基础架构建设、网络安全建设、网络安全服务

 

全面的专业的网络安全解决方案提供商 !

Comprehensive professional network security solution provider!

 

安全威胁情报

一周威胁情报摘要

威胁趋势

  • 五眼联盟联合发布关于供应链安全的报告

金融威胁情报

  • FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

  • 多个加密货币数据网站遭遇欺诈性弹窗覆盖攻击(见PDF)

政府威胁情报

  • 意大利参议院和国立卫生研究院遭亲俄黑客组织 Killnet 袭击(见PDF)

  • 印度威胁组织 Bitter 瞄准孟加拉国政府展开间谍攻击

工控威胁情报

  • 西门子、施耐德电气通报并修复多个漏洞

  • 西门子楼宇自动化系统被曝存在漏洞,可导致DOS攻击(见PDF)

流行威胁情报

  • 谷歌商店再曝存在间谍软件 Facestealer ,你中招了吗?

  • Sysrv 僵尸网络以 Windows、Linux 服务器为目标展开攻击(见PDF)

高级威胁情报

  • 伊朗威胁组织 COBALT MIRAGE 在美国展开勒索软件攻击(见PDF)

  • CERT-UA:警惕俄罗斯组织 Gamaredon 展开的网络钓鱼攻击

漏洞情报

  • 英特尔通报并修复 BIOS、Boot Guard 中的多个高危漏洞

  • 苹果修复了影响 Mac 和 Watch 的 0day 漏洞(见PDF)

俄乌专题

  • 亲俄组织 LEGION 瞄准欧洲歌唱大赛网站发起 DDoS 攻击(见PDF)

  • 黑客以乌克兰危机信息为诱饵瞄准德国人展开攻击

勒索专题

  • 美国医疗保健公司 Omnicell 遭受勒索软件攻击(见PDF)

  • 医疗机构 CHRISTUS Health 遭勒索软件攻击,数据发生泄露

钓鱼专题

  • 警惕!新的无文件网络钓鱼活动

 

 

 
 

威胁趋势

 

五眼联盟联合发布关于供应链安全的报告

 

事件概述:

在俄罗斯入侵乌克兰后,五眼联盟针对供应链安全联合发布告警以应对因俄罗斯乌克兰冲突加剧的地缘政治紧张局势,并敦促各组织采取行动保护其供应链免受网络威胁。五眼联盟的相关政府机构包括英国的国家网络安全中心 (NCSC)、美国的网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和联邦调查局 (FBI)、澳大利亚网络安全中心 (ACSC)、加拿大网络安全中心 (CCCS) 和新西兰国家网络安全中心 (NZ NCSC)。报告主要为托管服务提供商 (MSP) 及其客户提供以下指导方针:

  • 使用工具以阻挡初始接入攻击;

  • 启用/改进监控和记录过程;

  • 实施多因素身份验证 (MFA);

  • 管理内部架构和隔离内部网络;

  • 应用最小特权原则;

  • 备份系统数据;

  • 制定和实施事件响应和恢复计划;

  • 了解并主动管理供应链风险;

  • 提升透明度;

  • 管理帐户身份验证、授权。

五眼联盟此举旨在保护敏感数据,以避免MSP成为网络攻击的受害者,推进网络安全。

来源:
https://www.ncsc.gov.uk/files/AA22-131A_Protecting_Against_Cyber_Threats_to_MSPs_and_their_Customers.pdf

 

 
 

金融威胁情报

 

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

事件概述:

近日,微步情报局监测发现大量高仿 Telegram 中文版的钓鱼网站(搜索引擎中排名第二),下载恶意文件进行分析拓线后,确认该事件是微步情报局之前披露过的国内黑灰产组织 FinGhost 所为。微步情报局还通过威胁狩猎系统监测到该组织不仅针对 Telegram 聊天软件使用者,其主要目标集中于金融证券行业从业者,但也存在利用 Telegram 等常用软件或流行新闻等间谍软件进行大范围传播的方式。该组织擅长使用钓鱼网站、社工文档和间谍软件为主的方式诱导用户安装病毒文件,从而实现肉鸡控制,且构造病毒文件使用多层壳嵌套(NsPack壳+VMP壳)的方式阻碍逆向分析,生成样本流程已形成模板化,最终的病毒文件为修改后的 Zegost 病毒变种,具备多角度窃密、控制和执行功能。

 

来源:
https://mp.weixin.qq.com/s/oe6d46e29KEsRXnc9fsIWw

 

 

 
 

政府威胁情报

 

印度威胁组织 Bitter 瞄准孟加拉国政府展开间谍攻击

 

事件概述:

Bitter,也称为 T-APT-17,是疑似南亚背景的威胁组织,以利用漏洞攻击而闻名。该组织自2013年以来一直保持活跃,主要针对中国、巴基斯坦和沙特阿拉伯的能源、政府部门展开攻击。思科研究人员在其最近的攻击活动中发现,该组织瞄准孟加拉国政府组织展开间谍攻击。
技术手法:
威胁组织通过向目标人员投递虚假的电子邮件,以CDR、CDR申请、待验证号码列表等主题内容诱使收件人查看或验证附件 RTF 文档和 Microsoft Excel 电子表格,启动 Microsoft Equation Editor 应用程序以执行 OLE 对象,连接到托管服务器以下载和运行有效负载 ZxxZ,并启用计划任务。武器化的恶意 RTF 文档利用堆栈溢出漏洞 CVE-2017-11882 在受害者设备上执行任意代码。ZxxZ 木马还会遍历受害者设备上的所有进程,检索 Windows Defender 和 Kaspersky 防病毒进程,也会收集受害者的主机名、操作系统产品名称和受害者的用户名等信息,并将它们写入内存缓冲区。最后,ZxxZ 与 C2 建立通信,将收集到的受害者信息回传到 C2。
组织归因:
与 Bitter 组织先前活动使用的 C2、 IP 地址以及有效负载的解密字符串(例如模块名称、有效负载可执行名称、路径和常量)有相似性。

 

来源:
https://blog.talosintelligence.com/2022/05/bitter-apt-adds-bangladesh-to-their.html

 

 
 

工控威胁情报

 

西门子、施耐德电气通报并修复多个漏洞

事件概述:

近日,西门子和施耐德电气发布多条公告共修复了 43 个漏洞。其中西门子发布12条公告修复了35个漏洞,包括11个影响 SICAM P850 和 P855 设备的 Web 服务器漏洞,5个可能导致 DoS 攻击、代码执行、流量捕获和干扰设备功能、跨站点脚本 (XSS) 攻击或访问设备的管理界面的高严重漏洞,还有 Desigo PXC3、PXC4、PXC5 和 DXR2 设备中被用于任意代码执行、密码喷洒或撞库攻击的严重漏洞等。西门子已在近期的公告中陆续发布了针对这些漏洞的补丁程序,但目前并非为所有受影响的产品都提供了修复程序。
施耐德电气也在最近的公告中修复了8个漏洞,其中6个漏洞是严重的硬编码凭证漏洞,以及可用于暴力攻击、管理员帐户劫持、跨域攻击和获取身份验证凭证的高严重漏洞。这些漏洞影响一些 Wiser Smart 家庭自动化产品。其余两个漏洞是影响 Saitel DP 远程终端单元 (RTU) 产品中的中等严重性 DoS 漏洞,以及用于计量设备的 PowerLogic ION Setup 工程工具中的高严重性远程代码执行漏洞。目前,施耐德电气已针对这些漏洞发布了相关补丁程序。

来源:
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-43-vulnerabilities

 

 
流行威胁情报

 

谷歌商店再曝存在间谍软件 Facestealer ,你中招了吗?

 

事件概述:

继谷歌商店被曝存在多款恶意软件后,近日又曝出存在一款间谍软件 Facestealer。该间谍软件于2021年7月首次出现,旨在伪装成健身、照片编辑等欺诈恶意应用程序窃取 Facebook 凭据,破坏 Facebook 帐户,以及进行网络钓鱼诈骗、虚假帖子和广告机器人等。此外,Facestealer 间谍软件变体还伪装成 Daily Fitness OL 、Enjoy Photo Editor、 Photo Gaming Puzzle 等假应用程序进行间谍活动。
截至目前,Facestealer 间谍软件已从谷歌商店下架。
技术手法:
当用户启用 Facestealer 变体伪装的虚假应用程序时,间谍软件变体会请求下载配置文件,将 JavaScript 代码注入到加载的网页中,待用户成功登录 Facebook 帐户后,虚假应用程序会收集 Cookie,加密所有个人身份信息 (PII) 并将其发送到远程服务器,以窃取用户输入的凭据。恶意软件变体伪装的部分虚假应用程序,还使用数据混淆等技术,以加大安全软件检测的难度。
来源:
https://www.trendmicro.com/en_us/research/22/e/fake-mobile-apps-steal-facebook-credentials--crypto-related-keys.html
微步点评:

如何在下载应用程序时规避恶意软件的陷阱?

  • 用户可以通过查看应用程序的评论(尤其是负面评论)来避免此类虚假应用的陷阱,以查看下载该应用的实际用户是否有异样评论。

  • 用户应该对这些应用程序的开发者和发布者进行尽职调查,可以更好地避免下载犯罪分子在网站发布的不可靠或粗略的应用程序。

  • 用户应避免从第三方来源下载应用程序,因为这些来源很多是犯罪分子托管其欺诈性应用程序的地方。

高级威胁情报

 

CERT-UA:警惕俄罗斯组织 Gamaredon 展开的网络钓鱼攻击

 

事件概述:

近日,乌克兰计算机应急响应中心(CERT-UA)发布告警,称需警惕俄罗斯组织 Gamaredon 展开的网络钓鱼攻击。Gamaredon组织又称 Armageddon、Primitive Bear、Armageddon、Winterflounder 和 Iron Tilden。
技术手法:
威胁组织通过投递包含附件的钓鱼邮件,以复仇话题诱导受害者打开附件Plan Kherson.htm。HTM 文件将解码并创建一个名为 “Herson.rar” 的压缩文档,其中包含一个名为”Plan of approach and planting explosives on the objects of critical infrastructure of Kherson.lnk“ 的快捷方式和一个恶意链接,单击链接会加载并执行 HTA 文件“precarious.xml”,从而创建和执行文件“desktop.txt”和“user.txt”。在攻击链的最后阶段,GammaLoad 组织还会在受害者设备下载、执行 PS1_v2 恶意软件。

 

来源:
https://securityaffairs.co/wordpress/131296/breaking-news/cert-ua-warns-armageddon-apt.html

 

漏洞情报

 

英特尔通报并修复 BIOS、Boot Guard 中的多个高危漏洞

事件概述:

近日,英特尔发布公告修复了BIOS、Boot Guard 中的多个高危漏洞,这些漏洞可能会导致权限提升或信息泄露,并影响 Intel Xeon、Pentium Silver、Rocket Lake Xeon、Core 和 Core X 系列处理器,包括最新的一些英特尔酷睿处理器、Celeron、 Atom、Pentium、Xeon、 Gold、、Silver models及多个芯片组系列。
截至目前,英特尔已针对这些漏洞发布相关补丁。此外,英特尔还建议将 Intel Converged Security and Management Engine (CSME) 更新到最新版本,在启用 Boot Guard 时禁用 CPU 调试功能,并禁用 BSP INIT ,以确保设备使用安全。
来源:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00601.html

 

 
 

俄乌专题

 

黑客以乌克兰危机信息为诱饵瞄准德国人展开攻击

 

事件概述:

随着俄乌战火持续,世界各地民主都在密切关注着俄乌危机与现状。近日,研究人员监测发现了以乌克兰信息诱饵的新攻击活动。该活动试图通过承诺提供有关乌克兰当前威胁情况的最新信息来引诱德国人,诱使其下载包含远程访问木马 (RAT) 的诱饵文档,该木马主要在受害者设备上执行其他恶意命令和窃取数据。
经研究人员分析,该活动是一场经过深思熟虑的攻击活动,目前尚且无法将该活动归因于具体背景的威胁组织。
 
来源:
https://blog.malwarebytes.com/threat-intelligence/2022/05/custom-powershell-rat-targets-germans-seeking-information-about-the-ukraine-crisis/

 

勒索专题

 

 

2022年5月16日

 

 

 

医疗机构 CHRISTUS Health 遭勒索软件攻击,数据发生泄露

外媒报道称 AvosLocker 袭击了医疗机构 CHRISTUS Health,该机构在美国、墨西哥和南美运营着数百家医疗保健机构。AvosLocker勒索软件团伙声称从CHRISTUS Health 窃取了数据,并将数据发布到了数据泄露站点上。其公开的样本数据包括癌症患者登记信息,例如姓名、出生日期、社会安全号码、诊断和其他医疗信息。

来源:
https://www.govinfosecurity.com/avoslocker-claims-data-theft-from-another-healthcare-entity-a-19083

 

 
 

钓鱼专题

 

 

2022年5月18日

 

 

 

警惕!新的无文件网络钓鱼活动

外媒报道了一种无文件的网络钓鱼活动:攻击者利用网络钓鱼攻击在受害者设备上分发无文件恶意软件:AveMariaRAT、BitRAT 和 PandoraHVNC ,以此窃取用户名、密码和其他敏感信息,例如银行帐号。其中 BitRAT 还可以完全控制受感染的 Windows 系统,包括监控网络摄像头活动、通过麦克风监听音频、窃取攻击者钱包的加密货币以及下载其他恶意载荷。


来源:
https://www.cysecurity.news/2022/05/three-malware-fileless-phishing.html
创建时间:2022-05-27 15:40
首页    产品新闻    安全威胁情报