安全威胁情报周报(02.08-02.10)

  • A+
所属分类:安全新闻

安全威胁情报周报(02.08-02.10)


一周情报摘要


金融威胁情报

  • DanaBot 银行木马又有新变种,C2 通讯协议更加复杂

政府威胁情报
  • 英国针对伊斯兰国展开网络攻击

工控威胁情报
  • 黑客入侵美国佛罗里达州城市供水系统,试图“投毒”


流行威胁情报
  • 网络钓鱼攻击又出新花样,使用 Morse 代码隐藏恶意 URL
  • 安卓 APP Barcode Scanner 通过更新变身恶意软件,可劫持1000万台移动设备


高级威胁情报
  • 伊朗 APT 组织 Domestic Kitten 和 Infy 针对特殊人群进行长期间谍活动

漏洞情报
  • Realtek Wi-Fi 模块曝出多个严重漏洞,已在最新版本中修复



安全威胁情报周报(02.08-02.10)

金融威胁情报


DanaBot 银行木马又有新变种,C2 通讯协议更加复杂
ESET 的研究人员发现了 DanaBot 木马的新版本,其 C2 通信协议更加复杂,架构和攻击活动 ID 也有轻微修改。最新版的 DanaBot 在其 C2 通信中使用了 AES 和 RSA 加密算法,通信协议使用了几个加密层。这些更新破坏了现有的基于网络的签名,使得为入侵检测和防御系统编写新规则变得更加困难。另外,如果不访问相应的RSA密钥,就无法解码已发送或已接收的数据包。因此,研究人员无法再使用基于云的分析系统(例如 ANY.RUN)的PCAP文件。DanaBot的早期版本包含一个下载并执行主模块的组件,随后主模块下载并执行插件和配置。但在最新版本中,这两项职责被转移到一个新的加载器组件,该组件用于下载所有插件以及主模块,通过将加载程序组件注册为服务来实现持久性。

安全威胁情报周报(02.08-02.10)


来源:https://www.welivesecurity.com/2019/02/07/danabot-updated-new-cc-communication/




安全威胁情报周报(02.08-02.10)
政府威胁情报


英国针对伊斯兰国展开网络攻击

英国国家通信总局 GCHQ 的负责人向《天空新闻》披露了一项针对伊斯兰国的秘密网络行动。该行动的目标是针对伊斯兰组织的飞行无人机,干扰其手机并影响其宣传能力。同时还警告英国,伊斯兰组织正在利用社交媒体来传播分裂、散布阴谋论、“撕裂社会结构”。伊斯兰国多年来一直在恐吓世界,并利用互联网散布恐怖活动,以改善生活的承诺来吸引新成员。不久前,美国、英国和其他盟友国家对其发起了网络攻击,但这是首次公开承认这个问题。


来源:https://news.sky.com/story/into-the-grey-zone-the-offensive-cyber-used-to-confuse-islamic-state-militants-and-prevent-drone-attacks-12211740




安全威胁情报周报(02.08-02.10)
工控威胁情报


黑客入侵美国佛罗里达州城市供水系统,试图“投毒”

据报道,一黑客入侵美国佛罗里达州奥尔兹马市供水系统,试图进行“投毒”。这名黑客似乎入侵了供水系统的 TeamViewer 软件,获得了对目标计算机的远程访问权限,之后试图提高供水系统中氢氧化钠含量。氢氧化钠这种腐蚀性物质通常只是少量用于城市水源中,用于控制 PH 值,但黑客试图将氢氧化钠百万分比浓度从100提高到危险的11100。这一操作被供水系统员工发现并修正,没有居民因此受到伤害。警方和 FBI 已介入调查此事,尚不清楚黑客来自美国境内还是境外。


来源:https://www.wired.com/story/oldsmar-florida-water-utility-hack/



安全威胁情报周报(02.08-02.10)

流行威胁情报


网络钓鱼攻击又出新花样,使用 Morse 代码隐藏恶意 URL
BleepingComputer 称,从上周起,攻击者在网络钓鱼活动中开始使用新的混淆技术,即使用 Morse 代码将恶意 URL 隐藏在电子邮件附件中,以绕过安全的邮件网关和邮件过滤器。2月2日以来,已发现大量攻击样本。
Reddit 最先披露了这种钓鱼攻击,攻击始于冒充该公司发票的电子邮件,邮件中包含一个 HTML 附件,在文本编辑器中查看附件时,就会看到其中包含将字母和数字映射到 Morse 代码的 JavaScript。然后,脚本将调用 defineMorse() 函数将 Morse  代码字符串解码为十六进制字符串。将此十六进制字符串进一步解码为注入 HTML 页面的 JavaScript 标签。这些注入的脚本与 HTML 附件相结合,包含呈现伪造的 Excel 表格所必需的各种资源,该电子表格会提示登录超时并要求用户再次输入密码。一旦输入了密码,表单将把密码提交到远程站点,攻击者可以在那里收集登录凭据。这个活动具有很强的针对性,攻击者使用 logo.clearbit. com 服务在登录表单中插入收件人公司的 logo,使其更具说服力。如果 logo 不可用,它会使用通用的 Office 365 logo。

目前,已有包括 SGS、Dimensional、Metrohm 在内的11家公司遭到此种网络钓鱼的攻击。由于此类钓鱼邮件使用双扩展名(xlxs 和 HTML)的附件,建议务必启用 Windows 文件扩展名以便更容易地发现可疑附件。


来源:https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/

安全威胁情报周报(02.08-02.10)

安卓 APP Barcode Scanner 通过更新变身恶意软件,可劫持1000万台移动设备
通过一次更新,Google Play 上一个流行的条形码扫描 APP(Barcode Scanner)就变成了恶意软件,能够劫持多达1000万台设备。该条形码扫描器是 Lavabird 开发的一款 Android APP,多年来一直在谷歌的官方应用程序库中可用,安装量超过1000万次,支持二维码识别和条形码生成,是一个非常有用的移动设备实用程序工具。用户安装使用多年都没出现问题,直到最近,有用户抱怨他们的安卓移动设备突然开始出现广告。
Malwarebytes 研究人员调查发现,罪魁祸首是 Barcode Scanner。该 APP 大约在2020年12月4日发布了一个更新版本,将其功能更改为在没有警告的情况下推送广告。Malwarebytes 指出,广告 SDK 可以来自各种第三方公司,以此来为应用程序开发人员提供收入来源。广告 SDK 公司有时可以在终端改变些什么,广告就会变得更具侵略性。但 Barcode Scanner 的问题并非出自第三方广告 SDK 公司。研究人员说,恶意代码是在12月的更新中推送的,并且被严重隐藏以避免被发现。这次更新还使用了与以前纯净版本 APP 相同的安全证书签名。Malwarebytes 向 Google 通报了这一调查结果,Google 已将 Barcode Scanner 从 Google Play 中下架。但是,这并不意味着该 APP 将从受影响的安卓设备中消失,用户需要手动卸载该恶意软件。

安全威胁情报周报(02.08-02.10)


来源:https://www.zdnet.com/article/with-one-update-this-malicious-android-app-hijacked-10-million-devices/




安全威胁情报周报(02.08-02.10)

高级威胁情报


伊朗 APT 组织 Domestic Kitten 和 Infy 针对特殊人群进行长期间谍活动

Checkpoint 与 SafeBreach 展开调查合作,披露了与伊朗相关的两个 APT 组织——Domestic Kitten 和 Infy。这两个组织都对个人的移动设备和 PC 进行了长期的网络攻击和侵入性监视活动。这两个攻击组织仍然处于活跃状态,并不断更新其攻击的手段和技术,以使其入侵活动更难以被发觉。

Check Point 报告表明,Domestic Kitten (又名 APT-C-50 )在过去4年中一直在进行广泛的监视活动,该组织瞄准了伊朗、美国、英国、阿富汗和巴基斯坦等国的1200多人,并已成功感染了600多个设备。目前仍有4项活动仍在进行中,受害者被多种媒介诱骗安装恶意应用程序,包括伊朗博客网站、Telegram 频道,甚至是通过带有恶意应用程序链接的短信。研究人员发现了入侵活动中使用的恶意软件 FurBall,它支持收集设备标识符、获取 SMS 消息和通话记录、使用设备麦克风录音、窃取媒体文件、获取已安装应用程序列表、跟踪设备位置等多种监视功能。恶意软件将从受感染设备收集信息,并上传到C2。

另外,研究报告中还披露了主要针对伊朗持不同政见者的 APT 组织 Infy 的最新工具和作案手法。该组织使用基于 Windows PC 的 Tonnerre 和 Foudre 监视工具,这些工具利用语音录音、从PC和外部存储中窃取文件及其他功能,执行恶意活动。在2020年上半年的恶意活动中,Infy 使用了带有诱使受害者文件的新版 Foudre,与以往诱使受害者点击不同,新版 Foundre 会在受害者关闭文档后运行宏代码。Tonnerre 用于扩展 Foudre 的功能,可能是为了确保它只在需要时才被部署,这可以帮助它逃避检测。


来源:https://blog.checkpoint.com/2021/02/08/of-kittens-and-princes-the-latest-updates-on-two-iranian-espionage-operations/


安全威胁情报周报(02.08-02.10)

漏洞情报


Realtek Wi-Fi 模块曝出多个严重漏洞,已在最新版本中修复

近日, Vdoo 的研究人员披露了 Realtek RTL8195A Wi-Fi 模块存在6个严重漏洞:CVE-2020-9395、CVE-2020-25853、CVE-2020-25854、CVE-2020-25855、CVE-2020-25856、CVE-2020-25857,这些漏洞可被用来获得 root 访问权限并完全控制设备的无线通信。Realtek RTL8195AM 是一款高度集成的单芯片,具有低功耗机制。低功耗 Wi-Fi 模块设计用于嵌入式设备,并被广泛应用于汽车、农业、能源、医疗保健、工业和安全领域。此次披露的漏洞中,最严重的是缓冲区溢出漏洞(CVE-2020-9395),该漏洞使 RTL8195 模块附近的攻击者可以完全接管该模块,而无需知道 Wi-Fi 密码以及该模块是充当 Wi-Fi 接入点还是客户端。这些漏洞影响了 Realtek RTL8195AM 2.0.6 之前的版本,此外,研究人员表示,这些漏洞还会影响其他模块,包括 RTL8711AM,RTL8711AF 和 RTL8710AF。Realtek 已经在最新发布的 RTL8195AM 2.0.8 版本中修复了这些漏洞。


来源:https://thehackernews.com/2021/02/critical-bugs-found-in-popular-realtek.html




声明


本文内容援引自国外媒体,不代表微步在线立场和观点。


安全威胁情报周报(02.08-02.10)

牛年大吉,牛气冲天!

安全威胁情报周报(02.08-02.10)


安全威胁情报周报(02.08-02.10)

微步在线研究响应中心


长按识别二维码 

关注我们


本文始发于微信公众号(微步在线研究响应中心):安全威胁情报周报(02.08-02.10)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: