威胁情报周报(11.4~11.10)
2024-11-10 22:9:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

朝鲜相关威胁行为者针对加密货币企业的多阶段恶意软件攻击

  Tag:BlueNoroff, RustBucket, KANDYKORN

事件概述:

一家与朝鲜有关的威胁行为者被观察到针对加密货币相关企业,使用能够感染苹果macOS设备的多阶段恶意软件。SentinelOne公司将此活动命名为“隐藏风险”,并将其与BlueNoroff组织联系起来。该组织曾与RustBucket、KANDYKORN等恶意软件家族有关。攻击通过伪装成PDF文件的恶意应用程序传播虚假加密货币新闻,目标是去中心化金融和加密货币行业的员工。该恶意软件利用Swift编写,并通过伪造的PDF文件进行传播,使用zshenv配置文件作为持久性机制,绕过macOS的用户通知。攻击者还使用Namecheap等域名注册商建立与加密货币相关的基础设施。

该攻击活动展示了朝鲜威胁行为者的创新性和适应性,尤其是在获取或劫持有效的苹果开发者账户方面。恶意软件使用Swift编写,并通过伪造的PDF文件进行传播,首次在野外使用zshenv配置文件作为持久性机制,绕过macOS的用户通知。值得注意的是,攻击链与之前的活动有一定的重叠,表现出朝鲜网络攻击者的创造性和对其活动报告的敏感性。该活动还涉及使用社交工程手段,通过电子邮件钓鱼攻击加密货币行业,展示了朝鲜威胁行为者不断演变的策略。

来源:

https://thehackernews.com/2024/11/north-korean-hackers-target-crypto.html

黑客利用Telegram分发恶意软件攻击乌克兰军方

  Tag:Telegram的安全漏洞, 恶意软件

事件概述:

根据Google威胁情报小组的最新发现,俄罗斯黑客正在利用Telegram的安全漏洞和用户友好的文件分享功能,通过恶意软件攻击乌克兰军方。黑客通过一个名为“@civildefense_com_ua”的Telegram频道和一个名为“civildefense[.]com.ua”的网站进行操作。这些操作伪装成提供软件以追踪乌克兰军事招募者的服务,实际上分发针对Windows和Android设备的恶意软件。该操作通过在合法的乌克兰Telegram频道中推广帖子进行传播,包括一个拥有80,000+订阅者的导弹警报频道,并至少持续活动推广至2024年10月8日。   

UNC5812的操作表现出其技术精湛,其多阶段恶意软件分发系统包括社会工程战术,说服用户禁用安全功能并授予广泛的权限。对于Windows用户,操作部署了Pronsis Loader,这是一个用PHP编写并使用JPHP编译成Java虚拟机字节码的下载器,然后安装了两种恶意软件变体:SUNSPINNER(一个诱饵映射应用程序)和PURESTEALER(一个信息窃取恶意软件)。Android用户则被CRAXSRAT,一种商业后门恶意软件所瞄准,该恶意软件要求用户禁用Google Play Protect以进行安装。对于Windows系统,攻击从CivilDefense.exe(MD5: 7ef871a86d076dac67c2036d1bb24c39)开始,使用“Pronsis Loader”分发SUNSPINNER和一个名为“civildefensestarter.exe”的二级下载器。PURESTEALER(MD5: b3cf993d918c2c61c7138b4b8a98b6bf)是一个商业.NET-based信息窃取器,可以收集“浏览器凭证”、“加密货币钱包”和“消息应用数据”。Android攻击向量分发CivilDefensse.apk(MD5: 31cdae71f21e1fad7581b5f305a9d185),其中包含CRAXSRAT,这是一种商业Android后门,能够进行“文件操作”、“SMS拦截”、“凭证盗取”和“全面设备监控”。

来源:

https://cybersecuritynews.com/russian-hackers-attacking-ukraine-military/

黑客组织Hellcat声称入侵施耐德电气,窃取敏感数据

  Tag:Hellcat, Jira

事件概述:

黑客组织Hellcat声称已从法国工业公司施耐德电气窃取敏感数据,并要求支付12.5万美元赎金。黑客宣称入侵了该公司的Jira问题跟踪系统,获取了包括项目、问题和插件在内的关键数据,以及超过40GB的压缩用户数据。施耐德电气已启动调查,但尚未正式承认数据被盗。Hellcat威胁称,如果施耐德电气不支付赎金,将公开这些数据。此外,黑客在社交媒体上发布了他们入侵Jira系统的证据。目前,施耐德电气的全球事件响应团队已被动员应对此次事件。这是该公司在两年内遭遇的第三次数据泄露事件。 

此次事件强调了多因素认证和威胁情报共享的重要性。Hellcat黑客组织通过施耐德电气的Jira系统获取了大量敏感数据,表明企业在使用第三方工具时需要加强安全措施。自动化安全措施可以帮助企业更快地检测和响应入侵事件。此外,施耐德电气在事件发生后迅速动员全球事件响应团队,显示出事件响应能力的重要性。企业应定期进行安全审计和漏洞扫描,以防止类似事件的发生。

来源:

https://www.theregister.com/2024/11/05/schneider_electric_cybersecurity_incident/

著名黑客组织Medusa对Lakesight Technologies发起网络攻击

  Tag:网络安全漏洞, 黑客组织Medusa

事件概述:

近期,著名黑客组织Medusa对Lakesight Technologies发起了一次网络攻击,引发了对网络安全漏洞的关注。Lakesight Technologies是一家专门从事机器视觉解决方案的公司,为工业应用提供先进的成像系统和技术。目前,泄露数据的规模尚未知晓。为了保护企业免受未来的攻击,可以探索如仿冒模拟、意识培训、数据泄露监控和钓鱼检测等解决方案。同时,也可以使用我们的数据泄露检查器检查数据是否已经暴露。

本次网络攻击再次提醒我们,网络安全的重要性不容忽视。为了防范未来的攻击,企业可以考虑采用如仿冒模拟、意识培训、数据泄露监控和钓鱼检测等解决方案。仿冒模拟可以帮助企业了解员工对网络钓鱼攻击的认知程度,通过模拟攻击,让员工了解到网络攻击的严重性,提高防范意识;意识培训则可以提高员工对网络安全的认知,增强防范能力;数据泄露监控可以实时监控企业数据是否有泄露风险,及时发现并处理问题;钓鱼检测则可以帮助企业及时发现并阻止钓鱼攻击。同时,企业还可以使用数据泄露检查器,检查自身数据是否已经暴露,及时采取应对措施。

来源:

https://www.hookphish.com/blog/ransomware-group-medusa-hits-lakesighttechnologies-com/

美国司法部联手国际执法合作伙伴打击RedLine和META信息窃取恶意软件

  Tag:Operation Magnus, 恶意软件即服务(MaaS)

事件概述:

美国司法部与荷兰、比利时、欧洲司法合作单位(Eurojust)以及其他全球机构合作,启动了一项名为“Operation Magnus”的大规模行动,旨在摧毁支持RedLine和META信息窃取恶意软件的基础设施。这两种恶意软件是全球最活跃的信息窃取恶意软件,负责窃取全球数百万受害者的敏感数据。此次联合行动通过欧洲刑警组织的联合网络犯罪行动特别小组(JCAT)协调,涉及查封恶意软件操作员使用的域名、服务器和Telegram账户。

RedLine和META恶意软件是真正的威胁。它们使恶意行为者能够从受感染的计算机中收集关键信息,包括用户名、密码、财务数据、系统信息和加密货币凭证。这些被窃取的数据通常在地下论坛上出售,并用于其他网络攻击,允许恶意者通过窃取身份验证cookie和其他系统数据来绕过多因素认证(MFA)保护。RedLine和META以恶意软件即服务(MaaS)的形式运作,其中联盟成员购买对恶意软件的访问权限,并通过各种方式部署它,包括恶意广告、网络钓鱼和欺诈性软件下载。这些策略使全球数百万设备受到威胁,使RedLine成为迄今最臭名昭著的恶意软件之一。调查工作使执法部门能够检索通过这些恶意工具窃取的大量数据,尽管官员们认为,被妨害的信息的完整范围仍在调查之中。美国司法部还对Maxim Rudometov提出了指控,他被认定为RedLine信息窃取者的开发者和管理员。Rudometov面临访问设备欺诈、阴谋犯计算机入侵和洗钱的指控。如果被判有罪,他可能面临长达35年的监禁。FBI的奥斯汀网络特别小组正在与包括海军刑事调查服务、IRS刑事调查、国防刑事调查服务和陆军刑事调查部门在内的机构合作调查此案。

来源:

https://informationsecuritybuzz.com/us-join-crackdown-redline-infostealers/

微软威胁情报揭露俄罗斯威胁行动者Midnight Blizzard的新攻击活动

  Tag:Midnight Blizzard, RDP连接

事件概述:

微软威胁情报中心发现,俄罗斯威胁行动者Midnight Blizzard发起了一场新的攻击活动,目标包括高等教育、防务、非政府组织和政府机构的数千名用户,影响了数十个国家,尤其是英国、欧洲、澳大利亚和日本。攻击者使用针对性极强的电子邮件进行社会工程诱饵,邮件中包含RDP配置文件,一旦用户打开文件,就会建立到攻击者控制的系统的RDP连接,从而可能威胁到目标系统的安全。此外,该威胁行动者还被观察到部署了名为MagicWeb的恶意DLL,以保持持久性并窃取信息。

在这次Midnight Blizzard的攻击活动中,攻击者利用了社会工程的诱饵,通过电子邮件发送RDP配置文件,一旦用户打开这个文件,就会建立到攻击者控制的系统的RDP连接。这种连接不仅可以收集目标系统的信息,如文件和文件夹、连接的网络驱动器、外设(包括打印机、麦克风和智能卡)等,还可以收集剪贴板数据、Windows Hello的网络认证、密码和安全密钥,甚至销售点设备。这种连接还可能允许威胁行动者在目标系统或映射的网络共享上安装恶意软件。为了防范这种威胁,可以采取以下措施:禁止或限制向外部或公共网络的RDP连接;在电子邮件客户端或网络邮件中阻止RDP文件;阻止用户执行RDP文件;在可能的地方启用多因素认证;部署抗钓鱼认证方法,如使用FIDO令牌,不应使用可能被SIM劫持攻击绕过的基于SMS的多因素认证;实施条件访问认证强度,要求抗钓鱼认证;部署端点检测和响应(EDR)以检测和阻止可疑活动,组织还应考虑部署抗钓鱼和防病毒解决方案以帮助检测和阻止威胁。

来源:

https://www.techrepublic.com/article/midnight-blizzard-spearphishing-us-officials/

SonicWall网络访问解决方案存在严重漏洞,被勒索软件大量利用

  Tag:SonicWall SSL VPN, CVE-2024-40766

事件概述:

SonicWall的SonicOS网络访问解决方案、SSLVPN以及管理访问存在一个关键的访问控制漏洞,该漏洞正在被勒索软件联盟大量利用,以侵入受害者的网络。北极狼研究人员观察到,这个虚拟专用网络(VPN)访问控制漏洞,被标记为CVE-2024-40766,其CVSS评级为9.3/10,已经被Fog和Akira勒索软件联盟积极利用。研究人员在报告中表示,他们观察到至少有30次入侵涉及各种行业,每次入侵都涉及到SonicWall SSL VPN在网络攻击链中的早期阶段。    

SonicWall的SonicOS网络访问解决方案、SSLVPN和管理访问存在一个严重的访问控制漏洞,使得网络攻击者可以利用这个漏洞侵入受害者的网络。这个漏洞被标记为CVE-2024-40766,其CVSS评级为9.3/10,表明其严重性极高。Fog和Akira两个勒索软件联盟已经积极利用这个漏洞进行网络攻击。在网络攻击链中,SonicWall SSL VPN通常在早期阶段就被利用,这使得攻击者可以在早期阶段就获取到受害者网络的访问权限,从而进行后续的攻击活动。这个事件再次强调了网络安全中访问控制的重要性,以及及时修补已知漏洞的必要性。

来源:

https://www.csoonline.com/article/3592294/patched-sonicwall-critical-vulnerability-still-used-in-several-ransomware-attacks.html

2024年印度遭受大规模勒索软件攻击,网络安全风险增加

  Tag:网络安全威胁, Trend Micro 公司

事件概述:

据 Trend Micro 公司最近发布的《2024年中期网络安全威胁报告》显示,印度的网络安全风险正在加剧。报告强调,印度正日益成为复杂网络攻击的主要目标,包括电子邮件威胁、勒索软件和恶意软件。随着印度的数字基础设施在银行、政府和制造业等关键领域迅速扩展,印度现在处于全球网络安全挑战的前沿。报告的发现揭示了组织加强防御以抵御不断演变的网络威胁的紧迫需要。

报告显示,印度在全球恶意软件检测中排名第三,占所有检测威胁的4.7%。在亚洲,印度排名第二,占恶意软件案件的9.95%,在南亚占比达到惊人的94.2%,这突显了该区域在这方面的脆弱性。此外,印度在全球勒索软件方面排名第十,在亚洲排名第六,2024年检测到117,200起勒索软件威胁,占全球和亚洲勒索软件事件的2.95%和4.97%。在南亚,印度以73.8%的勒索软件案件领先,使其成为主要的目标。此外,印度正面临电子邮件攻击的激增,全球排名第二,仅次于美国,在亚洲处于领先地位。在全球1018亿起电子邮件威胁中,印度占比高达8.3%,相当于8417万威胁。在南亚,印度占电子邮件事件的92.27%,这强调了组织需要优先考虑强大的电子邮件安全解决方案,以抵御这一日益增长的威胁。  

来源:

https://ciso.economictimes.indiatimes.com/news/cybercrime-fraud/india-among-top-targets-for-ransomware-malware-attacks/114449479?utm_source=Mailer&utm_medium=&utm_campaign=&dt=2024-10-27

加密货币领域钓鱼攻击威胁持续,交易所加强安全防护

  Tag:钓鱼攻击, 两因素身份验证(2FA)

事件概述:

钓鱼攻击在加密货币领域仍是最常见的威胁之一,其手段不断演变。包括电子邮件钓鱼、克隆钓鱼和鱼叉式钓鱼等方式。许多顶级加密货币交易所已实施强大的安全功能以保护用户免受此类攻击。例如,WhiteBIT提供反钓鱼代码和两因素身份验证(2FA),Bybit也强调使用2FA,而Coinbase则整合了安全警报和先进的加密系统。2024年,钓鱼攻击激增,Keeper Security的研究突显了网络攻击的增长。交易所如WhiteBIT、Bybit和Coinbase已通过升级他们的安全协议做出回应,但用户保持警惕至关重要。

电子邮件钓鱼是黑客模仿可信赖的加密货币交易所发送电子邮件,往往包含旨在窃取登录凭据的恶意链接。克隆钓鱼是攻击者克隆合法网站或应用程序,欺骗用户输入他们的登录详细信息,从而使黑客能够访问他们的帐户。鱼叉式钓鱼是针对性的攻击,黑客发送个性化的消息以说服个人分享敏感信息。许多顶级加密货币交易所已实施强大的安全功能以保护用户免受此类攻击。例如,WhiteBIT提供反钓鱼代码和两因素身份验证(2FA),Bybit也强调使用2FA,而Coinbase则整合了安全警报和先进的加密系统。

来源:

https://dev.to/korofetova_mila/understanding-phishing-types-and-how-to-stay-safe-on-crypto-exchanges-3j32

黑客组织BlackBasta对celo.com发起攻击,导致250GB数据泄露

  Tag:黑客组织BlackBasta, 网络安全漏洞

事件概述:

近日,知名黑客组织BlackBasta对国际公司CELO发起了一次网络攻击,引发了对网络安全漏洞的关注。CELO是一家专业设计、制造和分发高质量技术螺丝和紧固解决方案的公司。此次攻击导致250GB的数据泄露。为防止未来的攻击,我们建议探索如钓鱼模拟、意识培训、数据泄露监控和钓鱼检测等解决方案。同时,您也可以使用我们的数据泄露检查器检查您的数据是否已被暴露。

本次网络攻击再次提醒我们,网络安全防护的重要性。企业应重视并加强网络安全防护,探索和应用如钓鱼模拟、意识培训、数据泄露监控和钓鱼检测等解决方案,以防止未来的攻击。同时,我们也提醒个人用户,要定期使用数据泄露检查器检查自己的数据是否已被暴露,一旦发现数据泄露,应立即采取措施,如修改密码、启用多因素认证等,以保护自己的信息安全。此外,我们也呼吁,任何人都不应参与到数据的非法获取、下载、查看、转发和公开等行为中,任何关于内容的法律问题,应直接指向攻击者,而不是第三方。

来源:

https://www.hookphish.com/blog/ransomware-group-blackbasta-hits-celo-com/

- END -


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247507376&idx=1&sn=253c4652c140da0966427c578c4e75a4&chksm=cfcabea4f8bd37b24e2ab6ca8ae8636fb12db411a4e3f6e7d1b2653b66f374594acb490f87c7&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh