【威胁通告】绿盟科技威胁情报周报(2021.11.22-2021.11.28)
2021-11-29
一、 威胁通告
黑客利用开源代码平台 SonarQube 漏洞泄露多家单位源)
【发布时间】2021-11-25 18:00:00 GMT
【概述】
2021 年 10 月以来,绿盟科技 CERT 监测发现境外黑客组织 AgainstTheWest(简称“ATW”)针对暴露在公网上的 SonarQube 平台进行攻击,窃取了我国多家企业单位信息系统源代码,并在国外黑客论坛 RaidForums 上进行非法售卖。10 月 14 日,ATW 在 RaidForums 上发帖称要泄露我国某银行系统源代码,并在此后一段时间内持续发帖泄露、售卖我国多家重要单位源代码数据信息。经研判分析知,ATW 黑客组织攻击的单位涉及金融、运营商、交通、互联网、教育、政府等行业
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 新墨西哥州医疗保健业务的居民数据被泄露
【概述】
研究人员表示一家位于新墨西哥州的医疗保险公司十月遭到网络攻击后,超过 62,000 名美国公民的个人身份信息可能已被泄露。True Health New Mexico 为美国西南部各州的大小雇主提供一系列健康保险服务。安全专家确定受影响的文件可能包含有关现任和前任 True Health 新墨西哥成员、选定提供商以及新墨西哥健康连接的一些前成员的信息,同时受影响的数据可能包括保单持有人的姓名、出生日期、家庭住址、电子邮件地址、保险信息、医疗信息和社会安全号码。为了帮助保护其成员的数据,该保险公司向所有可能受影响的个人提供了为期 24 个月的补充信用监控会员资格。
【参考链接】
https://ti.nsfocus.com/security-news/IlN5i
2. 攻击者利用新的隐形JavaScrip恶意软件进行钓鱼攻击
【概述】
研究人员已发现攻击者使用以前未记录在案的 JavaScript 恶意软件菌株,该菌株充当加载程序以分发一系列远程访问木马 (RAT) 和信息窃取程序。HP Threat Research将新的规避加载程序称为“RATDispenser”,该恶意软件负责在 2021 年部署至少八个不同的恶意软件系列。已经发现了这种新恶意软件的大约155个样本,分布在三个不同的变体中,暗示它处于活动状态发展。RATDispenser 用于在启动二级恶意软件之前在系统上获得初始立足点,从而建立对受感染设备的控制,与其他此类攻击一样,感染的起点是包含恶意附件的网络钓鱼电子邮件,该附件伪装成文本文件,但实际上是经过混淆的 JavaScript 代码,用于编写和执行 VBScript 文件,反过来, 在受感染的机器上下载最后阶段的恶意软件负载。
【参考链接】
https://ti.nsfocus.com/security-news/IlN5g
3. 黑客使用新的Android间谍软件变种攻击中东用户
【概述】
研究人员发现以打击中东目标而闻名的攻击者再次改进了其 Android间谍软件,增强了功能,使其更隐蔽、更持久,同时伪装成看似无害的应用程序更新,以保持在雷达之下。变种在其恶意应用程序中加入了新功能,使它们对用户的操作更有弹性,用户可能会尝试手动删除它们,以及安全和网络托管公司试图阻止访问或关闭他们的命令和控制服务器域。移动间谍软件VAMP、FrozenCell、GnatSpy和Desert Scorpion至少自 2017 年以来一直是APTC-23威胁组织的首选工具,其连续迭代具有扩展监视功能到真空文件,图像、联系人和通话记录,阅读来自消息应用程序的通知,记录通话(包括 WhatsApp),以及取消来自内置 Android 安全应用程序的通知。恶意软件以 AndroidUpdate、Threema 和 Telegram 为幌子,通过虚假的 Android 应用程序商店进行分发。攻击者通过短信向目标发送下载链接来传送间谍软件应用程序,安装后,该应用程序开始请求侵入性权限以执行一系列恶意活动,这些活动旨在绕过任何手动删除恶意软件的尝试。
【参考链接】
https://ti.nsfocus.com/security-news/IlN51
4. 攻击者利用Android.Cynos.7.origin木马攻击Android设备
【概述】
Dr. Web AV 的研究人员在华为的 AppGallery 目录(即模拟器、平台游戏、街机、策略和射击游戏)中发现了190 款包含 Android.Cynos.7.origin 木马的游戏。他们估计恶意应用程序至少安装在 9.300.00 台 Android 设备上。专家表示,其中一些游戏以俄语本地化、标题和描述为目标,而其他游戏则针对中国或国际观众。恶意软件旨在收集有关用户及其设备和展示广告的信息。Android.Cynos.7.origin 是 Cynos 程序模块的修改版本,可以集成到Android用程序中以通过它们获利。该模块至少在 2014 年就已为人所知,但专家指出,某些版本实现了激进的功能,例如发送优质短信、拦截收到的短信、下载和启动额外模块以及下载和安装其他应用程序的功能。
【参考链接】
https://ti.nsfocus.com/security-news/IlN4Y
5. 黑客滥用Glitch平台发起网络钓鱼活动
【概述】
研究人员发现了一项正在进行的鱼叉式网络钓鱼活动,该活动使用短期 Glitch 应用程序托管凭据收集 URL,同时逃避检测。攻击者的目标是未命名的中东大公司,电子邮件中包含看似可疑的 PDF,这些 PDF 本身并不是恶意的,但其中包含一个 URL,可将受害者定向到短命的 Glitch 应用程序安全公司DomainTools 的团队。这些应用程序托管一个 SharePoint 网络钓鱼页面,其中包含旨在收集凭据的混淆 JavaScript。
【参考链接】
https://ti.nsfocus.com/security-news/IlN4M
6. GoDaddy公司大量客户数据被泄露
【概述】
GoDaddy 披露了影响多达 120 万客户的数据泄露事件,攻击者破坏了该公司的 WordPress 托管环境。入侵者使用已泄露的密码访问该公司用于托管 WordPress 的旧代码库中的配置系统。调查显示,攻击者利用漏洞访问以下客户信息:多达 120 万活跃和不活跃的托管 WordPress 客户的电子邮件地址和客户编号被暴露,暴露了在配置时设置的原始 WordPress 管理员密码。并表示电子邮件地址的暴露存在网络钓鱼攻击的风险。
【参考链接】
https://ti.nsfocus.com/security-news/IlN4L
7. 攻击者利用BrazKing恶意软件攻击巴西的银行应用程序
【概述】
研究人员发现来自巴西的银行应用程序正成为一种更难以捉摸、更隐蔽的 Android 远程访问木马 (RAT) 版本的目标,该木马能够通过窃取双因素身份验证 (2FA) 代码并从受感染设备发起恶意交易来进行金融欺诈攻击受害者账户中的资金转移到攻击者运营的账户中。并表示恶意软件BrazKing的最终目标是允许攻击者与设备上正在运行的应用程序进行交互,密切关注用户在任何给定时间查看的应用程序,记录在银行应用程序中输入的按键,并显示欺诈性覆盖屏幕以进行虹吸支付卡的PIN码和2FA代码,并最终执行未经授权的交易。
【参考链接】
https://ti.nsfocus.com/security-news/IlN4N
8. 攻击者利用基于Golang的Linux恶意软件针对电子商务网站
【概述】
研究人员表示电子商务门户的弱点正在被利用来部署 Linux 后门以及能够从受感染网站窃取支付信息的信用卡窃取程序。攻击者从自动化电子商务攻击探测开始,测试常见在线商店平台中的数十个弱点,然后利用最初的立足点上传恶意web shell并更改服务器代码以窃取客户数据。此外,攻击者还提供了一个名为“ linux_avp ”的基于Golang的恶意软件,该恶意软件作为后门执行从位于北京的命令和控制服务器远程发送的命令。在执行时,该程序旨在将自身从磁盘中移除并伪装成“ ps -ef ”进程,这是一个用于显示 Unix 和类 Unix 操作系统中当前正在运行的进程的实用程序。并且他们还发现了一个伪装成网站图标图像(“favicon_absolute_top.jpg”)并添加到电子商务平台代码中的 PHP 编码的网络浏览器,目的是注入欺诈性付款表格并窃取输入的信用卡信息由客户实时传输,然后将它们传输到远程服务器。
【参考链接】
https://ti.nsfocus.com/security-news/IlN4w
9. 攻击者利用ProxyLogon和ProxyShell漏洞攻击Microsoft Exchange服务器
【概述】
研究人员发现针对 Microsoft Exchange 服务器的恶意软件活动利用 ProxyShell 和 ProxyLogon 漏洞和被盗的内部回复链电子邮件。攻击是由Squirrelwaffle精心策划的,Squirrelwaffle是一个以发送恶意垃圾邮件作为对现有电子邮件链的回复而闻名的攻击者。研究人员表示一旦 Exchange 服务器受到攻击,攻击者就会使用访问权限来回复公司内部电子邮件,进行回复链攻击,其中包含指向武器化文档的链接。而从组织发送消息会允许攻击者绕过检测。
【参考链接】
https://ti.nsfocus.com/security-news/IlN3t
10. 攻击者利用Memento勒索软件攻击受密码保护的WinRAR档案
【概述】
10 月,Sophos 研究人员发现了 Memento 勒索软件,它采用了一种奇怪的方法来阻止对受害者文件的访问。该勒索软件将文件复制到受密码保护的 WinRAR 档案中,它使用合法文件实用程序 WinRAR的重命名的免费软件版本。Memento勒索软件然后加密密码并从受害者的系统中删除原始文件。该组织最初尝试直接加密文件,但被防御解决方案阻止。然后它改变了策略,使用上述流程并要求 100 万美元来恢复文件。该团伙还允许以 0.099 BTC(5036,21 欧元)的价格恢复单个文件。与其他团体一样,如果受害者不支付赎金,Memento Team会威胁数据泄露。
【参考链接】
https://ti.nsfocus.com/security-news/IlN4v
