安全威胁情报周报（6.10~6.16）

一周威胁情报摘要

=============================

金融威胁情报

• 朝鲜威胁行为者对巴西金融等部门进行网络钓鱼攻击

政府威胁情报

• UAC-0020威胁行为体使用SPECTR恶意软件针对乌克兰防卫力量

能源威胁情报

• 光伏行业首次证实被攻击！基础设施遭漏洞利用劫持

流行威胁情报

• Intego发现伪装成Arc浏览器的独特AppleScript恶意软件

高级威胁情报

• ARC实验室深度剖析APT29组织使用的Wineloader后门

漏洞情报

• Apache HugeGraph服务器存在高危远程代码执行漏洞

• 微软Azure存在严重安全漏洞

勒索专题

• 供应链攻击的威胁日益增长：对策与挑战

钓鱼专题

• 大模型诈骗再现！“AI马斯克”借SpaceX试飞骗取数百万元

数据泄露专题

• Ticketmaster数据泄露事件：5.6亿用户信息遭泄露

========================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================

**

金融威胁情报

**

朝鲜威胁行为者对巴西金融等部门进行网络钓鱼攻击

  Tag：UNC4899, PAEKTUSAN

事件概述：

2020年以来，与朝鲜有关的威胁行为者对巴西的网络钓鱼活动占据了总量的三分之一。谷歌的Mandiant和Threat Analysis Group (TAG)部门在本周发布的一份联合报告中表示，“朝鲜政府支持的行为者已经针对巴西金融服务等部门发起攻击。”其中，以UNC4899（又名Jade Sleet, PUKCHONG, TraderTraitor）为代表的威胁行为者群体，通过携带恶意软件的Python应用程序对加密货币专业人士进行攻击。PAEKTUSAN组织通过冒充人力资源主管的账户，向第二家巴西航空航天公司的员工发送网络钓鱼邮件。另一方面，PRONTO组织试图通过假装提供去核武器和新闻相关的诱饵，欺骗外交官员访问凭证收集页面或提供他们的登录信息以查看所谓的PDF文档。

朝鲜威胁行为者在对巴西的网络攻击中，主要采用了社交工程攻击、网络钓鱼攻击和恶意软件攻击等技术。UNC4899组织通过社交媒体接触潜在目标，发送包含工作描述的PDF文档，引诱目标点击并下载带有恶意代码的Python应用程序。PAEKTUSAN组织则通过冒充人力资源主管的身份，发送包含恶意Microsoft Word附件的网络钓鱼邮件。PRONTO组织则试图通过假装提供去核武器和新闻相关的诱饵，欺骗外交官员访问凭证收集页面或提供他们的登录信息。这些攻击手段都充分利用了人们的信任感，增加了攻击的成功率。此外，Moonstone Sleet组织还通过在npm注册表上发布假冒的npm包来分发恶意软件，这种手法与UNC4899的手法相似，但两者的代码风格和结构却有所不同。这些发现再次提醒我们，开源仓库的信任感被威胁行为者滥用，使得他们能够接触到更广泛的受众，增加了恶意包被无意中安装的可能性。

来源：

https://thehackernews.com/2024/06/north-korean-hackers-target-brazilian.html

**

政府威胁情报

**

UAC-0020威胁行为体使用SPECTR恶意软件针对乌克兰防卫力量

  Tag：SickSync, CERT-UA

事件概述：

乌克兰计算机应急响应小组（CERT-UA）警告称，一场名为SickSync的网络间谍活动正在针对该国的防卫力量。这场攻击被归咎于威胁行为体UAC-0020，也被称为Vermin，该行为体在临时占领的卢甘斯克的执法机构的控制下运作。UAC-0020使用了一种名为SPECTR的恶意软件，该恶意软件自2019年以来一直活跃，可以让操作者从被感染的计算机中窃取敏感数据和文件，它依赖于合法的SyncThing软件的标准同步功能。威胁行为体发送了带有附件的鱼叉式网络钓鱼信息，附件是一个名为“turrel.fop.vovchok.rar”的密码保护的存档。

SPECTR恶意软件可以每10秒捕获一次屏幕截图，收集文件，从可移动USB驱动器中提取数据，以及从网页浏览器和Element、Signal、Skype和Telegram等应用程序中窃取凭证。“值得注意的是，被窃取的信息被复制到%APPDATA%syncSlave_Sync目录的子文件夹中，然后，使用合法程序SyncThing的标准同步功能，这些目录的内容会到达攻击者的计算机，从而确保数据外泄。” CERT-UA的报告中写道。“从网络指标（如果有信心不使用上述技术）的角度来看，考虑到建立对等连接等因素，我们建议关注与SyncThing基础设施互动的迹象：*.syncthing.net。”报告还包括网络威胁指标。

来源：

https://securityaffairs.com/164250/intelligence/spectr-malware-used-in-sicksync-campaign.html

**

能源威胁情报

**

光伏行业首次证实被攻击！基础设施遭漏洞利用劫持

  Tag：光伏行业，CVE-2022-29303

事件概述：

根据日本《产经新闻》报道，光伏行业遭到可能是全球首例公开证实的针对太阳能电网基础设施的破坏性网络攻击。一家大型太阳能工控电子制造商（CONTEC）大约800台用于监控发电量及检测异常情况的远程监控设备（SolarView Compact）被劫持，并被用于进一步盗窃企业银行账户。2024年5月，该制造商在官网也确认了此次攻击事件。

据了解，攻击者利用了2023年6月Palo Alto Networks发现的一个未修复CVE-2022-29303漏洞的系统，通过该漏洞传播Mirai僵尸网络，控制了这些远程监控设备。虽然攻击主要出于经济目的，而非攻击整个电网，但此类攻击危害却不容忽视。专家表示，此次劫持及利用监控设备漏洞，虽与劫持工业摄像头或家用路由器类似，但获得的光伏装置访问权限后，能轻易攻击同一网络中的任何东西。大型光伏电网通常有一个中央控制系统，如果黑客以破坏电网为目标，利用未打补丁的设备进行攻击，不仅能控制一个光伏电场，而且能够中断整个电网运转。此外，负责将太阳能板直流电转换为电网使用的交流电的逆变器，作为电网控制的接口，面临的风险更严重。由于最新逆变器具备通信功能，能够连接网络或者云服务，极易受到网络攻击。

此外，微步通过对CONTEC SolarView Compact光伏发电测量系统的全网资产测绘分析，发现还有几千款相关设备系统依然暴露在互联网上，相关受漏洞影响的系统版本依然在对外暴露且全部分布在日本，其相关数据信息如下：微步分析师还发现CONTEC SolarView Compact 6.00版本存在命令注入漏洞，该漏洞源于SolarView Compact中的conf_mail.php模块存在命令注入点，攻击者可利用该漏洞注入恶意命令。

来源：

https://mp.weixin.qq.com/s/GeTMMucmDdBh3Ei-VLvTNA

**

流行威胁情报

**

Intego发现伪装成Arc浏览器的独特AppleScript恶意软件

  Tag：AMOS（Atomic macOS Stealer）, AppleScript

事件概述：

安全公司 Intego 发现一种伪装成 Arc 浏览器的恶意软件，该恶意软件是 AMOS（Atomic macOS Stealer）的变体，主要通过 Google 广告进行传播。研究团队发现，该恶意软件使用了 AppleScript 负载来执行其功能，包括收集钱包、密码和其他敏感数据，并将这些数据发送给恶意软件制造者。该恶意软件的 AppleScript 代码与最近模仿 Mac 清理应用的另一场攻击活动中使用的代码非常相似。此外，恶意软件制造者还利用 Google 广告进行传播，因此建议用户改变“只是 Google 一下”寻找合法网站的习惯。

本次恶意软件攻击中，威胁行为者通过伪装成 Arc 浏览器的木马病毒进行传播。这种木马病毒是 Atomic macOS Stealer（AMOS）的样本，具有常见的信息窃取功能：收集钱包、密码和其他敏感数据，并将它们发送给恶意软件制造者。值得注意的是，这个样本使用 AppleScript 负载来执行这些功能。AppleScript 是一种脚本语言，允许用户直接控制 Mac OS，包括应用程序、磁盘、网络服务、文件等。这意味着，一旦恶意软件成功感染，就可以在用户不知情的情况下执行各种恶意操作。此外，恶意软件的传播方式也值得关注。威胁行为者通过 Google 广告进行传播，这使得恶意软件的传播更具隐蔽性和欺骗性。因此，用户在点击 Google 广告时需要更加谨慎，尽量避免点击来源不明的广告链接。

来源：

https://www.intego.com/mac-security-blog/intego-malware-discovery-fake-arc-browser-with-unique-applescript-component/

**

高级威胁情报

**

ARC实验室深度剖析APT29组织使用的Wineloader后门

  Tag：Wineloader后门, APT29组织

事件概述：

ARC实验室对APT29组织（又名NOBELIUM或COZY BEAR）使用的Wineloader后门进行了深入分析。Wineloader是一种模块化后门，最初由ZScaler发现，后由Mandiant报告。它通过加密的命令和控制（C2）通道，将其他工具或模块下载到被感染的主机。感染链开始于一封以印度大使主持的葡萄酒品鉴会为诱饵的钓鱼邮件，邮件将目标重定向到恶意网站，下载包含混淆JavaScript代码的HTA文件，执行HTA文件后，将下载包含Wineloader有效载荷的ZIP文件。Wineloader通过恶意DLL侧载执行，并通过计划任务或修改注册表键值实现持久化。

Wineloader后门使用了多种技术手段。首先，它利用混淆技术，使用重命名变量和字符串编码的JavaScript，使人类分析变得困难。然后，它通过侧载技术执行，通过sqlwriter.exe侧载恶意DLL。最后，它通过创建sqlwriter.exe的计划任务或在注册表的特定键值下建立持久性，实现对主机的持久控制。在感染链的最后阶段，它会下载一个名为text.txt的文件，该文件是一个包含sqlwriter.exe和vcruntime140.dll的编码存档。其中，vcruntime140.dll就是Wineloader的有效载荷。一旦DLL被侧载到sqlwriter.exe，Wineloader就会试图在主机上建立持久性。持久性建立后，后门会向专用的命令和控制服务器发送特定的信标请求，通知持久性完成。虽然在分析时，指定的C2服务器已离线，无法进行进一步分析，但作为第一阶段的后门，Wineloader可能会从命令和控制服务器将第二阶段的恶意有效载荷传输到被感染的设备。

来源：

https://cybersecuritynews.com/wineloader-mimic-as-ambassador/

**

漏洞情报

**

Apache HugeGraph服务器存在高危远程代码执行漏洞

  Tag：CVE-2024-27348, 远程代码执行（RCE）漏洞

事件概述：

Apache HugeGraph服务器存在一项被标识为CVE-2024-27348的高危远程代码执行（RCE）漏洞，影响了1.3.0版本之前的HugeGraph服务器，该漏洞的CVSS评分为9.8，表明其严重性。该漏洞允许攻击者通过Gremlin（Apache TinkerPop项目的重要部分）绕过沙箱限制并实现远程代码执行，使攻击者能够完全控制服务器，对使用受影响版本的HugeGraph的组织构成重大威胁。已经为该漏洞发布了修补程序，包含了几项关键的安全增强改变。使用受影响版本的HugeGraph的组织强烈建议更新到1.3.0版本或更高版本以降低风险。

CVE-2024-27348是一项严重的RCE漏洞，它通过改变当前线程的名称绕过安全检查，并使用ProcessBuilder类来执行命令。修补程序为此漏洞包括了几项关键的安全增强改变，如在LoginAPI.java文件中增强了认证/授权过程，通过添加@HeaderParam注解，该注解要求注销方法的授权令牌，并确保令牌不为空或空值。在HugeFactoryAuthProxy.java文件中引入了filterCriticalSystemClasses函数以过滤关键系统类，解决了漏洞的根本原因。在HugeSecurityManager.java文件中添加了如checkMemberAccess和optionalMethodsToFilter等方法，以防止对敏感类的未经授权的反射访问。该事件强调了强大的安全措施和及时修补的重要性，以防止潜在的利用。随着网络安全环境的演变，了解漏洞及其缓解措施对于维护系统和数据的安全性和完整性至关重要。

来源：

https://www.darkreading.com/cyberattacks-data-breaches/lilacsquid-apt-employs-open-source-tools-quasarrat

微软Azure存在严重安全漏洞

Tag：供应链攻击, Azure

事件概述：

微软Azure的一项“关键”漏洞引起了人们的关注。安全研究人员描述，攻击者可以利用这个漏洞进行供应链攻击。目前尚不清楚是否已有安全更新。Trend Micro的Zero Day Initiative的安全研究人员在一篇简短的文章中描述了这个最高评级（CVSS评分10/10）的漏洞。他们指出，攻击者可以远程无需身份验证就能利用这个漏洞。如果攻击成功，那么就可以绕过Azure的登录。这个错误存在于授予SAS令牌的权限中。研究人员目前并未详细说明具体的攻击可能是什么样子。在微软的云计算平台Azure中，攻击者可以在供应链攻击中在客户的端点系统上执行恶意代码。

安全研究人员表示，他们在2023年10月向微软报告了这个漏洞。现在他们公布了关于这个漏洞的细节。他们表示，应该已经有了一个安全补丁。但在微软的安全更新指南中，并没有提到这个更新。联邦信息技术安全办公室（BSI）的紧急团队CERT Bund表示，目前还没有解决这个安全问题的解决方案。目前尚不清楚管理员如何保护他们的系统免受可能的攻击，也不清楚是否已经有攻击发生。

来源：

https://www.heise.de/news/Kritische-Azure-Luecke-Patch-Status-derzeit-unklar-9751850.html

**

勒索专题

**

供应链攻击的威胁日益增长：对策与挑战

 Tag: 供应链攻击, Cl0p勒索软件团伙

随着世界越来越互联，供应链攻击已成为一种强大的威胁，不仅威胁到单个组织，还威胁到更广泛的数字生态系统。供应链攻击针对组织的第三方供应商和供应商的网络、系统和流程，使恶意行为者能够渗透并破坏最终受害者的基础设施。根据Capterra的研究，61%的美国企业在2023年4月前的12个月内直接受到了软件供应链攻击的影响。2023年，大约有245,000次软件供应链攻击，给企业带来了460亿美元的损失。预计到2025年，这一数字将上升到600亿美元，因为威胁行为者越来越多地目标是利用服务提供商、他们的客户和相关的第三方。

供应链攻击的目标是获得对特定系统或网络的未经授权的访问，这些系统或网络通过针对供应链更容易渗透。攻击者使用各种方法发动供应链攻击，包括利用受信任供应商的凭证，注入恶意代码，或者利用软件、硬件或流程中的漏洞。例如，2024年4月，数据压缩工具XZ Utils中发现了一个后门，使攻击者能够获得未经授权的访问和远程代码执行。此外，2023年6月，发现了Progress Software的MOVEit Transfer平台中的三个关键SQL注入漏洞，影响了大约1700个组织。Cl0p勒索软件团伙利用这些漏洞进行了广泛的攻击，目标包括Zellis、英国航空、BBC和明尼苏达州教育部。这导致了对敏感信息的未经授权访问，包括个人和财务细节。因此，组织的SOC和威胁狩猎团队必须采取主动措施来降低风险，包括实施全面的安全措施，持续评估他们的第三方关系，并保持对最新威胁的了解，以保护他们的数字生态系统。

来源：

https://redskyalliance.org/xindustry/3rd-party-cyber-attacks-supply-chain?context=tag-kali+linux

**

钓鱼专题

**

大模型诈骗再现！“AI马斯克”借SpaceX试飞骗取数百万元

 Tag: SpaceX, AI大模型

事件概述：

据环球网报道，美国东部时间6日8时50分，美国太空探索技术公司（SpaceX）新一代重型运载火箭“星舰”以及飞船集成系统从位于得克萨斯州的基地发射升空，这是“星舰”执行第四次轨道试飞任务，并在多家流媒体上进行同步直播。与此同时，微步情报局监测到，有诈骗团伙借用此次活动的热度进行诈骗。诈骗团伙在Twitter、YouTube等平台开设第三方直播间，反复播放马斯克的演讲视频，并通过PS在演讲的屏幕中引导观众扫描恶意QR CODE，从而跳转到钓鱼域名。值得注意的是，诈骗团伙利用AI大模型生成了一段马斯克的语音，从而进一步诱导观众，是一次典型的利用AI大模型发起的诈骗行为，并在短短数小时内非法获取了价值达350万元人民币的比特币。截至发稿前，已有部分诈骗直播间和链接被封禁，但仍有部分在持续活跃中。

尽管诈骗直播间制作精良，足以在久经战阵的的网民面前以假乱真，但其诈骗手段并不高明。钓鱼页面声称，SpaceX在第四次飞行测试期间赠送巨额加密货币，有机会瓜分1,000 BTC & 10,000 ETH & 100,000,000 DOGE & 10,000,000 USDT（有些钓鱼网站说的是3000BTC，50000ETH等）。参与活动的方法也很简单，存现返现，200%的收益，并且只能参加一次！攻击者在多个不同的网站上都放出了钱包地址，地址各不相同，并且这些钱包地址时刻还在变化：进一步查询BTC钱包地址：1BbqULjFYsjfMHyH4mJb6F4fe1AC5hEypT，最早一次交易发生在北京时间2024年6月6日 21:01:04，差不多是SpaceX开始第四次试飞发射的时间。截至6月7日00:00点，该钱包共计进行了94笔交易，在短短三个小时内骗取6.86080605个比特币，价值人民币三百五十多万元。

来源：

https://mp.weixin.qq.com/s/rsbsb2ExjmjcZzhKqSdEow

**

数据泄露专题

**

Ticketmaster数据泄露事件：5.6亿用户信息遭泄露

  Tag：网络安全事件, 多因素认证

事件概述：

Ticketmaster的母公司Live Nation确认，Ticketmaster发生了一起重大的网络安全事件，导致5.6亿用户的个人和卡信息被泄露。据报道，此次数据泄露事件发生在5月20日，一名网络犯罪分子在暗网上出售Ticketmaster用户数据。这次未经授权的活动被追踪到Ticketmaster使用的第三方云数据库环境。尽管Live Nation没有正式命名这项服务，但一位未具名的Ticketmaster发言人暗示了波士顿的云存储和分析公司Snowflake。Snowflake最近向其部分客户发出通知，称他们的账户遭到了攻击。然而，Snowflake否认了对此次泄露事件负责，他们指出，这次事件并非由于他们平台上的漏洞或配置错误，而是由于Ticketmaster使用了单因素认证，这使得数据容易通过信息窃取恶意软件获得的凭证被盗。

在与网络安全公司CrowdStrike和Mandiant联合发表的声明中，Snowflake强调了多因素认证(MFA)、网络策略规则和定期重置凭证的重要性，以减轻此类风险。这些措施符合长期以来的安全建议，包括SecureMac的建议，该公司敦促用户避免重复使用密码，并始终使用两因素或多因素认证。此次泄露事件凸显了强大安全措施的重要性，尤其是对于处理大量敏感客户信息的公司。专家建议实施MFA，设置严格的网络策略，并定期更新凭证以防范类似的网络威胁。在Ticketmaster数据泄露事件发生后，用户需要立即采取措施保护个人信息。这些措施包括更改密码，启用两因素认证(2FA)，警惕假冒的供应商，避免储存卡详细信息，并设置身份监控。尽管Ticketmaster尚未就此次泄露事件进行直接沟通，但采取这些主动步骤可以帮助减轻潜在的损害。

来源：

https://www.securemac.com/checklist/checklist-378-probable-ticketmaster-data-breach

- END -