安全威胁情报周报(07.05~07.11)

  • A+
所属分类:安全新闻

安全威胁情报周报(07.05~07.11)



一周威胁情报摘要

金融威胁情报

  • 比特币网站 Bitcoin.org 遭到 DDoS 攻击

  • 美国保险巨头 AJG 遭到勒索软件攻击,数据发生泄露

  • 南非保险服务提供商 QSure 数据遭泄漏

政府威胁情报

  • 新南威尔士州教育部遭到网络攻击

  • 俄罗斯黑客组织入侵美国共和党全国委员会计算机系统

能源威胁情报

  • 石油公司 bp 发布2020年《bp世界能源统计年鉴》报告

  • 电力合作社 WES 遭到勒索软件攻击

  • 国家发改委、能源局联合发布关于做好新能源配套送出工程投资建设有关事项的通知

工控威胁情报

  • 趋势科技发布《2020年ICS端点威胁报告》

流行威胁情报

  • 拉丁美洲的间谍活动 “Bandidos”

  • 谷歌商店下架多个窃取 FaceBook 密码的木马 App

高级威胁情报

  • Lazarus 组织攻击活动中 TTP 的演变

  • 俄罗斯威胁组织 APT28 发起暴力攻击活动

漏洞情报

  • QNAP 发布 NAS 备份、灾难恢复应用程序中严重漏洞的补丁

勒索专题

  • 美国水务公司 WSSC Water 遭到勒索软件攻击

  • 美国化学品分销商遭到 DarkSide 勒索软件攻击


注:由于篇幅限制,只摘取16篇发布,如想阅读完整版(23篇)周报,后台回复“711”获取。


安全威胁情报周报(07.05~07.11)

金融威胁情报



比特币网站 Bitcoin.org 遭到 DDoS 攻击

安全威胁情报周报(07.05~07.11) Tag:比特币,DDoS
事件概述:
近日,用户名为 Cøbra 在 Twitter 上发表推文称,比特币网站 Bitcoin.org 遭受到大规模的 DDoS 攻击并被要求支付数额不详的比特币赎金。截至推文发表之前,该网站仍可被访问。该网站在去年 12 月成为类似 DDoS 攻击的目标,攻击导致用户在几小时内无法访问 Bitcoin Core 客户端。
全球性的加密货币交易所 Binance 称其去年的 DDoS 攻击是由竞争对手发起的,其主要目的是损耗声誉而不是窃取资金。DDoS 攻击往常主要针对加密货币交易所,但此次针对 Bitcoin.org 网站的 DDoS 攻击似乎不同寻常,因为该网站不包含有关资金或用户的敏感信息,只包含有关 BTC 区块链和加密货币的开源信息。
 安全威胁情报周报(07.05~07.11)

来源:

https://twitter.com/CobraBitcoin/status/1412105666106478595


安全威胁情报周报(07.05~07.11)

美国保险巨头 AJG 遭到勒索软件攻击,数据发生泄露

安全威胁情报周报(07.05~07.11) Tag:保险,AJG,勒索软件,数据泄露
事件概述:
近日,美国保险巨头 AJG 发布了关于勒索事件造成数据泄露的安全通知。AJG 称在去年9月份的时候检测到勒索软件的攻击活动,随即下线了所有系统,启动应急响应协议,向执法部门报告事件,并展开调查。调查发现,此次攻击活动始于2020年6月3日,攻击者可能在此期间内访问或窃取了部分敏感数据,但无法确认具体泄露了哪些信息。由于受影响的系统中存在社会安全号码、税号、护照、出生日期、用户名、密码、金融账户、信用卡信息、电子签名、医疗诊断、索赔等信息,AJG 表示受影响系统中的这些信息可能因此泄露。AJG 在检测到攻击后,当即向美国证券交易所报告了此次事件。目前,AJG 已就此次数据泄露信息事件,紧急通知数据监管当局和所有可能受到影响的客户。
AJG(Arthur J. Gallagher)是一家致力于全球保险经纪和风险管理的公司,其总部位于美国,业务遍及 49 个国家/地区。AJG 在 6 月 30 日的安全事件通知中表示会对此次泄露事件受影响的客户提供免费身份和信用监控服务。

来源:

https://www.documentcloud.org/documents/7219617-AJG-BC-8-K.html


安全威胁情报周报(07.05~07.11)

南非保险服务提供商 QSure 数据遭泄漏

安全威胁情报周报(07.05~07.11) Tag:数据泄露,南非,保险 
事件概述:
外媒于近日称,南非保险服务提供商 QSure 于6月9日遭到黑客攻击,并因此发生数据泄露。QSure 是一家保险服务提供商,为南非保险行业提供收款和保费处理服务,其客户包括大型保险公司和保险经纪人。2021年6月9日,QSure 检测到了未经授权访问其IT基础设施的行为后,立即采取隔离网络、关闭系统等措施,并展开相关调查。

初步调查结果显示,此次攻击事件泄露了该公司客户保单持有人的相关信息,其中包括含有账户持有人姓名、银行账号、银行分行代码。6月17日,该公司向受影响的客户发送电子邮件告知此次数据泄露事件。Hollard (南非私营保险集团)是此次事件受影响的客户之一,Hollard 在接收到数据泄露通知信息后,向其客户表示存储在 QSure 数据库中的信息可能被泄露,并建议客户谨慎透露个人信息。据报道称,QSure 没有公开关于此次攻击活动的发起者和关于系统如何被破坏的详细信息。

来源:

https://techcentral.co.za/data-breach-hits-major-south-african-insurance-player/108637/

 

安全威胁情报周报(07.05~07.11)

政府威胁情报



新南威尔士州教育部遭到网络攻击

安全威胁情报周报(07.05~07.11)Tag:教育部,网络攻击

事件概述:
澳大利亚新南威尔士州教育部门于7月8日发表声明称其遭到网络攻击。教育部长表示为保护学生和教职员工数据的安全,在调查期间会让一些内部系统下线。这些内部系统由于遭到网络攻击,自7月7日晚间起就无法正常使用。教育部长还表示团队正在努力重新启动服务,以确保系统在第3学期开始前及时恢复正常访问,并向老师和家长承诺学生下周在家学习不会受到影响。教育部门就此次攻击活动与新南威尔士州网络安全部门达成密切合作,并将此次攻击事件提交给了新南威尔士州警方和联邦机构。 

来源:

https://education.nsw.gov.au/news/media-releases/nsw-department-of-education-networks-


安全威胁情报周报(07.05~07.11)

俄罗斯黑客组织入侵美国共和党全国委员会计算机系统

安全威胁情报周报(07.05~07.11) Tag:APT29,RNC,拜登
事件概述:
据外媒披露,俄罗斯政府黑客组织于上周入侵了美国共和党全国委员会(RNC)的计算机系统,在同期,一个俄罗斯犯罪组织发起了大规模的勒索攻击。该政府黑客组织属于 APT29,并且与俄罗斯的外国情报机构有关联。APT29 此前被指控在2016年入侵了民主党全国委员会系统,参与 SolarWinds 公司的供应链网络攻击活动,渗透了9个美国政府机构等。RNC 表示并不清楚黑客窃取了哪些数据。随后在得知第三方供应商 Synnex 遭到破坏时,RNC 立即阻止了 Synnex 账户对云环境的访问,并表示 RNC 数据没有受到影响。
美国克里姆林宫随后否认了俄罗斯国家参与 RNC 的入侵说辞,但此次入侵事件和近期勒索软件攻击事件无疑是对拜登政府的挑战。白宫于这周二(7.6)发表声明称拜登在周三与各机构领导人闭门会面讨论打击勒索软件的方法,并将这种风险优先于国家安全和经济安全事项。

来源:

https://www.bloomberg.com/news/articles/2021-07-06/russian-state-hackers-breached-republican-national-committee


安全威胁情报周报(07.05~07.11)

能源威胁情报



石油公司 bp 发布2020年《bp世界能源统计年鉴》报告

安全威胁情报周报(07.05~07.11) Tag:能源,bp,年鉴
事件概述:
当前全球能源转型发展成为主流趋势,清洁低碳转型发展也面临着挑战与机遇。《bp世界能源统计年鉴》将致力于对全球能源数据进行全面的汇总与分析,为当下能源转型的思考与判断提供客观可靠的数据支撑。《bp世界能源统计年鉴》自1951年首次出版至今,记录了过去70年来世界能源的重大事件以及格局变化的沧海桑田。2021年的《bp世界能源统计年鉴》在7月8日在 bp 主办的发布会上全球同步线上发步。该报告将围绕2020年全球能源史上发生的事件,能源转型和实现净零目标过程传递的信息,能源系统发挥作用过程中的经验教训等方面对全球能源数据进行分析。

bp 集团是世界最大私营石油公司之一,也是世界前十大私营企业集团之一,业务范围覆盖全球能源体系,在欧洲、北美、南美、大洋洲、亚洲和非洲均设有经营机构。bp 自上个世纪70年代初开始在中国开展业务,是国内能源行业领先的外商投资企业之一。

 安全威胁情报周报(07.05~07.11)

来源:

https://www.bp.com/content/dam/bp/business-sites/en/global/corporate/pdfs/energy-economics/statistical-review/bp-stats-review-2020-full-report.pdf

 

安全威胁情报周报(07.05~07.11)

电力合作社 WES 遭到勒索软件攻击

安全威胁情报周报(07.05~07.11) Tag:Tag:电力,勒索攻击
事件概述:

外媒于7月7日披露,阿拉巴马州的一家农村电力合作社 WES (Wiregrass Electric Cooperative)于上周遭到勒索软件攻击,导致客户暂时无法访问他们自己的账户。WES 运营负责人表示,此次勒索攻击只影响了一台服务器,合作社数据没有遭到泄露,电力服务提供也没有受到影响。WES 在检测到攻击行为后,对会员账户信息和支付系统进行离线维护。由于系统网站维护链接断开行为,客户可能会遇到间歇性断开服务的问题,但 WES 表示不会为余额为0的预付费账户断开服务。WES 还在通知消息中建议用户关注其社交媒体页面获取进一步更新的消息。

来源:

https://dothaneagle.com/news/no-data-compromised-in-weekend-wec-ransomware-attack/article_e6aa33ca-ddbe-11eb-a088-4fa88fe07349.html#tracking-source=home-top-story-1

 

安全威胁情报周报(07.05~07.11)

国家发改委、能源局联合发布关于做好新能源配套送出工程投资建设有关事项的通知

安全威胁情报周报(07.05~07.11) Tag:碳达峰,碳中和,化石能源
事件概述:
在碳达峰、碳中和的目标背景下,风电、光伏发电装机将快速增长,为更好推动我国能源转型,满足新能源快速增长需求,避免风电、光伏发电等电源送出工程成为制约新能源发展的因素,国家发展改革委办公厅和国家能源局综合司,于6月1日联合发布关于做好新能源配套送出工程投资建设有关事项通知。通知主要围绕高度重视电源配套送出工程对新能源并网的影响,加强电网和电源规划统筹协调,允许新能源配套送出工程由发电企业建设,做好配套工程回购工作,确保新能源并网消纳安全这五方面展开,就风、光项目并网方面提出了有关指导意见。
安全威胁情报周报(07.05~07.11)

来源:

https://baijiahao.baidu.com/s?id=1702686073365228912&wfr=spider&for=pc

 

安全威胁情报周报(07.05~07.11)

工控威胁情报



趋势科技发布《2020年ICS端点威胁报告》

安全威胁情报周报(07.05~07.11) Tag:ICS,勒索软件攻击
事件概述:
随着工业控制系统防护挑战日益严峻,安全漏洞层出不穷,黑客攻击目标将更加清晰。鉴于美国政府将勒索软件攻击视为与恐怖主义同样严重的问题,趋势科技于6月30日发布《2020年ICS端点威胁报告》,致力于研究工控系统的威胁,协助工业企业调整安全措施。
报告内容主要讲述勒索软件仍是 ICS 终端的威胁,利用感染 ICS 端点攻击那些尚未修补 EternalBlue 漏洞的操作系统来从事虚拟加密货币挖矿,蠕虫利用漏洞作为攻击载体在 ICS 端点上传播,ICS 端点存在不同恶意软件威胁,不同国家 ICS 端面临的威胁不同。其中Ryuk(20%)、Nefilim(14.6%)、Sodinokibi(13.5%)和 LockBit(10.4%)的勒索软件攻击活动占了 2020 年所有 ICS 勒索软件感染案例的一半以上。勒索软件仍是 ICS 不可小觑的威胁,勒索软件一旦入侵工控系统,可能导致工厂无法运作,而且会增加企业敏感资料/数据泄露至暗网的风险
 安全威胁情报周报(07.05~07.11)

来源:

https://documents.trendmicro.com/assets/white_papers/wp-2020-report-on-threats-affecting-critical-industrial-endpoints.pdf


安全威胁情报周报(07.05~07.11)

流行威胁情报



拉丁美洲的间谍活动 “Bandidos”

安全威胁情报周报(07.05~07.11) Tag:Bandook,间谍,木马
事件概述:
近日,ESET 研究人员发现了一起利用 Bandook 恶意软件针对西班牙国家企业的攻击活动,并将这次攻击活动命名为 “Bandidos”。此次攻击活动至少从2015年开始,目标集中于委内瑞拉的制造、建筑、医疗保健,以及零售业公司的企业网络,主要目的疑似为监视受害者。研究人员在攻击活动中发现攻击者更改和新增了恶意软件 Bandook 的功能。Bandook 是一种古老的远程访问木马,早在 Manul 活动中曾被用来针对欧洲记者和不同政见者,在2018年的 Dark Caracal 活动中被用来进行间谍活动,在2020年被用作针对各个国家的许多垂直行业的攻击活动。研究人员虽然在委内瑞拉发现了200多次恶意软件植入程序,但尚不能确定此恶意活动是针对特定垂直行业的攻击活动。

技术详情:

在此次攻击活动中,攻击者向目标投递含有 PDF 附件的电子邮件,邮件底部附有委内瑞拉的电话号码,疑似是为了降低受害者的防备心。诱使受害者点击 PDF 附件中的链接,将受害者重定向到云存储服务 PCloud 下载压缩文件,并解压缩释放一个注入恶意软件 Bandook 的 dropper。然后执行 dropper,通过进程挖空注入有效载荷, 加载全局变量,在 C2 上下载含有监视函数的 dec.dll 。最后从全局变量中域名获取 IP 地址,建立 TCP 通信连接,将从受害者主机收集到的计算机名称、用户名、操作系统版本等信息回传给 C2。

 安全威胁情报周报(07.05~07.11)

来源:

https://www.welivesecurity.com/2021/07/07/bandidos-at-large-spying-campaign-latin-america/

 

安全威胁情报周报(07.05~07.11)

谷歌商店下架多个窃取 FaceBook 密码的木马 App

安全威胁情报周报(07.05~07.11) Tag:Android,窃密木马,APP
事件概述:
继谷歌商店下架了8个含有 JOKER 恶意软件的 App 后,谷歌商店再次下架了9个窃取 Facebook 凭据的木马 App。据称,这些恶意 App 已经被下载超过580万次。研究人员表示,虽然此次攻击活动目标锁定于 FaceBook 账户,但这种攻击活动很容易扩展到其他可以加载登录页面的合法网络平台,从各种服务器中窃取登录名和密码。谷歌随后宣布了谷歌商店的新措施,要求 App 开发者开启两步验证(2SA)和双因素身份验证(2FA),进一步加强账户和应用市场的安全管理措施。

技术详情:

这些 Android 木马程序伪装成照片编辑、健身、卜星术等功能齐全的 App,诱使受害者登录他们 FaceBook 账户。当受害者同意并单击登录按钮时,会将受害者重定向到一个看似真实的Facebook登录表单页面,这些木马在启动时从其中一台 C2 服务器收到命令后将合法的 Facebook 登录网页加载到恶意的网页视图中,然后将从 C2 服务器接收到的 JavaScript 加载到同一个网页视图中。该脚本直接用于劫持受害者输入的登录凭据。之后,这个 JavaScript 使用通过 JavascriptInterface 注释提供的方法,将窃取的登录名和密码传递给木马应用程序,然后将数据传输到攻击者的 C2 服务器。受害者登录其帐户后,木马还会从当前授权会话中窃取 cookie,这些 cookie 也会被发送给网络犯罪分子。

 安全威胁情报周报(07.05~07.11)

来源:

https://news.drweb.com/show/?i=14244&lng=en


安全威胁情报周报(07.05~07.11)

高级威胁情报



Lazarus 组织攻击活动中 TTP 的演变

安全威胁情报周报(07.05~07.11) Tag:Lazarus,APT,TTP
事件概述:
AT&T 观察到 Lazarus 组织疑似针对美国和欧洲的工程求职者或从事机密工程的员工开展的新攻击活动。该组织之前主要利用波音、贝宜系统公司的工作信息为诱饵展开攻击活动。从2021年5月到2021年6月,推特用户发现多个与 Lazarus 组织有关的恶意文件,这些恶意文件伪装成莱茵金属、通用汽车、空中巴士(Rheinmetall_job_requirements.doc、General_motors_cars.doc、Airbus_job_opportunity_confidential.doc)文档发起攻击。这三个恶意文档均包含恶意宏,其核心技术是相同的,部分功能是随着攻击目标变化而开发和改进的。

技术详情:

Lazarus APT 组织在上述这些攻击活动,均采用了含有宏且伪装成这些国防承包商和工程公司的恶意文档。在伪装成莱茵金属文档的攻击活动中,宏最显著的特征是拆分前两个字符和其余内容来逃避基于Base64 编码的 MZ 标头的检测,将微软合法执行文件 Certutil.exe 复制并重命名到创建的新文件 C:/Drives 中, 然后使用 Mavinject(合法 Windows 组件)在任何正在运行的进程中执行任意代码注入。

在伪装成通用汽车文档的攻击活动中,该份文件的特点与伪装的莱茵金属文档非常相似,但C&C 通信进行了些许更新,活动中使用的域不再是受感染的域,而是之前注册的域名。恶意文档在尝试执行其所有代码后,宏会向 C2 服务器报告感染状态。根据对 C2 中不同文档的请求,C&C 能够跟踪其执行失败或遇到意外行为的位置。
在伪装成空中巴士文档的攻击活动中,C&C 通信方式与伪装成通用汽车文档的攻击活动相似,然而执行和注入过程却是不同的。文档中的宏使用更新的技术执行提到的有效载荷。攻击者不再使用 Mavinject,而是直接使用 explorer.exe 执行有效载荷。

来源:

https://cybersecurity.att.com/blogs/labs-research/lazarus-campaign-ttps-and-evolution


安全威胁情报周报(07.05~07.11)

俄罗斯威胁组织 APT28 发起暴力攻击活动

安全威胁情报周报(07.05~07.11) Tag:APT28,GRU,俄罗斯

事件概述:
美国国家安全局(NSA)、美国网络安全和基础设施局(CISA)、美国联邦调查局(FBI)和英国国家网络安全中(NCSC)联合发布关于APT28 进行大规模暴力攻击活动的告警信息。在2019年中旬至2021年年初,俄罗斯威胁组织使用 Kubernetes 集群针对包括智囊团、国防承包商、能源公司在内的数百个全球政府组织和企业展开了大规模的匿名暴力攻击活动。部分专家将此次攻击活动归因于俄罗斯总参谋部主要情报局(GRU)第85主要特别服务中心(GTsSS)的26165 部队(也就是APT 28),并且表示此次活动仍在持续进行中。

技术详情:

APT28 在此次攻击活动中的攻击链:利用面向公众的应用(CVE-2020-0688、CVE-2020-17144和微软服务器远程执行代码漏洞)初步接入目标;利用合法的账户凭证提升在受害者内部的权限;通过受感染的 Office 365 云账户、Exchange 账户和 WebShell 在受害者内部实现长久驻留;利用密码喷洒、密码猜测、操作凭证转储获取受害者凭据;使用有效帐户与使用服务器消息块 (SMB) 的远程网络共享进行交互执行远程服务;然后在受害者内部收集本地系统信息、网络设备共享信息、信息存储库的信息、远程电子邮件信息;通过命令与控制通道与恶意 C2 通信;在受害者内部重命名应用程序、匹配合法名称和位置来隐藏威胁组织的踪迹;通过非对称加密协议和限制传输量将收集到的信息回传到 C2。

安全威胁情报周报(07.05~07.11)

来源:

https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/0/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF


安全威胁情报周报(07.05~07.11)

漏洞情报



QNAP 发布NAS 备份、灾难恢复应用程序中严重漏洞的补丁

安全威胁情报周报(07.05~07.11)Tag:QNAP,严重漏洞
事件概述:

继台湾附加存储制造商 QNAP 在4月修复了 HBS 3 Hybrid Backup Sync 备份和灾难恢复应用程序中的一个严重安全漏洞后,于7月6日修复了 NAS 备份、灾难恢复应用程序中的另一个严重漏洞 CVE-2021-28809。CVE-2021-28809 是由于 NAS 设备没有正确限制获取系统资源的访问权限,从而允许恶意攻击者在未经授权的情况下提升权限、远程执行命令或读取敏感信息。据 QANP 称,受到影响的版本为“QTS 4.3.6:HBS 3 v3.0.210507 及更高版本” ,“QTS 4.3.4:HBS 3 v3.0.210506 及更高版本”,“QTS 4.3.3:HBS 3 v3.0.210506 及更高版本”。QNAP 已发布相关影响版本的补丁并建议将受影响的版本更新至最新版本,还表示运行 QTS 4.5.x 和 HBS 3 v16.x 的 QNAP NAS 设备不受此安全漏洞的影响,亦不会受到攻击。

来源:

https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/

 

安全威胁情报周报(07.05~07.11)

勒索专题




2021年7月5日

美国水务公司 WSSC Water 遭到勒索软件攻击

外媒报道称,美国水务公司 WSSC Water 于5月24日遭到了勒索软件攻击,主要系统业务网络并未受到影响,水质并未受到影响。WSSC Water 在检测到恶意病毒后立即删除了勒索软件病毒。勒索软件虽未攻击成功, 但 WSSC Water 部分内部文件遭到了泄露。WSSC 表示将为受影响的客户提供为期五年的信用监控,并免费提供100万美元的身份盗窃保险。

来源:

https://securityaffairs.co/wordpress/119700/cyber-crime/wssc-water-ransomware-attack.html


2021年7月3日

美国化学品分销商遭到 DarkSide 勒索软件攻击

外媒报道称,世界领先的化学品分销公司 Brenntag 公布了2021 年 4 月下旬北美分部泄露的数据信息。Brenntag 在 5 月 13 日称遭到 DarkSide 勒索软件攻击后,及时断开了所有受影响的系统与网络的连接,其社会安全号码、出生日期、驾照号码和医疗信息等数据遭到泄露。

来源:

https://www.bleepingcomputer.com/news/security/us-chemical-distributor-shares-info-on-darkside-ransomware-data-theft/


- END -


关于微步在线研究响应团队

ThreatBook


微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载,请微信后台留言:转载+转载平台+转载文章

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”

 



本文始发于微信公众号(微步在线研究响应中心):安全威胁情报周报(07.05~07.11)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: