南非国家莱索托中央银行遭网络攻击，支付系统瘫痪

  Tag：银行，支付系统，南非

事件概述：

据 媒体12月15日报道，南非国家 莱索托中央银行最近遭受网络攻击，导致多个系统严重受损。银行通过多次声明确认此事件，并正全力以赴进行系统恢复。作为被南非包围的山区内陆国家，莱索托拥有超过200万人口。尽管银行强调未遭财务损失，但为预防渗透，已采取措施暂停部分系统，可能导致支付延迟。

周三，莱索托中央银行与莱索托银行协会联合发布声明，指出国家支付系统持续中断，导致本地银行无法执行国内交易。技术团队正在努力解决问题，官员已一致同意采取业务连续性措施，促使支付和交易进行。声明未详细说明替代方案。由于莱索托的货币“洛蒂”与南非兰特挂钩，引发本地媒体对事件可能影响汇率的担忧。

另外，南非今年发生两起重要网络安全事件。六月份，南部发展银行遭勒索软件攻击；九月份，在约翰内斯堡举行的有争议金砖国家领导人峰会期间，南非国防部遭另一勒索软件团伙攻击，泄露国家总统个人信息和从国防系统窃取的1.6TB数据。

据最新的Zimperium报告显示，过去一年，全球有29个恶意软件家族攻击了1800个银行应用，较2022年呈急剧增加，这凸显了网络威胁不断升级的趋势。

https://therecord.media/central-bank-lesotho-cyberattack-causes-outages

Mustang Panda 的 PlugX 新变种针对（中国）台湾政府展开攻击

  Tag：APT，政府

事件概述：

 Lab52团队揭示了一场网络攻击，攻击者使用新型PlugX恶意软件变种瞄准中国台湾政府和外交官。这次攻击的诱饵使用台湾领导人选举的话题，特别是领导人候选人资格信息，吸引政治、外交和政府人物的兴趣。并且攻击者使用了高度相关的诱饵文件“郭台銘選擇賴佩霞為總統副手深層考量.pdf”，向特定受众传播恶意软件。感染链和工具与SmugX攻击有相似之处，归因于Red Delta和Mustang Panda。

技术手法：

攻击始于受害者计算机上的MSI文件部署，其中包含了合法的可执行文件（OneNotem.exe）、恶意DLL（msi.dll）和DAT文件（NoteLogger.dat）。攻击者通过DLL旁加载的方式，使得合法的可执行文件加载了恶意DLL，后者解密并将DAT文件加载到内存中，其中携带有PlugX恶意软件。进一步展开，攻击者将相关文件复制到目录“C:\UsersersuserAppData”，并在用户执行时将OneNotem.exe复制到特定文件夹。为了确保攻击的持久性，注册表项得到相应添加。此后，恶意DLL通过侧加载技术，与合法的执行文件形成关联，触发DLL调用，加载NoteLogger.dat文件。通过RC4算法，攻击者解密NoteLogger.dat文件中的PlugX变种。随后，攻击者利用已解密的PlugX变种创建了进程OneNotem.exe，该进程与C2服务器进行通信。

https://lab52.io/blog/mustang-pandas-plugx-new-variant-targetting-taiwanese-government-and-diplomats/

亲以色列黑客组织Predatory Sparrow 袭击伊朗，致使 70% 加油站瘫痪

  Tag：加油站，伊朗，以色列

事件概述：

据以色列时报的报道，一名名为“Predatory Sparrow”（“Gonjeshke Darande”）的亲以色列黑客组织被怀疑对伊朗各地的加油站进行了网络攻击。这次袭击发生在周一，波及伊朗各地的加油站，导致全国大约70%的燃油站服务中断。官方宣称这次袭击是由其他国家背景的黑客组织所发动。

“Predatory Sparrow”黑客组织宣称对这次攻击负责，并声称攻击经过精心计划、有序控制，以避免对紧急服务造成潜在危害。这并非该组织首次对伊朗实施网络攻击，此前曾瞄准伊朗国家媒体公司、国家铁路服务以及燃油站等展开攻击。

https://securityaffairs.com/156065/hacktivism/pro-israel-predatory-sparrow-iran-fuel-stations.html

伊朗威胁组织OilRig部署多个恶意下载程序展开攻击

  Tag：OilRig，APT，伊朗

事件概述：

近日，ESET研究人员发布报告披露 OilRig组织在 2022 年一系列活动中使用的一系列下载器，其中包括SampleCheck5000（SC5k v1-v3）、OilCheck、ODAgent和OilBooster。这些轻量级下载器利用合法的云服务API（Microsoft Graph OneDrive、Outlook APIs以及Microsoft Office Exchange Web Services）进行C&C通信和数据外泄。OilRig组织通过这些下载器在以色列的目标组织中保持访问权限，这些组织涵盖卫生保健、制造业、地方政府等领域。这些下载器使用OilRig运营的共享账户进行操作，与OilRig运营人员交换消息，并在多个受害者之间共享相同的账户。OilRig持续针对同一组织进行网络攻击，展现出对网络的持久性。

技术手法：

OilRig组织使用一系列下载器，包括SC5k v1-v3、OilCheck、ODAgent和OilBooster，这些下载器采用类似的逻辑。它们通过与OilRig运营人员共享的账户进行C&C通信，利用合法的云服务API与目标组织保持联系。这些下载器使用共享账户下载运营人员的命令和额外的有效载荷，并上传命令输出和分阶段的文件。SC5k v1-v3通过Microsoft Office Exchange Web Services（EWS）API进行C&C通信，而OilCheck、ODAgent和OilBooster则使用Microsoft Graph OneDrive和Outlook APIs。这些下载器通过不同的机制来区分来自运营人员和恶意实例的消息，以及命令和有效载荷的处理方式。OilRig组织在云服务的使用上表现出不断演进的趋势，以更好地隐藏其恶意通信，同时尝试使用不同的替代协议。

https://www.welivesecurity.com/en/eset-research/oilrig-persistent-attacks-cloud-service-powered-downloaders/

2023年度移动银行木马报告：29 个恶意软件瞄准 1800 个银行应用程序展开攻击

  Tag：银行木马

事件概述：

近日，移动安全平台Zimperium发布的年度移动银行木马报告显示，2023年度全球范围内29个恶意软件家族针对61个国家的1,800个银行应用展开攻击，较去年的600个应用、10个家族有着显著增长。这些银行木马通过不断演进，成功地绕过移动设备的安全措施，成为持久存在的威胁。美国银行是威胁最严重的目标，有109家银行受到攻击，远超英国（48家）和意大利（44家）。报告还指出，木马已不再仅限于传统银行应用，还针对加密货币、社交媒体和通讯应用展开攻击。

关键发现：

1. 传统银行应用仍是主要目标，占攻击目标的61%，共1,103个应用，而新兴的金融科技和交易应用占39%。

2. Hook、Godfather和Teabot是最主要的银行木马家族，攻击银行数量最多。

3. 19个去年报告中的木马家族升级加入新功能，2023年发现10个新的威胁家族。

4. 新功能包括自动转账系统（ATS）、电话攻击交付（TOAD）、屏幕共享和恶意软件即服务（MaaS）等，增强了攻击威力。

  Tag：金蝶，远程代码执行漏洞

事件概述：

金蝶软件发布的企业级Java应用服务器，金蝶Apusic应用服务器，近期被微步漏洞团队发现存在远程代码执行漏洞。该漏洞影响V9.0 SP7及以下版本，攻击者可绕过权限控制，远程执行恶意代码，存在潜在的敏感数据泄露和勒索风险。微步评估漏洞危害为高危，已捕获相关攻击行为。漏洞修复处理说明已于12月7日发布，推荐用户尽快升级至最新的V9.0 SP8版本。

漏洞影响范围覆盖千级用户，修复方案包括官方发布的修复方案和临时修复方案。官方修复方案已在V9.0 SP8版本中实施，用户可通过官方链接查看详细信息。为了临时避免潜在威胁，建议使用防护设备监控特定恶意请求、限制互联网访问，暂停管理控制台并移除相关文件。

https://mp.weixin.qq.com/s/TcxVb45D7BPiX0bgseXLdA

---End---