天際友盟 - [0617] 一周重點威脅情報｜天際友盟情報站－鑽石舞台

Jun 17 Fri 2022 17:30
天際友盟 - [0617] 一周重點威脅情報｜天際友盟情報站

熱點情報

微軟補丁日通告：2022年6月版

攻擊者利用Confluence零日漏洞傳播加密礦工

Mirai殭屍網絡變種Miori大規模傳播預警

俄羅斯黑客利用Follina漏洞攻擊烏克蘭媒體組織

新殭屍網絡家族Boota和Boat利用IOT設備漏洞大肆傳播

伊朗魚叉式網絡釣魚行動針對以色列和美國前高級官員

APT攻擊

GALLIUM組織使用新木馬PingPull針對電信、政府和金融部門

響尾蛇組織利用Google Play傳播惡意Android軟件

勒索軟件家族HelloXD及其背後的黑客組織x4k揭秘

Karakurt勒索組織介紹

黑客組織Lyceum基於.NET的新DNS後門分析

技術洞察

MakeMoney惡意廣告活動添加虛假Firefox更新

FakeCrack:數字貨幣盜竊軟件偽裝為破解軟件傳播

MedusaLocker勒索組織Windows LPE 1day新組件披露

Linux內核rootkit Syslogk傳播Rekoobe的後門

利用搜狗模塊注入惡意代碼的定向攻擊分析

情報詳情

微軟補丁日通告：2022年6月版

微軟在2022年6月補丁日修復了修復了56個漏洞，包括對WindowsMSDT「Follina」零日漏洞和新的英特爾MMIO漏洞的修復。有3個被歸類為「嚴重」，因為它們允許遠程執行代碼，其餘的被歸類為「重要」。主要覆蓋了以下組件HEVCVideoExtensions、Microsoft Share Point Server Subscription Edition、System Center Operations Manager等。

詳情查詢：https://redqueen.tj-un.com/IntelDetails.html?id=8c2f4ec543f84705af9ce0916b6e9f5d

攻擊者利用Confluence零日漏洞傳播加密礦工

Atlassian Confluence漏洞CVE-2022-26134可以導致未經身份驗證的對象圖導航語言 (OGNL)表達式注入攻擊。未經身份驗證的遠程攻擊者可以利用此漏洞通過在URI中放置惡意負載在目標服務器上執行任意代碼。Atlassian於6月2日向其客戶發出了該嚴重漏洞的警告，並在一天後發布了補丁。

Check Point Research(CPR)研究人員注意到攻擊者開始利用該漏洞將惡意軟件下載到受影響的系統。在系統日誌中，研究人員注意到相關活動的惡意負載來自同一來源，但針對不同的平台Linux和Windows。這兩種攻擊場景都是從利用CVE-2022-26134漏洞的初始精心製作的HTTP請求開始的，攻擊者利用Java執行功能將惡意負載下載到受害者的機器上，然後惡意負載根據受攻擊的操作系統下載可執行文件，兩個可執行文件都運行同一個加密礦工，以利用受害者的資源為自己謀取利益。研究人員從日誌中提取的a[.]oracleservice.top域和加密錢包與一個名為「8220」的網絡挖礦團伙有關。

詳情查詢：https://redqueen.tj-un.com/IntelDetails.html?id=441fec42784841dcb5226da359e2b7a7

Mirai殭屍網絡變種Miori大規模傳播預警

CNCERT近期發現一個新的且在互聯網上快速傳播的DDoS殭屍網絡，該殭屍網絡每日上線境內肉雞數（以IP數計算）已超過1萬、且每日會針對多個攻擊目標發起攻擊。經分析，該殭屍網絡為Mirai變種，包括針對mips、arm、x86等CPU架構的樣本，由於該殭屍網絡樣本均以miori命名，研究人員將其命名為Mirai_miori。在過去的2個月的時間中，殭屍網絡樣本至少迭代過3個版本，具有9個傳播源，涉及6個C2服務器，傳播方式主要為弱口令爆破以及1day和Nday漏洞為主。Mirai_miori殭屍網絡出現以來投遞的樣本變動很小，說明運營者將主要精力投入到漏洞搜集以及更換C2服務器上。

詳情查詢：https://redqueen.tj-un.com/IntelDetails.html?id=e2c3df14ae4946cdbd0e02f594f76ed8

俄羅斯黑客利用Follina漏洞攻擊烏克蘭媒體組織

烏克蘭計算機應急響應小組CERT-UA收到了一批攻擊樣本，其中包含針對烏克蘭媒體組織（廣播電台、報紙、新聞機構等）的惡意釣魚，主題是「交互式地圖鏈接列表」。發現攻擊範圍包括500個收件人的電子郵件地址。釣魚附件包含文件「LIST_of_links_interactive_maps.docx」，打開該文件將加載HTML文件並執行JavaScript代碼，進而下載並執行EXE文件，據此將惡意樣本命名為CrescentImp（研究仍在繼續）。攻擊者利用的是Follina漏洞：Microsoft Windows支持診斷工具(MSDT)遠程代碼執行漏洞CVE-2022-30190，它可以通過打開或選擇特製文檔觸發。CERT-UA認為此次惡意活動相關的攻擊者為黑客組織Sandworm。

詳情查詢：https://redqueen.tj-un.com/IntelDetails.html?id=3815696f19684703a53673cc861a6a41

GALLIUM組織使用新木馬PingPull針對電信、政府和金融部門

Unit42最近發現了一個名為PingPull的新的遠程訪問木馬正被APT組織GALLIUM使用。GALLIUM（也稱為 Softcell）一開始主要瞄準在東南亞、歐洲和非洲運營的電信公司，後來該組織將其目標擴大到電信公司之外，包括金融機構和政府實體。研究人員已經確定了GALLIUM基礎設施與阿富汗、澳大利亞、比利時、柬埔寨、馬來西亞、莫桑比克、菲律賓、俄羅斯和越南的目標實體之間的若干聯繫。近期，研究人員發現該組織使用了一種名為PingPull的新型遠程訪問木馬。

詳情查詢：https://redqueen.tj-un.com/IntelDetails.html?id=2bf1d19c4e08498ba9c684a066db38d5

伊朗魚叉式網絡釣魚行動針對以色列和美國前高級官員

研究人員發現了在伊朗發生的針對前以色列官員、高級軍事人員、研究機構研究員、智囊團和以色列公民的魚叉式網絡釣魚行動。這些攻擊使用自定義的網絡釣魚基礎設施，以及大量虛假電子郵件帳戶來冒充受信任方。為了與攻擊目標建立更深的信任，攻擊者對一些受害者的收件箱進行了帳戶接管，然後劫持了現有的電子郵件對話，以從目標和受信任方之間已經存在的電子郵件對話開始攻擊，並以此為幌子繼續對話。為了方便他們的魚叉式網絡釣魚操作，攻擊者操縱一個虛假的URL短鏈接服務Litby[.]us來偽裝網絡釣魚鏈接，並利用合法的身份驗證服務validation.com來盜取身份信息。研究者分析了攻擊者使用的基礎設施、手段、攻擊者可能的歸屬以及他們的潛在動機，認為該攻擊的明顯目是為了獲取受害者的收件箱、他們的個人身份信息 (PII) 和他們的身份證件，攻擊者與APT黑客組織Phosphorus有基礎設施重疊，攻擊者特別關注以色列和伊朗之間不斷升級的緊張局勢中的以色列高級官員。

詳情查詢：https://redqueen.tj-un.com/IntelDetails.html?id=fb9a0ecd50514551a086e08731e5ca07

歡迎登陸天際友盟RedQueen平台，獲取更多威脅情報。

聯繫方式

RedQueen平台：redqueen.tj-un.com

官網：www.tj-un.com

郵箱：mkt@tj-un.com

電話：400-0810-700

關於威脅情報應用解決方案

秉承着「應用安全情報，解決實際問題」的理念，天際友盟以豐富的情報數據種類、多樣的情報應用產品與強大的情報服務能力，為政府、行業管理機構和企業用戶提供了堅實的情報技術支撐，協助客戶構建情報驅動的主動防禦體系，抵禦網絡安全風險，展現了情報應用的價值。

RedQueen安全智能服務平台，是天際友盟情報應用的核心樞紐，不僅是國內首個雲端一體化安全智能綜合服務平台，也是國內最大的安全情報聚合、分析與交換平台。

更多詳情：https://www.tj-un.com/redQueen.html

通過與各類專業安全廠商的解決方案結合，將威脅情報落地應用在客戶實際業務場景中來解決安全問題，是威脅情報應用的一種特有方式，我們稱之為Threat Intelligence Inside，TI Inside模式。迄今，天際友盟的威脅情報能力，已實現與三十多家安全廠商的集成聯動。

SIC安全情報中心（Security Intelligence Center），是天際友盟情報解決方案體系的核心。作為安全情報落地應用的一種表現形式，SIC可以將雲端數據同步到本地，實現情報訂閱與威脅溯源，還可通過其他來源的API接口接收STIX標準格式的情報數據並聚合到SIC中，配合SIC內嵌的流量分析、防護設備、資產引擎等，實現實時精準告警。

更多詳情：https://www.tj-un.com/sic.html

Leon威脅情報網關，是基於海量威脅情報應用的高性能流量檢測防護類產品。Leon可以與天際友盟的威脅情報產品家族（RedQueen、SIC、Ada、Alice 等）協同聯動，構建全網立體縱深防禦體系。基於實時訂閱的惡意IP庫、惡意URL庫、惡意域名庫、惡意郵件庫等高價值威脅情報，實現對威脅的實時發現、實時阻斷、全網預警及溯源分析。

更多詳情：https://www.tj-un.com/leon.html