安全威胁情报周报(12.25~12.31)
2024-1-2 08:38:47 Author: 微步在线研究响应中心(查看原文) 阅读量:11 收藏

新型JavaScript恶意软件横扫多家银行,五万多用户凭证面临风险

  Tag:JavaScript,银行

事件概述:

IBM Security Trusteer的研究人员揭示了一场采用JavaScript网络注入的新型恶意软件攻击,试图窃取用户的在线银行账户凭据。这场攻击规模广泛,极具逃避性,历史迹象表明可能与DanaBot有关。自2023年初以来,已有50,000多个感染用户会话,受感染的用户规模巨大,已经波及北美、南美、欧洲和日本40多家银行,对金融体系和用户的财务安全构成了严重威胁。
技术手法:
攻击者在购买恶意域名后,通过在HTML文档的head元素中巧妙注入脚本标签,动态调整受害者网页的结构。这种灵活性使得攻击者能够成功地窃取用户凭证信息。为了维持攻击的持续性,恶意脚本还与C2服务器进行了巧妙的交互,实现了对受感染网页的动态控制。这一系列技术手段的运用使得这次攻击更具破坏性和隐蔽性。

来源:
https://securityintelligence.com/posts/web-injections-back-on-rise-banks-affected-danabot-malware/

RusticWeb行动:新APT攻击针对印度政府人员,采用Rust和加密PowerShell技术

  Tag:印度政府

事件概述: 

微软的SEQRITE Labs APT-Team揭示了一场自2023年10月以来针对印度政府人员的网络钓鱼攻击。在12月份,该攻击扩大至国防领域的政府和私人领域。攻击者使用新的Rust后门和加密PowerShell命令,将机密文件通过匿名的OshiUpload文件共享引擎进行外泄,而非传统的专用指挥与控制(C2)服务器。该攻击被追踪为“Operation RusticWeb”,与巴基斯坦相关的APT组织Transparent Tribe(APT36)和SideCopy有多个TTPs(技术、战术和过程)的重叠。此外,攻击与2021年思科发布的Operation Armor Piercer报告的攻击相似。
技术手法:
攻击的技术过程涵盖了两个感染链。第一个链路主要依赖于Rust后门,利用恶意快捷方式文件引发感染,通过假冒AWES域名将后门传递给受害者。PowerShell脚本被用来下载和执行脚本,最终上传机密文件。第二个链路则采用钓鱼文档,其中包含带有加密PowerShell命令的VBA宏。解密的PowerShell命令用于下载伪装成AWES域名的恶意文件,并通过OshiUpload进行外泄。攻击显示了APT组织转向使用Golang、Rust和Nim等新语言的趋势,以提高跨平台兼容性和避免检测。此次攻击凸显了网络威胁的不断演变,建议采取必要措施保护系统安全。
来源:
https://www.seqrite.com/blog/operation-rusticweb-targets-indian-govt-from-rust-based-malware-to-web-service-exfiltration/

CISA 发布两项工业控制系统公告

  Tag:CISA,工业系统

事件概述

2023年12月21日,CISA发布了两份有关工业控制系统(ICS)安全公告,第一份安全公告是关于FXC AE1021/AE1021PE存在OS命令注入漏洞(CVE-2023-49897),攻击者可通过NTP服务器设置实现远程代码执行。第二份警告涉及QNAP VioStor NVR存在OS命令注入漏洞(CVE-2023-47565),成功利用此漏洞可能导致攻击者通过修改NTP设置实现远程代码执行。两起事件的CVSS v3得分均为8.0,存在远程利用、低攻击复杂性、已有公开利用的风险。
这些漏洞都属于“Operation RusticWeb”的一部分,FXC和QNAP分别发布了相应的固件升级来解决这些漏洞。建议用户采取防御措施,包括最小化控制系统设备的网络暴露,使用安全的远程访问方法如VPN,并进行适当的影响分析和风险评估。截至目前,这两个漏洞均已被积极利用。
来源:
https://www.cisa.gov/news-events/alerts/2023/12/21/cisa-releases-two-industrial-control-systems-advisories


Chameleon银行木马新变种,生物识别禁用下窃取PIN

  Tag:Chameleon,银行木马,PIN

事件概述:

Chameleon银行木马最新变种采用了巧妙手法,通过禁用生物识别解锁,实施对用户PIN的窃取。这一变种在演化中展现出更深层次的Android生态系统渗透,瞄准英国和意大利用户。通过Zombinder分发,巧妙伪装成Chrome应用,扩大攻击范围。
新Chameleon变种引入了强大功能,通过“interrupt_biometric”命令禁用生物识别操作。一旦接收到该命令,木马将设备从生物识别认证切换到PIN验证,巧妙操作为攻击者提供双重利益。这不仅助力键盘记录功能窃取PIN,同时使攻击者能够利用先前窃取的PIN或密码解锁设备。

Chameleon银行木马新变种的狡猾手法凸显了对生物识别安全措施的攻击。通过深入了解这一策略,可以更全面地理解了这一威胁的本质。在移动威胁不断演进的环境中,对Chameleon的深入理解对于保护用户安全至关重要。

来源:

https://www.threatfabric.com/blogs/android-banking-trojan-chameleon-is-back-in-action

Seedworm网络间谍组织针对非洲电信组织展开网络攻击

  Tag:Seedworm,电信

事件概述:

Seedworm(又称Muddywater)网络间谍组织于2023年11月对埃及、苏丹和坦桑尼亚电信部门发动网络攻击。Seedworm自2017年起一直活跃,主要在中东地区进行组织攻击。该组织被公开认为是伊朗情报和安全部(MOIS)的附属组织。Seedworm持续对电信组织进行网络攻击,尤其关注非洲地区。威胁组织采用多样工具,包括自定义和公开工具,强调对PowerShell及相关工具的警惕。
技术手法:
攻击者在此次事件中采用了多种工具进行网络攻击,包括MuddyC2Go基础设施、SimpleHelp远程访问工具和Venom Proxy等。攻击链的时间线显示,此次攻击发生在2023年11月,主要针对电信组织。攻击手段涉及MuddyC2Go后门、SimpleHelp、Impacket WMIExec等工具,呈现出攻击者的多层次操作。
具体而言,MuddyC2Go启动器通过jabswitch.exe进行侧载,从注册表中读取C&C服务器URL,并通过PowerShell提供远程访问。这表明攻击者采用了巧妙的技术手段,包括合理利用合法进程和注册表,以实现攻击目的。Seedworm网络间谍组织在工具使用上保持创新,选择使用MuddyC2Go替代PhonyC2,以适应不断变化的网络环境。

此外,攻击工具还包括SimpleHelp、Venom Proxy、Revsocks、AnyDesk等,展示了攻击者多元化的技术手段。这些工具的使用揭示了攻击者的高度技术水平和对多样化攻击手段的熟练运用。

来源:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/iran-apt-seedworm-africa-telecoms


漏洞通告 | OpenSSH ProxyCommand命令执行漏洞 

  Tag:命令执行漏洞

事件概述:

最近微步漏洞团队揭示了OpenSSH ProxyCommand命令注入漏洞,该漏洞在特定场景下可能导致远程命令执行。具体而言,当用户执行git clone命令时携带--recurse-submodules参数,且子模块的URL配置以ssh://开头时,系统将发起SSH请求,由于OpenSSH的ProxyCommand功能在处理传入参数时存在缺陷,攻击者可通过构造恶意Host字段触发命令注入。漏洞的利用难度相对较低,但仅在特定条件下发生,可能用于配合Github项目进行投毒。建议用户根据实际情况及时修复,厂商已发布官方修复程序。此漏洞影响OpenSSH版本低于9.6p1和libssh版本为0.10.6和0.9.8,用户可前往OpenSSH和libssh官方网站获取更新。为降低潜在风险,建议在非必要情况下禁止对不信任主机配置代理,同时提高对陌生Git项目和链接的警惕性。漏洞的时间线显示,微步漏洞团队于2023年12月24日获取了漏洞情报,并在12月26日发布了相应的报告。
来源:
https://mp.weixin.qq.com/s/mE1oUn9hznayF3EjmbmadQ

2023年12月23日

LockBit勒索软件组织威胁曝光Xeinadin会计公司1.5TB客户数据

外媒报道称 LockBit勒索软件宣称成功攻破Xeinadin会计公司,威胁将窃取的1.5TB客户数据公之于众。Xeinadin在英国和爱尔兰拥有超过60,000客户,曾在2021年获得英国主要私人股权投资者之一Exponent的重要认可,成为英国前20家会计公司之一。LockBit团伙将Xeinadin列入其Tor泄漏网站的受害者名单,声称窃取的数据包括所有内部数据库、客户财务信息、护照、账户余额、Xeinadin公司注册局客户的个人账户访问权限、客户法律信息等。勒索组织威胁称若Xeinadin公司在截至2023年12月25日的截止日期内未与其联系,将公开英国和爱尔兰数百家公司的法律、税收、财务等私人数据。LockBit团伙在其Tor泄漏网站上发布的消息中呼吁Xeinadin管理层与其联系,并在72小时内采取行动以防范大规模客户数据泄露,并附带了三张截图展示数据库架构和构成受损基础设施的存储结构。
来源:
https://securityaffairs.com/156303/cyber-crime/lockbit-gang-xeinadin.html

2023年12月20日


Instagram“侵权”钓鱼升级:威胁演变为窃取备用代码

外媒报道称 Instagram“侵权”钓鱼邮件的新变体,不仅专注于窃取Instagram凭证,而且攻击者还试图获取受害者的Instagram备用代码。这次钓鱼活动自称为Meta公司发送,宣称收件人的Instagram账户侵犯了版权,要求在12小时内点击电子邮件中的“申诉表”按钮,否则将永久删除帐户。一旦用户点击按钮,他们将被重定向到一个伪造的Meta网站,该站点通过收集用户信息,包括用户名、密码、两步验证和备用代码等,构成攻击链。这次钓鱼攻击升级版本通过窃取备用代码扩大了攻击范围,对用户账户安全构成潜在威胁。此外,攻击者还通过Bio Sites平台托管伪造的Meta网站,不断改进诱饵以提高成功欺骗的可能性。在点击链接时,用户应格外谨慎,防范此类网络钓鱼行为。

来源:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/instagram-phishing-targets-backup-codes/

---End---


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247504266&idx=2&sn=c71c2b7b6b634d0d8f22d5c3b1b09946&chksm=ce1efffd65b8cb6fd7d5418e03bd38f9f14b8d021ad508d52a7f837a42bc6588b733328c4123&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh