点击蓝字关注我们
重要提醒
周报汇总下载前往TI平台:
https://ti.dbappsecurity.com.cn/info
首页-“安全周报”每周更新,往期周报可以在TI平台关键词搜索“周报”。请保留该地址哦~
本期
目录
2022.8.6-8.12
全球情报资讯
“
1
勒索专题
LockBit团伙攻击阿根廷医疗服务网站并勒索30万美元
SolidBit勒索软件新变种瞄准游戏玩家和社交媒体用户
Cisco网络安全公司遭Yanluowang勒索团伙攻击
Onyx Ransomware 将其泄漏站点重命名为“VSOP”
Hive、LockBit 和 BlackCat 勒索团伙连续攻击同一网络
FBI:Zeppelin 勒索软件可能会在攻击中多次加密设备
Cuba勒索软件攻击者使用ROMCOM RAT
丹麦711连锁店遭到勒索软件攻击
“
2
金融行业
“
3
通信行业
“
4
政府部门
“
5
攻击团伙
“
6
恶意活动
信息窃取恶意软件通过 YouTube 活动传播
“Classiscam”诈骗行动扩大到新加坡
攻击者在恶意软件活动中利用Dark Utilities平台
“
7
高级威胁情报
Lazarus组织以虚假工作机会为诱饵攻击金融科技行业员工
Maui勒索软件疑似与朝鲜Andariel黑客有关
Bitter APT利用木马化Signal程序分发Dracarys
Facebook披露南亚APT组织使用的新 Android 恶意软件
OceanLotus组织针对我国关基单位攻击活动分析
勒索软件威胁情报
1.LockBit团伙攻击阿根廷医疗服务网站并勒索30万美元
8月9日,媒体披露称LockBit勒索软件团伙攻击了阿根廷的OSDE。OSDE是阿根廷的医疗服务和供应商网络,目前拥有超过200万会员、8000多家药店和近400个中心。据悉,这次攻击导致OSDE在几个小时内无法使用。OSDE于6月27日承认了此次攻击。8月8日,LockBit团伙称其窃取了将近 140 GB 的文件。
参考链接
https://ti.dbappsecurity.com.cn/info/3741
2.SolidBit勒索软件新变种瞄准游戏玩家和社交媒体用户
近日,研究人员分析了一种新的 SolidBit 勒索软件变种,该变种的攻击目标为流行游戏和社交媒体平台的用户。该恶意软件被上传到 GitHub,并伪装成不同的应用程序,包括英雄联盟帐户检查工具和 Instagram follower bot,以引诱受害者。GitHub 上的英雄联盟帐户检查器与一个文件捆绑在一起,文件中包含一个名为 Rust LoL Accounts Checker.exe 的可执行文件,如果用户点击这个可执行文件,则将释放并执行 SolidBit 勒索软件。SolidBit勒索软件是使用 .NET 编译的,看似是LockBit 勒索软件的模仿者,但实际上是 Yashma 勒索软件的变种,也称为 Chaos。
参考链接
https://ti.dbappsecurity.com.cn/info/3732
3**.Cisco网络安全公司遭Yanluowang勒索团伙攻击**
8月10日,网络安全公司Cisco证实,Yanluowang勒索软件团伙在 5 月下旬入侵了其公司网络并窃取了内部数据。攻击者从与受感染员工帐户相关联的 Box 文件夹中窃取了非敏感数据,此事件并未对其业务造成任何影响。Yanluowang勒索团伙声称窃取了2.75 GB数据,其中有大约3100个文件,包括保密协议、数据转储和工程图纸。
参考链接
https://ti.dbappsecurity.com.cn/info/3740
4.Onyx Ransomware 将其泄漏站点重命名为“VSOP”
Onyx 是一种基于 .NET 的勒索软件,最早于2022年4月中旬被发现。据悉,Onyx 勒索软件基于 Chaos 勒索软件,加密小于 2MB 的文件并覆盖大于 2MB 的文件,使其无法恢复。迄今为止,该团伙共有来自 6 个不同国家的 13 名受害者。近日,ONYX 勒索软件已将其泄露站点从“ ONYX NEWS”重命名为“ VSOP NEWS”。
参考链接
https://ti.dbappsecurity.com.cn/info/3739
5.Hive、LockBit 和 BlackCat 勒索团伙连续攻击同一网络
研究人员在报告中披露,三个著名的勒索软件团伙Hive、LockBit和BlackCat曾连续攻击同一网络。前两次攻击发生在两个小时内,第三次攻击发生在两周后。每个勒索软件团伙都留下了自己的赎金要求,受害者的部分文件被三重加密。
参考链接
https://ti.dbappsecurity.com.cn/info/3736
6**.FBI:Zeppelin 勒索软件可能会在攻击中多次加密设备**
8月11日,联邦调查局 (FBI) 和网络安全和基础设施安全局 (CISA) 发布联合CSA,警告美国组织,部署 Zeppelin 勒索软件的攻击者可能会多次加密他们的文件。Zeppelin 是一项勒索软件即服务 (RaaS) 操作,其恶意软件经历了多次名称更改,从 VegaLocker 到 Buran、Jamper、Zeppelin。Zeppelin 附属公司至少自 2019 年以来一直活跃,目标是国防承包商和技术公司等企业和关键基础设施组织,重点关注来自医疗行业的实体。
参考链接
https://ti.dbappsecurity.com.cn/info/3746
7**.Cuba勒索软件攻击者使用ROMCOM RAT**
Cuba勒索软件于 2019 年 12 月首次被发现,通过Hancitor分发,通常通过恶意附件传递。从 2022 年 5 月上旬开始,攻击者使用新工具和技术部署Cuba勒索软件,研究人员将此攻击者追踪为“Tropical Scorpius”。截至 2022 年 7 月,Tropical Scorpius 已使用 Cuba 勒索软件攻击了多个领域的 27 个其他组织,包括专业和法律服务、州和地方政府、制造、运输和物流、批发和零售、房地产、金融服务、医疗保健、高科技、公用事业和能源、建筑和教育。Tropical Scorpius在攻击中使用了一个自定义远程访问木马/后门,其中包含独特的命令和控制 (C2) 协议,研究人员将其命名为 ROMCOM RAT。
参考链接
https://ti.dbappsecurity.com.cn/info/3745
8**.丹麦711连锁店遭到勒索软件攻**
丹麦 711 连锁店于本周一遭到了网络攻击,导致其商店无法使用收银机。一位员工称,攻击导致结账系统停止工作, 由于711 全国连锁店都使用相同的系统,因此丹麦175家711连锁店都暂时被关闭。调查后,7-11在 Facebook 发布了声明,称此次攻击为勒索软件攻击,勒索攻击者强行访问网络并锁定了系统。
参考链接
https://ti.dbappsecurity.com.cn/info/3743
金融行业威胁情报
1.DeathStalker使用VileRAT恶意软件攻击加密货币交易公司
VileRAT 是一种 Python 植入程序,能够执行任意远程命令、键盘记录,可以从命令和控制 (C2) 服务器进行自我更新。自2020 年 6 月以来,DeathStalker攻击者一直在不断利用和更新VileRAT恶意软件,以攻击外汇和加密货币交易公司。
参考链接
https://ti.dbappsecurity.com.cn/info/3744
通信行业威胁情报
1.云通讯公司Twilio遭短信网络钓鱼攻击
2022年8月4日,云通信公司Twilio发现了针对该公司的复杂社会工程攻击,攻击者通过短信网络钓鱼攻击窃取了员工凭证,而后破坏了内部系统,未经授权访问了部分客户帐户相关的信息。
参考链接
https://ti.dbappsecurity.com.cn/info/3731
政府部门威胁情报
1.疑似伊朗黑客攻击阿尔巴尼亚政府
7月17日,北约成员国阿尔巴尼亚政府系统遭到网络攻击,迫使政府暂时关闭对在线公共服务和其他政府网站的访问。攻击者部署了Roadsweep勒索软件,可能还利用了一个以前未知的后门“Chimneysweep”,以及Zeroclear擦除工具的一个新变种。根据过去使用类似的恶意软件、攻击的时间、Roadsweep勒索软件说明中的其他线索,研究人员将此次攻击与伊朗黑客联系起来。
参考链接
https://ti.dbappsecurity.com.cn/info/3729
攻击团伙威胁情报
1.TAC-040组织利用Atlassian Confluence漏洞部署Ljl后门
8月2日,研究人员发布报告披露,TAC-040组织很可能利用 Atlassian Confluence 服务器中的CVE-2022-26134漏洞,部署了一个名为Ljl Backdoor的新后门。此次攻击发生在 5 月底,持续了 7 天,攻击者使用 Atlassian Confluence 目录中的 tomcat9.exe 父进程执行了恶意命令。据估计,大约 700MB 的存档数据已被泄露。
参考链接
https://ti.dbappsecurity.com.cn/info/3730
恶意活动威胁情报
1.信息窃取恶意软件通过 YouTube 活动传播
PennyWise 和 RedLine 等信息窃取器正在通过 YouTube 活动传播。仅在过去 3 个月中,研究人员就发现了 5000 多个 PennyWise Stealer 可执行样本。在这些活动中,攻击者发布有关下载和安装软件的视频教程,主题为“免费获得付费订阅”,从而诱骗用户安装恶意软件。在大多数情况下,下载链接会重定向到免费的云存储和文件托管服务,例如 Mega、Mediafire、OneDrive、Discord 和 Github,攻击者使用受密码保护的存档文件托管恶意 Windows 可执行文件。
参考链接
https://ti.dbappsecurity.com.cn/info/3727
2**.“Classiscam”诈骗行动扩大到新加坡**
Classiscam是一种复杂的诈骗即服务业务,于 2019 年夏季首次被记录,旨在窃取流行分类和市场用户的付款和个人数据。该活动已于 2022 年 3 月扩展到新加坡。Classiscam最初的目标包括流行的俄罗斯分类广告和市场的用户,随后将目标扩大到欧洲和美国。有超过 90 个活跃的群体使用 Classiscam 的服务来瞄准保加利亚、捷克共和国、法国、哈萨克斯坦、吉尔吉斯斯坦、波兰、罗马尼亚、乌克兰、美国和乌兹别克斯坦。欺诈行动跨越欧洲、独联体 (CIS) 和中东的 64 个国家。据悉,从 2020 年 4 月到 2022 年 2 月,利用Classiscam的犯罪分子至少赚取了 2950 万美元的非法收益。
参考链接
https://ti.dbappsecurity.com.cn/info/3737
3.攻击者在恶意软件活动中利用Dark Utilities平台
Dark Utilities于 2022 年初发布,是一个 “C2aaS”(C2 即服务)平台,提供远程系统访问、DDoS能力和加密货币挖掘等多种服务。该平台支持基于 Windows、Linux 和 Python 的有效负载,目前已注册大约 3,000 名用户,收入约为 30,000 欧元。
参考链接
https://ti.dbappsecurity.com.cn/info/3728
高级威胁情报
1.Lazarus组织以虚假工作机会为诱饵攻击金融科技行业员工
朝鲜Lazarus组织发起了一项新的社会工程活动,黑客冒充 Coinbase 以针对金融科技行业的员工,目标为适合“产品安全工程经理”职位的候选人。当受害者下载伪装成工作职位相关的 PDF 文件时,实际上会获取恶意可执行文件。文件被命名为“Coinbase_online_careers_2022_07.exe”,在执行时会显示诱饵 PDF 文档,同时还会加载恶意 DLL。
参考链接
https://ti.dbappsecurity.com.cn/info/3733
2**.Maui勒索软件疑似与朝鲜Andariel黑客有关**
Andariel又名Stonefly,至少从 2015 年开始运营,是朝鲜支持的黑客组织之一,执行间谍活动、数据窃取、数据擦除以及为朝鲜政府增加收入的行动。Maui 勒索软件于 2021 年 4 月开始发起攻击,重点目标为美国的医疗保健组织。研究人员以低到中等置信度评估,Maui勒索软件操作与Andariel组织有关。此外,在部署Maui之前,攻击者就已将DTrack恶意软件的变体部署到目标系统。
参考链接
https://ti.dbappsecurity.com.cn/info/3738
3.Bitter APT利用木马化Signal程序分发Dracarys
Bitter APT组织正通过网络钓鱼网站,提供木马化 Signal 应用程序,以分发Dracarys间谍软件。由于Signal的源代码是开源的,Bitter APT 黑客组织能够编译出具有所有常用特性和预期功能的版本,在编译消息应用程序时将 Dracarys 恶意软件添加到源代码中。启动时,Dracarys 将连接到 Firebase 服务器,收集并传输联系人列表、短信数据、通话记录、已安装的应用程序列表、文件、GPS定位等数据。
参考链接
https://ti.dbappsecurity.com.cn/info/3742
4.Facebook披露南亚APT组织使用的新 Android 恶意软件
Meta(Facebook)发布了2022年第二季度的对抗性威胁报告,报告披露了南亚的两起间谍活动,这些活动利用其社交媒体平台向潜在目标分发恶意软件。第一组活动由Bitter APT组织发起,针对新西兰、印度、巴基斯坦和英国的个人,该组织用恶意软件感染其目标,使用了 URL 缩短服务、受感染网站和第三方文件托管服务提供商的组合。Bitter的武器库中增加了两个移动应用程序,分别针对 iOS 和 Android 用户。Android 应用程序是一种被 Meta 命名为“Dracarys”的新恶意软件,它在未经用户同意的情况下滥用无障碍服务来增加权限,充当间谍软件、窃取短信、安装应用程序和录制音频。
第二组活动由APT36组织(又名“透明部落”)发起,针对阿富汗、印度、巴基斯坦、阿拉伯和沙特阿拉伯的人们,特别针对军事官员和人权活动家。APT36 的成员在 Facebook 上创建帐户,冒充招聘人员,使用 WeTransfer 文件共享服务向目标发送虚假工作机会。下载的文件包含 XploitSPY 的修改版本,Meta 将其命名为“LazaSpy”。
参考链接
https://ti.dbappsecurity.com.cn/info/3734
5.OceanLotus组织针对我国关基单位攻击活动分析
2022年5月,研究人员于国家某关基单位发现异常外联IP,通过攻击活动中捕获的攻击流量分析,确认此次攻击活动是由境外APT组织APT32(OceanLotus)所发起。在此次事件中,APT32组织选择了RemyRAT远程控制木马作为后门程序植入了国家关基单位。
在监控过程中,研究人员观察到攻击者活动持续至7月中下旬,时间长达2个月。攻击者针对关基单位负责重点课题的研究员发起APT定向攻击,瞄准文档类资料进行窃取,以窃取机密资料和重要文件为目标。如攻击者窃取成功,将造成严重损失。通过流量分析,发现国内某核心制造业厂商也同样遭受该组织攻击,并持续处于活跃状态。
参考链接
https://ti.dbappsecurity.com.cn/info/3809
安恒安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。
猎影实验室
高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。
安恒威胁分析平台, 分析安全威胁数据、多源情报数据,跟踪APT事件,为客户提升区域安全态势感知、 未知威胁检测、威胁溯源分析、主动防御等场景。