威胁情报周报(11.11~11.17)
2024-11-17 22:5:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

银行业面临的威胁:AI助力的网络钓鱼和社交工程攻击

  Tag:网络钓鱼, 社交工程攻击

事件概述:

银行业持续面临着不断演变的威胁和技术进步,这些都对金融机构及其客户的安全构成威胁。网络钓鱼和社交工程是重大的ATO(账户接管)威胁,近半数的与ATO相关的金融损失都归因于这些以人为中心的攻击。现在,生成性AI使欺诈者能够大规模发起复杂的网络钓鱼和社交工程攻击,使这些威胁更加普遍和破坏性。我们的白皮书(需要链接账户 – 注册免费)将探讨网络钓鱼和社交工程的区别,研究生成性AI对ATO威胁的影响,并发现防止网络钓鱼和社交工程攻击的有效策略。

本文主要探讨了网络钓鱼和社交工程攻击在银行业的影响,以及生成性AI如何使这些威胁更加严重。网络钓鱼和社交工程攻击是ATO(账户接管)威胁的主要来源,近半数的ATO相关金融损失都由此引起。生成性AI的出现,使得这些攻击可以大规模、更复杂地进行,进一步增加了这些威胁的普遍性和破坏性。为了应对这些威胁,金融机构需要采取有效的策略来防止网络钓鱼和社交工程攻击。这些策略包括但不限于:提高员工和客户的安全意识,定期进行安全培训,使用多因素认证,以及分享威胁情报等。

来源:

https://www.scworld.com/resource/navigating-the-account-takeover-threat-landscape

俄罗斯勒索软件团伙攻击美国哥伦布市,泄露大量敏感信息

  Tag:Rhysida, 攻击面管理(ASM)

事件概述:

俄罗斯勒索软件团伙Rhysida近日对美国俄亥俄州哥伦布市发起大规模网络攻击,导致超过50万居民的敏感信息被泄露。被盗数据包括姓名、地址、社会保障号码和银行账户详情等。Rhysida团伙要求支付30比特币(约190万美元)的赎金,否则将泄露或拍卖数据。尽管哥伦布市官员试图通过断开网络来阻止攻击,但后来发现大量数据已被盗走并在暗网上流通。此次攻击突显出公共部门在网络安全方面的紧迫性,对个人和企业造成了重大影响。

Rhysida团伙的典型作案手法是渗透网络防御,窃取敏感数据,然后威胁泄露或拍卖数据,除非支付赎金。在哥伦布市的案例中,尽管官员们最初声称已通过切断网络来控制数据泄露,但很快就有证据表明,被盗信息已经被上传到了暗网。为了防止此类攻击,企业应采取主动的网络安全策略来保护他们的运营和客户数据。这包括强化IT基础设施,进行定期的安全审计和漏洞评估,实施数据加密和备份协议,培训员工,实施多因素认证(MFA),建立全面的事件响应计划等。此外,投资攻击面管理(ASM)软件也是一种有效的解决方案,ASM工具可以持续监控和评估组织的数字足迹,识别所有暴露资产的漏洞,以防止攻击者利用它们。

来源:

https://www.esecurityplanet.com/trends/columbus-ransomware-attack-exposes-ohio-residents-data/

Hellcat勒索软件团队攻击施耐德电气

  Tag:Hellcat勒索软件, Atlassian Jira

事件概述:

近期,一直鲜为人知的网络犯罪团队Hellcat勒索软件引起了人们的关注,该团队声称攻击了法国能源管理公司施耐德电气,并窃取了约60GB的数据,威胁如果不支付125,000美元的Baguettes加密货币赎金,将在暗网上公开40GB的数据。施耐德电气对此发表了正式声明,向其客户和合作伙伴道歉,并保证正在对此事进行调查,新的信息将会及时更新。尽管黑客坚称窃取的数据包含敏感信息,包括员工和合作伙伴的个人详细信息,但初步调查显示,他们的说法可能有所夸大。初步分析表明,问题数据已过时,对公司无用。然而,网络钓鱼攻击和身份盗窃的潜在风险仍然令人担忧,因为黑客可能仍然可以访问有价值的联系信息。

Hellcat勒索软件团队如何获得施耐德电气系统的访问权限尚不清楚。然而,网络犯罪论坛的讨论表明,攻击可能是通过侵犯Atlassian Jira开始的,这是许多公司使用的流行项目管理工具。这突显了广泛使用的企业工具中软件漏洞日益增长的风险。关于Hellcat勒索软件团队本身的信息并不多,但它已经与攻击多个行业的高知名度组织有关,包括政府、教育、能源和水务公用事业。这个团队也以使用双重勒索策略而闻名,他们不仅要求支付赎金以避免泄漏被盗数据,而且还威胁除非支付赎金,否则会公开更多文件。如果受害者是一家大型跨国公司,该团队可能还会泄露一部分被盗数据作为其能力的示范。随着网络攻击的复杂性不断增加,全球各地的企业必须保持警惕,并投资强大的网络安全措施,以保护自己免受Hellcat勒索软件等新兴威胁的侵害。

来源:

https://www.cybersecurity-insiders.com/schneider-electric-ransomware-attack-to-cost-125k-and-more-in-baguettes/

GuLoader恶意软件针对欧洲工业和工程公司的最新攻击

  Tag:GuLoader, VirtualAlloc

事件概述:

Cado安全实验室最近发现一个针对欧洲工业和工程公司的GuLoader攻击活动。GuLoader是一种用于传递远程访问木马(RAT)的逃避性shellcode下载器,自2019年以来一直被威胁行为者使用,并且仍在不断进化。攻击者通过电子邮件进行网络钓鱼,目标包括罗马尼亚、波兰、德国和哈萨克斯坦的电子制造、工程和工业公司。邮件通常包含订单查询,并附带归档文件附件(iso,7z,gzip,rar)。邮件通常会劫持现有的电子邮件线程或请求有关订单的信息。

GuLoader的第一阶段是一个批处理文件,该文件在电子邮件附件的存档中被压缩。该批处理文件包含一个混淆的Powershell脚本,这是为了规避检测。该混淆脚本包含通过函数“Boendes”解混淆的字符串,该函数包含一个for循环,取每个第五个字符,其余字符都是垃圾。解混淆后,脚本的功能更加清晰。这些值可以通过调试脚本获取,但使用脚本1进行解混淆,可以更容易地进行静态分析。Powershell脚本包含用于调用提供的表达式的函数“Aromastofs”。从“https://careerfinder[.]ro”下载一个次要文件,并保存为用户的AppData/Roaming文件夹中的“Knighting.Pro”。从“Kighting.Pro”检索的内容从Base64解码,转换为ASCII,并从位置324537选择,长度为29555。这被存储为“$Nongalactic”,并包含更多的Powershell。第二个Powershell脚本包含通过VirtualAlloc分配内存并执行shellcode的功能。VirtualAlloc是一个原生Windows API函数,允许程序在指定的进程中分配、预留或提交内存。威胁行为者通常使用VirtualAlloc来为恶意代码执行分配内存,使安全解决方案更难检测或阻止代码注入。

来源:

https://www.cadosecurity.com/blog/guloader-targeting-european-industrial-companies

俄罗斯威胁行为者UNC5812针对乌克兰军事招募活动发起恶意软件攻击

  Tag:UNC5812, SUNSPINNER

事件概述:

研究人员发现,与俄罗斯有关的威胁行为者UNC5812,利用名为“民防”的Telegram账号,分发伪装成乌克兰招募软件的Windows和Android恶意软件。这些恶意应用程序在安装后,会悄无声息地部署更多恶意软件,包括SUNSPINNER,并进行影响操作以破坏乌克兰的动员工作。UNC5812威胁行为者于2024年9月通过创建Telegram频道和网站来发起针对乌克兰军事招募的恶意软件活动。UNC5812可能购买了乌克兰合法Telegram频道的推广帖子以吸引受害者。

UNC5812小组部署了一场复杂的网络钓鱼活动,诱使受害者访问被破坏的“民防”网站,这是通往各种恶意软件有效载荷的入口。针对Windows用户的是Pronsis Loader,这是一个基于PHP的下载器,利用JVM字节码来传递SUNSPINNER和PURESTEALER。针对Android用户的是一个修改过的CRAXSRAT后门,有时会捆绑SUNSPINNER。虽然广告宣传支持macOS和iPhone,但在分析过程中只观察到Windows和Android的有效载荷。UNC5812利用其网站(civildefense.com.ua)为Windows和Android分别提供恶意软件链。两条链都部署了一个诱饵应用程序,SUNSPINNER,显示假的乌克兰军事招募人员的位置。Windows用户下载CivilDefense.exe(Pronsis Loader),它会检索SUNSPINNER和一个用于PURESTEALER的下载器,PURESTEALER是一个窃取凭证的信息窃取器。相比之下,Android用户下载CivilDefensse.apk(CraxsRAT变体),可能会显示一个“民防”启动屏幕或SUNSPINNER。Google已经识别并缓解了针对潜在的乌克兰军事招募的网络钓鱼活动。俄罗斯的威胁行为者UNC5812通过利用假的“民防”网站来分发Android间谍软件CRAXSRAT进行了这次活动。Google已经采取了保护用户的步骤,包括封锁恶意网站,更新Google Play Protect,并增强应用程序扫描基础设施,这突显了俄罗斯网络威胁日益复杂化,以及打击这些威胁所需的强大安全措施的重要性。

来源:

https://gbhackers.com/russian-malware-attack-telegram/

伊朗网络攻击组织Emennet Pasargad扩大攻击范围

  Tag:Emennet Pasargad, IP摄像头

事件概述:

伊朗网络攻击组织Emennet Pasargad(又名Cotton Sandstorm)已经扩大了其攻击范围,不仅针对以色列和美国,还开始攻击新的IT资产,如IP摄像头。美国司法部和财政部以及以色列国家网络总监部门(INCD)在上周发表的一份公告中指出,该组织已经改变了策略,通过作为合法公司Aria Sepehr Ayandehsazan(ASA)的方式,为中东威胁组织提供资源和基础设施服务。自今年年初以来,Emennet Pasargad已经开始扫描IP摄像头,针对法国和瑞典的组织,积极探测各种选举网站和系统。

Emennet Pasargad经常通过假冒合法的IT服务公司ASA来操作,作为访问大型语言模型(LLM)服务的前线,并扫描和收集IP摄像头的数据。这个组织已经“使用了几个掩护托管提供商进行基础设施管理和混淆”,联合网络安全咨询补充道。这种使用掩护组织来隐藏操作并使其看起来合法的做法是伊朗威胁行动者的常见手段。例如,Charming Kitten或APT35在两家公司Najee Technology和Afkar System的掩护下进行侦察和攻击,这两家公司在2022年被美国财政部制裁。这也给了这些组织使用商业服务作为他们基础设施的一部分并隐藏他们的活动的能力。Trellix的Fokker表示,威胁行动者必须获取资源、软件和托管服务来进行他们的非法活动。拥有一个“合法”的前线公司将使其更容易获取这些服务,并可以作为额外的后备支持,提供一个合理的否认。

来源:

https://www.darkreading.com/vulnerabilities-threats/iranian-group-targets-ip-cameras-extends-attacks-beyond-israel

黑客利用Microsoft SharePoint高危远程代码执行漏洞攻击企业网络

  Tag:Microsoft SharePoint, 美国网络安全和基础设施安全局

事件概述:

据BleepingComputer报道,威胁行动者利用Microsoft SharePoint的一个高危远程代码执行漏洞(CVE-2024-38094),在未被检测的情况下,成功入侵了整个企业网络域,并持续了两周。该漏洞最近被添加到美国网络安全和基础设施安全局已知被利用漏洞目录中。攻击者首先通过该漏洞入侵目标SharePoint服务器,然后利用这个漏洞攻击了具有高权限的Microsoft Exchange服务账户,部署了Huorong Antivirus,并安装了Impacket,从而关闭了合法的防窫软件系统并进行了横向移动。

根据Rapid7的分析,除了使用Mimikatz和FRP进行凭证妥协和远程访问外,攻击者还部署了其他网络扫描工具,进行了ADFS证书生成,暴力破解了Active Directory票据,并通过定时任务确保了持久性,同时关闭了Windows Defender和受影响系统的日志,以隐藏恶意活动。研究人员表示,他们并未观察到攻击过程中进行了任何数据加密。这个案例再次强调了多因素认证、威胁情报共享和自动化安全措施的重要性。尤其是对于具有高权限的服务账户,一定要进行严格的安全管理和监控,以防止被攻击者利用。同时,企业也需要定期检查和更新系统,及时修复已知的安全漏洞,以减少被攻击的风险。

来源:

https://www.scworld.com/brief/corporate-network-compromised-via-microsoft-sharepoint-rce-exploit

Black Basta勒索软件利用Microsoft Teams进行攻击

  Tag:Black Basta, Cobalt Strike

事件概述:

自2022年4月以来,黑色巴斯塔(Black Basta)勒索软件服务提供商一直在运营,被认为是由前Conti和REvil勒索软件组成员组成。该团队以其精准的目标选择和多样化的攻击策略而闻名,已经对500多个组织进行了攻击。他们的攻击手段包括利用网络钓鱼策略、内部信息和初始访问经纪人(IAB)获取目标网络的初始访问权限,并使用双重勒索策略,即加密受害者数据并威胁公开敏感信息。最近,他们在勒索软件攻击中使用微软团队,通过模仿IT工作人员的方式,让目标安装远程访问软件,然后下载恶意负载。

黑色巴斯塔在其勒索软件攻击中使用Microsoft Teams,这实际上是对他们在2024年4月以来的一项现有活动的演变。攻击链的基本步骤是订阅目标用户的电子邮件,以便接收大量的垃圾邮件。然后,威胁行为者会冒充IT工作人员,呼叫目标,让他们安装远程访问软件以解决垃圾邮件问题。此时,威胁行为者可以通过远程访问软件连接到命令和控制服务器,并下载恶意负载。最近的改变是,威胁行为者现在通过Microsoft Teams的聊天功能而不是电话联系目标。他们会使用显示名称为“帮助台”的外部账户联系目标,确保目标用户相信他们正在与合法的支持人员打交道。此外,威胁行为者还被观察到在聊天中发送QR码,这些QR码通常会导向恶意网站。无论联系方式如何,攻击的目标都是在目标设备上安装恶意负载,如Cobalt Strike,这将允许威胁行为者完全访问现在已经被破坏的设备,并进一步进入网络。防范这种攻击的首要步骤是禁用微软团队等应用程序的外部通信,并在必要时将适当的个人或域添加到白名单。此外,还需要探索和使用这些应用程序的日志选项,以便更容易发现可疑活动。

来源:

https://redskyalliance.org/xindustry/know-your-help-desk?context=tag-teams

微软必应搜索引擎被滥用,钓鱼攻击盗取银行凭证

  Tag:钓鱼攻击, 多因素认证

事件概述:

近日,安全研究人员发现一种新的钓鱼攻击方式,通过微软的搜索引擎,必应(Bing)对消费者进行攻击,盗取他们的银行登录凭证。研究人员在11月29日首次注意到这种来自必应搜索引擎的钓鱼攻击,目标是Keybank的客户。攻击者使用的域名是ixx-kexxx[.]com,该域名于10月15日注册,仅两周的时间就已经在搜索结果中排名超过了ibx.key.com(真正的网站),这让人怀疑攻击者正在滥用必应的搜索算法。该钓鱼网站使用了官方的品牌形象,并且是KeyBank的登录门户。一旦受害者输入他们的用户ID和密码,犯罪分子将立即收到数据。

这种钓鱼攻击的方式是,当用户点击链接时,他们会被重定向到一个友好且有帮助的网站,然后再次被重定向到实际的钓鱼页面。这种技术相当常见,我们在广告欺诈中也看到了类似的例子。这种方法的目的是创建看起来真实的内容,如博客,但带有恶意意图(盈利或其他)。另外,攻击者还绕过了多因素认证。在某些钓鱼活动中,当新的受害者试图在他们的欺诈页面上登录时,犯罪分子会实时收到通知。我们还注意到,钓鱼页面在第一屏后,出现了一条声称互联网连接状况不佳的消息。这是对后台发生的事情的伪装:犯罪分子需要首先跨越一些障碍。他们需要从受害者的同一位置登录(他们的假网站会给他们提供IP地址,他们可以使用代理),并且他们可能需要通过多因素认证。有时,最简单的做法就是直接请求它。

来源:

https://www.malwarebytes.com/blog/scams/2024/11/crooks-bank-on-microsofts-search-engine-to-phish-customers

臭名昭著的Ransomhub发起最新网络攻击,引发对网络安全漏洞的担忧

  Tag:Ransomhub, 多因素身份验证

事件概述:

近日,臭名昭著的Ransomhub在一次网络攻击中,对FDC集团发动攻击,引发了对网络安全漏洞的担忧。FDC集团是一个快速增长的,提供会计、金融咨询、税务和审计服务的多学科专业服务提供商。此次泄露的数据量达到10GB。为了防止未来的攻击,建议探索如网络钓鱼模拟、意识培训、数据泄露监控和网络钓鱼检测等解决方案。同时,可以使用我们的数据泄露检查器检查您的数据是否已经被暴露。

本次攻击事件再次强调了多因素身份验证、威胁情报共享和自动化安全措施的重要性。首先,多因素身份验证可以大大降低网络攻击的可能性,因为攻击者需要获取更多的信息才能进行攻击。其次,威胁情报共享可以帮助企业及时了解最新的威胁,从而采取相应的防护措施。最后,自动化的安全措施可以在攻击发生时立即启动,防止数据泄露。此外,定期进行网络钓鱼模拟和意识培训,可以提高员工对网络安全的认识,降低网络攻击的风险。同时,数据泄露监控和网络钓鱼检测可以实时检测和预防数据泄露,保护企业的重要信息。

来源:

https://www.hookphish.com/blog/ransomware-group-ransomhub-hits-fdc-ie/

- END -


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247507404&idx=1&sn=9797c113eb8508388913895996727134&chksm=cfcabed8f8bd37cee739549aedb2eea840ad2f4fc2574b4dd700e53f2b44b25087510eb0f1f2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh