威脅趨勢
Intezer:製造業主要面臨的網絡威脅
金融威脅情報
EverSurf區塊鏈錢包被曝存在漏洞,可完全控制受害者錢包
政府威脅情報
Conti勒索軟件瞄準哥斯達黎加政府組織展開攻擊
能源威脅情報
德國風力渦輪機巨頭遭到網絡攻擊,遠程連接受到影響
工控威脅情報
物聯網殭屍網絡BotenaGo變種瞄準LilinDVR設備展開攻擊
流行威脅情報
Prynt Stealer:新型信息竊取軟件
伊朗挫敗了計劃針對100多個公共部門機構基礎設施的襲擊(見PDF)
高級威脅情報
新APT組織EarthBerberoka 利用多種惡意軟件針對賭博網站展開攻擊
朝鮮威脅組織APT37利用新型惡意軟件瞄準記者展開攻擊(見PDF)
伊朗威脅組織RocketKitten利用VMware漏洞部署後門,展開攻擊(見PDF)
漏洞情報
微軟發現新的Linux提權漏洞Nimbuspwn
俄烏專題
親俄組織Killnet瞄準多個捷克組織展開DDoS攻擊
OpRussia活動有增無減,5.8TB俄羅斯數據遭到泄露(見PDF)
勒索專題
美國牙科協會遭到新的勒索軟件BlackBasta的攻擊(見PDF)
BlackCat勒索軟件至少入侵了全球60多個實體單位
電信巨頭T-Mobile疑似遭到Lapsus$入侵,數據發生泄露(見PDF)
釣魚專題
警惕!以"Azovstal」為主題針對烏克蘭的網絡釣魚攻擊
註:由於篇幅限制,僅精選部分發布,公眾號後台回復 「20220429」 獲取完整版 PDF 閱讀。
Intezer:製造業主要面臨的網絡威脅隨着數字化轉型正在推動製造業生產發展,但強大的在線系統也使製造公司的系統更容易遭受到網絡威脅。根據 Checkpoint 數據顯示,到 2021 年底,製造業同比平均每周的攻擊增加了41%。而且與其他行業相比,製造業遭受的商業電子郵件泄露(BEC)攻擊是其他行業的四倍。近年來,勒索軟件攻擊者試圖通過對製造業的攻擊來「破壞」全球供應鏈的支柱,以遏制下游供應鏈運營。以下為近期製造行業典型的攻擊示例:美國管道供應商 Colonial Pipeline 遭到 DarkSide 襲擊;據研究人員評估:預計2022年年針對製造公司的攻擊趨勢將繼續增加,以下為製造業企業應着重關注的主要網絡安全風險:製造業企業成為勒索軟件受害者損失的金額遠超過了支付的贖金金額。他們可能因攻擊導致生產中斷而損失收入,以及恢復費用和罰款,還可能危及客戶數據,失去客戶的信任並損害公司的聲譽。獲得公司系統訪問權限的攻擊者可能會竊取知識產權(IP)。由於大多數製造商依靠其 IP 來保持競爭力,因此公司知識產權被盜可能會迅速導致公司倒閉。製造商的供應鏈通常由許多相互關聯的公司、供應商、分包商和其他利益相關者組成,每個利益相關者都有自己的風險水平。對鏈中一個薄弱環節的攻擊可能會蔓延並影響數千家公司和用戶。如果連接物聯網的製造設備受到損害,可能會導致運營中斷,甚至停止生產。此外,犯罪分子可能會破壞物聯網設備以訪問您的其他系統。來源:https://www.intezer.com/blog/incident-response/cyber-threats-to-manufacturing-sector/EverSurf區塊鏈錢包被曝存在漏洞,可完全控制受害者錢包
Tag:區塊鏈,漏洞Ever Surf 是一個谷歌商店和蘋果應用商店均可用區塊鏈錢包,被稱為 Everscale 區塊鏈網絡的跨平台信使、區塊鏈瀏覽器。它目前在全球擁有近670,000個活躍賬戶,並聲稱已促成至少3160萬筆交易。近日,Check Point Research 研究人員在 Ever Surf 錢包 Web 瀏覽器版本中發現的一個漏洞,該漏洞可以解密存儲在瀏覽器本地存儲中的私鑰,也就是允許攻擊者完全控制受害者的錢包和後續資金。隨後在研究人員向 Ever Surf 開發人員披露該漏洞後,Ever Surf 發布了一個桌面版本來緩解此漏洞。目前,該 Web 版本現已宣布外部棄用,僅應用於內部開發目的。區塊鏈技術和去中心化應用程序(dAPP)在用戶提供了許多便利的同時,由於dAPP 在瀏覽器內部運行,本地存儲敏感數據,也更容易受到 XSS 攻擊。來源:https://research.checkpoint.com/2022/check-point-research-detects-vulnerability-in-the-everscale-blockchain-wallet-preventing-cryptocurrency-theft/Conti勒索軟件瞄準哥斯達黎加政府組織展開攻擊 Tag:Conti,勒索,政府實體
俄烏戰爭蔓延之際,選擇站隊支持俄羅斯入侵烏克蘭後的 Conti 勒索軟件組織攻擊了多個烏克蘭組織,隨後高調宣布瞄準美國及其北約盟國。而且在最新一次的攻擊浪潮中,Conti 勒索軟件組織至少攻擊了五個哥斯達黎加政府實體,其中包括財政部、科學技術和電信部門等。據 Conti 發布的帖子稱它已經獲得了對大約 800台服務器的訪問權限,其中近1TB的數據遭到泄露,其中包括財政部人員的全名和電子郵件地址在內的900GB 的稅務管理門戶網站數據。哥斯達黎加財政部疑似成為了此次攻擊浪潮中受影響最大的政府機構。Conti 勒索軟件組織還聲稱社會發展和家庭津貼基金、勞工就業和社會保障部這兩個政府實體也成為其最新受害者,但這兩個政府實體目前仍處於在線狀態,也尚未顯示 Conti 組織入侵的信息。
來源:https://therecord.media/rio-de-janeiro-finance-department-hit-with-lockbit-ransomware/
德國風力渦輪機巨頭遭到網絡攻擊,遠程連接受到影響 Tag:德國,風力能源
事件概述:
近日,德國風力渦輪機巨頭 Deutsche Windtechnik 發布聲明,稱其遭到網絡攻擊,第一時間發現並隔離了問題,關閉風力渦輪機的遠程數據監控鏈接。此次攻擊並未導致風力渦輪機受到損壞,Deutsche Windtechnik 也於4月14日恢復客戶運營維護活動,僅運行受到輕微限制。儘管 Deutsche Windtechnik 沒有披露此次攻擊背後的組織,但部分專家認為該公司遭到了勒索軟件的攻擊。據《華爾街日報》報道稱 Deutsche Windtechnik 成為勒索軟件的受害者,且在攻擊期間失去對大約 2,000台渦輪機的遠程連接控制,但這些設備能夠在無需聯繫攻擊者的情況下恢復其系統。Deutsche Windtechnik 已不是20220年度第一個對渦輪機失去遠程控制的能源巨頭,早在今年3月,Viasat 的衛星網絡遭到黑客攻擊後,風力渦輪機製造商 Enercon GmbH 失去了與大約5,800台渦輪機的遠程連接。來源:https://www.deutsche-windtechnik.com/press-information/item/463-Cyber-attack-on-Deutsche-Windtechnik物聯網殭屍網絡BotenaGo變種瞄準LilinDVR設備展開攻擊 Tag:物聯網,殭屍網絡事件概述:近日,外媒報道稱 BotenaGo 物聯網殭屍網絡的新變種在野外出現,且瞄準 Lilin DVR 設備展開攻擊。BotenaGo 由 AT&T Alien Labs 於2021年11月首次記錄,使用 Golang 編寫,且針對 Web 服務器、路由器和其他類型的物聯網設備中的已知30多個漏洞展開攻擊。BotenaGo 主要依賴外部程序來構建易受攻擊的 Lilin 設備的 IP 地址列表,隨後利用上述缺陷在目標上遠程執行任意代碼並部署 Mirai 有效負載。但該惡意軟件無法以類似蠕蟲的方式傳播自身,只能用於攻擊作為 Mirai 二進制文件輸入提供的 IP 地址。由於殭屍網絡的源代碼只有2,891代碼,且已被公開到 GitHub,BotenaGo 源代碼極容易被其他犯罪分子濫用,成為其他新變種和新惡意軟件的基礎代碼。
來源:https://thehackernews.com/2022/04/new-botenago-malware-variant-targeting.htmlPrynt Stealer:新型信息竊取軟件 Tag:信息竊取軟件,Prynt Stealer
事件概述:
近日,研究人員分析發現在不斷增長的信息竊取惡意軟件感染領域出現了一個新成員,名為 Prynt Stealer。Prynt Stealer主要針對即時通信應用程序、遊戲應用程序、大量網絡瀏覽器進行信息竊取。它不僅在提供強大功能的同時,還具備鍵盤記錄器和剪輯器模塊。研究人員稱該信息竊取軟件在製作的時候會優先考慮隱蔽性,其惡意代碼具備二進制混淆和 Rijndael 加密字符串。Prynt Stealer 與其他信息竊取軟件不同的是,它的作者以基於時間的訂閱方式出售該工具,比如每月100美元、每個季度200美元或每年700美元,但它也以900美元的價格出售終身授權。
技術手法:
首先,Prynt Stealer 會掃描主機中的所有驅動器並竊取大小低於 5,120字節(5 KB)的文檔、數據庫文件、源代碼文件和圖像文件。接下來,該惡意軟件針對存儲在基於 Chrome、MS Edge 和基於 Firefox 的網絡瀏覽器中的自動填充數據、憑據(帳戶密碼)、信用卡信息、搜索歷史和 cookie進行檢索;也會檢查即時通信應用程序、遊戲應用程序中有價值的數據;查詢加密貨幣錢包目錄並將其配置文件和數據庫複製到 AppData 文件夾中,然後在滲透之前,枚舉正在運行的進程、截取摘要並將其與主機中使用的網絡憑據和 Windows 產品密鑰捆綁在一起。
來源:https://www.bleepingcomputer.com/news/security/new-powerful-prynt-stealer-malware-sells-for-just-100-per-month/新APT組織EarthBerberoka 利用多種惡意軟件針對賭博網站展開攻擊 Tag:Earth Berberoka,APT
事件概述:
近日,趨勢科技研究人員發現一個新的APT組織 Earth Berberoka(又名 GamblingPuppet)。該組織主要以賭博網站為目標,具備 Windows、Linux 和 macOS 多平台攻擊能力,還濫用以下惡意工具展開攻擊:Quasar RAT:一種基於 Windows 的開源 RAT,已被 APT 組織用於網絡攻擊;AsyncRAT:一種開源 RAT,可用於通過加密連接遠程監控和控制設備;Trochilus :一種可以逃避沙盒分析的隱形 RAT,可用於網絡間諜活動。惡意攻擊者通過劫持加載模塊加載惡意 dropper,dropper 在受感染的機器中創建並釋放多個文件,以掛起模式啟動並創建新線程,加載第三階段 BasicLoader 的有效負載 MSVCPX00.dll。BasicLoader 會在桌面、文檔、下載、音樂、圖片和視頻等目錄中檢索 BMP 文件,並將其加載到內存中執行。在此之後,惡意軟件啟動系統記錄器記錄線程,執行其他操作:管理交互式 shell、上傳和下載文件、安裝新模塊、監控模塊,使用 UDP(用戶數據報協議)與命令和控制(C&C)服務器建立通信,實現後門功能等。
來源:https://www.trendmicro.com/en_us/research/22/d/new-apt-group-earth-berberoka-targets-gambling-websites-with-old.html
為避免成為 Earth Berberoka 攻擊的受害者,建議採用以下安全建議:
在點擊鏈接或下載應用程序之前,正確審查電子郵件、網站和應用程序;
僅從受信任的來源下載應用程序;
注意惡意網站標誌,例如語法和拼寫錯誤;
通過託管電子郵件安全和反垃圾郵件保護阻止通過電子郵件到達的威脅,例如惡意鏈接;
使用有助於檢測、掃描和阻止惡意 URL 的多層安全解決方案。
微軟發現新的Linux提權漏洞Nimbuspwn Tag:Linux,權限提升,Nimbuspwn
事件概述:
4月26日,微軟發布報告披露了一組統稱為 Nimbuspwn 的新漏洞,這組漏洞可以讓本地攻擊者提升 Linux 系統權限,以部署從後門到勒索軟件的惡意軟件。這些安全問題如下:目錄遍歷( CVE-2022-29799 ):流程中的任何功能都不會清理 OperationalState 或 AdministrativeState。狀態用於構建腳本路徑,因此狀態可以包含目錄遍歷模式(例如「../../」)以從「/etc/networkd-dispatcher」基本目錄中逃脫。
Symlink race:腳本發現和 subprocess.Popen 都遵循軟鏈接。
Time-of-check-time-of-use ( TOCTOU )競爭條件( CVE-2022-29800):發現腳本和運行腳本之間有一定的時間。攻擊者可以利用此漏洞將networkd-dispatcher 認為屬於root 的腳本替換為不屬於root 的腳本。
任何對系統具有低權限的攻擊者可以將上述漏洞鏈接在一起,通過發送任意信號升級到 root 權限,執行惡意操作。
來源:https://www.microsoft.com/security/blog/2022/04/26/microsoft-finds-new-elevation-of-privilege-linux-vulnerability-nimbuspwn/
親俄組織Killnet瞄準多個捷克組織展開DDoS攻擊 Tag:Killnet,DDoS
事件概述:
繼俄烏軍事、網絡戰爭蔓延之際,親俄威脅組織 Killnet 於近期瞄準多個俄烏戰爭中俄羅斯的對手展開攻擊,尤其是北約及其盟國。捷克首當其衝成為 Killnet 組織的攻擊目標,捷克國家信息安全局、捷克鐵路、卡羅維發利機場、帕爾杜比采機場以及公共管理機構近期一直受到威脅組織嚴重的 DDoS 攻擊。在嚴重 DDoS 攻擊襲擊後,捷克信息安全局被迫中斷了外國訪問權限,捷克部分鐵路應用程序無法正常使用,機場系統網絡出現故障.......在捷克共和國的幾個關鍵基礎設施實體成功成為嚴重攻擊目標後,捷克共和國政府發言表示這些攻擊沒有造成公民數據信息遭到泄露,並將這些攻擊歸咎於俄羅斯黑客,但並未透露攻擊背後的組織。
來源:https://www.govinfosecurity.com/pro-russian-killnet-group-in-ddos-attacks-on-czech-entities-a-1894BlackCat 勒索軟件至少入侵了全球60多個實體單位美國聯邦調查局發布告警稱 BlackCat 勒索軟件(又名ALPHV和 Noberus)於11月開始運營以來,全球至少有 60個實體單位遭到該勒索軟件組織的破壞。該勒索軟件可以針對 Windows、Linux 和 VMWare ESXi 系統展開攻擊,是一款複雜的勒索軟件,建議企業使用一些緩解措施防禦該勒索軟件的攻擊。來源:https://www.ic3.gov/Media/News/2022/220420.pdf
警惕!以 「Azovstal」為主題針對烏克蘭的網絡釣魚攻擊烏克蘭計算機應急響應小組(CERT-UA)發布告警信息,稱要警惕主題為「Azovstal」的網絡釣魚攻擊。攻擊者通過投遞武器化的辦公文件,誘導受害者打開附件啟用宏,下載惡意代碼並運行惡意 DLL,安裝 Cobalt Strike Beacon。由於該組織使用的加密技術,研究人員將此次網絡釣魚活動與 Trickbot 組織關聯起來。
來源:https://securityaffairs.co/wordpress/130515/cyber-warfare-2/ukraine-cert-warns-azovstal-themed-phishing.html
留言列表