安全威胁情报周报(03.01-03.07)

  • A+
所属分类:安全新闻


安全威胁情报周报(03.01-03.07)


一周情报摘要


金融威胁情报

  • 厄瓜多尔财政部和 Banco Pichincha 银行遭勒索软件攻击

  • 比特币钱包被加密僵尸网络用来逃避检测
  • 旨在窃取银行凭证信息的 Gootkit 远控木马正在通过 SEO 进行分发
  • 加密货币交易所 Cryptopia 再次遭到黑客入侵
  • Ursnif 银行木马入侵了100多家意大利银行

政府威胁情报
  • Lazarus 组织正在用 ThreatNeedle 恶意软件瞄准国防工业


工控威胁情报
  • 工业自动化巨头 Rockwell 的软件中爆出关键身份验证绕过漏洞


流行威胁情报
  • ObliqueRAT 利用被劫持的网站开展新的攻击活动
  • 新的 Ryuk 勒索软件变种实现了自我传播功能

高级威胁情报
  • LazyScripter:针对航空业的威胁组织分析

  • Lazarus 组织利用 MATA 框架部署 TFlower 勒索软件


漏洞情报
  • Google 修复了 Android 系统中的远程执行代码关键漏洞



安全威胁情报周报(03.01-03.07)

金融威胁情报


厄瓜多尔财政部和 Banco Pichincha 银行遭勒索软件攻击

一伙名为“Hotarus Corp”的黑客组织对厄瓜多尔财政部和该国最大的银行 Banco Pichincha 进行了黑客攻击,该组织声称窃取了内部数据。Hotarus Corp 勒索软件团伙首先针对厄瓜多尔财政部发起攻击,他们部署了基于 PHP 的勒索软件,对托管在线课程的站点进行加密。攻击发生后不久,威胁参与者在黑客论坛上发布了一个文本文件,其中包含6632个登录名和哈希密码组合。勒索软件团伙向 BleepingComputer 新闻网站透露,他们已经窃取了“敏感的部委信息、电子邮件、员工信息、合同”。在攻击了财政部之后,该组织入侵了厄瓜多尔最大的私人银行 Banco Pichincha,该行表示,攻击者利用已入侵的平台向客户发送网络钓鱼电子邮件,试图窃取敏感信息进行"非法交易"。截至目前,厄瓜多尔财政部和银行均未就此攻击事件给出详细回应。

安全威胁情报周报(03.01-03.07)


来源:https://www.bleepingcomputer.com/news/security/ransomware-gang-hacks-ecuadors-largest-private-bank-ministry-of-finance/


安全威胁情报周报(03.01-03.07)

比特币钱包被加密僵尸网络用来逃避检测
安全公司 Akamai 发现,有一个加密挖矿僵尸网络活动正在利用比特币区块链交易来隐藏其备份的 C2 IP 地址。Akamai 的研究人员表示,通过将一些区块链交易放入一个加密货币钱包中,攻击者可以恢复被孤立的受感染系统,从而创造一种在实际上不可固定和不可审查的介质中分发配置信息的方式。最初的感染始于利用 Hadoop Yarn,Elasticsearch(CVE-2015-1427)和ThinkPHP(CVE-2019-9082)中的远程代码执行漏洞。传递的有效负载使易受攻击的计算机下载并执行恶意的 Shell 脚本。此外,安全研究员还表示,据估计在过去三年中,该活动背后的运营商从未知主机上已开采了超过3万美元的门罗币。

安全威胁情报周报(03.01-03.07)


来源:https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html


安全威胁情报周报(03.01-03.07)

旨在窃取银行凭证信息的 Gootkit 远控木马正在通过 SEO 进行分发
Gootkit 恶意软件于2014年首次发布,是一个以银行凭证盗窃为中心的成熟木马。该基于 Javascript 的恶意软件平台,能够执行一系列秘密活动,包括 Web 注入、键盘记录、屏幕截取、录制视频以及窃取电子邮件和密码。多年来,Gootkit 已衍变成一个日益复杂的加载程序框架。

其感染链采用了复杂的技术,这些技术涉及在属于合法企业的网站上托管恶意 ZIP 存档文件,这些网站经过精心设计,可以使用操纵的搜索引擎优化(SEO)方法出现在搜索查询的顶级结果中。当网站用户点击受感染网站上的 Admin 帐户的链接时,他们会收到一个 ZIP 文件,该文件包含另一个含有 JavaScript 代码的 JS 扩展文件,该文件用于执行网页中的 JavaScript 指令;该攻击中的特定 JS 文件通常在运行时调用 Windows 脚本宿主。

为了确保捕获来自正确地理位置的目标,攻击者会“随时随地”重写网站代码,以使目标国家/地区之外的网站访问者网页上显示正常的 Web 内容,而目标用户网站上显示的是攻击者精心制造的虚假页面。经分析发现,目前犯罪分子已利用该攻击方法在韩国、德国、法国和北美部署一系列恶意软件有效载荷。


来源:https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/


安全威胁情报周报(03.01-03.07)

加密货币交易所 Cryptopia 再次遭到黑客入侵

2019年1月,总部位于新西兰的加密货币交易所 Cryptopia 遭到网络攻击,攻击者窃取了价值约3000万美元的加密货币。目前该交易所正在清算中,但是它再次遭到黑客入侵。据当地新闻网站 Stuff 报道,美国公司 Stakenet 的债权人被警告称,2月1日,约有62,000新西兰元(45,000美元)的 XSN 加密货币已经从其冷钱包中转出。Stuff 网站称,数月之前,一名 Cryptopia 前雇员曾被指控盗取了价值近25万美元的加密货币。


来源:https://securityaffairs.co/wordpress/115099/hacking/cryptopia-hacked-twice.html


安全威胁情报周报(03.01-03.07)

Ursnif 银行木马入侵了100多家意大利银行

Avast Threat Labs 的研究人员最近捕获了疑似 Ursnif 恶意软件的相关受害者的信息。Ursnif 于2007年以银行木马的身份诞生,多年来一直在进化,已成为一个持续不断的威胁。多年来,Ursnif 一直以全球多个国家的用户为目标,通常使用其母语电子邮件诱饵进行传播。Ursnif 对意大利有重大影响。通过对捕获信息的分析,研究人员发现了可用于帮助保护 Ursnif 过去和现在的受害者的信息。分析发现,恶意软件运营商似乎已从 Ursnif 受害者那里窃取了其用户名、密码、信用卡、银行和付款信息。研究人员从这些信息中发现了针对100多家意大利银行的证据。在一起案例中,攻击者从一个匿名的支付处理器中窃取超过1700套凭证。研究人员已与受影响的支付处理器、银行、意大利当局和包括 CERTFin 在内的金融 CERT 分享了他们的发现。


来源:https://blog.avast.com/ursnif-victim-data




安全威胁情报周报(03.01-03.07)
政府威胁情报


Lazarus 组织正在用 ThreatNeedle 恶意软件瞄准国防工业

Kaspersky 于近期披露了 Lazarus 组织的最新攻击活动,发现该组织此次攻击活动中所使用的工具 ThreatNeedle,早在2020年中旬就已经出现。在此次攻击中,使用疫情相关的主题的鱼叉式网络钓鱼邮件作为初始感染媒介,邮件中存在恶意的网络链接,点击该链接会下载一个恶意 Word 文档“Boeing_AERO_GS.docx”。打开恶意文档并允许宏运行后,恶意软件ThreatNeedle将被释放并进行多阶段部署。Kaspersky 将该恶意软件归因到 Lazarus 的Manuscrypt(又名 NukeSped)的高级版本,并表示,此前发现 Lazarus 组织在攻击加密货币企业和移动游戏公司时利用了这一恶意软件。截至目前,已有十几个国家的组织受到该恶意软件的影响。


来源:https://ics-cert.kaspersky.com/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/#_Toc64638330


安全威胁情报周报(03.01-03.07)
工控威胁情报


工业自动化巨头 Rockwell 的软件中爆出关键身份验证绕过漏洞

Claroty 研究小组发现一个严重的身份验证绕过漏洞,可能使黑客能够远程入侵由工业自动化巨头 Rockwell 制造的可编程逻辑控制器。该漏洞编号为 CVE-2021-22681,CVSS 分数为 10.0,影响到 Studio 5000 Logix Designer,RSLogix 5000 和 Rockwell 的许多 Logix 控制器。如果被利用,黑客可以用它来提取秘密的加密密钥。Claroty 研究人员发现,使用这样的密钥可以使黑客远程连接到该公司几乎所有的 Logix 可编程逻辑控制器,并上传恶意代码,从 PLC 下载信息或安装新固件,并且,此漏洞可能使未经授权的第三方工具能够更改控制器的配置或应用程序代码。


来源:https://www.claroty.com/2021/02/25/blog-research-critical-authentication-bypass-in-rockwell-software/


安全威胁情报周报(03.01-03.07)

流行威胁情报


ObliqueRAT 利用被劫持的网站开展新的攻击活动
国外研究人员发现了利用恶意 Microsoft Office 文档传播远程访问木马 ObliqueRAT 的活动。该活动主要针对南亚的组织,攻击者将 ObliqueRAT 有效载荷伪装成看似无害的图像文件,隐藏在受感染网站上,通过恶意宏下载至受感染的主机。自2019年以来一直在运行的远程访问木马通过附加了恶意的 Microsoft Office 文档的电子邮件传播。以前,payload 是嵌入到文档本身中的;现在,如果用户单击附件,他们将被重定向到恶意 URL,在这些 URL 中,payload 被使用隐写术进行了隐藏。一旦感染了系统,ObliqueRAT 就会获取各种信息,包括系统数据,驱动器列表和正在运行的进程列表。

安全威胁情报周报(03.01-03.07)


来源:https://blog.talosintelligence.com/2021/02/obliquerat-new-campaign.html

安全威胁情报周报(03.01-03.07)

新的 Ryuk 勒索软件变种实现了自我传播功能
根据法国国家网络安全局披露,在调查2021年年初的一起攻击案件时,发现了一种新的 Ryuk 勒索软件变种,该样本具有类似蠕虫的功能。凭借这种蠕虫般的自我复制功能,Ryuk 是世界上最高产的勒索软件之一。通过使用计划任务,该恶意软件可以在 Windows 域内的机器之间进行自我传播,传播到受害者本地网络的其他设备上。勒索软件会在本地网络上生成所有可能的 IP 地址,并将其发送给 ICMP ping。它列出了本地 ARP 缓存的 IP 地址,并向它们发送数据包,然后列出了在找到的 IP 上打开的所有共享资源,装入每个 IP,并尝试对其内容进行加密。针对此种勒索软件,报告中提到的解决方法之一是,可以通过更改密码或禁用当前正在使用的用户帐户,然后进行两次 KRBTGT 域密码更改。虽然这会在域上引起许多干扰,并且很可能需要多次重新启动,但也会立即遏制传播。


来源:https://research.checkpoint.com/2021/apomacrosploit-apocalyptical-fud-race/



安全威胁情报周报(03.01-03.07)

高级威胁情报


LazyScripter:针对航空业的威胁组织分析

Malwarebytes 发布研究报告,称在2020年12月发现了一个名为 LazyScripter 的新型威胁组织,该组织自2018年以来一直很活跃,利用不寻常的网络钓鱼策略和工具来进行攻击,攻击目标主要是国际航空运输协会(IATA)的成员、多家航空公司以及计划移民到加拿大寻求工作的个人。LazyScripter 使用称为 Emploader 的 payload 在受害者的设备上部署了 Powershell Empire。但是,该组织最近改用了 Octopus 和 Koadic 恶意软件,二者都是通过包含嵌入式对象(VBScript 或批处理文件)的恶意文档和 ZIP 文件投递的,而非网络钓鱼攻击中常见的宏代码。LazyScripter 的运营者使用了多种技术来诱骗用户点击下载恶意 URL 或附件来感染其设备,其主要目的是从目标受害者那里窃取关键信息和情报。

安全威胁情报周报(03.01-03.07)


来源:https://resources.malwarebytes.com/files/2021/02/LazyScripter.pdf

安全威胁情报周报(03.01-03.07)

Lazarus 组织利用 MATA 框架部署 TFlower 勒索软件

Lazarus 是一个朝鲜背景的黑客组织,据此前 Kaspersky 和 NetLabs 的报道,该组织一直在使用一个多平台恶意软件框架 – MATA,该框架拥有多个组件,包括加载器(Loader)、调度器(Dispatcher)和插件(Plugins)。可针对 Windows、Linux、MacOS 三平台开展攻击。在Sygnia 最近调查的两次勒索软件攻击中,威胁者利用了一种全新的 MATA 变体。这个- MATA 变体被威胁参与者用来分发和执行 TFlower 勒索软件。将 Netlab 和 Kaspersky 的报告以及 Sygnia 的最新发现结合来看,Lazarus 和 TFlower 之间存在联系或协作关系。

安全威胁情报周报(03.01-03.07)


来源:https://www.sygnia.co/mata-framework



安全威胁情报周报(03.01-03.07)

漏洞情报


Google 修复了 Android 系统中的远程执行代码关键漏洞

Google 在最近发布的“2021年3月的 Android 安全公告”中表示,已解决其 Android 操作系统中的37个漏洞,包括系统组件中的关键漏洞。其中,最严重的漏洞 CVE-2021-0397 会影响8.1、9、10 和11版本的 Android 产品,如果攻击者成功利用此漏洞,可以在易受攻击的设备上远程执行恶意代码。此外,还修复了框架中可导致数据泄露的漏洞 CVE-2021-0391 和 CVE-2021-0398,以及影响了 Qualcomm 闭源组件的多个严重漏洞(CVE-2020-11192、 CVE-2020-11204、CVE-2020-11218、CVE-2020-11227 和 CVE-2020-11228)。


来源:https://source.android.com/security/bulletin/2021-03-01


*声明:本文内容援引自国外媒体,不代表微步在线立场和观点。


内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”



安全威胁情报周报(03.01-03.07)

微步在线

研究响应中心

-长按二维码关注我们-




本文始发于微信公众号(微步在线研究响应中心):安全威胁情报周报(03.01-03.07)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: