绿盟科技威胁周报(2022.11.14-2022.11.20)

一、 威胁通告

  • YApi mongo注入漏洞

【发布时间】2022-11-14 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测到网上公开发布了一个开源API接口管理平台YApi mongo注入漏洞,由于YApi中某函数存在拼接,能够实现MongoDB注入,未经身份验证的远程攻击者可通过利用该漏洞获取到用户token(包括用户ID、项目ID等必要参数)。同时,可结合自动化测试API接口写入待执行命令,并利用沙箱逃逸,最终导致命令执行。目前官方已发布安全补丁修复该漏洞,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

二、 热点资讯

  1. 伊朗网络间谍利用Log4Shell漏洞攻击了联邦民事行政部门组织

【标签】政府

【概述】

根据 FBI 和 CISA 发布的联合公告,一个与伊朗有联系的 APT 组织利用 Log4Shell 漏洞入侵了联邦民事行政部门(FCEB)组织,并部署了加密恶意软件。Log4Shell影响了使用Log4j的几家大公司的产品,但在许多攻击中,该漏洞已被利用来对付受影响的VMware软件。在这种特定情况下,伊朗黑客入侵了未修补的VMware Horizon服务器,以获得远程代码执行。攻击者破坏的联邦民事行政部门组织的活动中获得了四个恶意文件进行分析。这些文件已被确定为XMRIG加密货币挖掘软件的变体。这些文件包括一个内核驱动程序,两个Windows可执行文件和一个配置文件,用于控制可执行文件在网络和受感染主机上的行为之一。而相关政府专家发现,在安装 XMRig 加密矿工后,攻击者执行横向移动到达域控制器 ,破坏凭据,然后在多个主机上植入 Ngrok 反向代理以保持受感染网络中的持久性。在该专家记录的一次攻击中发现,威胁行为者能够在网络内部横向移动,收集和泄露敏感数据。值得注意的是,CISA 和 FBI 鼓励所有运行易受攻击的 VMware 服务器的组织承担入侵并启动威胁搜寻活动。相关调查部门敦促怀疑初始访问或泄露的组织承担威胁参与者的横向移动、调查连接的系统并审核特权帐户。

【参考链接】

https://ti.nsfocus.com/security-news/IlO9t

 

  1. 朝鲜黑客通过更新的DTrack后门攻击欧洲和拉丁美洲

【标签】国家

【概述】

研究人员观察到与朝鲜政府有联系的黑客使用名为Dtrack的后门的更新版本,针对德国,巴西,印度,意大利,墨西哥,瑞士,沙特阿拉伯,土耳其和美国的广泛行业。研究人员表示,Dtrack允许犯罪分子在受害者主机上上传,下载,启动或删除文件。受害者表明向欧洲和拉丁美洲扩张。恶意软件的目标行业是教育、化学制造、政府研究中心和政策机构、IT 服务提供商、公用事业提供商和电信公司。安全研究员观察到的最新变化涉及植入物如何将其隐藏在一个看似合法的程序中,以及使用三层加密和混淆,旨在使分析更加困难。解密后的最终有效负载随后使用称为进程空心的技术注入 Windows 文件资源管理器进程。通过Dtrack下载的模块中,最主要的是键盘记录器以及捕获屏幕截图和收集系统信息的工具。关于调查,相关研究人员总结道,Dtrack后门继续被Lazarus小组积极使用,恶意软件包装方式的修改表明,Lazarus仍然将Dtrack视为一项重要资产。

【参考链接】

https://ti.nsfocus.com/security-news/IlO9v

 

  1. 大量特洛伊木马订单攻击目标Magento商店

【标签】电子商务

【概述】

针对Magento 2网站的TrojanOrders攻击显着增加归因于至少七个黑客组织。这些攻击利用了一个缺陷,该漏洞允许攻击者渗透到未受保护的服务器中。黑客组织正在相互争斗以控制受感染的网站。几乎40%的万磁王2网站成为攻击目标。这些攻击用于将恶意 JavaScript 代码注入在线商店的网站,这可能会导致严重的中断和可能的信用卡盗窃企图。Magento 主要漏洞是 TrojanOrders 攻击的目标,该漏洞使未经身份验证的攻击者能够在未修补的网站上运行代码并注入 RAT(远程访问木马)。为了执行TrojanOrders攻击,黑客通常会在目标网站上创建帐户,并在名称,增值税或其他字段中使用恶意模板代码下订单。他们经常将 TrojanOrders 攻击将注入 health_check.php 文件的副本。而该文件包含一个PHP后门,可以运行通过POST请求发送的命令。一旦进入网站,攻击者就会安装远程访问木马,以获得永久访问权限并执行更复杂的操作的能力。最终,攻击者将修改网站以包含恶意JavaScript,该JavaScript在受感染的商店中购买产品时窃取客户信息和信用卡号。值得注意的是,由于假日季节的网站流量增加,恶意订单和代码注入可能更容易被忽视,从而使这些攻击的时机达到最佳状态。

【参考链接】

https://ti.nsfocus.com/security-news/IlO9z

 

  1. DAGON LOCKER勒索软件正在韩国分发

【标签】国家

【概述】

研究员发现DAGON LOCKER勒索软件(以下简称DAGON)正在韩国分发。它最初是通过相关基础设施的可疑勒索软件行为阻止历史记录发现的。该勒索软件通常通过网络钓鱼邮件或作为电子邮件的附件进行分发,但由于它是勒索软件即服务,因此分发路线和目标可能会因威胁参与者而异。由于 DAGON 文件的形式被打包,在进程内存上创建的 64 位 EXE 二进制文件是核心代码。DAGON可以看作是MountLocker和Quantum的类似变体,因为有类似的功能和部件使用相同的代码。值得注意的是,DAGON使用ChaCha20加密方法来加密文件,并使用RSA作为ChaCha20加密密钥,这意味着 DAGON 是使用复杂加密的勒索软件。如果没有给出单独的 /NOLOG 执行参数,则用户系统信息、文件操作进程和所有加密历史记录日志将保存到同一路径中的.log文件中。当文件自行执行时,没有将该文件传输到外部网络地址的功能。

【参考链接】

https://ti.nsfocus.com/security-news/IlO97

 

  1. 俄罗斯黑客利用 Somnia 的新勒索软件对乌克兰多个组织发起攻击

【标签】政府

【概述】

乌克兰政府计算机应急响应小组 CERT-UA 正在调查针对乌克兰组织的多起攻击,这些攻击涉及一种名为 Somnia 的新勒索软件。政府专家将这些攻击归咎于FRwL(又名Z-Team,UAC-0118)组织,该组织被认为是一群亲俄罗斯的黑客活动家。FRwL(又名 Z-Team)的活动由 CERT-UA 以标识符 UAC-0118 监控,对未经授权干预攻击目标的自动化系统和电子计算机的操作负责。调查发现,最初的入侵是由于下载和运行一个模仿高级IP扫描仪“软件的文件而发生的,但实际上包含Vidar恶意软件。根据警报,乌克兰组织最初被相关访问代理破坏,然后将受感染的数据传输到使用它进行网络攻击的 FRwL 组。用作诱饵的高级IP扫描仪软件实际上包含Vidar恶意软件,这是一种窃取数据的恶意软件,还能够捕获Telegram会话数据并接管受害者的帐户。然后,威胁行为者滥用受害者的 Telegram 帐户来窃取 VPN 配置数据(身份验证和证书)。如果 VPN 帐户未受到双重身份验证的保护,则威胁参与者可以使用 VPN 连接来获取与公司网络的未经授权的连接。一旦获得对目标网络的访问权限,攻击者就会使用Netscan等工具进行侦察,并在泄露数据之前部署Cobalt Strike Beacons。值得注意的是,Somnia 攻击背后的威胁行为者不会要求支付赎金,他们的操作旨在破坏目标的网络。

【参考链接】

https://ti.nsfocus.com/security-news/IlO8f

 

  1. Lockbit团伙泄露了从全球高科技巨头泰雷兹窃取的数据

【标签】国防

【概述】

Lockbit 3.0勒索软件团伙开始泄露据称从全球高科技公司泰雷兹窃取的信息。泰雷兹是全球高科技领导者,在全球拥有81,000多名员工。集团投资于数字和深度技术创新——大数据、人工智能、连接、网络安全和量子——通过将人置于决策的核心来建立一个对社会发展至关重要的信任未来。不久前,法国国防和相关技术组织证实意识到勒索软件组织LockBit 3.0声称窃取了其部分数据。该公司于 10 月 31 日被添加到 Lockbit 3.0 组的受害者名单中,该团伙威胁说,如果该公司没有在截止日期前支付赎金,他们将在 2022 年 11 月 7 日之前公布被盗数据。据相关报道,到了最后期限,该威胁组织开始发布从公司窃取的机密数据。泰雷兹淡化了这一事件,并解释说,安全漏洞不会对其活动产生影响。据相关新闻显示,这 1,320 个文件在周二早上不再可供下载。值得注意的是,该集团承认数据泄露,并指出大多数被盗文件似乎是从代码存储库服务器复制的,托管的数据灵敏度较低,并且位于该集团主要信息系统的外部。

【参考链接】

https://ti.nsfocus.com/security-news/IlO7M

 

  1. 黑客发起的大规模恶意活动盯上印度顶级银行客户

【标签】金融

【概述】

安全研究员说,大规模网络钓鱼活动会针对印度的银行用户分发五种不同的恶意软件。目标银行客户包括七家银行的账户用户,包括位于该国的一些最知名的银行,可能会影响数百万客户。一些目标银行包括轴心银行、ICICI 银行和印度国家银行等。感染链都有一个共同的切入点,因为它们依赖于包含网络钓鱼链接的SMS消息,这些链接敦促潜在受害者输入其个人详细信息和信用卡信息,以获得退税或获得信用卡奖励积分。这些恶意的应用程序本身是通过域名与合法网站相似的网络钓鱼网站提供的,此外,还重复使用品牌徽标以增加成功攻击的可能性,并诱使用户下载恶意应用程序以获得即时奖励积分。尽管被盗数据和网络钓鱼主题相似,没有具体证据表明所有这些恶意软件家族与单个威胁行为者相关联。该研究院指出,虽然印度以外的其他客户没有成为这些恶意软件家族的目标,但该国的网络钓鱼活动已显着增加,并且越来越擅长检测逃避。

【参考链接】

https://ti.nsfocus.com/security-news/IlO7U

 

  1. 黑客冒充西班牙税务局进行新的网络钓鱼活动

【标签】政府

【概述】

西班牙正在进行一项全新的网络钓鱼活动,冒充西班牙税务局Agencia Tributaria。网络钓鱼尝试通过欺诈性短信开始,该短信通知受害者他们有资格获得所谓的报销。根据短信,他们需要做的就是在该机构的网站上填写表格即可获得报销。当用户单击链接时,它会将他们重定向到伪装成税务机构的页面,并询问他们的信用卡详细信息,包括CCV和PIN码。重要的是要注意,虽然这种网络钓鱼尝试试图模仿该机构的真实网站,但它确实缺乏真实网站的大部分功能。例如,无法更改网站的语言,尽管存在该选项。当用户输入信用卡信息时,网站似乎正在处理它。最后,它要求受害者输入他们应该通过短信收到的代码(受害者永远不会收到),或者打开他们的移动银行应用程序,他们应该在那里收到报销通知。

【参考链接】

https://ti.nsfocus.com/security-news/IlO7W

 

  1. 黑客称已入侵德意志银行并出售其访问权限

【标签】金融

【概述】

威胁行为者(0x_dump)声称已经入侵了跨国投资银行德意志银行,并提供对其网络进行在线销售的访问。该黑客组织声称可以访问该银行网络中的大约21000台机器,其中大部分是Windows系统。它还声称受感染的机器受到相关安全研究院的解决方案的保护。卖方表示可以访问用于内部通信的聊天服务,他还声称可以访问包含16TB数据的文件服务器。该组织提供对德意志银行7.5比特币的访问,价值约156,274美元。卖家补充说,他收到了很多关于这个报价的请求。

【参考链接】

https://ti.nsfocus.com/security-news/IlO8h

 

  1. 大规模电子邮件勒索活动声称服务器遭到黑客攻击

【标签】不区分行业

【概述】

安全研究员透露了一项新的勒索活动,威胁要泄露敏感的公司数据,除非进行比特币支付。安全研究员在透露了这封未经请求的电子邮件。它声称欺诈者通过利用一些未命名的漏洞并收集数据库凭据来入侵他的网站,然后再从所有计算机和服务器中提取完整数据。黑客将系统地采取一系列步骤来彻底损害用户的声誉。首先,用户的数据库将被泄露或出售给出价最高的人,用于任何目的。接下来,电子邮件将发送给用户的所有客户,供应商和业务合作伙伴,说明他们的所有信息已被出售或泄露,用户的网站因泄露信息并损害所有客户和提供商的声誉而过错。目前尚不清楚该活动的范围有多广,但其背后的蒙特萨诺团队组织显然希望利用臭名昭著的Lapsus等数据泄露勒索组织的广泛新闻获利。

【参考链接】

https://ti.nsfocus.com/security-news/IlO8d

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author