安全威胁情报周报(11.13~11.19)
2023-11-19 22:19:49 Author: 微步在线研究响应中心(查看原文) 阅读量:4 收藏

加密货币交易平台Poloniex遭黑客攻击,超 1亿美元加密资产被窃

  Tag加密货币

事件概述:
近日,加密交易平台Poloniex遭到黑客入侵,导致超过1亿美元的比特币和以太坊被盗。平台已通过社交媒体确认对此次盗窃展开调查,并计划全额赔偿受影响的用户。为追回资金,Poloniex表示愿支付5%的盗窃金额作为赏金,并向黑客发出请求,在7天内回复以避免执法介入。同时,他们正在与其他合作伙伴探讨合作,以促进资金的追回。
Poloniex成立于2014年,2018年被Circle收购,后由加密企业家Justin Sun接手,并将公司迁至塞舌尔群岛以规避监管。Justin Sun在黑客调查声明中表示,Poloniex财务状况良好,将全额赔偿受影响的资金。团队已成功冻结与黑客地址相关的资产,目前损失在可控范围内,运营收入足以覆盖这些损失。

多家区块链安全公司对被盗金额有不同的估算,但普遍认为损失在1.14亿至1.3亿美元之间。此次攻击发生在加密平台攻击相对平静的时期后,引发对数字资产安全性的广泛关注。在此之前,Exact Protocol和Harbor Protocol在八月份也遭受数百万美元的币被盗,而在今年早些时候,利用Vyper等网络漏洞的黑客成功盗取了至少6100万美元的加密货币。这一系列事件引发了对整个加密交易行业安全性的关切。

来源:
https://therecord.media/poloniex-cryptocurrency-platform-millions-stolen?&web_view=true

TA402 使用复杂的 IronWind 感染链针对中东政府展开攻击

  TagTA402,中东政府

事件概述:
自2023年7月至10月, Proofpoint研究人员观察到TA402展开了网络钓鱼活动,利用一种名为IronWind的新型初始访问下载器进行攻击。随后的下载器阶段包括下载Shellcode等附加内容。在这段时间内,TA402对交付方式进行了调整,从使用Dropbox链接转向使用XLL和RAR文件附件,这可能是为了规避检测。
TA402一直致力于高度有针对性的活动,每次活动仅对不到五个组织进行。该威胁组织的主要关注点是中东和北非地区的政府机构。Proofpoint自2020年以来一直在追踪TA402,并确认其为中东地区的高级持久性威胁(APT)组织,代表巴勒斯坦利益,并且与Molerats、Gaza Cybergang、Frankenstein和WIRTE等公开报道中的信息有所重叠。
技术手法:
在2023年7月至10月期间,TA402的攻击过程呈现出多个阶段。通过钓鱼电子邮件,TA402首先使用嵌有宏的恶意Microsoft PowerPoint Add-in文件传播IronWind。IronWind通过HTTP GET请求与TA402的C2域通信,进入第三阶段,使用反射式.NET加载器进行WMI查询。随后,通过C#编写的.NET可执行文件进行第四阶段,该文件使用SharpSploit进行后期渗透。在8月,TA402转向使用XLL文件附件传播IronWind,采用新的社交工程诱饵。而在10月,TA402采用RAR文件附件,使用新的C2域inclusive-economy[.]com。技术手法的演变表明TA402不断调整其攻击方法,保持其网络间谍任务的持续性。
来源:
https://www.proofpoint.com/us/blog/threat-insight/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government


ICS 补丁公告:西门子和施耐德电气修复了 90 个漏洞

  Tag:ICS,西门子,施耐德

事件概述:
2023年11月,“西门子和施耐德电气发布多项工控系统漏洞公告,涵盖大约90个影响其产品的漏洞。
其中西门子发布了14个新公告,近 80多个漏洞的信息,其中许多漏洞影响到第三方组件。关键漏洞在Simatic MV500固定式光学阅读器、Sinec PNI设备初始化程序、Siprotec保护装置、Scalance路由器和Desigo CC建筑管理系统中得到解决。此外,西门子向客户通报了Scalance通信设备、Ruggedcom设备中使用的Nozomi Networks的安全软件、Simatic PCS Neo分布式控制系统(DCS)、Simcenter Femap仿真应用、Tecnomatix Plant Simulation软件、Mendix Studio Pro开发平台以及西门子OPC UA建模编辑器中存在的高危漏洞。这些漏洞的利用可能导致任意代码执行、拒绝服务(DoS)攻击、文件和信息曝露以及权限升级。西门子已经或计划发布许多漏洞的补丁,尽管有些产品将不会获得修复。

施耐德电气发布了三个新公告,通知客户有关五个漏洞的补丁的可用性。在EcoStruxure Power产品中,公司解决了一个高风险漏洞,可被利用将用户重定向到任意域,以及一个中风险漏洞,可通过跨站脚本(XSS)攻击执行任意JavaScript。在PowerLogic产品中,施耐德修补了一个可被利用上传恶意固件到设备的高风险问题,以及一个可被拥有提升权限的攻击者利用以破坏用户浏览器的中风险漏洞。第三个公告描述了Galaxy UPS设备中的一个可导致文件系统枚举和文件下载的中风险漏洞。

来源:
https://www.securityweek.com/ics-patch-tuesday-90-vulnerabilities-addressed-by-siemens-and-schneider-electric/

爆发式攻击:“山猫”团伙近期针对政府、能源、教育行业展开攻击

  Tag山猫,政府,教育,能源

事件概述:
近期,微步情报局发现了一个活跃的网络黑产团伙,将其命名为“山猫”,该团伙在2023年10月28日至11月1日爆发式地攻击了政府、能源和教育等行业的多家企业,触发了近万次的告警。山猫团伙最早于2021年初开始活跃,采用广泛的钓鱼攻击获取用户主机控制权限,早期以贩卖受控主机为主。近期的攻击以“税务处罚名单”、“电子发票开具”等主题的钓鱼邮件和微信社工为手段,主要攻击对象为政企单位的财务人员,尤其集中在政府、能源和教育等行业。一旦受害,攻击者窃取浏览器隐私数据、键盘操作记录等敏感信息。建议受害单位及时排查,对被控机器进行处置。微步提供了多条相关IOC用于威胁情报检测,相关平台已支持此次攻击事件的检测与防护。
来源:
https://mp.weixin.qq.com/s/B3hxrn9mlfCT9QNXaGdOzA

APT 组织 Imperial Kitten 针对运输、物流和技术领域的目标展开新一轮攻击

  TagImperial Kitten,APT

事件概述:
最近的网络攻击调查揭示了IMPERIAL KITTEN 组织一系列针对运输、物流和技术领域的网络攻击和战略性网站感染(SWC)攻击。据调查显示,IMPERIAL KITTEN 攻击者采用多种策略,包括使用公共扫描工具、1day漏洞利用、SQL注入以及窃取 VPN 凭证,以获取初始访问权。在后续的攻击阶段,攻击者使用扫描工具、PAExec 和凭证盗窃等手段进行横向移动,并利用自定义和开源恶意软件进行数据泄露。IMPERIAL KITTEN 被怀疑是一支伊朗背景的威胁组织,自2017年以来一直活跃。其典型活动特征包括使用社会工程,特别是以招聘为主题的内容传递自定义的.NET基础植入物,在2022年初至2023年期间集中进行了 SWC 操作,试图通过引诱受害者访问受对手控制的网站来进行攻击,目标主要集中于运输、物流和技术领域的组织。
技术手法:

攻击者使用了多种恶意软件样本,包括通过电子邮件进行命令和控制(C2)的IMAPLoader,名为StandardKeyboard的相似样本,使用Discord进行C2的恶意软件样本,以及通过宏启用的Excel表格传递的Python通用反向 shell。IMPERIAL KITTEN还利用了多种工具,包括自定义植入物、使用电子邮件进行C2的IMAPLoader和StandardKeyboard,以及使用Discord进行C2的远程访问工具。攻击者通过这些工具实施初始访问、横向移动和数据外泄等攻击手段。

来源:
https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families/

漏洞通告 | 金蝶云星空任意文件上传漏洞

  Tag任意文件上传漏洞

事件概述:
金蝶云星空是由金蝶国际软件集团开发的一款企业级云平台。它是金蝶云服务的核心产品,旨在为企业提供全面的云计算解决方案,支持企业的数字化转型和业务创新。
微步漏洞团队通过“X 漏洞奖励计划”获取到金蝶云星空任意文件上传漏洞情报,V6.2 <= version <= V8.1 受影响。攻击者可利用该漏洞上传恶意代码,获取服务器控制权限。该漏洞利用难度低,已捕获到攻击行为,建议尽快修复。

来源:
https://mp.weixin.qq.com/s/IiudV5-F1AJymEW94spDaw

2023年11月9日

攻击者利用 SysAid 中的漏洞部署Clop勒索软件展开攻击

Lace Tempest 利用 SysAid 服务管理软件的零日漏洞,成功攻击企业服务器,实施数据窃取和 Clop 勒索软件的攻击。SysAid 是一款全面的 IT 服务管理(ITSM)解决方案。该漏洞(CVE-2023-47246)于11月2日被发现,黑客通过漏洞入侵了 SysAid 服务器。此漏洞是一种路径遍历漏洞,允许未经授权的代码执行。黑客上传了包含 WebShell 的 WAR 归档文件到 SysAid Tomcat Web 服务的 webroot 中,从而执行额外的 PowerShell 脚本和加载 GraceWire 恶意软件。在窃取数据后,黑客试图抹掉痕迹,删除活动日志。SysAid 已提供 CVE-2023-47246 的补丁,建议用户升级至 23.3.36 或更高版本。SysAid 的报告提供了指示入侵的迹象,包括文件名、哈希值、IP 地址和攻击中使用的文件路径。

来源:

https://www.bleepingcomputer.com/news/security/microsoft-sysaid-zero-day-flaw-exploited-in-clop-ransomware-attacks/

2023年11月11日

马来西亚警方查封BulletProftLink网络钓鱼服务平台

马来西亚警方成功摧毁 BulletProftLink,一款提供超过300个网络钓鱼模板的 PhaaS 平台。该平台自2015年开始活跃,近年更为频繁,拥有数千用户,其中一些用户支付费用以获取批量的凭证日志。在联合行动中,马来西亚警方与澳大利亚联邦警察和FBI协作,关闭了该平台的多个域名。11月6日,警方逮捕了8名犯罪嫌疑人,其中一人被认为是该运营的领导。执法机构还查获了大约213,000美元的加密货币、服务器、计算机、珠宝、汽车和支付卡。BulletProftLink的服务器被没收,以便执法机构调查平台用户。根据Intel 471的数据,BulletProftLink在2023年4月有8138名活跃订户,可以访问327个网络钓鱼页面模板,客户数量较2021年激增403%。该平台提供各种登录页面,覆盖 Microsoft Office、DHL、Naver 等,还包括美国运通、美国银行、加拿大皇家银行等金融机构。部分网络钓鱼页面托管在 Google Cloud 和 Microsoft Azure 等合法云服务上,以规避电子邮件安全工具的检测。BulletProftLink的库存中还提供 Evilginx2 反向代理工具,用于进行中间人网络钓鱼攻击,能够绕过多因素身份验证保护。

来源:
https://www.bleepingcomputer.com/news/security/police-takes-down-bulletproftlink-large-scale-phishing-provider/

---End---


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247503868&idx=1&sn=bfe6bbbb57dda82a668b506552ecdc07&chksm=cfcaace8f8bd25fe5cf598f833ddfcce4acb8bf4315b3635148d189b2aa1c6a2048b32060e83&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh