freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安全威胁情报周报(09.06-09.12)
2021-09-17 17:52:39

一周威胁情报摘要

金融威胁情报

  • 威胁趋势:加密货币成为金融网络犯罪的完美选择

  • 美国银行 Pacific City Bank  遭到 AVOS Locker 勒索软件攻击

  • 塞舌尔加密货币交易所 Bilaxy 遭到黑客攻击后,网站暂停服务(见PDF)

  • 新西兰多家金融机构和邮政服务遭到 DDoS攻击(见PDF)

政府威胁情报

  • 德国警方被曝出秘密购买 NSO Pegasus 间谍软件

  • 法国政府网站 France-Visas 遭到网络攻击,签证数据发生泄露

能源威胁情报

  • 朝鲜组织 Lazarus 针对区块链金融、能源行业展开攻击(见PDF)

  • 万亿风口到来,储能市场爆发式增长

  • 美国电力公司 FirstEnergy 遭到黑客攻击后,禁用了在线账户(见PDF)

工控威胁情报

  • WarezTheRemote:利用遥控器进行监听,超1800万台设备受到影响

流行威胁情报

  • 近50万个 Fortinet VPN 帐户凭据遭到泄露

  • 新西兰互联网运营商 Vocus NZ 遭到大规模 DDoS 攻击,各地出现断网现象(见PDF)

  • 河南省郑州市某毛肚火锅储值卡遭到攻击:黑客利用1.9元盗刷54万

  • 法国民众数据信息疑似发生大规模泄露,3,900万人的数据在暗网上被售卖(见PDF)

高级威胁情报

  • 三边行动:针对南亚、中东多国长达数年的网络间谍活动

  • BladeHawk 组织使用新后门 888 RAT  针对库尔德族人开展移动间谍活动

  • 朝鲜组织 Geumseong 121 针对朝鲜人权代表发起鱼叉式网络钓鱼攻击(见PDF)

  • 俄罗斯 FIN7 新的攻击活动:利用文档释放 Javascript 后门

  • 疑似双尾蝎组织针对巴勒斯坦地区展开攻击活动(见PDF)

漏洞情报

  • 微软发布了 0day 漏洞 CVE-2021-40444 的缓解措施和解决方法

  • 思科通报并修复 NFV 基础设施软件身份验证绕过漏洞 CVE-2021-34276

勒索专题

  • Ragnar Locker 受害者遭到 Ragnar Locker 勒索组织威胁(见PDF)

  • REvil 勒索软件的服务器重新上线

  • Conti 勒索软件利用 ProxyShell 漏洞攻击 Exchange 服务器(见PDF)

  • Babuk 勒索软件完整源代码遭到泄露

钓鱼专题

  • 窃取比特币的钓鱼邮件在韩国范围内传播

注:由于篇幅限制,本期周报目录虽展示所有内容,但仅精选部分发布,全部内容需在“微步在线研究响应中心”微信公众号后台回复 “912” 获取完整版 PDF 。

金融威胁情报

威胁趋势:加密货币成为金融网络犯罪的完美选择

Tag:密货币,网络犯罪,金融

事件概述:

这个夏天,黑客为了赚钱,每周似乎都有新的勒索软件攻击事件发生,金融网络犯罪成为了黑客的一项利润丰厚的“工作”。越来越多的黑客选择了勒索软件、出售或滥用被盗数据、加密货币等方式从受害者那里牟取暴利。由于加密货币在交易中可以提供自主性、匿名性和永久性,加密货币也成为了金融网络犯罪的“逃亡车”,是其犯罪资金交易、转移的完美选择,主要原因如下:

  • 黑客通过加密货币犯罪,可以保持匿名,不会暴露姓名、电子邮件地址及其他任何详细信息,确保其安全性;

  • 使用加密货币,没有监管,没有任何像银行或政府这样的中介机构,没有银行费用、账户维护、最低余额或透支费用,为黑客金融网络犯罪提供了便捷的行动方式;

  • 目标一旦通过加密货币汇款,就无法取回汇款;

  • 黑客可以利用加密货币便捷性的买卖恶意软件或黑客服务。

由于加密货币自主性、匿名性和永久性,加密货币成为金融网络犯罪的完美选择,更多出于经济动机的网络犯罪分子会在未来利用加密货币进行金融网络犯罪“赚钱”。


来源:
https://threatpost.com/financial-cybercrime-cryptocurrency/169327/

美国银行 Pacific City Bank  遭到 AVOS Locker 勒索软件攻击

Tag:银行,勒索,美国

事件概述:

Pacific City Bank 是一家美国社区银行,为加利福尼亚州韩裔人士社区提供商业银行服务。近日,有外媒报道该银行遭到 AVOS Locker 勒索软件的袭击发生数据泄露。

AVOS Locker 勒索软件团伙于9月4日将该银行数据添加到勒索软件团伙泄露信息站点,并公布了此银行数据的屏幕截图,如下图所示,包含名为 “401K“、”ADP manuals“、”Employees Signatures“、”Form W4“、”HR Policies“、”nternal Memo”等文件夹。与此同时,AVOS Locker 勒索软件团伙还发布了一个名为 proof 的 .ZIP 压缩包,并声称该压缩包是从银行窃取出的文件的一部分。

图片

来源:

https://securityaffairs.co/wordpress/121872/cyber-crime/pacific-city-bank-avos-locker-ransomware.html

微步点评:

1、AVOS Locker 是一种遵循 RaaS 模型的新型勒索软件,于2021年7月4日首次被发现。AVOS  Locker 将 .avos 扩展名附加到加密文件,并在每个加密目录中放置赎金票据 GET_YOUR_FILES_BACK.TXT。

2、AVOS  Locker 简单画像:

姓名

Avoslocker Virus

文件后缀名

.avos

勒索信

GET_YOUR_FILES_BACK.txt

勒索症状

你的文件(照片、视频、文档)包含.avos扩展名,并且你无法打开它。

勒索信:图片3、 AVOS Locker  ATT&CK

战术

技术

执行

【T1204】用户执行

防御规避

【T1112】修改注册表

发现

【T1082】系统信息发现

【T1083】文件和目录发现

影响

【T1486】数据加密

【T1490】禁止系统恢复

政府威胁情报

德国警方被曝出秘密购买 NSO Pegasus 间谍软件

Tag:警方,间谍软件,Pegasus

事件概述:

近日,外媒报道称德国联邦刑事警察局(BKA)于2019年从以色列公司 NSO  Group 购买了臭名昭著的 Pegasus 间谍软件。德国联邦政府也在闭门会议上向联邦议院内政委员会证实并报告了此次购买事件。外媒还指出该间谍软件的功能远远超出了德国隐私法所允许的范围 ,所以 BKA 是在极度保密的情况下购买的 Pegasus 间谍软件。本次购买间谍软件的行为引发了民众的巨大争议。政府表示德国宪法有明文条例:安全部门人员只会在特定且需严格遵循相关规定的情况下开展监视行动。政府希望以此打消民众的恐慌与争议。据 BKA 副局长向媒体透露,该警察局已经购买了该间谍软件,并于2020年底获得了 Pegasus  木马病毒软件,然后在今年3月部署已经获取的 Pegasus 间谍软件,用于打击恐怖主义和有组织犯罪的相关特定行动。近年来,德国政府虽然关于 NSO Pegasus 间谍软件问题在很大程度上拒绝解释使用情况及审查,但左翼议员在官方调查的书面声明中表示被告知议会的知情权与“在特殊情况下国家福利所证明的保密利益”相冲突。这是否在暗示着本次事件背后的真相疑云重重?图片来源:https://www.dw.com/en/german-police-secretly-bought-nso-pegasus-spyware/a-59113197微步点评:1、谁是 NSO Group?NSO Group 成立于2010年的以色列公司。该公司向世界各地的执法机构、情报机构和军队销售用于监视手机的间谍产品,是商业间谍软件的领先制造商之一。目前 NSO Group 市值超过 10 亿欧元,且声称在 40 个国家/地区拥有约 60 名客户。2、为什么 Pegasus 饱受争议?NSO Group 的间谍工具 Pegasus 具有强大的功能:可以实时监视 iPhone 和 Android 智能手机,启用和设置麦克风和视频功能来记录对话,读取位置数据并绕过聊天消息的加密。3、BKA 与 NSO 谈判的过程:2017年,由于BAK一直使用的内部监控软件变得繁琐和过时,当局将橄榄枝抛向 NSO,但很快由于功能的原因,否定了计划。

2019年,安全界人士表示 BKA 不顾律师的反对意见,启动了采购流程;

2020年,BAK 内部人员证实已经获取到Pegasus 间谍软件;

2021年,BAK 将 Pegasus 间谍软件用于打击恐怖主义和有组织犯罪的相关特定行动。

法国政府网站 France-Visas 遭到网络攻击,签证数据发生泄露

Tag:France-visas,签证数据,法国政府

事件概述:9月3日,法国内政部宣称法国政府网站“France-Visas”其中的一个模块遭到黑客攻击,虽然攻击很快被阻止,但输入签证申请时记录的个人数据可能存在泄露。内政部还表示《通用数据保护条例》(GDPR) 范围内的财务信息和敏感数据并没有遭到泄露。泄露的数据是在签证申请期间输入的详细信息,包括电子邮件地址、姓名、出生日期、国籍、护照号码或身*份*证号码。内政部在发现攻击后立即采取了司法调查和必要措施保护平台安全,还表示已经向相关人员单独发送了政府数据疑似泄露的信息,并建议受影响的人员提高警惕和采取预防措施。截至目前,内政部并没有透露具体受影响的人员数量和受影响的签证日期范围。
来源:
https://www.interieur.gouv.fr/sites/minint/files/medias/documents/2021-09/communique-de-presse-france-visas-3-09-2021.pdf

能源威胁情报

万亿风口到来,储能市场爆发式增

Tag:储能市场,能源

事件概述:随着减少碳排放成全球共识,全球能源转型迫在眉睫。近年来,在新能源替代化石能源的进程中,储能市场迎来爆发式增长。国内外也陆续出现了超大型储能项目,不少企业投入到储能行业中。央视财经《经济信息联播》指出:

  • 新能源汽车成超级充电宝 储能行业风口正劲;
  • 储能市场群雄征战,产业链上下新锐辈出,储能行业迎来了前所未有的群雄争霸局面;
  • 储能多元化发展,新技术不断涌现。7月国家发改委和能源局发布《关于加快推动新型储能发展的指导意见》,提出要坚持储能技术多元化,实现钒电池等液流电池长时储能技术进入商业化发展初期。

中国能源研究会储能专业委员会主任委员陈海生表示,中国储能市场规模到2030年左右,每年应该在5000亿以上,甚至到万亿的规模。
来源:
https://mp.weixin.qq.com/s/gPOJYxkBqngpD0pl7jQSzQ

工控威胁情报

WarezTheRemote:利用遥控器进行监听,超1800万台设备受到影响

Tag:高危,物理网漏洞,XR11语音遥控器,监听

事件概述:

近日,Guardicore 在 Comcast (全球通讯业综合企业集团)的 XR11 语音遥控器上发现了一种新的攻击媒介,攻击者可以利用该媒介将其变成监听设备,这种攻击被称为“WarezTheRemote”。XR11 是现存最广泛的遥控器之一,在美国的家庭中部署了超过 1800 万台,如果被恶意攻击者利用,可能造成严重的隐私数据泄露。

WarezTheRemote 使用中间人攻击来利用遥控器与机顶盒的 RF 通信和无线固件升级将恶意固件映像推回遥控器,攻击者便可以在没有用户交互的情况下使用遥控器连续录制音频。该攻击不需要与目标遥控器进行物理接触或与受害者进行任何互动,任何拥有 RF 收发器的黑客都可以用它来接管 XR11 遥控器。攻击者可以使用 16dBi 天线可以监听大约 65 英尺远的房屋内对话。如果是更好的设备的话,监听距离远超于65英尺。

Guardicore 发现并向 Comcast 报告了漏洞,Comcast 安全团队随后发布了修复程序。

图片来源:
https://www.guardicore.com/wp-content/uploads/2020/07/WarezTheRemote-Comcast-Report.pdf

流行威胁情报

近50万个 Fortinet VPN 帐户凭据遭到泄露

Tag:Fortinet VPN,数据泄露

事件概述:近日, 昵称为“Orange”黑客在黑客论坛上泄漏了一份包含近50万条 Fortinet VPN 设备登录凭证清单。该名黑客是 RAMP 黑客论坛管理员,也是 Babuk 勒索软件团伙前任成员。据称该名黑客成员在与 Babuk 勒索软件家族争执,分道扬镳后成立了 RAMP,如今已经成为新的 Groove 勒索软件团伙的组织成员。据分析这些凭证的泄露的原因是 Fortinet 曝出的 CVE-2018-13379漏洞,该漏洞已于2019年公布修复方案。此次泄露的数据包含12856台设备上的498,908名用户的 VPN 登录凭证,这些 Fortinet VPN 设备的IP分布在74个国家,其中位于印度占比 11%,位于中国(大陆+台湾)的设备占比11.89%,台湾占比8.45%,大陆占比3.44%。 图片来源:
https://www.advintel.io/post/groove-vs-babuk-groove-ransom-manifesto-ramp-underground-platform-secret-inner-workings

河南省郑州市某毛肚火锅储值卡遭到攻击:黑客利用1.9元盗刷54万

Tag:储值卡,资金盗刷,河南省事件概述:9月7日,据河南广播电视台民生频道《大参考》栏目官方发布消息称,接多省市消费者反映,消费者以八折价格通过二手平台购买的某毛肚火锅储值卡被冻结,导致无法正常使用,引发舆论的高度关注。该火锅店就此事进行调查,确认黑客入侵了6月份线上会员卡活动的系统。黑客在支付1分钱后篡改了数据,花费1.9元盗刷了54万的金额,并表示消费者手中被冻结的充值卡都是非法卡。该火锅店也就此与某鱼上的充值卡买家进行联系,声称遭到买家拉黑。该火锅店表示在后台发现了大量1分钱订单后,系统就将这些违规充值卡进行冻结,并且第一时间联系警方报案,该火锅店表示自己也是受害者。目前公安机关对这次事件已经立案调查,案件还在进一步侦破当中。但此火锅店称将尽快与顾客联系,以储值卡的形式对顾客的损失进行全额补助。这家毛肚火锅在声明中还号召大家下载“国家反诈中心App”,加强防范,避免上当受骗。
来源:https://mp.weixin.qq.com/s/et73JHBQo3J2kNpQuq5gAQ

高级威胁情报

三边行动:针对南亚、中东多国长达数年的网络间谍活动

Tag:APT,间谍活动,恰巴哈尔港协议

事件概述:近期微步在线捕获数起针对南亚、中东地域多个国家的 APT 攻击活动,主要涉及到签订"恰巴哈尔港协议"的三方成员国。恶意攻击者针对 Windows 平台使用钓鱼攻击和水坑攻击投递具有明显目的性的恶意诱饵文档和伪装正常软件的恶意安装包,同时还有搭建伪装正常 Android 应用商店诱导受害者下载的恶意 APP。微步情报局研究人员通过对此次网络间谍活动深入分析发现:

  • 此次攻击活动少从2013年活跃至今,攻击地域覆盖伊朗、阿富汗、印度和巴基斯坦国家,涉及人权活动家、运输部门、军事、退役军人、极端信仰者和政府部门等;

  • 投递的后门具备 PC 和安卓双平台攻击能力:PC 平台使用 PrisrolRAT 和 QuasarRAT 两种后门,安卓平台则使用 AndroRAT 后门;

  • 通过资产 Whois 信息、AndroRAT 木马配置、攻击目标和地域等信息,初步推断谁可能是伸向“恰巴哈尔港协议”的黑手。

可以在“微步在线研究响应中心”微信公众号查看“三边行动:针对南亚、中东多国长达数年的网络间谍活动 ”,或者在微信公众号后台回复“三边”获取含 IOC 的完整版 PDF 报告。图片来源:
https://mp.weixin.qq.com/s/AhxP5HmROtMsFBiUxj0cFg

BladeHawk 组织使用新后门 888RAT  针对库尔德族人开展移动间谍活动

Tag:间谍活动,后门

事件概述:

ESET 于9月7日发表关于 BladeHawk 组织针对库尔德族人开展移动间谍活动的报告。报告指出此次攻击活动至少从2020年3月开始活跃,通过 Facebook 分发伪装成合法应用程序的两个 Android 间谍后门:888RAT 和 SpyNote。888RAT是新发现的 Android 间谍后门,已被 Kasablanka 组织和 Blade Hawk 组织使用。该后门可以执行从恶意 C2 服务器接收的42个命令,具有从设备上窃取和删除文件,截取屏幕截图,获取设备位置和已安装的应用程序列表,窃取凭据、视频、音频、短信记录、联系人列表以及发送短信等功能,并且该后门使用自定义的协议和端口进行通信。该后门用来替代 LodaRAT 和 Gaza007。

研究人员还确定了与 BladeHawk 活动相关的28个 Facebook 帖子,这些帖子都包含虚假的应用程序描述和下载应用程序的恶意链接。这些链接可以下载17个独特的 APK,其中一些 APK 网络链接直接指向恶意应用程序,而另一些则指向第三方托管服务 top4top.io。它记载了恶意应用程序从 2020年7月20日到 2021 年 6 月 28 日期间通过 Facebook URL 链接总共被下载了 1,481 次。

图片来源:
https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/

俄罗斯 FIN7 新的攻击活动:利用文档释放 Javascript 后门

Tag:APT,FIN7,俄罗斯

事件概述:

Anomali 研究人员监测发现 FIN7 组织在今年6月下旬至7月下旬通过 Windows 11 Alpha 主题 Word 文档发起攻击活动,利用 Word 文档中的 Visual Basic 宏投放 JavaScript 有效载荷。研究人员分析发现此次攻击活动的媒介可能是电子邮件钓鱼和鱼叉式网络钓鱼。 

技术详情:

此次攻击活动的感染链始于一个 Microsoft Word 文档 (.doc),其中包含使用 Windows 11 Alpha 制作的诱饵图像。该图像诱使目标用户点击“启用编辑”和“启用内容” 来启用恶意Visual Basic 宏,投放 JavaScript 有效载荷。VBScript 脚本在目标主机上会执行语言检查功能对特定目标执行攻击活动,还会通过检查一些列因素判断是否在虚拟机环境以确定是否执行下一步操作。攻击者最后还会通过两次连接与恶意 C2 建立通信,并将检索到的 MAC 地址和 DNS 主机名信息通过 Web 协议 POST 请求回传给恶意 C2 服务器。 

活动归因:

  • POS 供应商目标一致;

  • 使用包含恶意 VBA 宏的诱饵文档与 FIN7 之前活动保持一致;

  • FIN7 组织曾使用过此次攻击活动中的 JavaScript 后门 ;

  • 检测到俄语、乌克兰语或其他几种东欧语言后感染停止;

  • 受密码保护的文件;

  • 来自 Javascript 文件“group=doc700&rt=0&secret=7Gjuyf39Tut383w&time=120000&uid=”的工具标记遵循与之前的 FIN7 活动类似的模式。

来源:

https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor

漏洞情报

微软发布了 0day 漏洞 CVE-2021-40444 的缓解措施和解决方法

Tag:0day,微软,严重漏洞

事件概述:

微软于9月7日(周二)警告称 IE 浏览器存在的 0day 漏洞 CVE-2021-40444 被攻击者积极利用。CVE-2021-40444 漏洞是 MSHTML(又名 Trident)中的一个远程代码执行漏洞。MSHTML 是一种用于现已停产的 Internet Explorer 的专有浏览器引擎,用于在 Office 中呈现  Word、Excel 和 PowerPoint 文档的 Web 内容的。

恶意攻击者可通过微软 Office 文档利用漏洞对目标计算机发起攻击。攻击者还可以制作一个恶意的 ActiveX 控件承载浏览器渲染引擎的微软 Office文档。然后,攻击者诱使用户打开该恶意文件,便可劫持易受攻击的 Windows 系统。

微步提醒您可以在“保护视图”(protectionview)或“应用程序保护”(Application Guard for Office)中打开来自互联网的文档预防攻击,也可以在 Internet Explorer 中禁用所有 ActiveX 控件的安装来降低这种攻击:

1、要在 Internet Explorer 的所有区域中禁用安装 ActiveX 控件,请将以下内容粘贴到文本文件中,并使用 .reg 文件扩展名保存:

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]"1001"=dword:00000003"1004"=dword:00000003

2、双击 .reg 文件以将其应用到您的策略配置单元;

3、重新启动系统以确保应用新配置。

来源:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

思科通报并修复 NFV 基础设施软件身份验证绕过漏洞 CVE-2021-34276

Tag:关键身份验证漏洞,NFV,严重漏洞

事件概述

近日,思科通报并修复了 NFV 基础设施软件(NFVIS)的 TACACS + 身份验证、授权和计费(AAA)功能中的身份验证绕过漏洞 CVE-2021-34736(CVSS 9.8)。CVE-2021-34746 漏洞是由于用户提供的输入没有完成身份验证,这使得攻击者能够将参数注入身份验证请求,允许未经身份验证的攻击者绕过身份验证并以管理员的身份登录受影响的设备。

思科表示该漏洞虽然有公开可用的 PoC,但并没有检测到野外武器化的利用。思科于9月1日发布通告在 Cisco Enterprise NFVIS 版本 4.6.1 及更高版本中修复了此漏洞。

虽然思科已经在新的版本中修复了该漏洞,但由于漏洞只能在目标设备上配置了 TACACS 外部认证方法,目标才会受到该漏洞的影响。微步建议您通过“show running-config TACACS -server”命令来查询是否启用 TACACS 外部认证功能,在没有需要情况下,建议关闭外部认证功能。


来源:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nfvis-g2DMVVh


勒索专题

REvil 勒索软件的服务器重新上线

2021年9月7日,REvil 勒索软件团伙的 Tor 支付/谈判站点和数据泄露站点 'Happy Blog' 在今天突然重新上线。这是白宫和俄罗斯执法部门针对 REvil 勒索软件团伙(又名 Sodinokibi)利用 Kaseya VSA 远程管理软件中的 0day 漏洞的攻击活动施压后,REvil 勒索软件团伙关闭其基础设施和 Tor 服务器消失的重新上线,但该团伙网址 http://decoder.re/ 此时仍处于离线状态。目前尚不清楚该勒索软件团伙是否重新开始运作,还是错误的被打开,还是执法部门的行为。

来源:
https://twitter.com/darktracer_int/status/1430494830560309249

Babuk 勒索软件完整源代码遭到泄露

2021年9月3日,据称用户名为“dyadka0220”的 Babuk 成员在俄语黑客论坛公布了  Babuk 勒索软件的相关数据。这些数据是创建功能性勒索软件可执行文件需要的信息,适用于 VMware ESXi、NAS 和 Windows 加密器的不同 Visual Studio Babuk 勒索软件项目, Windows 加密器、解密器以及私钥和公钥生成器的完整源代码等数据。研究人员表示此次源代码的泄露疑似是合法的,并且可能包含历史受害者的解密密钥。

来源:
https://www.bleepingcomputer.com/news/security/babuk-ransomwares-full-source-code-leaked-on-hacker-forum/

钓鱼专题

窃取比特币的钓鱼邮件在韩国范围内传播

2021年9月17日,ASEC 团队证实旨在窃取比特币的恶意电子邮件正在韩国大肆传播。恶意邮件会伪装成管理员,以比特币支付内容分发给目标,并根据客户要求提供有关存入 BTC 的信息以及注册的客户 ID 和密码,然后引导目标点击正文中的链接进入恶意攻击者创建的虚假网站,使用巧妙的欺诈技术窃取比特币。微步提示你在查看来自未知来源的电子邮件时应注意不要点击电子邮件中的附件或 URL,避免称为网络钓鱼的受害者。

来源:

https://asec.ahnlab.com/ko/26833/

# 数据泄露 # 0day # 加密货币 # APT组织 # 勒索病毒
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录