安全威胁情报周报(03.29-04.02)

  • A+
所属分类:安全新闻


安全威胁情报周报(03.29-04.02)


一周情报摘要


金融威胁情报

  • FS-ISAC 发布2021年金融行业威胁分析报告
  • 加密货币新骗局:利用 Discord 对 DEX 用户发起网络钓鱼攻击

  • Group-IB 警告:欺诈者在 Twitter 上发起针对印尼大型金融机构的大规模运动

  • 疑似巴西保险公司巨头3600万客户数据遭泄露

  • 印度金融科技平台 MobiKwik 疑似发生数据泄露事件,8.2 TB 数据在暗网售卖


政府威胁情报
  • 疑似伊朗黑客冒充以色列科学家监视美国医疗专业人员


能源威胁情报
  • 2020年威胁攻击者最有针对性的行业,能源位居第三


工控威胁情报
  • Ovarro TBox RTUs 爆出漏洞,可使工业系统遭受远程攻击


流行威胁情报
  • 恶意挖矿 Docker 镜像被下载多达2000万次

  • 未知的威胁组织使用 Hades 攻击美国大型跨国组织


高级威胁情报
  • PHP Git 服务器遭入侵,源代码被插后门


漏洞情报
  • NPM 库网络掩码爆出严重漏洞,影响数千个应用程序



安全威胁情报周报(03.29-04.02)

金融威胁情报


FS-ISAC 发布2021年金融行业威胁分析报告
FS-ISAC 近期发布2021年金融行业威胁分析报告,报告中概述了金融行业去年所遭受的威胁攻击,以及对2021年的威胁做出预测。勒索软件和其他勒索攻击是去年金融服务行业最大的危害之一,黑客通过泄露部分数据来威胁受害者付款的这种勒索方式日益普遍,2020年就有100多家金融公司遭到了DDos勒索攻击。报告中指出,国家背景的黑客组织将利用有经济动机的诈骗者建立的通道或其他技术来促进自己的行动。报告中还指出,2020年发生的 SolarWinds 供应链黑客事件对金融领域造成了如同多米诺骨牌般的影响,预计2021年还会有更多的供应链威胁风险。同时还预测,根据2020年的事件,黑客将在某个地区先进行测试攻击,然后再扩展到其他地方。


来源:https://www.fsisac.com/hubfs/GIOReport2021/NavigatingCyber2021.pdf?hsLang=en


安全威胁情报周报(03.29-04.02)

加密货币新骗局:利用 Discord 对 DEX 用户发起网络钓鱼攻击

去中心化交易所,全称 Decentralized Exchange(DEX),指运行在区块链网络上的交易所。去中心化的现货交易是一个基于智能合约的去信任的市场,用户可以通过区块链网络将他们的加密货币兑换成其它加密货币。攻击者伪装成“Uniswap”的官网身份利用 Discord 向用户发送钓鱼信息。钓鱼邮件的内容为:“几种加密货币服务刚刚发起了这样的活动,收件人是此次获奖的幸运者之一。奖品也很丰富:2.5个以太坊和25,000个 ZKSwap 硬币——发布时价值超过75,000美元”。并且在邮件中附带了一个钓鱼链接,该链接使用如 t.co 或 bit.ly 等常用短网址进行跳转以迷惑受害者,此链接会跳转到与 Uniswap 网站非常相似的页面,之后一步一步诱导受害者添加钱包私钥等信息。

安全威胁情报周报(03.29-04.02)

来源:https://www.kaspersky.com/blog/cryptoscam-in-discord-fake-dex-airdrop/39140/


安全威胁情报周报(03.29-04.02)

Group-IB 警告:欺诈者在 Twitter 上发起针对印尼大型金融机构的大规模运动
Group-IB 研究人员发现,利用社交媒体对印尼大型金融机构发起的大规模欺诈活动正在进行中,至少有7家大型金融机构受到波及,影响超过200万印尼银行客户。有不法分子伪装成一些银行的的 Twitter 账号,这些虚假的 Twitter 账号名称以及个人资料照片、标题和描述,伪造的和真的一模一样。受害者在目标银行官方 Twitter 帐户的评论区提出问题后,诈骗者会使用精心伪造的 Twitter 账号立即联系他们。与受害者进行交谈之后,攻击者很快邀请他们在第三方 Messenger、WhatsApp 或 Telegram 中继续对话。在进一步的沟通中,欺诈者会向受害者发送指向在线银行的链接,以此表示解决了他们的问题,并要求他们在此处登录。该链接指向一个仿冒的官方银行网站,用户在该网站上留下了在线银行凭证(用户名,电子邮件,密码),为网络罪犯打开了进入钱包实施犯罪的通道。

安全威胁情报周报(03.29-04.02)

来源:https://www.group-ib.com/media/indonesia-twitter-scam/

安全威胁情报周报(03.29-04.02)

疑似巴西保险公司巨头3600万客户数据遭泄露
近日,在一个受网络犯罪分子欢迎的论坛上出现一则广告帖,以1000美元的价格出售3600万巴西人的数据。这则广告帖表明数据是在2021年1月提取的,帖子中的数据示例似乎印证了这一点。此外,提供的个人数据包括全名、出生日期、公积金和性别。目前还无法确定泄露的数据来自哪家保险公司,如果数据真实,考虑到3600万条记录的大体量,那么它们很可能来自巴西最大的保险公司之一。

安全威胁情报周报(03.29-04.02)

来源:https://www.defcon-lab.org/data-breach-seguradora/

安全威胁情报周报(03.29-04.02)

印度金融科技平台 MobiKwik 疑似发生数据泄露,8.2 TB 数据在暗网售卖
印度移动支付服务商 MobiKwik 疑似发生数据泄露事件,有黑客在暗网出售 8.2TB 数据,声称这些数据来自 MobiKwik。泄露的数据涉及350万用户数据,其中个人敏感数据包括姓名、哈希后的口令、邮件地址、居住地址、GPS 位置信息、安装的 APP 列表、信用卡的部分号码、连接的银行账户和相关的账号、350万用户的 know your customer (KYC,了解你的客户)文档。独立研究员 Rajshekhar Rajaharia 发现了这个泄露的数据库,确认数据似乎是有效的。卖家建立了一个暗网网站,人们可以通过电话号码或电子邮件 ID 进行搜索,并从 8.2 TB 的数据中获取特定结果。该数据库的价格设定价格为1.5 BTC($84k),买家可以获得整个数据库,并使暗网网站下线,从而独占所有内容。卖方声称,数据库中的每个商户条目都可以用来筹集 $500-$1,000 印度货币贷款,因此 1.5 BTC 的投资可能产生高达30亿美元的收益。3月29日,MobiKwik 官方否认了这一数据泄露事件。

安全威胁情报周报(03.29-04.02)

来源:https://www.technadu.com/8-2-tb-sensitive-data-of-mobikwik-users-sold-on-hacker-forum/259858/



安全威胁情报周报(03.29-04.02)
政府威胁情报


疑似伊朗黑客冒充以色列科学家监视美国医疗专业人员
据 Proofpoint 披露,在2020年12月的美国大选活动中,疑似伊朗 TA453 APT 组织发起了一场凭据网络钓鱼活动—— BadBlood。攻击者将失陷的 Gmail 帐户伪装成以色列著名的物理学家,使用该邮箱向医疗专业人员发送了主题为 "Nuclear weapons at a glance: Israel"(核武器一目了然:以色列)的邮件,这些恶意电子邮件包含指向 TA453 控制的域名 1drv[.] casa 的链接。点击该链接会跳转到一个伪造的 OneDrive 下载页面,该页面下载文件名为“CBP-9075.pdf”。当用户点击下载该文档时会进入一个伪造的 Microsoft 登录页面,以窃取用户的登录凭据。BadBlood 主要针对美国和以色列从事遗传、神经学和肿瘤学研究的高级医学专业人士,目的是为窃取医学研究者的成果。

安全威胁情报周报(03.29-04.02)

来源:https://www.proofpoint.com/us/blog/threat-insight/badblood-ta453-targets-us-and-israeli-medical-research-personnel-credential



安全威胁情报周报(03.29-04.02)
能源威胁情报


2020年威胁攻击者最有针对性的行业,能源位居第三
根据 X-Force 威胁情报指数,2020年攻击者最青睐的行业前三分别为金融、制造业和能源行业。能源行业在2020年行业威胁攻击 TOP10 中位居第三,遭受的攻击占比为11.1%。服务器入侵,尤其是利用 CVE-2019-19781 的攻击都在2020年中对能源行业造成了严重的打击。数据窃取与数据泄漏是能源行业的头号威胁,占总数的35%,这凸显了来自信息窃取恶意软件和网络钓鱼攻击的威胁的严重性,其中许多攻击是针对石油和天然气公司的。BEC 攻击、挖矿木马、勒索软件、远程访问木马和服务器访问攻击也影响了能源行业,但没有其他行业那么严重,其中勒索软件攻击仅占对能源行业所有攻击的6%,远低于其他遭受勒索软件攻击的行业。

安全威胁情报周报(03.29-04.02)

来源:https://www.ibm.com/downloads/cas/M1X3B7QG



安全威胁情报周报(03.29-04.02)
工控威胁情报


Ovarro TBox RTUs 爆出漏洞,可使工业系统遭受远程攻击
TBox 是用于监视控制和数据采集(SCADA)应用程序。遥测软件可以远程控制和监视许多关键基础设施部门的资产,例如水、电、石油和天然气、运输和加工行业,可以使用称为 TWinSoft 的软件套件对 TBox 设备进行编程。Claroty 的安全研究员 Uri Katz 检测到 TBox 系统多个高危漏洞,这些漏洞可以造成远程代码执行、拒绝服务等影响。近期美国网络安全与基础设施安全局(CISA)发布相关报告,报告中表示 TBox 远程终端单元 RTU 中发现5个漏洞,分别是:CVE-2021-22640、CVE-2021-22642、CVE-2021-22644、CVE-2021-22646、CVE-2021-22648。受这5个漏洞影响的产品包括 TBox LT2、TBox MS-CPU32、TBox MS-CPU32-S2、TBox MS-RM2、TBox TG2 以及 12.4 之前的所有 TWinSoft 版本和 1.46 之前的 TBox 固件。

安全威胁情报周报(03.29-04.02)

来源:https://www.jioforme.com/a-flaw-in-the-ovarro-tbox-rtu-could-expose-industrial-systems-to-remote-attacks/293948/



安全威胁情报周报(03.29-04.02)

流行威胁情报


恶意挖矿 Docker 镜像被下载多达2000万次
Unit42 的研究人员发现了基于云的加密劫持攻击活动,Docker Hub 中至少有30个恶意镜像被用来传播挖矿木马,下载量达到2000万次。这些恶意镜像中有一半使用了共享的矿池,在两年的时间里已经从挖矿中获得了价值大约20万美元的加密货币,其中占比最多的是 Monero(90%),其他还包括 Grin(6.5%),以及 Aronium(3.2%)。研究人员指出,容器注册表允许用户升级他们的镜像,也可以将新标签上传到注册表。标签用于引用同一镜像的不同版本。特定图像中所有标签唯一的共同点是钱包地址或挖矿池凭证。某些镜像针对不同的 CPU 体系结构或操作系统具有不同的标签,这样攻击者就可以根据受害者的硬件选择最佳的加密矿工。

安全威胁情报周报(03.29-04.02)

来源:https://threatpost.com/malicious-docker-cryptomining-images/165120/


安全威胁情报周报(03.29-04.02)

未知的威胁组织使用 Hades 攻击美国大型跨国组织

Accenture 安全部门发布研究报告,称一个未知的威胁组织正在使用名为 Hades 的变种勒索软件展开网络犯罪活动。该变种勒索软件自2020年12月以来至少已影响3家美国大型跨国组织,受影响的行业主要包括:运输物流、消费产品以及制造分销行业。关于该勒索软件变种,攻击链始于使用合法凭据通过远程桌面协议(RDP)或虚拟专用网络(VPN)对面向 Internet 系统的攻击。在受害者计算机上运行后,恶意代码会创建自己的副本并通过命令行重新启动自身。然后删除副本,并在内存中解压缩可执行文件。然后,该恶意软件在本地目录和网络共享中执行扫描以加密内容。专家注意到,每个 Hades 勒索软件样本均使用不同的扩展名来对其文件进行加密,并丢弃带有文件名“ HOW-TO-DECRYPT- [extension] .txt”的勒索票据。

安全威胁情报周报(03.29-04.02)

来源:https://www.accenture.com/us-en/blogs/cyber-defense/unknown-threat-group-using-hades-ransomware


安全威胁情报周报(03.29-04.02)

高级威胁情报


PHP Git 服务器遭入侵,源代码被插后门
在最新的软件供应链攻击中,3月28日 PHP 官网发布公告称,未知的攻击者破坏了官方的 PHP Git 服务器,并在编程语言的源代码中植入了后门。恶意行为者将两个恶意提交推送到 php-src 存储库中,第一次以 PHP 创建者 Rasmus Lerdorf 本人的名义,第二次则伪装成由著名的 PHP 开发人员和维护者 Nikita Popov 签名。据称,第一次提交正在修复代码中的一个小错误,而第二次提交声称恢复了此修复程序。Popov 在有关危害的公告中说:“我们尚不清楚这是怎么发生的,但是一切都指向 git.php.net 服务器失陷(而不是单个 git 帐户的失陷)” 。针对该事件的调查正在进行中,PHP 官方表示,已停止了 Git .php.net 服务器,并决定将官方 PHP 源代码库迁移到 GitHub 上的镜像存储库中。

安全威胁情报周报(03.29-04.02)

来源:https://news-web.php.net/php.internals/113838https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610



安全威胁情报周报(03.29-04.02)

漏洞情报


NPM 库网络掩码爆出严重漏洞,影响数千个应用程序

流行的 NPM netmask 库爆出严重漏洞。数十万应用使用 netmask 组件解析 IPv4 地址和 CIDR 块或对它们进行比对。截止目前,该组件的周下载量超过300万次,总下载量超过2.38亿次。另外,约27.8万个 GitHub 库依赖于 netmask。近期,国外安全研究人员公开了流行的 netmask 库中的一个漏洞,漏洞编号为 CVE-2021-29418,该漏洞和 netmask 如何处理混合格式的 IP 地址有关,更具体地说,和十进制 IPv4 地址中包含一个前导 0 时有关。根据 IETF 的原始规范,如果前缀为“0”,则 IPv4 地址的某些部分可以解释为八进制。如:“0127.0.0.1”,则会将其视为八进制格式的 IP,结果为“87.0.0.1”。但是 netmask 库忽略了这一点,它将始终将部分视为十进制,这意味着,如果尝试验证 IP 属于某个范围,则对于基于八进制的 IPv4 地址表示将是错误的。有伦理黑客表示经常使用这些转换来绕过反 SSRF 黑名单。

来源:https://www.bleepingcomputer.com/news/security/critical-netmask-networking-bug-impacts-thousands-of-applications/


*声明:本文内容援引自国外媒体,不代表微步在线立场和观点。


我们不差钱,就差一个你~

安全威胁情报周报(03.29-04.02)

阅读全文

安全威胁情报周报(03.29-04.02)


内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”



安全威胁情报周报(03.29-04.02)

微步在线

研究响应中心

-长按二维码关注我们-




戳“阅读原文”,查看更多职位详情

本文始发于微信公众号(微步在线研究响应中心):安全威胁情报周报(03.29-04.02)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: