微步在線研究響應中心 - 安全威脅情報周報（6.20~6.26）－鑽石舞台

一周威脅情報摘要

金融威脅情報

美國銀行FlagstarBank數據發生泄露，超150萬客戶受到影響（見PDF）

DeFi平台InverseFinance遭閃電貸款攻擊，126萬美元遭到損失

BidenCash網站以0.15美元的價格出售被盜的信用卡（見PDF）

政府威脅情報

俄羅斯總統普京的經濟論壇演講因DDoS攻擊延遲

能源威脅情報

Lyceum組織以軍事熱點事件為誘餌，定向攻擊中東能源部門

工控威脅情報

西門子、霍尼韋爾等多個OT設備製造商被曝受"ICEFALL"漏洞的影響

西門子工業網絡管理系統被曝存在多個漏洞（見PDF)

流行威脅情報

警惕！竊取用戶密碼的新型Android惡意軟件MaliBot

Android惡意軟件BRATA新變種瞄準歐洲用戶展開攻擊（見PDF）

高級威脅情報

俄羅斯威脅組織APT28黑客被指控瞄準北約智庫展開攻擊（見PDF）

DarkElephant Group：一個瞄準東南亞國家展開竊密攻擊的印度威脅組織

漏洞情報

威脅通告|SpringDataMongoDBSpEL表達式注入漏洞（見PDF）

Java庫Fastjson被曝存在遠程代碼執行高危漏洞

勒索專題

ARMattack活動：Conti勒索軟件組織在一個月內瞄準40多個組織展開攻擊（見PDF）

美國環境服務供應商遭勒索軟件攻擊，實驗室檢測業務被迫中斷

釣魚專題

警惕！冒充新包裹運輸的騙局

註：由於篇幅限制，僅精選部分發布，公眾號後台回復「20220626」獲取完整版 PDF 閱讀。

金融威脅情報

DeFi平台InverseFinance遭閃電貸款攻擊，126萬美元遭到損失 Tag：Inverse Finance，閃電貸

事件概述：

近日，外媒報道稱一家名為 Inverse Finance 的 DeFi 平台遭閃電貸攻擊，價值126萬美元的加密貨幣失竊。這是近兩個月內，Inverse Finance 第二次遭受閃電貸攻擊，此前在四月份的攻擊事件中，黑客從其獲取 1560萬美元。Inverse Finnace 發文回應稱，針對此事件已暫停了借貸，並表示沒有用戶的資金被盜或者面臨風險，此次事件也正在進一步調查當中。截至目前，官方尚未披露更多攻擊事件細節。

技術手法：

攻擊者通過使用閃電貸款來操縱協議貨幣市場應用程序(LP)代幣的預言價格，借用比他們發布的抵押品數量更多的協議穩定幣DOLA，調用函數將合約上的WBTC和USDT貨幣兌換為ETH，然後通過多次交易將ETH發送到Tornado Finance，以此將差額收入黑客囊中。由於 Inverse Finance 被攻擊的合約使用 YVCrv3CryptoFeed 作為 Inverse Finance DOLA借貸池的價格預言機，YVCrv3CryptoFeed價格預言機返回的價格會根據Curve USDT-WBTC-WETH池中不同代幣的餘額來決定Yearn的Vault代幣價格，因此可被攻擊者利用。

來源：https://www.theregister.com/2022/06/17/inverse_finance_heist/

政府威脅情報

俄羅斯總統普京的經濟論壇演講因DDoS攻擊延遲 Tag：DDoS，俄羅斯

事件概述：

在第25屆聖彼得堡國際經濟論壇上，俄羅斯總統普京的演講被推遲了近兩個小時。據外媒報道，俄羅斯政府發言人證實了DDoS攻擊，認證和錄取系統在攻擊後被切斷，但並未披露攻擊幕後的黑手及其他細節。

來源：https://www.hackread.com/putins-economic-forum-speech-delayed-ddos-attack/

能源威脅情報

Lyceum組織以軍事熱點事件為誘餌，定向攻擊中東能源部門 Tag：Lyceum，能源，中東

事件概述：

近期，國內安全廠商監測發現了 Lyceum 組織瞄準中東能源部門的定向攻擊活動。研究人員推斷初始攻擊入口可能是魚叉式釣魚郵件，攻擊者通過誘騙受害者點擊下載 docm 文件或者偽裝的 SCR 屏幕保護程序。當攻擊樣本被下載執行後，會釋放一個誘餌文件來迷惑受害者。據研究人員分析發現 Lyceum 組織在此次攻擊手法具備以下特點：

（1）Lyceum 組織通過 planet-informer[.]me 域託管攻擊樣本；

（2）SCR 攻擊樣本實際為帶有密碼保護的 SFX 文件，SFX 解壓得到的釋放器會從偽裝的 jpg 圖片文件中提取後門和可執行文件數據；

（3）一階段釋放器和後門依然沿用了 Lyceum 組織此前樣本中使用的C#代碼控制流平坦化手段。

來源：https://mp.weixin.qq.com/s/lROsp60YGcOJFbe2vWEmVw

工控威脅情報

西門子、霍尼韋爾等多個OT設備製造商被曝受"ICEFALL"漏洞的影響 Tag：OT製造商，ICEFALL漏洞

事件概述：

近日，美國網絡安全和基礎設施安全局（CISA)以及世界各地的其他政府機構合作披露了56個新的漏洞，這些漏洞統稱為「ICEFALL」。這些漏洞主要影響為關鍵基礎設施組織提供服務的多家的OT設備製造商，其中包括Siemens（西門子）、Motorola、Honeywell（霍尼韋爾）、Yokogawa、ProConOS、Emerson、Phoenix Contract、Bentley Nevada、Omron and JTEKT等。ICEFALL 漏洞被分為四大類：不安全的工程協議、弱加密或損壞的認證方案、不安全的固件更新和通過本地功能遠程執行代碼。據研究人員指出 ICEFALL 漏洞影響的產品不僅存在於工控行業、製造行業，也普遍存在於石油和天然氣、化學、核能、發電、水處理和配電、採礦和樓宇自動化等行業，波及範圍甚廣。

來源：https://therecord.media/siemens-motorola-honeywell-and-more-affected-by-56-icefall-vulnerabilities/

流行威脅情報

警惕！竊取用戶密碼的新型Android惡意軟件MaliBot Tag：MaliBot，Android

事件概述：

近日，研究人員監測發現了一款新型 Android 惡意軟件，並將其命名為 MaliBot。這是一系列針對 Android 用戶的強大惡意軟件中最新的一個，除了遠程竊取密碼、銀行信息和加密貨幣錢包外，MaliBot 還可以訪問短信、竊取瀏覽器 Cookie，並從受感染的安卓設備上獲取屏幕截圖、要求受害者授予監控設備和執行惡意操作所需的可訪問性和啟動器權限。並且還可以繞過多因素認證(MFA)。與許多安卓惡意軟件威脅一樣，MaliBot 的傳播方式是通過 SMS 短信向用戶的手機發送釣魚信息或吸引受害者訪問欺詐網站，誘使點擊鏈接下載惡意軟件。

截至目前，研究人員已經發現了兩個用於分發 MaliBot 的惡意網站，其中一個是合法加密貨幣跟蹤應用程序的偽造版本，其谷歌商店下載量超過一百萬次。雖然 MaliBot 惡意軟件目前僅針對針對西班牙和意大利銀行的客戶，但研究人員稱隨着時間的推移，MaliBot可能被添加到更廣泛的目標的應用程序中展開攻擊，造成重大破壞。

來源：https://www.zdnet.com/article/this-new-android-malware-bypasses-multi-factor-authentication-to-steal-your-passwords/

高級威脅情報

DarkElephant Group：一個瞄準東南亞國家展開竊密攻擊的印度威脅組織

Tag：DarkElephant Group，APT，印度，東南亞

事件概述：

DarkElephant Group是一個疑似來自印度的APT攻擊組織，其主要針對印度境內的社會活動人士、社會團體和在野政黨等，同時也會竊取印度周邊國家如中國和巴基斯坦等的軍事政治目標的重要情報。攻擊者通常使用谷歌和雅虎郵箱偽裝成收信人的好友或社會知名人士、知名機構，誘導內容緊隨時事熱點或與對方的工作方向密切相關，對於特別重要的個人目標能實施長達多年跨越多種系統平台的監控活動，而對於印度境外的別國軍事政治目標，攻擊者主要是以竊密和潛伏為主要目的。然後，該組織在向對方發送極具迷惑性的魚叉郵件後，誘騙受害者運行具備多種免殺技巧、包含成熟商用遠控木馬載荷（NetWire、DarkComet、ParallaxRAT）。

在過去近10年的攻擊中，印度的網絡攻擊中心逐漸從巴基斯坦轉移到中國。而通過對 DarkDarkElephant Group 組織的攻擊活動後研究發現，印度相關機構不僅極為頻繁對周邊國家實施網絡攻擊，同時也將網絡攻擊手段廣泛用於國內目標，甚至用攻擊手段構陷其國內社會活動人士，相關組織行動隱蔽能力較強，值得高度關注與警惕。

來源：https://mp.weixin.qq.com/s/mC5D8kFaQA-cIcw2rlTgeA

漏洞情報

Java庫Fastjson被曝存在遠程代碼執行高危漏洞

Tag：Fastjson，Java

事件概述：

Fastjson 是一個流行的 Java 庫，可用於將 Java 對象轉換為其 JSON 表示形式。它還可用於將 JSON 字符串轉換為等效的 Java 對象，處理任意 Java 對象。近日，研究人員披露了 Fastjson 庫中一個高危漏洞 CVE-2022-25845，該漏洞與不可信數據的反序列化有關，允許攻擊者繞過 Fastjson 中的 AutoTypeCheck 機制（AutoType 函數允許在解析JSON輸入時指定自定義類型，然後可以將其反序列化為特定類的對象），實現遠程代碼執行。該漏洞影響所有依賴 Fastjson 版本 1.2.80或更早版本的 Java 應用程序，並將用戶控制的數據傳遞給 JSON.parse 或 JSON.parseObject API，而無需指定要反序列化的特定類。專家指出，近 5000個 Maven 項目依賴於 Fastjson。

最初，開發團隊通過引入禁用 AutoType 的 safeMode 並實施類阻止列表來解決反序列化問題，從而解決了這個問題。不幸的是，專家們發現了如何繞過這些限制來實現遠程代碼執行，從而迫使開發團隊引入新的修復程序。該漏洞已在2022年5月23日發布的1.2.83 版本中得到修復。

來源：https://jfrog.com/blog/cve-2022-25845-analyzing-the-fastjson-auto-type-bypass-rce-vulnerability/

勒索專題

2022年6月16日

美國環境服務供應商遭勒索軟件攻擊，實驗室檢測業務被迫中斷

總部位於美國的環境服務提供商 Montrose Environmental Group 透露其在上周末遭到勒索軟件攻擊，導致其實驗室檢測業務中斷，某些實驗室結果被迫推遲。Montrose Environmental Group 在美國各地運營着11個環境測試實驗室，主要測試空氣、土壤、水和其他物質的毒性和污染物。該服務商在發現網絡入侵後，立即暫停了受影響的系統，通知了執法部門，並開始在網絡安全專家的幫助下修復系統。

來源： https://portswigger.net/daily-swig/ransomware-attack-on-montrose-environmental-group-disrupts-lab-testing-services

釣魚專題

2022年6月16日

警惕！冒充新包裹運輸的騙局

外媒報道稱研究人員發現了兩個目前正在流行的新包裹運輸騙局，第一個是虛假的BHL，第二個是虛假的美國郵政服務警報，攻擊者通過包裹警報信息、包裹運輸信息為誘餌誘使收件人點擊鏈接，然後重定向到網絡釣魚頁面，竊取受害者輸入的數據信息，用於金錢盜竊和身份盜竊。微步提示您切勿點擊來源不明的鏈接，包裹運輸為由的鏈接更需警惕點擊。

來源：https://news.trendmicro.com/2022/06/16/bhl-shipping-scams-usps-phishing-email/