freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安全威胁情报周报(09.13-09.19)
2021-09-22 20:13:54

一周威胁情报摘要

威胁趋势

  • 影响工业网络风险管理的三大趋势:OT云迁移+勒索+美国网络立法

金融威胁情报

  • 新的银行木马 Maxtrilha 针对欧洲和南美银行用户展开攻击

  • 黑客入侵俄罗斯政府网站进行“比特币庞氏骗局”活动

  • 恶意软件针对墨西哥金融机构展开攻击活动,窃取用户凭证(见PDF)

政府威胁情报

  • 美国德州共和党网站遭匿名组织 Anonymous 攻击,网站被篡改

  • 美国弗吉尼亚国防军电子邮件账户遭到入侵,疑似数据发生泄露

  • 联合国计算机遭到黑客入侵,疑似数据被盗(见PDF)

能源威胁情报

  • 攻击者冒充美国交通部向工程、能源、建筑行业发送钓鱼邮件,窃取凭据

工控威胁情报

  • 西门子、施耐德电气共修复40多个漏洞

  • 三菱电机被曝存在诸多漏洞,易受到远程攻击

流行威胁情报

  • 新的 Android 银行木马 SOVA 在野外被利用

  • Chimaera 活动:TeamT*N*T 网络犯罪团伙瞄准全球数千个组织展开攻击活动

高级威胁情报

  • APT-C-36 针对南美实体展开网络钓鱼活动

  • 朝鲜威胁组织 Kimsuky 疑似利用 KakaoTest.exe 文件展开攻击活动(见PDF)

漏洞情报

  • 苹果修复 NSO Group 入侵 Apple 设备利用的 iMessage 0day 漏洞

  • 惠普游戏本曝内核级漏洞,全球数百万台计算机受到影响

  • 超级任天堂游戏模拟器被曝存在 DLL 劫持漏洞(见PDF)

勒索专题

  • 安全厂商推出 REvil/Sodinokibi 勒索软件的免费通用解密器(见PDF)

  • 客户服务公司 TTEC 遭到勒索软件攻击,系统出现中断(见PDF)

  • 纽约康复支持服务(RSS)疑似遭到 Grief 黑客组织的袭击

  • 日本科技巨头奥林巴斯遭到 BlackMatter 勒索软件袭击(见PDF)

  • 南非司法和宪法发展部遭到勒索软件攻击,服务出现瘫痪(见PDF)

  • 密苏里三角洲医疗中心遭到 Hive 勒索软件攻击,9,5000患者数据遭到泄漏(见PDF)

钓鱼专题

  • 恶意网络钓鱼电子邮件冒充 KakaoTalk 客户中心进行传播(见PDF)

  • 中秋即将到来,需警惕 smishing 短信钓鱼

注:由于篇幅限制,本期周报目录虽展示所有内容,但仅精选部分发布,全部内容需在“微步在线研究响应中心”微信公众号后台回复 “919” 获取完整版 PDF 阅读。

威胁趋势

影响工业网络风险管理的三大趋势:OT云迁移+勒索+美国网络立法

Tag:关键基础设施、ICS、勒索

Claroty 的 ICS 风险和漏洞报告指出 ICS 风险和漏洞格局的最新图景以及分析修补和其他补救策略。

报告显示,洞察战术和战略上管理风险的新兴趋势,有助于了解围绕脆弱性管理和资源优先级的思考讨论提供信息。随着关键基础设施安全已成为主流问题,许多组织正在逐步加强这方面的思考。

1、OT云迁移: 

OT 云迁移巩固了云基础设施在现代企业中的作用。但 OT 环境连接到云会产生更大的攻击面,并暴露出可能有利于勒索软件和勒索式攻击的漏洞。身份验证和身份管理将成为企业针对云中 OT 的纵深防御计划的一部分。

2、勒索软件和勒索攻击:

Colonial Pipeline 遭到勒索软件袭击 ,这导致美国经历了一次关键基础设施的重大关闭。虽然勒索软件感染的是 IT 系统,而不是 OT 系统,但影响是相同的。随着越来越多的公司将 ICS 设备连接到互联网并融合 OT 和 IT,对网络资产的可见性至关重要,安全的远程访问对于保护虚拟专用网络和其他基于网络的攻击弱点也很重要。

3、美国网络立法:

《美国网络立法》证实了工业网络安全对国家安全和经济至关重要,该项白宫政令基于解决电网网络安全问题,也为进一步立法奠定了基础。来源:
https://www.claroty.com/2021/09/09/blog-three-trends-impacting-industrial-cyber-risk-management/?

金融威胁情报

新的银行木马 Maxtrilha 针对欧洲和南美银行用户展开攻击Tag:maxtrilha,银行木马,欧洲

事件概述:

近期,巴西犯罪组织“ gangue”利用定制的网络钓鱼邮件在欧洲和南美洲传播银行木马 Maxtrilha。该恶意软件攻击活动首先在拉丁美洲被发现,然后陆续出现在欧洲和葡萄牙等地区。Maxtrilha 木马是用 Delphi 语言编写的 x64 二进制文件,它可以绕过反病毒和 EDR 系统检测实现防御规避。

技术详情:

恶意攻击者首先向目标投递伪装成税务和海关的网络钓鱼邮件,然后诱使目标打开邮件上的合法服务下载 Maxtrilha 的加载程序。Maxtrilha 加载程序会在受感染的机器上创建持久性,修改软件策略设置,禁用 Internet Explorer 安全设置,将后续有效载荷的下载到 %Public% 目录。Maxtrilha 银行木马还会通过匹配与银行相关的特定硬编码字符串,启动银行覆盖窗口以窃取凭据,收集受害者主机信息,并通过 DLL 注入技术部署其他恶意载荷。最后,Maxtrilha 银行木马会将收集到的受害者数据信息加密回传到恶意 C2 服务器图片

来源:
https://securityaffairs.co/wordpress/122134/malware/maxtrilha-banking-trojan.html

黑客入侵俄罗斯政府网站进行“比特币庞氏骗局”

Tag:庞氏骗局,比特币,俄罗斯政府

事件概述:

据当地外媒报道,一群身份不明的黑客组织在今年9月初入侵了俄罗斯梁赞市政府官方网站,利用比特币诱惑目标群体下载特定的应用程序。黑客在此次骗局活动中声称他们将向下载特定应用程序的任何人都提供 0.025 BTC。这群黑客在24小时内又再次入侵该政府官方网站,然后在骗局活动中添加新的诱饵信息“将奖励 5 位随机用户价值 1000 美元的比特币”,以此鼓励目标下载特定的应用程序。截至目前,该政府网站关于此次比特币骗局活动的消息已被删除。

想要深入了解庞氏比特币骗局活动吗,关注“微步在线研究响应中心”微信公众号,微步情报局将在下期带你揭秘庞氏比特币骗局的面纱。

Tg:庞氏骗局,比特币,俄罗斯事件概

来源:
https://m.rzn.info/news/2021/9/2/sajt-ryazanskoj-merii-vtoroj-raz-za-sutki-vzlomali-hakery-239195.html

政府威胁情报

美国德州共和党网站遭匿名组织 Anonymous 攻击,网站被篡改

Tag:共和党,美国,Anonymous

事件概述:

美国德克萨斯州共和党官方网站于9月13日遭到 Anonymous (匿名者)攻击 ,网站内容被篡改。黑客将共和党官方主页替换为“ Pokémon” 图像,内容显示了反对共和党、支持堕胎的文字和图案。该组织还在官方网站上添加了将用户引导至 YourAnonNews Twitter 帐户的链接,并添加了流行艺术家 Rick Astley 的热门表情包 Never Gonna Give You Up 。

共和党在确认攻击事件后,将访问网站的 URL 重定向到由 WinRed(一个帮助保守派和中右翼团体进行在线筹款的平台)提供支持的捐赠页面,要求民众捐款来对抗攻击和为加强防御做出贡献。黑客组织发起此次网络攻击疑似是为了抗*议德克萨斯州的《心跳法案》,该法禁止女性在怀孕6周内堕胎,但尚不清楚此次由于抗*议事件发起的攻击与捐款的实质关联。图片

来源:
https://www.infosecurity-magazine.com/news/texas-gop-website-down-after/

美国弗吉尼亚国防军电子邮件账户遭到入侵,疑似数据发生泄露

Tag:国防军,数据泄露,弗吉尼亚

事件概述:

近日,美国弗吉尼亚国民警卫队发言人称弗吉尼亚国防军(VDF)和弗吉尼亚军事部(DMA)的电子邮件账户受到7月份网络攻击的影响,疑似数据发生泄露。弗吉尼亚国民警卫队在了解到弗吉尼亚国防军面临网络威胁时,立即展开调查。调查确定攻击事件只影响弗吉尼亚国防军和弗吉尼亚军事事务部由第三方维护的电子邮件帐户,没有迹象表明国防部和军事部的内部 IT 基础设施、数据服务器遭到破坏和数据发生泄露,陆军国民警卫队和空军国民警卫队的 IT 基础设施也没有受到影响。尽管国民警卫队证实此次攻击事件不是由勒索软件导致的,但并没有公布其他具体信息。8月20日,Marketo 被盗数据市场公开了黑客从弗吉尼亚军事部窃取的1GB数据。

来源:
https://www.zdnet.com/article/virginia-national-guard-confirms-cyberattack-hit-virginia-defense-force-email-accounts/

能源威胁情报

攻击者冒充美国交通部向工程、能源、建筑行业发送钓鱼邮件,窃取

Tag:能源,钓鱼

事件概述:

研究人员在8月16日至18日期间检测到41封关于投标内容的网络钓鱼电子邮件,这些钓鱼邮件诱饵内容均为一系列受益于国会最近通过的1万亿美元基础设施项目计划进行投标的相关内容。据 ThreatPost 指出此项活动可能针对与美国交通部合作的工程、能源和建筑等行业的公司进行攻击活动,窃取凭据。技术详情:攻击者向这些潜在受害者发送包含恶意链接的电子邮件,邮件内容是美国交通部正在邀请他们提交对部门项目的投标信息,诱使这些受害者点击带有“单击此处投标”字样的蓝色大按钮,将受害者重定向到虚假的投标网站,以连接网络诱使受害者登录电子邮件账户,以此窃取凭据。来源:
https://threatpost.com/attackers-impersonate-dot-phishing-scam/169484/

西门子、施耐德电气共修复40多个漏洞

Tag:西门子,施耐德,漏洞

事件概述:

西门子和施耐德电子于9月14日总共发布了25条修复建议,修复影响工业控制系统(ICS)产品的40个漏洞。西门子:

西门子发布了21条修复建议并更新了之前25条修复建议,其中涵盖36个漏洞,5个漏洞为关键严重等级,其中2个关键漏洞 CVSS 评分为10。

  • CVE-2020-11896(CVSS10):该漏洞是影响西门子楼宇管理系统使用的 Siveillance 开放接口服务 (OIS) 应用程序的命令注入问题。未经身份验证的攻击者可以利用该漏洞以 root 权限远程执行代码。

  • CVE-2021-31891(CVSS10):该漏洞会影响 Desigo CC 楼宇管理平台和 Cerberus 危险管理站 (DMS)。该漏洞是一个反序列化缺陷,可允许未经身份验证的攻击者在受影响的系统上执行任意代码。西门子指出,直接连接到互联网的系统中漏洞被利用的风险更高。

施耐德电气:

施耐德电气发布了涵盖七个严重漏洞的修复公告,具体漏洞信息如下:

  • CVE-2021-22794、CVE-2021-22795:影响管理物理基础设施而设计的 StruxureWare Data Center Expert 产品。这两漏洞允许攻击者远程执行任意代码,致使停机或中断服务,且利用的前提是需要受害者打开恶意项目文件。

  • CVE-2021-22797:EcoStruxure Control Expert、EcoStruxureTM Process Expert 和 SCADAPack RemoteConnect 产品受该漏洞影响。

  • CVE-2021-22785、CVE-2021-22788、CVE-2021-22787:Modicon M340 PLC 受这些漏洞影响,可被攻击者用来获取敏感信息或导致 DoS 条件。

来源:
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-40-vulnerabilities?

三菱电机被曝存在诸多漏洞,易受到远程攻击

Tag:三菱电机,漏洞

事件概述:

美国网络安全与基础设施安全局 CISA 于近日发布紧急安全通知,称三菱电机部署在全球关键制造部门的 MELSEC iQ-R 系列 CPU 模块存在一系列漏洞。这些漏洞可能导致用户面临未经授权的远程访问、CPU 模块访问、DoS、网络流量嗅探等风险。

这些漏洞具体信息如下:

  • CVE-2021-20594:远程强制模块获取合法用户名;

  • CVE-2021-20597:通过嗅探网络流量获取不受保护的凭据;

  • CVE-2021-20598:通过远程尝试使用已知用户名和错误密码登录来锁定合法用户(拒绝服务)。

这些漏洞会影响三菱电机 MLSEC 产品 R08/16/32/120SFCPU的所有版本和 R08/16/32/120PSFCPU的所有版本。目前还没有补丁来修复这些缺陷,CISA 敦促易受攻击产品的用户尽快应用以下缓解措施:

  • 当需要访问互联网时,使用防火墙或虚拟专用网络(VPN)等来阻止未经授权的访问;

  • 在局域网内使用并通过防火墙阻止来自不受信任的网络和主机的访问;

  • 使用 IP 过滤功能来限制可访问的 IP 地址;

  • 通过 USB 注册用户信息或更改密码。如果您已经通过网络注册了用户信息或更改了用户密码,建议通过 USB 更改一次密码。

来源:
https://us-cert.cisa.gov/ics/advisories/icsa-21-250-01

流行威胁情报

新的 Android 银行木马 SOVA 在野外被利用

Tag:银行木马,Android ,SOVA,野外利用

事件概述:

ThreatFabric 研究人员近期在野外发现了两个新版本的银行木马 SOVA,该木马是在8月上旬发现的一种新 Android 银行木马,其目标是在覆盖和键盘记录机制中添加其他高度危险的功能。SOVA 木马是由 Android 支持的编码语言 Kotlin 开发的,目前处于开发和测试阶段。SOVA 包含当前 Android 恶意软件中通常可用的功能,包括:

  • 覆盖攻击

  • 键盘记录

  • 通知操作

此外,它还有一个在 Android 恶意软件中并不常见的功能:

  • 会话 cookie 盗窃

野外发现的新版本木马与原始版本没有根本性的变化,只是引入了一些新功能和命令。与绝大多数 Android 银行木马 一样,SOVA 依靠 Overlay 攻击从受害者那里窃取 PII 实施覆盖攻击。SOVA 银行木马还具有窃取会话 Cookie、分布式拒绝服务、Clipper 和加密货币钱包等功能,并且该银行木马依赖于 RetroFit 的开源项目来与 C2 服务器进行通信。图片来源
https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html#intro

Chimaera 活动:TeamT*N*T 网络犯罪团伙瞄准全球数千个组织展开攻击活动

Tag:TeamT*NT ,Chimaera

事件概述:

AT&T 近期发表报告称发现 TeamT*NT 组织在2021年7月25日针对全球组织展开了一项新的攻击活动 Chimaera。Chimaera 活动主要针对多个操作系统(Windows、不同的 Linux 发行版,包括 Alpine、AWS、Docker 和 Kubernetes)和应用程序。恶意攻击者利用新的开源工具从受感染的机器上窃取用户名和密码,并且使用了多个 shell / 批处理脚本、新的开源工具、加密货币矿工、TeamT*NT IRC 僵尸等。

TeamT*NT 组织专注于窃取云系统凭据,使用受感染的系统进行加密货币挖掘,以及滥用受害者的机器搜索传播到其他易受攻击的系统。截至2021年8月30日,TeamT*NT 组织攻击活动使用的许多恶意软件样本的 AV 软件检测率仍然为零,且该活动在短短一个月内就造成了全球数千例感染,杀伤力可谓极其严重。

来源:
https://cybersecurity.att.com/blogs/labs-research/teamtnt-with-new-campaign-aka-chimaera

高级威胁情报

APT-C-36 针对南美实体展开网络钓鱼活动

Tag:APT,南美,RAT

事件概述:

近日,趋势科技研究人员发现了 APT-C-36(Blind Eagle、盲眼鹰)利用商业 RAT 针对南美实体的网络钓鱼邮件活动,其钓鱼邮件包括伪装哥伦比亚国家税务和海关总局发出的银行帐户扣押令或个人照片分享等内容。该活动的受害者大部分位于哥伦比亚,有些来自其他南美国家,如厄瓜多尔、西班牙和巴拿马。尽管 APT-C-36 的此次攻击活动目标仍不明确,但研究人员认为威胁组织开展此活动是为了获得经济利益,而不是间谍活动。该活动影响了多个行业,主要是政府、金融和医疗保健实体,也影响了金融、电信以及能源、石油和天然气行业。技术详情:威胁组织向目标投递伪装成哥伦比亚国家税务和海关总局的电子邮件,邮件包含存在短链接的 PDF 文件和 DOCX 文件。攻击者以银行帐户扣押令和证明伴侣存在外遇问题的照片为主题诱饵诱使受害者点击恶意链接。短链接被点击后会通过判断地理位置执行下一步操作:若受害者的地理位置属于攻击目标地址则跳转到恶意链接,执行后续有效载荷BitRAT;若不是则会将受害者重新定向到合法网站。图片来源:
https://www.trendmicro.com/en_us/research/21/i/apt-c-36-updates-its-long-term-spam-campaign-against-south-ameri.html

微步点评:1、简单画像

名称Blind Eagle (Qihoo 360)APT-C-36 (Qihoo 360)
国家拉丁美洲
目的信息窃取和间谍活动
首次出现时间2018年4月
目标行业金融、政府、大型国内公司和跨国公司分支机构
工具Imminent Monitor RAT 、 LimeRAT

2、TTP

图片

苹果修复 NSO Group 入侵 Apple 设备利用的 iMessage 0day 漏洞

Tag:NSO Group,苹果,0day漏洞

事件概述:

Citizen Lab 于9月13日发表报告称其发现了针对 Apple iMessage 的 0day 漏洞 FORCEDENTRY(CVE-2021-30860)。FORCEDENTRY 漏洞是存在于 Apple 图像渲染库的一个任意代码执行漏洞。Apple iOS、MacOS、WatchOS 设备受该漏洞的影响。Citizen Lab 于9月7日向 Apple 报告此漏洞的信息,Apple 于9月13发布补丁修复 FORCEDENTRY 漏洞。据研究人员表示该漏洞至少从2021年2月起就被投入使用,并且确定 NSO Group 通过 Pegasus 间谍软件利用 iMessage 零点击漏洞 FORCEDENTRY 来感染最新的 Apple 设备。FORCEDENTRY 漏洞是与 NSO Group 相关的一系列零点击漏洞利用中的最新一个。2019 年, NSO Group 在两周时间内利用 WhatsApp 零点击漏洞针对 1400 台设备展开攻击,2020 年,NSO Group 曾利用 iMessage 零点击漏洞 KISMET 针对半岛电视台记者展开攻击。

来源:
https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/
微步点评:

1、谁是 NSO Group?

NSO Group是一家从事网络情报工作的以色列公司,于2010年成立,以其 Pegasus 间谍软件(该软件可对智能手机进行远程监视)而闻名。Electronic Frontier Foundation 和 Citizen Lab 声称并证实 NSO Group 研发的软件在一些国家被用于针对人权护卫者和记者的攻击。

2、NSO  Group 近期出现在大众眼前的重大事件:

  • 上周,外媒曝出德国警方购买 NSO Group 间谍软件Pegasus。

  • 本周,外媒曝出 NSO Group 利用 iMessage 0day 漏洞入侵 Apple 最新设备。

3、NSO Group 业务范围:NSO Group内部文件揭示了该公司遍及欧洲诸国的业务以及与墨西哥签署的价值数百万美元合约。据2013年 NSO Group 内部电子邮件显示,墨西哥在3年中的3个项目中,向NSO Group支付了1500万美元费用。4、NSO Group 收费标准:NSO Group会根据监控目标数量为其间谍软件定价,安装费都是50万美元。如果要监控10个iPhone用户,NSO Group会收取政府机构65万美元费用。监控10名安卓用户、黑莓用户也分别收费65万美元,监控5名Symbian用户收费30万美元。当然要想监控更多目标,费用也会随之增加。NSO Group商业建议中称,要想监控100个额外目标,需要交付80万美元,50个额外目标50万美元,20个额外目标25万美元,10个额外目标15万美元。此外,NSO Group每年的间谍软件费用和维护费用相当于总费用的17%。(数据来自腾讯新闻)

惠普游戏本曝内核级漏洞,全球数百万台计算机受到影响

Tag:惠普,漏洞,严重

事件概述:

研究人员于9月14日公开惠普笔记本 OMEN 驱动程序存在的严重漏洞 CVE-2021-3437,该漏洞影响全球数百万台游戏计算机。这些漏洞允许攻击者在不需要管理员权限的情况下将权限提升到内核模式,禁用安全产品、覆盖系统组件甚至破坏操作系统造成严重的影响。这已不是惠普产品因安全问题第一次受到关注,早在在2019年,HP Touchpoint Analytics 软件被曝存在一个严重漏洞 CVE-2019-6333 受到关注,该漏洞攻击者利用该组件读取任意内核内存并有效地将恶意载荷列入许可名单绕过签名验证。

SentinelOne 网络安全公司于2月17日发现并向惠普报告了 OMEN 驱动程序漏洞 CVE-2021-3437,惠普在9月14日发布相关漏洞更新以修复此漏洞。该漏洞 SentinelOne 是自今年年初以来发现的影响软件驱动程序的一系列安全漏洞中的第三个。今年 5 月初,安全研究人员公开了有关戴尔固件更新驱动程序“dbutil_2_3.sys ”中多个权限提升漏洞的详细信息,该漏洞已被披露超过 12 年。然后在 7 月,他们还公开了一个影响“ ssport.sys ”的高严重性缓冲区溢出漏洞,该漏洞影响惠普、施乐和三星的打印机。

来源:
https://thehackernews.com/2021/09/hp-omen-gaming-hub-flaw-affects.html

勒索专题

纽约康复支持服务(RSS)疑似遭到 Grief 黑客组织的袭击

2021年9月10日,Rehabilitation Support Services, Inc. (RSS) 发布声明称6月份的攻击活动可能导致部分现任及前任员工信息受到影响,姓名、地址、出生日期、社会安全号码、健康保险信息、医疗诊断及治疗等信息可能遭到未授权的访问,疑似发生泄露。

6月1日,RSS 监测到了系统存在恶意活动;

7月5日,DataBreaches.net 报道称“Grief”的威胁行为者声称攻击了RSS;

9月8日,RSS 于向受影响的相关人员发送数据泄露事件的通知信息;

9月10日,RSS发表报告公开披露攻击事件。

来源:https://www.prnewswire.com/news-releases/rehabilitation-support-services-notifies-current-and-former-employees-and-clients-of-it-security-incident-301373523.html

钓鱼专题

中秋即将到来,需警惕 smishing 短信钓鱼

2021年9月14日,ESTsecurity 指出截至到8月,smishing 案例数已超过140,000 件,而在中秋之前 smishing 钓鱼攻击数量预计将进一步增加。smishing 钓鱼攻击经常冒充快递员、国家灾害基金、中秋手机礼券、非面对面的中秋短信进行钓鱼活动。

smishin 这项钓鱼活动似乎是只针对智能手机用户,如果您收到此类短信,请注意不要点击短信中的链接,避免成为 smishing 钓鱼攻击的受害者。

来源:

https://blog.alyac.co.kr/4110

# apt # 钓鱼邮件 # 威胁情报 # 勒索病毒 # APT # 威胁趋势
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录