8月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞,MSDT(Microsoft 支持诊断工具)是内置于 Windows 操作系统中的诊断和故障排除工具。无需身份验证的本地攻击者通过制作恶意文件,当成功诱导用户在受影响的系统上打开恶意文件后,可在目标系统上以该用户权限执行任意代码。CVSS 分数为 7.8。
另外,本次微软共修复了17个Critical级别漏洞,104个Important 级别漏洞,其中包括 2 个 0day 漏洞,强烈建议所有用户尽快安装更新。
在本月的威胁事件中,黑客组织SEABORGIUM正在进行网络钓鱼活动以盗取相关数据信息:研究人员观察到近日SEABORGIUM发起的活动。SEABORGIUM是一个来自俄罗斯的攻击者,其目标和受害情况与俄罗斯国家利益密切相关。黑客主要进行持续的网络钓鱼和凭证盗窃活动,进而入侵和盗取数据。黑客攻击收集到的信息进而支持传统的间谍目标和信息活动;攻击者通过对谷歌个人账户攻击从而获取思科员工凭证进行钓鱼攻击:攻击者以各种受信任的组织为幌子进行了一系列复杂的语音钓鱼攻击,试图说服受害者接受由攻击者发起的多因素认证(MFA)推送通知。攻击者最终成功实现了MFA推送的接受,让他们在目标用户的背景下访问VPN。在获得初始访问权后,攻击者进行了各种活动以及攻击者针对微软电子邮件服务的企业用户的大规模AiTM攻击:它使用了中间对手(AiTM)技术和一些规避战术。该攻击在几个方面与其他常见的网络钓鱼攻击有所不同。它使用了一种能够绕过多因素认证的中间人(AiTM)攻击技术。在攻击的各个阶段都使用了多种规避技术,旨在绕过传统的电子邮件安全和网络安全解决方案。该攻击专门针对使用微软电子邮件服务的企业的终端用户。
以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/
一、 漏洞态势
2022年08月绿盟科技安全漏洞库共收录263个漏洞, 其中高危漏洞22个,微软高危漏洞17个。
* 数据来源:绿盟科技威胁情报中心,本表数据截止到2022.09.01
注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
二、 威胁事件
- 攻击者利用网络钓鱼针对军工企业和公共机构发起定向攻击
【标签】网络钓鱼
【时间】2022-08-10
【简介】
研究人员在几个东欧国家和阿富汗发现了一波针对军工综合体企业和公共机构的定向攻击。在研究过程中,研究人员能够确定十多个被攻击的组织。攻击者能够渗透到几十家企业,甚至劫持了一些企业的IT基础设施,控制了用于管理安全解决方案的系统。攻击者利用精心制作的网络钓鱼邮件渗透到企业网络中,其中一些邮件包含被攻击组织的特定信息,并且不公开。钓鱼邮件所附的Microsoft Word文档包含利用CVE-2017-11882漏洞的恶意代码。该漏洞使攻击者能够执行任意代码(在分析的攻击中,是PortDoor恶意软件的主要模块),而无需任何额外的用户活动。
【参考链接】
https://ti.nsfocus.com/security-news/IlNL7
【防护措施】
绿盟威胁情报中心关于该事件提取76条IOC,其中包含10个域名和66个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Woody Rat利用Follina漏洞的Office文档来针对俄罗斯实体发起网络攻击
【标签】Woody Rat
【时间】2022-08-11
【简介】
研究人员发现了一个新的远程访问木马,称之为Woody Rat,它已经在野外存在了至少一年时间。它通过使用存档文件格式的诱饵,以及最近利用Follina漏洞的Office文档来针对俄罗斯航天和国防实体发起网络攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlNL8
【防护措施】
绿盟威胁情报中心关于该事件提取9条IOC,其中包含9个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者针对微软电子邮件服务的企业用户的大规模AiTM攻击
【标签】AiTM攻击
【时间】2022-08-11
【简介】
近期,研究人员发现了一个新的大规模网络钓鱼活动,它使用了中间对手(AiTM)技术和一些规避战术。该攻击在几个方面与其他常见的网络钓鱼攻击有所不同。它使用了一种能够绕过多因素认证的中间人(AiTM)攻击技术。在攻击的各个阶段都使用了多种规避技术,旨在绕过传统的电子邮件安全和网络安全解决方案。该攻击专门针对使用微软电子邮件服务的企业的终端用户。
【参考链接】
https://ti.nsfocus.com/security-news/IlNLb
【防护措施】
绿盟威胁情报中心关于该事件提取14条IOC,其中包含14个域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- DeathStalker利用VileRAT工具链对外国和加密货币交易所进行网络攻击
【标签】VileRAT
【时间】2022-08-12
【简介】
DeathStalker利用VileRAT工具链对外国和加密货币交易所进行网络攻击。DeathStalker的VileRAT最初的感染包括向外汇公司发送的鱼叉式网络钓鱼邮件,这些邮件来自于共享投资利益的假人(例如一个假的钻石贸易公司)。如果目标回复并继续对话,假人将在某一时刻应要求提供一个托管在Google Drive上的恶意文件的链接(一个伪装成PDF或ZIP档案的Windows快捷方式文件),作为识别文件。然后,该恶意链接将触发任意系统命令的执行,以投放一个无害的诱饵文件,以及一个恶意的、相当复杂的二进制加载器,我们称之为VileLoader。近期,攻击者利用嵌入目标公司公共网站的聊天机器人,向目标发送恶意的DOCX。
【参考链接】
https://ti.nsfocus.com/security-news/IlNL9
【防护措施】
绿盟威胁情报中心关于该事件提取153条IOC,其中包含9个域名和144个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者通过对谷歌个人账户攻击从而获取思科员工凭证进行钓鱼攻击
【标签】钓鱼攻击,MFA
【时间】2022-08-12
【简介】
据报道,一名思科员工的凭证在攻击者获得对谷歌个人账户的控制后被泄露,在谷歌账户中保存的凭证被同步到受害者的浏览器中。攻击者以各种受信任的组织为幌子进行了一系列复杂的语音钓鱼攻击,试图说服受害者接受由攻击者发起的多因素认证(MFA)推送通知。攻击者最终成功实现了MFA推送的接受,让他们在目标用户的背景下访问VPN。在获得初始访问权后,攻击者进行了各种活动,以保持访问权,尽量减少取证文物,并提高他们对环境内系统的访问水平。
【参考链接】
https://ti.nsfocus.com/security-news/IlNLc
【防护措施】
绿盟威胁情报中心关于该事件提取28条IOC,其中包含8个IP,10个域名和10个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 俄罗斯Shuckworm网络集团对乌克兰发起持续攻击
【标签】Shuckworm,恶意软件
【时间】2022-08-17
【简介】
据悉,近期针对乌克兰的Shuckworm活动似乎正在向目标网络提供信息窃取的恶意软件。这种活动最近在2022年8月8日还在进行,在这次活动中观察到的大部分活动与CERT-UA在7月26日强调的活动一致。Shuckworm(又名Gamaredon,Armageddon)是一个与俄罗斯有联系的组织,自2014年首次出现以来,它的行动几乎完全集中在乌克兰。它被普遍认为是国家支持的间谍行动。Shuckworm自2013年以来一直活跃,因明确针对乌克兰的公共和私人实体而闻名。自2022年末俄罗斯军事入侵以来,攻击事件不断升级。最新的一系列攻击已于2022年7月15日开始,一直持续到8月8日,感染链利用伪装成通讯和战斗命令的网络钓鱼电子邮件,最终部署了名为GammaLoad.PS1_v2的PowerShell窃取者恶意软件。
【参考链接】
https://ti.nsfocus.com/security-news/IlNLa
【防护措施】
绿盟威胁情报中心关于该事件提取43条IOC,其中包含43个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- DoNot攻击者使用新的Windows框架针对巴基斯坦政府和国防部门进行攻击
【标签】新的Windows框架
【时间】2022-08-18
【简介】
研究人员发现,DoNot攻击者在针对巴基斯坦政府和国防部门的攻击中使用了一个新的Windows框架。DoNot团队(APT-C-35)是由印度赞助的行为者,至少从2016年开始活跃该攻击以一个鱼叉式RTF附件开始。如果在微软Office应用程序中打开,它会下载一个恶意的远程模板。攻击阵在受害者启用编辑(宏)后,然后开启一个多阶段的框架部署。它包括两个shellcode阶段,然后是主DLL,根据受害者的指纹,下载一套自定义的额外信息窃取模块。
【参考链接】
https://ti.nsfocus.com/security-news/IlNLd
【防护措施】
绿盟威胁情报中心关于该事件提取29条IOC,其中包含12个域名和17个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者利用微软word中的漏洞来传递PivNoxy恶意软件
【标签】PivNoxy恶意软件
【时间】2022-08-23
【简介】
近期研究人员观测到攻击者将一封简短带有可疑的RTF附件的电子邮件发送到南亚的一个电信机构。这封邮件被伪装成来自巴基斯坦政府的一个部门,并传递了PivNoxy恶意软件。攻击者利用微软word中的漏洞来传递PivNoxy恶意软件,攻击从一封简单的电子邮件开始,其中包括一个光秃秃的文件作为附件:附件中的doc文件是RTF格式的。它是用一个叫Royal Road的工具生成的,这是一个钓鱼\”武器\’,也被称为8.t RTF漏洞生成器,Royal Road允许APT组织创建带有嵌入式对象的RTF文件,可以利用微软Word中的漏洞来感染目标。
【参考链接】
https://ti.nsfocus.com/security-news/IlNNn
【防护措施】
绿盟威胁情报中心关于该事件提取56条IOC,其中包含9个域名和47个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 黑客组织SEABORGIUM正在进行网络钓鱼活动以盗取相关数据信息
【标签】钓鱼攻击
【时间】2022-08-25
【简介】
研究人员观察到近日SEABORGIUM发起的活动。SEABORGIUM是一个来自俄罗斯的攻击者,其目标和受害情况与俄罗斯国家利益密切相关。黑客主要进行持续的网络钓鱼和凭证盗窃活动,进而入侵和盗取数据。黑客攻击收集到的信息进而支持传统的间谍目标和信息活动。
【参考链接】
https://ti.nsfocus.com/security-news/IlNNm
【防护措施】
绿盟威胁情报中心关于该事件提取23条IOC,其中包含23个域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者TA558以酒店、宾馆和旅游机构为攻击目标
【标签】钓鱼攻击
【时间】2022-08-25
【简介】
研究人员发现了一个以金融为动机的网络攻击者TA558,目标是位于拉丁美洲,有时是北美和西欧的酒店、旅游及相关行业。该行为人发送用葡萄牙语、西班牙语,有时用英语编写的恶意电子邮件。这些电子邮件使用预订为主题的诱饵,与业务相关的主题,如酒店房间预订。这些电子邮件可能包含恶意附件或URL,旨在分发至少15种不同的恶意软件有效载荷之一,通常是远程访问木马(RAT),可以实现侦察、数据盗窃和分发后续的有效载荷。在2022年,研究人员观察到与前几年相比,活动有所增加。此外,TA558改变了策略,开始使用URL和容器文件来分发恶意软件,这可能是对微软宣布将开始默认阻止从互联网下载的VBA宏的回应。
【参考链接】
https://ti.nsfocus.com/security-news/IlNNl
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC,其中包含10个域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。