安全威胁情报周报（4.3~4.9）

针对加密货币公司的大规模 3CX 供应链攻击

Tag：加密货币，供应链攻击

事件概述：

近日，Win、macOS、Linux多平台上的一款常用工具“3CX DesktopApp”遭攻击者投毒，攻击者篡改了几个最近Windows 和 Mac 版本的软件安装程序，以向用户计算机投递额外的信息窃取恶意软件。继针对 3CX 的供应链攻击后，其背后的组织瞄准部分加密货币公司部署了第二阶段的植入程序 Gopuram 后门展开攻击。其中木马化的 3CXDesktopApp 是多阶段攻击链中的第一阶段，它从 Github 中提取附加了 base64 数据的 ICO 文件，执行第三阶段的信息窃取程序 DLL 。但鉴于 3CX 供应链攻击的数十万潜在受害者，研究人员目前尚无法确定是否只有加密货币公司是其攻击目标。

技术手法：

威胁组织通过木马化的 3CXDesktopApp 应用程序充当 shellcode 加载程序反射加载 DLL，从 Github 中依次提取附加 base64 数据的 ICO 文件，解码并下载第二阶段植入程序 Gopuram，连接到命令和控制服务器并等待允许攻击者与受害者的文件系统交互、创建进程，并启动多达八个内存模块的进一步指令。最后阶段实现信息窃取功能，包括从 Chrome、Edge、Brave 和 Firefox 浏览器收集系统信息和浏览器信息。这包括从基于 Firefox 的浏览器的 Places 表和基于 Chrome 的浏览器的 History 表查询浏览历史和数据。

来源：

https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/

Winter Vivern 利用 Zimbra 漏洞瞄准北约军政和外交机构，展开攻击

Tag：政府、军队、外交、漏洞

事件概述：

近日，Proofpoint 披露了 TA473（又名Winter Vivern）组织利用 Zimbra Collaboration 服务器中漏洞 CVE-2022-27926 针对与北约相关的欧洲军事、政府和外交机构的攻击活动。该攻击始于2023年2月，攻击者使用 Acunetix 扫描未修复的网络邮件平台并发送钓鱼邮件，邮件中的链接利用 Zimbra 中漏洞将 JavaScript 载荷注入网页。这些载荷用于窃取用户名、密码和令牌来访问目标的邮件账户，然后访问目标邮件中的敏感信息并进行监控。

技术手法：

威胁组织通过 WordPress 托管域受感染的电子邮件地址发送电子邮件，欺骗电子邮件的发件人字段以显示为目标组织的用户，或参与全球政治的相关同行组织。在电子邮件正文中包含来自目标组织或相关同行组织的良性 URL，与恶意链接结合使用，以提供第一阶段的有效负载或重定向到凭证收集登陆页面。这些有效负载执行跨站请求伪造攻击，允许攻击者窃取用户名、密码、 cookie 和令牌，从而方便登录属于北约组织的面向公众的网络邮件门户。

来源：

https://www.proofpoint.com/us/blog/threat-insight/exploitation-dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability

Dragos：欧洲风电行业的工业系统面临的网络风险及安全措施

Tag：风电行业，网络安全

事件概述：

据 Dragos 发文指出，2022 年至少发生了三起针对风电场运营商和风力涡轮机制造商的重大网络攻击。虽然没有涡轮机物理损坏事件的报告，但这些事件导致了中断。如果攻击者通过采取任何措施来干扰破坏工控系统，可能会导致风力涡轮机损坏，在最极端的情况下，还会导致机械故障。由于风力发电厂位于偏远地区，并且供应链和物流方面存在挑战，因此修复这种损坏可能会很复杂且耗时。针对这些网络风险，研究人员提供了五种关键的网络安全控制措施，以防止对OT环境的网络威胁：

创建一个特定于 ICS 的事件响应计划，其中包括正确的联系点和特定地点特定场景的可靠后续步骤。
建议构建可防御的架构，例如移除无关的 OT 网络接入点，在 IT/OT 接口点保持强大的策略控制，并缓解高风险漏洞。
提高知名度并进行监测，维护资产清单，针对这些资产映射漏洞并主动监控潜在威胁的流量。
安全的远程访问对于风电场至关重要，建议实施多因素身份验证 (MFA) 以添加额外的安全层。
建议管理和修补漏洞。了解漏洞并制定管理计划是防御架构的关键组成部分，有效的漏洞管理计划需要及时了解适用于环境的关键漏洞，提供正确的信息和风险评估。

鉴于当今网络犯罪风险的增加，风电场和风力涡轮机制造商采取措施提高网络安全至关重要。

来源：

https://www.dragos.com/blog/assessing-industrial-cyber-risk-to-the-european-wind-industry/

ProPump and Controls 公司 Osprey 泵控制系统被曝存在多个漏洞

Tag：Osprey 泵，漏洞

事件概述：

近日，CISA 发布了一份公告披露了 ProPump and Controls 在 Osprey 泵控制器中存在的多个漏洞，这些漏洞允许攻击者造成重大问题，例如控制设备和中断供水，以及其他恶意活动。ProPump and Controls 位于美国，专注于为大规模应用制造水泵系统和自动化控制，这些应用包括高尔夫球场和草坪灌溉、市政供水和下水道、沼气、农业和工业。其曝光的漏洞信息如下：

CVE-2023-28395：Osprey 泵控制器中的弱会话令牌生成算法存在漏洞，攻击者可以利用此漏洞绕过身份验证和授权，并预测会话ID以劫持会话获取未授权访问；
CVE-2023-28375：未经身份验证的文件泄露可能会导致 Osprey 泵控制器泄露任意文件和敏感系统信息；
CVE-2023-28654：Osprey 泵控制器的 Web 管理界面配置存在硬编码密码的隐藏管理帐户，攻击者可以完全访问该帐户但无法更改其密码；
CVE-2023-27886和CVE-2023-27394：Osprey 泵控制器中的漏洞可能会导致未经身份验证的操作系统命令注入，攻击者可以通过HTTP POST或GET参数注入和执行任意 shell 命令；
CVE-2023-28648：Osprey 泵控制器的 GET 参数未经适当过滤，攻击者可以利用此漏洞在用户的浏览器会话上下文中执行攻击；
CVE-2023-28398：Osprey 泵控制器中的备用路径或通道存在漏洞，攻击者可以通过此路径或通道创建帐户并绕过身份验证来访问系统；
CVE-2023-28718：Osprey 泵控制器中存在的漏洞允许未经验证的用户通过 HTTP 请求执行操作，并可能导致未经授权的个人以管理权限执行操作。

来源：

https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-06

僵尸网络利用 Realtek 和 Cacti 漏洞传播恶意软件

Tag：僵尸网络，漏洞，恶意软件

事件概述：

近日，外媒报道称在 2023 年 1 月至 2023 年 3 月期间检测到的活动中发现僵尸网络利用 Realtek Jungle SDK 中的关键远程代码执行漏洞 CVE-2021-35394 和 Cacti 故障管理监控工具中的关键命令注入漏洞 CVE-2022-46169，传播 ShellBot 和 Moobot 恶意软件。Moobot 是 Mirai 的一个变种，于 2021 年 12 月首次被发现，目标是海康威视摄像头。ShellBot 于 2023 年 1 月首次被发现，并且据报道今天仍然活。为了防御这些恶意软件，建议使用强管理员密码并应用漏洞的安全更新。如果您的设备不再受其供应商支持，则应将其替换为较新的型号以接收安全更新。

技术手法：

Moobot 利用 CVE-2021-35394 和 CVE-2022-46169 感染易受攻击的主机，然后下载包含其配置的脚本并与 C2 服务器建立连接，通过交换心跳消息来识别出传入的命令。一旦识别出命令，Moobot 就会扫描并杀死其他已知机器人的进程，以便取受感染主机的最大硬件能力以发起 DDoS 攻击。此外，ShellBot 具有更广泛的命令集，具有一个漏洞利用增强模块，可以聚合来自 PacketStorm 和 milw0rm 的新闻和公共建议，与 C2 建立通信，等待接收命令并展开攻击。

来源：

https://www.bleepingcomputer.com/news/security/realtek-and-cacti-flaws-now-actively-exploited-by-malware-botnets/

Mantis 组织利用 Micropsia 和 Arid Gopher 新变种针对巴勒斯坦目标展开攻击

Tag：Mantis，Micropsia ， Arid Gopher，巴勒斯坦

事件概述：

Mantis 网络间谍组织（又名 Arid Viper、Desert Falcon、APT-C-23）以使用鱼叉式网络钓鱼电子邮件和虚假社交媒体资料来引诱目标在其设备上安装恶意软件而闻名，通过部署更新的工具集在目标网络上保持持久性。该组织主要瞄准以色列和其他一些中东国家的组织，目标行业包括政府、军事、金融、媒体、教育、能源和智库。近日，Broadcom 研究人员监测发现 Mantis 网络间谍组织针对巴勒斯坦领土内组织的攻击活动，恶意活动从 2022 年 9 月开始，至少持续到 2023 年 2 月，使用自定义恶意软件 Micropsia 和 Arid Gopher 植入程序的更新版本，旨在进行凭据和数据窃取活动。

技术手法：

威胁组织通过在目标设备部署同一工具集的三个不同版本，恶意软件执行三组不同的混淆 PowerShell 命令以加载 Base64 编码的字符串，从而启动嵌入式 shellcode。shellcode 是一个 32 位 stager，它使用基于 TCP 的基本协议从命令和控制 (C&C) 服务器下载另一个阶段，返回并转储凭据，然后使用 Certutil 和 BITSAdmin下载 Micropsia 后门和公开可用的 SSH 客户端 Putty。Micropsia 被用来截屏、键盘记录收集及压缩信息，以及在三台受感染的计算机上执行 Arid Gopher 后门。Arid Gopher 则通过运行 SetRegRunKey.exe工具将自身添加到注册表中在受害者设备中维持持久性。最后，威胁组织通过 Micropsia 后门泄露压缩收集的数据。

来源：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/mantis-palestinian-attacks

惠普宣布将在90天内修补打印机固件漏洞

Tag：打印机，漏洞

事件概述：

惠普在最新的安全公告中指出，将在90天内修复影响企业级打印机固件的严重漏洞 CVE-2023-1707，大约 50 种 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 型号受到影响。该漏洞可能允许攻击者访问易受攻击的HP打印机与网络上其他设备之间传输的敏感信息。由于易受攻击的设备需要运行 FutureSmart 固件版本 5.6 并启用 IPsec，因此存在受限的利用上下文。FutureSmart 允许用户通过打印机上可用的控制面板或用于远程访问的网络浏览器来工作和配置打印机，信息泄露漏洞可能允许攻击者访问易受攻击的 HP 打印机与网络上其他设备之间传输的敏感信息。IPsec（Internet 协议安全）是用于企业网络的 IP 网络安全协议套件，用于保护远程或内部通信并防止未经授权访问资产（包括打印机）。

针对上述漏洞，惠普表示目前尚无可用的修复程序。对于运行 FutureSmart 5.6 的客户，建议的缓解措施是将其固件版本降级到FS 5.5.0.3。此外，为了保护企业网络安全，建议用户定期更新补丁。

来源：
https://www.bleepingcomputer.com/news/security/hp-to-patch-critical-bug-in-laserjet-printers-within-90-days/

2023年3月30日

未打补丁的 IBM 文件传输软件成勒索软件攻击目标
外媒称随着使用勒索软件的攻击者继续发起攻击尝试，有关未打补丁的 IBM 构建的企业文件传输软件的用户面临的风险的新警告正在响起。攻击者可以利用IBM构建的企业文件传输软件漏洞（CVE-2022-47986）回避身份验证并远程执行代码。BuhtiRansom 和 IceFire 勒索软件组织都已经利用了该漏洞对易受攻击的服务器进行加密勒索。尽管 IBM 在2022年12月8日修补了该漏洞，但仍有许多用户没有打补丁，因此他们仍然面临着风险。由于该漏洞允许远程攻击者执行任意代码，因此越来越多的勒索软件组织可能会针对未打补丁的IBM文件传输软件进行攻击，建议及时修复设备漏洞。
来源：
https://www.govinfosecurity.com/ransomware-groups-hit-unpatched-ibm-file-transfer-software-a-21569

2023年4月5日

YouTube 上出现新型网络钓鱼诈骗！
4月5日，YouTube 披露了有关网络钓鱼诈骗的详细信息，试图欺骗用户提供个人信息或密码。钓鱼邮件利用 YouTube 平台的共享系统发送，邮件内容包含一个 Google Drive 链接和密码，以及一条消息告知用户 YouTube 的新货币化政策和新规则。为了营造紧迫感，用户被告知他们只有 7 天的时间来审查和回复，否则他们的 YouTube 访问将受到限制。为了避免成为YouTube 新型网络钓鱼诈骗的受害者，建议用户保持警惕，避免回复未知发件人发送的消息，即使是从公司的官方电子邮件地址发送的电子邮件也要仔细查看，并启用双因素身份验证。
来源：
https://www.hackread.com/youtube-phishing-scam-authentic-email-address/