E周观察-安全威胁情报周报
发布时间:2022-01-16 11:36:21来源:E安全
1月10日,研究人员发布报告称,新兴僵尸网络Abcbot与几年前基于Xanthe恶意软件的加密劫持活动存在明显联系。研究人员认为,Xanthe和Abcbot由同一攻击者开发,并且其活动目标发生了转变,从在受感染主机上挖掘加密货币,转向更传统的与僵尸网络相关的活动,例如DDoS攻击。
参考链接:https://ti.dbappsecurity.com.cn/info/3027
RedLine是一种流行的商品恶意软件,于2020年3月首次被披露。近日,研究人员发现了RedLine软件的新变体,该变体伪造成Omicron数据计数器应用程序,通过电子邮件分发。此次活动是一次广泛的攻击,潜在受害者分布在12个国家或地区,攻击者并未针对特定组织或个人。
参考链接:https://ti.dbappsecurity.com.cn/info/3030
FluBot是一种Android银行木马,通常通过SMS消息进行传播,可以窃取网上银行凭据、发送或拦截SMS消息,并捕获屏幕截图。研究人员发现,在最新的攻击活动中,攻击者使用SMS文本,通过虚假FlashPlayer应用分发FluBot恶意软件。
参考链接:https://ti.dbappsecurity.com.cn/info/3021
1月上旬,研究人员发现了一场复杂的恶意软件活动,攻击者利用木马化版本的dnSpy,分发一系列恶意软件。此次恶意活动针对的目标为网络安全研究人员和开发人员。
参考链接:https://ti.dbappsecurity.com.cn/info/3026
2021年12月,研究人员发现了一个针对Windows、Mac和Linux的多平台新型后门,研究人员将这个后门命名为SysJoker。SysJoker恶意软件是用C++编写的,每个样本都是针对目标操作系统定制的,VirusTotal中完全未检测到macOS和Linux样本。
参考链接:https://ti.dbappsecurity.com.cn/info/3032
TellYouThePass是一种出于经济动机的勒索软件,于2019年初首次被披露。已知的TellYouThePass勒索软件样本是用Java或.Net等编程语言编写的,但近日,研究人员发现了用Golang语言重写和编译的TellYouThePass样本,新的样本可以针对windows和Linux操作系统。
参考链接:https://ti.dbappsecurity.com.cn/info/3038
研究人员在KCodesNetUSB内核模块中发现了一个被追踪为CVE-2021-45388的高严重性远程代码执行漏洞,该漏洞可影响数百万路由器设备。
NetUSB是KCodes开发的产品,允许网络中的远程设备与连接到路由器的USB设备进行交互。该产品已授权给大量其他供应商,包括Netgear、TP-Link、Tenda、EDiMAX、DLink和WesternDigital。
参考链接:https://ti.dbappsecurity.com.cn/info/3031
2022年1月7日,美国加利福尼亚州草谷市披露了一起数据泄露事件。攻击者于2021年4月13日至2021年7月1日获得了对草谷城市网络计算机系统的访问权限,并窃取了一些文件。
参考链接:https://ti.dbappsecurity.com.cn/info/3025
1月12日,公民实验室发布报告称,在2020年7月至2021年11月期间,NSO公司的Pegasus间谍软件感染了35名萨尔瓦多记者和民间社会成员的手机。
参考链接:https://ti.dbappsecurity.com.cn/info/3040
近日,多名EASportsFIFA22玩家遭到黑客攻击,因此无法访问他们的个人EA和电子邮件帐户,黑客还从FUT俱乐部窃取了玩家的游戏币和个人信息。
参考链接:https://ti.dbappsecurity.com.cn/info/3039
1月6日,美国卫生与公众服务部(HHS)发布警告,提醒医疗保健部门注意Mespinoza网络犯罪团伙正在进行的网络攻击活动,该组织在过去两年中通过Pysa勒索软件持续攻击医疗保健部门。Mespinoza团伙运营一个名为Pysa'sPartners的泄密网站,对受害者施加额外压力,迫使受害者支付赎金。
参考链接:https://ti.dbappsecurity.com.cn/info/3028
据菲律宾《马尼拉公报》报道,2022年1月8日,不明身份的黑客入侵了菲律宾选举委员会(Comelec)的系统,窃取了大约60G的“敏感信息”和其他数据。
2022年的菲律宾总统选举将于5月9日举办,选出新一届总统、副总统、国会议员、地方行政长官和议员等。距离大选不到4个月,菲律宾选举委员会(Comelec)的系统却遭到黑客入侵。
参考链接:https://ti.dbappsecurity.com.cn/info/3035
1月7日,美国联邦调查局(FBI)发布警报称,FIN7犯罪团伙在过去几个月中向美国国防工业的公司寄送了恶意USB设备,试图部署勒索软件。
FIN7所尝试的攻击被称为HID或USB驱动攻击,只有当受害者愿意或被诱骗将未知USB设备插入其设备时,攻击过程才能成功开展。因此,研究人员建议用户不要在设备上使用未知来源的USB。
参考链接:https://ti.dbappsecurity.com.cn/info/3022
Patchwork(白象、摩诃草、APT-C-09、DroppingElephant)是一个疑似具有印度国家背景的APT组织,长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。近期安恒威胁情报中心猎影实验室捕获到多个Patchwork组织攻击活动样本,本次样本主要通过鱼叉式钓鱼邮件进行传播,样本以“登记表”和“巴基斯坦国防官员住房登记表”等相关内容作为诱饵,最终释放“BADNEWS”后门程序进行窃密活动。
参考链接:https://ti.dbappsecurity.com.cn/info/3029
蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。
近期安恒威胁情报中心猎影实验室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PACAdvisoryCommitteeReport.doc”的诱饵文档进行攻击。
参考链接:https://ti.dbappsecurity.com.cn/info/3024
1月12日,美国网络司令部(USCYBERCOM)发布报告,正式将MuddyWatter黑客组织与伊朗情报与安全部(MOIS)联系起来。
MOIS是伊朗政府的主要情报机构,负责协调该国的情报和反间谍活动,以及支持伊斯兰政权在伊朗境外的秘密行动。
MuddyWater是来自伊朗的APT组织,又名SeedWorm和TEMP.Zagros,于2017年首次被发现,主要针对中东国家,也针对欧洲、北美和亚洲国家。美国网络司令部表示,MuddyWater是伊朗情报与安全部(MOIS)的下属部门。
参考链接:https://ti.dbappsecurity.com.cn/info/3037
APT35是疑似伊朗国家支持的APT组织,又名CharmingKitten、TA453或Phosphorus。1月11日,研究人员披露,该组织正利用Log4Shell漏洞,释放新的模块化PowerShell后门。
参考链接:https://ti.dbappsecurity.com.cn/info/3033
OceanLotus(海莲花)组织又名APT32和SeaLotus,是一个以政府和记者为目标的东南亚APT组织。近日,研究人员发现,OceanLotus组织正使用WEB存档文件(.MHT和.MHTML)部署后门。
参考链接:https://ti.dbappsecurity.com.cn/info/3036
lueNoroff组织是一个出于经济动机的威胁团伙,是朝鲜LazarusAPT组织的子组织。1月13日,研究人员披露了BlueNoroff发起的复杂网络钓鱼和社会工程攻击活动,此次活动的主要目标为加密货币初创公司。
参考链接:https://ti.dbappsecurity.com.cn/info/3041
注:本文由E安全编译报道。
