【威胁通告】海王捕鱼威胁情报周报(2021.08.30-2021.09.05)
2021-09-07
一、 威胁通告
勒索软件利用Exchange1day漏洞传播全解析(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)
【发布时间】2021-08-3113:00:00GMT
【概述】
近日,海王捕鱼CERT监测发现多起利用MicrosoftExchange多个漏洞(ProxyShell)进行攻击的安全事件,并有新晋的LockFile勒索病毒组织利用ProxyShell与PetitPotam漏洞对企业域环境进行攻击,最终导致多家单位域内主机被批量执行勒索加密。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. Marketo组织窃取了PUMA公司1GB的数据
【概述】
8月29日,研究人员发现,Marketo组织窃取了PUMA公司1GB的数据,该组织作为一个“被盗数据市场”的运营商,不同于典型的勒索软件集团,他们是通过阻止受害者的网络,加密各种数据存储上的可用文件来分发恶意代码,破坏IT运营服务。窃取PUMA公司的敏感数据在暗网平台上进行公开拍卖。其中包含链接到公司产品管理门户内部管理应用程序的源代码,攻击者可以使用这些数据来策划对公司更复杂的攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlMOp
2. 攻击者向用户分发虚假的电子邮件进行网络钓鱼活动
【概述】
近日,研究人员检测到多起以新冠疫苗COVID-19为主题的网络钓鱼活动。攻击者利用虚假的网络钓鱼电子邮件为诱饵向用户发送恶意构造的样本链接欺骗用户点击,此次诱饵文件名字为“Certification-Vaccination-Status-Form.pdf”,受害者通过点击诱饵文件启动PowerShell程序并执行恶意脚本后,程序会从指定的网络地址请求并获取后续的PowerShell恶意脚本,会将目标员工带到一个冒充MicrosoftOutlookWeb应用程序登录页面的恶意域,最终他们将被带到一个假冒受信任品牌的被劫持网页。
【参考链接】
https://ti.nsfocus.com/security-news/IlMOj
3. 波士顿公共图书馆遭到黑客攻击
【概述】
研究人员表明,波士顿公共图书馆计算机网络遭到黑客严重攻击,导致该图书馆整个系统中断,受影响的系统已下线,暂停了公共计算机和公共打印服务,以及一些在线资源。目前,该图书馆仍然开放,但大部分电子功能处于离线状态,现在所有的工作站点都在手动处理交易。
【参考链接】
https://ti.nsfocus.com/security-news/IlMOi
4. 攻击者利用KonniRAT恶意软件攻击俄罗斯
【概述】
MalwarebytesLabs的研究人员发现了一个正在进行的恶意软件活动,此次攻击活动的目标是俄罗斯。攻击者利用两份俄语编写的武器化文件作为诱饵,其中一份利用俄罗斯与朝鲜半岛之间的贸易和经济问题,第二份文件以俄罗斯-蒙古政府间委员会的会议为诱饵。当攻击者启用宏后,它执行的感染链将开始部署一个经过严重混淆的新KonniRAT变体,攻击者试图在文档内容的末尾隐藏其主要活动开始的恶意JS,并没有将其直接放入宏中,以避免被AV产品检测到并隐藏其他们的主要意图。
【参考链接】
https://ti.nsfocus.com/security-news/IlMO1
5. 闪电贷黑客窃取了金融平台CREAM Finance 2900万美元的加密货币财产
【概述】
近日,研究人员发现,闪电贷黑客从金融平台CREAMFinanceDefi窃取了超过2900万美元的加密货币资产。CREAMFinanceDefi是一种去中心化借贷协议,供个人、机构和协议访问金融服务。它向被动持有ETH或wBTC的用户承诺收益。在攻击活动中,攻击者在其“闪电贷”功能中进行了“重入攻击”,窃取了418,311,571个AMP代币和1,308.09个ETH代币。黑客在转移资产过程中通过重新借用Amp代币进行了500ETH的闪贷,然后在17笔单独的交易中更新第一个借入资产。提供了一个示例事务,黑客使500ETH的flashloan和存入的资金作为抵押。CREAMFinance宣布,已经暂停Amp代币的供应和借用合约来阻止黑客利用。
【参考链接】
https://ti.nsfocus.com/security-news/IlMOx
6. LockBit勒索软件组织攻击曼谷航空公司
【概述】
8月30日,LockBit勒索软件组织成功攻击了曼谷航空公司的内部系统,窃取了该公司103GB与其客户有关的个人数据,被盗数据包括姓名、国籍、性别、电话号码、电子邮件、地址、联系信息、护照信息、历史旅行信息、部分信用卡信息和航空公司乘客的特殊膳食信息。攻击者在其泄密网站上发布了一条消息,如果曼谷航空公司不支付赎金,就会泄露被盗数据,消息还显示他们有更多的数据要泄露。
【参考链接】
https://ti.nsfocus.com/security-news/IlMOC
7. 诈骗者通过冒充OpenSea公司员工窃取数字资产
【概述】
OpenSea是一个基于区块链的数字资产市场,诈骗者冒充OpenSea公司员工以窃取数字资产,OpenSea用户和艺术家JeffNicholas成为该骗局的受害者,攻击者从Ledger钱包中窃取了他持有的数字资产以及价值约14,600美元的4.5以太币。攻击的方式是,诈骗者使用Discord聊天平台提供客户支持,人们被告知去OpenSeaDiscord并发布他们的支持票,攻击者正在监视这些渠道,然后联系冒充OpenSea支持的人,并提供有关他们支持索赔的信息。
【参考链接】
https://ti.nsfocus.com/security-news/IlMOA
8. 攻击者使用开放重定向链接引诱用户访问恶意网站获取Office365凭据
【概述】
根据最近发布的一份研究报告称,存在“广泛”的网络钓鱼活动,欺诈者使用开放重定向链接引诱用户访问恶意网站,以获取Office365凭据。除了使用社会工程技术模仿生产力工具和服务来引诱用户点击之外,欺诈者还会部署一个恶意的CAPTCHA验证页面,帮助引诱用户点击恶意链接并帮助欺诈者避开某些安全工具,用户会单击重定向链接,这会打开一个他们必须填写的虚假CAPTCHA站点,一旦受害者完成伪造的CAPTCHA页面,用户就会被发送到一个恶意域,该域旨在看起来像一个合法的Office365或其他登录网站。会要求用户输入两次凭据,以确保欺诈者收集正确的用户名和密码组合。一旦用户第二次输入密码,该页面就会定向到一个合法的Sophos网站,该网站声称该电子邮件已被释放,从而为攻击增加了另一层合法性。
【参考链接】
https://ti.nsfocus.com/security-news/IlMOF
9. 英国电信公司遭受DDOS攻击
【概述】
英国两家基于互联网的电信公司VoipUnlimited和Voipfone在其网站上报告说,它们已经遭到了分布式拒绝服务DDOS持续的攻击,导致公司系统核心网络已经中断了服务,以及中断了呼叫、注册和客户门户访问等服务,造成的服务瘫痪每小时损失低于1000英镑,攻击媒介“不断变化”,其网络团队正在根据需要应用缓解措施。
【参考链接】
https://ti.nsfocus.com/security-news/IlMPu
10. FIN7团伙利用Word文档来投放恶意负载攻击美国销售点服务提供商
【概述】
Anomali Threat Research 专家监测了最近由FIN7团伙进行的鱼叉式网络钓鱼攻击活动,此次攻击的目标是美国销售点 (PoS) 服务提供商, 该团伙通过采用Word文档来投放恶意负载攻击链侵入PoS服务商网络,攻击链始于一个 Microsoft Word 文档 (.doc),其中包含一个声称使用 Windows 11 Alpha 制作的诱饵图像。该图像要求收件人启用编辑和启用内容以访问其内容,启用宏后,将执行高度混淆的 VBA 宏以检索 JavaScript 负载。恶意脚本还会检查虚拟机以防止在虚拟化环境中进行分析,为了避免发现,该组织还在 VBA 宏中插入垃圾数据。
【参考链接】
https://ti.nsfocus.com/security-news/IlMPj
