【安全资讯】安恒高级安全威胁情报周报(2021.11.6~11.12)

威胁情报小能手 2021-11-12 15:56:30 494人浏览

【恶意软件威胁情报】

BotenaGo僵尸网络利用 33 个漏洞攻击数百万物联网设备

BotenaGo是一种新发现的用 Golang语言编写的恶意软件,它部署了 30 多个漏洞利用程序,针对的目标包括数百万个路由器和物联网设备。

近年来,Golang语言编写的恶意软件非常流行,因为使用Go语言制作的有效载荷通常更难检测和逆向工程。以BotenaGo为例,该恶意软件的检测率较低。BotenaGo的运行状态还不完整,可能仍处于测试阶段,目前尚不清楚恶意软件背后的攻击者和受感染设备的数量。

参考链接:https://ti.dbappsecurity.com.cn/info/2771

传播Squirrelwaffle恶意软件的垃圾邮件活动

Squirrelwaffle是一种新兴的恶意软件,可以为攻击者提供对系统及其网络环境的初步立足点,还可以用来部署其他恶意软件,如Qakbot 恶意软件和渗透测试工具Cobalt Strike。近日,研究人员发现了通过垃圾邮件传播Squirrelwaffle的恶意活动。传播Squirrelwaffle恶意软件的攻击活动已经严重影响了我国用户,因此用户在办公时应谨慎打开未知来源的邮件,以免感染恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/2769

PhoneSpy:监视韩国公民的Android软件

PhoneSpy是一款最新披露的Android 恶意软件,具有间谍软件功能,能够窃取用户的敏感信息并接管设备的麦克风和摄像头。目前,已有1000多名韩国用户成为PhoneSpy间谍软件的目标。

目前,研究人员暂未确定恶意应用程序的初始分发渠道,因为攻击者没有将应用程序上传到 Google Play 商店。这些伪造的应用程序可能通过网站、社交媒体、论坛,甚至网络硬盘和种子分发。

参考链接:https://ti.dbappsecurity.com.cn/info/2768

Snake Keylogger新变种分析

Snake Keylogger于 2020 年末首次出现,可以从受害者的设备中窃取敏感信息,包括保存的凭据、受害者的按键、受害者屏幕的截图和剪贴板数据。近日,研究人员捕获了一个用于传播恶意软件的Excel样本,该样本是 Snake Keylogger 恶意软件的一个新变种。

参考链接:https://ti.dbappsecurity.com.cn/info/2753

攻击者使用DatopLoader部署QakBot 木马

2021年11月8日,研究人员发现了一个钓鱼活动,攻击者使用DatopLoader,,通过恶意垃圾邮件活动危害受害者,获得进入受害者网络的初始立足点,最终部署 Qakbot恶意软件。最终下载的三个文件都是Qakbot银行木马的 DLL。Qakbot(又名Pinkslipbot、Qbot 和 Quakbot),是一种银行木马,旨在窃取帐户凭据和网上银行会话信息。

参考链接:https://ti.dbappsecurity.com.cn/info/2759

热点事件威胁情报

FBI警告:伊朗威胁行为者试图获取美国组织的泄露数据

11月8日,美国联邦调查局发布私营行业通知称,一个伊朗威胁行为者企图购买有关美国和全球组织的被盗信息。攻击者可能会从网络论坛或暗网购买泄露数据,包括电子邮件和网络信息,从而破坏相关组织的系统。FBI建议曾遭遇数据泄露的美国组织,通过远程桌面协议 (RDP) 服务器、Web 应用程序防火墙和 Kentico CMS 安装来阻止黑客攻击。

参考链接:https://ti.dbappsecurity.com.cn/info/2772

美国国防承包商EWA遭到网络攻击,导致数据泄露

美国国防承包商Electronic Warfare Associates(EWA)披露,攻击者入侵了公司的电子邮件系统,导致数据泄露。EWA向美国政府提供电子设备,客户名单包括国防部 (DOD)、国土安全部 (DHS) 和司法部 (DOJ)。该公司证实,攻击者窃取了包含敏感信息的文件。

参考链接:https://ti.dbappsecurity.com.cn/info/2752

美国达拉斯县警方监控录像泄露

Distributed Denial of Secrets(DDoSecrets)是一个透明倡议组织,经常公开爆料机密数据。近日,DDoSecrets在其网站上发布了从美国达拉斯执法机构窃取的 1.9 TB 的数据。据悉,这些机密数据存储在不安全的云基础设施中,因此遭到泄露。

视频发布后,达拉斯市议会安排在周三与其律师举行非公开会议,讨论达拉斯警察局(达拉斯警察局)内的“潜在数据泄露”。此次泄露事件和上次的误删事件都表明,达拉斯执法部门的数据保护意识非常松懈。

参考链接:https://ti.dbappsecurity.com.cn/info/2770

【金融行业威胁情报】

美国知名基金证券交易平台遭社会工程攻击,导致700 万客户信息泄露

11月8日,美国最受欢迎的基金证券交易平台罗宾汉(Robinhood)发表声明称,平台发生重大数据泄漏事件,超过700万客户的数据遭泄露。声明指出,攻击者掌握了约500万客户的电子邮件地址,以及200万客户的姓名,部分客户的邮政编码和出生日期等信息也被泄漏。Robinhood是一个提供在线投资和交易平台的互联网金融服务公司,是美国的投资者最常用的炒股交易平台之一。

参考链接:https://ti.dbappsecurity.com.cn/info/2757

【电子商务行业威胁情报】

电子零售巨头MediaMarkt遭到Hive勒索软件攻击,被索要 2.4 亿美元赎金

11月7日晚,电子零售巨头MediaMarkt遭到 Hive 勒索软件的攻击,导致公司 IT 系统关闭,荷兰和德国的商店运营中断。Hive在攻击后提出了 2.4 亿美元的初始赎金要求。MediaMarkt 是欧洲最大的消费电子产品零售商,在 13 个国家/地区拥有 1,000 多家商店。MediaMarkt 拥有约 53,000 名员工,总销售额为 208 亿欧元。

参考链接:https://ti.dbappsecurity.com.cn/info/2754

【通信行业威胁情报】

Telnyx VoIP提供商遭受 DDoS 攻击

11 月 9 日晚上 11 点左右开始,互联网协议语音电话提供商Telnyx公司成为 DDoS 攻击的目标,导致所有电话服务失效或延迟。Telnyx是一家互联网协议语音(VoIP)电话提供商,提供全球电话服务,业务遍及美洲、欧洲、中东和非洲地区、亚太地区和澳大利亚地区。目前,Telnyx 已将其 EMEA 和 APAC 服务转移到 Cloudflare,该公司计划在非高峰时段将服务迁移到美洲。

参考链接:https://ti.dbappsecurity.com.cn/info/2766

【攻击团伙威胁情报】

雇佣黑客组织Void Balaur已窃取3500多名受害者信息

Void Balaur是一个新披露的雇佣黑客组织,该组织自2015年以来一直活跃,五年多来一直在窃取电子邮件和敏感信息,并将其出售给具有经济和间谍目的的客户。该组织窃取了来自政治、电信、零售、金融、医疗、生物技术等领域的3,500多名受害者的信息,受害者遍及俄罗斯、美国、以色列、日本和欧洲国家。

参考链接:https://ti.dbappsecurity.com.cn/info/2765

TeamTNT使用窃取的Docker Hub帐户部署挖矿程序

2021年10月,研究人员发现了针对服务器暴露的Docker REST API的攻击活动。活动中还发现了一些Docker Hub注册表帐户,这些账户被用来托管恶意图像,可能被盗用或属于TeamTNT组织,并且是滥用 Docker REST API 的僵尸网络和恶意软件活动的活跃组成部分。暴露的 Docker API 已成为攻击者的普遍目标,这些 API 允许攻击者在目标主机上以 root 权限执行自己的恶意代码。

参考链接:https://ti.dbappsecurity.com.cn/info/2758

Zebra2104为三个威胁组织提供初始访问权限

研究人员发现了一个名为“Zebra2104”的初始访问代理 (IAB),这个代理为MountLocker 和 Phobos 等金融勒索软件以及 StrongPity APT组织的攻击提供了切入点。研究人员表示,域名解析为由同一保加利亚 ASN Neterra LTD 提供的 IP。恶意基础设施的互连网络表明,网络犯罪组织之间建立伙伴关系和联盟来推进攻击,这种商业伙伴关系在未来会变得更加普遍。

参考链接:https://ti.dbappsecurity.com.cn/info/2751

新Magecart团伙在攻击中使用新规避技术

11月3日,研究人员发现了一个新的Magecart攻击团伙,该组织使用浏览器脚本来规避检测。该组织在攻击活动中添加了一个额外的浏览器进程,该进程使用WebGL JavaScript API来收集有关用户机器的信息,并确定是否在VM中运行。攻击者使用的skimmer可以收集受害者已注册帐户的在线商店的密码、浏览器的用户代理和唯一的用户ID。

参考链接:https://ti.dbappsecurity.com.cn/info/2755

【恶意活动威胁情报】

DanaBot恶意活动激增

DanaBot是一个恶意软件即服务平台,于 2018 年 5 月首次被发现。研究人员观察到,今年10月以来,传播DanaBot恶意软件的活动激增,包括两次大型软件供应链攻击,以及在俄语电子论坛上发起的DDoS攻击。尽管近年来 DanaBot 的流行度和活跃度有所下降,但 UAParser.js 和 COA 软件供应链攻击表明,该恶意软件仍然是一个活跃的威胁。

参考链接:https://ti.dbappsecurity.com.cn/info/2750

【高级威胁情报】

朝鲜APT组织针对安全研究人员发起攻击

2021年11月10日,国外安全厂商ESET发布推文,曝光朝鲜APT组织Lazarus的最新攻击活动,该组织在分发IDA Pro 7.5软件安装包中植入两个恶意组件,意图针对安全研究人员。此前,猎影实验室也发现了该组织相关账户的一些攻击活动,并发现该组织利用漏洞研究相关内容建立账户信任感,以进一步圈定攻击目标,发起攻击。其中,我们在今年5月观察到的0Day漏洞CVE-2021-33739就是一个十分诱人的素材。

参考链接:https://ti.dbappsecurity.com.cn/info/2764

Lyceum APT组织针对中东和非洲的 ISP、电信公司展开攻击活动

2021年7月至10月期间,Lyceum APT组织针对以色列、摩洛哥、突尼斯和沙特阿拉伯的互联网服务提供商(ISP)和电信运营商以及非洲的外交部 (MFA)发起了攻击。Lyceum在攻击活动中使用了两个不同的恶意软件系列,分别为 Shark 和 Milan(又名 James)。这两个后门都通过 DNS 和 HTTPS 与其命令和控制服务器 (C2) 进行通信。

参考链接:https://ti.dbappsecurity.com.cn/info/2760

Kimsuky APT组织攻击韩国智库

Kimsuky是朝鲜国家资助的APT组织,自 2012 年以来一直活跃。自 2021 年 6 月以来,Kimsuky APT组织一直试图在受害机器上植入监视和窃取程序。此次活动的攻击目标为与韩国智库相关的研究机构和大学,这些机构的研究重点是与朝鲜、中国、美国和俄罗斯相关的政治、军事和外交主题。

参考链接:https://ti.dbappsecurity.com.cn/info/2767

 

APT 僵尸网络Botnet 木马 数据泄露 勒索软件 金融 电子商务 国防 物联网IOT 通信
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。