疑似与TA551有关的钓鱼活动——每周威胁动态第82期(06.05-06.10)

admin 2022年6月11日01:29:42安全新闻评论9 views2892字阅读9分38秒阅读模式

APT组织

Keksec组织针对互联网平台的僵尸攻击活动
POLONIUM滥用OneDrive平台的IT供应链攻击
加密劫持的幕后黑手——WatchDog
Kimsuky组织利用BabyShark组件开展攻击活动
疑似与TA551有关的钓鱼活动


攻击活动

针对西班牙BBVA 银行客户的攻击活动

俄罗斯建设、住房和公用事业部 网站遭到攻击


漏洞情报

MSDT中的CVE-2022-30190 (Follina) 漏洞 




APT组织

Keksec组织针对互联网平台的僵尸攻击活动

Keksec是近些年来一个活跃的黑客组织,因构建Necro、Freakout 、IRCBot等僵尸网络而闻名。该组织主要通过销售黑客软件以及销售DDoS资源的方式获利,倾向于使用Mirai或Gafgyt架构来构建恶意代码,同时会对受害机器宣示自己的主权,告知受害者该机器已被KekSec组织感染。在此次攻击活动中,攻击者利用利凌DVR漏洞传播木马。该漏洞是由于利凌DVR的Web接口存在命令注入缺陷而导致的。经过微步研究人员分析,僵尸网络攻击的payload 涉及到多个平台,对互联网影响较为广泛。

来源:

https://mp.weixin.qq.com/s/dkwMTGkc1Y3Bq1v7S9Xrtg


POLONIUM滥用OneDrive平台的IT供应链攻击

疑似源自黎巴嫩的APT组织POLONIUM入侵了一家位于以色列的云服务供应商,并利用其访问权限来进一步入侵该服务提供商的下游客户。在过去的三个月里,POLONIUM已经破坏了20多个以色列的组织机构和一个在黎巴嫩开展业务的政府组织。攻击者部署了独特的工具,滥用合法的云服务来对受害目标进行命令和控制(C2),通过创建和使用合法的OneDrive帐户,然后将这些帐户用作C2,来执行部分攻击操作。微软研究人员还观察到该组织与隶属于伊朗情报和安全部(MOIS)的APT组织也存在部分TTPs交叉。

来源:

https://www.microsoft.com/security/blog/2022/06/02/exposing-polonium-activity-and-infrastructure-targeting-israeli-organizations/


加密劫持的幕后黑手——WatchDog

Watchdog是一个能够针对Windows与Linux平台发起攻击、主要进行门罗币挖矿的攻击组织。从2019年起就十分活跃,根据分析人员估算,Watchdog通过挖矿获取的利益已经达到数万美元。近期,Watchdog正在针对暴露的Docker Engine API 端点和Redis服务器开展一轮新的加密劫持活动,下图是攻击链示意图。

疑似与TA551有关的钓鱼活动——每周威胁动态第82期(06.05-06.10) 

来源:

https://www.cadosecurity.com/tales-from-the-honeypot-watchdog-evolves-with-a-new-multi-stage-cryptojacking-attack/


Kimsuky组织利用BabyShark组件开展攻击活动

2022年上半年,研究人员发现了疑似来自朝鲜的APT组织Kimsuky,使用一种名为BabyShark组件的发动多起攻击活动。该组件的主要功能是收集受害目标的机密和敏感信息,后续被用于涉及核安全和朝鲜半岛国家安全问题的间谍活动,以及通过渗透加密行业获取经济收益的攻击活动。该组件的隐蔽性强,利用短链接请求后续数据,增加了溯源难度。下图是本次攻击流程图。

疑似与TA551有关的钓鱼活动——每周威胁动态第82期(06.05-06.10) 

来源:

https://mp.weixin.qq.com/s/ZV8AOTd7YGUgCTTTZtTktQ

 

疑似与TA551有关的钓鱼活动

近日,HP的威胁研究人员披露了一起攻击者通过钓鱼邮件向目标发送Microsoft Word 文档 (.doc) 附件的攻击活动。与许多其他恶意软件活动一样,附件文档包含用于执行恶意代码的Visual Basic for Applications (VBA) AutoOpen宏。但与其他Office恶意软件不同的是,该文档不使用PowerShell或MSHTA从Web下载有效载荷。相反,VBA 宏运行存储在文档属性中的shellcode,然后分发并运行SVCReady恶意软件开展攻击活动。研究人员发现用于投递SVCReady的文档的文件名以及使用的诱饵图片名与之前TA551攻击活动存在相似之处。

来源:

https://threatresearch.ext.hp.com/svcready-a-new-loader-reveals-itself/



攻击活动


针对西班牙BBVA 银行客户的攻击活动

西班牙BBVA银行披露了自2020年以来,针对其客户的恶意软件攻击活动。攻击者利用伪装成来自BBVA银行的官方消息,实施欺诈活动,分发Android恶意软件。攻击者通过SMS钓鱼来窃取BBVA银行用户的账户余额和银行凭证等信息,一旦用户单击收到的SMS中的网络钓鱼链接,就会要求用户下载和安装伪装成合法BBVA银行应用程序的恶意BBVA Protect应用程序。
来源:
https://blog.cyble.com/2022/06/06/android-malware-distributed-via-smishing/

俄罗斯建设、住房和公用事业部 网站遭到攻击

俄罗斯建设、住房和公用事业部的网站 (minstroyrf.gov.ru) 遭到黑客攻击。被入侵网站出现了一个乌克兰语标语,上面写着“荣耀归于乌克兰”。攻击者还发布了声称属于目标部门网站及其注册用户的数据截图,如下图所示,攻击者要求支付0.5比特币的赎金,以免被盗用户数据泄露。被窃数据的内容包括:用户全名、登录名、电子邮件以及注册时间等。疑似与TA551有关的钓鱼活动——每周威胁动态第82期(06.05-06.10) 

来源:

https://www.hackread.com/russian-ministry-website-hacked-glory-to-ukraine/



漏洞情报


MSDT中的CVE-2022-30190 (Follina) 漏洞

安全研究人员披露了Microsoft支持诊断工具(MSDT)中的一个新的零日漏洞,编号为CVE-2022-30190。攻击者可以使用Microsoft Office文档利用该漏洞,并允许攻击者在Windows系统上远程执行代码,而受害者甚至无须打开包含漏洞利用的文档。该漏洞被研究人员命名为Follina。

来源:

https://securelist.com/cve-2022-30190-follina-vulnerability-in-msdt-description-and-counteraction/106703/



往期推荐




2021-2022勒索软件攻击活动梳理


Eternity Group:一种新兴的APT组织——每周威胁动态第81期(05.13-05.19)


BITTER利用新木马ZxxZ攻击孟加拉国政府——每周威胁动态第80期(05.08-05.12)

原文始发于微信公众号(白泽安全实验室):疑似与TA551有关的钓鱼活动——每周威胁动态第82期(06.05-06.10)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月11日01:29:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  疑似与TA551有关的钓鱼活动——每周威胁动态第82期(06.05-06.10) http://cn-sec.com/archives/1108231.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: