APT组织
攻击活动
针对西班牙BBVA 银行客户的攻击活动
俄罗斯建设、住房和公用事业部 网站遭到攻击
漏洞情报
MSDT中的CVE-2022-30190 (Follina) 漏洞
APT组织
Keksec组织针对互联网平台的僵尸攻击活动
Keksec是近些年来一个活跃的黑客组织,因构建Necro、Freakout 、IRCBot等僵尸网络而闻名。该组织主要通过销售黑客软件以及销售DDoS资源的方式获利,倾向于使用Mirai或Gafgyt架构来构建恶意代码,同时会对受害机器宣示自己的主权,告知受害者该机器已被KekSec组织感染。在此次攻击活动中,攻击者利用利凌DVR漏洞传播木马。该漏洞是由于利凌DVR的Web接口存在命令注入缺陷而导致的。经过微步研究人员分析,僵尸网络攻击的payload 涉及到多个平台,对互联网影响较为广泛。
来源:
https://mp.weixin.qq.com/s/dkwMTGkc1Y3Bq1v7S9Xrtg
POLONIUM滥用OneDrive平台的IT供应链攻击
疑似源自黎巴嫩的APT组织POLONIUM入侵了一家位于以色列的云服务供应商,并利用其访问权限来进一步入侵该服务提供商的下游客户。在过去的三个月里,POLONIUM已经破坏了20多个以色列的组织机构和一个在黎巴嫩开展业务的政府组织。攻击者部署了独特的工具,滥用合法的云服务来对受害目标进行命令和控制(C2),通过创建和使用合法的OneDrive帐户,然后将这些帐户用作C2,来执行部分攻击操作。微软研究人员还观察到该组织与隶属于伊朗情报和安全部(MOIS)的APT组织也存在部分TTPs交叉。
来源:
https://www.microsoft.com/security/blog/2022/06/02/exposing-polonium-activity-and-infrastructure-targeting-israeli-organizations/
加密劫持的幕后黑手——WatchDog
Watchdog是一个能够针对Windows与Linux平台发起攻击、主要进行门罗币挖矿的攻击组织。从2019年起就十分活跃,根据分析人员估算,Watchdog通过挖矿获取的利益已经达到数万美元。近期,Watchdog正在针对暴露的Docker Engine API 端点和Redis服务器开展一轮新的加密劫持活动,下图是攻击链示意图。
来源:
https://www.cadosecurity.com/tales-from-the-honeypot-watchdog-evolves-with-a-new-multi-stage-cryptojacking-attack/
Kimsuky组织利用BabyShark组件开展攻击活动
2022年上半年,研究人员发现了疑似来自朝鲜的APT组织Kimsuky,使用一种名为BabyShark组件的发动多起攻击活动。该组件的主要功能是收集受害目标的机密和敏感信息,后续被用于涉及核安全和朝鲜半岛国家安全问题的间谍活动,以及通过渗透加密行业获取经济收益的攻击活动。该组件的隐蔽性强,利用短链接请求后续数据,增加了溯源难度。下图是本次攻击流程图。
来源:
https://mp.weixin.qq.com/s/ZV8AOTd7YGUgCTTTZtTktQ
疑似与TA551有关的钓鱼活动
近日,HP的威胁研究人员披露了一起攻击者通过钓鱼邮件向目标发送Microsoft Word 文档 (.doc) 附件的攻击活动。与许多其他恶意软件活动一样,附件文档包含用于执行恶意代码的Visual Basic for Applications (VBA) AutoOpen宏。但与其他Office恶意软件不同的是,该文档不使用PowerShell或MSHTA从Web下载有效载荷。相反,VBA 宏运行存储在文档属性中的shellcode,然后分发并运行SVCReady恶意软件开展攻击活动。研究人员发现用于投递SVCReady的文档的文件名以及使用的诱饵图片名与之前TA551攻击活动存在相似之处。
来源:
https://threatresearch.ext.hp.com/svcready-a-new-loader-reveals-itself/
攻击活动
俄罗斯建设、住房和公用事业部 网站遭到攻击
俄罗斯建设、住房和公用事业部的网站 (minstroyrf.gov.ru) 遭到黑客攻击。被入侵网站出现了一个乌克兰语标语,上面写着“荣耀归于乌克兰”。攻击者还发布了声称属于目标部门网站及其注册用户的数据截图,如下图所示,攻击者要求支付0.5比特币的赎金,以免被盗用户数据泄露。被窃数据的内容包括:用户全名、登录名、电子邮件以及注册时间等。
来源:
https://www.hackread.com/russian-ministry-website-hacked-glory-to-ukraine/
漏洞情报
MSDT中的CVE-2022-30190 (Follina) 漏洞
安全研究人员披露了Microsoft支持诊断工具(MSDT)中的一个新的零日漏洞,编号为CVE-2022-30190。攻击者可以使用Microsoft Office文档利用该漏洞,并允许攻击者在Windows系统上远程执行代码,而受害者甚至无须打开包含漏洞利用的文档。该漏洞被研究人员命名为Follina。
来源:
https://securelist.com/cve-2022-30190-follina-vulnerability-in-msdt-description-and-counteraction/106703/
往期推荐
Eternity Group:一种新兴的APT组织——每周威胁动态第81期(05.13-05.19)
BITTER利用新木马ZxxZ攻击孟加拉国政府——每周威胁动态第80期(05.08-05.12)
原文始发于微信公众号(白泽安全实验室):疑似与TA551有关的钓鱼活动——每周威胁动态第82期(06.05-06.10)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论