【报告】【PDF下载】安恒高级安全威胁情报周报(2021.12.11~12.17)

威胁情报小能手 2021-12-17 08:31:23 921人浏览

【恶意软件威胁情报】

新间谍软件PseudoManuscrypt影响全球3.5万台设备

12月16日,研究人员披露了PseudoManuscrypt大规模间谍活动的细节。在2021 年 1 月至 11 月期间,此次活动针对 195 个国家或地区的 35,000 台设备,包括许多工业控制系统 (ICS) 和政府计算机。

该活动可能与Lazarus组织或APT41组织有关,但研究人员无法做出明确归隐。由于受攻击系统的数量很大,研究人员没有发现该活动明确关注的特定行业组织,无法确定该活动的目标是犯罪雇佣组织还是政府相关组织。但由于被攻击的系统包括不同国家的知名组织,因此这一活动的威胁级别仍然很高。

参考链接:https://ti.dbappsecurity.com.cn/info/2944

TinyNuke银行木马回归,并针对法国用户

TinyNuke 是一种银行木马,于 2017 年首次出现,其攻击活动在2018年达到顶峰,然后在 2019 年大幅下降,并在 2020 年几乎消失。而近日,TinyNuke重新出现在针对法国用户的新攻击活动中,此活动的目标是窃取凭据和私人信息,并将TinyNuke有效负载安装到受感染的系统上。

这些活动针对制造、技术、建筑和商业服务等行业的数百名客户。活动中使用法语发票或其他财务主题,几乎完全针对在法国开展业务的实体和公司。

参考链接:https://ti.dbappsecurity.com.cn/info/2927

Owowa:黑客使用恶意IIS组件攻击亚洲政府组织

近日,攻击者正在 Microsoft Exchange 服务器上安装名为“Owowa”的恶意 IIS Web 服务器模块,以窃取凭据并在服务器上远程执行命令。目前,研究人员已经确定了几台位于亚洲的受感染服务器,大多数受害者属于政府组织。

参考链接:https://ti.dbappsecurity.com.cn/info/2932

拉丁美洲银行木马分析

拉丁美洲银行木马是一种持续、不断演变的威胁,主要针对巴西、西班牙和墨西哥。绝大多数拉丁美洲木马是通过垃圾邮件分发的,通常会下载 ZIP 存档或 MSI 安装程序。12月15日,研究人员简要介绍了三个不再活跃的恶意软件家族,包括Krachulka、Lokorrito和Zumanek。

参考链接:https://ti.dbappsecurity.com.cn/info/2937

【热点事件威胁情报】

Meta公司中断了七家雇佣监控公司的运营

12月16日,Meta公司宣布中断了七家间谍软件制造公司的运营,封锁了他们的互联网基础设施。这些间谍公司位于以色列、印度和北马其顿。他们提供监视服务,代表客户针对全球 100 多个国家/地区的人进行监控。目标人群包括大约 50,000 名 Facebook 用户。

Meta公司还向5万名Facebook用户发出了警告,称这些用户的账户正受到间谍公司的监视。

参考链接:https://ti.dbappsecurity.com.cn/info/2945

Cytrox公司使用Predator间谍软件监控两名埃及用户

12月16日,公民实验室发布了一份新报告,披露了Cytrox公司的“Predator”间谍软件。2021 年 6 月,Predator间谍软件攻击了一位埃及流亡的政治家和一位埃及新闻节目的主持人,间谍软件能够通过 WhatsApp 发送的链接感染当时最新版本的 Apple iOS 操作系统 。

参考链接:https://ti.dbappsecurity.com.cn/info/2946

【漏洞利用威胁情报】

微软发现多个APT组织滥用Log4j 漏洞进行恶意活动

12月14日,微软更新了CVE-2021-44228漏洞利用指南,补充了有关利用此漏洞的多个攻击组织的信息。CVE-2021-44228漏洞也被称为 Log4Shell 或 LogJam,目前正被与伊朗、朝鲜和土耳其政府有关的威胁组织以及勒索软件团伙使用的访问代理所利用。

参考链接:https://ti.dbappsecurity.com.cn/info/2938

联想笔记本电脑存在提权漏洞

联想笔记本电脑,包括 ThinkPad 和 Yoga 型号,容易受到“CVE-2021-3922”和“CVE-2021-3969”权限提升漏洞的影响,攻击者可以利用这些漏洞以管理员权限执行命令。

研究人员于 2021 年 10 月 29 日向联想报告了此次发现,2021年11月17日,联想发布了安全更新,并于2021年12月15日公布了相关的资讯公告。建议所有使用运行 ImController 1.1.20.2 或更早版本的联想电脑的 Windows 用户升级到最新的可用版本 (1.1.20.3)。

参考链接:https://ti.dbappsecurity.com.cn/info/2943

电信行业威胁情报

疑似伊朗Seedworm组织针对中东和亚洲电信公司进行间谍活动

12月14日,研究人员披露了针对中东和亚洲电信和 IT 服务提供商的新间谍黑客活动。该活动已持续六个月,并且疑似与伊朗支持的Seedworm组织有关。此次活动的目标为以色列、约旦、科威特、沙特阿拉伯、阿联酋、巴基斯坦、泰国和老挝的组织,攻击者没有使用自定义恶意软件,而是依靠公开可用的合法工具、公开的恶意软件和离地攻击LotL策略。

参考链接:https://ti.dbappsecurity.com.cn/info/2934

【金融行业威胁情报】

攻击者对德国金融行业用户发起钓鱼攻击

在过去几周中,攻击者针对德国金融行业用户发起了钓鱼活动。活动的邮件中并没有URL,而是通过二维码将用户重定向到钓鱼网站,以绕过安全软件的检测。此次活动主要针对两个金融机构:Sparkasse和Volksbanken Raiffeisenbanken。

攻击者在电子邮件中使用了不同的诱饵,邮件经过精心制作,具有银行标志、结构良好的内容和大体连贯的风格。

参考链接:https://ti.dbappsecurity.com.cn/info/2925

【政府部门威胁情报】

8万名澳大利亚政府员工信息遭泄露

12月10日,南澳大利亚州政府披露,由于外部薪资软件提供商Frontier Software的系统于上个月遭到Conti勒索软件攻击,因此州政府的数万名员工的敏感个人信息遭到泄露。

Conti是一项长期存在的勒索软件即服务 (RaaS) ,曾针对爱尔兰卫生部发起攻击。该团伙疑似与 Emotet 僵尸网络的复兴有关,这可能会导致新一波的勒索软件感染浪潮。

参考链接:https://ti.dbappsecurity.com.cn/info/2923

印度总理Twitter账户遭黑客攻击

12月11日凌晨,印度总理纳伦德拉·莫迪 (Narendra Modi) 的Twitter账户遭到黑客攻击,这是莫迪总理的Twitter账户第二次遭到此类攻击。

莫迪总理在Twitter上拥有超过7300万粉丝,是该平台上最受欢迎的现任政治领导人。12月11日凌晨,黑客侵入了该领导人的社交媒体帐户,发布了一条推文,声称印度将采用比特币作为其官方货币。消息中还包含一个链接,称印度政府已经购买了500比特币,稍后将把这些比特币分发给印度居民。

参考链接:https://ti.dbappsecurity.com.cn/info/2926

【勒索专题】

大型天燃气供应商Superior Plus遭勒索攻击

12月14日,主要天然气供应商Superior Plus宣布,该公司正遭受勒索软件攻击。攻击始于12月12日,目前该公司暂未披露此次事件的攻击者。

Superior公司市值10亿美元,去年收入超过18亿美元,拥有约4,300名员工,为美国和加拿大的780,000个客户提供天燃气和相关服务。该公司还向加拿大客户提供天然气,并参与特种化学品行业。

参考链接:https://ti.dbappsecurity.com.cn/info/2933

Khonsari:首个利用Log4Shell漏洞部署的勒索软件

12 月 9 日,研究人员披露了Log4j2 中的0day严重漏洞Log4Shell。该漏洞允许攻击者创建特殊的 JNDI 字符串,在目标服务器上执行任意代码。12月13日,研究人员发现了首个利用 Log4Shell 漏洞部署的勒索软件“Khonsari”。

“Log4Shell”漏洞又称“Logjam”,编号为CVE-2021-44228,是一个远程代码执行漏洞。目前观察到的大多数攻击都是针对 Linux 服务器,但研究人员也观察到了针对运行 Windows 操作系统的设备的攻击。

参考链接:https://ti.dbappsecurity.com.cn/info/2935

BlackCat:首个用Rust语言编写的勒索软件

研究人员发现了一个新的勒索软件ALPHV(又名BlackCat),该软件于11月启动,是第一个被用于攻击的用Rust编写的勒索软件。BlackCat可以攻击Windows、Linux和VMWare eSXI系统,被研究人员称为今年最复杂的勒索软件。

参考链接:https://ti.dbappsecurity.com.cn/info/2922

Diavol 勒索软件分析报告

Diavol是疑似与Wizard Spider威胁组织有关的勒索软件,于 2021 年 6 月首次被发现。12月13日,研究人员披露,攻击者正通过BazarLoader恶意软件活动部署 Diavol 勒索软件。

攻击者部署了多个 Cobalt Strike DLL 信标,使用 Windows 实用程序执行内部侦查,并使用 AnyDesk 和 RDP 执行横向移动,以多种方式转储凭据,并在最初访问后的32 小时内部署勒索软件。

参考链接:https://ti.dbappsecurity.com.cn/info/2929

Yanluowang勒索软件在最新攻击中使用合法数字签名

Yanluowang是2021年新出现的勒索软件家族。近日,研究人员发现了Yanluowang的新样本,这些样本使用了合法的数字签名,还会终止与数据库和备份管理相关的各种进程,包括 Veeam 和 SQL。

Yanluowang勒索软件可以尝试通过命令提示符终止更多进程,或强制停止大量服务。Yanluowang恶意软件运营的时间不长,目前检测到的样本较少,可能仍在开发中。

参考链接:https://ti.dbappsecurity.com.cn/info/2930

McMenamins连锁啤酒厂遭到Conti勒索软件攻击

12 月 12 日,美国波特兰啤酒厂和连锁酒店 McMenamins 遭到 Conti 勒索软件攻击,导致公司运营中断。此次攻击可能已经泄露了员工的个人信息,包括姓名、地址、出生日期、社会安全号码、银行账户信息和福利记录等数据,但客户的支付信息似乎未受到影响。

参考链接:https://ti.dbappsecurity.com.cn/info/2942

【高级威胁情报】

MuddyWater组织利用Aclip后门攻击亚洲航空公司

疑似伊朗国家支持的威胁组织MuddyWater正在部署一个名为“Aclip”的新后门,攻击亚洲航空公司。Aclip后门用 PowerShell 脚本语言编写,利用 Slack 消息应用程序接口 (API) 进行C2通信。

攻击活动始于 2019 年,目标是一家亚洲航空公司,以窃取航班预订数据。攻击者疑似是MuddyWater组织,该组织在攻击活动中部署了名为“Aclip”的新后门。

参考链接:https://ti.dbappsecurity.com.cn/info/2940

相关附件

安全威胁情报资讯周报12月11日-12月17日.pdf (文件大小:983.55KB)

APT 勒索软件 系统漏洞利用 钓鱼攻击 木马 政府部门 金融
    0条评论
    1
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。