绿盟威胁情报月报-2024年1月

1月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,包含GitLab任意用户密码重置漏洞(CVE-2023-7028)通告、Confluence远程代码执行漏洞(CVE-2023-22527)通告、Oracle全系产品1月关键补丁更新通告、年关将至,警惕以税务稽查名义的微信蠕虫钓鱼GitLab任意文件写入漏洞(CVE-2024-0402)通告、和Jenkins任意文件读取漏洞(CVE-2024-23897)通告等。

另外,绿盟科技CERT监测到微软发布1月安全更新补丁,修复了49个安全问题,涉及Windows、Microsoft Office、Microsoft SQL Server、Microsoft Visual Studio等广泛使用的产品,其中包括安全功能绕过漏洞、远程代码执行漏洞等高危漏洞类型。

本月的威胁事件中包含,SideCopy组织双平台渗透攻击活动分析、疑似Kasablanka组织针对纳卡地区的攻击活动分析和警惕新型僵尸网络家族–RDDoS等事件。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

一、 漏洞态势

2024年01月绿盟科技安全漏洞库共收录58个漏洞, 其中高危漏洞13个,微软高危漏洞8个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2024.02.01

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、 威胁事件

  1. APT28组织最新攻击域控制器

【标签】APT28

【时间】2024-01-18

【简介】

2023年12月,APT28针对政府组织分发包含所谓“文件”链接的电子邮件。点击邮件中的链接会导致恶意软件感染计算机。调查显示,这些链接将受害者重定向到一个网站,在该网站上基于JavaScript的下载启动了快捷方式文件。打开此文件会触发PowerShell命令来下载并执行诱饵文档、Python解释器和名为Client.py 的机密 MASEPIE文件。随后,下载了各种工具,包括OPENSSH、STEELHOOK PowerShell脚本和OCEANMAP后门,以及为网络侦察和横向移动创建的其他工具,如IMPACKET和SMBEXEC。所使用的总体策略、技术和工具都指向APT28组织。

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 网络犯罪分子在暗网上大规模泄露被盗的泰国PII数据

【标签】PII

【时间】2024-01-25

【简介】

个人可识别信息(PII)是可以用来识别某人的任何数据。所有直接或间接与个人相关的信息都被视为PII,例如一个人的姓名、电子邮件地址、电话号码、银行账号和政府颁发的身份证号码等。如今,许多组织收集、存储和处理PIl。当这些收集的数据被破坏或泄露时,人们可能成为身份盗窃或其他攻击的受害者。

【参考链接】

https://www.anwangxia.com/3061.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. SideCopy组织双平台渗透攻击活动分析

【标签】SideCopy

【时间】2024-01-17

【简介】

SideCopy组织自2020年被披露以来长期处于活跃之中,并主要针对印度国防、外交等部门持续发动网络攻击。近期,研究人员发现了该组织针对Windows和Linux系统进行无差别攻击,并且部分载荷是支持Windows和Linux双平台的远控工具。在Linux环境下,初始攻击样本为含有恶意ELF文件的ZIP压缩包文件,运行其中的ELF文件会下载关于印度国防部的诱饵文档,同时下载一个由Python打包的双平台攻击武器,该武器具备完整的远控功能。在Windows环境下,攻击者还是一如既往的含有恶意LNK的ZIP压缩文件,受害者点击其中LNK文件后会下载恶意代码从而开启一段复杂多阶段的攻击链,最终释放远控组件,从而完成窃密活动。

【参考链接】

https://weixin.sogou.com/link?url=dn9a_-gY295K0Rci_xozVXfdMkSQTLW6cwJThYulHEtVjXrGTiVgS32WrjeW3R7OWJNWcAzGLjHZlZlmxj6yllqXa8Fplpd9eq1NiiqHP-ql1-Nlrh-UqE561RR4VTX7VJDmQAY9YuYTTlMc4n8lH3qSdf32mJAQkiOu8zrNMDbc0XS53oPUIwlXS9skC_imF0PD3NQqHdS3CouOGBdSLPWVQQyhoItU5jWihAwPakTRjqFJ7M0oxn-05DxSTXh6nsY-kE0Mx8oNGbbB75bUeA..=null=CoreSec360=70FA2129F3D65EB0EEE9E2830E03F81EEF6067ED658B0B05

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 美国、英国和澳大利亚联合制裁REvil黑客组织成员

【标签】REvil

【时间】2024-01-25

【简介】

澳大利亚、美国和英国政府宣布对俄罗斯人Aleksandr Gennadievich Ermakov实施制裁。据悉,该男子被认为是2022年Medibank攻击事件的幕后黑手,也是REvil勒索软件组织的重要成员。Medibank是一家澳大利亚大型医疗保险提供商,在2022年10月遭到了严重的勒索软件攻击,最终导致公司运营和中断,部分业务受阻,经过内部网络安全调查,最终确认威胁攻击者盗取了大量客户的个人数据信息。

【参考链接】

https://www.freebuf.com/news/390471.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. TA551组织Bazarloader后门软件C2

【标签】TA551

【时间】2024-01-18

【简介】

TA551组织Bazarloader后门软件C2

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 银狐针对金融行业客户的攻击事件分析

【标签】银狐

【时间】2024-01-29

【简介】

2023-12-25日某金融行业客户子公司被邮件钓鱼,邮件内容为“2024财会人员薪资补贴调整.msi”,经过样本分析发现样本行为和IOC与“银狐”有关。其中134.122.184.51为C2外联地址,另外两个是样本使用的tg代理。

【防护措施】

绿盟威胁情报中心关于该事件提取4条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. TA551(Shathak)恶意软件BazarLoader相关IOCs

【标签】TA551

【时间】2024-01-18

【简介】

TA551(Shathak)组织是恶意、垃圾邮件背后的威胁行为者。前后推动了不同的恶意软件系列,到2021年7月,TA551停止发送Trickbot,并开始推送BazarLoader(有时称为BazaLoader)。TA551继续推动 BazarLoader,而Cobalt Strike通常是这些感染的后续恶意软件。

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. APT34组织运营信息

【标签】APT34

【时间】2024-01-18

【简介】

一群伊朗黑客在Telegram泄露APT34组织运营信息,包含黑客工具、Webshell、恶意软件代码、C2服务器IP。

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 警惕新型僵尸网络家族–RDDoS

【标签】RDDoS

【时间】2024-01-02

【简介】

2023年8月份,绿盟科技伏影实验室全球威胁狩猎系统监测到一类未知的elf文件正在大范围传播,这引起了我们的警惕,经过进一步分析,我们确认了这批elf样本隶属于新的僵尸网络家族,伏影实验室将该僵尸网络木马命名为RDDoS。RDDoS僵尸网络家族的主要功能为DDoS攻击,并且具备命令执行的能力,这也使得它具备的威胁性进一步提高。RDDoS还设置了上线参数来区分感染设备类型,同时通过上线包是否携带运行参数来区分真实设备和沙箱,具备较强的对抗性。近期以来,RDDOS不断更迭版本,扩大感染范围,在攻击目标的选择上以美国,巴西和法国为主,国内也有受到波及,已构成不小的威胁,这值得引起我们的警惕。

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 银狐木马最新情报

【标签】银狐

【时间】2024-01-04

【简介】

疑似银狐木马最近活跃

【防护措施】

绿盟威胁情报中心关于该事件提取4条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 疑似Kasablanka组织针对纳卡地区的攻击活动分析

【标签】Kasablanka

【时间】2024-01-17

【简介】

Kasablanka(卡萨布兰卡)是由思科命名的一个APT组织,攻击对象主要集中在中东、中亚以及东欧等地区。该组织开发出了LodaRAT等木马,并同时拥有Windows和Android双平台攻击能力。近期,研究人员发现疑似该组织的钓鱼攻击活动,针对目标为纳卡地区(纳戈尔诺-卡拉巴赫),一个横在阿塞拜疆和亚美尼亚归属争议的地方,两国也常年因为争论此地爆而发冲突。本次攻击者利用携带宏的doc附件作为载体,通过层层下载的方式内存加载VenomRAT木马,从而完成信息窃取活动。

【参考链接】

https://weixin.sogou.com/link?url=dn9a_-gY295K0Rci_xozVXfdMkSQTLW6cwJThYulHEtVjXrGTiVgS20AYb3qetaht5WHVrnShNMrChAA09_JLFqXa8Fplpd9SQ7qZZfO_1mJ_4I_BqlG3vMQxfiK9oJxywzudL1FpSfXTofhxRh_p-IeobPTopssr3ExFnszpzEkU0qcnHBkQ1BKIDO_2QbZGPxkdDk57l0U3hUctjmaLn2Awbvi10PL-DkTvZRhI2UE4OcEUaV8lG_2qG3r04VKob41s5nbyfyTJmCU1UgHwQ..=null=CoreSec360=D70E8923ECCF4B52E0E7ED77AE194F11E1178736657CFB21

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 针对Docker服务的新型网络攻击活动被发现

【标签】Docker

【时间】2024-01-22

【简介】

安全研究人员发现了一种针对易受攻击的Docker服务的新型网络攻击活动。这些攻击标志着第一个有记录的利用9hits应用程序作为有效负载的恶意软件案例。Cado安全实验室发现,该活动将两个容器部署到易受攻击的Docker实例–一个标准XMRig挖矿程序和9hits查看器应用程序。后者用于在9hits平台上为攻击者生成积分。9hits是一个被称为“独特的网络流量解决方案”的平台,允许会员购买积分以进行网站流量交换。在此活动中,通常用于访问网站以换取积分的9hits查看器应用程序被恶意软件利用,使攻击者受益。

【参考链接】

https://www.anquanke.com/post/id/292769

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. CISA和FBI联合警告:Androxgh0st恶意软件正在创建大型僵尸网络

【标签】Androxgh0st

【时间】2024-01-18

【简介】

1月16日,美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA)发布了一份关于该恶意软件的联合公告,称名为Androxgh0st恶意软件的幕后黑客正在创建一个强大的僵尸网络。Androxgh0st最早可以追溯到2022年12月,当时Lacework的研究人员发现该恶意软件被用于窃取各种凭证,这些凭证来自很多主流应用,例如Amazon Web Services、Microsoft Office 365、SendGrid和Twilio。研究人员表示,由Androxgh0st组建的僵尸网络会搜索.env文件,这类文件通常被用来存储凭证和令牌。恶意软件还支持许多能够滥用简单邮件传输协议 (SMTP) 的功能,例如扫描和利用暴露的凭据和应用程序编程接口 (API) 以及Web shell部署。

【参考链接】

https://therecord.media/malware-hackers-creating-botnet-cisa-fbi

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Water Curupira正在使用PikaBot恶意软件部署勒索软件

【标签】PikaBot

【时间】2024-01-12

【简介】

趋势科技已检测到Water Curupira组织正在积极传播PikaBot恶意软件。运营于2023年第一季度开始,一直持续到6月底,然后于9月恢复。用于网络钓鱼活动的PikaBot由两个组件组成:下载器和主模块。这种结构允许通过连接到管理服务器进行未经授权的远程访问和任意命令执行,且检测风险较小。Water Curupira组织的活动与之前由TA571和TA577组织使用类似策略传播QakBot的活动重叠。PikaBot活动的增加与8月份QakBot的清算以及DarkGate恶意软件的出现有关。

【参考链接】

https://www.anquanke.com/post/id/292555

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 美国知名安全公司遭Black Cat黑客攻击,导致瑞士空军敏感信息泄露

【标签】Black Cat

【时间】2024-01-18

【简介】

近日,美国知名安全公司Ultra Intelligence&Communications遭遇Black Cat黑客攻击,导致瑞士空军文件被泄露到了暗网上。Ultra Intelligence&Communications(简称ULTRA),是一家全球领先的技术公司,总部位于英国。该公司提供先进的情报、通信和安全技术解决方案,服务的客户包括国防部、联邦调查局、缉毒局、北约、美国电话电报公司、瑞士联邦国防部和国防承包商RUAG等。ULTRA是一家与美国政府合作的承包商,由美国政府相关或在美国政府工作的机密人员赞助。

【参考链接】

Swiss Air Force sensitive files stolen in the hack of Ultra Intelligence & Communications

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author