【恶意软件威胁情报】

恶意Telegram安装程序分发Purple Fox恶意软件

近日，一个桌面版的恶意 Telegram 安装程序正在分发 Purple Fox 恶意软件，以在受感染设备上安装更多恶意负载。尚不清楚恶意软件的分发方式，但冒充合法软件的类似恶意软件活动已通过 YouTube 视频、论坛垃圾邮件和可疑软件站点分发。

参考链接：https://ti.dbappsecurity.com.cn/info/3006

MalSmoke组织利用微软签名验证，部署Zloader恶意软件

Zloader（又名 Terdot 和 DELoader）是一种银行恶意软件，最早于 2015 年被发现，可以从受感染系统中窃取帐户凭据和各种类型的敏感信息。研究人员发现，MalSmoke组织正利用 Microsoft 的数字签名验证来部署Zloader恶意软件负载，窃取来自 111 个国家的数千名受害者的用户凭据。

参考链接：https://ti.dbappsecurity.com.cn/info/3012

【热点事件威胁情报】

黑客通过撞库攻击窃取110万个客户账户

2022年1月5日，纽约州总检察长办公室 (NY OAG) 发布警告称，17 家知名公司的110万客户的在线帐户在撞库攻击中遭到入侵。撞库是指黑客通过收集互联网已泄露的用户和密码信息，自动重复尝试访问用户帐户。攻击者的最终目标是访问尽可能多的帐户，以窃取相关的个人和财务信息，这些信息可以在黑客论坛或暗网上出售。

参考链接：https://ti.dbappsecurity.com.cn/info/3011

美国宇航局局长推特账号被入侵

近日，美国宇航局局长兼航空运输系统高级技术专家 Parimal Kopardekar先生的 Twitter 帐户被希腊黑客组织(Powerful Greek Army)入侵。

根据该黑客组织的发言来看，入侵美国宇航局局长只是觉得很有趣，这次攻击并不是出于政治动机。他们选择 Kopardekar 作为目标是因为他们正在寻找在 NASA 工作的人。

参考链接：https://ti.dbappsecurity.com.cn/info/3004

iOS恶意软件通过假装关机实现持久性

近日，研究人员发现了一种新型攻击手法，通过伪造iPhone关机或重启，防止恶意软件被删除，并允许黑客秘密监听麦克风，利用实时网络连接以收集敏感数据。这种攻击手段被称为“NoReboot”，由于这类攻击没有利用 iOS 上的漏洞，而是依赖于人为欺骗，因此苹果公司无法对其进行修补。

参考链接：https://ti.dbappsecurity.com.cn/info/3016

【金融行业威胁情报】

Elephant Beetle组织攻击拉丁美洲金融实体

Elephant Beetle（象甲虫）又名TG2003，是一个出于经济动机的威胁组织，攻击目标为拉丁美洲金融和商业部门的组织。Elephant Beetle使用 80 多种独特的工具和脚本，已从世界各地的组织中窃取数百万美元。考虑到Elephant Beetle正在利用旧的和未修补的漏洞进行初始攻击，因此研究人员建议用户使用最新的安全补丁更新应用程序。

参考链接：https://ti.dbappsecurity.com.cn/info/3013

【媒体行业威胁情报】

葡萄牙最大媒体公司遭Lapsus$勒索软件攻击

在跨年假期期间，Lapsus$ 勒索软件团伙入侵了葡萄牙最大的媒体集团 Impresa，该公司旗下包含葡萄牙最大的报纸 Expresso 和主要广播公司 SIC TV ，受攻击影响，Expresso和SIC TV 的网站现已关闭。

参考链接：https://ti.dbappsecurity.com.cn/info/3001

耶路撒冷邮报及以色列日报遭黑客攻击

2022年1月3日，黑客攻击了耶路撒冷邮报的官方网站，并入侵了以色列日报 Maariv 的 Twitter 帐户。黑客在耶路撒冷邮报的网站上展示了一枚形似导弹的物体从戴有戒指的拳中射出的图像。Maariv的Twitter帐户上也出现了类似的图片。耶路撒冷邮报指出，黑客的攻击持续了几个小时，而Maariv表示，帖子被迅速删除。

参考链接：https://ti.dbappsecurity.com.cn/info/3008

【医疗卫生威胁情报】

Broward Health公共卫生系统泄露130万名患者信息

近日，美国Broward Health公共卫生系统披露了一起数据泄露事件，攻击发生时间是2021年10月15日，当时攻击者入侵了医院的网络并访问了患者数据，受攻击影响的人数约为1357879人。

参考链接：https://ti.dbappsecurity.com.cn/info/3007

【政府部门威胁情报】

美国罗德岛州公共交通管理局遭黑客攻击，导致个人信息被泄露

12月21日，美国罗得岛州公共交通管理局(RIPTA)发出通知表示，RIPTA在8月5日期间遭到网络攻击，攻击者从系统中窃取包含关于RIPTA健康计划的信息，社会安全号码、地址、出生日期、医疗保险标识号和资格信息、健康计划成员标识号和索赔信息。美国卫生与公众服务部的泄密网站显示，目前有5015人受到影响。

参考链接：https://ti.dbappsecurity.com.cn/info/3003

【汽车行业威胁情报】

本田和讴歌汽车受Y2K22错误影响，时间倒退回2002年

自2022年1月1日开始，本田汽车和其旗下的讴歌汽车受Y2K22错误影响，导致其导航系统时间重置到2002年1月1日，时间会根据车型或地区重置为12:00、2:00、4:00或其他时间，且无法更改。

参考链接：https://ti.dbappsecurity.com.cn/info/3010

【勒索专题】

网站服务提供商FinalSite遭勒索攻击，数千所学校网站受到影响

FinalSite 是一家软件即服务 (SaaS) 提供商，为 K-12 学区和大学提供网站设计、托管和内容管理解决方案。FinalSite 声称为 115 个不同国家的 8,000 多所学校和大学提供解决方案。近日，领先的学校网站服务提供商 FinalSite 遭到勒索软件攻击，导致全球数千所学校网站无法访问。

目前尚不清楚勒索团伙的身份，以及数据是否在勒索攻击中被盗。由于大多数针对企业的勒索软件操作会在加密之前窃取数据，因此研究人员预测数据已被访问。

参考链接：https://ti.dbappsecurity.com.cn/info/3014

Night Sky新型勒索软件分析

“Night Sky”是一种新型勒索软件，自12 月 27 日开始运营。该软件以企业网络为目标，采用双重勒索模式，加密受害者系统的同时窃取数据。目前，Night Sky已公布了两名受害者的数据。研究人员表示，虽然目前Night Sky勒索软件的受害者较少，但仍是2022年需要密切关注的目标。

参考链接：https://ti.dbappsecurity.com.cn/info/3015

【攻击活动威胁情报】

攻击者使用Skimmer针对房地产网站发起供应链攻击

近日，研究人员发现了一个利用云视频平台分发skimmer（又名formjacking）的供应链攻击活动，攻击者通过注入恶意JavaScript代码入侵网站，并接管网站HTML表单页面的功能，以收集用户的敏感信息。目前，已有100多个房地产网站都受到了相同的skimmer攻击。

参考链接：https://ti.dbappsecurity.com.cn/info/3017

【高级威胁情报】

BlackTech组织使用Flagpro恶意软件攻击日本实体

近期，研究人员发现BlackTech组织使用Flagpro恶意软件攻击日本实体，攻击活动长达一年，涉及国防技术、媒体和通信行业在内的多个领域。

从BlackTech组织在2020年10月使用Flagpro恶意软件进行的多起攻击案例来看，其攻击手法变化不大，但使用的规避手法越来越多。例如，他们根据目标调整诱饵文件和文件名，并仔细检查目标所处的环境。最近，他们在攻击中使用名为“SelfMake Loader”和“Spider RAT”的其他新恶意软件。

参考链接：https://ti.dbappsecurity.com.cn/info/3002

Konni组织利用新年活动诱饵攻击俄罗斯外交部门

近日，研究人员发现朝鲜APT组织Konni的攻击活动，该组织向俄罗斯大使馆外交官发送以新年问候为主题的电子邮件，以进行情报收集活动。在本次攻击活动中，最终的植入物是新版本的 Konni RAT，其代码和行为与其以前的版本相似。攻击中所使用的杀伤链与该组织的TTP重叠，包括使用 CAB 文件作为感染阶段以及使用 bat 文件自动安装 Konni RAT 并设为服务。

参考链接：https://ti.dbappsecurity.com.cn/info/3005