【威胁通告】bbin宝盈集团科技威胁情报周报(2021.11.29-2021.12.05)
2021-12-08
一、 热点资讯
1. 黑客利用Tardigrade 恶意软件攻击生物制造设施
【概述】
研究人员发现一种高级持续威胁 (APT) 与今年在名为“ Tardigrade ”的自定义恶意软件加载程序的帮助下发生的两家生物制造公司的网络攻击有关。Tardigrade通过网络钓鱼电子邮件或受感染的USB驱动器传播,是SmokeLoader的高级分支,SmokeLoader是一种基于Windows的后门程序,由Smoky Spider组织运营。该恶意软件充当其他恶意软件有效载荷的入口点,并且即使在切断其命令和控制服务器以执行其恶意活动时也能自主运行。因此研究人员建议生物制造行业的组织应用软件更新、实施网络分段并测试关键生物基础设施的离线备份,以减轻威胁。
【参考链接】
http://ti.nsfocus.com/security-news/IlN5F
2. 攻击者利用加密恶意软件Babadeda对NFT社区发起钓鱼攻击
【概述】
研究人员通过Discord渠道发现了一种新的加密恶意软件菌株,跟踪为Babadeda,针对加密货币、不可替代令牌(NFT)和DeFi狂热者。攻击者正试图利用NFT和加密游戏蓬勃发展的市场。据研究人员称,Babadeda能够绕过防病毒解决方案,并且这种加密恶意软件最近被用于提供信息窃取程序、RAT 和LockBit等勒索软件的多项活动。大多数针对加密社区的攻击都基于Discord平台,攻击者通过Discord渠道共享下载链接。攻击者首先向用户发送了一条私人消息,邀请他们下载相关应用程序 ,该应用程序可能会授予用户访问新功能和/或额外好处的权限,攻击者利用这些功能来钓鱼受害者。由于攻击者在公司官方Discord频道上创建了一个Discord机器人帐户,因此他们能够成功冒充该频道的官方帐户。
【参考链接】
http://ti.nsfocus.com/security-news/IlN5u
3. 与朝鲜有关的APT组织冒充三星招聘人员攻击韩国安全公司
【概述】
研究人员报告说,与朝鲜有关联的APT组织冒充三星招聘人员,这是一场鱼叉式网络钓鱼活动,目标是销售反恶意软件解决方案的韩国安全公司,该组织曾向多家销售反恶意软件解决方案的韩国信息安全公司的员工发送虚假工作机会,而这些发送的电子邮件包含一份PDF,据称是三星某个职位的职位描述;但是,PDF格式错误,无法在标准 PDF 阅读器中打开。当目标回复他们无法打开职位描述时,攻击者会回复一个指向恶意软件的恶意链接,该链接声称是存储在Google Drive中的。攻击者则使用恶意PDF自称是工作记述TI针对三星的作用,因为这个原因,收件人无法打开它,并联络,反过来给他提供了一个链接到一个“安全的PDF阅读器发送“ 应用程序。该应用程序存储在Google Drive中,是合法PDF阅读器PDFTron的受污染版本 。安装该应用程序后,会在受害者的设备上建立一个后门,从而允许攻击者接管目标的计算机。
【参考链接】
http://ti.nsfocus.com/security-news/IlN5s
4. 攻击者利用ANYDESK软件来传播BABUK勒索软件
【概述】
研究人员发现了一种使用Anydesk软件虚假官网传播Babuk勒索软件的新方法。Anydesk 是一种远程控制工具,允许用户访问运行主机应用程序的远程计算机和其他设备。当用户尝试从未知的可疑链接下载Anydesk软件时,会出现一个虚假官网,允许您下载 Anydesk 软件。这个假官网看起来像原来的Anydes 官网。当用户点击下载 Anydesk 软件时,也会下载勒索软件BABUK,因为它以自解压存档的形式与Anydesk软件捆绑在一起(在这种情况下,它没有安装文件)。
【参考链接】
http://ti.nsfocus.com/security-news/IlN5w
5. 黑客利用未修补的MS浏览器引擎缺陷发起网络钓鱼攻击
【概述】
研究人员表示,一名伊朗攻击者一直瞄准未能修补Microsoft浏览器引擎中的远程代码执行漏洞的用户,以监视讲波斯语的受害者。还指出当前的攻击活动分为三个步骤:首先将包含恶意Word附件的网络钓鱼邮件发送给受害者,诱使受害者打开邮件。研究人员观察到两个不同的Word文档——=利用MSHTML漏洞的Mozdor.docx 和 جنایات خامنه ای.docx 或 Khamenei Crimes.docx,其中包括指向伊朗新闻官网 Hamshahri Online 和Twitter帐户的链接属于IranWire记者Aida Ghajar;然后Word文件利用MSHTML漏洞,连接到恶意服务器,并将恶意DLL放入受害者Windows计算机上的%temp%目录;最后恶意DLL执行PowerShortShell脚本,收集数据并将其泄露到攻击者的命令和控制服务器。
【参考链接】
http://ti.nsfocus.com/security-news/IlN5G
6. 攻击者利用Chinotto间谍软件攻击朝鲜叛逃者和人权活动家
【概述】
研究人员发现作为新一波针对性强的监视攻击的一部分,脱北者、报道朝鲜相关新闻的记者和韩国实体正受到民族国家支持的高级持续威胁 (APT) 的关注。并表示攻击者利用了三种具有相似功能的恶意软件:在PowerShell、Windows可执行文件和androids 应用程序中实施的版本。虽然针对不同的平台,但它们共享基于HTTP通信的类似命令和控制方案。因此,恶意软件操作者可以通过一组命令和控制脚本来控制整个恶意软件家族。攻击者使用的Chinotto带有自己的androids变体,以实现监视用户的相同目标。恶意APK文件通过smishing攻击发送给收件人,在安装阶段提示用户授予广泛的权限,使应用程序能够收集联系人列表、消息、通话记录、设备信息、录音和数据存储在华为驱动器、腾讯微信(又名微信)和 KakaoTalk 等应用程序中。
【参考链接】
http://ti.nsfocus.com/security-news/IlN5J
7. 攻击者将新Magecart恶意软件隐藏在Cron作业中
【概述】
研究人员发现一种新的远程访问木马,它使用独特的隐身技术来帮助它在受害者的基础设施上不被发现并隐藏magecart风格的恶意软件。它被称为 CronRAT,作为一项不存在日期的任务隐藏在Linux日历子系统中,例如2月31日。该恶意软件仍未被安全供应商检测到,并启用绕过基于浏览器的安全解决方案的服务器端 Magecart 数据窃取。该恶意软件添加了一个cron命令行实用程序,也称为cron作业或crontab,它是类Unix操作系统上的作业调度程序。CronRAT将各种任务添加到带有奇怪日期规范的crontab:52 23 31 2 3。这些行是有效的,但它们在执行时会产生运行时错误。
【参考链接】
http://ti.nsfocus.com/security-news/IlN5V
8. 黑客利用新RTF模板注入技术发起网络钓鱼攻击
【概述】
研究人员发现攻击者采用一种称为RTF(又名富文本格式)模板注入的新方法作为其网络钓鱼活动的一部分,以将恶意软件传送到目标系统。RTF 模板注入是一种新技术,非常适合恶意网络钓鱼附件,因为它很简单,并且允许攻击者使用RTF文件从远程URL检索恶意内容。攻击的核心是一个包含诱饵内容的RTF文件,该文件可以被操纵以在打开RTF文件时检索托管在外部URL上的内容,包括恶意负载。具体来说,它利用RTF模板功能使用十六进制编辑器通过指定URL资源而不是可从中检索远程有效负载的可访问文件资源目标来更改文档的格式属性。
【参考链接】
http://ti.nsfocus.com/security-news/IlN6b
9. 攻击者利用新的EwDoor僵尸网络针对AT客户发起攻击
【概述】
安全研究实验室的专家发现了一种名为EwDoor的新僵尸网络, 它针对使用公开暴露于 Internet 的 EdgeMarc 企业会话边界控制器 (ESBC) 边缘设备的 AT 客户。专家注意到 EwDoor对其C2使用了备份机制,并注册了一个备份命令和控制(C2)域 (iunno.se)来分析受感染设备的连接。并且僵尸网络实施了一系列保护措施以防止安全专家的分析,例如使用TLS协议防止通信被拦截,加密敏感资源使其难以逆向工程以及将C2移至云端并由BT跟踪器发送防止被IOC系统直接提取。
【参考链接】
http://ti.nsfocus.com/security-news/IlN69
10. Ubiquiti前雇员窃取公司数据并实施勒索
【概述】
12月1日,美国司法部公布了一份起诉书,指控Nickolas Sharp窃取了其所在公司数千兆字节机密文件,并以匿名攻击者身份勒索其公司近200万美元,在公司拒绝支付赎金后,还匿名举报公司导致公司股价大幅下降。大约在2020年12月,Nickolas Sharp多次利用其权限下载公司机密数据。这期间,Nickolas Sharp通过更改日志保留策略和其他文件以掩盖其活动,并对公司的计算机系统造成损害。随后在2021年1月左右,Nickolas Sharp在修复团队中工作时,伪装成匿名的勒索软件攻击者,向公司发送了赎金通知书,声称自己未经授权访问了公司的计算机网络。赎金通知书中要求公司以50比特币(当时价值190万美元)交换被盗数据及计算机系统后门。在公司拒绝这一要求后,Nickolas Sharp在一个可公开访问的线上平台公布了部分被盗文件。
【参考链接】
http://ti.nsfocus.com/security-news/IlN6o