柠檬鸭进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击

admin 2022年4月9日16:58:03安全新闻评论38 views3919字阅读13分3秒阅读模式
柠檬鸭进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击

柠檬鸭进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击

1

PART

安全资讯

1

---Cash App 向 820 万美国客户通报了数据泄露情况

在一名前雇员访问其账户信息后,现金应用程序将向820万美国现有和以前的客户通知数据泄露

布洛克说,这些报告包括了现金应用客户的全名和与现金应用投资活动相关的经纪账号。对于一些客户来说,报告中还披露了其他信息,包括投资组合价值、持有量,以及一个交易日的交易活动。正如TechCrunch首次报告的那样,数据泄露不包括更敏感的信息,如凭证、社会安全号码和支付信息。布洛克提交的8-K表格中写道:“这些报告不包括用户名或密码、社会安全号码、出生日期、支付卡信息、地址、银行账户信息或任何其他个人身份信息。”

“它们也不包括用于访问现金应用账户的任何安全代码、访问代码或密码。其他现金应用产品和功能(股票活动除外)以及美国以外的客户未受到影响。

【来源】安全客

2

---微软在其云服务中检测到Spring4Shell攻击

微软表示,目前正在跟踪针对其云服务中的关键Spring4Shell(又名SpringShell)远程代码执行(RCE)漏洞的“少量攻击尝试”。

Spring4Shell漏洞(被追踪为CVE-2022-22965)影响了Spring框架,被描述为“最广泛使用的Java轻量级开源框架”。

“微软定期监控针对我们云基础设施和服务的攻击,以更好地保护它们,”微软365 Defender威胁情报团队说。“自从Spring Core漏洞发布以来,我们一直在跟踪针对Spring cloud和Spring Core漏洞的云服务中的少量攻击尝试。”

微软在周一的报告中进一步解释说,攻击者可以通过向运行Spring Core框架的服务器发送精心编制的查询,在Tomcat根目录中创建web外壳,从而利用Spring Core安全漏洞。然后,威胁参与者可以使用此web外壳在受损服务器上执行命令。


【来源】安全客

3

---德国取缔全球最大的暗网市场 Hydra

海德拉市场(Hydra Market)是俄罗斯最著名的黑网贩毒和洗钱平台,其服务器已被德国警方查封。警方还从Hydra的利润中缴获了543枚比特币,目前价值略高于2500万美元。

没收的钱显示了Hydra market的规模,该市场有大约19000个注册卖家账户,为全球至少1700万客户提供服务。在今天的一份公告中,中央打击网络犯罪办公室(ZIT)和德国联邦刑事警察局(BKA)估计,海德拉市场在2020年的营业额为13.5亿美元,成为世界上最大的黑暗市场。

      今天,区块链分析专家椭圆证实了当局扣押的数字资产,追踪行动为88笔交易,总计543.3比特币。除了主要关注的毒品和洗钱服务外,Hydra还提供被盗数据库、伪造文件和黑客雇佣服务。目前,Hydra的主页显示,在协调国际执法努力后,代表位于缅因州法兰克福的总检察长办公室的BKA接管了市场的基础设施。


【来源】安全客

4

---黑客破坏了MailChimp的内部工具,以针对加密客户

电子邮件营销公司MailChimp周日透露,他们遭到黑客袭击,黑客获得了内部客户支持和账户管理工具,以窃取观众数据并进行网络钓鱼攻击。周日上午,Twitter上充斥着Trezor硬件加密货币钱包所有者的报告,他们收到了网络钓鱼通知,声称该公司遭遇了数据泄露。

这些电子邮件促使Trezort的客户通过下载允许窃取存储的加密货币的恶意软件来重置其硬件钱包PIN。Trezor后来透露,MailChimp受到了针对加密货币行业的威胁行为人的威胁,他们发起了网络钓鱼攻击。

     在给BleepingComputer的一封电子邮件中,MailChimp确认,这次攻击比威胁参与者访问Trezor的账户更重要。据MailChimp称,他们的一些员工因社会工程攻击而倒下,导致他们的证件被盗。“3月26日,我们的安全团队意识到一个恶意参与者正在访问面向客户的团队用于客户支持和帐户管理的一个内部工具,”MailChimp CISO,Siobhan Smyth告诉BleepingComputer。“这起事件是由一名外部参与者传播的,他对Mailchimp员工进行了成功的社会工程攻击,导致员工的身份被泄露。”

【来源】安全客

5


---FIN7 黑客改进工具集,与多个勒索软件团伙合作

威胁分析人员已经从2021年底到2022年初编制了FIN 7操作的详细技术报告,显示对手仍然非常活跃、不断发展,并尝试新的货币化方法。FIN7(又称Carbanak)是一位讲俄语、有经济动机的行为者,以其多样化的战术、定制恶意软件和秘密后门而闻名。

虽然该组织的一些成员在2018被起诉,随后在2021对其一位经理进行了判刑,但FI7没有消失,并一直在开发新的隐秘攻击工具。

Mandiant的研究人员根据对新恶意软件样本的分析,发布了一套新的FIN7指标,他们继续观察和跟踪该组织的运作。

根据从一系列网络入侵中收集的证据,分析人员将8个以前怀疑的联合国军司令部组织合并到了FIN7中,这表明了该组织的广泛行动范围。

【来源】安全客

最新漏洞通报
02
PART

01

Tenda AC6缓冲区溢出漏洞



Tenda AC6是中国腾达(Tenda)公司的一款无线路由器。

Tenda AC6存在缓冲区溢出漏洞,该漏洞源于saveParentControlInfo函数中的deviceId参数在内存上执行操作时,未正确验证数据边界,攻击者可利用该漏洞导致任意命令执行。

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:
https://www.tenda.com.cn/download/cata-11.html

【来源】CNVD

02

Google Chromium 安全漏洞


Google Chromium是美国谷歌(Google)公司的一款开源的Web浏览器。

Google Chromium 存在安全漏洞,该漏洞源于window.showSaveFilePicker函数在传递环境变量时将会进行解析并返回给用户环境变量值,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行信息泄露攻击,最终泄露系统环境变量。以下产品及版本受到影响:Windows版本Chrome 92-96、Microsoft Edge 92-96、Opera 78-82。

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop.html

【来源】CNNVD


03
PART

威胁情报

“柠檬鸭”进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击


1

 概述

“LemonDuck”,又名“驱动人生挖矿木马”、“永恒之蓝下载器”、“蓝茶行动”、“黑球行动”,是一种主动更新且强大的恶意软件,主要以其僵尸网络和加密货币挖掘(XMR门罗币)而闻名。现在,LemonDuck的活动除了传统的bot和挖矿之外,还会窃取凭据、移除安全控制、通过电子邮件传播、横向移动,并最终下发更多的恶意工具。

微步情报局近期捕获到多起Zegost变种木马以及伴随的挖矿攻击活动,经过确认,为“LemonDuck”木马的新活动,分析有如下发现:

  • 攻击者依旧使用钓鱼邮件、漏洞利用和USB等移动设备等三种传播方式,在内嵌的母体文件运行获取权限后,通过模块下载进行内网横移,进行大范围扩散传播;
  • 该团伙目前仍十分活跃,近期微步情报局监测到该组织更新了多个模块,包括Zegost变种木马、ClipBanker信息窃取器和挖矿程序等;
  • 通过监控发现,LemonDuck团伙目前已不仅仅局限于构建僵尸网络及挖矿盈利,还增加了信息窃取,发展肉鸡和盗窃钱包等多个恶意行为;
  • 域名注册商大部分为Epik等海外服务商进行模块托管下载且隐藏所有的注册信息,避免被溯源到组织信息;
  • 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。
2

 详情

根据我们对LemonDuck的长期跟踪及关联分析,发现当前该组织是跨平台跨行业多维度进行攻击,危害范围广,详情如下表:

团伙画像

特点

描述

平台

Windows、Linux

攻击目标

制造业、政府、能源、科研教育、IOT厂商

攻击地区

前期主要针对中国

其他国家和地区:美国、俄罗斯、德国、英国、印度、韩国、加拿大、法国和越南

攻击目的

挖矿、植入后门窃密获取利益

攻击向量

暴力破解/钓鱼邮件/漏洞(详见附录)

武器库

Zegost、ClipBanker、XMRig、Mimikatz、PowerDump、freerdp

该团伙系列木马的重大迭代更新:

柠檬鸭进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击

从上述团伙画像和使用木马的版本迭代来看,LemonDuck背后的团伙至少从2018年活跃至今,具备构造僵尸网络、木马开发能力,多平台攻击能力(Windows、Linux)。通过对该团伙使用的武器库进行分析,发现其大量使用开源模块:XMRig、ReflectivePEInjection、FreeRDP、GetPassHashes、SMBGhost等开源项目,使其开发、攻击成本更低。若其感染成功,组建僵尸网络,将形成利用僵尸网络发起大规模DDoS攻击和下载各种威胁木马的隐患。

【来源】微步在线


柠檬鸭进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击
END

柠檬鸭进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击
    数力引领


原文始发于微信公众号(云知云享):柠檬鸭”进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月9日16:58:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  柠檬鸭进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击 http://cn-sec.com/archives/887695.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: