威胁情报周报（7.1~7.7）

一周威胁情报摘要

=============================

金融威胁情报

• 勒索软件团队LockBit声称攻击美联储

政府威胁情报

• 日本航天局遭受一系列网络攻击，但敏感信息未受影响

能源威胁情报

• ExCobalt网络犯罪集团攻击俄罗斯以能源为首的多个组织

流行威胁情报

• Rafel RAT恶意软件针对Android设备发起攻击

高级威胁情报

• 朝鲜黑客新一轮网络攻击：针对航空和防御部门

漏洞情报

• 微软修补蓝牙服务远程代码执行漏洞

勒索专题

• Atlas Oil遭受Black Basta组织的勒索软件攻击，约730GB数据被窃取

钓鱼专题

• 洛杉矶公共卫生部门超过50个员工电子邮件账户在医疗钓鱼攻击中被入侵

数据泄露专题

• 李维斯公司遭遇重大数据泄露，影响超过72,000用户

===============================================================================================================================================================================================================================================================================================================================================================================================================================================================================

**

金融威胁情报

**

勒索软件团队LockBit声称攻击美联储

  Tag：LockBit, 多因素认证

事件概述：

臭名昭著的勒索软件团队LockBit声称已经攻击了美国联邦储备系统，并声称窃取了33TB的敏感银行数据。该团队于2024年6月23日在其暗网泄漏站点上宣布了这一攻击，并威胁在2024年6月25日20:27:10 UTC公布被盗信息。据LockBit的声明，被泄露的数据包括“美国人的银行秘密”和有关美联储在其12个银行区域的货币分配系统的信息。然而，网络安全专家和分析师对LockBit的声明持怀疑态度。该团队并未提供任何样本数据来证实他们的指控，这与他们的典型作风不符。

LockBit的声明再次提醒我们勒索软件团队的持续威胁以及对关键金融机构进行强大网络安全措施的重要性。对于此类攻击，多因素认证、威胁情报共享和自动化安全措施等关键技术细节至关重要。多因素认证能够提供额外的安全层，使攻击者更难突破防线。威胁情报共享可以帮助机构了解最新的威胁和攻击策略，以便及时采取防御措施。自动化安全措施则可以在攻击发生时自动触发防御响应，减小攻击造成的损害。尽管LockBit的声明尚未得到证实，但这一事件仍然提醒我们，我们必须时刻保持警惕，以防范来自网络的威胁。

来源：

https://cybersecuritynews.com/lockbit-claims-a-breach-of-united-states-federal-reserve-system/

**

政府威胁情报

**

日本航天局遭受一系列网络攻击，但敏感信息未受影响

  Tag：网络攻击, 日本航天局

事件概述：

自去年以来，日本航天局（JAXA）遭受了一系列的网络攻击。然而，与火箭和卫星相关的敏感信息并未受到影响，官员们表示正在继续进行调查并采取预防措施。内阁官房长官林义正承认，自去年底以来，日本航天局遭受了“多次”网络攻击。日本航天局在关闭受影响的网络并确认它们不包含关于火箭和卫星运行以及国家安全的机密信息的同时，调查了非法访问的程度。林义正誓言要加强日本对抗网络攻击的能力。

日本航天局正在与政府的网络安全团队合作，以引入对策。尽管遭受了网络攻击，但日本航天局今年在其太空计划中取得了一系列成功。1月份，其智能登月器成功在月球表面实现了突破性的精确着陆，使日本成为成功将探测器送上月球的第五个国家。2月份，该机构的新旗舰H3火箭首次成功达到了计划的轨道，尽管去年首次试飞失败。计划于6月30日进行搭载高级观测卫星的第三次H3飞行。这些事件表明，尽管面临网络攻击的挑战，但日本航天局仍在积极应对并取得了显著的成就。

来源：

https://www.securityweek.com/japans-space-agency-was-hit-by-multiple-cyberattacks-but-officials-say-no-sensitive-data-was-taken/

**

能源威胁情报

**

ExCobalt网络犯罪集团攻击俄罗斯以能源为首的多个组织

  Tag：ExCobalt, GoRed

事件概述：

ExCobalt网络犯罪集团利用一种名为GoRed的新型后门程序攻击多个俄罗斯行业组织。研究人员发现，ExCobalt自2016年以来一直活跃，与臭名昭著的Cobalt集团有关联。过去一年，ExCobalt瞄准了冶金、电信、采矿、信息技术、政府和软件开发等行业。GoRed后门具备连接并执行命令的功能，使用DNS/ICMP隧道、WSS和QUIC协议进行安全通信，能够获取凭证并收集系统信息。ExCobalt通过供应链攻击获得初始访问权，使用包括Spark RAT在内的多种工具，并利用多种漏洞进行特权升级。

ExCobalt网络犯罪集团展现了极高的活跃度和攻击决心，不断添加新工具和改进技术。GoRed后门支持命令与控制（C2）框架，采用RPC协议进行通信，使用多种隧道技术保证安全通信。其功能包括获取系统凭证、收集系统信息、进行网络侦查等。攻击过程中，ExCobalt通过感染供应链组件获取初始访问，并利用多个已知漏洞（如CVE-2022-2586、CVE-2021-3156等）实现特权升级。该集团还使用了多种工具（如Mimikatz、Metasploit等）以提高攻击效果和隐蔽性。

来源：

https://securityaffairs.com/164838/breaking-news/excobalt-cybercrime-group-targets-russian-orgs.html

**

流行威胁情报

**

Rafel RAT恶意软件针对Android设备发起攻击

  Tag：Rafel RAT恶意软件, 钓鱼活动

事件概述：

安全研究人员发现，多个恶意行为者正在使用Rafel RAT恶意软件在约120个活动中针对Android设备发起攻击，包括窃取数据、删除文件、间谍活动和勒索软件等。Rafel RAT是一个开源的远程管理工具，通过钓鱼活动传播，目标是说服目标安装伪装成WhatsApp、Instagram等合法应用或其他软件的恶意软件。一旦在设备上安装，恶意软件就会为威胁组织提供各种恶意能力，例如远程访问、监视、数据外泄和持久性机制，使其成为进行秘密操作和渗透高价值目标的强大工具。其中，120个活动中的一些目标针对的是高调的组织，包括军事团体，大多数受害者位于美国、中国和印度尼西亚。其他国家的组织，包括俄罗斯、法国、德国、意大利、印度、巴基斯坦和澳大利亚，也在瞄准之中。

Rafel RAT恶意软件的传播方式主要是通过钓鱼活动，伪装成合法的应用程序或软件，如WhatsApp、Instagram、电子商务平台和防病毒工具等。一旦在设备上安装，恶意软件就会为威胁组织提供各种恶意能力，例如远程访问、监视、数据外泄和持久性机制。这使得它成为进行秘密操作和渗透高价值目标的强大工具。此外，该恶意软件还可以修改以适应其需求并保持不被检测。一旦安装，它将立即在后台运行，秘密地操作并与命令和控制（C2）服务器进行通信，以激活位置跟踪和设置文本到语音组件。这些命令可以包括发送联系人、文本消息、实时位置、通话记录和设备信息（如型号、内存量、语言和电池）以及已安装应用程序的列表到C2，删除文件，擦除通话历史记录，锁定设备的屏幕，加密数据，并更改设备的壁纸。此外，恶意软件还具有运行勒索软件攻击所需的功能。

来源：

https://securityboulevard.com/2024/06/rafel-rat-used-in-120-campaigns-targeting-android-device-users/?utm\_source=sbwebsite&utm\_medium=marquee&utm\_campaign=marquee

**

高级威胁情报

**

朝鲜黑客新一轮网络攻击：针对航空和防御部门

  Tag：Niki后门, Kimsuky集团

事件概述：

网络安全公司CyberArmor揭示了北韩国家支持的黑客发起的新一轮网络攻击，这是一场针对航空和防御部门的复杂攻击活动。攻击利用了一种以前未记录的后门，研究人员将其命名为“Niki”，展示了这些持续威胁行动者的不断进化的策略。这次攻击使用了复杂的混淆技术和多个阶段来传递后门，使其成为攻击者武器库中的强大工具。一旦执行，恶意软件部署了一系列投放器和混淆技术来逃避检测，最终传递Niki后门。这个后门使用了多种编程语言（包括Go），为攻击者提供了对受损系统的广泛控制，使他们能够窃取敏感数据、执行任意命令、下载额外的有效载荷、截屏以及操作文件和时间戳。

CyberArmor的分析强调了北韩网络行动的日益复杂化。多种编程语言的使用，先进的混淆方法，以及新的后门变体的快速迭代，都显示出一个决心和适应性强的对手。虽然确定归因仍然具有挑战性，但研究人员发现了几个指标，将Niki活动与Kimsuky集团（APT43）联系起来，这是一个臭名昭著的北韩网络间谍单位，以其对情报收集和破坏性攻击的关注而闻名。Niki后门的发现强调了北韩网络行动者持续和不断发展的威胁。通过利用复杂的技术和针对高价值部门，这些攻击者继续对全球网络安全构成重大风险。组织必须保持警惕，使用高级检测工具，并教育他们的员工以减轻此类威胁的影响。

来源：

https://securityonline.info/new-north-korean-backdoor-niki-targets-aerospace-and-defense-sectors/

**

漏洞情报

**

微软修补蓝牙服务远程代码执行漏洞

  Tag：远程代码执行漏洞, 补丁星期二 

事件概述：

微软在2023年3月的补丁星期二中修复了一个蓝牙服务的远程代码执行漏洞。这个漏洞可能允许未经授权的威胁行为者在Windows蓝牙驱动程序上运行特定函数，从而在易受攻击的系统上执行任意代码。然而，威胁行为者必须在利用这个漏洞之前能够访问和受害系统相同的网络。这个问题与蓝牙低能量（BLE）和广告有关，以提供简单的洞察。受影响的产品包括Windows Server 2022，Windows 10版本22H2（ARM，x64），Windows 11版本21H2（ARM，x64），Windows 11版本22H2（ARM，x64），Windows 10版本20H2（ARM）。建议这些Windows产品的用户升级到最新版本，以防止威胁行为者未经授权地利用这个漏洞。

此次修复的漏洞位于微软蓝牙堆栈中，该堆栈由多个不同的驱动程序、服务和用户模式库组成，其架构相当复杂。广告数据包含多个信息，由BLE兼容设备接收，并在不同的地方进行解析。微软实现了一个静态库，链接到模块中。这个库中有两个函数在解析广告数据中起着重要的作用，分别是BTHLELib_ADValidateEx和BthLeLib_ADValidateBasic。漏洞在于，当一个8位无符号整数在数据中有超过255个部分时，会导致变量溢出。这最终会导致计数值低于实际的部分数量，也会导致为部分数组分配的内存量低于预期。当从单个部分复制数据到应属于部分数组的内存时，会出现越界写入漏洞。微软在2023年3月的补丁星期二修复了这个漏洞，如果*out_num_sections*达到255，BthLeLib_ADValidateBasic将报错退出。

来源：

https://cybersecuritynews.com/windows-bluetooth-rce-vulnerability/

**

勒索专题

**

Atlas Oil遭受Black Basta组织的勒索软件攻击，约730GB数据被窃取

  Tag：Black Basta, 网络安全措施 

事件概述：

Atlas Oil，一家石油和燃料分销行业的主要公司，最近成为Black Basta组织的勒索软件攻击的目标。据Black Basta称，他们窃取了约730GB的数据。这次攻击不仅威胁到公司的敏感数据，还可能对公司的运营和声誉造成潜在的损害。尽管Atlas Oil并未公开承认数据被泄露，但其网站上的一个链接暗示了这一事件。这次攻击可能会引发一系列的经济挑战，从地方经济到全球市场，跨行业，凸显出强大的网络安全框架和积极的风险管理策略的重要性。

Atlas Oil的数据泄露事件强调了强大网络安全措施的重要性。被暴露的信息突显了可能的重大财务损失、运营中断、法律责任和声誉损害。Atlas Oil必须立即采取行动来减轻这些风险，包括通知受影响的各方，加强网络安全措施，并进行彻底的调查以了解数据泄露的全面影响。组织必须优先实施强大的安全协议，定期对员工进行数据保护实践的培训，并制定全面的事件响应计划。这些措施对于防御网络威胁和减轻可能的数据泄露的影响至关重要。通过采取积极和全面的步骤，组织可以更好地保护自己免受数据泄露的可能灾难性影响，并保护员工和客户的隐私和安全。

来源：

https://https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/atlas-oil-the-consequences-of-a-ransomware-attack/

**

钓鱼专题

**

洛杉矶公共卫生部门超过50个员工电子邮件账户在医疗钓鱼攻击中被入侵

  Tag：钓鱼攻击, HIPAA安全规则 

事件概述：

洛杉矶公共卫生部门受到了一场钓鱼攻击，超过50个员工的电子邮件账户被入侵，超过20万个人的敏感信息被泄露。在这场攻击中，威胁行动者假冒了一个值得信赖的发送者，并通过电子邮件发送了一个链接，将员工引导到一个恶意网站，收集电子邮件凭证。53名员工上当受骗，他们的电子邮件账户包含了可用于身份盗窃和欺诈的高度敏感信息，包括姓名、出生日期和社会保险号，以及财务信息和健康保险信息。这场攻击清楚地展示了钓鱼攻击可能造成的破坏，以及一个精心策划的攻击如何愚弄许多员工并导致昂贵的数据泄露。

在这场攻击中，攻击者通过伪造信任的发送者，通过电子邮件发送恶意链接，将员工引导到一个恶意网站，收集电子邮件凭证。这个网站被设计得看起来像是合法的，并要求他们登录。当他们输入凭证时，这些凭证被捕获并用于访问员工的电子邮件账户。这清楚地显示了钓鱼攻击的破坏性，以及一个精心策划的攻击如何欺骗许多员工并导致数据泄露。此外，医疗机构必须实施技术保护措施以遵守HIPAA安全规则。TitanHQ为医疗机构提供了一系列基于云的安全解决方案，以管理风险并实现安全规则的合规。这些包括SpamTitan反垃圾邮件软件，它结合了人工智能和机器学习算法来预测钓鱼尝试，并使用双重防病毒引擎和电子邮件沙箱来对抗恶意软件。WebTitan网络过滤器可以防止基于互联网的威胁，可以用来阻止访问恶意和风险网站，阻止从互联网下载可执行文件以对抗恶意软件。使用Microsoft 365的医疗机构可以通过PhishTitan - 一种下一代基于人工智能的反钓鱼解决方案，提高对钓鱼的防护，该解决方案提供了无与伦比的防护，可以快速补救钓鱼威胁，防止钓鱼尝试入侵多个电子邮件账户。

来源：

https://www.spamtitan.com/blog/53-employee-email-accounts-compromised-healthcare-phishing-attack/

**

数据泄露专题

**

李维斯公司遭遇重大数据泄露，影响超过72,000用户

  Tag：数据泄露, 网络安全 

事件概述：

知名美国服装公司李维斯斯特劳斯公司（Levi Strauss & Co.）公布了一起影响超过72,000名客户的重大数据泄露事件。该事件发生在2024年6月13日，并在当天被发现。被泄露的数据包括因网络攻击者利用漏洞而暴露的个人身份信息，如姓名。此次泄露影响了72,231个个体，其中包括75名缅因州居民。尽管泄露严重，但公司并未向受影响的个人提供身份盗窃保护服务。通知强调了保持警惕的重要性，并建议客户监控其账户以寻找可疑活动。

尽管李维斯公司对数据保护和隐私的承诺，其隐私政策和安全措施旨在保护消费者信息，但此次泄露事件突显了企业在保护敏感客户数据面临的持续挑战。该公司的高级领导团队定期接收有关数据隐私和安全的更新，所有员工都必须接受每年一次的强制性信息安全培训。然而，尽管有这些措施，李维斯公司最近的这次泄露事件，鲜明地提醒了我们，在数字时代的脆弱性和保护个人信息的强大网络安全措施的关键需求。

来源：

https://cybersecuritynews.com/levis-data-breach-72000-customers-data-exposed/

- END -