首页
社区
课程
招聘
[原创][注意]本周威胁情报概览(2021.04.24 - 2021.04.30)
发表于: 2021-4-30 17:41 3973

[原创][注意]本周威胁情报概览(2021.04.24 - 2021.04.30)

2021-4-30 17:41
3973

APT事件

1.美国警告俄罗斯黑客将继续以美国为目标

发布时间:2021年4月26日

事件来源:

https://us-cert.cisa.gov/ncas/alerts/aa21-116a

 

事件摘要:

联邦调查局(FBI),国土安全部(DHS)和网络安全与基础设施安全局(CISA)对俄罗斯外国情报服务(SVR)网络参与者(也称为高级持久威胁29(APT 29))进行了评估。 Dukes,CozyBear和Yttrium将继续通过一系列复杂程度各异的初始利用技术,再加上受到威胁的网络内的隐匿入侵贸易手段,通过网络利用来寻求美国和外国实体的情报。SVR主要针对政府网络,智囊团和政策分析组织以及信息技术公司。2021年4月15日,白宫将SolarWinds活动归功于SVR。

 

从2018年开始,FBI观察到SVR已从在受害者网络上使用恶意软件转变为以云资源(尤其是电子邮件)为目标以获取信息。通过使用经过修改的SolarWinds软件获得的网络访问权限后,对Microsoft Office 365环境的利用反映了这种持续的趋势。在受害组织无法很好地防御,监控或理解的环境中,通过使用受损帐户或系统错误配置与正常或不受监控的流量相融合,将云资源作为目标可能会降低检测的可能性。

 

2.FIN8 APT组织新动作:一起精心布置的定向窃密活动

发布时间:2021年4月30日

事件来源:

https://mp.weixin.qq.com/s/8wKvOmSAyXDx_ticQXH1qQ

 

事件摘要:

4月初,腾讯洋葱反入侵团队监测到一起PyPI软件供应链攻击事件,经过追溯疑似是由境外APT组织FIN8首次使用该手法进行的针对性攻击。

 

攻击者在PyPI官方仓库伪造上传了guzzlehttp恶意包,该恶意包通过伪造著名PHP库 guzzlehttp/guzzle的名称 ,诱导用户认为是官方包的Python版本而进行下载安装,试图窃取 chrome浏览器用户数据、社交账号数据(微信、QQ、Telegram、Skype等),桌面文件、主机数据等敏感信息。

 

经过溯源定位确认此次软件供应链攻击是由FIN8 组织发起的定向攻击,攻击目标是guzzlehttp/guzzle库的用户。

 

FIN8 是⼀个⽹络⾦融犯罪组织,它的典型攻击模式是从销售点(PoS)的环境中窃取⽀付卡的数据,特别是针对零售商、餐馆和酒店⾏业的销售点。该组织⾄少从2016年以来就⼀直很活跃,但是在2019年中期沉寂了1年多时间,在2020年回归之后,陆续被国外安全⼚家发现并追踪其最新攻击⾏为。

 



威胁事件

1.Passwordstate密码管理器遭受供应链攻击

发布时间:2021年4月23日

事件来源:

https://www.csis.dk/newsroom-blog-overview/2021/moserpass-supply-chain/

 

事件摘要:

澳大利亚公司ClickStudio在4月20日至4月22日之间的某个时间遭遇软件供应链攻击,攻击者入侵了该公司的密码管理器Passwordstate,并植入了恶意代码。研究人员发现,名为“Moserware.SecretSplitter.dll”的文件被植入了恶意代码片段,恶意代码尝试与URL进行联系,来检索加密代码。获取的加密代码解密后,代码将直接在内存中执行。ClickStudios建议用户重置所有存储的密码,尤其是VPN,防火墙,交换机,本地帐户或任何服务器密码等。

 

2. 黑客攻击活动利用FileZen中两个安全漏洞

发布时间:2021年4月25日

事件来源:

https://therecord.media/hacking-campaign-targets-filezen-file-sharing-network-appliances/

 

事件摘要:

黑客攻击活动利用文件共享网络设备FileZen中的两个安全漏洞,来入侵公司和政府系统并窃取敏感数据。FileZen是来自日本Soliton公司流行的文件共享网络设备,主要应用于日本国内。黑客利用两个FileZen漏洞(CVE-2020-5639和CVE-2021-20655)的组合进行攻击,CVE-2020-5639漏洞允许黑客在设备上传恶意文件,而CVE-2021-20655漏洞则允许黑客提升权限并运行操作系统命令。

 

FileZen设备用于存储无法通过电子邮件发送的大文件。用户通常将文件上传到FileZen服务器上,然后使用基于Web的面板来获取可以与同事或组织外部人员共享的链接。Soliton提供了FileZen的基于云的版本,还提供了可以在本地安装的独立服务器,以满足高度安全的环境中某些数据隐私要求。

 

3.华盛顿警局遭黑客入侵,不交赎金就公开警方线人

发布时间:2021年4月28日

事件来源:

https://mp.weixin.qq.com/s/rlIVRA6fHtWmpwm_OGXbhw

 

事件摘要:

据美国华盛顿“福克斯-5”电视台报道,其首都警方的服务器成为黑客攻击的对象,目前联邦调查局正在介入调查。

 

在Babuk Locker勒索软件团伙的网站上,已经发布了华盛顿特区大都会警察局的内部文件和服务器的截屏幕图。Babuk Locker团伙声称从警局服务器下载了超过250 GB的数据,已经获得访问调查报告、军官纪律文件、本地文档、面部照片和管理文件的权限。Babuk Locker警告,警局最好在3天时间内答复并交付赎金,否则他们将泄露警方线人消息,并且继续攻击FBI、CSA等部门。

 

4.远控来袭:针对Telegram用户的金融窃密活动

发布时间:2021年4月26日

事件来源:

https://mp.weixin.qq.com/s/uhc4wqCcvBVBVLm4H8LhfA

 

事件摘要:

国内安全研究团队发现一批同类型的远控木马在Telegram进行钓鱼传播,并且诱饵大多是以"0股民精准","07出入款账单明细表","0中转银行卡信息核对"等金融、财务方面词语命名的伪装文档。

 

同时在诱饵命名中也出现了"0资金中转USDT钱包地址信息核对表"这样和数字货币相关的词语。从去年10月份以来比特币一路高涨,连带其他数字货币也水涨船高,数字货币还具有一定的匿名性,对于木马控制者来说无疑是更加合适的窃取对象,因此这次钓鱼攻击很有可能也是木马控制者窃取数字货币的一次尝试。结合上述推测本次攻击目的是针对特定的Telegram用户的金融资产窃取。

 



漏洞事件

1.Apache OFBiz远程代码执行漏洞通告

发布时间:2021年4月28日

事件来源:

https://s.tencent.com/research/bsafe/1305.html

 

事件摘要:

2021年04月27日,Apache OFBiz官方发布了两个高危漏洞风险通告,Apache OFBiz在17.12.07之前的版本具有不安全的反序列化,攻击者成功利用漏洞可能触发RCE(远程代码执行)。

 

OFBiz是著名的电子商务平台,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

 

腾讯安全专家建议受影响的用户及时将Apache OFBiz升级到最新版本。



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//