安全威胁情报周报(2.27~3.5)
2023-3-5 22:30:17 Author: 微步在线研究响应中心(查看原文) 阅读量:17 收藏


攻击者利用 Parallax RAT 渗透加密货币组织,窃取敏感数据

  Tag:加密货币,Parallax RAT,数据窃取

事件概述:

自2019年12月以来,Parallax RAT 主要通过垃圾邮件活动或网络钓鱼电子邮件传播,旨在读取登录凭据、访问文件、键盘记录、远程桌面控制等。近日,Uptycs 威胁研究团队监测到针对加密货币组织的 Parallax 远程访问木马 (RAT) 的活跃样本,旨在渗透目标组织窃取敏感数据。
技术手法:
威胁组织通过购买的远程访问木马 (RAT) 工具从网站 dnsdumpster.com 获取加密货币公司的私人电子邮件地址,利用钓鱼邮件传播恶意软件,使用注入技术隐藏在合法进程中。成功感染受害者的机器后,在启动文件夹创建副本文件进行维持,然后攻击者通过用作通信渠道的 Windows 记事本连接到 Telegram 频道与受害者进行交互,从受害机器收集敏感信息,例如系统信息、键盘记录和远程控制功能,并将其加密存储到应用程序数据目录文件。

来源:
https://www.uptycs.com/blog/cryptocurrency-entities-at-risk-threat-actor-uses-parallax-rat-for-infiltration


PureCrypter 活动:旨在利用 Discord 分发恶意软件瞄准亚太地区和北美的政府实体组织

  Tag:PureCrypter,Discord,政府

事件概述:

近日,Menlo Labs 监测发现一个未知的威胁组织的攻击活动,该活动利用 Discord 分发 PureCrypter 下载器,旨在瞄准亚太地区和北美的政府实体组织展开攻击。PureCrypter 是一款高级下载器,可下载远程访问木马 (RAT) 和信息窃取程序,恶意软件使用一个受感染的非营利组织的域作为命令和控制(C2)来提供第二个有效载荷,传播多种类型的恶意软件,包括 Redline Stealer、AgentTesla、Eternity、Blackmoon 和 Philadelphia 勒索软件。
技术手法:
攻击者利用 Discord 托管有效载荷,并通过电子邮件发送有效载荷的链接,诱导目标下载包含 PureCrypter 载荷加密的 ZIP文件。然后攻击者通过 PureCrypter 下载器下载名为 AgentTesla 的后门,从不同浏览器窃取存储的密码、剪贴板记录、屏幕键盘记录和捕获屏幕等。AgentTesla 与被接管的 FTP 服务器建立连接,将收集到的受害者的凭据上传至云端服务器。

来源:
https://www.menlosecurity.com/blog/purecrypter-targets-government-entities-through-discord/


美国石油生产商Encino Energy疑似遭到ALPHV勒索软件攻击

  Tag:石油生产商,勒索软件

事件概述:

Encino Energy 是美国最大的私人天然气和石油生产商之一, 它是北美天然气前25位的生产商,是俄亥俄州最大的石油生产商和该州第二大天然气生产商。2月末,ALPHV 勒索软件团伙将 Encino Energy 公司添加到其数据泄露网站,并宣称窃取了 Encino Energy 的400GB数据。在勒索软件组织 ALPHV 在暗网上公开披露其成为勒索目标之后,Encino Energy 于近日回应称其遭到网络攻击,在发现未经授权的活动后,对其展开调查和补救,其业务没有受到影响,将继续照常运营,但尚未正面回应是否遭到 ALPHV 勒索软件攻击、攻击发生的具体时间以及是否发生数据泄露。

据媒体报道指出,对 Encino Energy 的勒索软件攻击是 ALPHV 对石油和天然气生产商的最新一次攻击,ALPHV 此前也曾多次攻击相关能源行业,如卢森堡 Encevo 集团下属两家能源公司勒索攻击事件。

来源:
https://therecord.media/encino-energy-cyberattack-alleged-data-leak-alphv/


CISA 发布三项工业控制系统公告

  Tag:工业系统,漏洞

事件概述:

CISA 于 2023 年 2 月 23 日发布了多条工业控制系统 (ICS) 公告,这些公告提供了有关 ICS 的当前安全漏洞的信息。具体信息如下:

CVE-2023-0755:该漏洞存在于 ThingWorx Edge 产品,受影响的产品容易受到数组索引验证不当的影响,这可能允许攻击者使服务器崩溃并远程执行任意代码。
CVE-2023-0754:该漏洞存在于 ThingWorx Edge 产品,受影响的产品容易受到整数溢出或回绕的影响,这可能允许攻击者使服务器崩溃并远程执行任意代码。
CVE-2022-3086:该漏洞存在于 Moxa  UC系列设备,是由物理访问控制不当导致的。该漏洞对受影响的 Moxa UC 系列设备具有物理访问权限的攻击者可以启动设备重启并获得对其 BIOS 的访问权限。然后可以更改命令行选项,从而允许攻击者访问终端。从终端修改设备的身份验证文件以创建新用户并获得对系统的完全访问权限。

来源:

https://www.cisa.gov/news-events/alerts/2023/02/23/cisa-releases-three-industrial-control-systems-advisories


黑客利用木马化 macOS 应用程序部署挖矿恶意软件

  Tag:macOS、木马、挖矿

事件概述:

Jamf 研究人员于近日监测发现合法应用程序的木马化版本被用于在 macOS 系统上部署规避型加密货币挖掘恶意软件。恶意软件伪装成苹果公司开发的视频编辑软件 Final Cut Pro,恶意版本的 Final Cut Pro 包含了一个未经苹果公司授权的修改,会在后台执行 XMRig。该恶意软件利用 Invisible Internet Project (i2p) 下载恶意组件,并将开采的货币发送到攻击者的钱包。研究人员发现时,VirusTotal 上的任何安全供应商都没有检测到这个特定样本具有恶意。现在苹果公司已经采取措施打击这种滥用行为,在 macOS Ventura 中对经过公证的应用程序进行更严格的Gatekeeper 检查,从而防止被篡改的应用程序发布。

来源:
https://www.jamf.com/blog/cryptojacking-macos-malware-discovered-by-jamf-threat-labs/

APT-C-36(盲眼鹰)组织针对哥伦比亚发起攻击

  Tag:APT-C-36,APT,哥伦比亚

事件概述:

APT-C-36(也称为盲眼鹰)至少自 2019 年以来一直在积极瞄准哥伦比亚和厄瓜多尔的组织,依靠发送给特定公司的鱼叉式网络钓鱼电子邮件来开展攻击活动。2 月 20 日,黑莓研究和情报团队发现了一起新的活动,攻击者冒充哥伦比亚政府税务机构,针对哥伦比亚的关键行业展开攻击,包括该国内卫生、金融、执法、移民和负责和平谈判的机构。
技术手法:
感染的初始媒介是通过电子邮件发送的 PDF 附件,与以往钓鱼不同的是网络钓鱼电子邮件的发件人选择使用密件抄送 (BCC) 字段而不是收件人字段,将骗局发送至哥伦比亚波哥大商会网站的官方电子邮件地址。钓鱼邮件以拖欠了 45 天的税款为诱饵,诱使目标点击链接查看包含他们的加密发票文档。PDF 包含的 URL 不同于指向以往虚假的钓鱼链接,链接显示的的合法超链接。但是,如果用户点击真实的 URL,将被重定向到另一个网站,然后这个新站点的 URL 字段包含一个从公共服务 Discord 下载第二阶段有效负载的 URL。


来源:
https://blogs.blackberry.com/en/2023/02/blind-eagle-apt-c-36-targets-colombia


0day 速修!Smartbi 远程命令执行漏洞

  Tag:Smartbi ,0day,远程代码执行漏洞

事件概述:

近日,微步在线通过“X漏洞奖励计划”获取到Smartbi大数据分析平台远程命令执行漏洞的0day相关漏洞情报,攻击者可以通过此漏洞进行任意命令执行,导致系统被攻击与控制。Smartbi是思迈特软件推出的商业智能BI软件,满足BI产品的发展阶段。思迈特软件整合了各行业的数据分析和决策支持的功能需求,满足最终用户在企业级报表、数据可视化分析、自助探索分析、数据挖掘建模、AI 智能分析等场景的大数据分析需求。Smartbi大数据分析平台V7<=Smartbi<= V10.5.8 范围内的版本均受该漏洞影响。

建议受影响的版本进行自动或手动升级,使用相关安全服务平台进行风险排查和处置。更多内容需查看"0day 速修!Smartbi 远程命令执行漏洞"。

来源:
https://mp.weixin.qq.com/s/1mDl3skG5LYyP6b3ekpAzQ

2023年2月28日

美国法警署遭到重大勒索软件攻击

外媒报道称美国法警署遭遇勒索软件攻击,系统受到影响,第三方和某些美国法警员工的个人信息被盗。为了应对勒索软件攻击,法警署断开了受影响系统的连接,司法部启动了取证调查。调查发现受影响的系统包含“执法敏感信息,包括法律程序的回执文件、行政信息以及与 USMS 调查对象有关的个人身份信息”。为应对勒索软件攻击,建议强化网络弹性,使用强而独特的密码、实施 MFA 和零信任原则、使用特权访问管理 (PAM) 来保护关键账户、部署分层安全性以防止横向移动以及定期培训员工关于网络钓鱼和网络犯罪。

来源:
https://www.hackread.com/us-marshals-service-ransomware-attack/

2023年2月27日

多个垃圾邮件活动分发 DarkCloud Stealer

Cyble研究人员发现威胁组织正在通过各种垃圾邮件活动分发一种复杂的信息窃取程序DarkCloud Stealer,通过投递包含恶意链接/附件的网络钓鱼电子邮件分发dropper,旨在从受害者的计算机或移动设备中能够收集系统信息,捕捉屏幕截图,监视剪贴板活动,并从目标系统检索数据。DarkCloud Stealer 有一个很长的目标列表和几个功能,这使得它具有很强的适应性。为了防止此类攻击并将影响降至最低,建议用户和组织采取充分的安全措施,例如防病毒和反网络钓鱼解决方案,以及具有多层可见性的更强大的安全控制。
来源:
https://cyware.com/news/darkcloud-stealer-targets-users-and-businesses-worldwide-5cd2ed7f/


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247500040&idx=1&sn=4c660412cd8935ba3e1373236b343e16&chksm=cfcaa21cf8bd2b0ac426eccef7116e934ec68348442488425f5c488feb7a6e247e444aa626ca#rd
如有侵权请联系:admin#unsafe.sh