安全威胁情报周报(5.20~5.26)
一周威胁情报摘要
=============================
金融威胁情报
- Ebury僵尸网络继续扩展,加密货币节点成为目标
政府威胁情报
- 朝鲜政府派遣技术人员进行全球网络渗透
能源威胁情报
- 华盛顿州小镇加油站遭黑客攻击,损失超过$10,000
工业威胁情报
- 罗克韦尔发出紧急通知:断开所有未设计用于连接互联网的工控系统
流行威胁情报
- 新型Android银行木马“Antidot”伪装成Google Play更新应用
高级威胁情报
- Turla APT利用两个新的后门入侵欧洲外交部
漏洞情报
- 暗网广告宣传Sonicwall SSL-VPN漏洞利用
勒索专题
- Phorpiex僵尸网络通过数百万钓鱼邮件发起大规模LockBit Black勒索软件攻击
钓鱼专题
- 黑客利用网络钓鱼攻击针对Docusign用户进行凭证窃取
数据泄露专题
- 桑坦德银行数据泄露
=========================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================
**
金融威胁情报
**
Ebury僵尸网络继续扩展,加密货币节点成为目标
Tag:Ebury僵尸网络, OpenSSH后门
事件概述:
尽管Ebury僵尸网络的一名犯罪分子在2014年和2017年被逮捕和定罪,但该网络仍在扩展。Ebury是一种OpenSSH后门和凭证窃取器,我们通过蜜罐系统追踪新样本和网络指标。然而,随着Ebury的演变,运行这样的蜜罐变得越来越困难。例如,当Ebury被安装时,我们的一个蜜罐并未如预期那样反应。Ebury的操作者最终放弃了服务器,并发送了一条消息,显示他们知道我们试图欺骗他们的尝试。受害者中有许多托管提供商。该团伙利用其对托管提供商基础设施的访问权限,在该提供商租赁的所有服务器上安装Ebury。作为实验,我们从一个被妥协的托管提供商那里租赁了一个虚拟服务器:Ebury在七天内就被安装在我们的服务器上。
Ebury操作者利用现有的Ebury妥协服务器在与目标相同的网络段中执行ARP欺骗。根据互联网遥测,2023年有超过200台服务器成为目标。目标中包括比特币和以太坊节点。Ebury会自动窃取托管在目标服务器上的加密货币钱包,一旦受害者输入密码登录,就会立即被窃取。此外,Ebury操作者还采用了一种有趣的方法,即使用中间对手拦截数据中心内感兴趣目标的SSH流量,并将其重定向到用于捕获凭证的服务器。这些操作表明,Ebury僵尸网络的运营者技术娴熟,能够利用各种手段扩大感染范围,窃取更多的凭证信息。这也警示我们,网络安全防护措施必须不断更新,以应对日益复杂的网络攻击。
来源:
**
政府威胁情报
**
朝鲜政府派遣技术人员进行全球网络渗透
Tag:网络攻击, 敏感数据
事件概述:
美国联邦调查局、国务院和财政部最近发出警告,称朝鲜政府已派遣数千名技术精湛的工作人员到中国、俄罗斯和其他东欧、东南亚及非洲国家,潜入自由职业者网络,寻找可以让他们接触到敏感数据和系统的工作机会。这些朝鲜信息技术工作者在非制裁国家生活,伪装成非朝鲜工作人员,利用伪造的文件或通过购买自由职业服务账户寻找远程工作机会,有时还利用他们的特权访问权限插入漏洞、导致配置错误或发动网络攻击。2021年5月16日,美国司法部公布了对五人的起诉,其中包括一名帮助朝鲜IT工作人员验证他们偷窃身份以冒充美国公民的亚利桑那州女子。
朝鲜政府的这种行动模式颠覆了传统的网络攻击模式,他们通过派遣信息技术工作者到全球各地,寻找可以让他们接触到敏感数据和系统的工作机会,然后利用这些机会插入漏洞、导致配置错误或发动网络攻击。这种行动模式的目标是让朝鲜的IT工作人员通过与富裕国家的公司签订自由职业合同来创造收入。他们通过移民到其他国家,可以代表其他国家的公民,或者通过合作者,冒充其他国家,如南韩或中国,甚至是东欧或美国的远程工作者。这种行动模式的成功在很大程度上取决于朝鲜政府对其工作人员的严格控制,他们通常没有太多的选择,工作时间长,行动受到严格限制。这种行动模式的成功也取决于他们在长期的时间内建立起对代理人和最终的受害者——美国和欧洲的公司的信任。
来源:
**
能源威胁情报
**
华盛顿州小镇加油站遭黑客攻击,损失超过$10,000
Tag:网络攻击, 蓝牙代理设备
事件概述:
近期,华盛顿州Moses Lake小镇的一家小型加油站遭受了一次不同寻常的网络攻击。据当地新闻机构Source One报道,本月早些时候,网络犯罪分子成功入侵One Stop Mart加油站的油泵,盗取了价值超过$10,000的数千加仑汽油。黑客通过破解油泵的蓝牙代理设备实施攻击,但并未侵入加油站的内部系统,也没有报告银行和信用卡信息被盗的情况。业主Kamaljit Singh在检查柴油油箱后发现了这个问题,并确认油箱已被切换到手动模式。他目前正在与警方合作,寻找犯罪者。
这起事件表明,网络攻击的形式多样,不仅仅局限于数据泄露或勒索软件攻击。在这起事件中,黑客通过破解油泵的蓝牙代理设备实施攻击,这种攻击方式相对较新,但却能造成实质性的经济损失。这也提醒我们,任何连接到网络的设备都可能成为攻击目标,因此必须采取有效的安全措施进行防护。尽管在这次事件中,黑客并未侵入加油站的内部系统,也没有盗取银行和信用卡信息,但这并不意味着这些信息不会在未来的攻击中被盗取。因此,加强多因素身份验证、威胁情报共享和自动化安全措施的重要性不言而喻。同时,对于此类攻击,我们也需要提高警惕,及时发现并处理问题,以减少损失。
来源:
https://www.pandasecurity.com/en/mediacenter/hackers-run-away-with-fuel-stolen-washington/
**
工业威胁情报
**
罗克韦尔发出紧急通知:断开所有未设计用于连接互联网的工控系统
Tag:工业控制系统(ICS), 美国网络安全和基础设施安全局(CISA)
事件概述:
近日,工业自动化巨头罗克韦尔向全球客户发出紧急通知,要求切断所有未设计用于连接互联网的工业控制系统(ICS)与互联网的连接,以应对网络攻击活动的增加。罗克韦尔建议,网络安全人员不应将此类工控系统设备配置为允许来自本地网络以外的系统远程连接。此举可以大幅减少遭受攻击的风险,阻止攻击者获取内部网络的访问权限。罗克韦尔还提醒客户采取必要的缓解措施,以保护其设备免受安全漏洞的攻击。美国网络安全和基础设施安全局(CISA)也发布了警报,强调了罗克韦尔的新指南。
罗克韦尔的紧急通知突显了网络安全在工业控制系统中的重要性。随着地缘政治局势的紧张和网络攻击活动的增加,罗克韦尔提醒全球客户,不应将工控系统设备配置为允许来自本地网络以外的系统远程连接。这一行动可以大幅降低遭受攻击的风险,尤其是针对尚未修复安全漏洞的工控系统。此外,罗克韦尔还提醒客户采取必要的缓解措施,以保护其设备免受安全漏洞的攻击。美国网络安全和基础设施安全局(CISA)的警报也进一步强调了罗克韦尔新指南的重要性,以减少工控系统设备遭受网络攻击的风险。这些事件再次提醒我们,网络安全不仅仅是一个技术问题,更是一个涉及到全球安全、政治和经济的重大问题。
来源:
https://www.secrss.com/articles/66350
**
流行威胁情报
**
新型Android银行木马“Antidot”伪装成Google Play更新应用
Tag:Antidot, 命令和控制(C&C)服务器
事件概述:
安全研究人员发现了一种名为“Antidot”的新型Android银行木马,该木马伪装成Google Play更新应用,以覆盖攻击和键盘记录为主要手段,窃取用户敏感信息。该木马能够实时与其命令和控制(C&C)服务器进行双向交互,执行从服务器接收的各种命令,包括收集短信、发起USSD请求,甚至远程控制设备功能,如摄像头和屏幕锁定。此外,Antidot还利用MediaProjection实现了VNC,可以远程控制被感染的设备。
“Antidot”木马在安装后显示假的Google Play更新页面,我们发现这个假更新页面有多种语言版本,包括德语、法语、西班牙语、俄语、葡萄牙语、罗马尼亚语和英语,这表明该木马的目标是这些语言区域的Android用户。在技术细节方面,像其他Android银行木马一样,Antidot也依赖于辅助功能服务来执行其恶意活动。在后台,该木马启动与其C&C服务器的通信,除了HTTP连接外,Antidot银行木马还使用socket.io库建立WebSocket通信,实现服务器和客户端之间的实时、双向通信。一旦用户授予辅助功能服务权限,该木马就会向服务器发送第一个“ping消息”,并附带Base64编码的数据。在执行过程中,我们观察到该木马接收到了多个命令,包括“sos”、“setSettings”、“getApps”和“getSMS”。此外,Antidot木马还利用MediaProjection功能捕获被感染设备的显示内容,然后将这些内容编码并传输到C&C服务器。
来源:
https://unsafe.sh/go-239868.html
**
高级威胁情报
**
Turla APT利用两个新的后门入侵欧洲外交部
Tag:Turla APT组织, Zabbix网络和应用程序监控软件
事件概述:
据ESET研究人员发现,与俄罗斯有关的Turla APT组织使用两个名为LunarWeb和LunarMail的新后门,成功入侵了欧洲外交部及其海外使团。这两个后门的设计目的是在目标网络中进行长期威胁,数据窃取,并保持对被侵害系统的控制。尽管入侵的初始访问方式仍不清楚,但证据显示可能存在网络钓鱼和利用配置错误的Zabbix网络和应用程序监控软件的情况。研究人员注意到一个LunarWeb组件模仿Zabbix日志,以及一个后门命令检索Zabbix代理配置。专家还发现了包括一个武器化Word文档安装LunarMail后门的网络钓鱼消息。
LunarWeb和LunarMail两个后门的技术特性各有不同。LunarWeb部署在服务器上,使用HTTP(S)进行其C&C通信,并模仿合法请求。LunarMail部署在工作站上,作为Outlook插件持久存在,并使用电子邮件消息进行其C&C通信。LunarWeb使用多种持久化方法,包括创建组策略扩展,替换系统DLL,并作为合法软件的一部分进行部署。执行链以ESET追踪的LunarLoader作为加载器开始。它使用RC4对称密钥密码来解密有效载荷。一旦Lunar后门侵入了一个系统,它就会等待来自C2服务器的命令。网络间谍还使用了被盗的凭证进行横向移动。LunarWeb还可以执行shell和PowerShell命令,收集系统信息,运行Lua代码,并以AES-256加密形式泄露数据。LunarMail部署在带有Microsoft Outlook的工作站上,使用基于电子邮件的通信系统(Outlook消息API(MAPI))来规避在HTTPS流量被监控的环境中的检测。后门通过电子邮件附件与C2服务器进行通信,通常隐藏在.PNG图像中。LunarMail可以创建进程,截屏,写入文件,并执行Lua脚本,从而间接运行shell和PowerShell命令。
来源:
https://unsafe.sh/go-240151.html
**
漏洞情报
**
暗网广告宣传Sonicwall SSL-VPN漏洞利用
Tag:SonicWALL SSL-VPN设备, 网络安全措施
事件概述:
近日,一种针对SonicWALL SSL-VPN设备的新漏洞在暗网上发布,该漏洞允许人们未经许可进入私人网络,这一消息首次由知名黑客新闻网站Daily Dark Web在其官方Twitter账户上分享。若此漏洞被利用,网络犯罪分子可以绕过安全措施,进入私人数据和系统。专家们正在迅速确定这个漏洞对SonicWALL(一家知名网络安全产品制造商)意味着什么。由于该漏洞在暗网上,人们非常担忧网络攻击的广泛性,尤其是针对使用SonicWALL的SSL-VPN技术的企业和机构。
在这种情况下,黑客专家迅速做出反应,告诉公司他们需要立即保护自己的网络。一些建议包括使用最新的固件,设置多因素认证,并进行全面的安全审计以找到并修复任何可能的弱点。尽管SonicWALL尚未公开评论这个漏洞,但该公司可能很快会提供建议和补丁来解决问题。与此同时,网络安全公司和独立专家正在努力弄清楚如何阻止这个漏洞并降低其发生的可能性。这个事件表明,网络威胁总是在变化,维护强大的安全措施是多么重要。随着事态的变化,企业被告知要保持警惕,采取行动保护他们的数字资产。
来源:
https://gbhackers.com/sonicwall-ssl-vpn-exploit/
**
勒索专题
**
Phorpiex僵尸网络通过数百万钓鱼邮件发起大规模LockBit Black勒索软件攻击
Tag:Phorpiex僵尸网络, LockBit Black勒索软件
事件概述:
自4月以来,Phorpiex僵尸网络通过数百万钓鱼邮件,进行大规模的LockBit Black勒索软件攻击。新泽西州的网络安全和通信集成单元(NJCCIC)警告,攻击者使用包含可执行程序的ZIP附件,部署LockBit Black有效载荷,如果启动,将加密接收者的系统。这些钓鱼邮件使用“Jenny Brown”或“Jenny Green”别名,通过全球超过1500个独特的IP地址发送,包括哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。攻击链开始于接收者打开恶意ZIP存档附件并执行其中的二进制文件。这个可执行文件然后从Phorphiex僵尸网络的基础设施下载一个LockBit Black勒索软件样本,并在受害者的系统上执行它。
在这次攻击中部署的LockBit Black加密器可能是使用在2022年9月由一位不满的开发者在Twitter上泄露的LockBit 3.0构建器构建的。然而,这个活动被认为与实际的LockBit勒索软件操作没有任何关联。网络安全公司Proofpoint自4月24日以来一直在调查这些大规模的攻击,周一表示,威胁行为者针对全球各行业的公司。尽管这种方法并不新鲜,但是发送的大量电子邮件数量和用作第一阶段有效载荷的勒索软件使其在缺乏其他网络攻击复杂性的情况下脱颖而出。Phorpiex僵尸网络(也被称为Trik)已经活跃了十多年。它从一个通过可移动USB存储和Skype或Windows Live Messenger聊天传播的蠕虫,演变成一个使用电子邮件垃圾邮件交付的IRC控制的木马。为了防御推动勒索软件的钓鱼攻击,NJCCIC建议实施勒索软件风险缓解策略,并使用端点安全解决方案和电子邮件过滤解决方案(如垃圾邮件过滤器)来阻止可能的恶意信息。
来源:
**
钓鱼专题
**
黑客利用网络钓鱼攻击针对Docusign用户进行凭证窃取
Tag:网络钓鱼, Abnormal Security
事件概述:
近期,Abnormal Security的网络安全分析师发现,黑客正在积极利用可定制的网络钓鱼模板,通过Docusign来窃取用户凭证。这些精心设计的伪造电子邮件假装是来自Docusign的合法文档签名请求,但它们利用了Docusign广泛使用和受信任的事实。黑暗网络的匿名性使威胁行为者能够交易和定制Docusign模板,进行大规模的网络钓鱼、身份盗窃和金融欺诈。有的威胁行为者通过网络钓鱼窃取Docusign密码,然后使用它们进行BEC和企业间谍活动。例如,他们可以查看文件并找到支付信息,黑入公司的账户,并假装是该公司向合作伙伴请求资金。他们还会将关键文件(如合并的战略计划、财务状况和客户名单)出售给外部人员,或者利用它作为诱饵进行敲诈。
网络钓鱼是黑客最喜欢的攻击方式,因为它利用的是人类的弱点,而不是技术缺陷,这使得它成为一种高效且低成本的攻击方法。网络钓鱼攻击可以轻易地扩大目标范围,增加成功的可能性。然而,这种攻击方式的成功也依赖于高质量的钓鱼模板。黑客通常在犯罪论坛上购买模板,或者直接从目标服务(如Docusign)获取模板。购买模板容易,但需要确保模板的复制精确,并且是独一无二的。直接下载模板可能会耗时并且风险较高,因为它可能涉及到手动复制和揭示犯罪者的身份。为了最大化利润,网络犯罪团伙通常会购买大量的预制模板,或者将其创建外包给第三方。
来源:
https://gbhackers.com/docusign-phishing-credential-theft/
**
数据泄露专题
**
桑坦德银行数据泄露
Tag:数据泄露, 黑客入侵
事件概述:
桑坦德银行确认,其在西班牙、乌拉圭和智利的员工和客户受到了一次重大数据泄露。这次泄露起源于某人入侵了由第三方提供商托管的数据库。桑坦德银行在得知此次泄露后,迅速采取措施进行控制,阻止未经授权的人访问信息,并增加了更多控制措施以防止欺诈,保护受影响的客户。调查显示,桑坦德银行在智利、西班牙和乌拉圭的一些客户的信息,以及该集团所有现有和一些过去的员工的信息,已被访问。然而,所有其他桑坦德公司和市场在此次泄露中并未丢失任何客户数据。
桑坦德银行在得知数据泄露后,迅速采取了应对措施,包括阻止未经授权的人访问信息,增加防欺诈控制措施,以及启动全面调查以确定泄露的严重程度。此外,桑坦德银行还向其客户保证,被黑客入侵的数据库并未包含任何可以用于进行账户交易的交易数据或凭证,如在线银行的登录信息和密码。这意味着客户仍然可以安全地与银行进行业务,因为其流程和系统并未受到影响。尽管如此,桑坦德银行仍在努力提高其安全性,以防止类似问题再次发生。这次事件再次强调了多因素认证、威胁情报共享和自动化安全措施的重要性。
来源:
https://gbhackers.com/santander-data-breach/
- END -
