【威胁通告】绿盟科技威胁情报周报(2022.01.31-2022.02.06)
2022-02-10
一、 热点资讯
1. 攻击者利用网络钓鱼活动传播恶意软件STRRAT
【概述】
新的网络钓鱼活动利用虚假的运输诱饵在毫无戒心的受害者的计算机上安装了 STRRAT 远程访问木马。Fortinet 在检测到模仿全球航运巨头马士基航运但使用看似真实的电子邮件地址的网络钓鱼电子邮件后确定了新的活动。 STRRAT 是一种多功能远程访问木马,至少可以追溯到 2020 年年中。它通常基于 Java,通常通过网络钓鱼电子邮件发送给受害者。与其他网络钓鱼攻击一样,以前的 STRAAT 操作使用附加到电子邮件的中间投放器(例如,恶意 Excel 宏),在查看时下载最终有效负载。此示例不使用该方法,而是将最终有效负载直接附加到网络钓鱼电子邮件。
【参考链接】
https://ti.nsfocus.com/security-news/IlNeV
2. 与伊朗有关的 MuddyWater APT组织针对土耳其私人组织和政府机构发起攻击
【概述】
MuddyWater 针对土耳其开展的恶意软件活动利用恶意 PDF 和 Microsoft Office 文档作为初始感染媒介。诱饵文件伪装成土耳其卫生部和内政部的合法文件。打开文档后,基于 PowerShell 的恶意下载器会充当目标网络的初始立足点。PowerShell 脚本下载并执行驻留在武器化文档元数据中的第二阶段 PowerShell 脚本,该脚本又下载最终在受感染端点上运行的第三个未识别的 PowerShell 代码。
【参考链接】
https://ti.nsfocus.com/security-news/IlNfZ
3. 攻击者利用勒索软件攻击德国燃料供应商
【概述】
攻击者利用勒索软件发起的网络攻击已导致整个德国出现临时燃料供应,预计仅在 10 天后情况才会好转。Oiltanking GmbH Group 和 Mabanaft Group 是深受数字攻击影响的两家公司,导致运营技术系统停止运行。此次攻击针对的是 Marquard & Bahls Group 的 IT 基础设施,随后影响了其两个子公司,即 Mabanaft Group 和 Oiltanking GmbH Group。
【参考链接】
https://ti.nsfocus.com/security-news/IlNg0
4. 攻击者对朝鲜发起网络攻击造成朝鲜网络被迫中断
【概述】
攻击者针对朝鲜发起网络攻击导致面临互联网关闭,该国的互联网中断持续了六个小时。这是过去两周内导致朝鲜互联网中断的第二起事件。来自英国的网络安全专家 Junaid Ali 表示,最近的中断可能是由于拒绝服务 (DDoS) 攻击造成的。 如果朝鲜的用户试图连接到一个 IP 地址,互联网就无法将数据路由到该国。服务器在 DDoS 攻击后的几个小时内恢复正常。然而,个别服务器因中断而无法正常运行,这些服务器包括-Naenara、朝鲜政府官方门户网站、高丽航空和朝鲜事务部。
【参考链接】
https://ti.nsfocus.com/security-news/IlNg1
5. APT35利用新型PowerShell后门发起网络攻击
【概述】
一个与伊朗有联系的高级持续性威胁组织已更新其恶意软件工具集,以包括一种名为PowerLess Backdoor的新型基于 PowerShell 的植入物。这家总部位于波士顿的网络安全公司将恶意软件归咎于一个名为 Charming Kitten(又名 Phosphorous、APT35 或TA453)的黑客组织,同时还指出了后门规避 PowerShell 的执行。
【参考链接】
https://ti.nsfocus.com/security-news/IlNg2
6. 美国营销巨头RRD在Conti勒索软件攻击中数据被盗
【概述】
美国营销巨头RR Donnelly(RRD)公司日前透露,该公司在一次网络攻击中被窃取了数据。事后经BleepingComputer证实,这是一次Conti勒索软件攻击。IT系统的关闭导致公司的客户服务中断,一些客户无法收到供应商付款、支付支票和机动车辆证件所需的打印文件。RRD公司表示,最初他们不知道在攻击期间有客户端数据被盗。直到2022年1月15日,Conti勒索软件团伙开始泄露从RRD公司窃取的用户数据,总计为2.5GB。随后,RRD公司就泄露的数据与Conti团队展开谈判,我们有理由相信,在交付赎金后,泄露数据已经得到删除了。
【参考链接】
https://ti.nsfocus.com/security-news/IlNg6
7. McMenamins遭受Conti勒索软件攻击
【概述】
酒吧和连锁酒店 McMenamins 遭受了Conti 勒索软件攻击,破坏了其多个计算机系统。信息安全和技术新闻网站 BleepingComputer 将这次攻击归咎于 Conti 帮派。网络犯罪分子没有触及客户数据,但他们可能已经泄露了其员工记录。根据 McMenamins 的说法,Conti 勒索软件攻击并未导致任何地点的关闭。相反,入侵使其在线预订系统离线。因此,该公司求助于通过电话预订酒店。但是,它无法执行其他活动,例如兑换礼品卡、报价房价或预订特定房型。此外,Conti 勒索软件攻击迫使该公司关闭其 IT 系统、企业电子邮件和信用卡销售点系统。尽管如此,该公司已采取行动防止 Conti 勒索软件攻击的进一步蔓延。在数据泄露方面,该公司声称该攻击对客户支付数据没有影响。然而,网络犯罪分子可能已经影响了其 2,700 名员工的数据,包括他们的姓名、出生日期、地址、电子邮件地址、直接存款银行账户信息、社会安全号码和福利记录。
【参考链接】
https://ti.nsfocus.com/security-news/IlNg3
8. KP零食遭遇勒索软件攻击
【概述】
KP Snacks 是英国标志性小吃(如 Skips 和 Butterkist)的供应商,遭到勒索软件攻击,威胁至少在 3 月底之前会影响送货。该公司宣布,Conti,一个非常有效的俄语组织,是这次袭击的幕后黑手。与该团伙的典型做法一样,他们在双重勒索行动中窃取数据,并在他们的泄密网站上发布了窃取的“证据”。
【参考链接】
https://ti.nsfocus.com/security-news/IlNg4
9. 印尼央行确认遭受勒索软件攻击
【概述】
1月20日,印度尼西亚共和国中央银行——印度尼西亚银行(BANK INDONESIA)通信部执行主任Erwin Haryono证实,银行于上个月遭受了勒索软件攻击。中央银行有着管理货币部门、维持支付系统和金融系统稳定的重任,被攻击一事非同小可。据报道,攻击发生在苏门答腊岛的印度尼西亚银行办事处,攻击者在银行系统上部署勒索软件,并窃取了印度尼西亚银行员工的“非关键数据“。印度尼西亚银行称,在采取措施后,事件没有造成太大影响,没有泄露任何重要数据,更重要的是银行的公共服务完全没有中断。印度尼西亚银行没有将这次攻击归咎于特定的勒索软件团伙,但Conti组织表示对此负责,其威胁称若印度尼西亚银行不支付赎金,Conti将泄露手中的13.88GB文件。
【参考链接】
https://ti.nsfocus.com/security-news/IlNeD
10. 攻击者利用恶意软件AsyncRAT发起网络钓鱼活动
【概述】
臭名昭著的恶意软件 AsyncRAT 通过网络钓鱼活动再次出现在网上。这一次,攻击者设计了一种偷偷摸摸的策略来逃避大多数安全工具的检测。传送的恶意软件的网络钓鱼电子邮件包含一个 HTML 附件,打开后会提示用户下载 ISO 文件。虽然受害者会认为下载的文件会通过安全检查,但实际上它会全部逃脱。这是因为 ISO 文件从不来自服务器,而是来自 HTML 附件。打开此 ISO 文件会执行注入恶意软件 dropper(.NET 模块)的下一步,然后执行各种规避检查以跳过检测。最终,AsyncRAT 恶意软件作为最终负载到达设备。
【参考链接】
https://ti.nsfocus.com/security-news/IlNfY
