安全威胁情报周报（5.22~5.28）

伊朗黑客瞄准以色列金融、物流行业企业展开攻击

Tag：伊朗，金融，水坑

事件概述：

近期，以色列的金融服务、航运和物流公司的多个网站遭遇水坑攻击。据研究人员称，这次攻击被归因于伊朗威胁组织 Tortoiseshell。攻击者通过在受感染的网站中注入恶意 JavaScript 代码来收集系统信息，将其传输到远程服务器，并且通过感染那些经常访问特定行业网站的用户，以实现恶意软件的传播。此前，伊朗威胁组织已经多次针对以色列的航运业发动攻击，采取进攻性网络行动和影响力行动相结合的策略，旨在推动地缘政治变革和实现其政权目标。

来源：
https://www.clearskysec.com/wp-content/uploads/2023/05/Fata-Morgana-Israeli-Websites-Infected-by-Iranian-Group-1.8.pdf

GoldenJackal 组织针对中东和南亚政府发动攻击

Tag：GoldenJackal，南亚，政府

事件概述：

近期，研究人员监测到了一系列针对中东和南亚政府的攻击活动，这些活动被追溯到GoldenJackal威胁组织。GoldenJackal 威胁组织自2019年以来一直活跃，主要瞄准地区包括阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其，其目标是进行间谍活动。该威胁组织使用定制的恶意软件感染受害者，窃取数据并进行监视。据报道称，该组织在战术上与俄罗斯的Turla组织存在一些重叠之处。

技术手法：

GoldenJackal 组织利用木马化的 Skype 安装程序和恶意的 Microsoft Word 文档作为初始入口，利用 Follina 漏洞 CVE-2022-30190 传播 JackalControl 恶意软件。通过这种方式，威胁组织可以感染受害者并远程控制受感染的机器，执行任意命令。此外，威胁组织还利用被黑的 WordPress 网站作为中继，通过注入恶意的 PHP 文件将 Web请求转发到实际的命令和控制（C2）服务器。除此之外，威胁组织还在受害者设备上部署了多款恶意软件。首先，他们利用 JackalSteal 寻找感兴趣的文件，包括存储在可移动 USB 驱动器中的文件，并将它们传输到远程服务器的植入程序中。其次，利用 JackalWorm 感染系统并安装 JackalControl 特洛伊木马。此外，他们还利用 JackalPerInfo 收集系统的元数据、文件夹内容、已安装的应用程序、正在运行的进程以及存储在 Web 浏览器数据库中的凭据信息。最后，威胁组织利用 JackalScreenWatcher 按照预设的时间间隔抓取屏幕截图，并将其发送到威胁组织所控制的服务器。通过这些恶意软件和技术手法，GoldenJackal 组织可以对目标进行数据窃取和监视。

来源：
https://securelist.com/goldenjackal-apt-group/109677/

CISA 发布四项工业控制系统公告

Tag：CISA，工控

事件概述：

CISA最近发布了四项工业控制系统（ICS）公告，提供了关于日立能源、三菱电机和霍纳等产品的漏洞信息以及相应的缓解措施。其中，涉及到日立能源AFS65x、AFS67x、AFR67x和AFF66x 系列产品漏洞CVE-2022-40674。成功利用此漏洞可能导致攻击者泄露敏感信息或进行拒绝服务（DoS）攻击。另外，三菱电机公司的MELSEC系列CPU模块存在经典的缓冲区溢出漏洞 CVE-2023-1424。成功利用该漏洞可能使远程攻击者能够通过发送特制数据包引发拒绝服务或在目标产品上执行恶意代码。然而，攻击者需要了解产品的内部结构才能成功执行恶意代码，因此实施此类攻击相对比较困难。此外，还有一些影响日立能源 RTU500系列设备的漏洞，包括类型混淆、越界读取、无限循环和经典缓冲区溢出漏洞。成功利用这些漏洞可能导致攻击者使正在访问的设备崩溃或引发拒绝服务情况。

目前为止，相关工控系统厂商已经发布了相应的修复补丁和缓解措施。

来源：
https://www.cisa.gov/news-events/alerts/2023/05/23/cisa-releases-four-industrial-control-systems-advisories

新威胁！CapCut 钓鱼网站传播信息窃取软件，用户隐私遭受威胁

Tag：CapCut，恶意软件

事件概述：

Cyble Research and Intelligence Labs (CRIL)最近揭露了一系列针对 CapCut 视频编辑工具的钓鱼网站，这些网站伪装成视频编辑软件，实际上传播 Python 编写的信息窃取软件。这种窃取软件拥有多种功能，包括窃取浏览器密码、收集Cookie信息、截取屏幕截图以及窃取加密货币钱包数据等。最后，攻击者将窃取的数据打包为ZIP文件，并通过 Telegram 或 AnonFiles 进行泄露。这些发现提醒了用户在下载和使用视频编辑软件时要保持警惕，以防止个人信息和财务资产遭受威胁。

技术手法：

攻击者利用冒充视频编辑软件的钓鱼网站吸引用户下载恶意软件，其中包含使用 PyInstaller 编译的窃取程序。一旦窃取程序解密成功，它会弹出虚假的错误消息框，诱使用户采取行动或关闭应用程序。接下来，攻击者通过解密浏览器的“本地状态”文件获取加密密钥，然后再解密“登录数据”文件中的用户名和密码，实施窃取浏览器密码。同时，他们还从Cookie文件中提取特定字段，收集与受害者访问的网站相关的信息。这些收集到的信息最终会被压缩，并通过 Telegram 或 AnonFiles 等方式泄露。

来源：
https://blog.cyble.com/2023/05/19/capcut-users-under-fire/

FIN7 组织在受害者系统上部署 Clop 勒索软件展开攻击

Tag：FIN7，Clop，勒索软件

事件概述：

据外媒报道，臭名昭著的网络犯罪团伙 FIN7 最近再度出现，并开始使用 Clop 勒索软件展开攻击。这个组织自十年前开始运作以来，一直专注于针对欧洲和美国的银行和各行业公司，尤其是餐馆、博彩和娱乐行业的销售点（PoS）终端进行攻击。为了达到目的，FIN7 组织还采取了伪装手段，冒充 Best Buy，并利用恶意闪存驱动器对酒店、餐馆和零售企业进行类似攻击。此外，这个威胁组织还利用捆绑软件的方式诱使目标降低警惕。尽管多年来已有一些 FIN7 组织成员被捕，但据报告显示，他们仍然活跃，并且攻击势头依然强劲。新一轮攻击表明，他们将不断改进和更新攻击工具和技术，持续对目标构成威胁。

技术手法：

FIN7 组织利用基于 PowerShell 的 POWERTRASH 内存中的恶意软件植入程序在受感染的设备上部署 Lizar 后期开发工具，使威胁组织能够在目标网络中自由操作。一旦在目标网络中建立了立足点，FIN7黑客组织便利用OpenSSH 和 Impacket 等工具进行横向移动，渗透其他系统和设备，以获取更广泛的权限和控制权。最后，威胁组织通过在受害者系统上部署 Clop 勒索软件展开勒索攻击。

来源：
https://www.bleepingcomputer.com/news/security/microsoft-notorious-fin7-hackers-return-in-clop-ransomware-attacks/

三星发布紧急补丁修复Android漏洞，保护用户免受黑客攻击

Tag：三星，漏洞

事件概述：

近日，为了应对商业监控黑客利用漏洞在阿联酋设备中植入恶意软件的威胁，三星对其 Android 智能手机设备中的漏洞进行了补丁修复。在今年3月，安全研究人员发现了一个由巴塞罗那的间谍软件供应商 Variston 开发的漏洞利用链，用于在阿联酋设备上部署监视恶意软件。该攻击链利用了多个0day漏洞，其中一些漏洞已经被三星、谷歌和芯片制造商 ARM 修复。三星目前正在修复剩余的内核信息泄漏漏洞，该漏洞是漏洞利用链的一部分。美国网络安全和基础设施安全局要求联邦机构在6月9日之前修复受影响的三星Android设备，并将该漏洞列入已知利用漏洞目录中。该漏洞使攻击者能够绕过 Android 的地址空间布局随机化（ASLR）安全功能，该功能通过随机化系统可执行文件在内存中的位置来防止缓冲区溢出攻击。黑客利用的漏洞是由于三星在日志文件中打印了内核指针，这个问题存在于未修复的三星Android 11、12和13设备版本中。三星表示已向受影响的设备推送了补丁，并建议用户尽快更新其设备。

来源：
https://www.govinfosecurity.com/samsung-patches-memory-address-randomization-bypass-flaw-a-22139

伊朗黑客瞄准以色列金融、物流行业企业展开攻击

Tag：伊朗，金融，水坑

GoldenJackal 组织针对中东和南亚政府发动攻击

Tag：GoldenJackal，南亚，政府

CISA 发布四项工业控制系统公告

Tag：CISA，工控

新威胁！CapCut 钓鱼网站传播信息窃取软件，用户隐私遭受威胁

Tag：CapCut，恶意软件

FIN7 组织在受害者系统上部署 Clop 勒索软件展开攻击

Tag：FIN7，Clop，勒索软件

三星发布紧急补丁修复Android漏洞，保护用户免受黑客攻击

Tag：三星，漏洞

伊朗黑客 Agrius 使用 Moneybird 勒索软件攻击以色列组织