安全威胁情报周报(5.29~6.4)
2023-6-4 22:29:44 Author: 微步在线研究响应中心(查看原文) 阅读量:12 收藏


Magalenha 行动:巴西黑客组织针对葡萄牙金融机构展开攻击

  Tag:Magalenha,银行,葡萄牙,凭证

事件概述:

近日,外媒报道了巴西黑客组织进行的名为"Magalenha行动"的恶意活动,主要针对30家葡萄牙政府和私人金融机构。这一活动可追溯到2021年,主要目标包括ActivoBank、Caixa Geral de Depósitos、CaixaBank、Citibanamex、Santander、Millennium BCP、ING、Banco BPI和Novobanco等机构。威胁组织通过使用多种手段,如网络钓鱼电子邮件、社交工程和仿冒相关组织的恶意网站,进行初始感染,然后加载后门进行间谍活动,窃取凭据并泄露用户的数据和个人信息。为了确保持续的操作,威胁组织已将其基础设施托管从实施更严格反滥用措施的IaaS提供商转移到Timeweb,这是一家以更宽松政策而闻名的俄罗斯IaaS提供商。

技术手法:

攻击过程始于感染阶段,黑客组织利用网络钓鱼电子邮件、社交工程和仿冒恶意网站等多种手段将恶意软件传播给目标用户。感染过程使用混淆的VB脚本作为起点,将恶意软件加载程序注入受害者系统。通过在大量注释中隐藏恶意代码,VB脚本的混淆技术有效降低了静态检测的检测率。在感染过程中,两个变体的延迟后门"PeepingTitle"被加载到受害者系统中。这些变体用于捕获屏幕和监视窗口以及用户的交互。通过匹配窗口标题,恶意软件记录用户的输入,包括凭证,并将其发送到威胁参与者的C2服务器。此外,PeepingTitle还具备其他功能,如捕获屏幕截图、终止进程和动态更改监视间隔配置。为了规避调查和干扰,黑客组织还采取了转向使用不太知名的云服务提供商的措施。

来源:

https://www.bleepingcomputer.com/news/security/operation-magalenha-targets-credentials-of-30-portuguese-banks/

Dark Pink APT 组织持续活跃,针对亚太地区政府和军队展开攻击

  Tag:Dark Pink,APT,政府,军事

事件概述:

Dark Pink APT 组织在 2023 年来继续保持活跃,瞄准印度尼西亚、文莱和越南的政府、军队和教育组织展开攻击。该威胁组织自2021年年中以来一直保持活跃状态,但直到2023年1月才被Group-IB报告首次曝光。最近的攻击中,Dark Pink 展示了改进的攻击链,采取了不同的持久性机制,并部署了新的数据泄露工具。此外,威胁组织还利用 PowerShell 脚本进行横向移动,识别并与网络中的SMB共享交互,进一步扩大攻击范围。
技术手法:
Dark Pink APT组织主要通过鱼叉式网络钓鱼进行初始感染,并利用DLL侧加载启动后门程序"TelePowerBot"和"KamiKakaBot"。然后使用 PowerShell 脚本进行横向移动,与网络中的SMB共享进行交互,以扩大攻击范围。此外,他们还滥用合法软件和开发工具的PowerShell命令,利用DropBox上传和通过临时端点进行渗漏等方法进行数据泄露,并使用PUT方法将文件上传到外部地址,并通过创建新的 WebClient 对象实现数据泄露。

来源:
https://www.bleepingcomputer.com/news/security/dark-pink-hackers-continue-to-target-govt-and-military-organizations/

能源安全危机:俄罗斯工控恶意软件 CosmicEnergy 威胁电力系统

  Tag:能源,俄罗斯,工控,电力

事件概述: 

近日,研究人员发现了一种名为 CosmicEnergy 的新型恶意软件,专门瞄准工业控制系统。该恶意软件与IEC 60870-5-104(IEC-104)设备进行交互,目标是破坏广泛采用的电力系统,影响欧洲、中东和亚洲地区。据研究人员称,CosmicEnergy是在2023年1月至4月期间被部署的,采用了名为"Win32/Industroyer"的模块,该模块曾在2016年乌克兰电力中断事件中使用过。这些模块使恶意软件能够与电力系统的通信协议进行交互,从而控制或破坏设备。研究人员认为,俄罗斯APT团伙"TEMP.Veles"与CosmicEnergy背后的黑客组织有关联,而该团伙与2017年乌克兰电力中断事件有牵连。

技术手法:

CosmicEnergy是一种新型的工业控制系统恶意软件,它由两个组件PIEHOP和LIGHTWORK组成。PIEHOP是使用Python编写的工具,通过与远程MSSQL服务器交互,上传文件并向远程终端单元(RTU)发送远程命令。PIEHOP依赖于LIGHTWORK来发送IEC-104命令,以控制RTU的状态,并在发送命令后删除可执行文件。LIGHTWORK是使用C++编写的工具,通过TCP连接实现了IEC-104协议,可以修改RTU的状态。研究人员发现,CosmicEnergy本身不具备侦查功能,因此操作者需要进行内部侦察以获取环境信息。综上所述,CosmicEnergy的出现表明攻击者利用之前攻击的经验开发了新的恶意软件,对受影响的电力系统资产构成潜在威胁,因此需要采取预防措施。

来源:
https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response


云存储风险曝光:多个大厂中招

  Tag:云存储,网络空间测绘

事件概述:

近年来,伴随着企业上云的步伐不断加快,云上业务与数据随之增多,同时云上风险和安全事件也层出不穷。对象存储作为云原生的一项重要功能,同样面临着一系列安全挑战。在对象存储所导致的安全问题中,绝大部分是由于用户错误的配置导致的。云上服务资产数量巨大、类型众多,不同服务及资产暴露的攻击面均不相同,安全态势复杂,尽管对象存储服务等公有云服务在配置界面已经设置了多种提示和警告措施,云上数据泄露事件依然每年都在发生,而云上数据可能泄露的敏感信息多种多样。近年来的安全事件泄漏信息包括:用户信息, 公司内部信息、数据库等各种配置信息,系统构建源码,git仓库信息、平台账号、密码、密钥、证书、隐私数据等。

存储桶数据泄露事件主要是人为错误配置导致的。而从发现的敏感信息来看,访问权限的错误配置导致的数据泄露问题如今仍在时刻发生着。针对存储桶数据泄露的防护策略可从两个方向入手,一方面需要加强存储桶运维人员的安全意识,从源头上避免访问权限错误配置的情况发生,另一方面则需要有效的数据安全评估工具,当存储桶有数据泄露的情况发生时,可以进行及时地发现并锁定敏感信息。更多内容需查看“云存储风险曝光:多个大厂中招”。

来源:

https://mp.weixin.qq.com/s/s4sH4UWzzqhR4y4lva6vHA

Void Rabisu组织部署RomCom后门展开攻击

  Tag:Void Rabisu,后门,RomCom

事件概述:

近日,Trendmicro的研究人员发布了一份报告,披露了Void Rabisu组织的最新活动。该组织以伪造知名软件网站的方式,利用谷歌广告和鱼叉式网络钓鱼邮件进行推广,诱使用户下载并启动木马化的安装程序,最终用于部署名为RomCom的后门工具。Void Rabisu组织一直活跃于勒索软件攻击活动,并且这些活动通常被认为是出于经济利益的驱动。然而,最近的RomCom活动显示该组织的动机似乎至少自2022年10月以来发生了变化。RomCom后门工具首次于2022年8月被披露,并被归因于Tropical Scorpius组织。该后门工具的整体架构包括42个恶意命令,其中包括屏幕截图工具、网络浏览器cookie窃取程序、加密货币钱包窃取程序、通信聊天窃取程序和FTP凭证窃取程序等多个窃取组件。这一系列活动的发现提醒着我们要保持警惕,并采取适当的安全措施来保护个人和组织的信息安全。
来源:
https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html

0day通告|大华智慧园区综合管理平台远程代码执行漏洞

  Tag:0day,漏洞

事件概述:

大华智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。近日,微步在线漏洞团队通过“X漏洞奖励计划”获取到大华智慧园区综合管理平台远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。大华管理平台低于 V3.001.0000004.18.R.2223994 的版本均受该漏洞的影响。经过分析与研判,该漏洞利用难度低,漏洞细节已公开,可以执行远程命令,建议尽快修复。更多内容需查看“0day通告|大华智慧园区综合管理平台远程代码执行漏洞”。
来源:
https://mp.weixin.qq.com/s/H_kLv__lCNmdCRZSR9LVDg

2023年5月26日

瑞士大型跨国企业ABB遭勒索软件攻击,数据被盗

瑞士大型跨国企业ABB 确认遭受网络攻击,导致运营中断、项目延期,并对工厂造成重大影响。攻击由Black Basta勒索软件团伙发起,影响了数百个Windows系统。ABB 在发现攻击行为后,立即终止与客户的VPN连接以阻止攻击者进一步访问网络。迄今为止,取证调查未发现客户系统受到直接影响的证据,并且没有客户报告此情况发生。ABB正在恢复所有剩余受影响的服务和系统,并采取额外的安全措施来保护免受未来攻击。调查仍处于早期阶段,ABB正在与执法部门合作以减少勒索软件攻击的影响。

来源:

https://www.bleepingcomputer.com/news/security/us-govt-contractor-abb-confirms-ransomware-attack-data-theft/

2023年5月26日

新型网络钓鱼攻击利用加密消息窃取Microsoft 365账户凭据

Trustwave研究人员发现,网络钓鱼者正在使用网络钓鱼电子邮件中附加的加密受限权限消息(.rpmsg)来窃取Microsoft 365帐户凭据。这些网络钓鱼电子邮件从受感染的Microsoft 365帐户发送给在收件人公司计费部门工作的个人。电子邮件包含一个带有长URL的“阅读消息”按钮,并附带一个.rpmsg附件。受害者需要使用自己的Microsoft 365账户登录或请求一次性密码才能查看消息。在重定向的过程中,受害者会被要求点击多个按钮,并最终导向一个欺骗性的Microsoft 365登录页面,以获取他们的凭据。这种针对Microsoft 365的网络钓鱼攻击通过使用加密的.rpmsg消息来避开电子邮件扫描网关的检测。
来源:
https://www.helpnetsecurity.com/2023/05/26/phishing-encrypted-emails/

---End---

CSOP 2023

网络安全领域最具专业性的年度盛会之一 CSOP 2023 网络安全运营与实战大会将于6月8日在深圳继续,安全负责人和CISO不能错过~

长按识别下方二维码即可报名:


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247501945&idx=1&sn=c7c4711a5a0a51c17f95b5eb589fd210&chksm=cfcaab6df8bd227b9bb5c2961aaefd9c40b88ed2da6dce20c100d9bcf44ed04d1e534fbfaec1#rd
如有侵权请联系:admin#unsafe.sh