8月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,涉及 Windows Print Spooler、Hyper-V、Azure、Exchange、Kernel 等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。另外,本次微软共修复了121个Critical级别漏洞,104个Important 级别漏洞,2个0day漏洞,强烈建议所有用户尽快安装更新。
在本月的威胁事件包含,蔓灵花组织近期攻击活动分析、勒索软件综述DoDo、GuLoader恶意软件伪装成税务发票和运输报表等。以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/
一、 漏洞态势
2023年08月绿盟科技安全漏洞库共收录90个漏洞, 其中高危漏洞12个,微软高危漏洞12个。
* 数据来源:绿盟科技威胁情报中心,本表数据截止到2023.08.31
注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
二、威胁事件
- 幽影长存:蔓灵花组织近期攻击活动分析
【时间】2023-08-07
【简介】
蔓灵花组织近期非常活跃,还是以鱼叉式钓鱼邮件投递恶意压缩包,压缩包里面通常为恶意chm文件,有时也会在压缩包里面搭载带漏洞的office文件。可以发现蔓灵花还是擅用chm文件来创建计划任务来获取后续,并且后续msi文件是有选择性的进行下发,而在msi文件中通常搭载蔓灵花最新的攻击武器wmRAT,该攻击武器近两年才被披露,并不断扩展更新,现已支持十多种远控指令。
【参考链接】
https://mp.weixin.qq.com/s/HVhXyIB4sKuG6dDwwe4Pcw?from=industrynews=4.1.7.6056=win
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 蔓灵花组织攻击中国最新活跃IOC
【时间】2023-08-07
【简介】
2023年8月蔓灵花组织攻击中国单位事件中使用的攻击资源。
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- BlackCat 勒索组织报告
【时间】2023-08-10
【简介】
https://www.trendmicro.com/en_us/research/23/f/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- ViperSoftX 恶意家族域名IoC
【时间】2023-08-10
【简介】
ViperSoftX 恶意家族域名IoC
【参考链接】
https://www.pluribus-one.it/company/blog/84-cybersecurity/150-detecting-powershell-cryptostealer
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Saaiwc APT组织关联恶意样本
【时间】2023-08-24
【简介】
2023年2月21日,监测发现Saaiwc组织通过钓鱼邮件投递恶意rar文档,诱导用户加载恶意DLL注册启动窃密程序
【防护措施】
绿盟威胁情报中心关于该事件提取5条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 勒索软件综述DoDo
【时间】2023-08-24
【简介】
最近的DoDo勒索软件样本会抛出一个标有“PLEASEREAD.txt”的勒索短信,在加密文件中添加一个“.crypterdodo”扩展名,并将桌面壁纸替换为相同的勒索信息。赎金需求仍然是价值15美元的比特币或门罗币(XMR)。
【参考链接】
https://www.fortinet.com/blog/threat-research/ransomware-roundup-dodo-and-proton
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- WikiLoader
【时间】2023-08-24
【简介】
研究人员发现,自2022年12月以来,至少有8个活动分发WikiLoader。活动开始时包含Microsoft Excel附件、Microsoft OneNote附件或PDF附件的电子邮件。Proofpoint已经观察到WikiLoader由至少两个威胁参与者分发,TA 544和TA 551,这两个威胁都针对意大利。虽然大多数网络犯罪威胁参与者已经不再将宏启用的文档作为恶意软件交付的工具,但TA 544继续在攻击链中使用它们,包括交付WikiLoader。
【参考链接】
https://www.proofpoint.com/us/blog/threat-insight/out-sandbox-wikiloader-digs-sophisticated-evasion
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- GuLoader恶意软件伪装成税务发票和运输报表
【时间】2023-08-24
【简介】
2023年8月9日AhnLab 安全紧急响应中心 (ASEC) 已确定 GuLoader 以税务发票和运输报表伪装的电子邮件附件形式分发的情况。最近发现的 GuLoader 变种包含在 RAR(Roshal Archive 压缩)压缩文件中。当用户执行 GuLoader 时,它最终会下载已知的恶意软件菌株,例如 Remcos、AgentTesla 和 Vidar。除了 Remcos 之外,GuLoader 还下载并运行互联网上销售的恶意软件菌株,例如 Formbook 和 Lokibot。出售的此类恶意软件菌株称为商品恶意软件。威胁行为者可能使用 GuLoader 等下载程序来传播商业恶意软件,而不是直接分发它们以绕过基于签名的安全产品检测。过去GuLoader是在VisualBasic中编译的,现在是在NSIS和.NET中编译的。无论情况如何,其形式在分发过程中都会不断改变,以逃避静态检测。然而,在内存区域执行的恶意软件菌株是商业恶意软件类型,例如Remcos,因此即使形式不同,每个变体都会执行相同的恶意行为。
【防护措施】
绿盟威胁情报中心关于该事件提取3条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 解密 Akira 勒索软件
【时间】2023-08-24
【简介】
Avast的研究人员已经开发了Akira勒索软件的解密器,并将其发布供公众下载。Akira勒索软件于2023年3月出现,从那时起,该团伙声称成功攻击了教育、金融和真实的地产等行业的各种组织。
【参考链接】
https://decoded.avast.io/threatresearch/decrypted-akira-ransomware/
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Saaiwc组织针对印度尼西亚政府机构攻击事件IOC数据
【时间】2023-08-24
【简介】
2023年3月15日,监测发现Saaiwc组织攻击印度尼西亚政府部门事件相关IOC数据
【防护措施】
绿盟威胁情报中心关于该事件提取5条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Saaiwc组织攻击工具
【时间】2023-08-24
【简介】
2022年6月,监测发现Saaiwc组织攻击使用的自定义攻击工具及相关恶意程序:Cucky、Ctealer Loader、Packed ctealer等。
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- TargetCompany勒索软件使用FUD混淆器加壳器攻击
【时间】2023-08-24
【简介】
2023年8月7日,安全公司发现TargetCompany勒索软件的最新样本,样本采用了难以检测 (FUD) 混淆器引擎 BatCloak 的迭代来感染易受攻击的系统。
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Mylobot僵尸网络团伙近期活动分析
【时间】2023-08-24
【简介】
Mylobot团伙虽然被披露了5年之久,但其仍旧处于较活跃的状态,不过从其“主打产品”mylobot-proxy与mylobot-core来看,恶意软件的代码功能并没有什么较大改动,这导致其查杀率相当高。我们猜测这可能是因为Mylobot团伙的运营中心在代理服务的售卖与运营上,从mylobot-proxy频频收到的指令也能印证这一点。从mylobot-core收到的勒索邮件发送器也说明了该团伙还从事有其他黑色产业,不过我们目前尚未发现其他相关联事件,对于Mylobot团伙之后的动向我们将持续跟踪。
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Saaiwc组织攻击事件相关IOC数据
【时间】2023-08-24
【简介】
2023年8月11日,监测发现Saaiwc组织攻击事件相关的IOC数据。
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。