西班牙银行 Globalcaja 遭到勒索软件攻击，数据发生泄露

  Tag：Globalcaja，西班牙银行，勒索软件攻击，数据泄露

事件概述：

西班牙银行Globalcaja最近遭遇了一次勒索软件攻击，该银行在西班牙拥有300多个办事处，为近50万人提供各种银行服务，管理着超过46亿美元的消费贷款。据报道，攻击者窃取了个人机密数据、客户和员工文件、护照、合同等信息，但具体泄露的数据量尚不清楚。Globalcaja 表示，该攻击并未影响实体交易，但已导致多个当地办事处的计算机受到勒索软件的攻击。为此，该银行已激活了为此目的创建的安全协议，并暂时限制了部分操作的性能。目前，该银行正在努力恢复正常，并对造成的任何不便表示歉意。

值得注意的是，西班牙的金融机构长期以来一直是黑客的目标。今年以来，该国已经处理了多起勒索软件事件，其中一次攻击导致巴塞罗那的一家医院瘫痪，另一次则导致一家西班牙游乐园公司倒闭。此外，据趋势科技公司称，Play 勒索软件团伙于2022年7月首次出现，其目标是拉丁美洲的政府实体，并最近因对奥克兰市的破坏性攻击而成为头条新闻。该组织还对马萨诸塞州的洛厄尔市和几家欧洲公司发动了攻击。因此，该事件提醒用户保持警惕，密切关注个人信息的安全，并采取必要的措施保护自己的数据安全。

来源：

https://www.malwarebytes.com/blog/news/2023/06/play-ransomware-gang-compromises-spanish-bank-threatens-to-leak-files

响尾蛇组织使用 DLL 劫持加载 Cobalt Strike 攻击巴基斯坦政府

  Tag：响尾蛇，网络间谍，巴基斯坦政府

事件概述：

响尾蛇组织（Sidewinder、APT-C-17、T-APT-04）是一个来自南亚地区的境外APT组织，一直活跃于网络间谍活动中，主要针对中国、巴基斯坦等亚洲国家，以窃取敏感信息为目的。该组织的攻击活动始于2012年，至今仍持续活跃。最近，他们针对巴基斯坦政府进行了攻击，主要目标是政府机构和军事单位。

在最新的攻击活动中，研究人员发现响尾蛇组织采用了钓鱼邮件的方式攻击政府单位。钓鱼邮件的附件名为"Adv-16-2023"，声称是关于巴基斯坦内阁部门发布的网络安全咨询16号文件。钓鱼文件中宣称通过微软Azure云安全保护来保护文档，诱使用户下载带有密码的压缩包文件。压缩包中包含一个恶意lnk文件，用于下载第二阶段HTA下载脚本。最终，该组织利用DLL侧加载劫持本地Onedrive客户端程序及其更新程序，以加载Cobalt Strike载荷。此外，用户机器中的Onedrive定时更新计划任务也被响尾蛇组织用作持久化计划任务。

与以往的攻击相比，这次的攻击过程更加简化，制作成本更低。巴基斯坦政府单位和相关机构需要加强网络安全防护，提高对钓鱼攻击的识别和应对能力，以确保敏感信息的安全。这一事件再次强调了网络安全的重要性，提醒各方保持警惕并加强安全措施，以应对类似的威胁。

来源：

https://mp.weixin.qq.com/s/MZadlpXbpCfQAv41rtVm3A

CISA 发布 ICS 公告：Delta 和三菱电机存在安全漏洞

  Tag：CISA，工业系统

事件概述：

CISA于2023年6月6日发布了两个工业控制系统（ICS）公告，涉及到台湾公司Delta和日本公司三菱电机。其中，Delta 的CNCSoft-B DOPSoft：v4.0.0.82之前的版本存在基于堆、栈的缓冲区溢出漏洞，攻击者可能会利用这些漏洞远程执行任意代码，对全球范围内的关键制造业系统构成威胁。而三菱电机的MELSEC iQ-R 系列/iQ-F 系列 EtherNet/IP 模块和 EtherNet/IP 配置工具存在弱密码要求、使用硬编码密码、缺少密码字段屏蔽、无限制上传危险类型文件等漏洞，未经身份验证的远程攻击者可能通过FTP连接到这些模块并绕过身份验证登录。

为减少这些漏洞被利用的风险，CISA建议用户采取防御措施。其中包括将所有控制系统设备和/或系统的网络曝光降至最低，并确保它们无法从互联网访问。在进行远程访问时，应使用安全的方法，如VPN，但同时要注意VPN也可能存在漏洞，因此应确保其为最新版本。在部署防御措施之前，建议进行适当的影响分析和风险评估。这些安全漏洞的存在再次强调了工业系统安全的重要性，并提醒相关组织采取必要的安全措施来保护工业控制系统免受潜在的攻击威胁。

来源：

https://www.cisa.gov/news-events/alerts/2023/06/06/cisa-releases-two-industrial-control-systems-advisories

银狐团伙再度升级，攻击手法更加激进

  Tag：银狐团伙，Golang，AES加密，dll劫持

事件概述：

微步OneSEC团队最近发现银狐团伙升级了他们的攻击手法，变得更加激进和隐蔽。他们现在利用WPS安装文件进行伪装，并通过互联网传播，诱使目标受害者进行下载。银狐团伙新增了三种攻击手法，专门针对杀软的弱点。首先，他们使用Golang编写了母体样本和第二阶段加载器，将执行前的数据隐藏在程序内部，并使用AES加密，使得杀软很难检测到它们的存在。其次，他们将恶意样本的执行文件伪装成C语言文件，绕过了杀软的实时防护功能。最后，恶意的dll文件会将主程序设置为计划任务，并将入口点修改为自定义的某个函数，从而改变了原本的被动加载方式，变为主动执行。

银狐团伙的攻击手法更加激进，表现出了极强的对抗意识。然而，从程序执行的角度来看，大多数恶意样本在内存中的活动都无法绕过加密和解密的过程。只需抓住这两个关键环节，仍然可以依靠专业的安全工具进行防范。微步OneSEC团队呼吁各个机构积极关注这一情况，并采取相应的防范措施。

来源：

https://mp.weixin.qq.com/s/aVrm6llWkS6PrimNghpyow

Kimsuky 组织假借“生日祝福”为诱饵分发 Quasar RAT 展开攻击

  Tag：Kimsuky，Quasar RAT

事件概述：

APT-C-55（Kimsuky）组织，也被称为Mystery Baby、Baby Coin、Smoke Screen、BabyShark、Cobra Venom等，最早由 Kaspersky 于2013年披露，该组织长期以来一直针对韩国的智囊团、政府外交、新闻组织、教育学术等机构进行攻击。近年来，他们扩大了攻击目标范围，包括美国、俄罗斯和欧洲在内的国家，主要目的是窃取敏感信息等。最近，该组织采用了一种通过“生日祝福”诱饵信息的CHM文件来实施攻击的方法。一旦用户执行了该文件，恶意命令将被用于加载远程的VBS脚本。然后，该VBS脚本将负责加载远程的PowerShell脚本。该PowerShell脚本经过quicklz算法压缩，需要解压缩后才能继续执行。解压缩后，通过Loader将QuasarRat加载到CasPol.exe进程空间中，并最终执行QuasarRat以获取用户信息。

Quasar RAT是一个开源的远程访问木马（RAT），使用.NET编写，主要针对Windows操作系统。它具有强大的远程控制功能，包括远程桌面访问、文件和系统管理、键盘记录、密码恢复和远程Shell命令等。由于其高度的隐蔽性和强大的功能，它成为攻击者经常使用的工具之一。为了保护系统安全，建议采取以下措施：及时更新系统和应用程序、安装强大的安全解决方案，并对网络流量进行监控。这样可以增强系统的防御能力，降低受到此类攻击的风险。

来源：

https://mp.weixin.qq.com/s/Sy09IsO_hL8fSPxvC6ZXjA

VMware产品被曝存在严重漏洞，允许远程执行代码

  Tag：VMware，漏洞

事件概述：

VMware Aria Operations for Networks（原名vRealize Network Insight）被曝存在一个严重的漏洞CVE-2023-20887，未经身份验证的攻击者可以利用该漏洞来远程执行任意代码。VMware Aria Operations for Networks是一款网络和应用监控工具，用于监测、发现和分析多云环境中的网络和应用，并构建优化、高可用和安全的网络基础设施。该漏洞的存在是因为该产品在处理用户输入时缺乏适当的验证机制，使得攻击者可以通过发送特制请求来触发命令注入漏洞，从而在目标系统上执行任意代码。此漏洞影响了VMware Aria Operations for Networks的6.0.x、6.1.x、6.2.x、6.3.x和6.4.x版本。

为了应对此漏洞，VMware已发布安全公告，并提供了相应的补丁和临时解决方案。VMware建议受影响的用户立即采取措施，升级到最新版本或采取其他必要的安全措施，以防止恶意利用该漏洞。通过及时升级或采取其他补救措施，用户可以有效消除漏洞带来的安全风险，确保系统的稳定性和安全性。

来源：

https://www.vmware.com/security/advisories/VMSA-2023-0012.html

---End---