绿盟科技威胁周报(20220627-20220703)

一、威胁通告

  • Apache Shiro 身份认证绕过漏洞通告(CVE-2022-32532)

【发布时间】2022-07-01 11:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Apache Shiro官方修复了一个身份认证绕过漏洞(CVE-2022-32532),当在Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带\”.\”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致系统配置的权限验证失效。目前漏洞细节与PoC已公开,请相关用户采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

二、热点资讯

  • 朝鲜黑客组织盗窃了1亿美元山寨币

【标签】金融

【概述】

臭名昭著的朝鲜支持的黑客团体Lazarus Group被怀疑是最近从Harmony Horizon Bridge盗窃1亿美元山寨币的幕后黑手。上周,研究人员证实其 Horizon Bridge是一个允许用户跨不同区块链移动加密货币的平台,已被破坏。该事件涉及剥削者在6月23日执行多笔交易,提取存储在桥中的代币并窃取了大约1亿美元的加密货币。6月27日,据说罪犯已开始通过Tornado Cash混合服务转移3900万美元的资金,试图掩盖不义之财,并使交易线索难以追溯到最初的盗窃。分析师能够“分离”交易,并表示能够进一步追踪通过该服务转移到多个新以太坊钱包的被盗资金。

【参考链接】

https://ti.nsfocus.com/security-news/IlNDw

  • 攻击者利用恶意软件窃取YouTube内容创建者的身份信息

【标签】不区分行业

【概述】

网络安全研究人员发现了一种名为YTStealer的新型信息窃取恶意软件,该恶意软件旨在从YouTube内容创建者那里窃取身份验证cookie。该恶意软件极有可能作为暗网上的服务提供。在执行恶意软件时,它会执行一些环境检查以避免在沙箱中执行。YTStealer使用使用网络浏览器导航到YouTube的Studio页面,内容创建者使用该页面来管理他们的内容。一旦获得对 YouTube 工作室的访问权限,该恶意软件就会获取有关用户频道的信息,包括频道名称、订阅者数量、创建日期、验证状态以及是否用于获利。该恶意软件使用每个样本唯一的密钥加密所有数据,并将其与样本标识符一起发送到位于域名 youbot[.]solutions的C2服务器。

【参考链接】

https://ti.nsfocus.com/security-news/IlNDv

  • Evilnum黑客利用国际移民活动传播恶意软件

【标签】不区分行业

【概述】

Evilnum黑客带着针对国际移民活动的新活动回归,Evilnum黑客组织一直以参与国际移民的欧洲组织为目标,在该组织内部显示出新的恶意活动迹象。Evilnum 在竞选活动中使用的文件带有不同的文件名,通常包含“合规”一词。如报告的IoC部分所述,Zscaler确定了至少九种不同的文件使用。附件利用模板注入和VBA代码踩踏技术来逃避检测。这会导致执行严重混淆的JavaScript。

【参考链接】

https://ti.nsfocus.com/security-news/IlNDt

  • 攻击者使用deepfake和被盗身份申请远程工作

【标签】企业

【概述】

FBI已警告企业,有关犯罪分子使用 deepfake 和被盗PII(个人身份信息)申请远程工作的报告有所增加。Deepfake 本质上是在人工智能 (AI) 和机器学习 (ML) 的帮助下创建或修改媒体(图像、视频或音频)。Deepfake 的创作旨在让外观和声音尽可能真实。因此,除非您知道要寻找什么,否则很难发现它们。多年的数据泄露使数百万美国人的身份可供任何恶意收集和使用以谋取个人利益的人使用。这一次,犯罪分子似乎有信心实施一项计划,该计划完全打算破坏或窃取雇用他们的公司,同时保持其真实身份完整。凭借具有合法 PII 的引人注目的合成图像和视频,我们可以想象犯罪分子可能会在将羊毛拉到雇主面前之前得到这份工作。报告中确定的大多数空缺职位都在技术领域,例如 IT(信息技术)、计算机编程、数据库和软件。FBI 还指出,犯罪分子试图填补的一些职位将允许他们访问PII、财务数据、公司数据库和专有信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlNDx

  • 黑客组织使用新的PingPull工具攻击电信、政府和金融

【标签】电信、金融、政府

【概述】

安全研究人员近期发现了一个名为PingPull的新的、难以检测的远程访问木马,该木马正被高级持久威胁(APT)组织GALLIUM使用。该组织又被称作Softcell,是一个针对东南亚、欧洲和亚洲电信公司的组织。在过去的一年里,该组织已将其攻击目标扩展到电信公司之外,包括金融机构和政府实体。在此期间Unit 42确定了GALLIUM组织的基础设施与阿富汗、澳大利亚、比利时、柬埔寨、马来西亚、莫桑比克、菲律宾、俄罗斯和越南的目标实体之间的数个联系。最重要的是,还确定了该组织使用的新型PingPull远程访问木马

【参考链接】

https://ti.nsfocus.com/security-news/IlND8

  • 攻击者利用Revive恶意软件对西班牙对外银行发起网络攻击

【标签】金融

【概述】

目前,一款名为“Revive”的新型安卓银行恶意软件被发现,它模仿的是一款登录西班牙对外银行(BBVA)银行账户所需的2FA应用程序。该新型银行木马采用了一种更集中的方法针对西班牙对外银行(BBVA),而不是试图危害多个金融机构的客户。虽然目前Revive还处于早期开发阶段,但它已经具备拦截双重身份验证 (2FA) 代码和一次性密码等高级功能。Revive是研究人员发现的,并以该恶意软件使用的一个同名功能命名,该功能被终止后会自动重启。根据研究人员的说法,新的恶意软件通过网络钓鱼攻击诱导用户下载一个应用程序,该应用程序是升级银行账户安全所需的2FA工具。该网络钓鱼攻击会通过欺骗用户嵌入到实际银行应用程序中的2FA功能不再满足安全级别要求,用户需要安装此附加工具来升级其银行安全性。

【参考链接】

https://ti.nsfocus.com/security-news/IlND7

  • 黑客对Harmony区块链桥发起恶意攻击窃取加密货币

【标签】金融

【概述】

2022年6月23日星期四,一名黑客成功地进行了一次恶意攻击,从Harmony的Horizon区块链桥上窃取了1亿美元,并通过11笔交易提取了存储在桥上的代币(HZ),但Harmony的比特币桥在这次攻击中仍然没有受到影响。区块链桥的设计如Harmony的Horizon主要使用户能够在不同的区块链之间移动资产,包括代币、稳定币和NFT。攻击发生后,Harmony立即停止了Horizon桥,以防止进一步的交易。然后,它联系了联邦调查局和多个网络安全和交易所合作伙伴,以调查、跟踪和协助检索被盗资产。黑客的身份似乎已经确定,因为调查小组已经尝试用交易中的嵌入式信息与他们的地址进行沟通,并正在等待回应。

【参考链接】

https://ti.nsfocus.com/security-news/IlNCS

  • 攻击者对德克萨斯州天然气厂发起网络攻击

【标签】能源

【概述】

近期,德克萨斯州一家液化天然气厂爆炸,经调查,事件起因可能是由网络攻击引起的,而俄罗斯威胁行为者或将是事件幕后黑手。爆炸发生在德克萨斯州昆塔纳岛的自由港液化天然气(Freeport LNG)液化厂,此次事故将对自由港液化天然气的运营产生持久的影响。经初步调查表明,该事件是由于LNG输送管道的一段超压和破裂,导致液化天然气快速闪蒸和天然气蒸汽云释放和点燃。目前尚不清楚为什么该企业的安全机制不能阻止爆炸发生,不过据专家推测网络攻击可能已经关闭了天然气设施的工业安全控制。专家表示像TRITON这样的ICS恶意软件,类似俄罗斯相关的APT组织XENOTIME是具有关闭工业安全控制、并对工业设施造成巨大破坏的能力。

【参考链接】

https://ti.nsfocus.com/security-news/IlNCT

  • 攻击者通过SMS发送恶意链接感染意大利和哈萨克斯坦用户

【标签】不区分行业

【概述】

6月23日,谷歌披露称,意大利间谍软件供应商RCS Labs已获得一些互联网服务提供商 (ISP) 的帮助,利用商业监控工具感染意大利和哈萨克斯坦的Android和iOS用户。研究人员认为,在某些情况下,攻击者与目标的ISP合作以禁用移动数据连接。一旦禁用,攻击者将通过SMS发送恶意链接,要求目标安装应用程序以恢复其数据连接。如果不能直接与目标的ISP合作,攻击者会将恶意应用程序伪装成消息传递应用程序。在这些攻击中发现的iOS应用程序带有几个内置漏洞,可以提升受感染设备的权限并窃取文件。目前研究人员已经确定了位于意大利和哈萨克斯坦的受害者。

【参考链接】

https://ti.nsfocus.com/security-news/IlNCI

  • 苹果和安卓手机遭到意大利间谍软件攻击

【标签】不区分行业

【概述】

6月24日消息,美国当地时间周四,谷歌发出警告称,意大利软件开发商RCS Lab提供的黑客工具被用来发动攻击,主要针对意大利和哈萨克斯坦的苹果和安卓智能手机进行间谍活动。随着越来越多的公司为执法部门开发拦截工具,为政府开发间谍软件的活动也越来越多。在某些情况下,反监视活动人士指责他们协助政府利用间谍软件来侵犯个人隐私和民权。近年来,以色列监控公司NSO的“飞马”(PegASUS)间谍软件被多个政府机构用来监视记者、活动人士和持不同政见者,使得该行业成为全球关注的焦点。安全研究员表示,虽然RCS Lab的工具可能没有飞马那么隐蔽,但它仍然可以读取目标设备上的消息并查看密码。

【参考链接】

https://ti.nsfocus.com/security-news/IlNCH

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author