威胁情报周报(7.15~7.21)
一周威胁情报摘要
=============================
金融威胁情报
- 印度银行用户面临新的网络钓鱼攻击
政府威胁情报
- GuardZoo恶意软件针对超过450名中东军事人员
能源威胁情报
- 南非矿业巨头Sibanye-Stillwater遭网络攻击,全球IT系统受影响
工业威胁情报
- 叉车制造商Crown Equipment遭遇网络攻击,现已恢复生产
流行威胁情报
- Mirai僵尸网络复活,AI增强DDoS攻击威胁加剧
高级威胁情报
- 朝鲜黑客集团Kimsuky APT对日本和韩国发动攻击
漏洞情报
- 微软Outlook应用出现重大漏洞CVE-2024-38021
勒索专题
- 美国Evolve银行确认遭受网络攻击,760万用户数据受影响
钓鱼专题
- 加密货币钓鱼诈骗攻击的崛起
数据泄露专题
- 勒索软件团伙RansomHub公开佛罗里达卫生部门的数据
=======================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================
**
金融威胁情报
**
印度银行用户面临新的网络钓鱼攻击
Tag:网络钓鱼, 恶意软件
事件概述:
Cyble Research & Intelligence Labs近期观察到,针对印度银行用户的网络钓鱼活动有所增加。网络罪犯已从短信转向WhatsApp进行钓鱼信息的分发,主题也从信用卡奖励和KYC更新扩展到公用事业账单和政府计划。该研究团队正在调查一项冒充区域运输办公室(RTO)的新活动,该活动使用假冒的APK诱使受害者安装恶意软件,并专注于收集和发送短信和联系人信息。
这种恶意软件收集设备和联系人数据,并将其发送到Telegram bot,同时使用Firebase获取电话号码和短信,以便进行未经授权的短信验证。在对此活动相关应用的分析过程中,研究人员发现了一个命令和控制(C&C)服务器,该服务器托管了一个管理面板。在这个管理面板上,研究人员找到了一个WhatsApp号码,用于提供关于链接、APK和UPI面板的支持。这表明,威胁行为者可能正在利用某些网络犯罪分子提供的恶意软件即服务(MaaS)模型。此外,最近的恶意软件变种缺乏启动器活动,使得它们更难被发现,因为应用图标不会出现在应用抽屉中。
来源:
https://cyble.com/blog/regional-transport-office-phishing-scam-targets-android-users-in-india/
**
政府威胁情报
**
GuardZoo恶意软件针对超过450名中东军事人员
Tag:GuardZoo, Dendroid RAT
事件概述:
一项持续的监视软件操作针对来自中东国家的军事人员,该操作传播一种名为GuardZoo的Android数据收集工具。据Lookout公司称,这个活动最早可能始于2019年10月,基于应用程序诱饵、命令和控制(C2)服务器日志、目标足迹以及攻击基础设施位置,被归因于一名胡塞派威胁行动者。超过450名受害者受到了恶意活动的影响,目标位于埃及、阿曼、卡塔尔、沙特阿拉伯、土耳其、阿联酋和也门。遥测数据显示,大多数感染都在也门记录。
GuardZoo是一种修改版的Android远程访问木马(RAT),名为Dendroid RAT,该木马于2014年3月首次被Broadcom拥有的赛门铁克发现。与犯罪软件解决方案相关的全部源代码在8月后被泄露。最初以一次性价格300美元的商品恶意软件出售,它具有拨打电话号码、删除通话记录、打开网页、录制音频和通话、访问短信、拍摄和上传照片和视频,甚至发起HTTP洪水攻击的能力。GuardZoo的攻击链利用WhatsApp和WhatsApp Business作为分发向量,初始感染也通过直接浏览器下载发生。诱饵Android应用程序具有军事和宗教主题,以引诱用户下载它们。该恶意软件的更新版本支持超过60个命令,允许它获取额外的有效载荷,下载文件和APK,上传文件(PDF、DOC、DOCX、XLX、XLSX和PPT)和图像,更改C2地址,并从受损设备中终止、更新或删除自身。
来源:
https://thehackernews.com/2024/07/guardzoo-malware-targets-over-450.html
**
能源威胁情报
**
南非矿业巨头Sibanye-Stillwater遭网络攻击,全球IT系统受影响
Tag:网络攻击, 勒索软件
事件概述:
南非矿业巨头Sibanye-Stillwater近日公开其全球IT系统遭受网络攻击。该公司已实施安全措施,隔离IT系统并保护关键数据,对集团全球运营的干扰十分有限。此次攻击发生之前,南非已经发生一系列针对知名组织的网络犯罪攻击,显示出南非网络威胁态势严峻。
Sibanye-Stillwater是全球铂金和黄金生产的领导者,市值约244亿元人民币。其全球IT系统遭受网络攻击后,公司立即根据事件响应计划,实施了主动隔离IT系统、保护数据的应急措施。该公司强调他们非常重视此类事件,并致力于解决这次暴露的安全漏洞。他们自愿向相关监管机构报告此事件,并将在必要时提供进一步更新。此次事件再次提醒我们,网络安全问题不容忽视,任何组织都可能成为攻击目标。因此,建立健全的安全防护体系,及时发现并应对网络攻击,对于保护组织的信息安全至关重要。
来源:
**
工业威胁情报
**
叉车制造商Crown Equipment遭遇网络攻击,现已恢复生产
Tag:网络攻击, 勒索软件
事件概述:
上月,叉车制造商Crown Equipment确认其生产因网络攻击而中断,7月1日该公司表示,所有24个制造工厂已恢复运营。自6月10日起,由于其业务系统遭到攻击,该公司的制造业务一直处于暂停状态。公司发言人拒绝对攻击进行评论,并表示不会提供进一步的信息。公司还拒绝回答有多少员工受到影响,或者员工是否会因错过的时间得到支付的问题。攻击的起源和性质,以及是否涉及勒索软件,都不清楚。有一段时间,Crown的网站关闭了,公司的接待员告诉打电话来的人,他们无法转接电话。据国际货币基金组织称,自大流行病以来,网络攻击已经增加了一倍多。美国国家情报总监Avril Haines在5月份告诉国会,全球勒索软件攻击的数量在过去一年中增长了多达74%。
在6月19日,该公司将此次攻击归咎于国际网络犯罪组织。Crown的高级副总裁John Tate在声明中表示:“由于我们已经采取的安全措施,我们IT部门的快速行动,以及一些世界领先的网络安全专家提供的支持,我们能够迅速地控制并解决这个问题。”这次攻击使得14个地点的24个制造工厂的生产停止或延迟。Crown生产工业设备,如叉车,货架输送机,手动托盘车等。该公司有超过19,600名员工,服务和分销网络在80多个国家的500多个零售地点。勒索软件攻击占所有破坏的24%,过去两年中每次勒索软件攻击的中位数成本已经增加了一倍多,达到26,000美元。
来源:
https://redskyalliance.org/xindustry/knocking-off-the-crown
**
流行威胁情报
**
Mirai僵尸网络复活,AI增强DDoS攻击威胁加剧
Tag:Mirai僵尸网络, AI增强的DDoS攻击
事件概述:
Imperva Threat Research的新报告揭示了Mirai僵尸网络的令人担忧的复活。Mirai是一个臭名昭著的恶意软件,以其历史上大规模的分布式拒绝服务(DDoS)攻击而闻名。研究表明,Mirai已经进化,结合人工智能(AI)和机器学习来生成更复杂、更难以防御的攻击,最近的攻击活动针对了超过1200个网站。该团队收集了超过230个不同的恶意样本,包括bash脚本和ELF二进制文件。这种恶意URL传递的激增与攻击者越来越多地利用AI和机器学习生成复杂的DDoS攻击相吻合。AI大大降低了发动此类攻击的门槛,扩大了威胁景观。如果由AI生成的多态恶意软件可以规避检测,大规模感染系统。AI增强的DDoS攻击和Mirai僵尸网络的复苏结合在一起,对组织构成了双重威胁,组织必须准备应对。
Mirai通过扫描互联网上的易受攻击的设备,将恶意软件感染到这些设备上,然后将这些受感染的设备纳入僵尸网络。然后,该僵尸网络被用来发动DDoS攻击,压垮目标网站并破坏其服务。Mirai采用了几种策略来规避检测和竞争:自我删除:执行后从文件系统中删除自己。进程隐藏:从进程列表中删除自己并改变其名称。竞争阻止:杀死与竞争僵尸网络相关的进程并接管系统。Mirai僵尸网络变种的复苏,加上AI增强的DDoS攻击,强调了强大网络安全措施的重要性。组织必须保持警惕,不断更新防御措施以应对这些不断演变的威胁。
来源:
https://securityonline.info/new-mirai-botnet-variants-with-ai-powered-attacks-observed/
**
高级威胁情报
**
朝鲜黑客集团Kimsuky APT对日本和韩国发动攻击
Tag:Kimsuky APT, 网络钓鱼攻击
事件概述:
自2024年春季以来,臭名昭著的朝鲜黑客集团Kimsuky APT一直在对韩国学术机构发动有针对性的攻击。防御者还揭示了该集团针对日本组织的攻击行动。这一持续的敌对行动依赖于网络钓鱼攻击向量,黑客利用伪装成安全或外交机构的发送者的定向电子邮件。最近,安全研究人员发现了另一场Kimsuky积极针对日本的活动,使用复杂的感染链来渗透感兴趣的网络。
Kimsuky APT集团正在加大其攻击的数量和复杂性,尤其是在东亚。Kimsuky的最新活动使用了TRANSLATEXT Chrome扩展进行数据盗窃,并引入了一个名为Gomir的新Linux后门来针对韩国和邻国的组织。感染流程由冒充安全和外交组织的鱼叉式网络钓鱼电子邮件触发。电子邮件带有一个包含双文件扩展名的武器化文件的存档,每个文件名中都有大量的空格以隐藏扩展名。一旦执行,主EXE文件将导致从外部源下载一个VBS文件,然后使用wscript.exe执行。VBS文件又从外部源下载一个PowerShell脚本,并调用PokDoc函数。同一个恶意的VBS文件通过设置注册表Run键来确保持久性,使每次系统启动时都自动执行隐藏文件。PowerShell脚本作为键盘记录器,用于从目标设备中窃取数据,包括系统和网络详细信息、特定用户文件夹中的文件列表和用户帐户数据。攻击者将窃取的数据发送到预定义的URL,以检查执行环境是否为沙箱或分析系统。此外,脚本在公共目录中创建另一个VBS文件。一旦执行,它下载额外的PowerShell代码,并调用InfoKey函数并带有特定参数,以便规避检测并帮助攻击者保持隐蔽的持久性。
来源:
https://socprime.com/blog/kimsuky-apt-campaign-detection-targeting-japanese-organizations/
**
漏洞情报
**
微软Outlook应用出现重大漏洞CVE-2024-38021
Tag:CVE-2024-38021, Morphisec
事件概述:
安全研究人员发现了一个影响大多数Microsoft Outlook应用的重大漏洞CVE-2024-38021。这个零点击远程代码执行(RCE)漏洞,现已被Microsoft修补,它无需任何身份验证,与之前发现的需要至少一个NTLM令牌的CVE-2024-30103有所不同。如果被利用,CVE-2024-38021可能导致数据泄露、未经授权的访问和其他恶意活动。Morphisec在2024年7月9日发现了这个漏洞,并发布了一份关于它的咨询公告,敦促Microsoft将这个漏洞的分类从“重要”提升为“关键”,以反映更高的风险估计并确保充分的缓解努力。
CVE-2024-38021漏洞对于受信任的发送者来说是零点击的,但对于不受信任的发送者来说需要一次用户交互。安全公司Morphisec同意Microsoft的观点,即这个RCE比CVE-2024-30103更复杂,使得立即利用它的可能性较小。然而,将其与另一个漏洞结合起来可能会简化攻击。为了减轻风险,更新所有Microsoft Outlook和Office应用程序至最新补丁至关重要。此外,实施强大的电子邮件安全措施,例如禁用自动电子邮件预览,并教育用户关于打开未知来源电子邮件的风险,也是必要的。此外,Morphisec表示,确保在安全堆栈中提供全面覆盖,使用EDR和自动移动目标防御(AMTD)将进一步降低风险,并提供对已知和未知攻击的端点保证。
来源:
https://www.infosecurity-magazine.com/news/microsoft-outlook-zero-click-rce/
**
勒索专题
**
勒索软件团伙RansomHub公开佛罗里达卫生部门的数据
Tag:勒索软件团伙RansomHub, 多因素身份验证
事件概述:
据StateScoop报道,勒索软件团伙RansomHub在佛罗里达卫生部门未能支付所要求的赎金后,公开了据称从该机构窃取的100GB数据。尽管佛罗里达卫生部门证实受到了网络安全事件的影响,但官员们并未对RansomHub操作中所谓的数据泄露和泄漏事件发表额外声明。然而,Emsisoft威胁分析师Brett Callow指出,没有理由怀疑黑客团队的声明的真实性,尤其是在美国政府机构、医院和学校遭受一系列勒索软件攻击的情况下。
Callow表示:“美国医疗保健行业继续受到以盈利为目的的网络犯罪分子的重点攻击,多达200家医院直接受到勒索软件攻击的影响,更多的医院间接受到Change Healthcare攻击的影响。这是一个使人们的个人信息处于风险之中,更糟糕的是,他们的生命也处于风险之中的问题。”在这种情况下,多因素身份验证、威胁情报共享和自动化安全措施的重要性显得尤为突出。在面对日益严重的网络攻击时,这些技术手段可以帮助机构提高防御能力,保护关键数据不被泄露。同时,对于已经发生的数据泄露,我们也需要从技术层面进行深入分析,以便找出漏洞并及时修复,防止类似事件的再次发生。
来源:
https://www.scmagazine.com/brief/florida-health-department-data-exposed-by-ransomhub
**
钓鱼专题
**
加密货币钓鱼诈骗攻击的崛起
Tag:加密货币钓鱼诈骗, Splunk攻击分析器
事件概述:
Splunk的研究人员注意到,针对加密货币持有者的加密钓鱼诈骗攻击正在变得越来越复杂。这些诈骗者利用社交工程技术,诱导用户泄露他们的私钥或登录凭据,然后迅速从受害者的钱包中提取被盗资产。近几个月来,观察到针对加密货币持有者的加密钓鱼攻击有所增加,这些攻击采用精心设计的欺诈URL,看起来像是合法的加密货币平台,诱使毫无戒心的用户输入他们的敏感登录信息。特别令人担忧的是,钓鱼活动在各种社交媒体平台上泛滥,包括Twitter。在这些情况下,被黑客劫持的受害者账户被用作传播恶意URL的工具,这增加了毫无戒心的用户成为诈骗受害者的可能性。
Splunk的研究人员使用Splunk攻击分析器,深入研究了这种钓鱼活动的模式,他们认为这种活动遵循了加密钓鱼诈骗的通用感染方法和攻击模式。攻击者设计了伪装成合法加密货币平台的钓鱼网站页面,诱使用户泄露他们的加密货币登录凭据。Splunk通过攻击分析器扩展了潜在的加密钓鱼URL库。例如,一个被识别并被VirusTotal的多个反病毒产品标记为钓鱼网站的网址。Splunk攻击分析器还提供了包括钓鱼网站的登陆页面截图、可能的URL链接重定向、检测结果和相关工件在内的全面概述,以便进行更深入的分析。访问这个钓鱼网站的用户会被提示连接他们的加密货币钱包,以声称要领取代币。观察到的一种常见的钱包连接方法是使用手机扫描二维码。这个二维码可能看起来像是链接到所需的加密货币钱包应用程序,提供了无缝登录过程的幻觉。实际上,这个行动授予了钓鱼网站访问用户的登录凭据的权限,使得未经授权的人可以清空他们的加密货币钱包。
来源:
https://blog.talosintelligence.com/how-do-cryptocurrency-drainer-phishing-scams-work/
**
数据泄露专题
**
美国Evolve银行确认遭受网络攻击,760万用户数据受影响
Tag:LockBit团伙, 网络攻击
事件概述:
美国著名的银行服务公司Evolve Bank & Trust最近确认,2024年早些时候的一次网络攻击导致数百万客户的个人数据受到泄露。Evolve在7月8日向缅因州的检察官提交的一份声明中确认,此次破坏影响了至少760万个人,包括缅因州的2万多名客户。声明并未具体说明被泄露的数据类型,但银行此前已确认,个人银行客户的姓名、社会保障号码、银行账户详细信息和联系方式都被访问了。此外,员工数据和Evolve的金融科技合作伙伴的信息也受到影响。
此次数据泄露的范围仍不明确,Evolve正在继续调查。此次泄露源于2月份由与俄罗斯有关的LockBit团伙发起的一次勒索软件攻击。尽管今年早些时候多国政府的行动已经破坏了该团伙,但其管理员仍然逍遥法外。Evolve reportedly在5月份检测到了入侵,发现黑客已经渗透到其系统中。银行没有满足勒索要求,这促使LockBit在其暗网泄露网站上公布了被盗数据。Evolve还为受影响的客户提供了24个月的TransUnion信用监控和Cyberscout身份盗窃保护服务的免费会员资格。这一措施是为了减轻可能的欺诈和身份盗窃风险。
来源:
https://www.infosecurity-magazine.com/news/cyber-attack-evolve-bank-exposed/
- END -
