查看原文
其他

安全威胁情报周报(4.11~4.17)

微步情报局 微步在线研究响应中心 2022-05-19

一周威胁情报摘要

威胁趋势

  • 2022、2023年十大网络安全趋势

金融威胁情报

  • 非洲银行成为 RemcosRAT 恶意软件活动的主要目标

  • 美国银行(Bank of America)数据疑似遭到泄露(见PDF)

政府威胁情报

  • 芬兰国防部和外交部遭到 DDoS 袭击,网站瘫痪(见PDF)

  • 美国政府网络中发现潜伏数月的 LockBit 勒索软件

能源威胁情报

  • 俄罗斯石油巨头 Gazprom Neft 遭到黑客攻击,网站下线

工控威胁情报

  • PIPEDREAM:CHERNOVITE 针对工业控制系统的新兴恶意软件

  • 西门子和施耐德发布公告修复了多个漏洞(见PDF)

流行威胁情报

  • 新的 Octo 银行木马通过谷歌商店的虚假应用程序传播

高级威胁情报

  • 朝鲜威胁组织 Lazarus 瞄准化工业组织展开攻击

  • 俄罗斯组织Sandworm利用Industroyer2恶意软件瞄准乌克兰能源公司展开攻击(见PDF)

  • 朝鲜威胁组织 Lazarus 瞄准韩国企业展开攻击(见PDF)

漏洞情报

  • 三星 Android 设备被曝存在漏洞CVE-2022-22292,允许黑客入侵(见PDF)

  • OpenSSL 通报并修复严重漏洞CVE-2022-0778

俄乌专题

  • 匿名者袭击了3个俄罗斯行业巨头企业,超40GB电子邮件遭到泄露

  • 俄罗斯文化部遭到匿名者入侵,446GB数据遭到泄漏(见PDF)

勒索专题

  • NB65 组织使用修改版 Conti 勒索软件瞄准俄罗斯实体展开攻击

  • Conti 勒索软件团伙袭击了美国汽车工具制造商 Snap-on (见PDF)

  • EvilNominatus : 一款AV检测率较低的勒索软件(见PDF)

  • 北卡罗来纳  A&T 大学疑似遭到 ALPHV 勒索软件攻击,数据疑似发生泄露(见PDF)

钓鱼专题

  • 恶意垃圾邮件活动正在分发新的META恶意软件


注:由于篇幅限制,仅精选部分发布,公众号后台回复 “20220417” 获取完整版 PDF 阅读。



威胁趋势


2022、2023年十大网络安全趋势

  Tag:威胁预测,威胁趋势

事件概述:
网络攻击现在是全球范围内增长最快的犯罪行为,网络犯罪造成的经济损失超过了所有非法毒品全球贸易造成的总经济损失。在这种情况下,网络安全最新趋势已成为各行各业重点关注的问题。Financesonline 对2022年、2023年网络安全趋势进行了以下预测:
  • 用户意识:世界上大约97%的人无法识别网络钓鱼电子邮件,企业和其他组织也会越来越重视网络安全用户意识。

  • 地理定位的网络钓鱼威胁:大约 32% 的数据泄露涉及网络钓鱼活动,而网络钓鱼攻击现在具有高度本地化、地理定位和更加个性化的特点。

  • 对医疗保健部门的攻击:预计到 2025 年,医疗保健行业的网络安全市场价值将达到 1250 亿美元,网络攻击仍然是医疗保健行业的挑战。

  • 机器学习:网络安全正在采用机器学习技术来识别攻击并分析其模式和算法。

  • 云安全:安全云在过去三年中获得了261%的投资回报率,安全云现在对云服务至关重要。

  • GDPR 合规性:截至2019年6月,只有28%的公司能够实现合规,这与希望 2018年实现合规的78%的组织数量相去甚远(Help Net Security,2019)。尽管如此,世界各地的组织正在逐步应用变革和重组以遵守新法律。

  • 对高等教育的威胁:网络安全是高等教育部门的首要任务之一。

  • 物联网的脆弱性:当今存在的大多数物联网设备都容易出现许多网络安全问题。

  • 移动设备作为攻击媒介:移动设备是网络犯罪分子的流行攻击媒介,大约70%的欺诈交易是通过移动渠道发生的。

  • 金融服务网络攻击:金融服务行业比其他行业更容易受到网络攻击,在 COVID-19 期间,对金融机构的攻击猛增了 238%

来源:

https://financesonline.com/cybersecurity-trends/


金融威胁情报


非洲银行成为 RemcosRAT 恶意软件活动的主要目标

  Tag:非洲银行,RemcosRAT,恶意软件

事件概述:

2022年初,HP Wolf Security 监测到一起针对非洲银行员工的有针对性的恶意软件攻击活动。攻击者通过注册虚假银行域以构建可信的诱饵,使用 HTML smuggling 技术来传递恶意软件 RemcosRAT 获取访问权限。研究人员猜测攻击者可能利用获取的访问权限长期持续访问展开欺诈交易,横向移动破坏域控制器以部署勒索软件,或是将他们的访问权限出售给另一个攻击者。
技术手法:
攻击者会通过仿冒域向受害者投递一个HTML附件 Fiche de dossiers.htm,该文件是一个 Base64 编码的 ISO 文件,双击 ISO 文件会将其作为光盘媒体安装并打开一个包含一个VBS文件的新文件资源管理器窗口。该脚本会加载 GuLoader 释放 RemcosRAT 恶意软件。Remcos 是一种商业 Windows 远程访问工具 (RAT),攻击者可以利用它控制受感染的系统,执行远程命令、下载和上传文件、截屏、记录按键以及记录用户的网络摄像头和麦克风等恶意操作。


来源:
https://www.bleepingcomputer.com/news/security/african-banks-heavily-targeted-in-remcosrat-malware-campaigns/
微步点评:

1、与银行相关的常见欺诈方法

  • 网络钓鱼

  • 假银行/投资骗局

  • 恶意软件分发

2、HTML smuggling 技术:

HTML smuggling 技术可以使攻击者能够通过将文件编码到 HTML 文件中来偷偷通过电子邮件网关阻止的文件格式。JavaScript blob 或 HTML5 下载属性可用于解码和重建文件。当用户使用 Web 浏览器打开 HTML 附件时,系统会提示他们下载已存储在本地系统上的文件。这样,HTML smuggling 绕过了阻止恶意网站流量的安全控制,可以使危险类型的文件可以被传输到组织中并导致恶意软件感染。


政府威胁情报


美国政府网络中发现潜伏数月的 LockBit 勒索软件

  Tag:美国,LockBit,勒索软件

事件概述:

近日,安全研究人员披露 LockBit 勒索软件团伙在美国地区政府机构的网络中至少潜伏了五个月左右,然后部署恶意载荷展开攻击。在整个攻击过程中攻击者不仅进行侦察和远程访问操作,还试图通过删除事件日志来隐藏踪迹。
技术手法:

勒索软件团伙通过一项现已被禁用的保护功能对受害者设备进行初始访问,攻击者通过配置错误的防火墙上的开放远程桌面 (RDP) 端口访问网络,然后使用 Chrome 下载攻击所需的工具。该工具集包括用于暴力破解、扫描、商业 VPN 的实用程序以及允许文件管理和命令执行的免费工具,例如PsExec、FileZilla、Process Explorer 和 GMER。此外,黑客还使用了远程桌面管理软件、凭据窃取工具试图窃取有价值的帐户凭据。

来源:

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months/


能源威胁情报


俄罗斯石油巨头 Gazprom Neft 遭到黑客攻击,网站下线

  Tag:俄罗斯,石油

事件概述:

Gazprom Neft 是俄罗斯国家天然气公司 Gazprom 的子公司,也是俄罗斯第三大石油生产商,该公司的网站于4月6日因遭到黑客攻击而被迫下线,这似乎是俄罗斯入侵乌克兰后对政府相关网站的最新黑客攻击。在此期间,网络上流传出一份该网站被黑的版本存档,记录显示对俄罗斯决定向乌克兰派遣数千名士兵发表批评性言论信息。随后,俄罗斯天然气公司 Gazprom Neft 回应称之前网络上发表的信息不是真实信息,且不能视为公司代表的正式声明。
上个月,据称多个乌克兰新闻网站遭到俄罗斯黑客攻击,向访问者展示了“Z”符号。乌克兰国家特别通信和信息保护局在一篇网络帖子中证实了这一事件,并将责任归咎于俄罗斯国家支持的组织,但尚未披露此次攻击的幕后组织。

来源:

https://www.infosecurity-magazine.com/news/russian-oil-gazprom-neft-hack/


工控威胁情报


PIPEDREAM:CHERNOVITE 针对工业控制系统的新兴恶意软件

  Tag:PIPEDREAM

事件概述:

据 Dragon 报告称 PIPEDREAM 是CHERNOVITE Activity Group (AG) 开发的第七个已知的特定于工业控制系统 (ICS) 的恶意软件。PIPEDREAM 是一个模块化的 ICS 攻击框架,攻击者可以利用该恶意软件对目标和环境造成破坏,还可以执行38%的已知 ICS 攻击技术和83%的已知 ICS 攻击策略。此外,PIPEDREAM 还可以操纵各种工业控制可编程逻辑控制器 (PLC) 和工业软件,包括 Omron 和 Schneider Electric 控制器,并且可以攻击普遍存在的工业技术,包括 CODESYS、Modbus 和开放平台通信统一架构 (OPC UA)。目前,IPEDREAM 虽没有利用任何 Schneider 或 Omron 漏洞,但依然影响全球相当大比例的工业资产。

来源

https://hub.dragos.com/hubfs/116-Whitepapers/Dragos_ChernoviteWP_v2b.pdf?hsLang=en


流行威胁情报


新的 Octo 银行木马通过谷歌商店的虚假应用程序传播

  Tag:银行木马,谷歌商店

事件概述:
近日,荷兰安全研究人员发表报告指出新的银行木马 Octo 是 ExobotCompact 安卓恶意软件更新多项功能后的重新命名的恶意软件, ExobotCompact 又是其 Exobot 前身的“精简版”替代品。这些恶意安卓软件在谷歌商店伪装成录制屏幕和金融应用程序的安装程序,通过谷歌商店和提醒用户下载浏览器更新的欺诈性登录页面分发恶意应用程序,旨在受害者移动设备上部署嵌入恶意软件的有效载荷。
技术手法:
与其他 Android 银行木马一样,恶意软件应用程序是一个 dropper,其主要功能是部署嵌入其中的恶意负载。dropper 一旦在受害者设备上安装,就会充当启动木马的渠道,但在要求用户启用可访问性服务之前,该服务允许其从受感染的手机中窃取敏感信息。Octo 银行木马是 ExobotCompact 的修订版,它可以通过利用可访问权限以及 Android 的 MediaProjection API 实时捕获屏幕内容、记录按键、收集信息远程控制设备展开欺诈。此类型恶意软件最终目标是自动启动及授权进行欺诈交易,进行更大规模的欺诈。

来源:

https://threatfabric.com/blogs/octo-new-odf-banking-trojan.html


高级威胁情报


朝鲜威胁组织 Lazarus 瞄准化工业组织展开攻击

  Tag:Lazarus,APT,朝鲜,Operation Dream Job

事件概述:

近期,赛门铁克观察到朝鲜背景威胁组织 Lazarus 正在开展针对在化学行业组织的间谍活动,该活动似乎是“Operation Dream Job”活动集的延续。该活动首次出现于2020年8月,在2020年8月和2021年7月期间主要瞄准国防、政府和工程部门的个人展开攻击。
技术手法:
典型的攻击始于收到恶意 HTM 文件,这可能是电子邮件中的恶意链接或从 Web 下载的恶意链接。HTM 文件被复制 DLL 文件中,并注入到合法的进程中。DLL 文件会从命令和控制 (C&C) 服务器下载并执行附加负载,启动一系列 shellcode 加载程序,以此从攻击者那里下载并执行任意命令,以及其他恶意软件,例如:IP 记录工具 (IP Logger)、用于远程打开计算机的协议 (WakeOnLAN)、文件和目录复制器 (FastCopy) 。此外,攻击者还会部署入侵后工具,包括一种用于以设定的时间间隔截取在受感染机器上查看的网页的工具(SiteShoter)。在某些情况下,攻击者还会从注册表中转储凭据,安装 BAT 文件以获取持久性,并使用配置以特定用户身份运行计划任务。

来源:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lazarus-dream-job-chemical


漏洞情报


OpenSSL 通报并修复严重漏洞CVE-2022-0778

  TagOpenSSL,DoS,漏洞

事件概述:

3 月中旬,OpenSSL 发布了更新修复了一个高严重的拒绝服务 (DoS) 漏洞CVE-2022-0778。攻击者可以通过使用无效的显式曲线参数制作格式错误的证书来触发漏洞,该漏洞会影响证书解析时使用的 BN_mod_sqrt() 函数,导致 OpenSSL 库在解析无效证书时进入无限循环,并可能导致 DoS 条件。1.0.2、1.1.1 和 3.0 版本受到该漏洞的影响,OpenSSL在 1.0.2zd(针对高级支持客户)、1.1.1n 和 3.0.2版本中修复了该漏洞。Prisma Cloud 和 Cortex XSOAR 产品不受此漏洞的影响。但是 PAN-OS、GlobalProtect 应用程序和 Cortex XDR 代理软件包含 OpenSSL 库的易受攻击版本,并且产品可用性受到此漏洞的影响。OpenSSL 官方表示正在致力于从 PAN-OS、GlobalProtect 应用程序和 Cortex XDR 代理软件中删除易受攻击的代码,受此问题影响的所有 PAN-OS 软件更新预计将于2022年4月发布。
 

来源:

https://security.paloaltonetworks.com/CVE-2022-0778


俄乌专题


匿名者袭击了3个俄罗斯行业巨头企业,超40GB电子邮件遭到泄露

  Tag:匿名者,俄罗斯,数据泄露

事件概述:

匿名者自俄乌持续的冲突中选择乌克兰战队后,誓言将针对俄罗斯发起更多的袭击活动。近日,匿名者瞄准了 Aerogas、Forest 和 Petrovsky Fort 三家俄罗斯行业巨头展开攻击,并在 Twitter 上发表帖子称在数据泄露站点 DDoSecrets 上泄露了三家俄罗斯行业巨头超过 400,000封电子邮件,总计244GB数据。其中包括 Petrovsky Fort 244GB 数据信息,Aeroga 145 GB 数据信息,Forest 37.7 GB 的数据信息。由于 Petrovsky For 拥有圣彼得堡最大的办公楼;Aerogas 的客户包括俄罗斯最大的石油生产商 Rosneft 和该国领先的天然气生产商 Novatek,匿名者此次数据泄露会给多个行业的企业带来严重的影响。

自2022年2月俄罗斯入侵乌克兰以来,数据泄露站点 DDoSecrets 已公开了超过 200 万封电子邮件。


来源:

https://www.hackread.com/anonymous-hits-russian-entities-leaks-400-gb-emails/


勒索专题



2022年4月9日

NB65组织使用修改版 Conti 勒索软件瞄准俄罗斯实体展开攻击

外媒报道称 NB65 黑客组织利用 Conti 泄露的勒索软件源代码创建新的勒索软件瞄准俄罗斯实体展开攻击,并将窃取数据将其泄露到网上。俄罗斯文件管理运营商 Tensor、俄罗斯航天局 Roscosmos和国有的俄罗斯电视和广播电台 VGTRK疑似成为 NB65 黑客最新受害者。NB65 黑客组织还表示他们永远不会针对俄罗斯以外的组织发动攻击,并将所有赎金都将捐赠给乌克兰。但截至目前,NB65 尚未收到受害者缴纳赎金的信息。

来源:

https://www.bleepingcomputer.com/news/security/hackers-use-contis-leaked-ransomware-to-attack-russian-companies/


钓鱼专题



2022年4月10日

恶意垃圾邮件活动正在分发新的 META 恶意软件
外媒报道称恶意垃圾邮件活动正在分发一种新的信息窃取恶意软件 META。该恶意软件通过电子邮件附件传播,以虚假的转账通知为诱饵,主要用来窃取存储在 Chrome、Edge 和 Firefox 以及加密货币钱包中的密码。该恶意软件最终的有效载荷在受害者设备以随机名字的形式存储,并且会添加新的注册表项以保持持久性,用户需格外警惕!

来源:

https://www.bleepingcomputer.com/news/security/new-meta-information-stealer-distributed-in-malspam-campaign/


- END -


微步情报局招聘通道

沙箱安全开发(Windows、Linux方向)  戳我查看岗位详情

高级应急响应工程师 戳我查看岗位详情


高级渗透测试工程师 戳我查看岗位详情

点击下方名片,关注我们
第一时间推送最新的威胁情报
阅读原文,可加入粉丝群~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存