12月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Fortinet FortiOS sslvpnd远程代码执行漏洞通告:由于sslvpnd对用户输入的内容验证存在缺陷,未经身份验证的攻击者通过发送特制数据包触发缓冲区溢出,最终可实现在目标系统上执行任意代码。CVSS评分为9.8。
另外,本次微软共修复了6个Critical级别漏洞,42个Important 级别漏洞,其中包含2个0 day漏洞。强烈建议所有用户尽快安装更新。
在本月的威胁事件中,针对国家的攻击较多,其中包含黑客组织Kimsuky组织对韩国实体进行攻击:安全研究员发现该组织主要攻击目标为韩国,涉及国防、教育、能源、政府、医疗以及智囊团等领域,以机密信息窃取为主。通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有功能完善的恶意代码武器库。安全研究员还发现本次攻击活动有如下特点:使用PIF可执行文件格式伪装成PDF文件,后续载荷为PebbleDash木马;部分样本诱饵被韩国DRM软件加密,疑似由Kimsuky组织在其他攻击活动中所窃取,用于实施定向攻击;安全研究员在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP,做到及时备份重要文件,更新安装补丁;黑客组织 APT 29 对意大利发起网络攻击活动:安全研究人员发现在日常的威胁狩猎中捕获到EnvyScout攻击样本,该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件,LNK文件启动其中的正常EXE,进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道,获取后续载荷并执行。而后该研究员进一步发现了与该EnvyScout攻击样本相关的钓鱼邮件和PDF诱饵文档。邮件与PDF均使用意大利语,内容是要求机构部门人员完成COVID-19疫苗接种的通知,钓鱼邮件使用意大利政府域名进行伪装,因此可以认为此次攻击目标位于意大利。安全研究院表示,APT29组织在此次针对意大利的攻击活动中采用了与以往相同的攻击手法,并在一些细节之处不断改进,尽可能避开安全防护软件的检出与拦截。由于采用合法通信服务作为C&C信道,攻击者开展网络间谍活动的过程变得更加隐蔽;MirrorFace组织针对日本的公司和组织发起鱼叉式网络钓鱼活动:安全研究员发现MirrorFace主要针对日本的公司和组织。安全研究员表示在 Operation LiberalFace 中发送的鱼叉式网络钓鱼电子邮件之一伪装成来自特定日本政党公关部门的官方通信,其中包含与参议院选举有关的请求,据称是代表一位著名政治家发送的。所有鱼叉式网络钓鱼电子邮件都包含一个恶意附件,该附件在执行时在受感染的计算机上部署了 LODEINFO。此外,他们还发现MirrorFace使用了以前未记录的恶意软件(将其命名为MirrorStealer)来窃取其目标的凭据。安全研究员还表示在 LiberalFace 行动调查期间,他们设法发现了进一步的 MirrorFace TTP,例如部署和利用其他恶意软件和工具来收集和泄露受害者的宝贵数据。
以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/
一、 漏洞态势
2022年12月绿盟科技安全漏洞库共收录646个漏洞, 其中高危漏洞23个,微软高危漏洞8个。
* 数据来源:绿盟科技威胁情报中心,本表数据截止到2023.01.03
注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
二、 威胁事件
- 攻击者利用Ekipa RAT对俄罗斯实体发起攻击
【标签】Ekipa RAT
【时间】2022-12-21
【简介】
安全研究员发现了野外的Ekipa远程访问木马(RAT)样本,并发现了使用恶意Office文档的有趣技术。他们把Ekipa RAT添加到复杂的威胁行为者的网络武器库中,并用于俄罗斯与乌克兰战争。安全研究员表示Ekipa是一种用于针对性攻击的远程访问木马,该木马利用MS Office和Visual Basic for Applications作为其主要的感染和操作媒介。安全研究员认为其与恶意Word文档一起使用时,该木马的主要功能在一次性VBA宏模板中实现。重新打开文档时,服务器将拒绝下载宏模板的请求以及所有后续安装操作请求。安全研究员表示 该恶意软件的创建者正在跟踪安全行业的变化,例如阻止Microsoft从Internet上获取宏,并相应地改变其策略。值得注意的是,攻击者如何将这些新工具纳入其武器库,以便更好地完成其目标。
【参考链接】
https://ti.nsfocus.com/security-news/IlOm2
【防护措施】
绿盟威胁情报中心关于该事件提取71条IOC,其中包含7个IP,8个域名和56个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 朝鲜黑客利用APT37利用Internet Explorer 0day漏洞发起攻击
【标签】APT37
【时间】2022-12-16
【简介】
朝鲜黑客APT37利用Internet Explorer 0day漏洞发起攻击。为了保护我们的用户,安全研究员定期搜寻在野外利用的0天漏洞。该漏洞于2022年10月下旬发现,嵌入恶意文档中,用于针对韩国用户。我们将这一活动归因于一个由朝鲜政府支持的行为体APT37。这些恶意文档利用JScript引擎CVE-2022-41128中的Internet Explorer 0天漏洞进行攻击。我们的政策是迅速向供应商报告漏洞,在发现这一漏洞后的几个小时内,我们将其报告给了Microsoft,并发布了补丁以保护用户免受这些攻击。这不是APT37第一次使用Internet Explorer 0day漏洞攻击目标用户。该组织历来将目标锁定在韩国用户、脱北者、政策制定者、记者和人权活动人士身上。
【参考链接】
https://ti.nsfocus.com/security-news/IlOnQ
【防护措施】
绿盟威胁情报中心关于该事件提取11条IOC,其中包含5个域名,6个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 新的供应链攻击使用python包索引aioconsol从而损坏用户系统
【标签】aioconso
【时间】2022-12-19
【简介】
安全研究员通过监控开源生态系统发现了新的供应链攻击使用python包索引aioconsol。安全研究员认为该软件包的 2.0 版在其 setup.py 安装脚本中包含恶意代码,该脚本将看似二进制的内容写入名为test.exe的文件,并将其作为安装的一部分执行,执行的部分尝试连接到多个 IP 地址,可以将敏感数据泄露到这些地址。安全研究员表示,该技术经常被使用,因为恶意软件作者可以将整个二进制可执行文件存储在一个简单的python脚本中。这可能会产生巨大的影响,可能会损坏用户的系统并使用户面临漏洞。个人和组织需要警惕在野外安装 python 包,因为它们可能包含恶意软件。
【参考链接】
https://ti.nsfocus.com/security-news/IlOm4
【防护措施】
绿盟威胁情报中心关于该事件提取6条IOC,其中包含2个样本和4个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- MirrorFace组织针对日本的公司和组织发起鱼叉式网络钓鱼活动
【标签】MirrorFace
【时间】2022-12-15
【简介】
安全研究员发现MirrorFace主要针对日本的公司和组织。安全研究员表示在 Operation LiberalFace 中发送的鱼叉式网络钓鱼电子邮件之一伪装成来自特定日本政党公关部门的官方通信,其中包含与参议院选举有关的请求,据称是代表一位著名政治家发送的。所有鱼叉式网络钓鱼电子邮件都包含一个恶意附件,该附件在执行时在受感染的计算机上部署了 LODEINFO。此外,他们还发现MirrorFace使用了以前未记录的恶意软件(将其命名为MirrorStealer)来窃取其目标的凭据。安全研究员还表示在 LiberalFace 行动调查期间,他们设法发现了进一步的 MirrorFace TTP,例如部署和利用其他恶意软件和工具来收集和泄露受害者的宝贵数据。
【参考链接】
https://ti.nsfocus.com/security-news/IlOm0
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC,其中包含5个样本和5个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Agrius APT组织在供应链攻击中使用恶意擦除器软件打击钻石行业
【标签】恶意擦除器
【时间】2022-12-07
【简介】
安全研究人员在分析滥用以色列软件开发商的供应链攻击时发现了一种新的擦除器及其执行工具,两者都归因于Agrius APT集团。该组织最初部署了一个伪装成勒索软件的擦除器Apostle,但后来将Apostle修改为成熟的勒索软件。Agrius利用面向互联网的应用程序中的已知漏洞来安装Webshell,然后在横向移动之前进行内部侦察,然后部署其恶意负载。安全研究员表示该组织可能通过针对以色列软件公司的软件更新机制来执行供应链攻击,以将其最新的擦除器Fantasy部署到以色列、香港和南非的钻石行业。
【参考链接】
https://ti.nsfocus.com/security-news/IlOlY
【防护措施】
绿盟威胁情报中心关于该事件提取7条IOC,其中包含7个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 黑客组织Kimsuky组织对韩国实体进行攻击
【标签】Kimsuky
【时间】2022-12-05
【简介】
安全研究员发现该组织主要攻击目标为韩国,涉及国防、教育、能源、政府、医疗以及智囊团等领域,以机密信息窃取为主。通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有功能完善的恶意代码武器库。安全研究员还发现本次攻击活动有如下特点:使用PIF可执行文件格式伪装成PDF文件,后续载荷为PebbleDash木马;部分样本诱饵被韩国DRM软件加密,疑似由Kimsuky组织在其他攻击活动中所窃取,用于实施定向攻击;样本擅用加解密算法来躲避相关杀软的静态查杀等。安全研究员在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP,做到及时备份重要文件,更新安装补丁。
【参考链接】
https://ti.nsfocus.com/security-news/IlOm6
【防护措施】
绿盟威胁情报中心关于该事件提取20条IOC,其中包含1个IP,8个url,3个域名和8个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 黑客组织 Lazarus 利用 ZetaNile 恶意软件对日本加密公司以及美国能源公司发起攻击
【标签】ZetaNile
【时间】2022-12-08
【简介】
安全研究员在调查中发现 Lazarus 是一个由朝鲜国家赞助的威胁组织。该组织自 2009 年以来一直活跃,使用超过 45 个不同的恶意软件家族对全球组织进行网络攻击。该研究员 ZetaNile 被发现针对日本加密公司以及美国能源公司。安全研究院表示攻击始于 ZetaNile 冒充流行技术和国防公司的招聘人员,通过LinkedIn联系受害者。在与受害者建立信任并鼓励他们申请合法的工作列表后,攻击者通过WhatsApp发送了一个ISO文件作为附件。该文件包含PuTTY,TightVNC或KiTTY的木马化版本,它们是用于连接到远程服务器的工具,以及具有IP地址,用户名和密码的文本文件。锌操作员可能会告诉受害者,为了继续进行面试过程,他们需要使用提供的客户端登录服务器并完成评估。相关安全研究院表示,ZetaNile 系列的有趣功能是有条件地执行 shellcode,这可能会逃避沙箱监控行为。该活动涉及通过LinkedIn和WhatsApp的强大社会工程组件,并且需要用户交互才能成功。参与调查的安全研究员表示,这次活动显示出 ZINC是一个经验丰富的、由国家赞助的朝鲜威胁组织,有能力整合多种规避技术,并将它们捆绑到不会烧毁一些更定制的工具的软件中。
【参考链接】
https://ti.nsfocus.com/security-news/IlOlW
【防护措施】
绿盟威胁情报中心关于该事件提取9条IOC,其中包含8个样本和1个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者利用 DarkComet 木马对用户发起多样远程攻击
【标签】DarkComet
【时间】2022-12-02
【简介】
安全研究员发现 DarkComet (暗黑彗星)是由 DarkCoderSc 开发的远程访问木马(称为 RAT),在 2012 年初开始扩散,它用于许多有针对性的攻击,能够通过网络摄像头拍照,通过连接到 PC 的麦克风窃听对话,并获得对受感染机器的完全控制。该 RAT 还以其键盘记录和文件传输功能而闻名,因此,任何远程攻击者都可以将任何文件加载到受感染的机器上,甚至窃取管理员权限、计算机/用户名、语言/国家、操作系统信息、使用的内存、网络摄像头信息、文档等。它会禁用任务管理器、注册表编辑器和文件夹选项,修改注册表项以禁用 Windows 防火墙设置,此操作允许此恶意进程执行而不会被 Windows 防火墙检测到。安全研究员表示,该木马病毒将自身伪装成笔记本电脑触控板的驱动程序,其启动后,会全盘遍历 exe 文件、xlsx 文件,并将目标文件更新到病毒资源中,将 shellcode 注入的图标资源替换为目标文件图标,然后用病毒文件覆盖目标文件,完成感染,实现不死及复生能力。并可通过U盘插入、xlsx 文件分享、远控软件捆绑实现横向扩散,具有极强传播能力。
【参考链接】
https://ti.nsfocus.com/security-news/IlOlU
【防护措施】
绿盟威胁情报中心关于该事件提取2条IOC,其中包含1个IP和1个域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 黑客组织 ScarCruft APT 利用Dolphin后门攻击韩国
【标签】Dolphin
【时间】2022-11-30
【简介】
安全研究员发现了一个名为Dolphin的以前未记录的后门,该后门被与朝鲜有关的ScarCruft组织(又名APT37,Reaper和Group123)用于针对韩国目标的攻击。安全研究员表示,Dolphin 后门支持广泛的间谍功能,包括监控驱动器和便携式设备以及泄露感兴趣的文件、键盘记录和截屏以及从浏览器窃取凭据。该后门用于针对选定的目标,它是使用不太复杂的恶意软件提供的。海豚滥用Google云端硬盘云存储进行命令和控制通信。在安全研究院的调查过程中,他们发现后门的持续发展以及恶意软件作者试图逃避检测,经过分析的早期Dolphin版本的一个显着功能是能够修改受害者登录的Google和Gmail帐户的设置以降低其安全性,最有可能保持对受害者电子邮件收件箱的访问。安全研究员表示,该后门能够修改受害者登录的Google和Gmail帐户的设置,以降低其安全性并避免检测。
【参考链接】
https://ti.nsfocus.com/security-news/IlOlS
【防护措施】
绿盟威胁情报中心关于该事件提取5条IOC,其中包含5个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 黑客组织 APT 29 对意大利发起网络攻击活动
【标签】EnvyScout
【时间】2022-11-30
【简介】
安全研究人员发现在日常的威胁狩猎中捕获到EnvyScout攻击样本,该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件,LNK文件启动其中的正常EXE,进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道,获取后续载荷并执行。而后该研究员进一步发现了与该EnvyScout攻击样本相关的钓鱼邮件和PDF诱饵文档。邮件与PDF均使用意大利语,内容是要求机构部门人员完成COVID-19疫苗接种的通知,钓鱼邮件使用意大利政府域名进行伪装,因此可以认为此次攻击目标位于意大利。安全研究院表示,APT29组织在此次针对意大利的攻击活动中采用了与以往相同的攻击手法,并在一些细节之处不断改进,尽可能避开安全防护软件的检出与拦截。由于采用合法通信服务作为C&C信道,攻击者开展网络间谍活动的过程变得更加隐蔽。对此,该研究院提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。若需运行,安装来历不明的应用,可先通过该安全研究院威胁情报文件深度分析平台进行判别。
【参考链接】
https://ti.nsfocus.com/security-news/IlOlQ
【防护措施】
绿盟威胁情报中心关于该事件提取12条IOC,其中包含7个样本和5个URL;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。