【威胁通告】绿盟科技威胁情报周报(2021.11.08-2021.11.14)
2021-11-15
一、 威胁通告
微软11月安全更新多个产品高危漏洞(CVE-2021-42279、CVE-2021-42321、CVE-2021-42316)
【发布时间】2021-11-11 11:00:00 GMT
【概述】
11月10日,绿盟科技CERT监测到微软发布11月安全更新补丁,修复了55个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Exchange Server等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有6个,重要(Important)漏洞有49个,其中包括6个0day漏洞:
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 攻击者利用Dridex银行恶意软件在墨西哥发起钓鱼攻击
【概述】
研究人员最近在墨西哥发现了一种名为 Dridex 的臭名昭著的银行恶意软件,据美国网络安全与基础设施安全局(CISA)称,Dridex 于2012年左右出现,是对其他两种银行恶意软件 Bugat 和 Cridex 的改进。它通常通过带有恶意附件的网络钓鱼电子邮件分发,一旦计算机被感染,Dridex 可以捕获登录凭据,但这只是众多功能之一,它可以检测某人何时登录银行网站并注入其他恶意软件或键盘记录软件。研究人员还表示Metabase Q 从今年4月开始在墨西哥发现了三个关于的Dridex 活动。一是攻击者将Dridex 的网络钓鱼电子邮件发送到世界各地,导致在 Lastra García 的网站上放置了一个 Dridex 版本;二是它通过欺骗性 SMS 消息四处传播,并声称来自 Citibanamex 银行,而这些消息包含一个链接,该链接重定向到 Lastra García 受感染的网站;第三个使用 SocGholish 框架的诡计,SocGholish 使用多种类型的社会工程框架来试图诱使人们下载虚假的软件更新,这实际上是一种远程访问木马。
【参考链接】
https://ti.nsfocus.com/security-news/IlN0W
2. 攻击者利用PhoneSpy恶意软件监视韩国公民
【概述】
一项正在进行的移动间谍软件活动已被发现,该活动使用 23 个恶意 Android 应用程序家族来窥探韩国居民,以窃取敏感信息并远程控制设备。已发现流氓应用程序伪装成看似无害的生活方式实用程序,其目的从学习瑜伽和浏览照片到观看电视和视频,恶意软件工件不依赖于 Google Play 商店或其他第三方非官方应用程序市场,这意味着社交工程或网络流量重定向方法来诱使用户下载应用程序。安装后,该应用程序在打开旨在类似于 Facebook、Instagram、Google 和 Kakao Talk 等流行应用程序的登录页面的网络钓鱼站点之前,会请求广泛的权限。然而,尝试登录的用户会收到 HTTP 404 Not Found 消息,但实际上,他们的凭据被盗并泄露到远程命令和控制 (C2) 服务器。
【参考链接】
https://ti.nsfocus.com/security-news/IlN1q
3. 攻击者冒充网络安全公司Proofpoint对目标用户发起钓鱼攻击
【概述】
钓鱼攻击者通过冒充网络安全公司Proofpoint,并试图窃取受害者的微软Office 365和谷歌电子邮件的凭证。据研究人员称,他们发现了一个针对某家不知名的全球通信公司的攻击活动,仅在该组织内就有近千名员工成为了攻击目标。攻击者会向受害者发送一个电子邮件,该电子邮件使用的诱饵是一个自称与抵押贷款支付有关的文件。其主题 \"Re: Payoff Request \",这样是为了更好的欺骗目标,使其认为这是一个合法的邮件,同时也增加了该程序的紧迫感。电子邮件里面包含了一个Proofpoint发送的安全文件的链接,点击该链接,受害者就会进入到一个虚假的Proofpoint网站的页面,并包含了不同电子邮件服务商的登录链接,如果用户点击邮件中嵌入的 \"安全的\" 电子邮件链接,他们就会被引导到带有Proofpoint品牌的钓鱼攻击欺骗页面中。
【参考链接】
https://ti.nsfocus.com/security-news/IlN0I
4. TeamTNT攻击Docker挖矿获利
【概述】
近期,TeamTNT黑客组织再次盯上Docker主机服务器,攻击并试图利用其进行挖矿活动。TrendMicro研究人员表示,TeamTNT黑客组织有三个不同目标,一是安装Monero加密矿工,二是扫描其他暴露在互联网上易受攻击的Docker目标,三是执行容器到主机逃逸以访问主网络。在具体攻击行为上,TeamTNT黑客组织会先使用暴露的Docker REST API在易受攻击的主机上创建容器,随后以此为跳板,通过已被控制的Docker Hub 帐户来托管恶意镜像并将其部署在目标主机上。可以说,此次攻击Docker利用其挖矿的活动,再次展现了TeamTNT 黑客组织高水平的运营规划、组织性和目标性。
【参考链接】
https://ti.nsfocus.com/security-news/IlN0U
5. MasterFred新恶意软件盯上Android平台用户的Instagram账号
【概述】
据bleepingcomputer网站报道,一种名为MasterFred的新型Android恶意软件正对Instagram 、Netflix和 Twitter用户构成威胁,它通过创建虚假登录界面来窃取用户账号信息。意软件分析师Alberto Segura一周前也在网上分享了第二个样本 ,指出它被用来攻击波兰和土耳其的 Android用户。在分析了新版本的恶意软件后,发现它试图使用系统上的辅助功能服务来获得对系统的更高权限。如果用户允许,恶意软件会识别系统上安装了哪些应用程序,并且每当用户打开Netflix、Instagram或Twitter 时,就会在原始应用程序上创建虚假登录窗口。
【参考链接】
https://ti.nsfocus.com/security-news/IlN1t
6. 攻击者利用Parking和Google的自定义页面来传播恶意软件
【概述】
近期,研究人员发现了一个GoELF可疑样本,分析得知是一个downloder,主要传播挖矿。有意思的地方在于传播方式,利用了namesilo的Parking页面,以及Google的用户自定义页面来传播样本及配置,从而可以躲避跟踪。这样做有两个显而易见的好处:一方面攻击者几乎不需要为恶意代码的传播付出任何带宽和服务器的费用;另一方面攻击者将自己的恶意行为隐藏在大型互联网基础服务供应商的巨大流量中,所谓大隐于市,以此隐藏自己的行踪使得更难被检测和追踪。
【参考链接】
https://ti.nsfocus.com/security-news/IlN1u
7. TrickBot与 Shathak 利用 Conti 勒索软件发起攻击
【概述】
研究人员发现TrickBot 木马的运营商正在与 Shathak 威胁组织合作分发他们的软件,最终导致在受感染的机器上部署 Conti 勒索软件。Shathak 被追踪为 TA551 绰号,是一个复杂的网络犯罪分子,以全球范围内的最终用户为目标,通过利用包含启用宏的 Office 文档的受密码保护的 ZIP 档案充当恶意软件分发者。而被称为 ITG23 或 Wizard Spider 的 TrickBot 团伙除了通过勒索软件即服务 ( RaaS ) 模型将恶意软件的访问权出租给附属公司之外,还负责开发和维护 Conti 勒索软件。涉及 Shathak 的感染链通常涉及发送嵌入带有恶意软件的 Word 文档的网络钓鱼电子邮件,最终导致部署 TrickBot 或 BazarBackdoor 恶意软件,然后将其用作部署 Cobalt Strike 信标和勒索软件的管道,但不会在进行侦察、横向移动、凭据盗窃和数据泄露活动之前。
【参考链接】
https://ti.nsfocus.com/security-news/IlN1s
8. Lyceum黑客利用恶意软件攻击以色列、沙特阿拉伯和非洲的电信、ISP
【概述】
据称与伊朗有关联的国家资助的攻击者与针对以色列、摩洛哥、突尼斯和沙特阿拉伯的互联网服务提供商 (ISP) 和电信运营商以及外交部的一系列针对性攻击有关。Lyceum(又名 Hexane 或 Spirlin)据信自 2017 年开始活跃,以网络间谍活动为目的的国家战略重要部门为目标,同时还用新的植入物重组其武器库,并将其视野扩大到包括 ISP 和政府机构。俄罗斯网络安全公司卡巴斯基上个月透露,新的和更新的恶意软件和 TTP 使黑客组织能够对突尼斯的两个实体发起攻击,传统上观察到攻击者使用凭证填充和蛮力攻击作为初始攻击媒介来获取帐户凭据并在目标组织中立足,利用访问作为跳板来投放和执行后期开发工具。两个不同的恶意软件家族——Shark 和 Milan(被卡巴斯基命名为“James”)——是攻击者部署的主要植入物,每个都允许执行任意命令并将敏感数据从受感染系统泄露给远程攻击者——受控服务器。
【参考链接】
https://ti.nsfocus.com/security-news/IlN1r
9. 电子零售巨头MediaMarkt遭勒索软件攻击
【概述】
电子零售巨头 MediaMarkt 遭到勒索软件攻击,破坏了荷兰和德国的商店运营,袭击发生在周末,商店的工作人员无法接受信用卡付款或打印收据,网上销售没有受到安全事件的影响。BleepingComputer透露该公司受到了Hive Ransomware团伙的打击,Hive 团伙自 2021 年 6 月以来一直活跃,它实施勒索软件即服务模型并采用各种策略、技术和程序 (TTP)。政府专家表示,该组织使用多种机制来破坏受害者的网络,包括使用带有恶意附件的网络钓鱼电子邮件来获取访问权限和远程桌面协议 (RDP) 在网络上横向移动一次,为了促进文件加密,勒索软件会寻找与备份、防病毒/反间谍软件和文件复制相关的进程并终止它们,最后Hive勒索软件将 .hive 扩展名添加到加密文件的文件名中。
【参考链接】
https://ti.nsfocus.com/security-news/IlN0F
10. 黑影集团泄露以色列患者医疗记录
【概述】
据以色列时报报道称Black Shadow 泄露了 Machon Mor 数据库中约 290,000 名患者的医疗记录,该数据库在以色列经营近 30 家医疗诊所。并表示,暴露的数据包括患者的血液检查、治疗、预约、医学影像扫描、结肠镜检查和疫苗接种的信息,以及患者关于医疗预约请求、程序和测试结果需求的信件。
【参考链接】
https://ti.nsfocus.com/security-news/IlN0G
