安全威胁情报周报(03.15-03.21)

  • A+
所属分类:安全新闻


安全威胁情报周报(03.15-03.21)


一周情报摘要


金融威胁情报

  • 以色列金融公司遭到 Black Shadow 组织攻击,被索要57万美元的赎金
  • 两个加密货币门户网站同时受到 DNS 劫持攻击

  • 智利银金融市场委员会(CMF)遭到黑客攻击

  • 钓鱼邮件伪装成美国国税局投递 Dridex 银行木马


政府威胁情报
  • 安全研究人员发布针对印度政府网站存在严重漏洞的研究报告


能源威胁情报
  • 施耐德电气智能电表爆出两个严重漏洞,现已发布补丁

  • NanoCore 远控木马新攻击,利用 Abobe 图标伪装进行分发

工控威胁情报
  • 针对 IoT 漏洞的新型 Mirai 变体


流行威胁情报
  • DearCry 勒索软件瞄准未打补丁的 Exchange 服务器

  • 鱼叉式网络钓鱼活动分发基于 Nim 编写的恶意软件


高级威胁情报
  • 电子邮件安全公司 Mimecast 遭 SolarWinds 黑客使用 Sunburst 后门攻击


漏洞情报
  • Exchange 漏洞:微软发布一键修复工具后网络攻击升级



安全威胁情报周报(03.15-03.21)

金融威胁情报


以色列金融公司遭到 Black Shadow 组织攻击,被索要57万美元的赎金
近日,Black Shadow 黑客组织攻击了以色列一家大型金融服务公司的数据库,窃取了上万客户的私人信息。该组织在 Telegram 上声称:“我们在此通知您,以色列的 K.L.S CAPITAL  LTD受到了网络攻击。他们的服务器已关闭,我们掌握了其所有客户的信息。我们要陆续泄漏他们的部分数据。部分谈判内容将在稍后发布”。黑客向以色列投资公司索要 10 枚比特币的赎金,但该公司拒绝谈判,最终黑客组织在他们的 Telegram 上泄露了窃取的数据。Black Shadow 组织在去年12月对 Shirbit 保险公司进行了大型网络攻击。

安全威胁情报周报(03.15-03.21)

来源:https://www.ehackingnews.com/2021/03/black-shadow-infiltrates-israeli-fince.html


安全威胁情报周报(03.15-03.21)

两个加密货币门户网站同时受到 DNS 劫持攻击

3月15日,Cream Finance 和 PancakeSwap 服务遭到了 DNS 劫持。据向 The Record 提交消息的人士称,这两个事件的背后是同一攻击者,因为两个网站的 DNS 记录在一分钟之内就被更改了。一旦将 DNS 记录指向攻击者的 IP 地址,访问这两个站点就会被重定向到网络钓鱼站点,在该站点中,攻击者试图使用弹窗来收集访问者的种子短语和私钥。这些种子短语和私钥将使攻击者能够访问客户的加密货币钱包并发起交易以窃取其资金。MalwareHunterTeam 安全研究人员指出,两家公司都通过网络托管公司 GoDaddy 管理其 DNS 记录,虽然攻击者有可能在单独的事件中入侵两家公司的 Web 托管帐户,但攻击者也可能入侵 GoDaddy 员工的帐户以更改 DNS 服务器记录并执行攻击。第二种情况在2020年3月和11月都曾发生过。


来源:https://therecord.media/two-cryptocurrency-portals-are-experiencing-a-dns-hijack-at-the-same-time/


安全威胁情报周报(03.15-03.21)

智利金融市场委员会(CMF)遭到黑客攻击
本周,智利金融市场委员会(CMF)称其 Exchange 遭到攻击并共享了 IOC。有攻击者利用其 Microsoft Exchange 服务器中的 ProxyLogon 漏洞植入 WebShell 之后并试图窃取凭据。CMF 发布了 WebShell 的 IOC 及在受感染服务器上找到的批处理文件。尽管 IOC 对于每个受害者都有不同的文件哈希值,但是在许多攻击中,文件名都是相同的。在许多 ProxyLogon 攻击中都使用了使用名称为“ error_page.asp”和“supp0rt.aspx”的 WebShell,并且大多数情况下都是相同的,仅针对受害者有几处更改。这些文件是 Microsoft Exchange 脱机通讯簿(OAB),其 ExternalUrl 设置已更改为 China Chopper WebShell。通过此 WebShell,威胁参与者可以通过访问 ExternalURL 设置中配置的 URL,在受感染的 Microsoft Exchange 服务器上远程执行命令。批处理文件 test.bat 在 ProxyLogon 攻击中也很常见,用于转储 LSASS 进程的内存以获取 Windows 域凭据。批处理文件还会导出 Windows 域上的用户列表。攻击者使用 comsvcs.dll 将 LSASS 进程的内存转储到 IIS 服务器的 wwwroot 中的文件中。然后,它使用 dsquery 将 Windows 域中的用户列表导出到文件中。然后这些文件被压缩到 wwwroot 中,由威胁参与者远程下载。

安全威胁情报周报(03.15-03.21)

来源:https://www.bleepingcomputer.com/news/security/chiles-bank-regulator-shares-iocs-after-microsoft-exchange-hack/


安全威胁情报周报(03.15-03.21)

钓鱼邮件伪装成美国国税局投递 Dridex 银行木马

据 Cofense 研究人员称,一场利用了美国人对即将到来的1400美元救济金和其他援助(即美国救援法案)的关注的攻击活动在3月开始流传。这些电子邮件冒充美国国税局,使用其官方标志和一个欺骗性的[.]gov的发件人域名,并声称提供财政援助申请。实际上,这些邮件负载的是伪装成援助申请表单的 Dridex 银行木马。Dridex 首次出现于2011年,是目前全球活跃的且技术比较先进的银行木马之一,又被称为 BUGAT 和 Cridex,主要目的是从受感染机器的用户那里窃取网上银行和系统信息,进行欺诈性交易,通常会诱导用户打开钓鱼邮件附件中的 Excel 文档,导致宏激活并下载 Dridex,从而感染计算机并窃取用户信息。在本次发现的活动中,攻击者在邮件中布置了一个写着“获取申请表”的按钮,如果点击,用户就会被带到 Dropbox 帐户,在那里他们会看到一个 Excel 文档,上面写着:填写下面的表格,接受联邦政府的援助。如果要完整地查看这张所谓的国税局表格,受害者会被提示启用内容。Cofense 称,一旦用户这样做,就会触发宏,从而间接触发感染链。

安全威胁情报周报(03.15-03.21)

来源:https://threatpost.com/covid-19-relief-checks-dridex-malware/164853/



安全威胁情报周报(03.15-03.21)
政府威胁情报


安全研究人员发布针对印度政府网站存在严重漏洞的研究报告
上个月,Sakura Samurai 研究人员披露了一部分印度政府的网络系统存在严重漏洞的情况,本周,研究小组报告公开了全部研究结果。研究人员通过子域名收集爆破等方式进行信息收集,然后利用包括 .git 信息泄露、.env 信息泄露、及目录遍历、Struts2 RCE 等漏洞。通过与 NSCS 合作,研究人员还发现处理金融信息的敏感政府系统上存在会话劫持和 RCE 漏洞,这些严重漏洞还泄露了很多敏感信息,包括警察报告法医数据、网站的登录凭证、从印度政府的青年就业计划 Grameen Kaushalya Yojana 或 DDU-GKY 中转出的 13,000 个个人隐私记录等。研究人员还通过进一步渗透获取了一些网站的数据库信息。

安全威胁情报周报(03.15-03.21)

来源:https://johnjhacking.com/blog/indian-government-breach-disclosure/



安全威胁情报周报(03.15-03.21)
能源威胁情报


施耐德电气智能电表爆出两个严重漏洞,现已发布补丁

近期,工业网络安全公司 Claroty 披露了影响施耐德电气公司制造的 PowerLogic 智能电能表中的两个严重漏洞。PowerLogic 是施耐德电气公司推出的一款电能表,不仅用于公共设施,工业公司、医疗组织机构以及数据中心均用它来监控电力网络。施耐德电气的智能电表通过专有的 ION 协议通过 TCP 端口 7700 进行通信,该设备接收的数据包由一个状态机器函数解析,攻击者可以在不进行身份验证的情况下,可以通过构造请求使其在数据包解析过程中触发缓冲区溢出漏洞来进行远程代码执行,其漏洞编号为 CVE-2021-22714。另外一个漏洞 CVE-2021-22713,在其它许多的版本中,由于设备的体系结构不同,无法实现远程代码执行,但是可以强制重启设备。关于该漏洞的更新已发布,为避免造成损失,请尽快打补丁或应用缓解措施阻止潜在攻击。


来源:https://www.claroty.com/2021/03/09/blog-research-schneider-electric-smart-meter-vulnerabilities/

安全威胁情报周报(03.15-03.21)

NanoCore 远控木马新攻击,利用 Abobe 图标伪装进行分发

近期,国外网络安全公司 Trustwave 发现一个新的投递 NanoCore 远控木马的垃圾邮件活动,NanoCore 远控木马使用 Adobe 图标进行伪装,诱使受害者点击下载。NanoCore 远控木马自2013年来一直活跃,旨在从 PC 窃取信息,此种恶意软件已与至少10个国家/地区的攻击活动有关,在2015年针对中东和亚洲能源公司的攻击中就曾出现过该恶意软件。在此次事件中,攻击者通过发送包含“NEW PURCHASE ORDER.pdf*.zipx”恶意附件的电子邮件进行初始入侵。附件是 RA R格式的 Abobe 图像文件,当受害者使用 WinRAR 或 7Zip 解压该文件时,将感染 NanoCore 远控木马。本次发现的垃圾邮件活动与两年前所调查的目标类似,都是通过对恶意的“.zipx”附件进行图标伪装,躲避反病毒软件和电子邮件网关的检测。

安全威胁情报周报(03.15-03.21)


来源:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/image-file-trickery-part-ii-fake-icon-delivers-nanocore/




安全威胁情报周报(03.15-03.21)
工控威胁情报


针对 IoT 漏洞的新型 Mirai 变体
新发现的 Mirai 僵尸网络变种,其针对的是未修补的 D-Link,Netgear 和 SonicWall 设备中的大量漏洞,以及未知的物联网(IoT)小工具中前所未有的漏洞。自2月16日以来,Unit 42 的研究人员就发现该僵尸网络发动的攻击并对其进行了跟踪。研究发现,僵尸网络的作者集成了针对各种目标的多个漏洞的利用程序。此次攻击中除了利用了已知漏洞,还有3个未知漏洞,成功利用后,将调用 wget 实用程序从恶意软件基础结构中下载 shell 脚本。然后 shell 脚本将下载为不同架构编译的多个 Mirai 二进制文件并逐一执行。这些已知的漏洞包括:SonicWall SSL-VPN 远程命令注入漏洞、D-Link DNS-320 防火墙远程命令执行漏洞、CVE-2021-27561、CVE-2021-27562、CVE-2021-22502、CVE-2019-19356,以及 CVE-2020-26919。攻击活动仍在进行,物联网领域仍然是攻击者容易利用的目标,尤其是许多设备或系统中的漏洞。在某些情况下,这可能会带来灾难性的后果。因此,我们强烈建议在可能的情况下及时安装补丁。

安全威胁情报周报(03.15-03.21)

来源:https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/



安全威胁情报周报(03.15-03.21)

流行威胁情报


DearCry 勒索软件瞄准未打补丁的 Exchange 服务器
近日,Sophos 研究人员发现一起利用 Exchange 邮件服务器 ProxyLogon 漏洞部署 DearCry 勒索软件的攻击活动。对 DearCry 样本进行分析发现,该勒索软件并不复杂,样本的二进制文件均未签名,而且没有任何的版本标注信息,也没有对二进制文件进行压缩或混淆。值得注意的是,DearCry- 在受攻击文件中添加的加密标头,与臭名昭著的 WannaCry 所使用的标头相似。DearCry 使用完全独立的加密方法,其公钥嵌入在勒索软件二进制文件中,因此它不必与 C2 服务器取得联系,即可对文件进行加密。研究人员发现这两个样本被发送给不同的受害者,赎金说明中具有不同的唯一标识符,这表明这两个样本似乎是针对每个受害者专门创建的。

安全威胁情报周报(03.15-03.21)

来源:https://news.sophos.com/en-us/2021/03/15/dearcry-ransomware-attacks-exploit-exchange-server-vulnerabilities/

安全威胁情报周报(03.15-03.21)

鱼叉式网络钓鱼活动分发基于 Nim 编写的恶意软件

研究人员发现,TA800 组织在鱼叉式网络钓鱼活动正在分发一种基于 Nim 编程语言的新型恶意软件加载器。由于该种编程语言并不常见,逆向工程师可能不熟悉 Nim 的实现,或者没有专注于开发 Nim 的检测,因此工具和沙箱可能很难分析它的样本,由此该恶意软件可以逃避检测。自2020年4月以来,TA800 主要使用 BazaLoader,但在2021年2月3日,他们分发了这种被Proofpoint 研究人员命名为 NimzaLoader 的新恶意软件。与 BazaLoader 的情况一样,在2月3日发现的活动使用了个性化的电子邮件钓鱼诱饵,其中包含指向 PDF 文档的链接,该链接将收件人重定向到 Slack 上托管的 NimzaLoader 可执行文件。该可执行文件还利用伪造的 Adobe 图标作为其社交工程技巧的一部分,诱骗用户下载恶意软件。恶意软件一旦被打开,就会为攻击者提供对受害者 Windows 系统的访问权限,并具有执行从命令和控制服务器检索的任意命令的功能,包括执行 PowerShell 命令,将 Shellcode 注入到正在运行的进程,甚至部署其他恶意软件。APT28 曾被关联于使用基于 Nim 的加载程序来传递 Zebrocy 恶意软件,而现在,NimzaLoader 的出现表明攻击者正不断改进其恶意软件以避免被发现。

安全威胁情报周报(03.15-03.21)

来源:https://www.proofpoint.com/us/blog/threat-insight/nimzaloader-ta800s-new-initial-access-malware


安全威胁情报周报(03.15-03.21)

高级威胁情报


电子邮件安全公司 Mimecast 遭 SolarWinds 黑客使用 Sunburst 后门攻击

电子邮件安全公司 Mimecast 证实,年初利用 Sunburst 后门攻陷其网络的 SolarWinds 黑客盗走了某些仓库的源代码。Mimecast 公司在关于此次事件的报告中指出,攻击者访问了某些由 Mimecast 公司发布的证书和相关的客户服务器连接信息,还访问了邮件地址和其它联系信息,以及一些通过 hash 加密的凭证。该公司认为,虽然攻击者访问并下载了一些源代码仓库,但是攻击者提取的源代码不完整,且不足以开发出可以运行的 Mimecast 服务版本,目前也未发现源代码遭修改的证据。最后,该公司还表示已成功切断攻击者对环境的访问权限,并给出了一些修复建议,例如:替换所有受影响的证书和密钥;为所有已存储凭据升级加密算法强度;替换公司所有员工、系统和管理员权限,并对员工访问生产系统扩展了基于硬件的双因素认证机制等。


来源:https://www.bleepingcomputer.com/news/security/mimecast-solarwinds-hackers-stole-some-of-our-source-code/


安全威胁情报周报(03.15-03.21)

漏洞情报


Exchange 漏洞:微软发布一键修复工具后网络攻击升级

Microsoft 发布了新的一键式修复工具 Microsoft Exchange 漏洞本地缓解工具 EOMT(the Exchange On-premises Mitigation Tool),以帮助没有安全团队的客户应用这些安全更新。Microsoft 表示已经在 Exchange Server 2013、2016 和 2019 部署中测试了此工具,此新工具旨在为不熟悉补丁程序/更新过程或尚未应用本地 Exchange 安全更新的客户提供临时缓解。此工具不是 Exchange 安全更新的替代品,而是在修补之前减轻与 Internet 连接的本地 Exchange Server 的最大风险的最快,最简单的方法。

来源:https://threatpost.com/microsoft-exchange-cyberattacks-one-click-fix/164817/


*声明:本文内容援引自国外媒体,不代表微步在线立场和观点。


微步在线主机安全产品上线!

微步在线主机安全检测与响应平台 OneEDR 重磅发布!

3月25日,我们将以直播形式进行新产品开箱&答疑,欢迎届时观看!(扫码报名)
P.S. 参与直播,还有更多福利哦~

安全威胁情报周报(03.15-03.21)


我们不差钱,就差一个你~

安全威胁情报周报(03.15-03.21)

阅读全文

安全威胁情报周报(03.15-03.21)


内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”



安全威胁情报周报(03.15-03.21)

微步在线

研究响应中心

-长按二维码关注我们-




戳“阅读原文”,查看更多职位详情

本文始发于微信公众号(微步在线研究响应中心):安全威胁情报周报(03.15-03.21)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: