绿盟科技威胁周报(2023.11.20-2023.11.26)

一、威胁通告

1.海康威视综合安防管理平台勒索事件分析

【发布时间】2023-11-22 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测并处置了多起针对海康威视综合安防管理平台的勒索攻击事件,具体详情请查看报告。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

二、热点资讯

1.朝鲜 IT 工人使用假名和脚本获得远程外包工作

【标签】

【概述】

FBI 和美国司法部官员上个月表示,有数千名朝鲜 IT 开发者使用虚假身份秘密为美国公司从事远程外包工作。他们获得的工资转移到朝鲜用于武器开发。路透的调查揭示了他们是如何做到的。朝鲜 IT 工人使用了假名,假的 LinkedIn 简历,假的工作文件,以及模拟面试脚本。如果面试官询问如何描述“良好的企业文化”,模拟面试脚本给出的答案是,“人们能自由表达想法和意见。”虽然在朝鲜这么做可能会被关押起来。面试脚本有 30 页长,是安全公司 Palo Alto Networks 找到的朝鲜外包工人的内部文件。一位自称 Richard 的朝鲜外包工人的虚假工作简历是如此描述的:几周前我去了新加坡,父母感染了新冠,我决定与父母度过一段时间,计划三个月后返回洛杉矶。我现在可以远程工作,回洛杉矶后加入公司。一位最近叛逃的朝鲜 IT 工人称远程工作者的年薪至少有 10 万美元,其中 30-40% 被汇回平壤,30-60% 用于管理费用,10-30% 留给他们。他估计朝鲜远程工人有大约 3000 人生活在海外,1000 人生活在国内。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNEQ

 

2.波兰 IT 员工在最高行政法庭下面秘密安装矿机挖加密货币

【标签】挖矿

【概述】

波兰媒体报道,警方在今年 9 月奉命拆除了安装在最高行政法院地板和通风管道中的秘密矿机。矿机盗用了法院的电力,每月用掉了大约上千美元的电费。目前不清楚矿机秘密运行了多长时间。嫌疑人被认为是法院雇佣的 IT 公司的员工。法院已经解除了这家维护 IT 设施的公司合同,而这家公司则解雇了两名被指负有责任的员工。波兰最高行政法院表示没有任何数据被盗取,矿机没有危及到法庭储存的数据。这不是第一次有人利用公共机构的电力挖掘加密货币。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNES

 

3.CVE-2023-47246 SysAid Server文件上传漏洞分析

【标签】CVE-2023-47246

【概述】

CVE-2023-47246 SysAid Server文件上传漏洞分析。SysAid On-Premise是一种 IT 服务管理(ITSM)和 IT 资产管理(ITAM)解决方案,专为企业提供全面的、集成的 IT 管理服务。经过分析发现,该软件存在任意文件上传漏洞,攻击者可以通过上传webshell获取目标系统权限。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNEi

 

4.微软报告 Lazarus 黑客使用供应链攻击战术针对台湾知名多媒体软件开发商讯连科技

【标签】Lazarus

【概述】

微软表示,朝鲜背景的黑客组织入侵了中国台湾多媒体软件公司讯连科技,并对其一个安装程序进行木马化,以在针对全球潜在受害者的供应链攻击中推送恶意软件。讯连科技自 1996 年以来一直致力于生产多媒体播放和编辑软件,该公司表示其应用程序已在全球销售了 4 亿份。大名鼎鼎的PowerDVD,就是迅连科技的产品。根据 Microsoft 威胁情报,疑似与更改的讯连科技安装程序文件相关的活动早在 2023 年 10 月 20 日就已浮出水面。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNEK

 

5.APT29 组织利用 WINRAR 0DAY 攻击大使馆

【标签】APT29,0DAY,CVE-2023-38831

【概述】

与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。APT 组织针对多个欧洲国家,包括阿塞拜疆、希腊、罗马尼亚和意大利,主要目标是渗透大使馆实体。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNDw

 

6.Play 勒索软件商业化 – 现在作为一项服务提供给网络犯罪分子

【标签】Play,勒索软件

【概述】

名为 Play 的勒索软件病毒现在以“服务”的形式提供给其他犯罪组织。 “攻击之间异常缺乏哪怕是很小的差异,这表明这些攻击是由购买了勒索软件即服务 (RaaS) 并遵循剧本中的分步说明的附属机构执行的随它一起交付,”该网络安全公司在与《黑客新闻》分享的报告中表示。该调查结果基于 Adlumin 跟踪的各种 Play 勒索软件攻击,涵盖不同的领域,这些攻击采用了几乎相同的策略并以相同的顺序进行。这包括利用公共音乐文件夹(C:\\…\\public\\music)隐藏恶意文件、使用相同的密码创建高权限帐户以及两次攻击以及相同的命令。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNEC

 

7.研究人员发现针对韩国用户的恶意安卓和iOS应用程序

【标签】恶意程序

【概述】

研究人员最近发现通过钓鱼网站传播的恶意安卓和iOS应用程序,这类恶意应用程序于十月初开始活跃,已经安装在200多台设备上,且所有设备都位于韩国。攻击者创建了多个钓鱼网站,并将它们伪装得与其他得合法网站相似,并在网站中提供恶意应用程序的安卓和iOS版本。当用户通过这个钓鱼网站下载并运行恶意的应用程序后,它将会窃取受害者的电话号码、相关联系人和短信消息等信息。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNDC

 

8.美国爱达荷国家实验室遭遇重大数据泄露

【标签】数据泄露

【概述】

20 世纪 40 年代,爱达荷国家实验室 (INL) 负责利用核能发电并开发第一批用于核潜艇和航空母舰的核推进系统。最近,它声称已成为“保护关键基础设施系统(尤其是工业控制系统)的世界领导者”。然而,当地报道称,周日晚上,该设施遭受了大规模数据泄露,影响了其人力资源系统。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNEs

 

9.大英图书馆确认遭受勒索软件攻击,被盗数据正在暗网上以比特币拍卖

【标签】Rhysida

【概述】

这一确认是在大英图书馆被列入Rhysida 勒索软件团伙的暗网泄露网站数小时后得到的。暗网上示的这份清单声称对此次网络攻击负责,并威胁要公布从大英图书馆窃取的数据,除非支付赎金。该团伙索要价值超过74万美元的比特币。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNEE

 

10.勒索软件攻击导致加拿大政府发生大规模数据泄露

【标签】政府,勒索软件,数据泄露

【概述】

加拿大政府近日宣布,其两家承包商遭到黑客攻击,导致数量不明的政府雇员敏感信息泄露。数据泄漏发生在上个月,两家加拿大政府雇员提供搬家服务的承包商——Brookfield Global Relocation Services(BGRS)和SIRVA Worldwide Relocation&Moving Services遭到勒索软件攻击。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNEo

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author