威胁情报周报(7.29~8.4)
一周威胁情报摘要
=============================
金融威胁情报
- 拉丁美洲银行业遭遇恶意Chrome扩展程序攻击
政府威胁情报
- 网络威胁行动者Patchwork针对不丹相关实体发动攻击
能源威胁情报
- 乌克兰远程供热公司遭受网络攻击
流行威胁情报
- 新发现的威胁行动者SneakyChef使用SugarGh0st恶意软件进行网络攻击
高级威胁情报
- 乌克兰机构遭HATVIBE和CHERRYSPY恶意软件攻击
漏洞情报
- Sonicwall防火墙发现严重漏洞
勒索专题
- KADOKAWA公司遭遇BlackSuit勒索软件攻击
钓鱼专题
- 全球范围内的Windows设备故障引发大规模网络诈骗
数据泄露专题
- 墨西哥ERP提供商ClickBalance大规模数据泄露
========================================================================================================================================================================================================================================================================================================================================================================================================================================================================
**
金融威胁情报
**
拉丁美洲银行业遭遇恶意Chrome扩展程序攻击
Tag:恶意Chrome扩展程序攻击, CyberCartel
事件概述:
IBM安全实验室最新研究发现,拉丁美洲地区的恶意Chrome扩展程序攻击活动有所增加,主要针对金融机构。这些扩展程序能够收集受害者浏览器的技术信息,截取活动浏览标签的屏幕截图,访问浏览器的剪贴板并覆盖其内容,注入恶意脚本,窃取登录凭据和cookies,跟踪浏览历史并将用户重定向到钓鱼网站。为了保证其持久性,恶意软件采用了灵活的命令和控制(C2)系统和自适应配置,通常通过Telegram频道进行通信。这些恶意活动的最终目标是在受害者的浏览器上安装有害的浏览器插件,并使用“浏览器中的人”技术非法收集敏感的银行信息。
本次攻击的背后是一个名为CyberCartel的网络犯罪组织,该组织自2012年以来一直活跃在拉丁美洲。他们使用来自已建立的恶意软件家族的恶意软件作为服务,最新的变种针对基于Chromium的浏览器,如Google Chrome,重点关注高价值实体,如政府办公室和金融机构。他们采用复杂的技术来避免被检测,保持长期访问并将钓鱼网站注入合法会话。此外,他们还欺骗用户从看似合法的政府或计费网站下载恶意文件。这种恶意Chrome扩展程序能够在受害者的机器上注入并窃取敏感信息。一旦受害者的机器被感染,恶意软件就会被添加到Chrome浏览器扩展名为Google Drive(虚假)的扩展程序中。此外,Telegram也被用作更新命令和控制(C&C)服务器的资源。
来源:
https://securityintelligence.com/posts/unveiling-latest-banking-trojan-threats-latam/
**
政府威胁情报
**
网络威胁行动者Patchwork针对不丹相关实体发动攻击
Tag:Patchwork, Brute Ratel C4
事件概述:
据报道,被称为Patchwork的网络威胁行动者最近针对与不丹有关的实体发动了一次网络攻击,以传送Brute Ratel C4框架和一种名为PGoShell的后门的更新版本。这是该对手首次被观察到使用红队软件。这个活动集群,也被称为APT-C-09、Dropping Elephant、Operation Hangover、Viceroy Tiger和Zinc Emerson,是一个可能源自印度的国家支持的行动者。这个黑客团队以对中国和巴基斯坦进行鱼叉式网络钓鱼和水坑攻击而闻名,据信自2009年起就一直活跃。
最近观察到的攻击链的起点是一个Windows快捷方式(LNK)文件,该文件被设计为从一个模仿联合国气候变化框架公约支持的适应基金的远程域下载一个诱饵PDF文档,同时从另一个域(“beijingtv[.]org”)悄悄部署Brute Ratel C4和PGoShell。PGoShell是用Go编程语言开发的,总的来说,它提供了一套丰富的功能,包括远程shell能力、屏幕捕获以及下载和执行有效载荷。这个发展是在APT-K-47(另一个与SideWinder、Patchwork、Confucius和Bitter共享战术重叠的威胁行动者)被归因于使用ORPCBackdoor以及以前未记录的恶意软件如WalkerShell、DemoTrySpy和NixBackdoor来收集数据和执行shellcode的攻击之后几个月发生的。这些攻击还因部署了一个名为Nimbo-C2的开源命令和控制(C2)框架而引人注目,该框架“使得一系列远程控制功能成为可能”。
来源:
https://thehackernews.com/2024/07/patchwork-hackers-target-bhutan-with.html
**
能源威胁情报
**
乌克兰远程供热公司遭受网络攻击
Tag:FrostyGoop恶意软件, Modbus协议
事件概述:
2024年4月,Dragos OT网络威胁情报团队发现了一种名为FrostyGoop的ICS恶意软件,该软件针对ICS/OT系统。这种恶意软件能够通过Modbus协议,直接与运营技术环境中的工业控制系统(ICS)进行交互。Modbus协议是一种在全球各行业和组织广泛使用的标准ICS协议。FrostyGoop恶意软件可能在对乌克兰一家远程供热公司的网络攻击中使用,以关闭一个城市的供暖系统。
FrostyGoop恶意软件是用Golang编写的,可以通过Modbus TCP在502端口与工业控制系统(ICS)直接交互。它是为Windows系统编译的,大多数防病毒供应商并未将其识别为恶意软件。FrostyGoop具有通过Modbus TCP与ICS设备通信的能力,这对各个行业的关键基础设施构成威胁。由于Modbus协议在工业环境中无处不在,这种恶意软件有可能通过与旧式和现代系统交互,导致所有行业发生故障。Dragos专家指出,乌克兰的网络事件凸显了需要适当的安全控制,包括对OT网络的监控。防病毒供应商的检测不足,强调了需要持续监控OT网络安全,包括ICS协议的分析,以便通知设施运营商潜在的风险。
来源:
**
流行威胁情报
**
新发现的威胁行动者SneakyChef使用SugarGh0st恶意软件进行网络攻击
Tag:SneakyChef, SugarGh0st
事件概述:
网络安全公司Cisco Talos最近发现了一起由新发现的威胁行动者SneakyChef发起的网络攻击活动,该活动自2023年8月开始,使用SugarGh0st恶意软件进行攻击。相较于以往主要针对韩国和乌兹别克斯坦的攻击,此次活动的目标范围更广,涵盖了EMEA和亚洲的多个国家。SneakyChef主要通过伪装成政府机构扫描文件的诱饵进行攻击,其中大部分与各国外交部或大使馆有关。Talos在2023年11月公开的两条感染链之外,还发现了一条新的感染链,该感染链使用SFX RAR文件传播SugarGh0st。
在技术层面,SneakyChef使用的是SFX RAR文件作为初始攻击载体。当受害者运行可执行文件时,SFX脚本会执行,将诱饵文档、DLL加载器、加密的SugarGh0st和恶意VB脚本丢入受害者的用户配置文件临时文件夹,并执行恶意VB脚本。恶意VB脚本通过将命令写入注册表键UserInitMprLogonScript来建立持久性,该命令在本地工作组或域的用户登录系统时执行。当用户登录系统时,该命令运行并使用regsvr32.exe启动加载器DLL“update.dll”。加载器读取加密的SugarGg0st RAT“authz.lib”,解密它并将其注入进程。这种技术与2024年2月哈萨克斯坦政府公开的SugarGh0st活动中的技术相同。
来源:
https://unsafe.sh/go-251853.html
**
高级威胁情报
**
乌克兰机构遭HATVIBE和CHERRYSPY恶意软件攻击
Tag:HATVIBE, CERT-UA
事件概述:
乌克兰计算机应急响应小组(CERT-UA)警告称,一项针对该国科研机构的鱼叉式网络钓鱼活动使用了HATVIBE和CHERRYSPY恶意软件。此次攻击由被称为UAC-0063的威胁行为者发起,他们此前曾通过键盘记录器和后门程序针对各政府机构收集敏感信息。攻击通过被入侵的员工邮箱发送含有宏代码的Microsoft Word附件进行,当受害者打开文档并启用宏时,HATVIBE恶意软件被执行,随后安装CHERRYSPY Python后门程序。CERT-UA检测到利用HTTP文件服务器漏洞(CVE-2024-23692,CVSS评分:9.8)进行初始访问的多个HATVIBE感染案例。UAC-0063被认为与俄罗斯国家支持的APT28组织有关。与此同时,CERT-UA还详细介绍了另一项针对乌克兰国防企业的网络钓鱼活动,该活动使用包含恶意链接的PDF文件下载并运行一个名为GLUEEGG的可执行文件,随后安装Lua加载器DROPCLUE,最终下载合法的远程桌面程序Atera Agent。
此次攻击展示了高级网络间谍活动中的多层次恶意软件使用,强调了对抗鱼叉式网络钓鱼攻击的重要性。HATVIBE通过启用宏代码执行,设立持久性,并安装CHERRYSPY Python后门程序,可接收远程服务器指令执行。该攻击利用了HTTP文件服务器的高危漏洞CVE-2024-23692,进一步凸显了及时修补已知漏洞的重要性。APT28被认为与俄罗斯军事情报单位GRU有关,其复杂的攻击手段和多重别名显示了其广泛的攻击能力。同时,针对乌克兰国防企业的DROPCLUE攻击使用了诱饵PDF文件和合法远程桌面工具Atera Agent,展示了攻击者利用合法软件进行隐蔽攻击的策略。多因素认证、威胁情报共享和自动化安全措施在防御此类复杂攻击中尤为重要。
来源:
https://unsafe.sh/go-251969.html
**
漏洞情报
**
Sonicwall防火墙发现严重漏洞
Tag:Sonicwall防火墙, CVE-2024-40764
事件概述:
攻击者若成功利用Sonicwall多个防火墙型号中的漏洞,可能导致设备完全瘫痪。受影响的Gen6和Gen7型号包括NSv10和TZ270,漏洞编号为CVE-2024-40764,被评为高危。该漏洞存在于SonicOS的IPSec组件,允许未经身份验证的远程攻击者执行DoS攻击。目前,尚无实际攻击报告。厂商已发布补丁版本,用户应尽快更新至6.5.4.v-21s-RC2457、7.0.1-5161、7.1.1-7058或7.1.2-7019版本以防止潜在风险。
此次Sonicwall防火墙的漏洞表明了保持设备固件更新的重要性。尤其是涉及IPSec组件的漏洞,可能导致远程攻击者无需身份验证即可发起DoS攻击,严重影响网络安全。用户应立即更新至厂商提供的安全版本。此外,建议启用多因素认证和自动化安全措施,以进一步减少安全风险。威胁情报共享在此次事件中也显得尤为重要,有助于及时发现和应对新兴威胁。
来源:
**
勒索专题
**
KADOKAWA公司遭遇BlackSuit勒索软件攻击
Tag:BlackSuit勒索软件, Deep Instinct
事件概述:
近期,KADOKAWA公司旗下多个网站因服务中断受到严重影响。起初以为是技术故障,但不久后被证实为臭名昭著的BlackSuit勒索软件组织所策划的攻击。五周前,BlackSuit声称对这次攻击负责,并威胁若不满足其赎金要求,将在7月1日公开被盗信息。Deep Instinct的威胁实验室深入分析显示,BlackSuit勒索软件的战术和技术有了令人不安的进化。该勒索软件现使用先进的混淆方法,将其有效载荷伪装成Qihoo 360杀毒软件的合法组件,大幅降低了检测率。此外,新版本的BlackSuit样本表现出比旧版本更低的检测率,显示出威胁行为者有意规避安全措施。
BlackSuit勒索软件通过编码字符串和导入的DLL来阻止分析工作。其伪装文件虽未签名,但极度仿真于Qihoo 360的真实文件QHAccount.exe,从而有效躲避安全软件的检测。该勒索软件还包含非对称密钥交换用于加密、删除影子副本以禁用轻松恢复功能、禁用安全模式和关机系统。加密文件会被附加.blacksuit扩展名,并生成名为readme.blacksuit.txt的赎金说明。BlackSuit利用多种初始攻击向量,包括使用被盗凭据的RDP、VPN和防火墙漏洞、带宏的Office邮件附件、torrent网站、恶意广告和第三方木马程序。攻击者还使用CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz和GMER等工具,能够广泛攻击各种受害者,危及大量数据。BlackSuit组织在暗网上运营一个新闻和泄漏网站,在赎金截止日期过后发布受害者的数据,这些档案包括受影响组织的行业、员工数量、收入和联系信息等关键数据。
来源:
https://securityonline.info/blacksuits-advanced-ransomware-tactics-exposed-masquerades-as-antivirus/
**
钓鱼专题
**
全球范围内的Windows设备故障引发大规模网络诈骗
Tag:网络钓鱼攻击, CrowdStrike
事件概述:
2022年6月19日,全球约850万台Windows设备出现故障,网络安全公司CrowdStrike的一次错误更新导致全球Windows系统关闭,影响了从旅游、医疗到金融系统的众多行业,迫使航空公司推迟或取消航班,医院延迟手术,银行不得不应对服务中断。CrowdStrike发布了修复程序,但损害已经广泛存在。网络犯罪分子抓住这个机会进行诈骗,CrowdStrike CEO George Kurtz警告称,“我们知道对手和恶意行为者会试图利用这样的事件。我鼓励大家保持警惕,确保你们正在与官方的CrowdStrike代表接触。”
本次事件中,网络犯罪分子利用了人们的恐慌和混乱,进行了一系列的网络攻击。McAfee分析师发现,恶意行为者在事件发生的当天就开始利用这个情况,他们的诈骗手段包括与航班重新安排相关的网络钓鱼攻击,冒充银行窃取登录信息,甚至是零售商请求替代支付方式。反网络钓鱼和欺诈公司Bolster表示,在CrowdStrike事件发生后的首24小时内,检测到了40多个网络钓鱼和假冒的“仿冒”域名。此外,Lyra Technology Group的COO Brent Riley表示,他们发现了冒充CrowdStrike支持的网络钓鱼邮件,伪造的提供CrowdStrike支持的网站,以及冒充CrowdStrike或Microsoft的冷呼叫者,客户支持诈骗,以及从冒充CrowdStrike或Microsoft的号码发送的网络钓鱼短信。
来源:
**
数据泄露专题
**
墨西哥ERP提供商ClickBalance大规模数据泄露
Tag:数据泄露, 网络钓鱼
事件概述:
网络安全研究员Jeremiah Fowler发现,墨西哥最大的企业资源规划(ERP)技术提供商之一ClickBalance发生了大规模数据泄露。泄露的数据包括769,333,246条记录,总计395GB,存放在一个未设置密码的数据库中。这些数据包括访问令牌、API密钥、秘密密钥、银行账户号码、税务识别号和381,224个电子邮件地址等潜在敏感信息。尽管ClickBalance在被通知后几小时内限制了对数据库的公开访问,但目前尚不清楚数据暴露了多长时间,或是否有未经授权的方访问了这些数据。
这次数据泄露事件突显了管理大量敏感信息的技术公司面临的重大数据保护挑战。ERP、CRM和CDM系统由于存储多个客户的大量数据,特别容易受到攻击。随着这些系统在现代商业运营中的作用越来越重要,提供商必须优先考虑数据安全,以维护信任并保护客户的敏感信息。此次事件强调了在日益数字化的商业环境中,需要不断警惕并采取积极的安全措施。泄露的API密钥和秘密密钥可能让网络犯罪分子进入关键系统和敏感数据。超过381,000个暴露的电子邮件地址增加了针对性网络钓鱼攻击的风险。根据德勤的数据,91%的所有网络攻击都始于网络钓鱼邮件。暴露的IP地址可能成为网络犯罪分子识别和利用网络漏洞的起点。
来源:
https://cybersecuritynews.com/erp-provider-exposes-769-million-records/
- END -
