绿盟科技威胁周报(2022.09.26-2022.10.02)

一、 热点资讯

  1. 间谍集团利用名为Stegmap的新颖后门攻击两个中东国家的政府和一个非洲国家的证券交易所

【标签】政府、金融

【概述】

一个新兴的网络间谍威胁组织一直在用一种名为Stegmap的新颖后门袭击中东和非洲的目标,该后门使用罕见的隐写技术将恶意代码隐藏在托管图像中。最近的攻击表明,该组织称为女巫,又名FookFrog-加强了其工具集,添加了复杂的规避策略,并利用了已知的微软交易所漏洞代理外壳和代理登录。他们在9月29日发布的一篇博客文章中透露,相关安全研究院威胁猎人的研究人员观察到该组织在面向公众的服务器上安装网络外壳,窃取凭据,然后在网络上横向传播以传播恶意软件。他们表示在2月至9月的袭击中,该组织针对两个中东国家的政府和一个非洲国家的证券交易所,使用了上述载体。其中该组织的活动还表明,他们在其武器库中增加了一个Stegmap,它采用一种隐形技术,将有效载荷隐藏在图像中以避免被发现。

【参考链接】

https://ti.nsfocus.com/security-news/IlNVv

 

  1. APT组织Metador已攻击电信和ISP以及大学长达2年

【标签】通信

【概述】

据悉,相关安全研究院的研究人员发现了一个从未被发现的黑客组织,被追踪为Metador,主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。专家指出,黑客使用的攻击链旨在绕过本地安全解决方案,同时将恶意软件平台直接部署到内存中。攻击者高度了解操作安全性,他们能够管理每个受害者仔细分割的基础设施,并观察到在安全解决方案存在的情况下快速部署复杂的对策。专家报告称,Metador 针对的一家电信公司已经被来自伊朗等国在内的近10个黑客组织入侵,其中包括Moshen Dragon和MuddyWater。该研究院还发现了两个 Windows 恶意软件平台,称为metaMain和Mafalda,以及存在额外 Linux 植入的证据。黑客使用 Windows 调试工具cdb.exe在内存中解密和加载这两个恶意软件。Mafalda 是一个灵活的植入程序,最多支持 67 个命令,它被威胁参与者不断升级,并且威胁的新变种被高度混淆。

【参考链接】

https://ti.nsfocus.com/security-news/IlNV1

 

  1. Swachh City平台数据泄露1600万用户记录

【标签】政府设施

【概述】

一个名为LeakBase的威胁行为者分享了一个数据库,其中包含据称影响印度政府投诉补救平台Swachh City的1600万用户的个人信息。泄露的详细信息包括用户名,电子邮件地址,密码哈希值,手机号码,一次性密码,上次登录时间和IP地址等。Swachh City平台是印度政府斯瓦赫巴拉特使命(翻译为清洁印度使命)全国性倡议的一部分,旨在实现全民卫生设施覆盖。根据相关人员的说法,该数据库包含101,718个唯一的电子邮件地址和15,835,111个唯一的手机号码,使用户面临网络钓鱼,诈骗,社交工程和身份盗用的风险。对此相关安全研究院的研究人员表示:该漏洞可能利用了属于管理员和非管理员帐户的受损凭据,这些凭据可能是通过暴力攻击获得的。对数据集的分析还显示,最新登录是在2022年5月20日观察到的,这表明威胁行为者在该日期执行了外泄活动。建议该服务的用户实施强密码策略、轮换密码并启用双重身份验证。

【参考链接】

https://ti.nsfocus.com/security-news/IlNVt

 

  1. 黑客组织RaHDIt公布了乌克兰对外情报局1500多名工作人员的信息

【标签】国防

【概述】

据外媒报道,近日匿名者Anonymous黑客组织声称成功入侵了俄罗斯国防部的网站,并泄露了305925人的详细数据。随后不久,俄罗斯黑客组织RaHDIt公布了乌克兰对外情报局1500多名工作人员的信息。公布的信息还包括在20多个国家的大使馆掩护下工作的情报官员的数据。该名单上既涉及积极支持乌克兰的国家(美国、法国、意大利、德国、波兰),也有立场较为克制的国家(阿塞拜疆、阿根廷、匈牙利、希腊、伊拉克、南非、塔吉克斯坦及其他)。此外,RaHDIt黑客还公布了在联合国、欧盟和北约办事处工作的乌克兰情报官员的数据,并解密出乌克兰部队的40多个基地,包括一个秘密教育机构。RaHDIt黑客声称,他们能够访问乌克兰外交部和对外情报局的员工数据库,通过对比找到匹配项。同样的,该黑客组织此前也曾公开发布过其他有关乌克兰特殊服务部门员工的信息。如今年6月,该组织黑客公布了乌克兰安全局(SBU)700名员工的数据,随后其又于7月初公布了乌克兰国防部情报总局(GUR)1000名员工的数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlNV3

 

  1. 朝鲜Lazarus黑客利用恶意软件攻击MacOS用户

【标签】不区分行业

【概述】

Lazarus集团继续其利用未经请求的工作机会来部署针对Apple macOS操作系统的恶意软件的模式。在相关安全研究院上周观察到的最新活动变体中,诱饵记录了新加坡加密货币交易所Crypto的广告头寸.com已被用于发起攻击。这些攻击不是孤立的,因为Lazarus集团有对区块链和加密货币平台进行网络攻击的历史,作为逃避制裁的机制,使对手能够未经授权访问企业网络并窃取数字资金。最新的披露建立在相关安全研究院调查结果的基础上,他们深入研究了Coinbase加密货币交换平台的类似虚假职位发布。这两个虚假的招聘广告只是一系列被称为行动in(ter)ception的攻击中的最新一个,而这些攻击又是以梦想工作行动为名的更广泛活动的组成部分。尽管恶意软件的确切分布向量仍然未知,但怀疑潜在目标通过业务网络站点上的直接消息被挑出来。它们入侵始于部署一个Mach-O二进制文件,一个启动包含 Crypto.com 作业列表的诱饵PDF文档的滴管,同时在后台删除终端的保存状态。

【参考链接】

https://ti.nsfocus.com/security-news/IlNUA

 

  1. APT28借PowerPoint文件投递Graphite恶意软件

【标签】金融

【概述】

俄罗斯背景黑客组织APT28(又名Fancy Bear)正在使用一种新的代码执行技术,该技术依赖于Microsoft PowerPoint 演示文稿中的鼠标移动来触发恶意PowerShell 脚本。因为恶意代码不需要恶意宏来执行和下载有效负载,所以攻击会变得更为隐秘。在相关威胁情报公司的报告中,指出APT28在最近的攻击活动中使用了这种新技术来传播Graphite 恶意软件。在具体攻击活动中,黑客使用 PowerPoint (.PPT) 文件引诱目标,该文件据称与经济合作与发展组织 (OECD) 相关,该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT 文件内有两张幻灯片,均以英文和法文提供使用 Zoom 视频会议应用程序中的解释选项的说明。

【参考链接】

https://ti.nsfocus.com/security-news/IlNUC

 

  1. 以色列国防巨头埃尔比特系统的美国分公司遭黑客攻击

【标签】国防

【概述】

以色列国防承包商埃尔比特系统公司的美国分公司表示,员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说,有369名员工受到数据泄露的影响,其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。在通知中,这家位于得克萨斯州的公司几乎没有分享任何细节,只是说有人试图干扰美国埃尔比特公司的网络运营,而且其调查正在进行。埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府,也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。这家公司的总部位于以色列海法是一家国防技术和电子巨头,为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。

【参考链接】

https://ti.nsfocus.com/security-news/IlNUE

 

  1. 俄罗斯宣布将对乌克兰及其盟国的关键基础设施进行大规模网络攻击

【标签】基建

【概述】

乌克兰国防部情报总局警告称,俄罗斯正计划升级针对乌克兰和西方国家关键基础设施的网络攻击。据乌克兰军事情报局称,这些攻击旨在破坏关键基础设施的运营,包括电网和能源行业的设施。Facebook上发布的报告中写道:克里姆林宫正计划对乌克兰企业的关键基础设施和其盟国的关键基础设施机构进行大规模网络攻击。攻击将针对能源部门的企业。2015年和2016年对乌克兰能源系统的网络攻击经验将被用于开展行动。该报告还指出,网络攻击的目的是干扰乌克兰军队的能力,支持俄罗斯军队的军事进攻。克里姆林宫还计划对乌克兰盟友(如波兰和波罗的海国家)的关键基础设施进行更强大的DDoS攻击。乌克兰国防部情报总局发布的警报称:敌人将试图增加导弹攻击对电力供应设施的影响,主要是在乌克兰东部和南部地区。占领军司令部确信,这将减缓乌克兰国防军的进攻行动。

【参考链接】

https://ti.nsfocus.com/security-news/IlNUH

 

  1. 埃菲社智利圣地亚哥40 多万封邮件遭泄密后智利军方高官辞职

【标签】国防

【概述】

据埃菲社智利圣地亚哥报道,智利武装部队参谋长联席会议主席在包括敏感的国家安全信息在内的大量电子邮件泄露后,于9月22日辞职。有消息称,他辞职的消息得到了几家当地媒体的证实。在此之前,一个黑客组织利用安全漏洞,公布了40多万封参谋长联席会议的电子邮件,其中包括被列为保密、机密和最高机密的文件。报道指出,这一事件的性质非常严重,甚至直接导致智利国防部长被迫暂停陪同总统出访纽约,紧急返回国内处理这场影响到武装部队所有部门的危机。智利政府声称,鉴于诸多事实表明参谋长联席会议的电子邮件系统遭遇安全事件,总统已指示国防部长紧急回国,以领导相关部门针对上述事件采取应对举措。除了将相关信息移交给军事司法系统以启动刑事调查外,智利政府还下令展开行政调查,以明确相应的责任方。

【参考链接】

https://ti.nsfocus.com/security-news/IlNUe

 

  1. 印度尼西亚社会事务部发生重大数据泄露事件

【标签】政府机构

【概述】

印度尼西亚再次因被认为来自社会事务部的数据泄露而活跃起来,暗网网站Breached.to上共有1.02亿条公共数据被泄露和出售。名为sspX的帐户上传的数据名为来自印度尼西亚社会事务部的印度尼西亚公民数据库,帖子描述自9月13日开始上传。该文件被认为来自印度尼西亚社会事务部的最新数据,更新至2022年9月,包含85GB的数据,数据量总计102,533,211条。黑客还提供了上传数据的信息,包括NIK、KK编号、全名、出生日期、年龄和性别。以及一些泄露的数据样本,包括身份证的照片和家庭卡的照片。黑客还声称共享了从2017年到2020年收集的200万个样本数据。数据样本中列出的运营商是Telkomsel、Indosat、Tri、XL和Smartfren。不仅如此,来自PLN和2600万IndiHome客户的1700万条数据也被泄露。他还侵入了国家高级官员的个人数据,从总统、通讯和信息部部长、国有企业部长到印度尼西亚众议院主席。还有另一个帐户OKE出售印度尼西亚摩托车和车主的注册数据,数据卖家账户的所有者声称是第一个拥有印尼汽车和摩托车注册数据的人。

【参考链接】

https://ti.nsfocus.com/security-news/IlNTM

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author