业界动态
E周观察-安全威胁情报(2022.3.19~3.25)
2023-08-21 23:26


本期目录

恶意软件威胁情报

1、“NOPEN”远控木马分析报告

2、针对葡萄牙用户的巴西木马变种

3、BitRAT恶意软件作为Windows 10许可证激活器传播

4、攻击者通过ClipBanker恶意软件攻击其他黑客

热点事件

1、俄罗斯因不实战争信息禁用谷歌新闻

2、美国指控4名俄罗斯政府雇员攻击关键基础设施

3、针对乌克兰企业的DoubleZero擦除器分析

勒索专题

1、FBI:勒索软件在2021年袭击了649个美国关键基础设施组织

2、微软确认遭Lapsus$$勒索团伙入侵

3、Avoslocker勒索软件攻击多个美国关键基础设施组织

4、乌克兰研究人员再次泄露Conti勒索软件源代码

5、Exotic Lily:与Conti有联系的初始访问代理

6、Okta身份供应商确认被黑,约375名客户将受到影响

7、苏格兰心理健康慈善机构遭RansomEXX勒索软件攻击

政府部门

1、伊朗黑客泄露以色列情报机构负责人的个人信息

2、攻击者针对法国政府和建筑实体分发Serpent后门

金融行业

1、UNC2891使用新的Rootkit攻击银行网络

高级威胁情报

1、疑似DarkHotel APT组织针对澳门豪华酒店展开攻击

2、InvisiMole组织针对乌克兰国家机构发起鱼叉式钓鱼攻击

3、APT35组织利用ProxyShell漏洞获取初始访问权限

4、朝鲜攻击者利用CVE-2022-0609远程代码执行漏洞



恶意软件威胁情报

1、“NOPEN”远控木马分析报告

近日,国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux..,可实现对目标的远程控制。根据“影子经纪人”泄露的NSA内部文件,该木马工具为美国国家安全局开发的网络武器。“NOPEN”木马工具是一款功能强大的综合型木马工具,也是美国国家安全局接入技术行动处(TAO)对外攻击窃密所使用的主战网络武器之一。

参考链接:http://ti.dbappsecurity.com.cn/info/3225

2、针对葡萄牙用户的巴西木马变种

自2022年2月以来,一种巴西木马的新变种已经影响了葡萄牙的互联网终端用户。该变种与Maxtrilha、URSA和Javali等其他知名木马没有显着差异和复杂性。该木马通过冒充葡萄牙税务服务的网络钓鱼模板进行传播,会安装或修改 Windows受信任的证书,通过打开窗口进行检查以执行银行窗口覆盖,以窃取凭据,并且可以部署通过DLL注入技术执行的其他有效负载。

参考链接:http://ti.dbappsecurity.com.cn/info/3232

3、BitRAT恶意软件作为Windows 10许可证激活器传播

近日,研究人员发现了一项新的分发BitRAT软件的恶意活动。BitRAT是一种强大的远程访问木马,在网络犯罪论坛和暗网市场上以低至20美元的价格出售给网络犯罪分子。在最新的BitRAT恶意软件分发活动中,攻击者将恶意软件作为Windows 10Pro许可证激活器分发到网络硬盘上。研究人员根据代码片段中的韩语字符及其分发方式推测,新的BitRAT活动的攻击者疑似是韩国人。

参考链接:http://ti.dbappsecurity.com.cn/info/3233

4、攻击者通过ClipBanker恶意软件攻击其他黑客

研究人员发现了一项新的恶意活动,攻击者通过伪装成破解RAT和恶意软件构建工具的ClipBanker恶意软件来攻击其他黑客。分发ClipBanker的网站名为“Russia black hat”,该网站提供各种黑客所需的程序,包括木马、恶意软件创建工具。ClipBanker通常用于监视受害者的剪贴板内容,以识别加密货币钱包地址并将其替换为属于恶意软件运营商的地址。

参考链接:http://ti.dbappsecurity.com.cn/info/3238



热点事件

1、俄罗斯因不实战争信息禁用谷歌新闻

俄罗斯电信监管机构Roskomnadzor已禁止Alphabet公司的Google News服务,并禁止用户访问news.google.com域,因为它提供了有关俄罗斯乌克兰战争的“不可靠信息”。本月早些时候,Roskomnadzor曾要求谷歌停止在YouTube视频上传播有关俄罗斯入侵乌克兰的错误信息。目前,俄罗斯已封锁了Facebook、Twitter和Instagram社交软件, 并阻止了对多个外国新闻媒体的访问,包括美国之音、英国广播公司、德国之声和自由欧洲电台。

参考链接:http://ti.dbappsecurity.com.cn/info/3239

2、美国指控4名俄罗斯政府雇员攻击关键基础设施

美国已起诉四名俄罗斯政府雇员,称这些雇员参与了2012年至2018年期间针对全球能源行业数百家公司的黑客活动。其中一名雇员来自俄罗斯联邦中央化学与力学科学研究所 (TsNIIKhM) ,其余三名雇员来自俄罗斯联邦安全局 (FSB) 。美国司法部表示,这些攻击活动针对大约135个国家的数百家公司和组织的数千台计算机。

参考链接:http://ti.dbappsecurity.com.cn/info/3243

3、针对乌克兰企业的DoubleZero擦除器分析

乌克兰CERT在针对乌克兰组织的攻击中,发现一种名为DoubleZero的擦除器。这是一种用C语言开发的恶意破坏程序,攻击者使用该软件发起鱼叉式网络钓鱼攻击,目前该活动已被跟踪为UAC-0088。DoubleZero擦除文件使用两种方法破坏文件:用4096字节的零块覆盖其内容或使用API调用NtFileOpen、NtFsControlFile。恶意软件会在关闭受感染的系统之前删除以下Windows..表HKCU、HKU、HKLM、HKLMBCD。

参考链接:http://ti.dbappsecurity.com.cn/info/3245



勒索专题

1、FBI:勒索软件在2021年袭击了649个美国关键基础设施组织

根据互联网犯罪投诉中心(IC3)2021年互联网犯罪报告,勒索软件团伙去年已经入侵了来自美国多个关键基础设施部门的至少649个组织的网络。鉴于FBI仅在2021年6月才开始跟踪报告勒索软件事件,因此实际攻击数量可能更高。根据攻击次数,入侵关键基础设施组织网络的前三大勒索软件团伙为CONTI(有87名受害者)、LockBit(有58名)和REvil/Sodinokibi(有51名)。

参考链接:http://ti.dbappsecurity.com.cn/info/3241

2、微软确认遭Lapsus$$ 勒索团伙入侵

3月20日,Lapsus$$团伙声称入侵了微软的Azure DevOps服务器,随后发布了一个9GB 7zip档案的种子,表示其中包含90%的Bing源代码以及大约45%的Bing Maps和Cortana代码。3月22日,微软确认其员工的账户遭到了Lapsus$$黑客组织的入侵,黑客因此获得了对源代码存储库的有限访问权限。

参考链接:http://ti.dbappsecurity.com.cn/info/3235

3、Avoslocker勒索软件攻击多个美国关键基础设施组织

3月17日,联邦调查局(FBI)发布警告称,AvosLocker勒索软件已被用于针对美国多个关键基础设施部门的攻击。AvosLocker是一个基于勒索软件即服务 (RaaS) 的附属组织,攻击目标包括美国多个关键基础设施部门,包括但不限于金融服务、关键制造行业和政府部门。

参考链接http://ti.dbappsecurity.com.cn/info/3227

4、乌克兰研究人员再次泄露Conti勒索软件源代码

Conti是一个由俄罗斯攻击者运营的勒索软件团伙。2月27日,一名twitter名为“Conti Leaks”的乌克兰研究人员入侵了该团伙的内部服务器,泄露了大量的Conti组织内部数据。3月20日,Conti Leaks将Conti v3的源代码上传到了VirusTotal,并在Twitter上发布了链接。该源代码比之前发布的版本新很多,最后修改日期为2021年1月25日。

参考链接:http://ti.dbappsecurity.com.cn/info/3228

5、Exotic Lily:与Conti有联系的初始访问代理

2021年9月上旬,谷歌威胁分析小组发现了一个新的初始访问代理(IAB),名为Exotic Lily,该代理疑似传播了Conti和Diavol勒索软件。在活动高峰期,攻击者每天向全球650个目标组织发送超过5000封电子邮件。在2021年11月之前,攻击者似乎针对特定行业,如IT、网络安全和医疗保健,但近期,攻击者的目标比较广泛,没有特别针对的目标。研究人员认为Exotic Lily似乎与俄罗斯网络犯罪团伙FIN12(又名WIZARD SPIDER)有关。

参考链接:http://ti.dbappsecurity.com.cn/info/3226

6、Okta身份供应商确认被黑,约375名客户将受到影响

3月21日,Lapsus$$勒索团伙在电报频道上发布了一系列Okta身份验证公司的内部通讯的截图,该团伙称其重点"仅针对Okta客户"。3月22日,Okta证实,公司一名工程师的笔记本电脑在1月份遭黑客入侵,攻击者在2022年1月 16日至21日之间可以访问Okta的客户支持面板和公司的Slack服务器,大约 375名客户将受到此次网络攻击的影响。

参考链接:http://ti.dbappsecurity.com.cn/info/3234

7、苏格兰心理健康慈善机构遭RansomEXX勒索软件攻击

3月21日,苏格兰心理健康慈善机构SAMH宣布,该机构已遭到勒索软件攻击,攻击者为RansomEXX勒索软件团伙。RansomEXX团伙从苏格兰慈善机构窃取了12GB数据,包括未经编辑的个人驾驶执照照片、护照、志愿者家庭地址和电话号码等个人信息,甚至包括密码和信用卡详细信息。SAMH明确表示,不会向RansomEXX勒索团伙支付赎金。

参考链接:http://ti.dbappsecurity.com.cn/info/3242



政府部门

1、伊朗黑客泄露以色列情报机构负责人的个人信息

3月16日,伊朗黑客在一个匿名Telegram频道上发布了一段视频,其中包含据称从以色列情报机构负责人Barnea的妻子使用的手机中获取的个人照片和文件。该视频发布在“Open Hands”频道上,据以色列媒体报道,该频道于3月15日创建。其所有者声称在2014年开始的针对Barnea的“长期情报行动”中获得了这些信息。目前为止,该频道的关注人数不到100人,此次泄露事件仍在调查中。

参考链接:http://ti.dbappsecurity.com.cn/info/3230

2、攻击者针对法国政府和建筑实体分发Serpent后门

3月21日,研究人员披露了影响法国建筑和政府部门实体的新的、有针对性的攻击活动。攻击者使用法语诱饵,伪装成与欧盟通用数据保护条例 (GDPR) 有关的信息,文档执行恶意宏以分发Chocolatey安装程序包,使用隐写术(包括卡通图像)下载并安装名为Serpent的新后门。研究人员目前暂未确定攻击者,但认为这可能是一个具有高超的技术和能力,且与其他的已知团伙没有联系的新组织。

参考链接:http://ti.dbappsecurity.com.cn/info/3236



金融行业

1、UNC2891使用新的Rootkit攻击银行网络

在调查UNC2891集群的活动时,研究人员发现了一个名为“Caketap”的以前未知的Unix rootkit,该模块部署在运行Oracle Solaris操作系统的服务器上,用于窃取ATM银行数据和进行欺诈交易。Caketap可以隐藏网络连接、进程和文件,同时将几个hooks安装到系统函数中以接收远程命令和配置。此外,攻击中还使用了2个名为SLAPSTICK和TINYSHELL的后门。

参考链接:http://ti.dbappsecurity.com.cn/info/3231



高级威胁情报

1、疑似DarkHotel APT组织针对澳门豪华酒店展开攻击

DarkHotel是一个韩国黑客组织,其主要攻击目标是酒店业。2021年11月以来,研究人员发现了疑似DarkHotel组织针对中国澳门豪华酒店的恶意活动。此次活动确定的两家连锁酒店分别是路环海逸度假酒店和永利皇宫,均为5星级酒店。这些酒店计划举办有关贸易、投资和环境的国际会议,因此此次活动可能是DarkHotel组织在为未来的间谍活动做准备。

参考链接:http://ti.dbappsecurity.com.cn/info/3229

2、InvisiMole组织针对乌克兰国家机构发起鱼叉式钓鱼攻击

乌克兰计算机紧急事件响应政府小组 (CERT-UA)警告称,UAC-0035组织(又名InvisiMole)针对乌克兰国家机构发起了鱼叉式网络钓鱼邮件攻击。钓鱼邮件使用名为“501_25_103.zip”的存档,其中包含一个快捷方式文件。打开LNK文件后,将下载并执行一个HTA文件,文件包含一个VBscript代码,用于获取和解码诱饵文件和恶意程序 LoadEdge后门。

参考链接:http://ti.dbappsecurity.com.cn/info/3237

3、APT35组织利用ProxyShell漏洞获取初始访问权限

2021年12月,研究人员观察到攻击者利用Microsoft Exchange ProxyShell漏洞通过多个Web Shell获取初始访问权限并执行代码,经分析,研究人员将此活动归因于APT35组织(又名Charming Kitten、TA453、COBALT ILLUSION、ITG18、Phosphorus、Newscaster)。攻击者利用的漏洞包括:CVE-2021-34473;CVE-2021-34523;CVE-2021-31207。

参考链接:http://ti.dbappsecurity.com.cn/info/3240

4、朝鲜攻击者利用CVE-2022-0609远程代码执行漏洞

2月10日,研究人员发现两个不同的朝鲜支持的攻击者组织利用了CVE-2022-0609远程代码执行漏洞。这些团体的活动已被公开跟踪为Operation Dream Job和Operation AppleJeus。Operation Dream Job活动针对为 10家不同的新闻媒体、域名..商、网络托管服务提供商和软件供应商工作的 250多名个人。Operation AppleJeus活动针对加密货币和金融科技行业的 85多名用户。攻击者通过电子邮件、虚假网站或受感染的合法网站攻击受害者,这些网站最终将激活CVE-2022-0609漏洞利用工具包。

参考链接:http://ti.dbappsecurity.com.cn/info/3244


  • 路由器不再安全!数十万台MikroTik路由器已被恶意软件控制

  • 世界多家大型企业遭受网络攻击,幕后黑手都是它!

  • 警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动

  • 本文到此结束,希望对大家有所帮助。

  •     以上就是本篇文章【E周观察-安全威胁情报(2022.3.19~3.25)】的全部内容了,欢迎阅览 ! 文章地址:http://sicmodule.glev.cn/news/3431.html 
         资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 歌乐夫资讯移动站 http://sicmodule.glev.cn/mobile/ , 查看更多   
    最新新闻
    行政管理专业大学排名_行政管理专业学什么_就业前景怎么样?
    序号学校代码学校名称评选结果110002中国人民大学A+210003清华大学A+310001北京大学A410307南京农业大学A510335浙江大学A610486
    15大“未来”行业热门专业介绍,十个工科专业推荐!读研后薪资飞涨的9大专业!
    今年,工信部等七部门联合发布《关于推动未来产业创新发展的实施意见》,提出:要面向未来信息、未来健康、未来制造、未来能源、
    马云预言未来十大行业_未来最有前景的职业
    马云作为成功的企业家、先行者,所说未来的热门赚钱行业有过很多预测性的发言都被验证了,小编相信有很多的者都在电视上看过马云
    2024十大就业前景好的专业排名 读什么专业好就业
    高中频道2024-06-05 19:402024年就业率最高的十大专业包括:人工智能与机器学习专业、能源与动力工程专业、机械工程专业、微电子
    这个国家很脆弱,入境时不仅食物要申报,连鞋底的土都要仔细检查
    “黑夜给了我一双黑色的眼睛,我却用它寻找光明。”——顾城 中国朦胧派诗人顾城,在1988年携妻子隐居于新西兰激流岛,在这个小
    最适合女生的八大专业,学出来既有价值又有颜值!
    现代社会提倡女性独立,区别于过去的女性。她们不靠男人养活,自己有赚钱养家的能力。很多女生都把职业放在第一,毕竟经济基础决
    2024年选什么专业?速来看看20大“未来”行业热门专业推荐,发展前景大好!
    易升学小易老师提醒:在未来国家将重点关注对相关专业的建设工作,相关专业未来发展会大有前途,值得考生和家长关注!PART.01未
    设计类前景最好的十大专业排名!
    设计师这一经久不衰的岗位当前早已成为不少同学心目中首要的职业选择,因此在志愿填报时很多同学都有着填报设计类专业的想法,那
    初三学生如何一个月逆袭学霸?
    2022-01-18 20:47:06文/刘美娟学渣如何三十天变学霸?学渣是学习不好的人,但一定不是学不好的人,用一个月从一个学渣逆袭成一个
    中国认可的日本大学?
    中国人去日本留学或者工作,需要了解日本认可的大学。那么,有哪些日本大学是中国认可的呢?首先要了解的是,中国认可的日本大学