安全威胁情报周报(08.23-08.29)

一周威胁情报摘要

金融威胁情报

FluBot Android 恶意软件针对英国银行展开攻击活动

黑客冒充 OpenSea 员工窃取加密货币资产和 NFT

政府威胁情报

美国国务院遭到网络攻击,“撤离任务”并未受到影响

极端主义黑客组织Kiber Partizany针对白俄罗斯内政部展开攻击

能源威胁情报

能源行业上半年发展报告

《关键信息基础设施安全保护条例》将实施

工控威胁情报

Realtek 路由器曝出漏洞后,被 Mirai 僵尸网络武器化

ICS 漏洞披露加速,2021年上半年增加了41%

流行威胁情报

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

AT&T 数据库发生泄露,超 7,000 万客户的敏感信息受到影响

高级威胁情报

FIN8 威胁组织在攻击活动中部署新后门

威胁组织利用 Konni RAT 新变种针对俄罗斯发起攻击活动

漏洞情报

雷蛇外围设备存在 0day 漏洞,可轻松获取 Windows10 管理员权限

勒索专题

OnePercent 勒索组织利用 IceID 银行木马展开攻击

诺基亚子公司遭到 Conti 勒索软件攻击

钓鱼专题

Microsoft 凭据网络钓鱼活动:利用虚假的付款承诺窃取凭据

注:由于篇幅限制,本期周报仅精选16篇发布,后台回复“829”可获取完整版周报(21篇)。

金融威胁情报

FluBot Android 恶意软件针对英国银行展开攻击活动

Tag:FluBot,银行

事件概述:

近日,Netcraft 报道指出,自4月以来, FluBot Android 恶意软件针对英国的银行展开攻击活动, HSBC 、Santander 、Lloyds 、Halifax 银行均受到该恶意软件的影响。FluBot 恶意软件于2020年首次出现,主要目标为西班牙银行,近期还曾对澳大利亚、德国和波兰等国家银行展开攻击。

技术详情:

FluBot 恶意软件通过伪装成快递公司的短信消息进行传播,诱使目标点击消息中的链接查询包裹的物流信息。FluBot 恶意软件时而也会伪装成包含恶意链接的 voicemail App 消息通知,诱使目标通过点击链接收听消息,然后将目标重定向到受感染 Web 服务的诱饵页面,诱使目标在其移动设备上安装恶意软件。待受害者成功感染 FluBot 恶意软件后,会要求受害者授予权限,获取受害者联系人列表信息,并通过社会工程进行传播。在此期间,恶意软件还会查询受害者设备中的应用程序信息回传到 C2,提供可下载的覆盖程序。当受害者打开合法的应用程序时,下载的恶意覆盖程序便会覆盖真正应用程序的登录页面,诱使受害者输入账户信息,然后回传到恶意 C2 服务器。

来源:https://news.netcraft.com/archives/2021/08/24/flubot-targets-uk-banks.html

黑客冒充 OpenSea 员工窃取加密货币资产和 NFT

Tag:OpenSea,NFT

事件概述:

近期,外媒报告指出 OpenSea (NFT平台)用户成为黑客组织利用 OpenSea Discord 平台网络钓鱼攻击的目标,黑客组织以此窃取 OpenSea 用户的加密货币资金和 NFT。黑客组织会潜伏在 OpenSea 的 Discord 服务器中,伪装成网站的官方工作人员。这些虚假的工作人员会为 OpenSea 需要帮助的用户提供支持,以此窃取 MetaMask 钱包中的加密货币和 NFT。

技术详情:

当目标加入 Discord 服务并发布请求帮助信息时,潜伏在 Discord 服务器上的恶意攻击者便会开始向目标发送私人消息,这些消息包括请求“OpenSea 支持”。当受害者点击恶意链接重定向到 OpenSea 的虚假页面后,攻击者会以方便工作人员提供支持和指导为由要求受害者打开屏幕共享,并且告知受害者需要同步 MetaMask Chrome 扩展程序与 MetaMask 移动应用程序数据。在此过程中,系统会提示受害者在页面上输入密码,并显示二维码。当受害者扫描二维码后,攻击者便可以获取受害者钱包的访问权限。

来源:https://www.bleepingcomputer.com/news/security/fake-opensea-support-staff-are-stealing-cryptowallets-and-nfts/

政府威胁情报

美国国务院遭到网络攻击,“撤离任务”并未受到影响

Tag:美国,国务院,“撤离任务”

事件概述:

8月22日,福克斯新闻记者在推特上发表推文,称美国国务院近期遭到网络攻击,国防网络司令部(Department of Defense cyber Command)发出可能存在严重漏洞通知。推文还表示截止目前尚不清楚该漏洞于何时被发现,但该漏洞可能是在几周前发现的。国务院还在声明中进一步明确认真履行保护信息的责任,并不断采取措施确保信息受到保护,出于安全原因,目前无法披露任何所谓的网络安全事件的性质或范围。

推文内容还显示,知情人士称虽然国务院因漏洞遭到攻击,但国务院正在进行的美国人和阿富汗盟军难民的撤离任务没有受到影响。

来源:https://twitter.com/JacquiHeinrich/status/1429173369308594192?

极端主义黑客组织Kiber Partizany针对白俄罗斯内政部展开攻击

Tag:内政部,极端主义,白俄罗斯

事件概述:

白俄罗斯一家法院于8月18日宣布一个极端主义组织 “Kiber Partizany(又称为 Cyber Partisans)” 对白俄罗内政部实施了攻击,内政部也于当天将该黑客组织的两个 Telegram 频道认定为“极端主义组织频道”。Kiber Partizany 极端主义组织在 Telegram 上宣布称他们在 “Heatwave” 活动中对白俄罗斯开展了历史上最大的网络攻击活动。随后该组织在 Telegram 频道上发布了宣称是内政部官员对抗议者施暴的录音,并且还发布了疑似是参与镇压的执法人员以及他们的个人数据。该组织在回复法新社的电子邮件中表示攻击活动仍在继续,Kiber Partizany 组织已经从内政部窃取了5 TB 的数据,而且还声称窃取了内政部门和克格勃安全部门(KGB security services)的离线摄像头数据。

截至外媒撰写报道前,内政部尚未证实是否被黑客入侵,白俄罗斯调查委员会和总检察长办公室也没有披露此次事件的详细信息。

来源:https://www.securityweek.com/belarus-brands-group-who-claimed-hack-interior-ministry-extremist

能源威胁情报

能源行业上半年发展报告

Tag:能源行业,碳中和,碳达峰

事件概述:

今年上半年,国内经济运行稳中加固、稳中向好,上半年国内生产总值同比增长12.7%,高于6%以上的预期目标。能源行业作为国民经济基础性行业,在稳增长、保民生、保能源安全等方面发挥着重要作用。在国内经济稳步恢复的背景下,上半年能源行业呈持续恢复态势,行业景气度仍处近年高位。

在能源行业营业收入增长加快,能源产品价格上涨,以及减税降费等调控政策深入落实推进等诸多积极因素的共同作用下,上半年能源行业盈利大幅增长,且两年平均增长率已远高于疫情前同期水平。能源行业作为各行业发展的基础性、保障性行业,随着宏观调控政策和相关产业政策持续发力,呈稳步恢复态势。能源行业在保障经济稳定恢复的同时,重点要做好保供稳价、迎峰度夏等具体工作。下一阶段,需抓住“碳中和、碳达峰”的机遇期,统筹有序确保行业持续稳定高质量发展。

下一阶段主要通过建立健全全国碳排放权交易市场,建设国家级碳排放大数据平台,通过市场机制推动低碳绿色发展;加强新能源配套送出工程投资建设,解决新能源并网消纳矛盾;落实《“十四五”循环经济发展规划》,培育能源产业再制造领军企业;进一步完善分时电价机制等四方面促进实施。

来源:https://baijiahao.baidu.com/s?id=1708959639949397659

《关键信息基础设施安全保护条例》将实施

Tag:关键信息基础设施,能源

事件概述:

为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定《关键信息基础设施安全保护条例》。该条例于2021年7月30日公布,自2021年9月1日起正式实施。

该条例在保护工作总体思路,主要围绕以下三点:

1、坚持问题导向,针对关键信息基础设施安全保护工作当中存在的短板问题、薄弱环节,在细化《中华人民共和国网络安全法》有关规定的基础上,将实践证明比较成熟的一些做法上升为法规制度,为保护工作提供法治保障;

2、压实责任,其中既有运营者的主体责任、保护部门的监督管理责任,也有社会各方面的协同配合和监督责任;

3、要做好与相关法律、行政法规的衔接配套,在网络安全法确立的总框架下,细化相关制度措施,处理好与其他相关法律、行政法规的关系。

《关键信息基础设施安全保护条例》还进一步明确了相关方面的责任,一方面是关键信息基础设施运营者要履行好主体责任,另一面是保护工作部门的责任。

来源:http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm

工控威胁情报

Realtek 路由器曝出漏洞后,被 Mirai 僵尸网络武器化

Tag:僵尸网络,DDoS,Realtek

事件概述:

在 Realtek 路由器被曝出漏洞后,Mirai 僵尸网络就将该漏洞进行武器化。Mirai 僵尸网络将易受攻击的物联网设备(IOT)Realtek 路由器添加到僵尸网络设备中,然后用于发起大规模的 DDoS 攻击。Realtek RTL819xD 芯片组构建的路由器和 Wi-Fi 放大器也发现了该漏洞、许多嵌入式物联网设备中也都运用了 Realtek 芯片组,至少有65家供应商受到该漏洞的影响。这些漏洞可以使未经身份验证的攻击者能够完全破坏目标设备并以最高级别的权限执行任意代码。Mirai 僵尸网络武器化漏洞,发起大规模 DDoS 攻击。

这些漏洞是 IoT Inspector 发现和披露的,其中 CVE-2021-35935 漏洞已在野外被积极利用。Realtek 已经修补了这些漏洞,但使用 Realtek 芯片组的制造商需要一段时间才能将补丁提供给客户。

来源:https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/08/realtek-based-routers-smart-devices-are-being-gobbled-up-by-a-voracious-botnet/

ICS 漏洞披露加速,2021年上半年增加了41%

Tag:ICS,漏洞

事件概述:

据 Claroty 发布的报告显示,随着对关键基础设施和工业企业的网络攻击与日逐增,ICS 安全成为当下的主流问题,工业控制系统(ICS)漏洞披露速度也急剧增加。

2021年上半年披露了637个 ICS 漏洞,比2020年下半年的披露的449个漏洞增加了41%。其中81%的漏洞是受影响供应商的外部来源发现的。2021年上半年披露的漏洞中有71%的漏洞被归类为高危漏洞,这反映了 ICS 资产漏洞暴露的严重性和影响性质及其对运营的潜在风险;90%的漏洞攻击复杂性较低;74%的漏洞不需要特权,攻击者可以在未经授权的情况下执行恶意操作;61%的漏洞可远程利用;65%的漏洞可能导致设备完全丧失可用性,资源拒绝访问;而26%的漏洞要么没有可用的修复版本代码,或者只有部分可以进行修复。

ICS 漏洞披露数量正在显著加速,侧面揭示了工控系统中存在安全漏洞的严重程度,工控威胁与日俱增。

来源:https://www.helpnetsecurity.com/2021/08/23/ics-vulnerability-disclosures-h1-2021/

流行威胁情报

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

Tag:LockBit ,勒索,数据泄露

事件概述:

近日,全球IT咨询巨头埃森哲遭到病毒 LockBit 2.0 版本的攻击,6TB数据被盗,2,500台计算机宕机。埃森哲事件再次将 LockBit 拉入大众的视眼。由于 LockBit 2.0 在近期内异常活跃,其受害者急剧增加,且针对行业扩大化,造成的危害较严重。国内安全公司应加强警惕,警防成为 LockBit 2.0 的受害者。

微步情报局特对此病毒进行深入研究,针对其 LockBit 1.0、LockBit 2.0 和两个版本的样本进行对比分析,客观、全面的剖析 LockBit 病毒的特征,及其版本的差异性,然后从日常防范和发现异常行为两方面提供针对 LockBit 病毒的防范措施与处置建议。

您可以点击查看 “LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者” 文章,或者在后台回复 “LO” 获取 PDF 版。

来源:https://mp.weixin.qq.com/s/0bs9ZkIbEXaAOV2bukoR5w

AT&T 数据库发生泄露,超 7,000 万客户的敏感信息受到影响

Tag:AT&T,数据泄露

事件概述:

近日,臭名昭著的黑客组织 “ShinyHunters” 声称自己可以访问 AT&T 数据库,其中数据库包括超 7,000万客户的敏感信息。ShinyHunters 组织还在暗网论坛上发布售卖 AT&T 的数据的信息,起步价为 200,000 美元。据 Hackread 称,论坛上泄露的 AT&T 样本数据包括客户的全名、地址、邮政编码、出生日期、电子邮件地址、社会安全号码(SSN)信息。

ShinyHunters 黑客组织在该论坛出售 T-Mobile 客户记录数据后,几天之内又继续发布 AT&T 敏感数据的售卖信息。T-Mobile 虽然确认了此次数据泄露事件,但 Hackread 研究人员并未找到 AT&T 与 T-Mobile 数据泄露事件之间的关联。

截至外媒发表报道前,AT&T 尚未对此次数据泄露事件发表评论,但据 AT&T 在给 Hackread 的一份声明中称 AT&T 否认遭到黑客组织入侵。

来源:https://www.hackread.com/att-breach-shinyhunters-database-selling-70-million-ssn/

高级威胁情报

FIN8 威胁组织在攻击活动中部署新后门

Tag:FIN8,APT,后门

事件概述:

FIN8 威胁组织在针对美国某金融机构发起攻击活动后,研究人员在其受害者的感染系统上发现了 FIN8 威胁组织部署的新后门 “Sardonic”。Sardonic 是用 C++ 编写的恶意软件,不仅可以采取措施在受感染的机器上获得持久性驻留,而且还配置了获取系统信息、执行任意命令以及加载和执行附加插件的功能,其结果可被传输到远程攻击者控制的服务器。研究还显示 Sardonic 后门是一个仍在开发中的项目,具有广泛的功能,可帮助威胁组织在不更新组件的情况下即时利用新的恶意软件。

来源:https://www.bitdefender.com/files/News/CaseStudies/study/401/Bitdefender-PR-Whitepaper-FIN8-creat5619-en-EN.pdf

威胁组织利用 Konni RAT 新变种针对俄罗斯发起攻击活动

Tag:Konni,APT,俄罗斯

事件概述:

Malwarebytes 研究人员在今年7月下旬监测到威胁组织利用 Konni RAT 针对俄罗斯的鱼叉式网络钓鱼活动。Konni 是于2014年在野外发现的 RAT,疑似与朝鲜威胁组织 APT37 有关。攻击活动中使用俄语编写的诱饵文档,并且都使用相同的恶意宏进行武器化,诱饵内容为俄罗斯与朝鲜半岛之间的经济贸易和关于俄罗斯和蒙古委员会会议的相关信息。

技术详情:

威胁组织向目标投递包含恶意宏的文档,诱使目标启用宏,调用 Wscript Shell 执行末尾隐藏的 JavaScript 文件(y.js),释放并执行 yy.js 和 y.psl(PowerShell脚本),yy.js 用来存储 y.js 解码后的数据。PowerShell 脚本会导入所需函数,并调用 URLDownloadToFile 函数下载 cabinet 文件。然后,yy.js 负责解压 CAB 文件并删除自身,解压文件包含 check.bat、install.bat、xmlprov.dll、xmlprov.ini 和 xwtpui.dll 文件。恶意攻击者可以通过 xwtpui.dll 用来绕过UAC,获取特权,然后加载 install.bat 、安装 xmlprov.dll。该 DLL 文件经过多重混淆,具有多种反分析技术,并且可以在受害者设备上将自身注册为 ServiceMain 服务。

来源:https://blog.malwarebytes.com/threat-intelligence/2021/08/new-variant-of-konni-malware-used-in-campaign-targetting-russia/

漏洞情报

雷蛇外围设备存在 0day 漏洞,可轻松获取 Windows10 管理员权限

Tag:0day,雷蛇

事件概述:

推特 ID 为 “jonh4t” 的研究人员于8月21日在 Twitter 上发文,称游戏周边装置公司雷蛇的设备存在 0day 漏洞,攻击者可以利用漏洞轻松获取 Windows10 的管理员权限。截至8月22日,雷蛇安全团队表示正在努力修复该漏洞,并且赠予 “jonh4t” 一笔漏洞奖金。

技术详情:

当用户插入 Razer 设备时,Windows 会自动获取包含驱动程序软件和 Synapse 实用程序的安装程序。即插即用的 Razer Synapse 安装后,允许用户在 Windows 设备上快速获得系统权限,因为作为安装程序的一部分,它会打开一个资源管理器窗口,提示受害者指定应安装驱动程序的位置。研究人员分析还发现,如果用户选择更改安装文件夹的默认位置,则会触发“选择文件夹”对话框,右键单击安装窗口并点击 Shift 键,这将打开具有相同提升权限的 PowerShell 终端。

来源:https://twitter.com/j0nh4t/status/1429049506021138437

勒索专题

2021年8月25日

OnePercent 勒索组织利用 IceID 银行木马展开攻击

联邦调查局警告一个自称为 OnePercent 或 1Percent 的勒索软件组织正在利用 IceID 木马和 Cobalt Strike 后门展开攻击,以及扩大影响力。OnePercent 组织与其他知名组织一样,既窃取数据,也会加密公司数据。

来源:https://www.csoonline.com/article/3630635/onepercent-ransomware-group-hits-companies-via-iceid-banking-trojan.html

2021年8月23日

诺基亚子公司遭到 Conti 勒索软件攻击

美国诺基亚子公司 SAC Wireless 披露 Conti 勒索软件攻击事件导致数据发生泄露。Conti 运营商在6月16日在 SAC Wireless 网络上部署有效载荷并加密了SAC 无线系统,SAC Wireless 在8月13日调查发现现任和前任员工的个人敏感信息泄露。Conti 运营商表示窃取了 SACWireless 超过250GB 的数据,如果 SAC Wireless 拒绝支付赎金的话,他们会公布窃取的相关数据。

来源:https://www.bleepingcomputer.com/news/security/nokia-subsidiary-discloses-data-breach-after-conti-ransomware-attack/

钓鱼专题

2021年8月19日

Microsoft 凭据网络钓鱼活动:利用虚假的付款承诺窃取凭据

Cofense 监测到一场关于模仿知名银行服务的网络钓鱼活动。恶意攻击者发布伪造的汇款支付文件,以窃取用户的个人数据。随着 Cofense 研究人员深入研究发现目标访问嵌入的链接后,会将目标重定向到克隆的 Microsoft 登录页面,但目标输入凭据后,会将目标重定向到合法 Office 网页,构建用户真实访问网页的体验流程。

来源:https://cofense.com/blog/microsoft-credential-phish/

以上内容引自公众号“微步在线研究响应中心”

标签: