【安全资讯】【PDF下载】安全威胁情报周报2022年(2022.1.8~1.14)

威胁情报小能手 2022-01-14 16:32:57 358人浏览

【恶意软件威胁情报】

Abcbot僵尸网络与Xanthe加密劫持恶意软件有关

1月10日,研究人员发布报告称,新兴僵尸网络Abcbot与几年前基于Xanthe恶意软件的加密劫持活动存在明显联系。研究人员认为,Xanthe 和 Abcbot由同一攻击者开发,并且其活动目标发生了转变,从在受感染主机上挖掘加密货币,转向更传统的与僵尸网络相关的活动,例如 DDoS 攻击。

参考链接:https://ti.dbappsecurity.com.cn/info/3027

攻击者利用新冠疫情为诱饵,传播RedLine新变种

RedLine是一种流行的商品恶意软件,于2020年3月首次被披露。近日,研究人员发现了RedLine软件的新变体,该变体伪造成Omicron数据计数器应用程序,通过电子邮件分发。此次活动是一次广泛的攻击,潜在受害者分布在 12 个国家或地区,攻击者并未针对特定组织或个人。

参考链接:https://ti.dbappsecurity.com.cn/info/3030

FluBot恶意软件通过虚假Flash Player应用传播

FluBot是一种 Android 银行木马,通常通过 SMS 消息进行传播,可以窃取网上银行凭据、发送或拦截 SMS 消息,并捕获屏幕截图。研究人员发现,在最新的攻击活动中,攻击者使用 SMS 文本,通过虚假Flash Player应用分发FluBot恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/3021

木马化dnSpy应用分发恶意软件

1月上旬,研究人员发现了一场复杂的恶意软件活动,攻击者利用木马化版本的dnSpy,分发一系列恶意软件。此次恶意活动针对的目标为网络安全研究人员和开发人员。

参考链接:https://ti.dbappsecurity.com.cn/info/3026

SysJoker:针对多平台的新型后门

2021年12月,研究人员发现了一个针对 Windows、Mac 和 Linux 的多平台新型后门,研究人员将这个后门命名为SysJoker。SysJoker恶意软件是用 C++ 编写的,每个样本都是针对目标操作系统定制的,VirusTotal 中完全未检测到 macOS 和 Linux 样本。

参考链接:https://ti.dbappsecurity.com.cn/info/3032

TellYouThePass勒索软件新样本使用Go语言编译

TellYouThePass是一种出于经济动机的勒索软件,于2019年初首次被披露。已知的 TellYouThePass 勒索软件样本是用 Java 或 .Net 等编程语言编写的,但近日,研究人员发现了用 Golang语言重写和编译的TellYouThePass样本,新的样本可以针对windows和Linux操作系统。

参考链接:https://ti.dbappsecurity.com.cn/info/3038

【热点事件威胁情报】

KCodes NetUSB的RCE漏洞影响数百万台路由器

研究人员在KCodes NetUSB内核模块中发现了一个被追踪为 CVE-2021-45388 的高严重性远程代码执行漏洞,该漏洞可影响数百万路由器设备。

NetUSB 是KCodes开发的产品,允许网络中的远程设备与连接到路由器的 USB 设备进行交互。该产品已授权给大量其他供应商,包括Netgear、TP-Link、Tenda、EDiMAX、DLink和Western Digital。

参考链接:https://ti.dbappsecurity.com.cn/info/3031

美国加州草谷市遭到黑客入侵,导致市民个人信息泄露

2022年1月7日,美国加利福尼亚州草谷市披露了一起数据泄露事件。攻击者于2021年4月13日至2021年7月1日获得了对草谷城市网络计算机系统的访问权限,并窃取了一些文件。

参考链接:https://ti.dbappsecurity.com.cn/info/3025

萨尔瓦多记者手机遭Pegasus间谍软件入侵

1月12日,公民实验室发布报告称,在2020 年 7 月至 2021 年 11 月期间, NSO 公司的 Pegasus 间谍软件感染了35 名萨尔瓦多记者和民间社会成员的手机。

参考链接:https://ti.dbappsecurity.com.cn/info/3040

多名FIFA 22玩家账号被黑

近日,多名EA Sports FIFA 22玩家遭到黑客攻击,因此无法访问他们的个人EA和电子邮件帐户,黑客还从FUT俱乐部窃取了玩家的游戏币和个人信息。

参考链接:https://ti.dbappsecurity.com.cn/info/3039

医疗卫生威胁情报

Mespinoza勒索团伙持续攻击美国医疗行业

1月6日,美国卫生与公众服务部(HHS)发布警告,提醒医疗保健部门注意 Mespinoza网络犯罪团伙正在进行的网络攻击活动,该组织在过去两年中通过 Pysa 勒索软件持续攻击医疗保健部门。Mespinoza团伙运营一个名为 Pysa's Partners 的泄密网站,对受害者施加额外压力,迫使受害者支付赎金。

参考链接:https://ti.dbappsecurity.com.cn/info/3028

政府部门威胁情报

菲律宾选举委员会被黑,泄露选民敏感数据

据菲律宾《马尼拉公报》报道,2022年1月8日,不明身份的黑客入侵了菲律宾选举委员会(Comelec)的系统,窃取了大约60G的“敏感信息”和其他数据。

2022年的菲律宾总统选举将于5月9日举办,选出新一届总统、副总统、国会议员、地方行政长官和议员等。距离大选不到4个月,菲律宾选举委员会(Comelec)的系统却遭到黑客入侵。

参考链接:https://ti.dbappsecurity.com.cn/info/3035

攻击团伙威胁情报

FIN7组织试图利用恶意U盘,入侵美国国防公司

1月7日,美国联邦调查局(FBI)发布警报称, FIN7犯罪团伙在过去几个月中向美国国防工业的公司寄送了恶意USB设备,试图部署勒索软件。

FIN7 所尝试的攻击被称为 HID 或 USB 驱动攻击,只有当受害者愿意或被诱骗将未知 USB 设备插入其设备时,攻击过程才能成功开展。因此,研究人员建议用户不要在设备上使用未知来源的USB。

参考链接:https://ti.dbappsecurity.com.cn/info/3022

【高级威胁情报】

Patchwork APT组织针对某医疗卫生机构相关人员与巴基斯坦国防官员攻击活动分析

Patchwork(白象、摩诃草、APT-C-09、Dropping Elephant)是一个疑似具有印度国家背景的APT组织,长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。近期安恒威胁情报中心猎影实验室捕获到多个Patchwork组织攻击活动样本,本次样本主要通过鱼叉式钓鱼邮件进行传播,样本以“登记表”和“巴基斯坦国防官员住房登记表”等相关内容作为诱饵,最终释放“BADNEWS”后门程序进行窃密活动。

参考链接:https://ti.dbappsecurity.com.cn/info/3029

疑似蔓灵花APT组织针对巴基斯坦航空综合部门攻击活动分析

蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。

近期安恒威胁情报中心猎影实验室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Report.doc”的诱饵文档进行攻击。

参考链接:https://ti.dbappsecurity.com.cn/info/3024

美国网络司令部披露:MuddyWater组织与伊朗情报机构有关

1月12日,美国网络司令部(USCYBERCOM)发布报告,正式将 MuddyWatter 黑客组织与伊朗情报与安全部 (MOIS) 联系起来。

MOIS 是伊朗政府的主要情报机构,负责协调该国的情报和反间谍活动,以及支持伊斯兰政权在伊朗境外的秘密行动。

MuddyWater是来自伊朗的APT组织,又名 SeedWorm 和 TEMP.Zagros,于 2017年首次被发现,主要针对中东国家,也针对欧洲、北美和亚洲国家。美国网络司令部表示,MuddyWater 是伊朗情报与安全部 (MOIS) 的下属部门。

参考链接:https://ti.dbappsecurity.com.cn/info/3037

APT35组织利用 Log4j 漏洞分发新型模块化后门

APT35是疑似伊朗国家支持的APT组织,又名 Charming Kitten、TA453 或 Phosphorus。1月11日,研究人员披露,该组织正利用Log4Shell漏洞,释放新的模块化PowerShell后门。

参考链接:https://ti.dbappsecurity.com.cn/info/3033

海莲花组织使用Web存档文件部署后门

OceanLotus(海莲花)组织又名APT32和SeaLotus,是一个以政府和记者为目标的东南亚APT组织。近日,研究人员发现,OceanLotus组织正使用WEB存档文件(.MHT 和 .MHTML)部署后门。

参考链接:https://ti.dbappsecurity.com.cn/info/3036

BlueNoroff组织攻击加密货币初创公司

lueNoroff组织是一个出于经济动机的威胁团伙,是朝鲜Lazarus APT组织的子组织。1月13日,研究人员披露了BlueNoroff发起的复杂网络钓鱼和社会工程攻击活动,此次活动的主要目标为加密货币初创公司。

参考链接:https://ti.dbappsecurity.com.cn/info/3041

相关附件

安全威胁情报资讯周报1月8日-1月14日.pdf (文件大小:1.42MB)

APT 勒索软件 数据泄露 政府部门 医疗卫生
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。