【威胁通告】44118太阳成城集团威胁情报周报(2022.02.21-2022.02.27)
2022-02-28
一、 热点资讯
1. 网络攻击者利用DocuSign窃取Microsoft Outlook登录信息
【标签】企业
【概述】
研究人员发现,针对“位于北美的一家大型、公开交易的综合支付解决方案公司”的复杂网络钓鱼活动利用DocuSign和受感染的第三方电子邮件域来绕过电子邮件安全措施。而该活动在公司周围散布看似无害的电子邮件,实则目的是窃取微软的登录凭据。
【参考链接】
https://ti.nsfocus.com/security-news/IlNiG
2. 攻击者利用勒索软件攻击华硕子公司ASUSTOR
【标签】企业
【概述】
近日华硕旗下子公司华芸科技(Asustor)的网络附加存储(NAS)遭遇了勒索攻击。此次勒索攻击波及全球众多用户,并在ASUSTOR论坛上引起来广泛讨论。研究人员表示与上个月QNAP NAS设备被勒索攻击相类似,两次攻击均是DeadBolt勒索软件所为,所有文件都被加了.deadbolt 文件扩展名。ASUSTOR 登录页面也被一张数据勒索通知代替,要求用户支0.03个比特币,折合人民币约七千多元。
【参考链接】
https://ti.nsfocus.com/security-news/IlNiI
3. 攻击者通过微软官方商店的游戏应用程序分发Electron Bot 新恶意软件控制社交媒体帐户
【标签】社交媒体
【概述】
研究人员检测到一种名为 Electron Bot 的新恶意软件,该恶意软件已感染全球 5,000 多台活动机器。并表示在“Temple Run”或“Subway Surfer”等热门游戏发现存在该恶意软件,攻击者可以使用安装的恶意软件作为后门,以完全控制受害者的机器,而大多数受害者来自瑞典、保加利亚、俄罗斯、百慕大和西班牙。Electron 是一个使用 Web 脚本构建跨平台桌面应用程序的框架。该框架结合了 Chromium 渲染引擎和 Node.js 运行时,使其具备由JavaScript等脚本控制的浏览器功能,为了避免被检测到,大多数控制恶意软件的脚本都是在运行时从攻击者的服务器动态加载的。这使攻击者能够在任何给定时间修改恶意软件的有效负载并更改机器人的行为。
【参考链接】
https://ti.nsfocus.com/security-news/IlNiH
4. 攻击者利用Dridex 恶意软件在被黑计算机上部署熵勒索软件
【标签】企业、政府
【概述】
研究人员在Dridex通用恶意软件和一种鲜为人知的勒索软件Entropy之间发现了相似之处,并表示它的相似之处在于用于隐藏勒索软件代码的软件打包程序,用于查找和混淆命令(API 调用)的恶意软件子程序,以及用于解密加密文本的子程序。而研究人员是在针对一家未具名媒体公司和一家地区政府机构的两起无关事件之后,发现了这些共同点。
【参考链接】
https://ti.nsfocus.com/security-news/IlNis
5. 攻击者利用Wiper恶意软件对伊朗广播公司IRIB发起攻击
【标签】政府、企业
【概述】
伊朗国家媒体公司伊朗伊斯兰共和国广播公司 (IRIB) 在 2022 年 1 月下旬遭到了擦除恶意软件的攻击。调查此次攻击的研究人员报告称,攻击者使用擦除恶意软件破坏该州的广播网络,破坏电视和广播网络。在调查过程中研究人员发现了两个相同的.NET 样本,名为msdskint.exe,用于擦除受感染设备上的文件、驱动器和MBR,使它们无法使用。并表示该恶意软件还具有清除Windows事件日志、删除备份、终止进程和更改用户密码的能力。
【参考链接】
https://ti.nsfocus.com/security-news/IlNip
6. 儿童奢侈品服装店Melijoe 200GB客户数据遭泄露
【标签】企业
【概述】
研究人员称,由于其中一个配置错误的 Amazon S3 存储桶,该公司暴露了包含近 200 万个文件的高达200 GB的数据。更糟糕的是,存储桶在没有任何密码或安全身份验证的情况下被公开访问,这意味着任何知道如何查找配置错误的数据库的人都可以访问数据。经过对这些数据集的进一步分析发现以下敏感信息被泄露:性别、出生日期、电话号码、电子邮件地址、帐单地址、支付方式及孩子的全名。
【参考链接】
https://ti.nsfocus.com/security-news/IlNi9
7. 攻击者利用Xenomorph 恶意软件窃取Android 设备的财务信息
【标签】金融
【概述】
研究人员发现超过50,000 台 Android 设备感染了一种名为Xenomorph 的新型银行木马,该木马通过Google Play商店传播以窃取财务信息。研究人员表示 Xenomorph 特洛伊木马通过通用性能提升应用程序(如“Fast Cleaner”)进入了Google Play商店,而Xenomorph 这样的银行木马旨在窃取敏感的银行详细信息、控制账户并发起未经授权的交易,并将被盗数据出售给潜在买家。
【参考链接】
https://ti.nsfocus.com/security-news/IlNi8
8. 乌克兰在与俄罗斯紧张局势中遭受网络攻击
【标签】金融、政府
【概述】
乌克兰国防部周二表示,由于与俄罗斯的紧张局势加剧,以及担心莫斯科可能对该国采取激进行动,包括潜在的地面入侵,它遭到了网络攻击。此外,据隶属于文化和信息政策部的乌克兰战略通信和信息安全中心称,至少有两家乌克兰银行和一些 ATM 机失去了连接。
【参考链接】
https://ti.nsfocus.com/security-news/IlNhW
9. 伊朗黑客利用 Log4j漏洞部署勒索软件攻击VMware Horizon服务器
【标签】不区分行业
【概述】
与伊朗政府结盟的攻击者正在积极利用众所周知的Log4j 漏洞,用勒索软件感染未修补的 VMware Horizon 服务器。研究人员表示与 Log4Shell一起观察到的还有利用 Fortinet FortiOS 路径遍历漏洞 ( CVE-2018-13379 ) 和 Microsoft Exchange ProxyShell漏洞来获得对目标网络的初始访问权限以进行后期利用。TunnelVision 攻击者一直在积极利用该漏洞来运行恶意 PowerShell 命令、部署后门、创建后门用户、获取凭据并执行横向移动。
【参考链接】
https://ti.nsfocus.com/security-news/IlNhK
10. 黑客以供应链攻击台湾金融贸易部门
【标签】金融
【概述】
台湾安全公司发现渗透活动,代号为“缓存熊猫行动”,利用在台湾市场占有率超过80%的无名证券软件的网页管理界面中的一个漏洞,利用该漏洞部署一个网页外壳,作为植入的管道。受感染系统上的Quasar RAT旨在窃取敏感信息。而Quasar RAT 是用 .NET 编写的公开可用的开源远程访问木马 (RAT)。它的功能包括捕获屏幕截图、录制网络摄像头、编辑注册表、键盘记录和窃取密码。此外,攻击还利用名为 wenshushu.cn 的中国云文件共享服务下载辅助工具。
【参考链接】
https://ti.nsfocus.com/security-news/IlNic
