朝鲜威胁组织加大力度攻击加密货币行业,盗窃超30亿美元
Tag:Lazarus,APT,加密货币
自2017年起,朝鲜的Lazarus组织逐渐将加密货币行业视为其主要创收途径,以规避国际制裁。据估计,在过去六年中,这些攻击者窃取了价值30亿美元的加密资产,仅2022年就盗取了约17亿美元。这些被盗资产主要用于直接资助朝鲜的大规模杀伤性武器和弹道导弹计划。在此之前,该组织曾通过劫持“全球银行间金融电信协会”(SWIFT)网络成功从金融机构中盗窃资金。然而,这一活动引起了国际关注,金融机构纷纷加大投资以提升网络防御。2017年,朝鲜威胁组织将目标从传统金融转向新兴数字金融技术,首先瞄准韩国加密货币市场,然后迅速扩大到全球。朝鲜黑客以精通社交工程技巧为特长,针对在线加密货币交易所的员工展开攻击。通过诱骗受害者分发恶意软件,承诺诱人的工作机会,黑客最终耗尽受害者的可用资产,并将其转移至朝鲜控制的各个钱包中。这一持续的行为模式使朝鲜得以继续稳固其财政基础,同时绕过国际制裁。
参考链接:
https://go.recordedfuture.com/hubfs/reports/cta-2023-1130.pdf
伊朗威胁组织利用以色列制造的PLC攻击美国供水设施
Tag:CyberAv3ngers, 可编程逻辑控制器(PLC)
据美国多个执法机构报告,伊朗威胁组织CyberAv3ngers已经利用以色列制造的可编程逻辑控制器(PLC)攻击了美国境内的多个水系统和其他运营技术环境的设施。这个伊斯兰革命卫队(IRGC)附属组织CyberAv3ngers自2021年11月22日起就一直在“积极地定位并侵入”Unitronics Vision系列PLC。尽管攻击者利用PLC获得了对水和废水设施的访问权限,但并未观察到他们接触到这些水设施的运营系统,也没有影响到安全饮用水的提供。
PLC在能源、食品和饮料制造以及医疗保健等其他行业也有使用,可能会被重新标记,因此攻击的数量和威胁的范围仍然不清楚。在周一的新闻发布会上,CISA执行助理主任Eric Goldstein敦促所有行业的组织采取一些基本步骤来保护他们的运营技术环境:不要将PLC暴露在开放的互联网上,不要使用默认密码。此外,他还建议组织开始实施我们的联合咨询中的其他缓解措施,并检测其中概述的妨害指标。目前,Cyberav3ngers似乎是唯一一个针对美国关键基础设施设施中的以色列制造设备的团伙。
参考链接:
https://go.theregister.com/feed/www.theregister.com/2023/12/04/iran_terrorist_us_water_attacks/
Sierra Wireless路由器被曝存在多个漏洞
Tag:OpenDNS, TinyXML
Sierra Wireless是一家专业提供工业网络连接解决方案的加拿大公司,最近因安全问题受到关注。安全专家在其路由器软件中发现了约21个漏洞,如OpenDNS和TinyXML。这些漏洞可能已经或有可能暴露了近87,000多台路由器,涉及到卫生保健、废物管理、零售、紧急服务和车辆追踪等各个行业,面临潜在的网络攻击。这些漏洞被安全专家称为“Sierra:21”,漏洞可以通过软件更新得到解决,但是完全推出改更新可能需要一些时间,由于更新取决于不同行业的路由器管理员何时意识到这个情况并应用必要的更新。值得注意的是,受影响的5G双无线路由器主要部署在西方国家,如美国、加拿大、法国、澳大利亚和泰国。
根据研究,这些路由器漏洞可能使黑客能够窃取数据并控制路由器,允许他们注入恶意代码。此外,这些漏洞使设备成为进入关键网络的潜在入口点。此外,黑客可能利用低功耗广域设备作为机器人,发动分布式拒绝服务(DDoS)攻击,导致管理软件崩溃,或发起中间人攻击。建议尽快修复漏洞,减少攻击威胁。
参考链接:
https://www.cybersecurity-insiders.com/sierra-wireless-routers-are-vulnerable-to-cyber-attacks/?utm_source=rss&utm_medium=rss&utm_campaign=sierra-wireless-routers-are-vulnerable-to-cyber-attacksRare Wolf组织针对俄罗斯机构发起网络钓鱼攻击
Tag:网络钓鱼,黑灰产
BI.ZONE Threat Intelligence专家发现新的网络攻击组织Rare Wolf,该组织至少自2019年活跃。此前,该组织主要攻击邻国,而现在他们将瞄准目标扩大至俄罗斯本土机构。黑客使用钓鱼邮件,在目标设备上安装Mipko Employee Monitor恶意软件,窃取机密文件和密码,同时获取对Telegram通信的访问权限。攻击者采用非标准附件格式降低受害者警惕性,通过恶意软件实现Telegram账户的破解和盗窃。利用合法监控工具帮助他们混淆受害者与被攻击的IT基础设施之间的界限。在攻击活动中,黑客通过冒充1C:Предприятие的邮件附件,实际上是Smart Install Maker的安装程序,来欺骗受害者。安装程序执行一系列操作,包括创建隐藏的文件夹、在注册表中添加运行项、下载和执行远程命令,最终窃取Word文档和Telegram数据。攻击者还通过合法邮件工具Blat发送窃取的信息至其邮箱,成功删除痕迹并继续滥用受害者信息。这一攻击模式对提高网络防御和监测恶意活动的难度提出了新的挑战。参考链接:
https://bi.zone/expertise/blog/rare-wolf-okhotitsya-za-privatnymi-dannymi-s-pomoshchyu-falshivykh-nakladnykh-1s-predpriyatie/AeroBlade组织针对美国航空航天工业组织发起网络攻击
Tag:AeroBlade,航空航天
BlackBerry威胁研究与情报团队披露了AeroBlade组织的新型威胁活动,旨在瞄准美国的航空航天机构。攻击采用了精心设计的钓鱼邮件,通过武器化文件传递包含远程模板注入技术和恶意VBA宏代码的最终有效负载。该威胁行动的攻击者在技术和网络基础设施方面表现出中高度的专业水平,通过两个阶段的攻击,其目的是执行商业网络间谍活动。威胁组织通过采用巧妙的钓鱼邮件,其中包含名为"[redacted].docx"的恶意文档。用户打开文档后,通过远程模板注入技术下载第二阶段文件,最终执行带有反向Shell功能的DLL。该DLL运用复杂的技术手段,包括控制流混淆、API散列和反自动化检测,以提高分析难度。攻击者通过C2服务器与受感染系统建立连接,实现对目标的全面接管,包括信息收集、持久性建立和数据外泄。整个攻击过程显示出攻击者在技术演进和攻击手法上的不断改进,为商业网络间谍活动提供了有力支持。参考链接:
https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry
漏洞通告 | 用友U8 cloud远程代码执行漏洞
Tag:远程代码执行漏洞
U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。近期,微步漏洞团队发现用友U8 cloud多个接口存在漏洞, 包括CacheInvokeServlet接口反序列化漏洞(XVE-2023-33415)、FileTransportServlet接口反序列化漏洞(XVE-2023-35547)、PrintTemplateFileServlet接口任意文件删除漏洞(XVE-2023-32473)并将其上报至监管单位。用友官方发布公告公开并修复了该系列漏洞。这一系列漏洞利用难度低,可导致远程代码执行,强烈建议及时修复漏洞。参考链接:
https://mp.weixin.qq.com/s/oUcwqkUwA3ym7ix3MJytrABlueSky勒索软件针对MSSQL服务器展开攻击
外媒报道称一场针对MSSQL服务器的入侵事件,导致了BlueSky勒索软件的恶意攻击。BlueSky勒索软件自2022年6月首次被发现以来,一直与Conti和Babuk勒索软件存在代码关联。与其他报告不同的是,这次威胁行为者通过MSSQL暴力破解攻击获取了访问权限,然后利用Cobalt Strike和Tor2Mine执行了后渗透活动。在威胁行为者访问网络仅一小时内,他们便广泛部署了BlueSky勒索软件,将其传播至整个网络。这次事件的核心在于威胁行为者通过暴力破解MSSQL的“sa”(系统管理员)帐户成功获取了初始访问权限。接着,他们利用Cobalt Strike和Tor2Mine进行了多阶段的攻击,包括利用“xp_cmdshell”在SQL服务器上执行PowerShell命令、注入合法进程、远程服务创建实现横向移动,最终在32分钟内将BlueSky勒索软件传播到整个网络。这次入侵事件的复杂性和速度展示了威胁组织的高度组织和技术水平。参考链接:
https://thedfirreport.com/2023/12/04/sql-brute-force-leads-to-bluesky-ransomware/
WordPress用户遭受钓鱼攻击,恶意插件植入后门
Wordfence Threat Intelligence Team报告了一起针对WordPress用户的钓鱼攻击。钓鱼邮件冒充WordPress团队,声称用户网站存在远程代码执行漏洞(CVE-2023-45124,目前不是有效的CVE),并引导受害者下载名为“Patch”的插件进行安装。插件下载链接将受害者重定向至一个逼真的假页面。如果受害者安装了插件,将植入一个具有用户名wpsecuritypatch的恶意管理员用户。同时,插件还下载一个名为wp-autoload.php的后门,用于确保攻击者持久访问,并提供多种形式的访问,包括文件管理器、SQL客户端、PHP控制台和命令行终端。截至目前,Wordfence已做出响应,更新了威胁情报,未发现其用户受到感染。并将尽快发布恶意插件和后门的恶意软件签名。用户需注意防范此类钓鱼邮件,不点击链接或安装插件。Wordfence呼吁转发警报,提醒WordPress站点的朋友和熟人注意防范。
参考链接:
https://wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/
---End---
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247504026&idx=1&sn=9fecb0ce80d3f85bdf08188387262eeb&chksm=cfcab38ef8bd3a98e277d9eeb2624db155bcac7f74bebc21aee5cf2072e0a3e501e231495d48&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh