查看原文
其他

安全威胁情报周报(3.21~3.27)

微步情报局 微步在线研究响应中心 2022-05-24

一周威胁情报摘要

威胁趋势

  • 威胁建模:本地还是第三方?

金融威胁情报

  • 美国加密金融机构 BlockFi 遭到入侵,客户数据发生泄露(见PDF)

  • 法国保险机构  Assurance maladie 被黑,超50万人的敏感数据被盗(见PDF)

  • UNC 2891 使用 Caketap rootkit 瞄准 ATM 系统进行欺诈交易

政府威胁情报

  • 美国步枪协会(NRA)遭到网络攻击,敏感信息发生泄露(见PDF)

  • 印度中央工业安全部队 (CISF)数据遭到大规模泄露

能源威胁情报

  • 俄罗斯石油管道巨头 Transneft 研发部门79GB敏感数据遭到泄露

工控威胁情报

  • Avoslocker 勒索软件瞄准美国关键基础设施展开攻击

流行威胁情报

  • DirtyMoe 僵尸网络:无需用户交互即可实现蠕虫技术传播(见PDF)

  • 攻击者利用 Serpent 后门瞄准法国多个实体展开攻击

高级威胁情报

  • ESET : 俄罗斯 Sandworm 组织攻击活动集合(见PDF)

  • 韩国威胁组织 DarkHotel 瞄准中国澳门酒店展开攻击

  • 朝鲜威胁组织 Kimsuky 使用 Word 文档展开攻击(见PDF)

漏洞情报

  • 漏洞风暴 | 网络协议漏洞或在未来攻防中掀起血雨腥风

  • 数百种惠普打印机易受到多个严重漏洞的影响

  • 开源软件库 dompdf 被曝存在 0day 漏洞(见PDF)

俄乌专题

  • 俄罗斯背景组织 InvisiMole 针对乌克兰国家组织展开网络钓鱼攻击

  • NPM 生态系统遭到供应链攻击,旨在抗议“俄罗斯入侵乌克兰”(见PDF)

勒索专题

  • 俄罗斯肉类生产商 Miratorg 遭 Windows BitLocker 加密攻击(见PDF)

  • 为了报复,更多 Conti 勒索软件源代码在 Twitter 上泄露

  • 安全厂商发布 Diavol 勒索软件的免费解密器(见PDF)

钓鱼专题

  • 新网络钓鱼技术浏览器攻击极大的增强了防御规避能力

  • 大规模网络钓鱼活动:旨在使用数百个域窃取 Naver 凭据(见PDF)

注:由于篇幅限制,仅精选部分发布,公众号后台回复 “20220327” 获取完整版 PDF 阅读。


威胁趋势


威胁建模:本地还是第三方?

网络安全和云安全的交叉领域技术正在快速发展,越来越多宝贵的数据被保存并用于制定数据驱动的决策。因此,保护数据免受内部威胁、恶意软件漏洞和不需要的外部访问至关重要。本地和云安全威胁建模都可以帮助您抵御威胁,那哪种威胁建模方式适合您呢?

对信息系统安全资源的任何研究都必须反映可能危及企业环境的系统威胁和漏洞。威胁利用系统中的漏洞来增加系统资源或数据的风险。数据所有者需要使用正确的工具来缓解已知漏洞并减少暴露于明确威胁或威胁类别的风险。在公共云中使用基于威胁的方法对于找出可以阻止哪些威胁以及哪些威胁继续存在至关重要。一种流行的方法称为 STRIDE 威胁建模方法。它可以用于本地和云环境,并且可以在系统设计级别应用它来解决欺骗、篡改、否认、信息泄露、拒绝服务和特权提升威胁。但使用 STRIDE 威胁模型会暴露存在于本地和云中的威胁。
建立基于云安全的威胁模型是一个持续的过程。任何威胁模型流程文档都应该是您可以根据需要进行修改的实时文档。这在使用云托管时更为重要。毕竟,云建模提供了快速的弹性、可扩展性、按需访问和其他功能,例如广泛的网络访问。
来源:
https://securityintelligence.com/posts/threat-modeling-approach-options/


金融威胁情报


UNC 2891 使用 Caketap rootkit 瞄准 ATM 系统进行欺诈交易

  Tag:UNC 2891,Unix,ATM

事件概述:
近日,Mandiant 发表报告指出具有经济动机的威胁组织 UNC2891 使用 Caketap 窃取 ATM 银行数据,旨在进行银行卡欺诈和关键系统入侵。Caketap 是一个以前未记录的 Unix rootkit,在 2020年曾被部署到托管服务提供商瞄准其客户站开攻击,近期被观察到使用定制的植入物瞄准电信公司展开攻击。
技术详情:
Caketap 部署在运行 Oracle Solaris 操作系统的服务器上,加载后,Caketap 会隐藏网络连接、进程和文件,同时将几个挂钩安装到系统函数中以接收远程命令和配置,拦截卡和密码验证相关的特定消息。然后,Caketap 通过操纵卡验证消息来破坏流程,阻止那些匹配欺诈性银行卡的消息,并生成有效响应。在第二阶段,它会在内部保存与非欺诈性 PAN(主帐号)匹配的有效消息,并将其发送到 HSM,这样常规客户交易就不会受到影响,并且植入操作保持隐秘。

来源:
https://www.mandiant.com/resources/unc2891-overview


政府威胁情报


印度中央工业安全部队 (CISF)数据遭到大规模泄露

  Tag:CISF,印度,数据泄露

事件概述:
印度中央工业安全部队(CISF) 是世界上最大的警察部队之一,拥有超过 160,000 名人员,其任务是保护全国的政府设施、基础设施和机场安全。由于数据安全漏洞,CISF 的内部人员、官员健康记录和人事档案在网上遭到公开泄露。此次泄露归因于一个包含 CISF 网络完全设备生成网络日志的数据库 haltdos 没有使用密码保护,互联网上的任何人都可以从他们的网络浏览器访问 CISF 日志信息。该数据库于3月6日首次被发现暴露在互联网上,泄露的日志记录了 CISF 网络上超过246,000个 PDF 文档网址,其中包括人事档案、健康记录及 CISF 官员的个人身份信息,部分泄露文件的日期记录到2022年。
据安全研究人员称此数据库是总部位于印度的安全公司 Haltdos 的产品,该公司主要为组织提供网络安全技术。截至目前, Haltdos 虽尚未公开披露此次攻击事件具体细节,但已将这一事件确认为严重的安全事件。
来源:
https://techcrunch.com/2022/03/18/india-cisf-security-data-exposed/?


能源威胁情报


俄罗斯石油管道巨头 Transneft 研发部门79GB敏感数据遭到泄露

  Tag俄罗斯,石油,数据泄露

事件概述:
随着俄罗斯对乌克兰入侵第三周,俄罗斯国有石油管道巨头 Transneft  成为了黑客组织的攻击目标。近日,数据泄露站点 Distributed Denial of Secrets 发布了来自 Transneft 研发部门 Omega 公司的 79GB 电子邮件的链接。邮件链接泄露的内容似乎包含来自公司员工的多个电子邮件帐户的内容,不仅包括电子邮件信息,还包括发票和产品运输详细信息在内的文件附件以及显示服务器机架和其他设备配置的图像文件。
Transneft  是世界上最大的管道公司,总部位于莫斯科。其内部研发部门 Omega 公司主要生产一系列用于石油管道的高科技声学和温度监测系统。
来源:
https://www.theverge.com/2022/3/17/22983085/russia-transneft-omega-data-leak-hillary-clinton


工控威胁情报


Avoslocker 勒索软件瞄准美国关键基础设施展开攻击

  Tag:勒索软件,关键基础设施,美国

事件概述:
3月22日,美国联邦调查局(FBI)和财政部金融犯罪网络(FinCEN)联合发布告警,指出美国多个关键基础设施部门成为 Avoslocker 勒索软件的受害者。AvosLocker 是一个基于勒索软件即服务 (RaaS) 的附属组织,自2021年9月出现,旨在针对关键制造和政府设施等关键基础设施部门展开攻击,将 .avoslinux 扩展名附加到所有加密文件的文件名中,然后在包含加密文件的每个文件夹中放置赎金记录。并在其附属机构感染目标后发布和托管泄露的受害者数据。在某些情况下,该团伙还在谈判期间威胁并实施分布式拒绝服务 (DDoS) 攻击。联合告警还提供了以下缓解措施,提高网络安全弹性:
  • 实施恢复计划,以在物理上独立、分段和安全的位置(即硬盘驱动器、存储设备、云)中维护和保留敏感/专有数据和服务器的多个副本;
  • 实施网络分段并维护数据的离线备份,以确保对组织的干扰有限;
  • 定期备份数据,密码保护离线备份副本。确保无法从数据所在的系统访问关键数据的副本以进行修改或删除;
  • 在所有主机上安装并定期更新杀毒软件,并启用实时检测;
  • 更新/补丁发布后立即安装更新/补丁操作系统、软件和固件;
  • 查看域控制器、服务器、工作站和活动目录中是否有新的或无法识别的用户帐户;
  • 审核具有管理权限的用户帐户,并以最低权限配置访问控制。不要授予所有用户管理权限;
  • 禁用未使用的端口;
  • 禁用收到的电子邮件中的超链接;
  • 尽可能使用多因素身份验证;
  • 使用强密码并定期更改网络系统和帐户的密码,实施最短的密码更改时间框架;
  • 避免为多个帐户重复使用密码;
  • 需要管理员凭据才能安装软件;
  • 仅使用安全网络,避免使用公共 Wi-Fi 网络,建议安装和使用 VPN;
  • 注重网络安全意识和培训。定期为用户提供有关信息安全原则和技术以及整体新出现的网络安全风险和漏洞(即勒索软件和网络钓鱼诈骗)的培训。
来源:
https://www.ic3.gov/Media/News/2022/220318.pdf


流行威胁情报


攻击者利用 Serpent 后门瞄准法国多个实体展开攻击

  TagSerpent,后门,法国

事件概述:
近日,Proofpoint 研究人员监测发现了针对建筑、房地产和政府行业在内的法国实体的攻击活动。攻击者利用开源软件包安装程序 Chocolatey 在潜在受害者的设备上安装 Serpent 后门,启用远程管理、命令和控制 (C2)、数据盗窃或传递其他额外的有效负载。目前,尚不清楚攻击者攻击目的。
技术详情:
攻击者通过投递一个包含附件的网络钓鱼邮件,以 GDPR 或 “欧盟通用数据保护条例(GDPR)”相关的信息为诱饵诱使受害者启用宏。宏将访问包含隐藏在其中的 PowerShell 脚本的图像。该脚本旨在安装和更新 Chocolatey 安装程序包和存储库脚本。Chocolatey 被滥用来安装 Python 和 pip Python 包安装程序,然后利用它来安装各种依赖项,包括基于 Python 的反向代理客户端。接下来,从另一个图像文件下载一个 Python 脚本并保存为 MicrosoftSecurityUpdate.py,然后创建并执行一个 .bat 文件来运行 Python 脚本 Serpent 后门。

来源:
https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain


高级威胁情报


韩国威胁组织 DarkHotel 瞄准中国澳门酒店展开攻击

  Tag:DarkHotel,APT,韩国,中国

事件概述:
DarkHotel 是一个疑似韩国高级持续威胁 (APT) 组织,旨在针对执法、制药和汽车制造商以及其他行业展开攻击。该组织通过使用恶意代码的鱼叉式网络钓鱼活动瞄准酒店和商务酒店访客,从而在入住豪华酒店时从首席执行官和销售负责人等高管那里窃取敏感数据,从而得名。近日,Trellix 研究人员监测发现韩国威胁组织 DarkHotel 针对中国澳门某皇宫等主要连锁酒店的第一阶段的恶意攻击活动。

技术详情:

攻击始于一封针对酒店包括人力资源副总裁、助理经理和前台经理等管理人员的鱼叉式网络钓鱼电子邮件。此鱼叉式网络钓鱼攻击的电子邮件包含带有 Excel 工作表的附件。此 Excel 表格用于欺骗受害者并在打开时启用嵌入的恶意宏,宏通过创建计划任务来执行识别、数据列表和数据泄露。然后,为了与用于泄露受害者数据的命令和控制服务器进行通信,宏使用已知的 lolbas 技术来执行 PowerShell 命令行作为受信任的脚本进行通信。
组织归因:
  • 攻击活动所用的 IP 归属于 DarkHotel C2 活动;

  • 目标行业和国家符合 DarkHotel 目标;

  • 命令和控制面板显示了归因于 DarkHotel APT 的已知开发模式。


来源:
https://www.trellix.com/en-au/about/newsroom/stories/threat-labs/suspected-darkhotel-apt-activity-update.html


漏洞情报


漏洞风暴 | 网络协议漏洞或在未来攻防中掀起血雨腥风

  Tag:网络协议漏洞,攻防

事件概述:

在传统意义上,我们一般对漏洞有三种分类:Web 漏洞、二进制漏洞、逻辑漏洞,这样的分类方式是来自于技术类别。而我们单独提“协议漏洞”这个概念的时候是按业务场景来分类的,其实不止是协议漏洞,在实际中还有很多漏洞都不能按上述的三种类别来准确描述其特点,例如环境变量注入漏洞、各类利用 RPC 实现提权的漏洞等。而把“协议漏洞”单列一类基本上有如下的原因:
  • 大部分都是协议设计阶段引入的问题,而不是软件实现阶段;
  • 大部分存在跨软件、跨操作系统,甚至是跨硬件平台的通杀现象;
  • 漏洞利用的目标通常是实现通信劫持,而不是RCE/ACE。
“协议漏洞”在漏洞响应处置上和一般软件漏洞不同,因为常常出现跨软件通杀,所以一个漏洞的修复就可能需要协调多个厂商共同完成。目前,业界对此类漏洞的关注度目前还不是特别高,该漏洞或在未来攻防中掀起血雨腥风,应对这些“特殊”漏洞的挑战还是值得从业人员们调整一下思路。

更多内容需查看“跨平台通杀看不懂?老师傅带你读懂网络协议漏洞”。

来源:
https://mp.weixin.qq.com/s/LOxCIel8oXmguxI0RGQUkw



数百种惠普打印机易受到多个严重漏洞的影响

  Tag:惠普,打印机,严重漏洞

事件概述:

近日,惠普(HP)已针对影响其数百款 LaserJet Pro、Pagewide Pro、OfficeJet、Enterprise、Large Format 和 DeskJet 打印机型号的多个严重漏洞发布了安全公告。
漏洞详细信息如下:
  • CVE-2022-3942 :是缓冲区溢出漏洞,该漏洞可能导致受影响机器上的远程代码执行。尽管根据通用漏洞评分系统 (CVSS) 评分为 8.4(高),但惠普将该错误的严重性列为严重漏洞。

  • CVE-2022-24291、CVE-2022-24292、CVE-2022-24293:这些漏洞可能导致某些惠普设备信息泄露、拒绝服务或远程代码执行。

截至目前,惠普已经为大多数受影响的产品发布了固件安全更新。对于没有补丁的模型,该公司提供了主要围绕在网络设置中禁用 LLMNR(链路本地多播名称解析)的缓解说明。此外,惠普建还议客户尽快应用安全更新,将设备置于网络防火墙后,并实施远程访问限制策略。

来源:
https://www.bleepingcomputer.com/news/security/hundreds-of-hp-printer-models-vulnerable-to-remote-code-execution/


俄乌专题


俄罗斯背景组织 InvisiMole 针对乌克兰国家组织展开网络钓鱼攻击

  Tag:InvisiMole,网络钓鱼

事件概述:

3月18日,乌克兰计算机应急响应小组 (CERT-UA) 发表报道指出 InvisiMole (UAC-0035) 黑客团体针对乌克兰组织发起了有针对性的鱼叉式网络钓鱼活动,以提供 LoadEdge 后门。LoadEdge 是使用 C++ 编程语言开发的后门恶意软件,支持的命令:fileEx、copyOverNw、discops、disks、download、upload、getconf、setinterval、startr、killr、kill。且具备以下功能:获取磁盘信息、加载/卸载文件、文件系统操作、交互式反向shell(远程端口1337/tcp)、删除。
技术详情:
攻击者通过投递包含“501_25_103.zip”文档的附件,其中包含同名的快捷方式文件,诱使受害者打开 LNK 文件,然后计算机上下载并执行 HTA 文件。该文件包含 VBScript 代码,它将下载和解码诱饵文件和恶意程序 LoadEdge。
组织关联:
InvisiMole 是一个复杂的网络间谍组织,与俄罗斯国家赞助的 Garmagedon APT 有着密切的联系。

来源:
https://cert.gov.ua/article/37829


勒索专题



2022年3月20日

为了报复,更多 Conti 勒索软件源代码在 Twitter 上泄露

继一名乌克兰安全研究人员报复支持俄罗斯入侵乌克兰的网络犯罪分子,泄露了 Conti 恶意软件源代码后,更多的 Conti 勒索软件源代码在 Twitter 上泄露。此次大规模泄露是由于 Conti 勒索软件行动在入侵乌克兰方面站在俄罗斯一边后,乌克兰研究人员“ Conti Leaks ”泄露了更多属于勒索软件团伙的数据和源代码以进行报复。

来源:
https://www.bleepingcomputer.com/news/security/more-conti-ransomware-source-code-leaked-on-twitter-out-of-revenge/


钓鱼专题



2022年3月22日

新网络钓鱼技术浏览器攻击极大的增强了防御规避能力
外媒报道了一种称为浏览器 (BitB) 攻击的新网络钓鱼技术。该攻击技术允许攻击者在浏览器中模拟浏览器窗口,欺骗合法域并发起令人信服的网络钓鱼攻击。BitB 攻击旨在使用混合的 HTML 和 CSS 代码复制此过程,向用户呈现伪造的浏览器窗口。而将窗口设计与指向托管网络钓鱼页面的恶意服务器的 iframe 结合起来,基本上无法区分。JavaScript 可以很容易地使窗口出现在链接或按钮点击、加载等页面,用户需小心警惕。
来源:
https://www.itsecurityguru.org/2022/03/22/new-attack-technique-makes-phishing-near-undetectable/?utm_source=rss


微步情报局招聘通道


高级应急响应工程师  戳我查看岗位详情

高级渗透测试工程师  戳我查看岗位详情

安全服务工程师  戳我查看岗位详情

安全分析师(威胁追踪方向)戳我查看岗位详情


安全分析师(主机检测方向-Java)戳我查看岗位详情

点击下方名片,关注我们

第一时间为您推送最新威胁


阅读原文,可加入粉丝群~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存