【安全周报】安恒高级安全威胁情报周报(2021.9.11~9.18)

威胁情报小能手 2021-09-23 10:04:07 429人浏览

【恶意软件威胁情报】

maxtrilha网银木马针对欧洲和南美银行客户

研究人员发现了一种名为maxtrilha的新型网银木马,该木马的目标是欧洲和南美银行的客户。近日,来自巴西的攻击者正使用定制的网络钓鱼模板在拉丁美洲传播maxtrilha木马,攻击活动也扩展到了欧洲和葡萄牙。

来自巴西的银行木马数量正高速增长,它们中的每一个都有其特殊性、TTP 等,能够避免检测并影响世界各地的大量用户。研究人员预计,在未来几周或几个月内,可能会出现新的银行木马感染。

参考链接:https://ti.dbappsecurity.com.cn/info/2498

ZLoader银行木马针对澳大利亚和德国金融机构用户

ZLoader(又名Terdot)于 2016 年首次被发现,是ZeuS 银行木马的分支,通过网络注入来窃取 cookie、密码和敏感信息。研究人员发现,新的ZLoader攻击活动具有更隐蔽的分发机制,通过禁用 Windows Defender 来隐藏恶意活动。该活动针对澳大利亚和德国金融机构的用户,其主要目标是拦截用户对银行门户的 Web 请求并窃取银行凭据。

参考链接:https://ti.dbappsecurity.com.cn/info/2499

S.O.V.A.:针对美国和西班牙的新型Android银行木马

2021年8月初,研究人员发现了一个名为S.O.V.A.的新型Android银行木马,该木马仍处于开发和测试阶段,目前已具有覆盖和键盘记录的功能,此外,攻击者还试图添加其他危险的功能,如进行DDoS攻击、部署勒索软件以及中间人攻击(MITM)。目前,SOVA木马正在针对美国和西班牙的银行应用程序、加密货币钱包和购物应用程序进行渗透欺诈攻击。

目前,S.O.V.A.恶意软件仍处于起步阶段,当前版本的S.O.V.A.能够通过覆盖攻击、键盘记录、隐藏通知以及操纵剪贴板插入修改后的加密货币钱包地址来窃取凭据和会话cookie。此外,攻击者还可能会添加VNC、DDoS功能、勒索软件和高级覆盖攻击功能,这些功能将使S.O.V.A.成为市场上功能最丰富的Android恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/2491

ChaChi恶意软件的Linux新变种

2021年8月,研究人员发现了ChaChi的一个Linux变种,该恶意软件的域与PYSA勒索软件团伙相关。ChaChi是一种基于Golang的开源RAT的定制变种,它利用DNS隧道进行C2通信。PYSA勒索软件于 2019 年 12 月首次被发现,主要攻击教育、医疗保健和政府部门的 Windows 系统。研究人员以中等可信度评估,该变体代表PYSA攻击者已将攻击扩展到Linux系统。

PYSA 的 ChaChi 基础设施似乎在过去几周基本上处于休眠状态,大部分都处于停放状态,显然不再运行。目前尚不清楚Linux变体是否已用于攻击,观察到的调试输出可能表明样本仍处于测试阶段。该变种表明勒索软件的攻击目标转向 Linux系统的重要趋势。

参考链接:https://ti.dbappsecurity.com.cn/info/2488

Capoae挖矿恶意软件利用多个漏洞进行传播

“Capoae”是用Golang编写的UPX打包加密挖矿恶意软件,针对Linux系统和Web应用程序。该恶意软件利用易受攻击的系统和管理凭据进行传播,一旦被感染,这些系统就会被用来挖矿。Capoae 利用的漏洞包括CVE-2020-14882和CVE-2018-20062。

 

Capoae 恶意软件使用多种漏洞和策略进行传播,且具有跨平台功能,因此被攻击者广泛使用。目前,利用Capoae恶意软件进行的加密货币挖矿活动仍在继续。

参考链接:https://ti.dbappsecurity.com.cn/info/2509

Numando拉丁美洲银行木马分析

Numando是一个用Delphi编写的拉丁美洲银行木马,恶意软件家族背后的攻击者至少自2018年以来一直活跃。Numando木马主要由垃圾邮件分发,主要针对巴西,在墨西哥和西班牙也展开过攻击活动。

参考链接:https://ti.dbappsecurity.com.cn/info/2515

伪装成银行应用程序传播的恶意软件

研究团队已识别出针对墨西哥的恶意软件,并将其识别为 Android/Banker.BT 及其变体。疫情期间,许多银行都采用了新的方式与客户互动,因此客户愿意安装新应用程序,因此给网络犯罪分子提供了机会。恶意软件由网络钓鱼页面分发,伪装成安全银行工具或报告ATM服务中断的银行应用程序传播。恶意软件依赖于防欺诈工具所产生的紧迫感,窃取访问墨西哥金融机构受害者帐户的身份验证因素。

参考链接:https://ti.dbappsecurity.com.cn/info/2492

热点事件威胁情报

警惕MacOS平台上伪造iterm2页面的钓鱼攻击

近日,知乎网友发现MacOS平台上伪造iterm2页面的钓鱼攻击,该网友毫不犹豫的点击进入了该网站后,发现此网站竟是高度仿真iterm2官方的钓鱼网站,其下载页面将提供带木马病毒和信息收集的iterm2的程序。攻击者在伪造的软件下载页面分发恶意软件,目前,该搜索引擎已下架钓鱼页面并阻断推广。

参考链接:https://ti.dbappsecurity.com.cn/info/2501

MyRepublic公司近80000名移动用户数据遭泄露

新加坡互联网服务提供商MyRepublic表示,8月29日发生一起“未经授权的数据访问事件”,近8万新加坡手机用户的个人数据遭到泄露。受影响的系统包含移动服务登记所需的身份验证文件,包括身份证扫描副本和外国居民的居住地址。MyRepublic表示,账户号码和支付信息并没有受到影响,该公司的内部基础设施也没有受到影响。

MyRepublic表示,虽然目前没有发现个人数据被滥用的证据,但作为预防措施,该公司正在联系可能受到影响的客户,并为他们提供必要的支持。并且公司还在审查内部和外部系统和流程,以确保此类事件不再发生。

参考链接:https://ti.dbappsecurity.com.cn/info/2487

研究人员发布REvil勒索软件的通用解密器

今年7月13日,REvil勒索团伙的部分基础设施下线,导致未支付赎金的受感染受害者无法恢复其加密数据。9月16日,Bitdefender公司发布了针对REvil勒索软件的通用解密器,适用于7月13日之前遭到REvil攻击的所有受害者,可以帮助受害者免费恢复文件。这款主解密器的发布对于现有受害者来说是一个巨大的福音。随着REvil勒索的卷土重来,新的 REvil 攻击即将来临,Bitdefender敦促组织应保持高度警惕并采取必要的预防措施。

参考链接:https://ti.dbappsecurity.com.cn/info/2510

司法部指控3名前美国情报官员为阿联酋公司开发间谍软件

9月14日,美国司法部对3名前美国情报官员处以168万美元的罚款,指控这三位前雇员从2015年12月至2019年11月,为阿联酋一家网络安全公司开发远程入侵移动设备的间谍软件。这是第一起美国前雇员作为雇佣黑客被起诉的案件,旨在警告正在进行此类活动的其他人,可能因其犯罪行为而受到全面起诉。联邦调查局称,将全面调查从非法网络犯罪活动中获利的个人和公司。

参考链接:https://ti.dbappsecurity.com.cn/info/2505

【医疗行业威胁情报】

BlackMatter勒索软件攻击日本医疗技术巨头奥林巴斯

2021 年 9 月 8 日,日本医疗技术巨头奥林巴斯公司遭到了网络攻击,影响了该公司欧洲、中东和非洲的网络。据悉,此次事件的攻击者为BlackMatter勒索软件组织,赎金记录中提到了 BlackMatter 团伙过去用来与受害者交流的 Tor 网站。

目前,奥林巴斯暂未确认此次事件的攻击者。奥林巴斯表示,该公司的客户安全、支持和服务具有最高优先级,不受此案的影响,由于正在进行的调查,公司目前无法提供任何进一步的信息或声明。

参考链接:https://ti.dbappsecurity.com.cn/info/2495

【政府部门威胁情报】

南非司法部和宪法发展部遭勒索软件攻击

9月6日晚上,南非司法部和宪法发展部的多项 IT 服务因勒索软件攻击中断,包括电子邮件系统和国家保释服务的系统。司法部官员表示,攻击活动加密了该部门所有的信息系统,使得内部的员工和外部的公众均无法使用。该部门提供的所有电子服务都受到影响,包括签发授权书、保释服务、电子邮件和部门网站。

目前,司法部并未指明此次攻击背后的勒索运营团伙,尚不清楚近期针对南非国家航天局的数据泄漏事件与此次针对南非司法和宪法发展部的勒索攻击是否存在联系。南非司法部的 IT 团队正努力工作,以尽快恢复服务。

参考链接:https://ti.dbappsecurity.com.cn/info/2496

美国弗吉尼亚国防军的电子邮件帐户遭到网络攻击

8 月 20 日,Marketo公开从弗吉尼亚军事事务部窃取的大量数据,声称有 1GB 的数据可供购买。9月,弗吉尼亚国民警卫队发言人确认,与弗吉尼亚国防军和弗吉尼亚军事事务部相关的电子邮件帐户在 7 月份遭到了网络攻击,但弗吉尼亚警卫队的 IT 基础设施没有影响。

目前,弗吉尼亚军事事务部正与州和联邦合作伙伴继续协调,以确定威胁的影响以及应采取哪些适当的后续行动。警卫队发言人表示,此次事件并不是勒索软件攻击事件,但目前,弗吉尼亚国民警卫队暂未回答有关攻击者访问了哪些电子邮件地址以及是否已通知受害者的问题。

参考链接:https://ti.dbappsecurity.com.cn/info/2490

【航空行业威胁情报】

Operation Layover:长期针对航空行业的网络钓鱼活动

研究人员揭露了一项名为“Operation Layover”的攻击活动,该活动针对航空业,通过鱼叉式网络钓鱼电子邮件传播AsyncRAT和njRAT。攻击活动背后的参与者疑似来自尼日利亚,已经运行恶意软件超过五年,在过去的两年中主要针对航空业发起攻击。研究人员以高置信度认为Operation Layover的攻击者位于尼日利亚,且已经活跃了至少五年。

参考链接:https://ti.dbappsecurity.com.cn/info/2519

漏洞情报

APT组织利用WindowsAD域管理软件漏洞进行攻击活动

9月16日,联邦调查局 (FBI)、美国海岸警卫队网络司令部 (CGCYBER) 和网络安全和基础设施安全局 (CISA) 发布联合警报,称有APT组织正利用 ManageEngine ADSelfService Plus(Windows AD域管理软件)中新发现的CVE-2021-40539漏洞展开攻击活动。

警报中称,APT攻击者的目标是多个行业领域的学术机构、国防承包商和关键基础设施实体,包括运输、IT、制造、通信、物流和金融。非法获得的访问权限和信息可能会扰乱公司的正常运营,影响美国的多个领域。Zoho 于9月6日发布的ManageEngine ADSelfService Plus build 6114修复了 CVE-2021-40539。因此,FBI、CISA 和 CGCYBER 强烈敦促用户和管理员更新到 ADSelfService Plus build 6114。

参考链接:https://ti.dbappsecurity.com.cn/info/2508

苹果公司发布紧急更新,修复两个0-day漏洞

9月13日,Apple公司发布紧急更新,修复两个0-day漏洞:CVE-2021-30860和CVE-2021-30858,攻击者能够利用这两个漏洞在易受攻击的设备上打开恶意文档并执行相应命令。据悉,CVE-2021-30860 是一种名为“FORCEDENTRY”的0-day零点击 iMessage 漏洞,可用来在巴林激进分子的设备上部署 NSO Pegasus 间谍软件。

参考链接:https://ti.dbappsecurity.com.cn/info/2494

惠普游戏本存在严重漏洞,可影响数百万台游戏设备

HP OMEN笔记本电脑和台式游戏计算机中存在一个严重漏洞,编号为 CVE-2021-3437,CVSS 评分为7.8,可影响全球数百万台游戏计算机。攻击者可以利用这个漏洞在本地将权限升级到内核模式,从而禁用安全产品、覆盖系统组件、破坏操作系统或不受阻碍地执行任何恶意操作。

这种高度严重的漏洞影响了全球数百万台 PC 和用户。虽然到目前为止研究人员还没有发现这些漏洞被利用的迹象,但使用任何带有 OMEN Gaming Hub 的用户都可能受到攻击。因此,研究人员敦促 OMEN PC 的用户立即采取适当的缓解措施,开发人员应该对设备对象实施强ACL,验证用户输入,而不是将通用接口暴露给内核模式操作。

参考链接:https://ti.dbappsecurity.com.cn/info/2497

【高级威胁情报】

CloudFall组织针对中亚和东欧研究人员的攻击活动

2021年8月,研究人员发现了一些恶意Microsoft Word文档,这些文档以中亚和东欧的用户为攻击目标,使用多阶段攻击链滥用Cloudflare Workers和MS Office Word的功能。研究人员根据攻击者使用的网络基础设施将其命名为CloudFall组织,CloudFall和CloudAtlas APT组织之间存在很大的重叠。根据文档中的社会工程诱饵,研究人员以中等置信度认为此次活动的目标是受邀参加国际军事会议的科学家和研究人员。

参考链接:https://ti.dbappsecurity.com.cn/info/2516

针对印度国防官员的APT攻击活动

9月9日,研究人员在twitter上发布了恶意软件样本,认为该恶意软件属于透明部落APT组织。9月14日,Cyble研究实验室在分析了该样本后,鉴于攻击方式和受害者的性质,认为攻击者与 Side Copy APT 组织存在一些相似之处。这两个APT组织主要针对印度的国防和政府部门,都使用各种 RAT 和恶意软件通过多种模式发起活动,如网络钓鱼、通过邮件传递有效载荷等。此次发现的恶意软件带有印度武装部队食堂商店的标志,隐藏在 .vhdx 文件中以避免防病毒检测。

参考链接:https://ti.dbappsecurity.com.cn/info/2504

SideWinder组织针对巴基斯坦海军的攻击活动

SideWinder又名RattleSnake、响尾蛇,是一个具有印度政府背景的APT组织,其主要目的是对南亚的多个国家进行间谍活动以满足印度政府的利益。主要攻击的行业为南亚国家的国防和政府部门。近期, Sidewinder 发起了针对巴基斯坦海军招募中心的攻击活动,通过鱼叉式网络钓鱼邮件投递恶意附件,使用了与以往活动稍有不同的DLL侧加载技术,利用合法的control.exe 可执行文件加载一个恶意的 DLL,最终在受害者主机中植入 SideWinder 在过往攻击活动中使用的 RAT 以完成命令执行和数据外渗。

参考链接:https://ti.dbappsecurity.com.cn/info/2507

APT-C-23组织使用Android间谍软件针对中东地区用户

近日,研究人员发现 APT-C-23 (又名“双尾蝎”)组织使用 Android 恶意软件变种针对中东地区的用户,其分发机制是通过网络钓鱼或通过伪造的 Android 应用进行分发,此应用有一个与 Telegram 应用程序类似的图标,该恶意软件可以从受感染设备窃取敏感信息,例如联系人数据、短信数据和文件。

APT-C-23 组织使用该 Android 间谍软件专门针对中东地区的用户,并不断调整攻击方法以避免被发现,通过复杂的技术和寻找新的方法来定位目标用户。

参考链接:https://ti.dbappsecurity.com.cn/info/2455

APT-C-36组织针对南美实体的网络钓鱼邮件活动

研究人员分享了APT-C-36组织(Blind Eagle)针对南美实体的垃圾邮件活动的新发现。APT-C-36 使用远程访问工具向南美洲的各个实体发送网络钓鱼电子邮件,邮件以“银行账户扣押令”或“伴侣外遇照片”为主题,诱使收件人打开附件。近日,研究人员发现APT-C-36组织在攻击活动中使用了名为 BitRAT 的 RAT。

APT-C-36组织的大部分目标位于哥伦比亚,以及一些其他南美国家,如厄瓜多尔、西班牙和巴拿马。尽管 APT-C-36 的目标仍不明确,但研究人员认为攻击者开展此活动是为了获得经济利益。该活动影响了多个行业,主要是政府、金融和医疗保健实体,也影响了金融、电信以及能源、石油和天然气行业。

参考链接:https://ti.dbappsecurity.com.cn/info/2493

Operation Harvest:长期进行的网络间谍活动

研究人员发现披露一个由APT组织运作的Operation Harvest间谍活动,攻击者使用已知的恶意软件威胁和新的攻击工具,该组织的攻击经验丰富,并且能够在受害者网络中活动多年而不被发现。

具体的攻击流程大致如下:攻击者一旦建立了最初的立足点,就会首先部署 PlugX,以便在受害者的网络中创建后门,以防被提早发现。之后,使用 Mimikatz 和转储 lsass,获得有效帐户。一旦获得有效帐户,就会使用包括攻击者自定义工具在内的几种工具来获取受害者网络的信息。并访问了几个共享/服务器,持续收集信息。这些信息作为 rar 文件被上传并放置在面向互联网的服务器上以隐藏在“正常”流量中。

参考链接:https://ti.dbappsecurity.com.cn/info/2503

 

APT 木马 数据泄露 僵尸网络Botnet 勒索软件 政府部门 航空行业 医疗卫生
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。