绿盟威胁情报月报-2024年9月

9月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告;CERT监测到微软发布9月安全更新补丁,修复了79个安全问题,涉及Windows、Microsoft SQL Server、Microsoft Office、Microsoft SharePoint Server、Azure等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有7个,重要(Important)漏洞有71个。其中包括4个存在在野利用的漏洞:

Windows Installer权限提升漏洞(CVE-2024-38014)

Microsoft Publisher安全功能绕过漏洞(CVE-2024-38226)

Microsoft Windows Update远程代码执行漏洞(CVE-2024-43491)

Windows Mark of the Web安全功能绕过漏洞(CVE-2024-38217)

请相关用户尽快更新补丁进行防护。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

一、 漏洞态势

2024年09月绿盟科技安全漏洞库共收录81个漏洞, 其中高危漏洞11个,微软高危漏洞11个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2024.10.08

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、 威胁事件

  1. REPLAY: Revisiting Play Ransomware Anti-Analysis Techniques

【标签】Play

【时间】2024-09-02

【简介】

2022年6月,监测首次发现Play勒索软件针对医疗保健和电信等行业以及拉丁美洲、欧洲和北美等广泛地区,通过被盗用的有效帐户或利用特定漏洞来访问网络,随后使用大量已知的漏洞利用后工具继续攻击。

【参考链接】

https://www.netskope.com/blog/replay-revisiting-play-ransomware-anti-analysis-techniques

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. LockBit勒索美国在线报税服务平台eFile

【标签】LockBit

【时间】2024-09-23

【简介】

据The Cyber Express消息,臭名昭著勒索软件组织LockBit于9月18日将美国在线报税服务eFile.com添加至受害者名单,要求在14天内支付赎金。eFile为美国国税局(IRS)官方授权的税务申报平台。人工智能驱动的威胁情报平台Cyble的研究人员表示,这次攻击LockBit 没有发布任何文件,通常勒索软件都会释放一些所窃取数据的样例来印证其真实性。目前,除了14天的赎金支付期限,有关Lockbit勒索软件攻击的程度、数据泄露以及网络攻击背后的动机的详细信息仍未披露。此外,eFile.com官方网站仍然功能齐全。为了确认攻击的真实性,The Cyber Express已经联系eFile官员,目前尚未收到任何回复。

【参考链接】

https://thecyberexpress.com/u-s-taxpayer-data-lockbit-ransomware-efile/

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Harvester: Nation-State-Backed Group Uses New Toolset to Target Victims in South Asia

【标签】Harvester

【时间】2024-09-02

【简介】

Harvester是一个具有国家背景的威胁行为者,它以阿富汗等南亚的组织为目标,使用新工具集进行信息窃取活动。Harvester 组织在其攻击中使用自定义恶意软件和公开可用的工具,攻击始于2021年6月,最近一次活动是在2021年10月。目标行业包括电信、政府和信息技术(IT)。这些工具的功能、它们的自定义开发以及目标受害者都表明 Harvester 是一个由民族国家支持的行为者。

【参考链接】

https://symantec-enterprise-blogs.security.com/threat-intelligence/harvester-new-apt-attacks-asia

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Deep Analysis of Snake Keylogger’s New Variant

【标签】Snake Keylogger

【时间】2024-09-06

【简介】

8月28日,监测发现Snake Keylogger(又名“404 Keylogger”或“KrakenKeylogger”)恶意软件在受害者的计算机上执行,窃取用户的敏感数据。

【参考链接】

https://www.fortinet.com/blog/threat-research/deep-analysis-of-snake-keylogger-new-variant

【防护措施】

绿盟威胁情报中心关于该事件提取8条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 新的Linux恶意软件Hadooken针对Oracle WebLogic服务器

【标签】Hadooken

【时间】2024-09-19

【简介】

黑客瞄准Oracle WebLogic服务器,用一种名为“Hadooken”的新Linux恶意软件感染它们,该恶意软件会启动一个加密矿工和一个分布式拒绝服务(DDoS)攻击工具。获得的访问权限还可能用于对Windows系统执行勒索软件攻击。容器安全解决方案公司Aqua Security的研究人员在蜜罐上观察到了这种攻击,威胁者由于凭证薄弱而攻破了蜜罐。Oracle WebLogic Server是一款企业级Java EE应用服务器,用于构建、部署和管理大规模分布式应用程序。该产品常用于银行和金融服务、电子商务、电信、政府组织和公共服务。攻击者之所以将WebLogic视为目标,是因为它在业务关键型环境中非常受欢迎,这些环境通常拥有丰富的处理资源,是加密货币挖矿和DDoS攻击的理想选择。

【参考链接】

https://www.4hou.com/posts/Zg0v

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. BlindEagle(APT-C-36)在拉丁美洲的网络攻击活动

【标签】BlindEagle

【时间】2024-09-23

【简介】

2024年8月19,研究人员揭示了BlindEagle(APT-C-36)是一个活跃于拉丁美洲的APT攻击组织,自2018年起针对政府、金融和能源行业。他们通过钓鱼邮件和伪装成官方机构的方式传播恶意软件。该组织使用地理定位过滤来避免非目标国家的检测,并采用多阶段攻击策略,包括使用开源或自定义的远程访问木马(RAT)。他们还运用进程注入技术来绕过防御。尽管技术手段看似简单,但BlindEagle的攻击非常有效,使其成为该地区的重大威胁。

【参考链接】

BlindEagle flying high in Latin America

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. NGate Android malware relays NFC traffic to steal cash

【标签】NGate

【时间】2024-09-23

【简介】

8月22日,监测发现NGate恶意软件通过安装在受害者Android设备上的恶意应用程序将数据从受害者的支付卡中继到攻击者的root Android手机。

【参考链接】

https://www.welivesecurity.com/en/eset-research/ngate-android-malware-relays-nfc-traffic-to-steal-cash/

【防护措施】

绿盟威胁情报中心关于该事件提取1条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 勒索组织”猎人国际“(Hunters International)攻击武器库

【标签】猎人国际

【时间】2024-09-23

【简介】

2024年1月至7月,“猎人国际”勒索组织发起了134起勒索攻击事件。Hunters International会在加密文件、将文件扩展名更改为.locked之前窃取受害组织的数据,并留下README消息,引导收件人前往TOR网络上的聊天门户获取付款说明。

【参考链接】

https://www.quorumcyber.com/insights/sharprhino-new-hunters-international-rat-identified-by-quorum-cyber/,https://otx.alienvault.com/pulse/6540ce9dbb47a43ba755e45c,https://infosecwriteups.com/identity-of-hunters-international-ransomware-gang-dls-exposed-b287350a707f,https://www.acronis.com/en-sg/cyber-protection-center/posts/hunters-international-new-ransomware-based-on-hive-source-code/

【防护措施】

绿盟威胁情报中心关于该事件提取4条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 揭秘亲巴勒斯坦的网络攻击组织Handala的攻击活动

【标签】Handala

【时间】2024-09-23

【简介】

2024年9月6,研究人员分析了Handala Hacking Team利用系统更新漏洞发起的网络攻击。这次攻击在2024年7月19日发生,导致全球计算机出现蓝屏死机,并部署了破坏性wiper恶意软件。攻击者通过钓鱼邮件诱使受害者下载恶意PDF,利用NSIS安装程序执行恶意代码,收集信息并通过Telegram发送。Splunk提供了检测策略来防御这种恶意软件。

【参考链接】

https://www.splunk.com/en_us/blog/security/handalas-wiper-threat-analysis-and-detections.html

【防护措施】

绿盟威胁情报中心关于该事件提取3条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Xeon Sender | SMS Spam Shipping Multi-Tool Targeting SaaS Credentials

【标签】Xeon Sender

【时间】2024-09-23

【简介】

Xeon Sender(又名XeonV5,SVG Sender)是一种云攻击工具,可用于批量发送短消息服务(SMS)消息,以开展垃圾邮件和网络钓鱼(又名短信钓鱼)活动。攻击者可以使用Xeon通过多个软件即服务(SaaS)提供商发送消息,并使用服务提供商的有效凭证。服务提供商方面没有被用于这些攻击的弱点;相反,该工具使用合法的API来启用批量 SMS 垃圾邮件攻击。8月19日,监测发现多个威胁行为者利用Xeon Sender恶意软件进行批量发送短消息服务(SMS)消息,以开展垃圾邮件和网络钓鱼(又名短信钓鱼)活动。

【参考链接】

https://www.sentinelone.com/labs/xeon-sender-sms-spam-shipping-multi-tool-targeting-saas-credentials/

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. AVIVORE – An overview of Tools, Techniques and Procedures

【标签】AVIVORE

【时间】2024-09-23

【简介】

AVIVORE被识别为一个高度复杂的网络威胁组织,专注于攻击航空航天、汽车、能源和卫星等行业的供应链。该组织利用“岛屿跳跃”技术,通过供应链中相互连接的企业入侵目标系统,从而突破受害者网络的防御。AVIVORE擅长隐藏其活动,使用合法的远程连接工具,并在攻击过程中清理取证痕迹,增加了检测和调查的难度。

【参考链接】

https://www.magonlinelibrary.com/doi/abs/10.1016/S1361-3723%2820%2930085-3?journalCode=cfse#:~:text=Attackers%20have%20leveraged%20connectivity%20between%20suppliers%20and%20partners%20to%20get

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Operation Giant:熔断指令下的金融风暴

【标签】BerBeroka

【时间】2024-09-23

【简介】

2024年8月2,研究人员披露了BerBeroka组织针对中国金融、医疗等行业的网络攻击行动Operation Giant,该组织使用多种黑客工具和0day漏洞进行攻击,通过DNS隧道、横向移动等手段窃取数据,受害规模巨大。

【防护措施】

绿盟威胁情报中心关于该事件提取6条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. DragonRank组织针对亚洲国家和欧洲IIS服务器入侵

【标签】DragonRank

【时间】2024-09-23

【简介】

2024年9月,安全厂商发布报告,宣传一个新的黑客团伙对全球超过35台IIS服务器进行了入侵,并在包括泰国、印度、韩国、比利时、荷兰和中国在内的多个地理区域部署了BadIIS恶意软件。

【参考链接】

https://blog.talosintelligence.com/dragon-rank-seo-poisoning/

【防护措施】

绿盟威胁情报中心关于该事件提取9条IOC,;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 德国十分之一受CrowdStrike事件影响的组织抛弃旧的安全供应商

【标签】CrowdStrike

【时间】2024-09-20

【简介】

德国联邦信息安全局(Federal Office for Information Security)表示,十分之一受CrowdStrike事件影响的组织正在抛弃旧的安全解决方案,其中4%已经放弃,另外6%即将放弃。联邦信息安全局没有澄清它所指的旧安全方案是否就是CrowdStrike公司的Falcon产品。这一结果来自对311家受影响德国机构的调查。23%的被调查组织表示他们首先是从社交媒体而不是CrowdStrike公司了解此事的,48%的组织被迫短时间停止运营,它们的平均下线时间是10小时。除了影响业务连续性外,40%的组织表示它们与客户的关系受到了此事件的损害。66%被调查组织表示已改进或将改进应急方案。

【参考链接】

https://www.solidot.org/story?sid=79301

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Spear-Phishing in the Battlefield: Gamaredon’s Ongoing Assault on Ukraine’s Military

【标签】Gamaredon

【时间】2024-09-23

【简介】

9月6日,监测发下Gamaredon组织针对乌克兰政府机构、军队和其他关键基础设施部门进行大规模网络钓鱼活动。

【参考链接】

Spear-Phishing in the Battlefield: Gamaredon’s Ongoing Assault on Ukraine’s Military

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

Spread the word. Share this post!

Meet The Author