安全威胁情报周报（10.24~10.30）

英国保险公司 Kingfisher Insurance 疑似遭到 Lockbit 勒索软件攻击

Tag：Kingfisher Insurance ，Lockbit

事件概述：

近日，据外媒报道称 LockBit 勒索软件团伙入侵了英国保险公司 Kingfisher Insurance ，勒索团伙在其泄密网站上声称窃取了 Kingfisher Insurance 公司1.4TB 的数据，其中包括员工和用户的私人数据，以及属于 Kingfisher 的联系人和公司邮件档案。并且勒索软件团伙设定了赎金缴纳的最后期限为11月28日，如果 Kingfisher Insurance 公司未能遵守他们的要求，LockBit 勒索软件团伙将向公众发布窃取的数据。随后，英国保险公司 Kingfisher Insurance 回应确认 IT 系统遭到攻击，但没有明确数据泄露的规模。

根据安全厂商 CyberInternational 的研究表明，LockBit 是 2022 年第三季度最活跃的勒索软件团伙，发起了 37% 的勒索软件攻击，较上一季度激增 5%。自 2019 年出现以来，LockBit 通过招募黑客渗透网络和加密设备，继续作为勒索软件即服务 (RaaS) 运营。今年早些时候，该团伙针对全球私营和公共部门，包括意大利税务局、网络安全公司 Mandiant 和 NHS 供应商 Advanced。同月，匿名黑客针对其暗网服务器发起 DDoS 攻击，LockBit 勒索团伙数据泄露。

来源：
https://www.cysecurity.news/2022/10/lockbit-30-ransomware-targets-uk-based.html?utm_source=dlvr.it&utm_medium=twitter

乌克兰国家组织遭 RomCom 恶意软件攻击

Tag：乌克兰，RomCom

事件概述：

近日，乌克兰政府计算机应急响应小组（CERT-UA）发布声明称，监测发现乌克兰武装部队总参谋部新闻处遭到攻击。攻击者利用乌克兰武装部队总参谋部分发包含用于下载“订单”的第三方网络资源链接的电子邮件，网页以关于需要更新软件(PDF阅读器)的消息诱导用户点击“下载”按钮，下载 RomCom恶意软件的可执行文件“rmtpak.dll”。根据 RomCom 后门的使用以及相关文件的其他功能，CERT-UA 将该恶意软件疑似归属于 Cuba 勒索软件活动。

来源：
https://cert.gov.ua/article/2394117

伊朗核能机构电子邮件服务器被攻击，数据疑似发生泄露

Tag：伊朗，核能，邮件服务

事件概述：

伊朗原子能组织于近日称，其子公司的一个电子邮件服务器遭到黑客攻击，目前尚未将攻击归因于具体的黑客组织。但一个声称来自伊朗的激进组织 Black Reward 于10月21日在 Telegram 上表示访问了由一家与伊朗原子能组织有关的公司运营的电子邮件服务器，并窃取了324个收件箱信息，其中包括超过100000条消息，总计超过50G文件。这些邮件的内容包括核电站的建设计划、为该组织工作的伊朗人的个人信息，以及协助伊朗核电工作的俄罗斯工程师的护照详细信息。

此前，伊朗民用核武器部门曾称南部港口城市布什尔运营的核电站使用的电子邮件系统遭到攻击，攻击者背景归因于“外国”，但也未曾进行详细说明。

来源：
https://securityaffairs.co/wordpress/137513/hacking/hackers-stole-sensitive-data-from-irans-atomic-energy-agency.html

智能公司 Abode Systems 被曝存在严重漏洞，允许黑客劫持、禁用摄像头

Tag：摄像头，严重漏洞

事件概述：

Abode Systems 是一家美国智能公司，销售智能 DIY 家庭安全系统和摄像头，其中包括用于检测入侵或不需要的运动传感器。用户可以通过网站或移动设备上的应用程序控制系统，并可以将其与 Amazon Alexa、Apple Homekit 和 Google Home集成。近日，据研究人员披露，Abode Systems 套件存在14个严重的操作系统命令注入漏洞，三个严重漏洞为格式字符串注入、身份验证绕过和整数溢出漏洞，九个漏洞为高度严重的格式字符串注入漏洞，攻击者可以使用特制的 HTTP 请求、XCMD 或配置值来利用这些漏洞。Abode Systems 被曝存在的这些严重漏洞允许攻击者更改用户密码、更改设备配置、注入任意代码，远程控制目标摄像机或禁用它们，甚至完全关闭系统。

截至目前，供应商已经发布了修补所有漏洞的软件更新，且建议用户尽快更新到安全版本。

来源：
https://www.securityweek.com/critical-flaws-abode-home-security-kit-allow-hackers-hijack-disable-cameras

Emotet 僵尸网络发起新一轮恶意垃圾邮件活动

Tag：Emotet，僵尸网络

事件概述：

自臭名昭著的 Emotet 僵尸网络死灰复燃后，近日又曝出与新一波恶意垃圾邮件活动有关。这些活动利用受密码保护的文档文件将 CoinMiner 和 Quasar RAT 投放到受感染的系统上。虽然像这样的网络钓鱼攻击传统上需要说服目标打开附件，但该活动通过使用批处理文件自动提供密码来解锁有效负载，从而避开了这一障碍。

技术手法：

威胁组织通过向目标投递包含附件的钓鱼邮件，以发票为诱饵诱使目标下载包含一个解压(SFX)文件的ZIP文件，第一个压缩文件充当启动第二个压缩文件的渠道。第一个 SFX 文件进一步伪装 PDF 或 Excel 图标使其看起来合法，受密码保护的第二个 SFX RAR 文件，启动存档的批处理脚本，以及诱饵 PDF 或图像。批处理文件的执行会导致安装潜伏在受密码保护的 RARsfx [自解压 RAR 存档] 中的恶意软件 CoinMiner。

来源：
https://thehackernews.com/2022/10/emotet-botnet-distributing-self.html

Domestic Kitten 组织利用恶意软件，瞄准伊朗公民展开间谍攻击

Tag：Domestic Kitten，APT，伊朗

事件概述：

Domestic Kitten（又名 APT-C-50）是伊朗背景的威胁组织，至少从2016年就开始活跃，旨在瞄准可能对伊朗政权的稳定构成威胁的伊朗公民，包括内部持不同政见者、反对派力量、伊斯兰国的拥护者、库尔德少数民族，展开间谍攻击。近日，研究人员监测发现伊朗威胁组织 Domestic Kitten 正在进行一项新的恶意攻击活动，该活动伪装成一个翻译应用程序，分发最新版本的 FurBall 的 Android 恶意软件，旨在从受感染的移动设备中获取敏感信息。

技术手法：

威胁组织通过伊朗博客网站、电报频道和 SMS 消息等不同媒介引诱潜在受害者安装流氓应用程序。威胁组织以前用于隐藏恶意行为的恶意程序涵盖安全、新闻、游戏和壁纸应用等不同类别，最新迭代涉及以翻译服务为幌子运行的应用程序。这些应用程序都充当了传播恶意软件 FurBall 的渠道。最新版本的恶意软件FurBall 恶意软件保留了核心间谍软件功能，但该工件仅请求访问联系人的一项权限，从而限制其访问 SMS 消息、设备位置、通话记录和剪贴板数据，并且可以从远程服务器检索命令，从而允许它收集联系人、来自外部存储的文件、已安装应用程序列表、基本系统元数据和同步的用户帐户。

来源：
https://thehackernews.com/2022/10/hackers-using-new-version-of-furball.html

Apple 发布针对 iOS 和 iPadOS 0day 漏洞的安全更新

Tag：Apple，0day

事件概述：

近日，科技巨头 Apple 公司发布安全更新以修复 iOS 和 iPadOS 中的 0day 漏洞CVE-2022-42827。该漏洞为内核中的越界写入漏洞，流氓应用程序可能会滥用该漏洞执行具有最高权限的任意代码。越界写入漏洞的成功利用(通常发生在程序尝试将数据写入超出允许访问范围的内存位置时)可能导致数据损坏、崩溃或执行未经授权的代码，且据称该漏洞已出现在野利用。

CVE-2022-42827 是继 CVE-2022-32894 和 CVE-2022-32917 之后，Apple 连续第三次修补与内核相关的越界内存漏洞。此次安全更新适用于 iPhone 8 及更新机型、iPad Pro（所有机型）、iPad Air 第 3 代及更新机型、iPad 第 5 代及更新机型以及 iPad mini 第 5 代及更新机型。

来源：
https://thehackernews.com/2022/10/apple-releases-patch-for-new-actively.html

医疗系统 Aurora Health 数据遭到泄露，300万患者受影响

Tag：数据泄露

事件概述：

近日，外媒称威斯康星州和伊利诺伊州拥有26家医院的医疗保健系统 Advocate Aurora Health(AAH)数据遭到泄露，该事件暴露了3000000名患者的个人数据。数据泄露事件是由于患者登录并输入敏感的个人和医疗信息的网站 AAH 上的 Meta Pixel 的不当使用造成的。Meta Pixel 是一种 JavaScript 跟踪器，可帮助网站运营商了解访问者如何与网站互动，从而帮助他们进行有针对性的改进。然而，跟踪器也会将敏感数据发送到Meta (Facebook)，然后与庞大的营销网络共享，这些营销网络针对患者投放与其病情相匹配的广告。这一隐私泄露事件已席卷美国，因为该国许多医院都在使用 Meta Pixel，将数百万人暴露给第三方，且引发针对相关组织的集体诉讼。

来源：
https://www.bleepingcomputer.com/news/security/health-system-data-breach-due-to-meta-pixel-hits-3-million-patients/

2022年10月21日

BlackByte 勒索软件组织部署新的渗透工具展开攻击
研究人员监测发现 BlackByte 勒索软件组织分支机构 Ransom.Blackbyte 在攻击期间开始使用自定义数据泄露工具。该恶意软件(Infostealer.Exbyte)旨在加快从受害者网络中窃取数据并将其上传到外部服务器的速度。BlackByte 是一种勒索软件，由赛门铁克称为 Hecamede 的网络犯罪组织运行。2022年2月，当美国联邦调查局(FBI)发布警告称 BlackByte 已被用于攻击美国的多个实体，包括至少三个关键基础设施部门的组织。最近几个月，BlackByte已成为勒索软件攻击中最常用的有效载荷之一。
来源：
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/blackbyte-exbyte-ransomware

2022年10月20日

警惕！伪装成沙特政府的新网络钓鱼活动
研究人员发现了多个模仿沙特政府服务门户网站 Absher 的网络钓鱼域名，以向公民提供欺诈性服务并窃取他们的凭据。攻击者通过发送短信和链接来针对个人，诱使人们登录仿冒的 Absher 登录页面，诱骗受害者填写敏感的个人身份信息 (PII)，注册完成后将受害者重定向到一个伪造的银行登录页面，从而窃取登录凭据。
来源：
https://cloudsek.com/threatintelligence/phishing-campaign-targeting-the-saudi-government-service-portal-absher/
xx-leaks-52-gb-barcelona-health-centers-data-a-20260

点击下方片，关注我们

第一时间为您推送最新威