威胁情报周报(7.8~7.14)
一周威胁情报摘要
=============================
金融威胁情报
- 金融科技公司Wise和Affirm确认受Evolve银行勒索软件攻击影响
政府威胁情报
- CapraRAT间谍软件伪装成热门应用威胁安卓用户
能源威胁情报
- FBI 称美国可再生能源行业易受网络威胁
工业威胁情报
- 欧洲制造商遭受勒索软件攻击的案例分析
流行威胁情报
- 网络犯罪分子通过假冒Arc浏览器广告传播Poseidon恶意软件
高级威胁情报
- 远程访问服务TeamViewer遭APT29黑客攻击
漏洞情报
- OpenSSH关键远程代码执行漏洞
勒索专题
- LockBit 勒索软件攻击佛罗里达卫生部和多家医院
钓鱼专题
- 利用二维码进行恶意攻击的趋势
数据泄露专题
- 印孚瑟斯麦卡米什系统遭网络攻击,影响超过600万客户
==========================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================
**
金融威胁情报
**
金融科技公司Wise和Affirm确认受Evolve银行勒索软件攻击影响
Tag:LockBit勒索软件, 多因素认证
事件概述:
Evolve银行和信托公司受到LockBit勒索软件攻击的金融机构数量持续增加,金融科技公司Wise和Affirm都确认他们已受到实质性影响。Evolve作为Affirm卡的第三方发行者,Affirm因此卷入了这场纷争。Affirm坚称其自身系统并未被破坏。然而,该事件对公司和Affirm卡用户的全面影响,包括是否有未经授权访问Affirm卡用户个人信息的情况,尚未知晓。汇款专家Wise披露,可能有一些用户受到影响,将直接以书面形式通知。
本次攻击事件再次强调了多因素认证、威胁情报共享和自动化安全措施的重要性。在这种情况下,金融科技公司需要对其与第三方的关系进行深入审查,并确保所有合作伙伴都实施了足够的安全措施。此外,公司还需要提高对勒索软件攻击的警惕性,并采取积极的防御措施。这可能包括定期进行安全评估,确保所有系统都有最新的安全补丁,并对员工进行安全意识培训。最后,公司需要确保有应对此类事件的计划,包括通知受影响的用户和合适的监管机构,以及恢复服务的计划。
来源:
https://www.theregister.com/2024/07/02/affirm\_evolve\_ransomware\_breach/
**
政府威胁情报
**
波兰政府调查与俄罗斯关联的国家新闻社网络攻击事件
Tag:APT28, 网络攻击
事件概述:
波兰政府正在调查俄罗斯是否与对波兰新闻社(PAP)的网络攻击有关。此次攻击发生在5月,目的是传播假新闻,破坏国家稳定。据信,一则声称波兰总理唐纳德·图斯克从7月1日开始动员200,000名男子的假新闻报道可能由俄罗斯赞助的黑客制造。此次攻击似乎是为了干扰即将到来的欧洲议会选举。波兰媒体,包括Polskie Radio,经常报告被俄罗斯黑客攻击,波兰公司每周遭受超过1,400次攻击。
波兰新闻社(PAP)在5月遭受了一次网络攻击,该攻击旨在传播假信息并破坏国家稳定。波兰政府怀疑这次攻击与俄罗斯有关,因为攻击的目标是欧洲议会选举和社会瘫痪。波兰媒体频繁报告被俄罗斯黑客攻击,波兰公司每周遭受超过1,400次攻击。在5月,CERT Polska和CSIRT MON团队发布了关于针对波兰政府机构的大规模恶意软件活动的警告,这些活动据称是由与俄罗斯关联的APT28组织策划的。将这些攻击归因于俄罗斯APT的依据是它们与APT28对乌克兰实体的攻击中使用的TTPs相似。
来源:
https://securityaffairs.com/165139/intelligence/polish-government-investigating-russia-attack.html
**
能源威胁情报
**
FBI 称美国可再生能源行业易受网络威胁
Tag:可再生能源技术,漏洞
事件概述:
联邦调查局发布了一份私人行业通知,警告美国可再生能源行业可能面临的网络攻击风险。这些攻击可能旨在窃取知识产权、破坏运营、进行勒索软件勒索或获取政治优势。黑客,无论是个人还是政府支持的实体,都越来越多地将目标对准个人和商业太阳能电池板系统。他们专注于将太阳能电池板连接到逆变器的软件,逆变器将直流电转换为交流电。大多数逆变器缺乏足够的网络安全措施来监控连接到互联网时的变化,使其容易受到恶意网络活动的攻击,从而可能导致中断或其他严重后果。
联邦调查局发布的警告指出,美国可再生能源行业面临的网络攻击风险正在增加。这些攻击主要针对的是控制可再生能源技术运行的硬件和软件系统,特别是将太阳能电池板连接到逆变器的软件。逆变器将直流电转换为交流电,是太阳能电池板系统的关键部分。然而,大多数逆变器缺乏足够的网络安全措施来监控其连接到互联网时的变化,这使得它们容易受到网络攻击,可能导致服务中断或其他严重后果。因此,联邦调查局敦促可再生能源行业的员工和领导人及时报告任何网络入侵,并强调了潜在的外国干涉风险。
来源:
**
工业威胁情报
**
欧洲制造商遭受勒索软件攻击的案例分析
Tag:多因素认证(MFA), Kerberoast攻击
事件概述:
一家欧洲制造和分销公司遭受了一次勒索软件攻击,该攻击的特点是在攻击进行中实时进行威胁缓解,并且初始访问得到了协助。攻击者通过VPN和远程桌面协议(RDP)的公开服务获取了公司的凭证,这是勒索软件事件的最常见入口。此外,攻击者还利用了公司的一个弱后门,即其托管安全服务提供商(MSSP)通过自己的VPN网关访问公司环境,而该网关并未执行多因素认证(MFA)。攻击者通过密码喷射攻击获取了Windows域的访问权限,然后通过Kerberoast攻击获取了域管理员权限。
该案例揭示了多因素认证(MFA)在防止攻击者获取凭证时的重要性。在这次攻击中,攻击者利用了公司的一个弱后门,即其托管安全服务提供商(MSSP)通过自己的VPN网关访问公司环境,而该网关并未执行MFA。此外,攻击者还通过密码喷射攻击获取了Windows域的访问权限,然后通过Kerberoast攻击获取了域管理员权限。这些都说明了强密码和适当的账户管理在防止攻击者获取高级权限时的重要性。此外,该案例还强调了实时威胁情报共享和自动化安全措施在防止攻击者进一步渗透网络时的重要性。在这次攻击中,攻击者在获取域管理员权限后,试图进一步访问更多账户和目标。然而,由于公司实时监控并分析了威胁情报,成功阻止了攻击者的进一步行动。
来源:
https://research.kudelskisecurity.com/2024/07/01/tales-from-the-incident-response-cliff-face-case-study-3/
**
流行威胁情报
**
网络犯罪分子通过假冒Arc浏览器广告传播Poseidon恶意软件
Tag:Poseidon恶意软件, Arc浏览器
事件概述:
网络犯罪分子正在利用假冒的Arc浏览器广告来传播名为Poseidon的信息窃取者,目标是Mac用户。这是第二次利用Arc浏览器作为诱饵,前一次则是通过Arc浏览器分发Windows的远程访问工具包。这次的恶意广告是由名为“Coles & Co”的假公司发布,点击广告后,用户将被重定向到arc-download[.]com,下载的DMG文件看起来像是新的Mac应用,但其中包含了恶意软件。
根据Malwarebytes的研究人员观察,Poseidon恶意软件是Atomic Stealer的竞争对手,大部分代码都基于其前身。这种恶意软件具有强大的数据窃取功能,包括文件收集、加密钱包提取、Bitwarden和KeePassXC的密码管理器读取以及浏览器数据收集等。此外,这种恶意软件还具有一个包含统计数据和构建器的恶意软件面板,允许用户分配自定义名称、图标和AppleScript。这种恶意软件的开发者是一个名为Rodrigo4的程序员,他在地下论坛中使用与Atomic Stealer相似的代码基础和功能。这些恶意广告活动再次证明了网络威胁的真实性,用户在下载和安装新应用时必须保持警惕。
来源:
**
高级威胁情报
**
远程访问服务TeamViewer遭APT29黑客攻击
Tag:TeamViewer, APT29黑客组织
事件概述:
远程访问服务公司TeamViewer近日公告,其企业网络环境遭到了俄罗斯的APT29黑客组织攻击。TeamViewer称,攻击源于一名员工的账户被黑客利用。尽管该公司表示其产品环境和客户数据并未受到影响,但由于TeamViewer在消费者和企业环境中的广泛应用,该事件仍引起了广泛关注。TeamViewer已在全球范围内安装了超过25亿台设备。尽管公司发表公告试图平息公众的担忧,但其未能对员工执行多因素身份验证的做法引起了人们的质疑。
TeamViewer是一款非常受欢迎的远程访问软件,用户可以通过它远程控制计算机并使用它,就像坐在设备前一样。然而,近日,该公司的企业网络环境遭到了被认为与俄罗斯外国情报局(SVR)有关的APT29黑客组织的攻击。据调查,攻击者利用了一名员工的账户进行攻击,复制了员工目录数据,包括姓名、企业联系信息和加密的员工密码等。尽管TeamViewer声称其产品环境和客户数据并未受到影响,但由于其在消费者和企业环境中的广泛应用,该事件仍引起了广泛关注。此外,该公司未能对员工执行多因素身份验证的做法也引起了人们的质疑。在此背景下,一些专家建议,远程管理或“RMM”工具是当前美国公司面临的最大安全风险之一。他们建议,RMM软件应要求用户进行交互以启动会话,然后卸载自身或撤销所有权限,直到下一次使用。
来源:
https://unsafe.sh/go-248217.html
**
漏洞情报
**
OpenSSH关键远程代码执行漏洞
Tag:OpenSSH, CVE-2006-5051
事件概述:
Qualys近日发布了一篇博客,详细介绍了一项关于OpenSSH的关键远程代码执行漏洞。此漏洞的CVE编号为CVE-2006-5051和CVE-2024-6387,原因是这是一个回归的漏洞,即一个旧的漏洞重新出现。漏洞允许在无需身份验证的情况下执行任意远程代码。OpenSSH的版本至4.4p1都对CVE-2006-5051存在漏洞,而从8.5p1到9.8p1的版本(这是修补过的版本)对CVE-2024-6387存在漏洞。这是一个时序问题,利用不容易复制,但在x86(32位)上需要大约10,000次尝试。
该漏洞是一个时序问题,其利用需要大约10,000次尝试,这个速度受到MaxStartups和LoginGraceTime的限制。对于AMD64,目前看来利用不太现实。然而,大多数Linux系统目前都运行在64位架构上。对于遗留系统/物联网系统,如果没有更多的补丁可用,这可能是一个大问题。在这些情况下,使用网络防火墙限制新连接的速率可能会降低利用的可能性。首先,应该应用一个补丁。但如果没有补丁可用,端口敲击,将服务器移动到一个奇数端口或允许特定IP可能是一个选项。
来源:
https://isc.sans.edu/diary/SSH+regreSSHion+Remote+Code+Execution+Vulnerability+in+OpenSSH/31046/
**
勒索专题
**
LockBit 勒索软件攻击佛罗里达卫生部和多家医院
Tag:LockBit, 勒索软件
事件概述:
据Security Affairs报道,勒索软件组织LockBit宣布对佛罗里达州卫生部、伊利诺伊州非营利性医院Fairfield Memorial Hospital以及肯塔基州Merryman House Domestic Crisis Center的入侵负责。根据网络威胁监控公司HackManac分享的LockBit数据泄露网站截图,佛罗里达州卫生部被警告需在7月5日前支付赎金,以避免曝光其系统中 allegedly 被盗的100GB数据。同时,Fairfield Memorial和Merryman House被要求在7月17日前支付赎金。这些攻击声明与Monti勒索软件团伙承认入侵宾夕法尼亚州Wayne Memorial Hospital的事件同时发生,凸显了针对医疗保健的勒索软件事件可能带来的致命影响。HackManac在X平台(前称Twitter)发帖称:“攻击这些基础设施的黑客不再只是贪图钱财的‘书呆子’,他们正变成杀人犯。”
这次勒索软件攻击凸显了多因素身份验证、威胁情报共享以及自动化安全措施的重要性。首先,多因素身份验证可以有效降低未经授权访问的风险,保护关键系统和数据。其次,威胁情报共享能够帮助组织快速了解最新的攻击手法和威胁,提前采取防御措施。最后,自动化安全措施如入侵检测和响应系统,可以在攻击发生时快速识别并阻止,减少损失。这些技术对于保护医疗保健等关键基础设施尤为重要,因为这类攻击不仅会带来数据泄露,还可能直接威胁到患者的生命安全。因此,各组织应加强对上述技术的应用和部署,以提高整体安全防护水平。
来源:
https://www.scmagazine.com/brief/attacks-against-florida-health-department-others-claimed-by-lockbit
**
钓鱼专题
**
利用二维码进行恶意攻击的趋势
Tag:恶意软件, 钓鱼
事件概述:
恶意软件作者利用越来越流行的二维码,通过PDF文件进行攻击。这些PDF文件通常伪装成传真邮件,其中的二维码诱骗用户用智能手机扫描。二维码可能链接到恶意软件下载或伪装成合法来源的钓鱼网站,如安全更新或SharePoint文档链接,绕过传统的电子邮件安全检查,并利用用户对二维码的信任。钓鱼诈骗者还假冒微软登录页面,利用二维码通过看似正常的主机(如bing.com)重定向到钓鱼URL,最终窃取用户的微软账户凭据。攻击者可以利用这些凭据非法访问用户的电子邮件、个人信息和潜在的敏感企业数据。恶意二维码还可能利用移动设备的漏洞,未经用户同意执行有害操作,例如静默下载和安装恶意软件,订阅收费短信服务,或发起拒绝服务攻击,损害目标用户或组织的声誉。
恶意软件作者通过PDF文件中的二维码进行攻击,这种方式能够绕过传统的电子邮件安全检查。攻击者伪装成传真邮件,利用二维码将用户重定向到恶意网站或钓鱼页面,窃取用户的登录凭据。恶意二维码不仅可以窃取用户的登录信息,还可以利用移动设备的漏洞进行未授权的恶意操作,如静默安装恶意软件或订阅收费服务。网络安全专家建议加强多因素认证、威胁情报共享和自动化安全措施,以应对不断发展的二维码钓鱼攻击。通过分析IOC(妥协指标)和可疑URL,可以帮助安全专业人员检测和防止网络攻击。
来源:
https://cybersecuritynews.com/malicious-pdf-microsoft-2fa-warning/
**
数据泄露专题
**
印孚瑟斯麦卡米什系统遭网络攻击,影响超过600万客户
Tag:网络取证调查, LockBit
事件概述:
根据最新的数据保护机构的文件,去年对外包商印孚瑟斯麦卡米什系统(Infosys McCamish Systems)的网络攻击影响了超过600万的客户。这起事件最初在2023年2月被报道,但据文件显示,攻击源可以追溯到2023年11月。经深入的网络取证调查发现,未经授权的活动发生在2023年10月29日至11月2日之间。受影响的信息因个体而异,包括社会保障号、出生日期、医疗治疗/记录信息、生物识别数据、电子邮件地址和密码、用户名和密码、驾驶执照号或州ID号、财务账户信息、支付卡信息、护照号、部落ID号和美国军事ID号等。
印孚瑟斯麦卡米什系统在几个月后,在6月27日开始通知客户关于此次数据泄露的信息。该公司表示,已经通过外部法律顾问,雇佣了第三方电子发现专家,进行了彻底且耗时的数据审查,以确定哪些个人信息被未经授权的访问和获取,并确定这些个人信息与谁有关。IMS已经通知了受影响的组织关于此次事件,以及任何与他们有关的个人信息的泄露。IMS表示,它正在为受影响的客户提供24个月的信用监控,尽管它不知道被盗的个人信息是否已经被欺诈性使用。根据最初的报道,臭名昭著的勒索软件组织LockBit对此次攻击负责,该攻击加密了超过2000台计算机。最有可能的是,被盗的信息将用于后续的网络钓鱼和身份欺诈攻击。
来源:
https://www.infosecurity-magazine.com/news/six-million-ransomware-breach/
- END -
