安全威胁情报周报(02.01-02.07)

  • A+
所属分类:安全新闻

安全威胁情报周报(02.01-02.07)


一周情报摘要


金融威胁情报

  • Oscorp:Android 恶意软件新变种
  • 骗子诱使 Discord 用户使用伪造的加密货币交易所,窃取敏感信息

  • Trickbot 银行木马再度升级,新增网络侦察模块


政府威胁情报
  • 英国政府机构遭到勒索软件攻击,两项服务被迫暂停


能源威胁情报
  • 巴西两大电力公司 Eletrobras 和 Copel 遭到勒索软件攻击


工控威胁情报

流行威胁情报
  • Rocke 恶意组织利用新型加密劫持软件 Pro-Ocean 对云应用实施攻击
  • Hildegard:针对 Kubernetes 的新 TeamTNT 恶意软件

  • 勒索软件团伙正在利用 VMWare ESXi 漏洞加密虚拟硬


高级威胁情报
  • NightScout 行动:破坏 Android 模拟器 NoxPlayer 更新的新型供应链攻击

漏洞情报
  • SonicWall 设备 0day 漏洞遭黑客利用,现已修复
  • Cisco 小型企业 VPN 路由器中存在关键漏洞,易被用于 RCE 攻击



安全威胁情报周报(02.01-02.07)

金融威胁情报


Oscorp:Android 恶意软件新变种
AddressIntel 的安全专家发现了一种新型的安卓恶意软件,它利用被入侵设备中的可访问性服务来窃取用户的登录凭证和媒体内容,意大利 CERT-AGID 将其称为 Oscorp。Oscorp 是在一个名为 supportapp.com 的域名中被发现的,它从该域名下载了上传到远程服务器的恶意文件 clientassistance.apk。在安装时,要求用户启用可访问服务,该服务将用于访问一系列权限,并与 C2 服务器建立通信,以检索其他命令。攻击者可以通过可访问性服务来读取屏幕上当前显示的内容和输入的内容。Oscorp 会不断重复打开屏幕设置,直到用户启用访问权限和访问设备使用统计数据的权限,进而利用多种功能自动执行特权操作,包括:启用键盘记录器功能、自动获取恶意软件所需的权限和功能、卸载应用程序、拨打电话、发送短信、窃取加密货币、窃取谷歌 2FA 的 PIN 码。CERT-AGID 表示,这种恶意软件主要针对储存敏感信息的应用程序,如银行和即时通讯应用程序。


来源:https://cert-agid.gov.it/news/oscorp-il-solito-malware-per-android/


安全威胁情报周报(02.01-02.07)

骗子诱使 Discord 用户使用伪造的加密货币交易所,窃取敏感信息
骗子们正在打着免费比特币或者以太坊币的幌子来引诱 Discord 用户使用伪造的加密货币交易所。Discord 最初是为玩家创建的,因其方便的“服务器”(社区)、渠道和私人信息系统吸引了从学习小组到共同兴趣俱乐部,包括加密货币的粉丝在内的很多人。骗子们伪装成一个新的交易所,在 Discord 加密货币服务器上寻找受害者,并发送私信,称可向处于困难中的交易者以及新用户免费赠送加密货币。
私信消息中充满表情符号,包含接受礼赠的详细说明(和代码),以及加密货币交易所的注册链接。这个链接是一个伪造的看似合法的加密货币交易所网站,具有自适应布局、精明的设计,以及汇率信息、图表、订单和交易历史,甚至还有技术支持和几种语言选项。与合法交易所的注册流程一样,受害者必须提供身份认证信息,包括联系方式、身份证照片,以及一张带有ID、交易所地址、注册日期和签名的自拍照。注册成功后,受害者会收到承诺的比特币或以太坊币,然而,当受害者试图将其从交易所转移到自己的钱包时,就会被提示需要额外支付0.02比特币,或者等额的以太坊币或美元。事实上这都是骗子的圈套,奖励永远无法提现,而骗子则将窃取的信息汇总成数据库挂到暗网售卖。

安全威胁情报周报(02.01-02.07)


来源:https://www.kaspersky.com/blog/cryptoscam-in-discord/38661/


安全威胁情报周报(02.01-02.07)


Trickbot 银行木马再度升级,新增网络侦察模块
Kryptos Logic 安全研究人员发现,Trickbot 恶意软件已经升级,新增了一个网络侦察模块,可在感染受害者的计算机后对本地网络进行调查。这个名为 masrv 的新模块集成了开源的 masscan 工具,这是一个带有 TCP/IP 栈的大规模端口扫描仪,能够在几分钟内扫描大量互联网。masrv 模块被部署为 Windows DLL 文件,其32位或64位结构取决于恶意软件感染的系统。也就是说 Trickbot 还在测试这个模块,看看使用网络映射是否能帮助他们提高受感染设备的数量和感染设备的效率。受感染设备上的所有信息都会被导出到恶意软件的命令和控制服务器上,让恶意软件操作者来决定发现的机器是否值得添加到僵尸网络中。
Trickbot 首次出现于2016年10月,从那时起它就不断升级,开发新的模块和功能。2020年10月,微软与其他安全公司协作,拿下了 Trickbot C2 服务器。虽然这一操作成功地使 Trickbot 大约 94%的关键基础设施瘫痪了,但要消灭僵尸网络却非常困难。2021年1月,Trickbot 就卷土重来,反弹一系列新的网络钓鱼邮件和诱饵。如今,Trickbot 已经发展成为一种高度危险的恶意软件,甚至成为了其他形式的恶意软件的传播载体。企业尤其要警惕,Trickbot 通过公司网络传播,一旦它获得对域控制器的管理访问权,就会窃取 Active Directory 数据库来收集更多的网络凭证。


来源:https://www.kryptoslogic.com/blog/2021/02/trickbot-masrv-module/




安全威胁情报周报(02.01-02.07)
政府威胁情报


英国政府机构遭到勒索软件攻击,两项服务被迫暂停
英国研究与创新中心(UKRI)发布声明称遭到了勒索软件攻击,导致数据被加密,并影响了两个服务平台,一个是位于布鲁塞尔的英国研究办公室(UKRO)的门户网站,为订阅用户提供信息,另一个是 UKRI 理事会用于同行评审活动的外联网。两项服务都已暂停。攻击事件已在调查中,目前没有证据表明攻击者从 UKRI 的系统中窃取了任何数据,但该机构指出,黑客破坏了授权申请,并审查了外联网服务的信息。

安全威胁情报周报(02.01-02.07)


来源:https://www.bleepingcomputer.com/news/security/uk-research-and-innovation-ukri-suffers-ransomware-attack/




安全威胁情报周报(02.01-02.07)
能源威胁情报


巴西两大电力公司 Eletrobras 和 Copel 遭到勒索软件攻击
近日,巴西两大电力公司 Eletrobras 和 Copel 均遭到了勒索软件攻击,这两起勒索软件攻击都中断了运营,迫使这两家公司暂停了部分系统。
针对 Eletrobras 的攻击发生在其负责核电站建设和运营的子公司 Eletronuclear,攻击活动影响了一些行政网络服务器,但由于核电站的运营与行政网络是断开的,所以其核电站并未受到影响。攻击发生后,该公司隔离了恶意软件,遏制了攻击。
Copel 遭到的攻击是 Darkside 勒索软件团伙所为,黑客称,他们获得了该公司的 CyberArk 解决方案模块的访问管理权限,并通过 Copel 的本地和互联网基础设施替换了明文密码,还获取了超过 1000GB 的Copel 的敏感数据,其中包括网络地图、备份方案和时间表、Copel 主站点的域名区域,以及内部网域。另外,他们还生成窃取了存储 Active Directory (AD) 数据的数据库——NTDS.dit 文件,其中包含关于域内所有用户的用户对象、组、组成员资格和密码散列的信息。目前尚不清楚 Copel 网络的受影响范围,也不清楚黑客是否部署加密程序。但 Copel 的主要系统没有受到影响,电力供应和电信服务继续正常运行。

来源:https://www.bleepingcomputer.com/news/security/eletrobras-copel-energy-companies-hit-by-ransomware-attacks/


安全威胁情报周报(02.01-02.07)
工控威胁情报


恶意软件 Kobalos 瞄准全球高性能计算机
安全公司 ESET 近日发现了一个新的恶意软件并将其命名为 Koblaos,它是一个运行在 Linux、 FreeBSD 和 Solaris 上的后门程序,旨在窃取 SSH 凭据(也称为安全外壳或安全套接字外壳),这是一种加密网络协议,即使在不安全的网络上也可以提供安全的远程登录。一旦恶意软件破坏了一台超级计算机或高性能集群,它就会嵌入系统的 OpenSSH 服务器可执行文件中。ESET 指出,Kobalos 是“通用恶意软件”,但是具有高度通用性,并且具有独特的基础结构,尤其是其 C2 结构,任何被 Kobalos 破坏的系统都可能变成其他被破坏主机的 C2 服务器。除了 Linux、FreeBSD 和 Solaris,安全专家还发现了其能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。Kobalos 后门目前主要渗透了一些精英目标,包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商(ISP)的系统。

安全威胁情报周报(02.01-02.07)


来源:https://www.welivesecurity.com/wp-content/uploads/2021/01/ESET_Kobalos.pdf



安全威胁情报周报(02.01-02.07)

流行威胁情报


Rocke 恶意组织利用新型加密劫持软件 Pro-Ocean 对云应用实施攻击
网络犯罪组织 Rocke 正在使用一种名为 Pro-Ocean 的新型加密劫持恶意软件,针对易受攻击的 Apache ActiveMQ,Oracle WebLogic 和 Redis 安装程序。Pro-Ocean 是 Monero 加密货币挖矿软件的进化版本,它改进了 rootkit 和蠕虫功能,通过利用 Oracle WebLogic(CVE-2017-10271)和 Apache ActiveMQ(CVE-2016-3088)等已知漏洞来攻击云应用程序,其目标包括阿里云和腾讯云。该恶意软件的安装脚本是用 Bash 编写的,并进行了模糊处理,用于执行 Pro-Ocean 矿机部署的准备任务。在安装之前,Pro-Ocean 还试图删除其他恶意软件,如 Luoxk、 BillGates、 XMRig 和 Hashfish。安装后,恶意代码会试图杀死大量占用 CPU 的进程。如果恶意软件在腾讯云或阿里云中运行,它将使用先前恶意软件的确切代码来卸载监视代理程序,以避免被检测到。研究人员认为,攻击者可能会扩大漏洞的范围,以尽可能攻击更多的云应用程序。针对云计算的复杂攻击也将持续增长。

安全威胁情报周报(02.01-02.07)


来源:https://unit42.paloaltonetworks.com/pro-ocean-rocke-groups-new-cryptojacking-malware/

安全威胁情报周报(02.01-02.07)

Hildegard:针对 Kubernetes 的新 TeamTNT 恶意软件
研究人员发现了一种名为 Hildegard 的新恶意软件,TeamTNT 威胁组织正在用它来攻击 Kubernetes 集群。攻击者通过允许匿名访问的错误配置的 kubelet 获得了初始访问权限。一旦进入 Kubernetes 集群,该恶意软件就试图扩散到尽可能多的容器,并最终启动加密劫持操作。Hildegars有很多新功能:使用两种不同的方式来建立 C2 连接: tmate 反向 shell 和中继聊天(IRC)通道;利用已知的 Linux 进程名(bioset)来伪装恶意进程;使用基于 LD_PRELOAD 的库注入技术隐藏恶意进程;在二进制文件中加密恶意有效载荷,使自动静态分析更加困难。该恶意行动于2021年1月被监测到,研究人员认为,该行动可能仍处于侦察和武器化阶段,TeamTNT 组织可能会通过 Kubernetes 环境发起更大规模的加密盗窃攻击,或者从 Kubernetes 集群中运行的应用程序中窃取数据。

安全威胁情报周报(02.01-02.07)


来源:https://unit42.paloaltonetworks.com/hildegard-malware-teamtnt/


安全威胁情报周报(02.01-02.07)


勒索软件团伙正在利用 VMWare ESXi 漏洞加密虚拟硬盘
据悉,勒索软件团伙正在利用 VMWare ESXi 的两个漏洞 CVE-2019-5544 和 CVE-2020-3992 来加密虚拟硬盘。VMware ESXi 是一个管理程序解决方案,允许多个虚拟机共享同一个硬盘存储器。这两个漏洞会影响服务位置协议(SLP)——同一个网络上的设备用来相互发现的协议,允许同一个网络上的攻击者向 ESXi 设备发送恶意的 SLP 请求并控制它,即使攻击者没有设法破坏 ESXi 实例通常向其报告的 VMWare vCenter 服务器。自去年10月以来,RansomExx 勒索软件团伙(也被称为 Defray777)通过瞄准 VMWare 虚拟机扩大了其活动范围。受害者称其虚拟机突然被关闭,然后数据存储中的所有文件被加密(vmdk、vmx、日志),威胁参与者在数据存储层留下勒索信息。研究人员表示,Sprite Spider 勒索软件运营商从2020年7月开始也将目标对准了 ESXi 主机,此外,Babuk Locker 勒索软件团伙也可能实施类似的攻击。


来源:https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/




安全威胁情报周报(02.01-02.07)

高级威胁情报


NightScout 行动:破坏 Android 模拟器 NoxPlayer 更新的新型供应链攻击
1月,ESET 披露了一种新的供应链攻击,攻击者破坏了用于 PC 和 Mac 的 Android 模拟器 NoxPlayer 的更新机制,NoxPlayer 是全球用户超过1.5亿的 BigNox 旗下的一款产品。攻击者破坏了 BigNox 的 HTTP API(api.bignox.com)和文件托管服务器(res06.bignox.com),一旦控制了目标的基础设施,他们就会篡改 API 服务器中 NoxPlayer 更新的下载 URL,以提供受污染的更新。ESET 报告称,供应链中发现了3个不同的恶意软件家族,通过定制的恶意更新渠道分发给选定的受害者,其目的并不是为了获取经济利益,而是为了监视。根据 ESET 的数据,超过 10 万名用户在他们的计算机上安装了 NoxPlayer,只有5个用户收到了恶意更新,受害者分布在台湾、香港和斯里兰卡。BigNox 表示,他们已经发布了 NoxPlayer 的更新文件。

安全威胁情报周报(02.01-02.07)


来源:https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/


安全威胁情报周报(02.01-02.07)

漏洞情报


SonicWall 设备 0day 漏洞遭黑客利用,现已修复

NCC Group 日前检测到网络安全设备与服务提供商 SonicWall 的防火墙产品存在一个正在被黑客利用的零日漏洞。SonicWall 随后证实了这一情况,该漏洞影响了其 Secure Mobile Access 100 系列设备与10.x 固件。2月3日,SonicWall 发布了 SMA 100 系列固件 10.2.0.5-29sv 更新补丁。SonicWall 表示无法立即部署补丁的客户还可以启用内置的 Web 应用层防火墙功能,但最好尽快安装补丁。

来源:https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-confirms-sma-100-series-10-x-zero-day-vulnerability-feb-1-2-p-m-cst/210122173415410/

安全威胁情报周报(02.01-02.07)


Cisco 小型企业 VPN 路由器中存在关键漏洞,易被用于 RCE 攻击
思科的小型企业 VPN 路由器中存在高严重漏洞,未经身份验证的远程攻击者可以利用这些缺陷来查看或篡改数据,并在路由器上执行其他未经授权的操作。受影响的设备包括 RV160、RV160W、RV260、RV260P 和 RV260W。该问题总共分配了 7 个 CVE (CVE-2021-1289、 CVE-2021-1290、CVE-2021-1291、CVE-2021-1292、CVE-2021-1293、CVE-2021-1294、CVE-2021-1295)。思科称,出现漏洞的原因是未在管理界面中正确验证 HTTP 请求。攻击者仅通过将特制的 HTTP 请求发送到受影响的路由器的管理接口即可利用这些漏洞。思科在 1.0.01.02 版本的固件中修复了这些漏洞。
思科还警告称,同一组小企业 VPN 路由器存在两个严重漏洞(CVE-2021-1296 和 CVE-2021-1297)。这些漏洞可能允许未经身份验证的远程攻击者发起目录遍历攻击,并覆盖受影响系统上应受限制的某些文件。目录遍历攻击通常针对安全验证不足的设备,目的是访问存储在 Web 根文件夹之外的文件和目录。这两个漏洞也已在 1.0.01.02 版本的固件中得到修复。


来源:https://threatpost.com/cisco-flaws-vpn-routers-rce/163662/







安全威胁情报周报(02.01-02.07)

微步在线

研究响应中心

-长按二维码关注我们-




本文始发于微信公众号(微步在线研究响应中心):安全威胁情报周报(02.01-02.07)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: