本期
目錄
2022。3。12-3。18
全球情報資訊
“
1
惡意軟體
Escobar:Aberebot銀行木馬的新變體
CaddyWiper:針對烏克蘭的新型資料擦除惡意軟體
Gh0stCringe RAT 被分發到易受攻擊的資料庫伺服器
Trickbot在C2基礎設施中使用物聯網裝置
Cyclops Blink 殭屍網路針對華碩路由器發起攻擊
DirtyMoe 殭屍網路利用蠕蟲模組迅速傳播
“
2
熱點事件
德國政府建議不要使用卡巴斯基防毒軟體
HackerOne 就錯誤地阻止支付向烏克蘭駭客道歉
CISA、FBI 警報:美國和全球衛星通訊網路面臨潛在威脅
“
3
漏洞情報
CISA增加了 15 個已知的被利用漏洞
FBI警報:俄羅斯攻擊者使用 MFA 漏洞進行橫向移動
“
4
勒索專題
育碧娛樂公司遭Lapsus$勒索軟體攻擊
知名輪胎製造商遭LockBit勒索軟體攻擊
Lapsus$勒索團伙公開招募科技公司內部人員
LokiLocker勒索軟體家族分析
“
5
媒體行業
匿名者駭客攻擊俄羅斯聯邦安全域性 (FSB) 網站
Anonymous駭客入侵俄羅斯Roskomnadzor機構
“
6
能源行業
Anonymous組織攻擊俄羅斯石油公司的德國分公司
“
7
惡意活動
大規模網路釣魚活動使用 500 多個域以竊取憑據
攻擊者透過YouTube分發RedLine資訊竊取程式
冒充美國國稅局的Emotet釣魚郵件活動
“
8
高階威脅情報
俄羅斯勒索團伙重用其他 APT 組織的自定義駭客工具
惡意軟體威脅情報
1.Escobar:Aberebot銀行木馬的新變體
Aberebot是一種流行的Android銀行木馬,受害者包括18個國家/地區的140多家銀行和金融機構的客戶,可以竊取登入憑據等敏感資訊。研究人員發現了一個名為“Escobar”的Aberebot新變體,該變體透過名稱和圖示類似於McAfee防病毒應用程式的惡意軟體傳播,可以從 Google身份驗證器竊取資料並使用 VNC 控制受感染的裝置螢幕。
參考連結
https://ti。dbappsecurity。com。cn/info/3202
2.CaddyWiper:針對烏克蘭的新型資料擦除惡意軟體
3月14日,研究人員在針對烏克蘭組織的攻擊中觀察到新的資料擦除惡意軟體CaddyWiper,這種惡意軟體會從連線的驅動器中刪除使用者資料和分割槽資訊,目前已在少陣列織的幾十個系統上觀察到了該惡意軟體。CaddyWiper 是透過 GPO 部署的,這表明攻擊者事先已經控制了目標的網路。
CaddyWiper 是自 2022 年初以來在烏克蘭攻擊中部署的第四個資料擦除惡意軟體。此前,研究人員還披露了HermeticWiper、IsaacWiper以及WhisperGate擦除器,CaddyWiper擦除器與已知的其他惡意軟體沒有任何明顯的程式碼相似性。
參考連結
https://ti。dbappsecurity。com。cn/info/3208
3.Gh0stCringe RAT 被分發到易受攻擊的資料庫伺服器
Gh0stCringe又名CirenegRAT,是基於 Gh0st RAT 程式碼的惡意軟體變種之一。它於 2018 年 12 月首次被發現,已知是透過 SMB 漏洞(使用 ZombieBoy 的 SMB 漏洞工具)分發的。近日,研究人員發現,Gh0stCringe RAT正在被分發到易受攻擊的資料庫伺服器(MS-SQL、MySQL 伺服器)。
參考連結
https://ti。dbappsecurity。com。cn/info/3212
4.Trickbot在C2基礎設施中使用物聯網裝置
Trickbot 是一種複雜的特洛伊木馬,自 2016 年被發現以來已經發生了重大變化,並不斷擴充套件其功能。研究團隊最近發現,Trickbot 的 C2 基礎架構中使用了MikroTik 裝置,其目的是在受 Trickbot 影響的裝置和網路中的標準防禦系統無法檢測到的 C2 伺服器之間建立一條通訊線路。
參考連結
https://ti。dbappsecurity。com。cn/info/3217
5.Cyclops Blink 殭屍網路針對華碩路由器發起攻擊
Cyclops Blink 是一種先進的模組化殭屍網路,疑似與Sandworm或Voodoo Bear APT組織有關。研究人員發現了針對華碩路由器的 Cyclops Blink 惡意軟體系列的變種。模組化惡意軟體能夠從裝置的快閃記憶體中讀取和寫入,從而實現永續性。其他模組可以收集裝置資訊並允許殭屍網路從 Web 下載和執行其他檔案。
參考連結
https://ti。dbappsecurity。com。cn/info/3222
6.DirtyMoe 殭屍網路利用蠕蟲模組迅速傳播
DirtyMoe 殭屍網路自 2016 年開始活躍,用於執行加密劫持和分散式拒絕服務 (DDoS) 攻擊,透過PurpleFox等外部漏洞利用工具包或 Telegram Messenger 的注入安裝程式進行部署。研究人員發現,DirtyMoe惡意軟體獲得了新的類似蠕蟲的傳播能力,使其能夠在不需要任何使用者互動的情況下擴大其影響範圍。
參考連結
https://ti。dbappsecurity。com。cn/info/3221
熱點事件
1.德國政府建議不要使用卡巴斯基防毒軟體
卡巴斯基是一家總部位於莫斯科的網路安全和反病毒提供商,成立於 1997 年。卡巴斯基有著悠久的成功歷史,但也存在該公司可能與俄羅斯政府有關係的爭議。由於俄羅斯對歐盟、北約和德國的威脅,德國聯邦資訊保安辦公室 (BSI) 警告德國公司,使用非俄羅斯供應商的軟體代替卡巴斯基的產品。卡巴斯基認為,BSI 對刪除卡巴斯基產品的警告是一項政治決定,而不是對其產品的技術評估。
參考連結
https://ti。dbappsecurity。com。cn/info/3213
2
.HackerOne 就錯誤地阻止支付向烏克蘭駭客道歉
當地時間3月15日,漏洞賞金平臺 HackerOne 的 CISO就錯誤阻止烏克蘭駭客的漏洞賞金支付而道歉。在俄烏武力衝突爆發後,HackerOne平臺對烏克蘭、俄羅斯和白俄羅斯實施制裁,凍結了他們的漏洞賞金支付。然而,在大眾一致反對凍結烏克蘭賬戶後,HackerOne 退縮並恢復了烏克蘭駭客的賬戶,允許他們再次提取收入。
參考連結
https://ti。dbappsecurity。com。cn/info/3214
3.CISA、FBI 警報:美國和全球衛星通訊網路面臨潛在威脅
3月17日,網路安全和基礎設施安全域性 (CISA) 和聯邦調查局 (FBI) 釋出安全警告,稱已經意識到美國和全球衛星通訊 (SATCOM) 網路面臨的“潛在威脅”,成功入侵 SATCOM 網路可能會給 SATCOM 網路提供商的客戶環境帶來風險。
參考連結
https://ti。dbappsecurity。com。cn/info/3223
漏洞情報
1.CISA增加了 15 個已知的被利用漏洞
CISA 在其已知利用漏洞目錄中添加了 15 個新漏洞,這些漏洞是攻擊者的常見攻擊媒介,可以對企業構成重大風險。
參考連結
https://ti。dbappsecurity。com。cn/info/3211
2.FBI警報:俄羅斯攻擊者使用 MFA 漏洞進行橫向移動
3月15日,FBI釋出警報稱,俄羅斯國家支援的攻擊者已透過利用預設 MFA 協議和已知漏洞獲得網路訪問許可權。早在 2021 年 5 月,俄羅斯攻擊者就利用了一個非政府組織 (NGO) 設定為預設 MFA 協議的錯誤配置帳戶,然後利用一個關鍵的 Windows Print Spooler 漏洞“PrintNightmare”(CVE-2021-34527)以系統許可權執行任意程式碼。
參考連結
https://ti。dbappsecurity。com。cn/info/3215
勒索專題
1.育碧娛樂公司遭Lapsus$勒索軟體攻擊
育碧娛樂軟體公司(Ubisoft Entertainment)是一家跨國的遊戲製作、發行和代銷商。3月10日,該公司稱遭遇了一起“網路安全事件”,導致其遊戲、系統和服務中斷,但目前沒有證據表明玩家的個人資訊遭洩露。據悉,Lapsus$勒索軟體團伙為此次事件的攻擊者,該團伙此前還攻擊了三星、英偉達和 Mercado Libre 公司。
參考連結
https://ti。dbappsecurity。com。cn/info/3203
2.知名輪胎製造商遭LockBit勒索軟體攻擊
普利司通美洲公司是全球最大的輪胎製造商之一,在全球擁有數十個生產單位和超過 130,000 名員工。3月11日,LockBit 勒索軟體團伙聲稱攻擊了普利司通美洲公司,並宣佈將洩露從該公司竊取的資料。目前尚不清楚 LockBit 從普利司通公司竊取了哪些資料,或者洩露這些資料會對公司造成多大的不利影響。
參考連結
https://ti。dbappsecurity。com。cn/info/3204
3.Lapsus$勒索團伙公開招募科技公司內部人員
3月10日,Lapsus$ 勒索軟體團伙宣佈開始招募受僱於主要科技巨頭和 ISP 的內部人員,包括微軟、蘋果、EA Games 和 IBM公司職員。他們的興趣範圍還包括主要的電信公司,如巴西移動運營商Claro、西班牙電信公司Telefonica和美國電話電報公司AT&T。Lapsus$求購遠端VPN訪問許可權,邀請潛在的內部人員透過 Telegram 私下聯絡他們,透過支付報酬以換取訪問許可權。
參考連結
https://ti。dbappsecurity。com。cn/info/3210
4.LokiLocker勒索軟體家族分析
LokiLocker是一個相對較新的勒索軟體家族,於2021年8月中旬首次在野被發現,攻擊目標為講英語的受害者和Windows 裝置。該軟體與 LockBit 勒索軟體有一些相似之處(如登錄檔值、勒索檔案檔名),但它似乎不是LockBit的變體。
LokiLocker RaaS還擁有一個可選的擦除器功能,如果受害者沒有在攻擊者指定的時間範圍內付款,所有非系統檔案將被刪除並覆蓋 MBR,使受害者的檔案全部被刪除並使系統無法使用。
參考連結
https://ti。dbappsecurity。com。cn/info/3218
政府部門威脅情報
1.匿名者駭客攻擊俄羅斯聯邦安全域性 (FSB) 網站
3月15日,Anonymous表示針對俄羅斯頂級政府網站發起了DDoS攻擊,導致聯邦安全域性FSB、證券交易所、俄羅斯聯邦政府分析中心和俄羅斯聯邦體育部的官方網站被迫關閉離線。此次攻擊是Anonymous組織正在進行的名為 OpRussia 的行動的一部分,發生在 2022 年 3 月 15 日下午 12:12(格林威治標準時間)左右。
參考連結
https://ti。dbappsecurity。com。cn/info/3219
2.Anonymous駭客入侵俄羅斯Roskomnadzor機構
國際駭客組織Anonymous再次對俄羅斯發起攻擊,聲稱已經入侵了俄羅斯主要的聯邦機構 Roskomnadzor(又名聯邦通訊、資訊科技和大眾媒體監督局)。此外,Anonymous組織還聲稱已竊取了超過 360,000 個檔案。
參考連結
https://ti。dbappsecurity。com。cn/info/3205
能源行業威脅情報
1.Anonymous組織攻擊俄羅斯石油公司的德國分公司
美國聯邦資訊保安辦公室 (BSI) 14日表示,俄羅斯能源巨頭 Rosneft 的德國子公司遭到網路攻擊。駭客組織 Anonymous 聲稱對此次攻擊負責,並表示已經竊取了 20 TB 的資料。
參考連結
https://ti。dbappsecurity。com。cn/info/3206
惡意活動威脅情報
1.大規模網路釣魚活動使用 500 多個域以竊取憑據
2022 年 1 月下旬,研究人員發現了一項大規模網路釣魚活動,活動使用數百個域,旨在竊取Naver的憑據。Naver 是韓國類似谷歌的線上平臺,提供電子郵件、新聞和搜尋等多種服務。Naver 的大量有效憑據快取可能非常有價值:它可以提供對各種受害者的個人 Naver 帳戶的訪問許可權,同時由於密碼重用,還可以提供對其他幾個企業登入名的訪問許可權。研究人員確定的第一個關鍵節點是 IP 172。93。201[。]253;大量具有共同註冊人 (mouraesse@gmail[。]com) 的以 Naver 為主題的網路釣魚域都解析為該 IP。
參考連結
https://ti。dbappsecurity。com。cn/info/3220
2.攻擊者透過YouTube分發RedLine資訊竊取程式
近日,研究人員發現了一個透過YouTube分發惡意軟體的活動,攻擊者使用Valorant遊戲作弊器為誘餌,誘使玩家下載資訊竊取程式 RedLine。該活動針對的是Valorant的遊戲社群,這是一款適用於Windows的免費第一人稱射擊遊戲。RedLine可從受感染的系統中竊取以下資料:基本資訊、Web 瀏覽器資訊、加密貨幣錢包、主機地址、埠號、使用者名稱和密碼等。
參考連結
https://ti。dbappsecurity。com。cn/info/3207
3.冒充美國國稅局的Emotet釣魚郵件活動
Emotet 是一種惡意軟體感染,通常透過帶有包含惡意宏的附加 Word 或 Excel 文件的網路釣魚電子郵件傳播。近日,研究人員發現了多個網路釣魚活動,發件人冒充美國國稅局,郵件使用與 2022 年美國稅收季節相關的誘餌,向目標傳送納稅表格或聯邦申報表。
參考連結
https://ti。dbappsecurity。com。cn/info/3216
高階威脅情報
1.俄羅斯勒索團伙重用其他 APT 組織的自定義駭客工具
新的研究發現,一個講俄語的勒索軟體組織可能透過重新利用其他 APT 組織(如伊朗MuddyWater)開發的定製工具,針對歐洲和中美洲賭博和遊戲行業的實體。
此次攻擊發生在 2022 年 2 月,攻擊者利用了ADFind、NetScan、SoftPerfect和LaZagne等後期利用工具,還使用了一個 AccountRestore 可執行檔案來暴力破解管理員憑據。Ligolo 是伊朗APT組織 MuddyWater使用的主要反向隧道工具,攻擊者在此次攻擊中使用了一個Ligolo工具的變體:Sockbot。Sockbot 的修改變體是一個 Golang 二進位制檔案,旨在以隱蔽和安全的方式將內部資產從受感染的網路公開到網際網路。
參考連結
https://ti。dbappsecurity。com。cn/info/3209
注:本文由E安全編譯報道。