安全威胁情报周报(03.22-03.28)

  • A+
所属分类:安全新闻


安全威胁情报周报(03.22-03.28)


一周情报摘要


金融威胁情报

  • Office 365 最新网络钓鱼攻击针对金融服务业高管
  • 美国保险公司 CNA 遭到网络攻击,被迫关闭了网站

  • 外汇交易平台 FBS 服务器存在漏洞,泄露 160 亿条记录


政府威胁情报
  • 650万以色列公民信息遭泄漏


能源威胁情报
  • 美国 GAO 发布告警:配电系统面临网络攻击风险正在增加

  • 能源巨头壳牌公司遭到 Accellion FTA 漏洞利用攻击

工控威胁情报
  • CISA 发布安全公告:GE UR 系列存在多个安全漏洞


流行威胁情报
  • 宏碁遭 REvil 勒索软件攻击,被勒索 5000 万美元

  • Purple Fox 恶意软件新增蠕虫模块感染 Windows 系统


高级威胁情报
  • 与 SolarWinds 关联的 SilverFish APT 组织正在试图利用受害者网络进行沙盒测试


漏洞情报
  • 攻击者正在利用 F5 网络的 BIG-IP 漏洞



安全威胁情报周报(03.22-03.28)

金融威胁情报


Office 365 最新网络钓鱼攻击针对金融服务业高管
据 Area 1 Security 的最新报告显示,一种新的针对保险和金融服务行业高管的网络钓鱼诈骗正在蔓延,其目的是获取这些受害者的 Microsoft 365 凭据并发起商业电子邮件泄密(BEC)攻击。BEC 攻击主要针对商业、政府以及非营利性组织,这种攻击产生的影响巨大,可导致大量企业信息数据丢失,发生安全事件甚至造成财产损失。本次事件中运用的复杂攻击针对的是 C-suite 的高级管理人员、助理和财务部门,并且可以绕过电子邮件安全性和 Office 365 防御。这使攻击者可以将伪造的发票从合法的电子邮件地址发送给供应商,从而可以向攻击者的帐户付款。针对 BEC 攻击,微步在线提示您,可以通过电子邮件认证方法抵御 BEC 攻击。电子邮件认证,即部署可提供电子邮件来源可信度的各种技术,通过验证邮件传输中的邮件传输代理域名的所有权来检测其安全性。

安全威胁情报周报(03.22-03.28)

来源:https://www.area1security.com/blog/microsoft-365-spoof-targets-financial-departments/


安全威胁情报周报(03.22-03.28)

美国保险公司 CNA 遭到网络攻击,被迫关闭了网站

美国商业保险公司 CNA 遭到网络攻击,影响了其业务运营,CNA 被迫关闭了网站。CNA 表示正在努力解决这些问题,尽力减少对用户的影响。有外媒猜测此次攻击可能是由勒索软件攻击引起的。CNA 在其网站的最新声明中表示,此次攻击造成了包括其邮件系统在内的网络中断,安全起见,CNA 已断开系统与网络的连接,而网络仍在继续运行。CNA 已尽可能提供了解决方法,以确保为其被保人和投保人提供服务。同时表示,如果此次事件影响了被保人和投保人的数据,CNA 将直接通知他们。

安全威胁情报周报(03.22-03.28)


来源:https://www.bleepingcomputer.com/news/security/cna-insurance-firm-hit-by-a-cyberattack-operations-impacted/


安全威胁情报周报(03.22-03.28)

外汇交易平台 FBS 服务器存在漏洞,泄露160亿条记录
FBS 是一家国际在线外汇交易平台,在全球190个国家/地区拥有超过40万名合作伙伴和1600万名交易员。近期,国外安全团队在扫描 FBS 服务器时发现了严重的数据泄露,泄露了数百万的机密记录,包括敏感的个人身份信息(PII)、金融信息、政府文件、数字,甚至是明文形式的密码。FBS 存在一个不安全的 ElasticSearch 服务器,其中包含近 20 TB 的数据和超过 160 亿条记录。而且该包含敏感财务数据的服务器处于打开状态,没有任何密码保护或加密,这意味着任何人都可以访问 FBS 的信息。这种境况下,FBS 及其客户均面临威胁,主要包括身份盗窃及诈骗、网络钓鱼和恶意软件、信用卡诈骗、勒索、帐户接管等等。研究人员已将这一发现告知 FBS,FBS 现已增加了相应的应对措施来保障服务器的安全。

安全威胁情报周报(03.22-03.28)

来源:https://www.wizcase.com/blog/fbs-leak-research/



安全威胁情报周报(03.22-03.28)
政府威胁情报


650万以色列公民信息遭泄漏
在以色列举行一院制议会大选的前两天,约650万以色列公民的选民登记和将近318万公民个人信息在网上被泄露,泄露的个人信息包括姓名、电话号码、身份证号码、家庭住址、性别、年龄和政治偏好。目前,数据泄露源头已被锁定为 Elector,这是一个由 Elector Software 公司为以色列政党 Likud 开发的同名应用的网站。一名以色列网络开发人员发现 Elector 网站中存在漏洞,目前尚不清楚泄露的数据是否已被访问。据以色列媒体报道,一名自称 The Israeli Autumn 的威胁分子称对此事负责。

安全威胁情报周报(03.22-03.28)

来源:https://therecord.media/data-of-6-5-million-israeli-citizens-leaks-online/



安全威胁情报周报(03.22-03.28)
能源威胁情报


美国 GAO 发布告警:配电系统面临网络攻击风险正在增加

美国政府问责局(GAO)最新发布了一份报告,描述了网络攻击电网配电系统的风险,以及此类攻击的潜在影响规模。报告显示,虽然能源部(DOE)在2019年电网网络安全问题报告发布后更新了计划,但其尚未在其电网网络安全计划中纳入全面应对配电系统风险的必要措施。例如,DOE 的计划并未解决与供应链有关的分销系统漏洞。GAO 表示,电网的配电系统面临着巨大的网络安全风险——即威胁、漏洞和影响——并且越来越容易受到网络攻击。威胁行为者越来越善于利用这些漏洞进行网络攻击。然而,这种网络攻击对电网配电系统的潜在影响的规模尚不清楚。GAO 指出,网络风险的增加是由于在配电系统中越来越多地使用监视和控制技术,例如工业控制系统(ICS)的远程控制功能,用于电网运营的全球定位系统(GPS) ,以及将联网的消费者设备和分布式能源连接到配电系统网络。


来源:https://www.gao.gov/assets/gao-21-81.pdf

安全威胁情报周报(03.22-03.28)

能源巨头壳牌公司遭到 Accellion FTA 漏洞利用攻击

石油天然气公司壳牌于近日遭到黑客攻击,攻击者利用了 Accellion 文件传输程序(FTA)的零日漏洞。壳牌公司表示,黑客利用 Accellion FTA 的漏洞在全球范围内追踪受害者,获取了一些个人数据以及壳牌利益相关方和子公司的数据。壳牌公司曾使用 FTA 传输大文件。壳牌称到目前为止,没有证据表明该事件已影响到其 IT 系统本身,他们正在与当局和监管机构合作调查这一事件。受此次 Accellion FTA 漏洞影响的受害者还在不断地增加,包括著名律师事务所 Jones Day、新西兰储备银行、哈佛商学院和网络安全公司 Qualys。据称,一个名为 UNC2546 的组织似乎是最初利用 Accellion FTA 零日漏洞的组织,另一个名为 UNC2582 的组织似乎正在使用窃取的数据来勒索受害者。


来源:https://www.cyberscoop.com/shell-accellion-hack-victims/



安全威胁情报周报(03.22-03.28)
工控威胁情报


CISA 发布安全公告:GE UR 系列存在多个安全漏
美国网络安全与基础设施安全局(CISA)发布安全公告,称通用电气公司(GE)的通用继电器(UR)系列电源管理设备中存在多个严重的安全漏洞,受影响的产品可能会被攻击者利用,以访问敏感信息,重启 UR,获得特权访问或导致拒绝服务情况。其中最严重的 CVE-2021-27426 漏洞源于不安全的默认变量初始化。IBM 表示,由于 UR 智能电子设备(IED)组件中的默认变量初始化不安全,受影响的 GE UR 系列产品可能允许远程攻击者绕过安全限制。通用电气称,该漏洞可被远程利用,并且技术门槛很低。GE 已针对以下受影响的设备系列发布了补丁:B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35 和 T60。

安全威胁情报周报(03.22-03.28)

来源:https://us-cert.cisa.gov/ics/advisories/icsa-21-075-02



安全威胁情报周报(03.22-03.28)

流行威胁情报


宏碁遭 REvil 勒索软件攻击,被勒索 5000 万美元
宏碁(Acer)是中国台湾的电子与计算机制造商,近期,该公司遭到 REvil 勒索软件攻击,攻击者要求 Acer 支付 5000 万美元(约合 3.25 亿人民币,历史最高赎金),并且攻击者很可能已经利用 Microsoft Exchange 漏洞进入该公司网络。REvil 勒索软件团伙在其数据泄露站点上宣布他们已经成功入侵宏碁的系统,并公布了宏碁被盗文件的截图,包括财务电子表格、银行结余以及银行往来信息的文档。攻击宏碁表示其定期监控内部 IT 系统,大多数网络攻击都得到有效阻断,并已向多个国家的地方执法机关与数据保护部门上报了近期发现的异常情况。目前调查仍在进行中。REvil 勒索团伙表示,如果宏碁愿意在其指定日期之前付款,他们将对赎金打八折,并在收到赎金后提供解密器、漏洞报告并承诺删除窃取到的文件。

安全威胁情报周报(03.22-03.28)

来源:https://www.bleepingcomputer.com/news/security/computer-giant-acer-hit-by-50-million-ransomware-attack/


安全威胁情报周报(03.22-03.28)

Purple Fox 恶意软件新增蠕虫模块感染 Windows 系统

Purple Fox 首次出现在 2018 年,是一个活跃的恶意软件组织,曾经通过网络钓鱼和漏洞攻击工具将暴露的 Windows 计算机作为攻击目标,现在它已经更新了配置,新增了“蠕虫”功能,可实现扫描并感染 Internet 上的 Windows 系统。GuardicoreLabs 的研究人员已经发现了这种恶意软件的新感染载体,这种病毒通过 SMB 密码暴力破解了面向互联网的 Windows 机器。除了新的蠕虫功能外,Purple Fox 恶意软件还具有 rootkit 和后门功能,允许威胁参与者将恶意软件隐藏在机器上,使其难以检测和删除。一旦蠕虫感染了受害者的机器,它就会创建一个新的服务来建立持久性,并执行一个简单的命令,该命令可以遍历包括 MSI 在内的多个 URL,以便在受损机器上安装 Purple Fox。msiexec 将使用 /i 标志执行,以便从声明中的一个主机下载并安装恶意 MSI 包。它还使用 /Q 标志执行 ‘quiet’,这意味着不需要用户交互。从 2020 年 5 月开始,总共发生了 90,000 起 Purple Fox攻击,感染次数增加了 600%。到目前为止,Purple Fox 已经在一个广泛的僵尸网络上部署了恶意下载程序和其他模块,僵尸网络由近 2,000 台受感染的服务器组成。Purple Fox 同时还利用网络钓鱼活动和网络浏览器漏洞来部署其有效载荷。

安全威胁情报周报(03.22-03.28)

来源:https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/


安全威胁情报周报(03.22-03.28)

高级威胁情报


与 SolarWinds 关联的 SilverFish APT 组织正在试图利用受害者网络进行沙盒测试
SilverFish 是一个高度复杂的网络犯罪组织,针对关键实体(例如能源、国防、政府或《财富》500 强企业等),重点是欧盟和美国。瑞士网络安全公司 Prodaft 在最近的研究中表示,SilverFish 与超过 4,720 个私人和政府组织的入侵有关联,其中包括“财富500强企业、政府部门、航空公司、国防承包商、审计和咨询公司和汽车制造商。SilverFish 专注于网络侦察和数据泄露,并在初始和后期开发活动中使用各种软件和脚本。这些工具包括易于使用的工具,例如 Empire,Cobalt Strike 和 Mimikatz,以及量身定制的 rootkit,PowerShell,BAT 和 HTA 文件。Prodaft 称,SilverFish 攻击者在枚举域时倾向于遵循特定的行为模式,包括运行命令以列出域控制器和受信任的域,以及显示存储的凭据和管理员用户帐户。SilverFish 组织还设计了一个新的恶意软件检测沙箱,该沙箱由实际的企业受害者组成,使攻击者可以在具有不同企业 AV 和 EDR 解决方案的实时系统上测试其恶意载荷。

安全威胁情报周报(03.22-03.28)


来源:https://www.prodaft.com/m/uploads/SilverFish_TLPWHITE.pdf


安全威胁情报周报(03.22-03.28)

漏洞情报


攻击者正在利用 F5 网络的 BIG-IP 漏洞

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。而 F5 BIG-IQ 是一套基于软件的云管理解决方案。该方案支持跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。据国外研究人员发现,有攻击者正在利用 F5 Networks 的 BIG-IP 平台中的一个严重的远程代码漏洞(CVE-2021-22986)。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行如远程命令执行攻击,最终获取服务器最高权限,访问 BIG-IP 的管理界面和自身 IP 地址,并执行任意系统命令,创建或删除文件以及禁用服务。该公司已于3月10日发布了针对该漏洞的补丁程序。Palo Alto Networks 表示 Mirai 僵尸网络变种正在利用该漏洞和 CVE-2020-28188 作为攻击的一部分,但其对该种攻击是否成功并未做任何阐明。

来源:https://www.bankinfosecurity.com/attackers-exploiting-f5-networks-big-ip-vulnerability-a-16238


*声明:本文内容援引自国外媒体,不代表微步在线立场和观点。


我们不差钱,就差一个你~

安全威胁情报周报(03.22-03.28)

阅读全文

安全威胁情报周报(03.22-03.28)


内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”



安全威胁情报周报(03.22-03.28)

微步在线

研究响应中心

-长按二维码关注我们-




戳“阅读原文”,查看更多职位详情

本文始发于微信公众号(微步在线研究响应中心):安全威胁情报周报(03.22-03.28)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: