安全威胁情报周报(9.11~9.17)
2023-9-17 22:21:4 Author: 微步在线研究响应中心(查看原文) 阅读量:8 收藏


Google Looker Studio遭受BEC 3.0攻击,骗取用户凭证和资金

  Tag:BEC3.0,加密货币,资金

事件概述:
近日,GoogleLooker Studio 遭到了一起严重的网络攻击,攻击者使用这个工具将信息(幻灯片、电子表格等)转化为可视化数据,如图表和图形。他们借此创建虚假的加密货币页面,旨在窃取资金和凭证。这是攻击者利用合法服务进行所谓的BEC 3.0攻击的又一方式。攻击者通过伪装成来自Google的电子邮件,以及利用SPF、DKIM和DMARC等多个验证机制,使电子邮件看起来合法。这些验证机制让电子邮件安全服务相信这不是一封钓鱼邮件,并确实来自Google。尽管攻击需要用户的合作才能成功,但一旦攻击成功,后果可能会非常严重。
技术手法:

攻击者使用GoogleLooker Studio托管用于窃取凭证的加密货币网站。攻击向量是电子邮件,类型为BEC 3.0,采用社会工程学和凭证窃取技术。攻击以一封伪装成来自Google的电子邮件开始,内容涉及Google Looker Studio。攻击者在Looker Studio中创建了一份报告,并在电子邮件中提供了报告的链接,声称用户可以通过遵循这些投资策略获得可观回报。用户只需点击链接即可访问其账户。当用户点击链接时,会被重定向到一个合法的Google Looker页面。然后,攻击者在此处托管了一个Google幻灯片,声称用户可以获得更多比特币。接下来,用户被引导至一个登录页面,旨在窃取其凭证。攻击者通过给用户制造紧急情况来增加攻击成功的机会,声称为了保护其账户,用户必须立即登录,最终窃取用户凭证。

来源:

https://blog.checkpoint.com/security/phishing-via-google-looker-studio

网络间谍组织为Redfly使用ShadowPad Trojan攻击亚洲国家电网

  Tag:Redfly,Trojan,国家电网

事件概述:
近日,Symantec 研究人员发现网络间谍组织Redfly使用ShadowPad Trojan攻击了一个亚洲国家的电网,攻击持续了长达六个月。攻击者成功窃取了凭证并侵入了该组织的多台计算机。此次攻击是一系列对关键国家基础设施(CNI)目标的网络间谍入侵事件的最新案例。
技术手法:
攻击中使用了ShadowPadTrojan,它是一种模块化的远程访问木马(RAT),最初被设计为Korplug/PlugX Trojan的继任者。尽管起初在暗网公开出售,但随后很快被少数买家购买,而后与网络间谍活动紧密关联。此次攻击采用了ShadowPad Trojan的变种,通过websencl[.]com域名进行命令和控制(C&C)。攻击者采取了伪装措施,将其伪装成VMware文件和目录,以掩盖其真实目的。攻击还确保了RAT的持久性,通过创建一个名为“VMware Snapshot Provider Service”的服务,在Windows启动时启动。
此外,攻击中还使用了Packerloader工具,用于加载和执行shellcode,以传递并执行感染计算机上的任意文件或命令。此工具会检查解密密钥,然后加载并执行有效载荷。同时,攻击者还部署了键盘记录器,它被配置用于存储捕获的按键记录。尽管尚未看到Redfly的破坏性活动,但这种类型的攻击在其他地区已经发生,因此仍然存在潜在风险。建议采取相应的保护和缓解措施。

来源:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/critical-infrastructure-attacks

思科BroadWorks平台被曝存在漏洞,可导致身份验证绕过

  Tag:思科,漏洞

事件概述:
CiscoBroadWorks应用交付平台和Cisco BroadWorks扩展服务平台被曝存在漏洞,可能允许未经身份验证的远程攻击者伪造访问受影响系统所需的凭据。这一漏洞源于验证SSO令牌的方法。攻击者可以通过伪造凭据进行应用的身份验证,成功利用漏洞可能使攻击者进行通话费用欺诈或以伪造账户的权限级别执行命令。如果伪造账户是管理员账户,攻击者将有能力查看机密信息、修改客户设置或修改其他用户的设置。要利用此漏洞,攻击者需要一个与受影响的Cisco BroadWorks系统关联的有效用户ID。此漏洞影响的产品包括Cisco BroadWorks应用交付平台和Cisco BroadWorks扩展服务平台,
Cisco已发布软件更新以解决此漏洞,截至目前尚无可解决此漏洞的临时方法,建议用户及时更新版本。

来源:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-auth-bypass-kCggMWhX

网络犯罪分子滥用合法工具进行加密货币挖矿攻击

 Tag:加密货币挖矿

事件概述:
自2021年11月以来,网络犯罪分子一直在滥用AdvancedInstaller,这是一个合法的Windows软件创建工具,以进行加密货币挖矿恶意活动。这一攻击活动主要以法语为主要语言,涵盖了建筑、工程、制造和娱乐等多个行业。攻击者的策略是捆绑合法软件安装程序,然后在用户互动时执行恶意脚本,以部署加密货币挖矿工具展开挖矿。
技术手法:
网络犯罪分子使用AdvancedInstaller的自定义操作功能,将合法软件安装程序与恶意脚本捆绑在一起。攻击的技术过程主要包括两个方面:
攻击方式一:建立后门和远程管理
攻击者使用AdvancedInstaller将M3_Mini_Rat客户端部署到受感染计算机上,该客户端具备远程管理功能,可进行系统侦察、下载和执行其他恶意二进制文件。随后,攻击者配置任务计划程序,以定期执行恶意操作。最终建立了后门,使攻击者能够远程管理受感染计算机。
攻击方式二:加密货币挖矿
在此攻击方式中,攻击者使用AdvancedInstaller捆绑合法软件安装程序,其中包含PhoenixMiner和lolMiner这两个加密货币挖矿工具。用户启动安装程序后,恶意脚本会定期运行这些挖矿工具,利用计算机的GPU进行加密货币挖矿。这些行业通常需要高性能显卡,适合进行加密货币挖矿,因此成为攻击者的目标。

来源:
https://blog.talosintelligence.com/cybercriminals-target-graphic-designers-with-gpu-miners/

Ballistic Bobcat 组织利用Sponsor后门发起网络攻击

  Tag:Ballistic Bobcat,Sponsor,后门

事件概述:
ESET研究人员发现了一个名为“Sponsor”的新型后门,由BallisticBobcat APT组织利用,目标包括巴西、以色列和阿联酋的多个实体组织,他们利用漏洞获取初始访问权限,然后使用各种开源工具和后门执行操作。Ballistic Bobcat APT组织是一个疑似伊朗背景的高级持久性威胁组织,主要攻击教育、政府、医疗组织以及人权活动家和记者。该组织在以色列、中东和美国最活跃,曾在大流行期间攻击与COVID-19相关的组织。
技术手法:
BallisticBobcat使用已知漏洞来获取初始访问权限,最初通过利用公开的Microsoft Exchange服务器的漏洞获得系统的访问权限,使用一系列开源工具来执行攻击,包括Mimikatz、Plink等。然后部署一个名为Sponsor的后门,它使用配置文件存储在磁盘上,这些文件通过批处理文件悄悄部署,以避免被扫描引擎检测到。威胁组织通过 Sponsor 后门收集主机信息,包括主机名、时区、Windows版本等,并将这些信息加密后发送到C&C服务器。此后,它通过周期性请求C&C服务器上的命令来执行操作,包括执行命令、下载文件、更新C&C服务器列表等。攻击者还可以更新Sponsor的配置文件,以更改通信间隔时间。

来源:

https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/

漏洞通告 | Jeecg Boot SQL注入漏洞

  Tag:漏洞,SQL注入

事件概述:
JeecgBoot是一款基于代码生成器的低代码开发平台,可以帮助解决Java项目的重复工作,提高企业应用开发效率,让开发更多关注业务逻辑。

近日,微步漏洞团队监测到JeecgBoot修复了一处SQL注入漏洞。Jeecg Boot v3.5.3及以下版本 jmreport 模块的 /show 接口存在 SQL注入漏洞,攻击者可以通过布尔盲注绕过黑名单检测,从数据库中获取敏感信息。经过分析和研判,该漏洞利于难度低,可导致数据库敏感信息泄漏。官方已发布安全更新,建议升级至最新版本。更多内容需查看“

漏洞通告 | Jeecg Boot SQL注入漏洞”。

来源:

https://mp.weixin.qq.com/s/FU07Bpy9dPC_wwZCFL28Hw

2023年9月13日

LockBit 部署失败后,转向 3AM勒索软件

外媒报道称一种新的勒索软件家族3AM出现在网络威胁中。截至目前,这款勒索软件仅在有限的攻击中被发现使用。Symantec的威胁猎手团队于近日注意到,一名勒索软件合作伙伴试图在目标网络上部署LockBit勒索软件,但由于受阻,转而使用了名为3AM的新型勒索软件。3AM是用Rust编写的,似乎是一款全新的恶意软件家族。这种勒索软件在加密文件之前会尝试停止受感染计算机上的多个服务,并试图删除卷影复制(VSS)副本。目前尚不清楚它的作者是否与已知的网络犯罪组织有关。

来源:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3am-ransomware-lockbit

2023年9月11日

黑客利用Facebook Messenger针对10万个企业账户发起钓鱼攻击

外媒报道称近一个月来,Facebook的Messenger平台遭到严重滥用,大量带有恶意附件的消息源源不断地从一群假冒和劫持的个人账户传播。这些威胁组织针对Facebook平台上数百万的企业账户,从高度评级的市场销售商到大型企业,使用虚假的业务咨询进行攻击,成功率惊人,大约每70个账户中就有一个受到感染!这次攻击活动背后的黑手源自越南的一个团队,该团队使用一个小型压缩文件附件,其中包含一个强大的基于Python的窃取程序,该程序通过简单而有效的混淆方法进行多阶段处理。

来源:

https://labs.guard.io/mrtonyscam-botnet-of-facebook-users-launch-high-intent-messenger-phishing-attack-on-business-3182cfb12f4d

---End---


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247503101&idx=1&sn=04400f733cd4f8e0c7ed26883c62ae51&chksm=cfcaafe9f8bd26ff9848a5ce5fa49e042c4643b32515c7dddfa9a7ecaa974b04422044716c00&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh