" 的新服务简化了针对 Microsoft 365 的网络钓鱼攻击。该服务允许攻击者创建和定制欺骗性的 Microsoft 365 登录页面，以欺骗用户输入其凭据。攻击者可以轻松地生成看似合法的登录页面，并通过链接或电子邮件将其发送给目标用户。一旦用户在伪造的登录页面上输入了其凭据，攻击者就可以获取这些信息，并进一步入侵用户的Microsoft 365账户。"Greatness"服务的出现使得进行针对Microsoft 365 的网络钓鱼攻击变得更加简单和普遍。这引发了对企业和用户的安全性的关切，因为恶意攻击者可能通过这种方式获取敏感信息和访问受限数据。建议企业和用户提高警惕，采取适当的安全措施，使用多因素身份验证等安全措施来保护其 Microsoft 365账户。
来源：
https://www.bleepingcomputer.com/news/security/new-greatness-service-simplifies-microsoft-365-phishing-attacks/

---End---

CSOP 2023

网络安全领域最具专业性的年度盛会之一 CSOP 2023 网络安全运营与实战大会将于5月25日在北京启幕，安全负责人和CISO不能错过~

长按识别下方二维码即可报名：

点击“阅读原文”，报名 CSOP 2023 大会

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247501800&idx=1&sn=fc7031a6b9519b24051d575fb0b7dc9b&chksm=cfcaa4fcf8bd2deaa1655f33db0d96330a8a840b19e7731ed6e2dc9bb57b71a58f147af97c81#rd
如有侵权请联系:admin#unsafe.sh