安全威胁情报周报(8.29~9.4)
2022-9-4 22:8:39 Author: 微步在线研究响应中心(查看原文) 阅读量:12 收藏


EdFinancial 和 OSLA  金融贷款公司数据发生泄露,250万学生贷款账户数据暴露

  Tag:漏洞,数据泄露

事件概述:

近日,外媒报道称俄克拉荷马州为学生提供贷款的学生贷款管理局 (OSLA) 和 EdFinancial 数据发生泄露,超 250 万学生的贷款数据被曝光。此次 OSLA 和 EdFinancial 数据泄露是由于为学生提供贷款服务在线网站的第三方技术服务商 Nelnet Servicing 遭到网络攻击。6月,攻击者入侵了Nelnet Servicing,在目标服务器驻留了长达一个月。尽管 Nelnet Servicing 表示在第一时间检测到违规行为后立即阻止了网络攻击,并向 EdFinancial 和 OSLA 等受影响的各方机构发送通知。 但随后 Nelnet 调查证实财务信息没有发生泄露,贷款学生的全名、实际地址、电子邮件地址、电话号码和社会安全号码等信息遭到泄露。随后 EdFinancial 公开强调他们只有部分客户的数据由 Nelnet Servicing 托管,并非所有通过他们贷款的学生都受到数据泄露的影响,以此减小数据泄露事情对 EdFinancial 造成的影响。

针对此次数据泄露事件,OSLA 和 EdFinancial 将为受数据泄露影响的个人免费提供为期一年的身份盗窃保护服务,保护受影响个人的数据安全。此外,还提示用户对身份盗用和欺诈事件应保持警惕。

来源:
https://www.bleepingcomputer.com/news/security/nelnet-servicing-breach-exposes-data-of-25m-student-loan-accounts

朝鲜威胁组织 Kimsuky 瞄准俄罗斯外交部展开攻击

  Tag:Kimsuky,俄罗斯,朝鲜

事件概述:

近期,研究人员捕获到 Kimsuky 组织针对俄罗斯外交部攻击活动的样本信息,经分析发现 Kimsuky 此次攻击是通过网络电子邮件进行的,并试图利用已失陷的俄罗斯驻沈阳总领事馆账户,对俄罗斯驻日本总领事馆展开进一步攻击。
技术详情:
威胁组织通过伪装成大使馆会计部门向目标投递包含附件的钓鱼邮件,并以转移资金为诱饵诱使受害者点击嵌入恶意宏代码的文件,启动内嵌的 vbs 文件,通过设置任务计划与指定的 C&C 服务器通信,接收攻击者的命令,执行恶意操作。


来源:
https://blog.alyac.co.kr/4892

意大利石油巨头 ENI 疑似遭到勒索软件攻击

  Tag:意大利,石油,勒索软件

事件概述:

近日,意大利石油巨头 ENI 公司公开披露称遭到网络攻击,攻击者获得了其系统的访问权限后对公司网络进行了未经授权的访问。由于 ENI 在短时间发现了攻击行为,第一时间采取措施阻止了攻击,攻击对 ENI 造成的影响很小。据称此次攻击是勒索软件,但 ENI 尚未公开关于攻击事件的具体细节和此次攻击背后的幕后黑手及攻击动机,尚无法证实攻击事件的性质。

早前,意大利能源组织就经常是网络攻击的目标。8月中旬,意大利能源机构 Gestore dei Servizi Energetici SpA (GSE)遭到网络攻击,基础设施受到了严重损害,对机构的运营产生了严重影响。截至目前,GSE 的网站仍处于关闭状态。

来源:
https://securityaffairs.co/wordpress/135116/hacking/eni-suffered-cyberattack.html

“深湖暗影”攻击剧本揭密,采用 FontOnLake 恶意软件作案

  Tag:FontOnLake,Linux

事件概述:

近期,微步参与一起有关 FontOnLake 恶意软件的攻击事件分析取证。经过分析,有如下发现:首次观察到攻击者会使用 Ladon、ssh_scan、NATBypass、fscan 等渗透工具,并且绝大部分工具只有简体中文说明;而且发现 FontOnLake 恶意软件较新版本。FontOnLake 是一个经过精心设计并且在持续发展的恶意软件家族。此类恶意软件以 Linux 系统为目标,会伪装成实用工具软件例如 kill、cat、ssh 等,具备收集登录凭据,充当代理服务器,执行 shell 命令等后门能力,并且会利用内核态 rootkit 来隐藏自身的存在。使用 FontOnLake 的攻击者十分谨慎,目前观察到的样本都使用不同的 C&C 服务器地址,常用高端口,而且当样本出现在公开平台之后,样本使用的 C&C 服务器就不再处于活动状态。更多内容需查看“深湖暗影攻击剧本揭密,采用 FontOnLake 恶意软件作案”。
攻击剧本:
  • 攻击者扫描到攻击目标的一个 web 服务存在 Yii 框架远程命令执行漏洞。

  • 通过 wget 下载系统对应版本的 FontOnLake 恶意软件。

  • 在机器上进行信息收集,会重点关注到 .ssh/ 下面的证书文件。

  • 利用 NATBypass 内网穿透端口转发工具,将内网的 ssh 端口转发到公网服务器。

  • 使用 ssh_scan 工具对 ssh 端口进行爆破。

  • 使用 Ladon 的 go 版本以及 fscan 对内网进行快速扫描。 

来源:
https://mp.weixin.qq.com/s/pgKs4POmqi2Bnjg_uPbIoQ

Mercury APT 组织利用 Log4j 漏洞瞄准以色列组织展开攻

  Tag:Mercury,Log4Shell

事件概述:

Mercury 又名 MuddyWater、Static Kitten、Seedworm、TEMP.Zagros, 是伊朗背景的威胁组织。近日,微软研究人员监测发现 Mercury 组织利用 Log4j 漏洞瞄准以色列组织展开攻击。该组织在过去的攻击中曾利用 Log4j2 漏洞瞄准易受攻击的 VMware 应用程序,此次该组织首次使用 SysAid 应用程序作为初始访问媒介利用漏洞展开攻击。
技术手法:
威胁组织利用 SysAid Server 作为初始访问的载体,待获得访问权限后,MERCURY 使用自定义和开源工具以及内置操作系统工具在目标组织内提升权限、添加注册表项建立持久性、转储凭据并横向移动进行手动键盘攻击。
常见的技术和工具:
  • 邮箱网络钓鱼攻击:MERCURY 长期以来一直对目标进行鱼叉式网络钓鱼攻击,这些初始网络钓鱼邮件中包含指向或直接附加商业远程访问工具(例如 ScreenConnect)的链接。

  • 使用云文件共享服务:MERCURY 利用商业上可用的文件共享服务以及自托管资源来交付有效载荷。

  • 使用商业远程访问应用程序:目标通过商业可用的远程访问应用程序,这允许 MERCURY 获得提升的权限,并能够轻松地将文件(主要是 PowerShell 脚本)传输到受害者的环境中。

  • 工具:MERCURY 选择的工具往往是 Venom 代理工具、Ligolo 反向隧道和 PowerShell 程序。


来源:
https://www.microsoft.com/security/blog/2022/08/25/mercury-leveraging-log4j-2-vulnerabilities-in-unpatched-systems-to-target-israeli-organizations/

警惕!畅捷通T+曝 RCE 漏洞,已被用于勒索攻击

  Tag:RCE漏洞,勒索软件攻击

事件概述:

近日,微步获取到畅捷通T+任意文件上传相关漏洞情报,攻击者可以利用该漏洞任意上传任意文件,从而造成远程代码执行。畅捷通T+是一款互联网管理软件,主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。适用于异地多组织、多机构对企业财务汇总的管理需求;全面支持企业对远程仓库、异地办事处的管理需求;全面满足企业财务业务一体化管理需求。畅捷通T+ 低于包括 17.x 版本均受该 RCE 漏洞影响,更多详情内容查看“警惕!畅捷通T+曝 RCE 漏洞,已被用于勒索攻击”。

来源:
https://mp.weixin.qq.com/s/vMwYQYLKX5GXeUVD9ersMA

2022年8月26日

Agenda 勒索软件瞄准亚洲、非洲组织展开定制化攻击

研究人员监测发现新的 Agenda 勒索软件瞄准亚洲、非洲组织展开攻击,为目标专门定制专属的勒索攻击,使用唯一的扩展名和专属数额的赎金。该勒索软件以 Golang 编写,针对 Windows 系统,印度尼西亚、沙特阿拉伯、南非和泰国的医疗保健和教育组织已成为其最新受害者。Agenda 支持多个命令行参数,构建运行时配置以定义其行为,删除卷影副本,终止各种防病毒进程和服务,并创建指向自身副本的自动启动条目。此外,勒索软件会更改默认用户的密码,然后使用修改后的凭据启用自动登录,以安全模式重新启动机器,并在重新启动时开始加密数据。
来源:
https://www.securityweek.com/new-agenda-ransomware-customized-each-victim

2022年8月24日

攻击者利用 Office 365 瞄准公司高层人员展开网络钓鱼攻击

外媒指出攻击者专门为组织中的个人高管制作专属网络钓鱼电子邮件,以精心制作附件以重定向公司交易窃取账户资金。攻击者将高端鱼叉式网络钓鱼与中间人 (AiTM) 攻击相结合,以规避多因素身份验证 (MFA) 和允许他们使用 MFA 创建访问持久性的 Microsoft 365 后门,并转移凭据。

来源:
https://cybernews.com/security/scammers-exploit-office-365-to-target--executives/

点击下方片,关注我们

第一时间为您推送最新威胁情报


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247495991&idx=1&sn=63f916bc5930412d03f7634790aafe52&chksm=cfca9223f8bd1b35e19f4f417e83a71e37fd4769dcd2e9dc4bba94308322859905a9bac3e5f3#rd
如有侵权请联系:admin#unsafe.sh