首页
社区
课程
招聘
[原创]本周威胁情报概览(2021.04.17 - 2021.04.23)
发表于: 2021-4-23 18:34 3547

[原创]本周威胁情报概览(2021.04.17 - 2021.04.23)

2021-4-23 18:34
3547

 APT事件

1.透明部落利用新冠疫苗热点对印度医疗行业的定向攻击活动分析

发布时间:2021年4月20日

事件来源:

https://mp.weixin.qq.com/s/ELYDvdMiiy4FZ3KpmAddZQ

 

事件摘要:

透明部落(Transparent Tribe)别名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其长期针对周边国家和地区的政治、军事机构进行定向攻击活动,并开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。

 

透明部落在2019年下半年的活动一直针对阿富汗地区, 在2020年开始再次转为针对印度地区,大约在2020-01月左右,其以职位招聘题材、军队题材对印度目标发起攻击,2020-03月左右以电子、国防、安全、简历等相关信息针对印度、阿富汗区域的目标发起新一轮的网络攻击。

 

自从新冠病毒爆发以来,大批APT组织利用疫情相关信息进行定向攻击,而透明部落也不例外,在2020-04月左右,该组织以疫情题材的恶意文档对印度地区目标发起了定向攻击。同时透明部落也开始了大规模的USB病毒感染攻击,相关的工具增强了针对阿富汗地区的攻击行动,其未被公开的usbworm组件也被首次证实。

 

国内安全研究人员监测到透明部落组织利用疫情相关信息对印度医疗行业进行情报窃取的定向攻击活动。

 

2.Lazarus APT组织使用BMP图像隐藏恶意代码

发布时间:2020年4月19日

事件来源:

https://blog.malwarebytes.com/malwarebytes-news/2021/04/lazarus-apt-conceals-malicious-code-within-bmp-file-to-drop-its-rat/

 

事件摘要:

研究人员发现Lazarus APT组织针对韩国的网络钓鱼活动,该活动中,Lazarus将恶意代码隐藏在BMP(位图)图像中以释放RAT。

 

该活动可能始于分发带有恶意文档的网络钓鱼电子邮件,恶意文档据称是韩国某城市的展览会的参会申请表,打开后显示韩语的蓝色主题,并要求用户启用宏以查看文档。启用宏后,将获取具有嵌入式zlib对象的图像文件,调用函数将PNG格式的图像转换为BMP格式,然后获取WMI对象以调用Mshta执行BMP文件。解压缩后的BMP文件包含一个HTA文件,该文件执行Java脚本以释放有效载荷。有效载荷作为加载器将第二阶段有效载荷解码并解密到内存中。第二阶段有效载荷具有接收和执行命令/shellcode以及与C2服务器进行渗出和通讯。

 

3.Facebook对巴勒斯坦黑客采取行动

发布时间:2021年4月21日

事件来源:

https://about.fb.com/news/2021/04/taking-action-against-hackers-in-palestine/

 

事件摘要:

Facebook官方表示,已采取措施打击两个由国家支持的黑客组织发起的恶意活动。Facebook将这两个黑客组织分别归因于PPS和Arid Viper,二者利用Facebook平台分发恶意软件。其中,PPS主要针对巴勒斯坦国内受众,Arid Viper目标受众是巴勒斯坦领土和叙利亚,其次是土耳其、伊拉克、黎巴嫩和利比亚。

 



威胁事件

1.发布会前夕苹果产品图被盗,REvil勒索团伙索要天价赎金

发布时间:2021年4月21日

事件来源:

https://www.freebuf.com/news/270266.html

 

事件摘要:

北京时间4月21日凌晨1点,苹果公司以“Spring Loaded”为主题举行了春季发布会特别活动。

 

而在数小时后,相关美国媒体披露,REvil勒索软件团伙称窃取了苹果的产品蓝图,并要求苹果公司在5月1日之前支付赎金,否则他们将与几个主要品牌商洽谈出售大量机密图纸和千兆字节的个人数据”。

 

此次数据泄露源于Apple Watch,Apple Macbook Air和Apple Macbook Pro的制造商,总部位于台湾的Quanta(广达电脑)被勒索攻击。此次攻击发生后,REvil勒索软件团伙首先要求广达电脑在4月27日之前支付5000万美元,或者在倒计时结束后支付1亿美元。

 

然而,该公司拒绝与勒索团伙沟通,也拒绝支付勒索赎金。在REvil勒索团伙与广达电脑的付款谈判对话中可以看到,REvil警告,如果广达电脑不开始就赎金进行谈判,“所有Apple设备的图纸以及其员工和客户的所有个人数据将被发布”。

 

由于依旧没有得到回应,REvil就在其数据泄漏站点上发布了原理图。目前REvil在其暗网数据泄漏站点上已经公布了十几个MacBook组件的示意图,不过暂时没有迹象表明它们是Apple的新产品。

 

2.假冒微软商店和 Spotify 网站正在助推恶意软件活动

发布时间:2021年4月21日

事件来源:

https://www.cnbeta.com/articles/tech/1117973.htm

 

事件摘要:

近期通过假冒微软商店、Spotify 和在线文档转换等网站的恶意软件活动有大幅增长的趋势。国外安全研究机构表示:这些站点旨在向受害者分发恶意软件,以窃取保存在 Web 浏览器中的信用卡和密码等隐私信息。

 

此类攻击多通过恶意广告的形式传播,以将之伪装成看似合法的应用程序。比如在某个案例中,攻击者就伪造了微软的国际象棋 App 下载页面。本轮恶意软件攻击的第二个冤大头是 Spofity,恶意软件会将自己伪装成流媒体音乐播放器(或在线文档转换器)。

 

在用户误点击了所谓“登录页面”的广告之后,它会自动下载包含 Ficker 的 .zip 恶意软件压缩包。若用户粗心地选择了解压、并启动了可执行文件,Ficker 恶意软件就会被唤醒、并开始窃取存储在计算机上的相关数据。

 

3. SkidMap病毒利用Redis未授权访问漏洞攻击,数千台云主机沦为矿机

 

发布时间:2021年4月23日

 

事件摘要:

腾讯安全威胁情报中心截获攻击者利用Redis未授权访问漏洞攻击云服务器,在征得客户同意后对相关告警信息开展溯源调查,判断为SkidMap病毒的攻击活动,根据最新威胁情报数据反查,发现该事件影响约数千台未安装腾讯云安全产品的云主机。受害主机已被攻击者完全控制沦为矿机,并可能造成机密信息泄露。

 

SkidMap病毒在2019年9月左右被发现,主要目标为感染肉鸡挖矿,该病毒的明显特征为通过加载Linux恶意内核模块来隐藏其恶意行为,增加了运维人员排查威胁的难度。

 

此次SkidMap病毒感染后会下载XMRig(门罗币挖矿木马)、cpuminer(莱特币和比特币挖矿木马),同时写入SSH后门公钥以方便远程登录,然后下载恶意程序包gold8.tar.gz,通过3DES解压后释放多个模块,完成挖矿木马启动、替换pam_unix.so文件留置登陆后门、上传日志到远程服务器,安装远控程序rctl的功能,还会安装Linux内核模块对恶意行为进行隐藏。

 

攻击者利用Redis未授权访问漏洞入侵成功后,会在肉鸡系统多处留置后门,同时进行3种数字虚拟币挖矿作业,对云主机的正常运行产生严重影响,腾讯云原生安全产品可以在各个环节对相关威胁进行检测防御。

 



漏洞事件

1.Oracle发布20214月重要补丁更新,腾讯安全专家建议用户尽快修复

发布时间:2021年4月21日

事件来源:

https://mp.weixin.qq.com/s/yppICU8lLEeHss1kAMdvzQ

 

事件摘要:

2021年04月21日,Oracle官方发布了2021年4月例行安全更新(https://www.oracle.com/security-alerts/cpuapr2021.html)。此次安全更新发布了390个漏洞补丁,其中Oracle Fusion Middleware有45个漏洞补丁更新,主要涵盖了Oracle Weblogic Server、Oracle Outside In Technology、Oracle Coherence、Oracle Business Intelligence Enterprise Edition等产品。在本次更新的45个漏洞补丁中,有36个漏洞无需身份验证即可远程利用。

 

2.WebSphere Application Server两个XML外部实体注入漏洞风险通告

发布时间:2021年4月22日

事件来源:

https://s.tencent.com/research/bsafe/1303.html

 

事件摘要:

WebSphere Application Server官方发布漏洞风险通告,披露了2个高危漏洞。在处理XML数据时,IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。远程攻击者可利用此漏洞获取敏感信息或消耗内存资源。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//