绿盟威胁情报周报(20200720~20200726)

一、威胁通告

  • 警惕!借ETC之名发起的钓鱼攻击事件通告

【发布时间】2020-07-24 09:00:00 GMT

【概述】

近期绿盟格物实验室检测到新的钓鱼攻击活动,攻击者向移动终端用户发送手机短信,提醒用户ETC设备异常,诱导用户点开短信中的链接,并要求填写提交个人敏感信息、银行卡号密码等。绿盟威胁情报中心(NTI)对此次钓鱼攻击持续监控,已支持对相关IOCs的检测。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

  1. TP-Link Tapo C200 IP摄像头高危漏洞

【概述】

近日,TP-Link修复了一个存在于C200 IP摄像头中的一个高危漏洞。使用已知的Heartbleed漏洞(位于公开的TCP 443端口),可以在内存转储中发现用户的哈希密码。然后使用API上的登录过程将哈希用于“哈希传递”攻击。这导致名为“stok”的登录令牌被发出,该令牌可用于设备的用户身份验证。攻击者随后可以执行多种需认证后才被允许的操作,例如:移动相机的镜头,格式化SD卡,创建一个RTSP帐户以查看相机的视频源,并禁用隐私模式等。

【参考链接】

  1. Adobe发布更新修复多个高危漏洞

【概述】

当地时间2020年7月21日,Adobe官方发布了 新的安全更新,修复了Adobe 多款产品中的多个高危代码执行漏洞,包括Adobe Bridge、Adobe Photoshop、Adobe Prelude以及Adobe Reader Mobile等。

【参考链接】

  1. MgBot恶意软件新变种针对印度和香港

【概述】

MgBot通过使用Windows上的应用程序管理(AppMgmt)服务来执行并注入其最终有效负载,通过鱼叉式网络钓鱼电子邮件传播,具有通过TCP进行C2通信、截图、键盘记录、文件和目录管理、流程管理、创建MUTEX的功能,近期该恶意软件新变种针对印度和香港发起攻击活动。

【参考链接】

  1. Lokibot恶意软件通过电子邮件传播

【概述】

攻击者向用户发送带有PowerPoint文档的恶意电子邮件,通过重定向从pastebin.com平台下载两个脚本,第一个脚本的有效负载是Lokibot恶意软件,第二个脚本的有效负载是.NET程序集,用来执行Lokibot。

【参考链接】

https://cert-agid.gov.it/news/false-e-mail-della-sapienza-con-documento-powerpoint-diffonde-il-malware-lokibot/

  1. OilRig瞄准中东电信组织

【概述】

OilRig组织在近期针对中东的一家电信组织的攻击活动中使用自定义Mimikatz工具、Bitvise、PowerShell下载程序以及RDAT工具变体,一种新颖的基于电子邮件的命令和控制(C2)通道,可以将命令和数据隐藏在电子邮件附加的位图图像中,大多数变体依赖于HTTP和DNS隧道进行C2通信。

【参考链接】

https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/

  1. Lazarus组织针对多平台的恶意软件框架MATA

【概述】

MATA恶意软件框架具有多个组件,例如加载程序,协调器和插件,这个全面的框架能够针对Windows,Linux和macOS操作系统,归属于Lazarus攻击组织,在波兰、德国、土耳其、韩国、日本和印度已有受影响的用户。

【参考链接】

https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/
  1. Prometei僵尸网络活动积极挖掘门罗币

【概述】

近期发现一个复杂的攻击活动,活动中采用多种传播方式的多模块僵尸网络和有效负载,例如利用Eternal Blue、最新的SMB漏洞等多种传播方式分发僵尸网络Prometei。Prometei僵尸网络有15个以上的可执行模块,致力于通过挖掘Monero在线货币为攻击者提供经济利益。

【参考链接】

https://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html

  1. WatchBogMiner挖矿木马新变种针对Linux服务器的攻击活动

【概述】

WatchBogMiner变种挖矿木马利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击,在失陷机器安装多种类型的持久化攻击代码,然后植入门罗币挖矿木马进行挖矿,并且通过各类方法进行持久化,定期拉取挖矿木马加载到内存执行,同时会在启动后删除木马文件以达到隐藏自身的目的。

【参考链接】

https://s.tencent.com/research/report/1056.html

  1. Ursnif银行木马通过钓鱼邮件传播

【概述】

Ursnif银行木马通过网络钓鱼电子邮件传递,利用邮件中一个包含宏的伪装附件下载伪装成.cab扩展名的可执行文件,还使用了模仿Zoom和Webex的新用户代理。Ursnif木马在攻击活动中旨在窃取重要的财务信息、电子邮件凭据和其他敏感数据。

【参考链接】

https://www.darktrace.com/en/blog/the-resurgence-of-the-ursnif-banking-trojan/

  1. Shathak活动-通过垃圾邮件传播Valak

【概述】

恶意垃圾邮件根据从以前感染的Windows主机检索到的邮箱数据来欺骗合法的电子邮件链,向用户发送包含受密码保护带有Microsoft Word文档的ZIP附件,其中有用于安装恶意软件Valak的宏,该恶意软件常被用于信息窃取和恶意软件加载。

【参考链接】

https://unit42.paloaltonetworks.com/valak-evolution/

  1. WastedLocker勒索软件滥用ADS和NTFS文件属性

【概述】

WastedLocker勒索软件利用了SocGholish框架,允许攻击者传播伪装成系统或软件更新的恶意软件有效载荷,并且通过NTFS的备用数据流隐藏以逃避检测。WastedLocker勒索软件以美国多家财富500强企业为目标。

【参考链接】

https://labs.sentinelone.com/wastedlocker-ransomware-abusing-ads-and-ntfs-file-attributes/
  1. Tellyouthepass勒索软件变种针对企业

【概述】

近期发现Tellyouthepass勒索软件变种针对企业用户的攻击活动,攻击者利用压缩工具打包exe的方式,将ms16-032内核提权漏洞利用模块、永恒之蓝内网扩散模块集成到勒索攻击包中,以实现内网蠕虫式病毒传播。Tellyouthepass勒索病毒使用了RSA+AES的方式对文件进行加密,被病毒加密后文件暂无法解密。

【参考链接】

https://s.tencent.com//research/report/1054.html

Spread the word. Share this post!

Meet The Author

Leave Comment