安全威胁情报周报(02.22-02.28)

  • A+
所属分类:安全新闻

安全威胁情报周报(02.22-02.28)


一周情报摘要


金融威胁情报

  • 数字货币恶意挖掘软件 WatchDog 持续两年的加密劫持活动分析
  • 美国指控3名朝鲜黑客涉嫌在全球范围内实施网络攻击和金融犯罪


政府威胁情报
  • 乌克兰称政府文件管理系统疑遭俄罗斯背景的黑客网络攻击


能源威胁情报
  • 德州奥斯汀能源电力公司发布电话诈骗警告


工控威胁情报
  • Dragos 最新调查:俄罗斯背景的黑客组织多年来一直瞄准美国关键基础设施


流行威胁情报
  • 美国保险商实验室遭受勒索软件攻击
  • APOMacroSploit:新的 Office 恶意软件生成器

  • 新的恶意软件 Silver Sparrow 感染了近3万台 Apple Mac


高级威胁情报
  • IronNetInjector:Turla 的新恶意软件加载工具
  • 海莲花组织利用间谍软件攻击越南人权捍卫者

  • 与俄罗斯有关联的 Gamaredon 黑客组织为其他 APT 组织提供服务


漏洞情报
  • Python 漏洞可能允许远程执行代码攻击



安全威胁情报周报(02.22-02.28)

金融威胁情报


数字货币恶意挖掘软件 WatchDog 持续两年的加密劫持活动分析
近期,Unit42 的研究人员揭露了 WatchDog 的活动。WatchDog 是目前已知的最大和持续时间最长的 Monero 密码劫持行动之一,其名称取自 Linux 的守护进程 watchdogd。该挖矿软件由三部分组成的 Go 语言二进制文件集和 bash 或 PowerShell 脚本文件组成。这些 Go 语言二进制文件会执行一些特定的功能,其中之一会通过监视系统进程和计划任务,以确保挖矿过程不会意外挂起、过载或终止;第二个会从指定的 url 下载一个IP地址列表,然后对这个 IP 列表进行攻击,这一攻击模块包含33个主流的漏洞利用功能和32个远程代码执行功能;最后,第三个 Go 二进制脚本将在 Windows 或 Linux 操作系统上,启动 Powershell 或 bash 脚本挖矿程序。并且,WatchDog 还会卸载掉阿里云安全中心、腾讯云安全中心,同时杀掉已知的一些挖矿进程。

安全威胁情报周报(02.22-02.28)


来源:https://unit42.paloaltonetworks.com/watchdog-cryptojacking/


安全威胁情报周报(02.22-02.28)

美国指控3名朝鲜黑客涉嫌在全球范围内实施网络攻击和金融犯罪
美国司法部发布新闻稿,指控三名朝鲜军事黑客(Jon Chang Hyok,Kim Il 和 Park Jin Hyok)在朝鲜政府的支持下,对全球范围内的金融、娱乐业公司发起攻击,窃取和勒索了价值超过13亿美元的货币和加密货币。这已经不是美国首次对朝鲜黑客提出指控,早在2018年美国就指控 Park Jin Hyok 在朝鲜政府的支持下进行电汇欺诈。新闻稿还指出,这3名黑客对美国机构及企业的攻击长达多年,比如,2020年窃取加密货币公司加密货币,2017年WannaCry2.0勒索软件,2016年孟加拉国等国银行网络攻击欺诈等多起安全事件,最早可以溯源到2014年的索尼电影娱乐公司网络攻击事件。


来源:https://www.justice.gov/opa/pr/three-north-korean-military-hackers-indicted-wide-ranging-scheme-commit-cyberattacks-and




安全威胁情报周报(02.22-02.28)
政府威胁情报


乌克兰称政府文件管理系统疑遭俄罗斯背景的黑客网络攻击

2021年2月24日,乌克兰政府称本国的行政机关电子互动系统(SEIEB)遭到了来自俄罗斯黑客的攻击。该系统是一个门户网站,被用于乌克兰国内大多数行政机关的文件分发。攻击者在该门户网站上传了包含宏病毒的文件,如果用户下载了其中的任意一个文档并允许脚本执行(通常通过按 Office 应用程序中的“启用编辑”按钮),“宏”将秘密下载恶意软件,从而使黑客可以控制受害者的计算机。


来源:https://www.zdnet.com/article/ukraine-reports-cyber-attack-on-government-document-management-system/



安全威胁情报周报(02.22-02.28)
能源威胁情报


德州奥斯汀能源电力公司发布电话诈骗警告

德克萨斯州一电力公司奥斯汀能源公司发布警告称,有不明身份的人员以奥斯汀能源公司的名义,通过电话威胁客户以骗取钱财。骗子告诉客户,如果不立即支付逾期账单(其实是虚构的),电源将会被切断。奥斯汀能源公司表示,他们绝不会致电住宅客户,告知他们紧急截止日期,要求他们提供有关信用卡或电汇的信息,或要求他们使用加密货币或礼品卡等无法追踪的支付方式支付逾期账单。


来源:https://www.bleepingcomputer.com/news/security/texas-electric-company-warns-of-scammers-threatening-to-cut-power/



安全威胁情报周报(02.22-02.28)
工控威胁情报


Dragos最新调查:俄罗斯背景的黑客组织多年来一直瞄准美国关键基础设施

2021年2月24日,工业网络安全公司 Dragos 发布了有关工业控制系统安全状况的年度报告,其中列出了4个新的针对关键基础设施系统的外国黑客组织。Dragos 表示,这些新的黑客组织中有3个以美国的工业控制系统为目标。其中最值得一提的是 Kamacite 组织,Dragos 将其描述为与 GRU 的 Sandworm 合作。Dragos 研究人员表示,Kamacite 过去曾担任 Sandworm 的“访问”团队,专注于在目标网络上站稳脚跟,然后再将访问权移交给另一组 Sandworm 黑客,这些黑客有时会产生破坏性影响。Dragos 表示,Kamacite 曾多次瞄准美国的电力、石油和天然气企业。Kamacite 的主要入侵方式一直是带有恶意软件有效载荷的鱼叉式网络钓鱼邮件,以及暴力破解基于云登录的 Microsoft 服务账户,例如:Office 365 和 Active Directory 以及虚拟专用网络。一旦该组织打开了初始攻击面,便会利用有效的用户帐户来维护访问权限,并使用凭据窃取工具 Mimikatz 进一步入侵受害者的网络。


来源:https://www.wired.com/story/russia-gru-hackers-us-grid/



安全威胁情报周报(02.22-02.28)

流行威胁情报


美国安全认证巨头 UL 遭受勒索软件攻击
UL(Underwriters Laboratories)是美国最大、历史最悠久的安全认证公司,在40多个国家/地区拥有14000名员工和办事处。据悉,UL 于2021年2月13日遭到勒索软件攻击,攻击者对其服务器进行了加密,为防止攻击进一步蔓延,该公司关闭了系统。目前尚不清楚是什么勒索软件组织进行的攻击,以及它们是否偷走了未加密的文件。据 Bleeping 报道称,有知情人士透露,UL 决定不支付赎金,而是从备份中恢复,由于恢复设备需要时间,因此 myUL 客户端门户在恢复时保持离线状态。


来源:https://www.bleepingcomputer.com/news/security/underwriters-laboratories-ul-certification-giant-hit-by-ransomware/

安全威胁情报周报(02.22-02.28)

APOMacroSploit:新的 Office 恶意软件生成器
Check Point 的研究人员发现了一个名为 APOMacroSploit 的新 Office 恶意软件生成器,该恶意软件是一个宏生成器,用于创建网络钓鱼攻击的武器化 Excel 文档。使用 APOMacroSploit 构建器创建的 XLS 文件能够绕过 AV、Windows Defender、AMSIs、Gmail 和其他邮件网络钓鱼检测。当用户打开包含恶意宏的 XLS 文件,XLM 宏会自动从 cutt.ly 下载一个 BAT 文件,并且执行“attrib”命令隐藏 BAT 脚本。攻击者把通过 Start-Sleep 命令对 PowerShell 指令重新排序视为另一种静态规避手段。BAT 脚本文件将检查受害者的 Windows 版本并下载对应版本的 fola.exe,目前已知版本有 Windows 10、Windows 8.1、Windows 8、Windows 7。为避免检测,BAT 脚本将恶意软件位置添加到 Windows Defender 的排除路径中,并在执行恶意软件之前禁用 Windows cleanup。

安全威胁情报周报(02.22-02.28)


来源:https://research.checkpoint.com/2021/apomacrosploit-apocalyptical-fud-race/


安全威胁情报周报(02.22-02.28)

新的恶意软件 Silver Sparrow 感染了近3万台 Apple Mac
安全研究公司 RedCanary 发现两款针对苹果 M1 芯片的恶意软件,Silver Sparrow(银雀)和GoSearch 22,并表示全球近3万台Mac电脑已感染恶意软件 Silver Sparrow。恶意软件通过恶意广告以 PKG 或 DMG 形式的单个独立的安装程序进行分发,它们伪装成合法的应用程序(如:Adobe Flash Player) 或者更新程序。“Silver Sparrow”使用了一个新的手法,它的安装程序包利用 macOS Installer JavaScript API 执行可疑命令。我们曾观察到合法软件正在执行此操作,但这是我们首次在恶意软件中观察到它。这与我们通常在 macOS 中安装恶意程序观察到的行为有所偏差,macOS 恶意程序通常会使用 preinstall 或 postinstall 脚本执行命令。但“Silver Sparrow”利用 JavaScript 中的 system.run() 方法来执行 bash 命令。“Silver Sparrow” 会在磁盘上释放两个新脚本 /tmp/agent.sh 和 ~/Library/Application Support/verx_updater/verx.sh,之后将定时执行 bash 脚本的命令使用 PlistBuddy 创建 plist 文件同时添加到 LaunchAgent,从而达到持久化的目的。

安全威胁情报周报(02.22-02.28)


来源:https://redcanary.com/blog/clipping-silver-sparrows-wings/




安全威胁情报周报(02.22-02.28)

高级威胁情报


IronNetInjector:Turla 的新恶意软件加载工具

Unit42 的研究人员发现,俄罗斯背景的黑客组织 Turla 正在部署一个基于 IronPython 的恶意软件加载器 IronNetInjector 。新的加载器由 IronPython 脚本组成,包含一个 .NET 注入器和一个或多个有效负载,运行脚本时,可以直接利用 .NET Framework API 以及 Python 库的能力来调用 ComRAT.dll(一种远程访问木马)。脚本执行后,两个文件通过 base64 进行解码,然后使用 RijndaelManaged 进行解密,接下来使用 Assembly.Load() 将 .NET 注入器加载到 IronPython 进程中,之后会使用 GetProcessesByName() 方法选择一个进程的 pid,然后将 ComRAT.dll 注入其中。最后,调用注入器的公共方法 Invoke() 和 InvokeVoid(),在  InvokeVoid() 中,传递了 ComRAT 有效负载的导出函数名称 VFEP。由此,. NET 注入器将控制后续的执行。此外,研究人员还发现,该加载器具有混淆恶意软件代码以及加密和解密 NET 注入器和有效载荷的功能。

安全威胁情报周报(02.22-02.28)


来源:https://unit42.paloaltonetworks.com/ironnetinjector/

安全威胁情报周报(02.22-02.28)

海莲花组织利用间谍软件攻击越南人权捍卫者

越南支持的黑客组织 APT32(海莲花),在2018年2月至2020年11月之间针对越南人权捍卫者(HRD)通过间谍软件发起攻击。据 Amnesty 安全实验室透露,海莲花还向越南一个非盈利人权组织(NPO)发起过攻击。该黑客组织使用的间谍软件使他们可以在受感染的系统上读写文档,启动恶意工具和程序从而监视受害者的活动。Amnesty 研究员认为,海洋莲花最近的袭击并不是突发的,而是过去15年来持续不断的攻击活动中的一部分,它也凸显了越南激进分子在国内外捍卫人权所收到的压力。“这种非法监视侵犯了隐私权,扼杀了言论自由。”,“越南政府必须进行独立调查。任何拒绝这样做的行为只会增加人们怀疑政府在‘海莲花’攻击中是同谋的。”

安全威胁情报周报(02.22-02.28)


来源:https://www.amnestyusa.org/wp-content/uploads/2021/02/Click-and-Bait_Vietnamese-Human-Rights-Defenders-Targeted-with-Spyware-Attacks.pdf



安全威胁情报周报(02.22-02.28)

与俄罗斯有关联的 Gamaredon 黑客组织为其他 APT 组织提供服务
据 SECURITYWEEK 报道,Talos 安全研究员发现有新证据表明与俄罗斯相关的 Gamaredon 黑客组织向其他 APT 组织提供服务,类似于犯罪软件团伙。该团伙运营着一个由600多个活动域组成的基础设施,这些域用作第一阶段的 C2,部署第二阶段的有效载荷,并在需要时更新这两个阶段。APT 攻击,即高级可持续威胁攻击,也称为定向威胁攻击,APT 攻击活动通常具有持续性、隐蔽性和针对性,但是根据 Talos 的安全研究员披露,虽然 Gamaredon 被认定为 APT 组织,但该组织的特点则与此相反。此外 Talos 还从该团伙的技术成熟度和攻击的利益关系上做了分析,并且对该团伙的规模做了简单的画像。


来源:https://www.securityweek.com/highly-active-gamaredon-group-provides-services-other-apts




安全威胁情报周报(02.22-02.28)

漏洞情报


Python 漏洞可能允许远程执行代码攻击

据 Python 软件基金会公告,Python 3.8.8 和 3.9.2 版本修复了两个安全漏洞,其中一个 CVE-2021-3177,属于缓冲区溢出漏洞,它可能导致 Python 应用程序中的远程代码执行。根据漏洞描述:Python 3.x 至 3.9.1 在 _ctypes/callproc.c 中的 PyCArg_repr 中存在缓冲区溢出,这可能导致某些接受浮点数作为不可信输入的 Python 应用程序中的远程代码执行,如 c_double 的 1e300 参数所示 .from_param。发生这种情况是因为不安全地使用了 sprintf。影响之所以广泛,是因为 Python 已将其预先安装到了多个 Linux 发行版和 Windows 10 当中。PSF 还表示,虽然该漏洞被列为远程代码执行漏洞,但其被利用的可能性很小,因为在实际利用中完全触发 RCE 需要满足许多其他条件。当然,这仍然可能导致拒绝服务攻击。与此同时,还有 Web 缓存中毒漏洞 CVE-2021-23336。


来源:https://blog.python.org/2021/02/python-392-and-388-are-now-available.html


*声明:本文内容援引自国外媒体,不代表微步在线立场和观点。

1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”



安全威胁情报周报(02.22-02.28)

微步在线

研究响应中心

-长按二维码关注我们-




本文始发于微信公众号(Timeline Sec):安全威胁情报周报(02.22-02.28)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: