ca88登陆平台

每周高级威胁谍报解读(2021.12.30~2022.01.06)

功夫:2022-01-07 作者:ca88登陆平台威胁谍报中心

分享到:

    2021.12.30~2022.01.06

    攻击团伙谍报

    Kimsuky针对韩国新闻行业的垂钓活动分析

    Lazarus针对航空业及安全钻研人员提议攻击

    双尾蝎利用恶意Android法式攻击中东地域

    APT33新型恶意远控软件“LittleLooter”分析

    Evilnum利用隐写术投递新型木马AgentVX

    “KONNI”使用新年问候对准俄罗斯表交官

    攻击行动或事务谍报

    攻击者假意美国幼企业治理局以新冠增援为钓饵进行垂钓活动

    Lapsus$勒索软件团伙针对葡萄牙最大的媒体公司

    WebSkimmer活动通过攻击云视频平台对准房地产网站

    恶意代码谍报

    AgentTesla更新SMTP数据泄露技术

    2021年盛行勒索软件盘点

    Telegram装置包被用于传布PurpleFox后门法式

    缝隙谍报

    ApacheAPISIXDashboard远程代码执行缝隙安全风险公告第二次更新

    钻研人员发现Uber电子邮件系统存在缝隙


    攻击团伙谍报

    01

    Kimsuky针对韩国新闻行业的垂钓活动分析

    披露功夫:2021年12月30日

    谍报起源:https://mp.weixin.qq.com/s/O_3PFAB4RGxJXHnx_o9f3Q

    有关信息:

    钻研人员发现一例假装成韩国互联网安全局(KISA)钻研怨仉对韩国新闻行业沉要人物进行鱼叉垂钓的网络攻击活动,,,,,,,经研判分析,,,,,,,这次活动来自Kimsuky组织。。。。。

    经过度析还原,,,,,,,揣摩攻击流程如下:攻击者首先通过BBS缝隙入侵了网站,,,,,,,而后上传Webshell及其他攻击活动中所必要的组件到web服务器,,,,,,,web服务器作为跳板机,,,,,,,实现发送邮件、接管受害者信息、提供恶意载荷下载等职能。。。。。最后攻击者机关垂钓邮件投递到指标机诱导用户执行,,,,,,,攻击者可通过Webshell获取网络到的受害者信息。。。。。

每周高级威胁谍报解读(2021.12.30~2022.01.06)

    02

    Lazarus针对航空业及安全钻研人员提议攻击

    披露功夫:2021年12月30日

    谍报起源:https://mp.weixin.qq.com/s/fVrGwrJxo_GW6FtfghzCzA

    有关信息:

    Lazarus组织是疑似拥有国度布景的境表大型APT集团组织,,,,,,,该组织善于使用社会工程学规划针对当局、科延注金融、航空、加密钱币等机构进行定向攻击活动,,,,,,,窃取沉要谍报信息及获取经济利益是其重要主张。。。。。

    安全厂商监测到Lazarus组织针对航空业及安全钻研人员的定向攻击活动,,,,,,,分析有如下发现:

    攻击者假装美国“洛克希德马丁”航空公司招聘文档,,,,,,,向指标投递钓饵文档进行攻击 ;;;;;;;;

    所投递文档最终加载执行恶意后门模?????椋,,,,实现对指标主机的远程节造 ;;;;;;;;

    同时还使用一样的文档模板造作Google公司的招聘钓饵文档进行攻击活动 ;;;;;;;;

    攻击者批改开源项目NppShell开发木马,,,,,,,能够逃避部门安全软件检测 ;;;;;;;;

    Lazarus复用以往攻击手法,,,,,,,批改开源SumatraPDF阅读器进行攻击 ;;;;;;;;

    此表,,,,,,,该组织将恶意组件绑缚到IDAPro装置包法式针对安全钻研人员进行攻击。。。。。

    03

    双尾蝎利用恶意Android法式攻击中东地域

    披露功夫:2021年12月28日

    谍报起源:https://mp.weixin.qq.com/s/RRH9vgnNJyc1idTLS6okcw

    有关信息:

    近期,,,,,,,钻研人员捕获了一款APT-C-23样本。。。。。APT-C-23又被称为“双尾蝎”,,,,,,,在2017年初次被发现,,,,,,,这个组织针对巴勒斯坦等国度和地域。。。。。在这次捕获的样本中,,,,,,,我们发现此恶意软件名为“GooglePlayInstaller”恶意法式,,,,,,,装置后假装成Telegram利用法式类似的图标和界面。。。。。

    该恶意软件在多个维度获取用户的各类隐衷信息,,,,,,,在获取用户隐衷信息中含有获取用户的联系人信息、短信、通话纪录、图片、文档、以及音频文件。。。。。该恶意软件获取如此之多的用户信息可谓是全覆盖。。。。。

每周高级威胁谍报解读(2021.12.30~2022.01.06)

    04

    APT33新型恶意远控软件“LittleLooter”分析

    披露功夫:2021年12月31日

    谍报起源:https://mp.weixin.qq.com/s/Zj44UM--9UyonjhxEHvRBA

    有关信息:

    近期,,,,,,,钻研人员监测到一款名为“WhatsApp.apk”的虚伪社交软件,,,,,,,其实是一款恶意窃密软件,,,,,,,蛊惑用户下载,,,,,,,远程节造用户手机,并窃取用户的隐衷数据。。。。。钻研人员分析发现是APT33组织的新型远控软件,,,,,,,凭据其恶意行为将其定名为“LittleLooter”。。。。。

    “WhatsApp”是全球驰名的通讯社交软件,,,,,,,但此利用重要是国表的用户群体,,,,,,,并未在国内利用市场上架,,,,,,,用户在成功装置虚伪的“WhatsApp”后,,,,,,,也无法打开,,,,,,,恶意软件会删除自身的界面的图标,,,,,,,并且提醒“未装置该利用”,,,,,,,但此恶意软件并没有删除,,,,,,,在后盾依然存在,,,,,,,并持续监听,,,,,,,网络手机用户的隐衷信息,,,,,,,蕴含用户的通讯录、短信内容、通讯纪录、手机存储的文件、用户定位、网络信息、设备信息、浏览器汗青、照片灌音录像和装置的利用列表,,,,,,,同时远程操控用户手机发送短信、拨打电话、灌音和上传文件等恶意操作。。。。。

每周高级威胁谍报解读(2021.12.30~2022.01.06)

    05

    Evilnum利用隐写术投递新型木马AgentVX

    披露功夫:2022年1月4日

    谍报起源:http://blog.nsfocus.net/agentvxapt-evilnum/

    有关信息:

    Evilnum是一个在2018年被发现的APT组织,,,,,,,活跃于英国和欧盟国度,,,,,,,重要攻击指标为金融科技公司。。。。。组织名称Evilnum来自同名的木马法式,,,,,,,亦被卡巴斯基称为DeathStalker。。。。。

    Evilnum的代表性攻击伎俩是将恶意法式假装成客户的身份证明文件,,,,,,,糊弄金融公司的工作人员运行这些法式,,,,,,,进而通过植入间谍木马获得受害者主机上的高价值信息。。。。。

    近期,,,,,,,钻研人员捉拿到多个以护照扫描文件作为钓饵的网络垂钓活动。。。。。经过度析,,,,,,,确认该活动来自APT组织Evilnum,,,,,,,是其持久以来针对金融指标犯罪活动的一连。。。。。Evilnum攻击者在本次垂钓活动中构建了新型攻击流程,,,,,,,并通过NSIS包装、署名、隐写术等操作实现免杀,,,,,,,最终投递一种新型木马法式AgentVX。。。。。

    06

    “KONNI”使用新年问候对准俄罗斯表交官

    披露功夫:2022年1月3日

    谍报起源:https://cluster25.io/wp-content/uploads/2022/01/Konni_targeting_Russian_diplomatic_sector.pdf

    有关信息:

    近期,,,,,,,钻研人员监测到一路与朝鲜组织“Konni”有关的攻击活动,,,,,,,该组织以俄罗斯表交部门为指标,,,,,,,在垂钓邮件中使用新年祝贺作为钓饵主题。。。。。一旦恶意电子邮件附件被打开并执行,,,,,,,就会触发由多个阶段组成的攻击链,,,,,,,最终在指标受害者系统中部署KonniRAT恶意软件。。。。。

    在本次攻击活动中,,,,,,,Konni组织没有使用恶意文件作为附件,,,,,,,而是附加了一个名为“поздравление”的.zip类型文件,,,,,,,在俄语中意为“祝贺”。。。。。该文件一旦解压缩,,,,,,,就会开释一个恶意下载法式,,,,,,,该下载法式可能激活一个复杂的操作链,,,,,,,最终部署KonniRAT恶意软件。。。。。

每周高级威胁谍报解读(2021.12.30~2022.01.06)

    攻击行动或事务谍报

    01

    攻击者假意美国幼企业治理局以新冠增援为钓饵进行垂钓活动

    披露功夫:2021年12月29日

    谍报起源:https://cofense.com/threat-actors-continue-to-leverage-pandemic-relief-plans/

    有关信息:

    由于新冠病毒的影响仍在侵扰人们的生涯和企业,,,,,,,攻击者试牟利用那些焦心期待当局增援的人的焦虑,,,,,,,假意美国幼企业治理局(SBA)的代表向指标发送垂钓邮件,,,,,,,通过GoogleDocs提供的犯法表格提供虚伪的赞助申请,,,,,,,窃取受害者的个人信息。。。。。

    攻击者在垂钓邮件中使用SBA徽标和SBA客户服务的合法号码以加强和糊弄性,,,,,,,逐步诱导受害者打开并填写Google文档表单,,,,,,,获取敏感信息,,,,,,,例如社会安全号码,,,,,,,并最终获取银行帐号和驾驶牌照信息。。。。。

    02

    Lapsus$勒索软件团伙针对葡萄牙最大的媒体公司

    披露功夫:2022年1月2日

    谍报起源:https://therecord.media/lapsus-ransomware-gang-hits-sic-portugals-largest-tv-channel/

    有关信息:

    Lapsus$勒索软件团伙入侵了葡萄牙最大的媒体集团Impresa,,,,,,,并对其进行勒索活动。。。。。Impresa公司别离是葡萄牙最大的电视频路和周报SIC和Expresso的所有者。。。。。

    攻击产生在新年假期期间,,,,,,,除勒索活动表,,,,,,,攻击者还攻击了该公司的在线IT服务器基础设施,,,,,,,导致Impressa集团、Expresso和所有SIC电视频路的网站处于离线状态。。。。。攻击者还宣称已获得对Impresa亚马逊网络服务帐户的接见权限。。。。。

    凭据葡萄牙2021年9月的电视收视率,,,,,,,SIC及其所有二级频路主导着电视市。。。。。,,,,而Expresso的周刊刊行量最大。。。。。只管如此,,,,,,,Impressa还占有很多其他媒体公司和杂志,,,,,,,所有这些公司和杂志目前也最有可能受到攻击的影响。。。。。

    03

    WebSkimmer活动通过攻击云视频平台对准房地产网站

    披露功夫:2022年1月3日

    谍报起源:https://unit42.paloaltonetworks.com/web-skimmer-video-distribution/

    有关信息:

    供给链网络是网络犯罪的常见指标,,,,,,,由于节造供给链中的幽微环节能够让攻击者接触到更多的受害者——尤其是当幽微环节是供给链的起源时。。。。。

    最近,,,,,,,钻研人员发现攻击者利用云视频平台向房地产站点分发Skimmer(别名表单劫持)的供给链攻击活动。。。。。在Skimmer攻击中,,,,,,,攻击者注入恶意JavaScript代码来入侵网站并收受网站HTML表单页面的职能以网络敏感的用户信息。。。。。

    在此处描述的攻击案例中,,,,,,,攻击者将SkimmerJavaScript代码注入视频中,,,,,,,因而每当其他人导入视频时,,,,,,,他们的网站也会嵌入Skimmer代码。。。。。

    恶意代码谍报

    01

    AgentTesla更新SMTP数据泄露技术

    披露功夫:2021年12月30日

    谍报起源:https://isc.sans.edu/diary/rss/28190

    有关信息:

    AgentTesla是一种基于Windows的键盘纪录器和RAT,,,,,,,通常使用SMTP或FTP来窃取被盗数据。。。。。该恶意软件自2014年以来一向存在,,,,,,,SMTP是其最常用的数据泄露步骤。。。。。

    到2021年11月,,,,,,,AgentTesla样本通过托管提供商成立的邮件服务器给被习染或可能受骗的账户发送他们的电子邮件。。。。。自2021年12月以来,,,,,,,AgentTesla使用这些被盗用的电子邮件帐户将窃取的数据发送到Gmail地址。。。。。

    凭据这些Gmail地址名称,,,,,,,揣摩它们是诓骗性的Gmail帐户,,,,,,,或者是专门为接管来自AgentTesla的数据而成立的。。。。。

每周高级威胁谍报解读(2021.12.30~2022.01.06)

    02

    2021年盛行勒索软件盘点

    披露功夫:2022年1月3日

    谍报起源:https://mp.weixin.qq.com/s/OX0jsdIXpdKWXiWOrgd_Hw

    有关信息:

    勒索软件已经成为全球企业和组织面对的重要网络威胁,,,,,,,习染勒索软件后严沉影响企业和组织的运营,,,,,,,蕴含业务中断、数据和信息被窃取公开售卖。。。。。2021年全球造作业、服务业、构筑、金融、能源、医疗、工控和当局组织机构等频遭勒索软件攻击,,,,,,,给全球产业产值造成严沉损失。。。。。

    安全人员从家族名、受害者、攻击功夫、影响等方面内容动手,,,,,,,对2021年盛行的勒索软件进行了梳理,,,,,,,形成家族概览并对其进行了具体介绍。。。。。其中2021年的勒索软件行为重要有以下四类:影响用户系统、粉碎数据、加密文件、窃取文件。。。。。

    03

    Telegram装置包被用于传布PurpleFox后门法式

    披露功夫:2022年1月4日

    谍报起源:https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit

    有关信息:

    PurpleFox是一种基于Windows的后门,,,,,,,于2018年初次作为无文件下载器木马出现,,,,,,,该木马通过缝隙利用工具包分发,,,,,,,该缝隙粉碎了30,000多台推算机。。。。。

    近日,,,,,,,钻研人员发现基于云的即时新闻利用法式Telegram的装置法式已被粉碎,,,,,,,用以分发PurpleFox恶意软件。。。。。本次攻击活动通过将攻击载荷分成几个幼文件,,,,,,,最后阶段导致PurpleFoxrootkit习染。。。。。

    攻击链以Telegram装置法式文件起头,,,,,,,以名为“TextInputh.exe”的恶意下载法式实现。。。。。恶意下载器使用名为“TelegramDesktop.exe”的AutoIt剧本从C2服务器装置其他恶意软件:1.rar–蕴含下一阶段的文件 ;;;;;;;;7zz.exe–合法的7z归档法式。。。。。7zz.exe用于解压1.rar,,,,,,,其中蕴含rundll3222.exe、svchost.txt、360.tct、ojbk.exe。。。。。

每周高级威胁谍报解读(2021.12.30~2022.01.06)

    缝隙有关

    01

    ApacheAPISIXDashboard远程代码执行缝隙安全风险公告第二次更新

    披露功夫:2021年12月30日

    谍报起源:https://mp.weixin.qq.com/s/VWS0awKU5K5kPul9G0DnFw

    有关信息:

    APISIX是一个高机能、可扩大的微服务API网关,,,,,,,基于nginx(openresty)和Lua实现职能,,,,,,,借鉴了Kong的思路,,,,,,,将Kong底层的关系型数据库(Postgres)代替成了NoSQL型的etcd。。。。。

    近日,,,,,,,ca88登陆平台CERT监测到Apache官方颁布ApacheAPISIXDashboard远程代码执行缝隙(CVE-2021-45232)安全公告。。。。。

    在2.10.1之前的ApacheAPISIXDashboard中,,,,,,,ManagerAPI使用了”gin”和”droplet”框架,,,,,,,由于某些API直接使用了`gin`框架的接口并未做鉴权,,,,,,,从而导致身份验证绕过。。。。。远程攻击者能够借助未授权的接口获取路由配置,,,,,,,覆盖配相信息,,,,,,,接见特定接口从而在APISIXServer中执行代码。。。。。

    目前,,,,,,,Apache官方已颁布可更新版本,,,,,,,建议客户尽快自查并建复。。。。。

    02

    钻研人员发现Uber电子邮件系统存在缝隙

    披露功夫:2022年1月2日

    谍报起源:https://www.bleepingcomputer.com/news/security/uber-ignores-vulnerability-that-lets-you-send-any-email-from-ubercom/

    有关信息:

    安全钻研员和缝隙赏金猎人SeifElsallamy发现了Uber系统中的一个缺点,,,,,,,该缝隙使任何人都能够代表Uber发送电子邮件。。。。。

    这些从Uber服务器发送的电子邮件对电子邮件提供商来说似乎是合法的,,,,,,,并且能够通过任何垃圾邮件过滤器。。。。。

    Uber在2016年的数据泄露事务中,,,,,,,露出了5700万Uber客户和司机的幼我信息。。。。。通过利用这个未建补的缝隙,,,,,,,攻击者可能会向以前受该缝隙影响的数百万Uber用户发送有针对性的网络垂钓诳骗。。。。。

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】