威胁情报周报（7.22~7.28）

一周威胁情报摘要

=============================

金融威胁情报

• 印度加密货币交易所WazirX遭受安全攻击，损失超过2.3亿美元

政府威胁情报

• 伊朗威胁组织MuddyWater活动增加，新后门BugSleep威胁以色列

能源威胁情报

• 关键基础设施领域的勒索软件攻击：原因与解决方案

流行威胁情报

• 新型Android恶意软件“BadPack”利用复杂逃避技术绕过安全分析工具

高级威胁情报

• 黑客组织“人民网络军”和“HackNeT”对法国网站进行试探性DDoS攻击，巴黎奥运会前的预演

漏洞情报

• SonicWall SMA100系列存在严重安全漏洞

勒索专题

• 美国第三大药店Rite Aid遭受勒索软件攻击，220万用户数据泄露

钓鱼专题

• 网络钓鱼威胁者利用AI针对多个加密货币品牌

数据泄露专题

• mSpy 再次遭遇数据泄露，数百万用户信息外泄

========================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================

**

金融威胁情报

**

印度加密货币交易所WazirX遭受安全攻击，损失超过2.3亿美元

  Tag：安全攻击, 反洗钱(AML)工具

事件概述：

印度加密货币交易所WazirX确认，其遭受了一次安全攻击，导致价值2.3亿美元的加密货币资产被盗。攻击源于Liminal界面显示的信息与实际签名之间的不匹配，有效载荷被替换以将钱包控制权转移给攻击者。区块链分析公司Elliptic表示，该攻击具有朝鲜威胁行动者的所有特征，攻击者已经采取了使用各种去中心化服务将加密资产兑换为Ether的步骤。此外，联合国表示，正在调查自2017年至2023年间由朝鲜国家行动者执行的58次可疑入侵，这些入侵为其推进核武器计划创造了30亿美元的非法收入。

WazirX的攻击源于Liminal界面显示的信息与实际签名之间的不匹配，有效载荷被替换以将钱包控制权转移给攻击者。这突出了在使用多签名钱包时，确保信息一致性的重要性。此外，攻击者使用了去中心化服务来洗钱，这表明，尽管去中心化服务为用户提供了更大的隐私和控制权，但也可能被恶意行动者利用。此外，朝鲜的威胁行动者已经多次利用网络攻击来规避国际制裁，这说明了威胁情报共享的重要性。对于这种情况，自动化的安全措施，如异常交易检测和反洗钱(AML)工具，可能会有所帮助。

来源：

https://thehackernews.com/2024/07/wazirx-cryptocurrency-exchange-loses.html

**

政府威胁情报

**

伊朗威胁组织MuddyWater活动增加，新后门BugSleep威胁以色列

  Tag：MuddyWater, BugSleep

事件概述：

自2023年以色列-哈马斯战争开始以来，与伊朗情报和安全部（MOIS）有关联的威胁组织MuddyWater在以色列的活动显著增加。该组织通过钓鱼活动，使用合法的远程管理工具（RMM），如Atera Agent和Screen Connect，对以色列、沙特阿拉伯、土耳其、阿塞拜疆、印度和葡萄牙等目标进行攻击。最近，MuddyWater还部署了一种名为BugSleep的新型定制后门，主要针对以色列的组织。BugSleep是一种后门，设计用来执行威胁行为者的命令，并在受损机器和C&C服务器之间传输文件。该后门目前正在开发中，威胁行为者不断改进其功能并解决漏洞。

MuddyWater通常通过从受损电子邮件账户发送大量电子邮件来进行钓鱼活动。这些活动通常会导致部署合法的远程管理工具（RMM），如Atera Agent或Screen Connect。然而，最近，他们部署了一种名为BugSleep的定制后门。BugSleep是一种新的定制恶意软件，自2024年5月以来在MuddyWater的钓鱼诱饵中使用，部分取代了他们使用的合法RMM工具。BugSleep的主要逻辑在所有版本中都相似，首先是对Sleep API的多次调用以逃避沙箱，然后加载其需要运行的API。然后，它创建一个互斥体（在我们的样本中观察到“PackageManager”和“DocumentUpdater”），并解密其配置，其中包括C&C IP地址和端口。在大多数BugSleep样本中，恶意软件然后创建一个与互斥体同名的计划任务，并向其添加“sample comment”评论。这个计划任务确保了BugSleep的持久性，每天每30分钟运行一次恶意软件。

来源：

https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/

**

能源威胁情报

**

关键基础设施领域的勒索软件攻击：原因与解决方案

  Tag：勒索软件攻击, 多因素认证

事件概述：

据Sophos的调查，2023年，67%的石油、能源和公用事业部门的关键基础设施运营商遭受了勒索软件攻击，这一比例远高于所有行业的59%。这些攻击影响了平均62%的系统，远高于所有行业中受勒索软件攻击影响的49%的系统。工业部门的勒索软件案件数量在2022年和2023年间几乎翻倍，从804起增加到1484起。公共服务提供商或支持关键基础设施的组织更容易成为勒索软件攻击的目标，因为他们面临外部压力恢复运营。

大多数针对石油、能源和公用事业部门的关键基础设施公司的勒索软件攻击成功是通过利用软件漏洞，这占成功攻击的49%，比前一年的35%高。受到威胁的凭证（27%）和恶意电子邮件（14%）是前三名的攻击手段。2023年，80%的攻击导致数据被加密，这与前一年相同，但明显高于前两年。Sophos的调查显示，受访者平均需要一个多月的时间来恢复。首次有更多的公司支付赎金（61%）而不是使用备份进行恢复，即使中位数的支付金额跳升到254万美元。2023年，从一次事件中恢复的平均成本达到300万美元，与前一年相同。组织应该采用多因素认证（MFA）等简单的技术，并跟上软件更新，否则他们可能不仅一次，而且多次成为目标。政府需要为关键基础设施部门设定网络安全标准。

来源：

https://www.darkreading.com/cyber-risk/ransomware-has-outsized-impact-on-gas-energy-and-utility-firms

**

流行威胁情报

**

新型Android恶意软件“BadPack”利用复杂逃避技术绕过安全分析工具

  Tag：BadPack, Android恶意软件

事件概述：

Palo Alto Networks的Unit 42的网络安全研究人员已经识别出一种名为“BadPack”的新型Android恶意软件变种，该恶意软件利用一种复杂的逃避技术绕过传统的安全分析工具。被篡改的头文件是BadPack的标志，对Android反向工程工具构成了重大挑战。BadPack在银行木马如BianLian、Cerberus和TeaBot中被使用，体现了针对Android设备的恶意软件日益复杂化。

BadPack的策略涉及篡改ZIP结构头文件，使工具难以提取和解码AndroidManifest.xml文件。这种干扰导致分析过程中出现一系列错误，最终阻止了对恶意软件的全面理解和对抗。恶意软件作者采用各种方法来操纵ZIP头文件：使用STORE方法时指定错误的压缩大小；使用非DEFLATE压缩方法值时，有效载荷为STORE；在本地文件头中设置压缩方法值，而实际有效载荷为DEFLATE。这些策略利用了分析工具对ZIP规范的严格遵守，而Android运行时系统则更加宽松。在测试的工具中，apkInspector能够从BadPack APK样本中提取和解码AndroidManifest.xml文件。这种开源工具于2023年12月发布，提供了对ZIP结构的详细洞察，并显示出对篡改压缩方法的抵抗力。

来源：

https://securityonline.info/new-android-malware-badpack-evades-security-analysis-researchers-warn/

**

高级威胁情报

**

黑客组织“人民网络军”和“HackNeT”对法国网站进行试探性DDoS攻击，巴黎奥运会前的预演

  Tag：DDoS攻击, APT44

事件概述：

2024年6月23日，Cyble研究与情报实验室（CRIL）的研究人员注意到，一个名为“人民网络军”（Народная Cyber Армия）的俄罗斯黑客组织及其盟友HackNeT宣布对多个法国网站进行DDoS攻击，以此作为对即将到来的巴黎奥运会的大规模攻击的预演。这是该组织首次对法国网站进行记录在案的攻击。通过他们的Telegram频道，这些黑客组织分享了对Festival La Rochelle Cinéma和Grand Palais网站的成功攻击截图。考虑到这些攻击者与APT44（Sandworm, FROZENBARENTS, 和Seashell Blizzard）的关联性，研究人员认为有必要深入调查此次事件及其潜在威胁。

人民网络军是一个高产的黑客组织，与APT44（Sandworm, FROZENBARENTS, 和Seashell Blizzard）有关。该组织自2022年3月首次在Telegram上出现以来，已进行过多次高调的网络攻击，包括对乌克兰核机构的攻击。他们所使用的DDoS工具是用Python编写的，支持多线程和多进程操作，可以同时发送大量请求以提高攻击效果，并且支持代理功能以隐藏攻击者的IP地址。此外，该组织还通过Telegram频道发布教程，鼓励订阅者使用这些工具协助攻击。HackNeT是另一个亲俄黑客组织，成立于2023年2月，经常与人民网络军等组织联合进行政治动机的攻击。这次攻击事件中的相关指标（如MD-5, SHA-1, SHA-256）包括Windows和Linux可执行文件，用于执行DDoS攻击。

来源：

https://unsafe.sh/go-250666.html

**

漏洞情报

**

SonicWall SMA100系列存在严重安全漏洞

  Tag：XSS, 命令注入 

事件概述：

近期，SSD Secure Disclosure的漏洞分析中发现SonicWall SMA100系列存在严重的安全漏洞。这些漏洞由SSD Labs Korea的SeongJoon Cho发现，包括预认证存储的跨站脚本（XSS）和后认证远程命令注入，对用户产生重大影响，可能允许未经认证的攻击者执行任意命令。组织依赖于SMA100设备的应立即升级到最新的固件，以防止可能的攻击。

这些安全漏洞包括一个预认证存储的跨站脚本（XSS）和一个后认证的远程命令注入。XSS漏洞隐藏在“/cgi-bin/eventlog”组件中，可能允许攻击者将恶意脚本注入到日志条目中。当被认证用户查看时，这些脚本会执行，可能导致会话劫持、数据盗窃或进一步的系统妥协。同时，发现在“/cgi-bin/sitecustomization”中的命令注入漏洞，可能使攻击者能够以web服务器的权限在设备上执行任意命令。这可能导致设备的完全接管和网络内的横向移动。SonicWall选择了一个无声的补丁，而不是分配CVEs（常见漏洞和暴露）并发布传统的安全咨询。固件版本SMA100 10.2.1.10完全移除了XSS漏洞所在的“经典模式”功能，并引入了输入过滤以减轻命令注入问题。

来源：

https://securityonline.info/critical-vulnerabilities-patched-in-sonicwall-sma100-poc-published/

**

勒索专题

**

美国第三大药店Rite Aid遭受勒索软件攻击，220万用户数据泄露

  Tag：RansomHub勒索软件组织, 两因素身份验证（2FA） 

事件概述：

美国第三大药店连锁公司Rite Aid在一份数据泄露通知中报告称，其在2024年6月的一次勒索软件攻击中，约220万用户的数据被泄露。RansomHub勒索软件组织对此次攻击负责。Rite Aid在6月20日发现此次数据泄露，并开始进行调查。据Rite Aid称，被盗数据主要涉及2017年6月6日至2018年7月30日期间的购物记录，包括姓名、地址、出生日期和驾驶证或其他身份证件的编号等。RansomHub声称获取了超过10GB的客户信息，约4500万行的个人信息。Rite Aid正在为受影响的客户提供12个月的信用监控服务。

RansomHub勒索软件组织在攻击过程中，采取了威胁泄露被盗客户数据的手段，以增加对受害者的影响力。他们在泄露数据的网站上设定了倒计时，要求在时间到期前支付赎金，否则将公开被盗数据。在这种情况下，用户需要采取一些措施保护自己，例如更改密码、启用两因素身份验证（2FA）、警惕假冒的供应商、设置身份监控等。特别是启用FIDO2兼容的硬件键、笔记本电脑或手机作为第二因素的2FA，可以有效防止被网络钓鱼。此外，尽管将卡详情存储在网站上更为方便，但强烈建议用户不要在网站上存储此类信息，以避免数据被非法交易。

来源：

https://unsafe.sh/go-251113.html

**

钓鱼专题

**

网络钓鱼威胁者利用AI针对多个加密货币品牌

  Tag：网络钓鱼, 二次验证 

事件概述：

近期，一项针对加密货币的网络钓鱼活动被揭露，威胁者利用AI生成内容创建了17000个模仿超过30个主要加密货币品牌的钓鱼诱饵网站，包括Coinbase、Crypto.com、Metamask和Trezor等。攻击者通过盗取登录凭证和二次验证（2FA）码，可以未经授权地访问用户的加密货币账户，可能导致财务损失和进一步的利用。IT安全公司Netcraft监控了这个活动超过一年，指出这个活动的威胁是多方面的。黑客能够获取种子恢复短语，这使得攻击者可以完全接管受害者的钱包，使其无法恢复。

这次攻击的流程开始于在合法开发者平台GitBook上托管的诱饵网站上的AI生成内容。这些初始诱饵网站的链接通常通过网站评论分发，大部分并未包含恶意内容。这些网站包含呼吁行动（CTA）链接，将用户重定向到钓鱼域。这些域使用UUID（通用唯一标识符）跟踪用户访问。这些网站使用访问密钥注册，并托管在Amazon Web Services（AWS）上，确保了可靠的运行时间和性能。AI被用来生成逼真的钓鱼内容，使得攻击者能够快速高效地创建大量的钓鱼网站。这些内容模仿合法的加密货币品牌网站，使用户难以区分真实和虚假网站。第二层，使用网络重定向通过流量分发系统隐藏，最终引导到加密货币主题的钓鱼网站。这些网站旨在收集钱包凭证、种子短语和二次验证码。Netcraft的产品策略副总裁Robert Duncan表示，他们追踪的许多诱饵都使用生成性AI创建了数千个涵盖了广泛品牌的独特内容。他解释说，使用大型语言模型（LLMs）创建这些内容简单、便宜，可以自动化，并且比人类能够完成的速度更快、效果更好。

来源：

https://unsafe.sh/go-251270.html

**

数据泄露专题

**

mSpy 再次遭遇数据泄露，数百万用户信息外泄

  Tag：Have I Been Pwned, 多因素认证 

事件概述：

商业间谍软件制造商 mSpy 再次遭到黑客攻击，数百万用户的 Zendesk 支持票据被泄露。根据 Have I Been Pwned 的消息，黑客窃取了 142GB 的用户数据和支持票据，以及 176GB 的附件，包含 240 万个唯一的电子邮件地址、IP 地址、姓名和照片。泄露的数据还包括金融交易截图、信用卡照片，甚至一些裸照。mSpy 之前在 2015 年和 2018 年也遭遇过数据泄露事件，分别暴露了 40 万和数百万用户的数据。其他间谍软件公司如 LetMeSpy 和 pcTattletale 也因数据泄露而关闭。

mSpy 的数据泄露事件突显了多因素认证和威胁情报共享的重要性。此次泄露的数据量巨大，包括用户的敏感信息，如电子邮件地址、IP 地址、信用卡照片和裸照，黑客可以利用这些信息进行进一步攻击。建议用户立即更改密码并启用多因素认证。类似的间谍软件公司频繁遭遇数据泄露，强调了自动化安全措施和定期软件更新的重要性。此外，Linksys 路由器被发现以明文形式向亚马逊服务器传输 SSID 和密码，容易遭受中间人攻击。为了防范此类风险，用户应及时更新固件并更改路由器设置。

来源：

https://www.theregister.com/2024/07/15/infosec\_roundup/

- END -