安全威胁情报周报(5.27~6.2)
一周威胁情报摘要
=============================
金融威胁情报
- 服务器端信用卡窃取器潜伏在鲜为人知的插件中
政府威胁情报
- 微软交换服务器主页遭遇键盘记录器嵌入攻击
能源威胁情报
- LilacSquid 网络间谍活动针对 IT、能源和制药行业
工业威胁情报
- ICS蜜罐遭遇“redtail”恶意软件攻击分析
流行威胁情报
- SolarMarker恶意软件复杂结构探索
高级威胁情报
- LilacSquid APT团伙与数据泄露事件
漏洞情报
- Foxit PDF阅读器存在严重漏洞,黑客可执行恶意命令
勒索专题
- LockBit 勒索软件团伙声称对加拿大药店连锁企业 London Drugs 的网络攻击负责并威胁泄露数据
数据泄露专题
- 苹果Wi-Fi定位系统可能被滥用,引发全球隐私问题
=======================================================================================================================================================================================================================================================================================================================================================================================================================================================================================
**
金融威胁情报
**
服务器端信用卡窃取器潜伏在鲜为人知的插件中
Tag:Dessky Snippets插件, WooCommerce
事件概述:
黑客总是在寻找新的方式将恶意软件注入网站,并使用新的方法使其难以被检测。近期,攻击者利用一个名为Dessky Snippets的鲜为人知的WordPress插件,将服务器端恶意软件安装到WooCommerce在线商店中,用以窃取信用卡信息。攻击者在获取到wp-admin管理员面板的访问权限后,常常会滥用WordPress插件,以便在受害者网站中添加或操作代码或文件。在此次攻击中,攻击者选择使用Dessky Snippets插件,该插件在编写时只有几百个活跃安装。
在此次攻击中,攻击者选择使用Dessky Snippets插件,该插件在编写时只有几百个活跃安装。该插件的代码在去混淆和美化后,我们可以看到twentytwenty_get_post_logos(作为WooCommerce woocommerce_after_checkout_billing_form钩子的钩子)向结算表单添加了几个新字段,这些字段请求信用卡详细信息(真正的结算过程在后续页面上请求此信息)。该代码片段在每次页面加载时都会执行。它监视与注入表单字段相关的“ccc”参数的POST数据。一旦检测到这些参数,结算表单中的所有值以及信用卡详细信息都会发送到第三方URL hxxps://2of.cc/wp-content。为了防止此类攻击,电商网站需要定期更新CMS、插件、主题和任何第三方组件以修补漏洞,确保所有账户,包括管理员、sFTP和数据库凭据,都有强大且独特的密码,仅从信誉良好的来源集成第三方JavaScript,避免不必要的第三方脚本,并使用Web应用防火墙阻止恶意机器人,虚拟修补已知漏洞,并过滤有害流量。
来源:
**
政府威胁情报
**
微软交换服务器主页遭遇键盘记录器嵌入攻击
Tag:键盘记录器, ProxyShell
事件概述:
正面科技专家安全中心的事件响应团队在回应一次事件时,发现了一个未知的键盘记录器嵌入到了我们的一位客户的主要微软交换服务器页面中。这个键盘记录器正在将账户凭证收集到一个可以通过特殊路径从互联网访问的文件中。团队已经确认了超过30名受害者,其中大部分与各国政府机构有关。据我们的数据,第一次妥协发生在2021年。在没有额外数据的情况下,我们无法将这些攻击归因于特定的团队;然而,大多数受害者位于非洲和中东。
攻击方案:为了注入窃取器,黑客利用了ProxyShell,这是一个已知的微软交换服务器漏洞。接下来,他们将键盘记录器代码添加到服务器主页。这就是黑客嵌入到微软交换服务器主页的代码,特别是嵌入到clkLgn()函数中的代码。我们已经确认了超过30名受害者,主要是来自各国的政府机构。受害者名单还包括银行、IT公司和教育机构。受这些攻击影响的国家包括俄罗斯、阿联酋、科威特、阿曼、尼日尔、尼日利亚、埃塞俄比亚、毛里求斯、约旦和黎巴嫩。所有的受害者都已经被通知了这次的侵害。推荐:你可以通过在你的微软交换服务器的主页上搜索窃取器代码来检查潜在的妥协。如果你的服务器已经被妥协,确定已经被偷走的账户数据,并删除存储这些数据的文件。你可以在logon.aspx文件中找到这个文件的路径。确保你正在使用最新版本的微软交换服务器,或者安装待处理的更新。如果需要,正面科技专家安全中心的专家们准备好帮助你进行调查。
来源:
**
能源威胁情报
**
LilacSquid 网络间谍活动针对 IT、能源和制药行业
Tag:LilacSquid, 欧洲能源公司
事件概述:
自2021年起,名为LilacSquid的APT组织针对美国工业和研究领域的IT软件供应商、欧洲能源公司和亚洲制药实体发起了数据泄露攻击,作为其网络间谍活动的一部分。攻击者利用已知软件漏洞和远程桌面协议凭证进行入侵,并使用开源远程管理工具MeshAgent或InkLoader分发PurpleInk恶意软件,这是一种定制版的QuasarRAT木马。
技术综述:Cisco Talos的报告揭示了LilacSquid的攻击技术细节。PurpleInk恶意软件能够执行新应用程序、文件操作、远程shell部署、目录和进程枚举、系统信息收集以及与命令和控制服务器的通信。研究人员还指出,LilacSquid使用的攻击技术和工具与Lazarus Group的子集Andariel有相似之处,包括MeshAgent和Secure Socket Funneling的使用。
来源:
https://www.www.scmagazine.com/brief/global-cyberespionage-campaign-deployed-by-lilacsquid
**
工业威胁情报
**
ICS蜜罐遭遇“redtail”恶意软件攻击分析
Tag:ICS蜜罐, redtail
事件概述:
本文介绍了一种名为“redtail”的恶意软件对ICS蜜罐的攻击事件。该恶意软件主要用于秘密挖掘加密货币,其特点是可以在4种不同的CPU架构上运行,这意味着它有可能感染大量的设备/主机。在这次攻击中,威胁行为者首先通过SSH端口2222连接到蜜罐,然后上传了5个文件(redtail.arm7, redtail.arm8, redtail.i686, redtail.x86_64, setup.sh)。然后,攻击者运行命令使setup.sh文件可执行,然后将自定义公钥添加到~/.ssh/authorized_keys文件中,并使用命令使该文件不可修改。通过对setup.sh的代码进行深入分析,我们发现远程IP的真实意图:根据主机架构的不同,将相应的redtail可执行文件的内容复制到主机上的“.redtail”文件中,并执行这个新文件,然后删除原始的上传的redtail文件。
本次攻击的初步分析开始于对一个早期攻击观察的评估。分析人员首先评估了IP地址193.222.96.163,该IP地址首次被发现在2024年2月23日12:23:25通过SSH端口2222连接到蜜罐,显示为快速连续登录,每次增加23(这是机器人行为的标志)。在使用[root/lenovo]凭据登录失败后,攻击者成功使用[root/Passw0rd123]凭据登录。认证后,攻击者向蜜罐上传了5个文件(redtail.arm7, redtail.arm8, redtail.i686, redtail.x86_64, setup.sh)。然后,攻击者运行命令使setup.sh文件可执行,然后将自定义公钥添加到~/.ssh/authorized_keys文件中,并使用命令使该文件不可修改。对setup.sh的代码进行深入分析,我们可以更深入地了解远程IP的意图。具体来说,shell脚本试图根据chattr +ai命令的输出确定主机架构。然后,脚本将相关的redtail可执行文件的内容复制到主机上的“.redtail”文件中,并执行这个新文件,然后删除原始上传的redtail文件。如果无法确定架构,那么所有的“redtail”文件内容都会被复制到“.redtail”文件中以备不时之需。
来源:
https://unsafe.sh/go-241047.html
**
流行威胁情报
**
SolarMarker恶意软件复杂结构探索
Tag:SolarMarker, Recorded Future Network Intelligence
事件概述:
SolarMarker,也被称为Yellow Cockatoo和Jupyter Infostealer,是一种以窃取信息为主的恶意软件,自2021年以来一直活跃。该恶意软件采用了多层次的基础设施,并针对教育、医疗和中小企业等行业。为了避免被检测,它采用了如Authenticode证书和大型zip文件等先进的逃避技术。SolarMarker的运营核心是其分层基础设施,至少包括两个集群:一个主要的用于活动操作,另一个可能用于测试新策略或针对特定地区或行业。这种分离增强了恶意软件的适应性和反应对策的能力,使其特别难以根除。
Recorded Future Network Intelligence揭示了多个行业的大量受害者,包括教育、医疗、政府、酒店和中小企业。这种恶意软件既针对个人,也针对组织,窃取大量数据,这些数据可能在犯罪论坛上出售,导致进一步的剥削和攻击。在短期内,防御SolarMarker的策略应包括执行应用程序允许列表,以防止下载看似合法的含有恶意软件的文件。如果允许列表不可行,企业应对员工进行彻底的安全培训,以识别潜在破坏的迹象,如意外的文件下载或重定向,可能表明有恶意广告。报告的附录详细说明,使用YARA和Snort规则对于检测当前和历史感染至关重要。鉴于恶意软件的不断演变,定期更新这些规则,结合分析网络工件等额外的检测方法,是必要的。从长期来看,监控网络犯罪生态系统对于预测新威胁非常重要。组织应该完善他们的安全政策,并增强防御机制,以领先于像SolarMarker背后的威胁行为者。这包括针对网络犯罪基础设施的更好的监管措施,以及执法努力从源头解决这些威胁。
来源:
https://www.recordedfuture.com/exploring-the-depths-of-solarmarkers-multi-tiered-infrastructure
**
高级威胁情报
**
LilacSquid APT团伙与数据泄露事件
Tag:LilacSquid, InkLoader
事件概述:
LilacSquid是一个新发现的APT组织,与美国和欧洲多个行业的数据泄露攻击有关。该组织利用公开漏洞和盗取的凭证入侵系统,使用开源工具如MeshAgent和InkLoader进行侦察,并投放如PurpleInk这样的定制恶意软件。LilacSquid还使用SSF技术建立远程服务器隧道,其战术与朝鲜APT组织Andariel相似,专注于长期访问受害组织以窃取数据。
LilacSquid的入侵手段包括利用已知漏洞和盗取远程桌面协议凭证。其技术栈包括开源远程管理工具MeshAgent、.NET基础的加载器InkLoader,以及高度混淆的QuasarRAT木马变种PurpleInk。该组织还使用SSF技术建立远程服务器隧道,其策略与Andariel和Lazarus Group相似,专注于长期数据窃取。
来源:
**
漏洞情报
**
Foxit PDF阅读器存在严重漏洞,黑客可执行恶意命令
Tag:Foxit PDF阅读器, 恶意命令
事件概述:
Check Point Research发现Foxit PDF阅读器存在一个设计缺陷,黑客可通过该漏洞执行恶意命令。研究人员观察到这种利用PDF漏洞的行为主要针对Foxit Reader的用户,而Adobe Reader用户则不受此漏洞影响。该漏洞已被多个威胁行为者利用,从电子犯罪到间谍活动均有涉及。这些活动利用了该漏洞的低检测率和防护不力,甚至有行为者通过非传统方式(如Facebook)分享这些恶意PDF文件。Check Point Research已经对三个深度案例进行了隔离和调查,从军事聚焦的间谍活动到具有多个链接和工具的电子犯罪,形成了令人印象深刻的攻击链。
Foxit PDF阅读器的设计缺陷主要体现在默认选项“OK”,这可能导致大多数目标用户忽视这些消息并执行恶意代码。恶意命令在受害者“同意”默认选项两次后执行。黑客利用这种有缺陷的逻辑和常见的人类行为,将最“有害”的选择作为默认选项。此外,研究人员还发现,Foxit Reader的这个漏洞被多个威胁行为者利用,从电子犯罪到间谍活动均有涉及。这些活动利用了该漏洞的低检测率和防护不力,甚至有行为者通过非传统方式(如Facebook)分享这些恶意PDF文件。研究人员已经对三个深度案例进行了隔离和调查,从军事聚焦的间谍活动到具有多个链接和工具的电子犯罪,形成了令人印象深刻的攻击链。
来源:
https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/
**
勒索专题
**
LockBit 勒索软件团伙声称对加拿大药店连锁企业 London Drugs 的网络攻击负责并威胁泄露数据
Tag:LockBit 勒索软件团伙, Cronos 行动
事件概述:
LockBit 勒索软件团伙声称,他们在今年四月份对加拿大药店连锁企业 London Drugs 发动了网络攻击,并威胁在与该公司的谈判失败后在线上公布被盗数据。London Drugs 拥有超过 9000 名员工,在阿尔伯塔、萨斯喀彻温、马尼托巴和不列颠哥伦比亚等地的 80 多家门店提供医疗和药店服务。尽管该公司表示并未发现客户或员工数据受到影响,但 LockBit 勒索软件团伙在其勒索门户网站上添加了 London Drugs 的名字,声称他们发起了四月份的网络攻击,并威胁公布从该公司系统中盗取的数据。然而,该勒索团伙尚未提供他们从 London Drugs 服务器中盗取任何文件的证据,只声称与 London Drugs 交涉支付 2500 万美元的赎金失败。
LockBit 勒索软件团伙自 2019 年 9 月以 ABCD 的名字出现后,随后更名为 LockBit。自从出现以来,LockBit 已经声称对包括波音、大陆汽车巨头、意大利内政部、美国银行和英国皇家邮政等许多政府和全球知名组织发动了攻击。然而,2024 年 2 月,执法部门在被称为 Cronos 行动中关闭了 LockBit 的基础设施,查获了包含超过 2500 个解密密钥的 34 台服务器,这些密钥帮助创建了一个免费的 LockBit 3.0 黑色勒索软件解密器。尽管如此,LockBit 仍在活动,并已经转移到新的服务器和暗网域名。它继续在全球范围内针对受害者,并在美国和英国当局最近关闭其基础设施后,以大量释放旧数据和新数据作为报复。
来源:
**
数据泄露专题
**
苹果Wi-Fi定位系统可能被滥用,引发全球隐私问题
Tag:Wi-Fi定位系统, BSSID
事件概述:
马里兰大学的研究人员Erik Rye和Dave Levin在一篇题为“利用Wi-Fi定位系统对大众进行监控”的论文中指出,苹果的Wi-Fi定位系统(WPS)的设计可能导致大规模监控,甚至包括那些不使用苹果设备的用户。研究人员利用苹果系统的设计,编译了一个包含4.9亿个全球BSSIDs的数据库,可以用来跟踪个人和团体的移动。他们报告了他们的发现给苹果、Starlink和GL.iNet,并指出一种防止你的BSSID进入WPS数据库的方法是在AP的Wi-Fi网络名称或SSID后面添加_nomap字符串。苹果在3月27日的隐私和位置服务帮助页面更新中添加了对_nomap的支持。研究人员称,苹果正在认真对待他们的报告,并希望这些补救措施将有助于保护那些永远不知道在他们的SSID后面添加“_nomap”以防止他们被包含在苹果地理位置数据库中的接入点所有者的隐私。
苹果的Wi-Fi定位系统(WPS)的设计可能被滥用,导致大规模监控,包括那些不使用苹果设备的用户。这种威胁甚至适用于那些不拥有WPS设计的设备的用户。由于苹果的WPS不需要身份验证或限速,并且免费使用,研究人员能够在短时间内积累大量的地理位置BSSIDs。他们编译了一个包含4.9亿个全球BSSIDs的数据库,可以用来跟踪个人和团体的移动。研究人员建议,为防止BSSID进入WPS数据库,可以在AP的Wi-Fi网络名称或SSID后面添加_nomap字符串。苹果在3月27日的隐私和位置服务帮助页面更新中添加了对_nomap的支持。研究人员还建议实施BSSID随机化,这是防止被WPS跟踪的最强大的防御。他们希望这项研究能鼓励IEEE的技术专家关注这个问题,就像他们过去对MAC地址随机化做的那样。
来源:
- END -
