【威胁通告】海王捕鱼威胁情报周报(2021.12.20-2021.12.26)
2021-12-27
一、 热点资讯
1. 伊朗黑客使用Slack API攻击亚洲航空公司
【概述】
据研究人员称,伊朗的一个黑客组织正在使用消息平台Slack上的免费工作空间,在亚洲某航空公司的系统中部署了后门。并表示被称为Aclip的后门可能使攻击者能够访问航空公司的乘客预订数据。Aclip名称来自名为“aclip.bat”的 Windows 批处理脚本,能通过添加一个注册表密钥建立持久性,并在受感染设备的系统启动时自动启动。
【参考链接】
https://ti.nsfocus.com/security-news/IlN97
2. 攻击者利用新的Joker恶意软件对Android用户发起攻击
【概述】
研究人员发现一个从 Google Play 应用商店下载超过500,000次的恶意Android应用被发现托管恶意软件,该应用会悄悄地将用户的联系人列表泄露到攻击者控制的服务器,并在用户不知情的情况下为用户注册不需要的付费高级订阅。并表示最新的 Joker 恶意软件是在名为Color Message(“com.guo.smscolor.amessage”)的专注于消息传递的应用程序中发现的,该应用程序已从官方应用程序市场中删除。此外,还观察到模拟点击以从恶意广告中获得收入并连接到位于俄罗斯的服务器。
【参考链接】
https://ti.nsfocus.com/security-news/IlN9b
3. 攻击者利用DarkWatchman 恶意软件发起网络钓鱼攻击
【概述】
研究人员表示DarkWatchman 最初是在 11 月初发现的,当时攻击者开始通过带有恶意 ZIP 文件的网络钓鱼电子邮件分发恶意软件;ZIP 文件包含一个可执行文件,该文件利用图标伪装成文本文档。此应用程序是一个 WinRAR 存档,可自行安装RAT和键盘记录器。
【参考链接】
https://ti.nsfocus.com/security-news/IlN9c
4. 黑客从运动装备网站窃取了超过180万人的信用卡数据
【概述】
四个著名的附属在线体育装备网站最近公布并报告了大规模的网络攻击。并表示在这次网络攻击中,黑客入侵并窃取了超过180万人的信用卡信息,黑客泄露了个人信息和信用卡信息。四个网站分别是运行仓库有限责任公司、网球仓库 LCC、滑板仓库有限责任公司和解决仓库有限责任公司。
【参考链接】
https://ti.nsfocus.com/security-news/IlN9d
5. 攻击者利用伪装成游戏应用的木马攻击Android设备
【概述】
研究人员发现一个信息窃取木马已经通过华为的 AppGallery 应用商店进入了超过 900 万台 Android 设备。超过 190 个不同的应用程序感染了木马,然后被毫无戒心的用户下载了大约 930 万次。并表示特洛伊木马由一家名为 Doctor Web 的俄罗斯反恶意软件公司开发。Dr.Web 将该木马识别为“Android.Cynos.7.origin”,这是一种旨在收集敏感用户信息的 Cynos 恶意软件的修改版本。
【参考链接】
https://ti.nsfocus.com/security-news/IlN9u
6. 攻击者绕过Microsoft补丁来传播Formbook 恶意软件
【概述】
研究人员检测到使用一种能够绕过影响 Microsoft Office 文件格式的关键漏洞 (CVE-2021-40444) 的补丁的新型漏洞。攻击者利用公开可用的概念验证 Office 漏洞并将其武器化以传播 Formbook 恶意软件。攻击者随后通过垃圾邮件分发了大约 36 小时,然后它消失了。研究人员发现攻击者通过将恶意 Word 文档放在特制的 RAR 存档中来重新设计原始漏洞。较新的“无 CAB”形式的漏洞利用成功避开了原始补丁。
【参考链接】
https://ti.nsfocus.com/security-news/IlN9H
7. 攻击者假冒辉瑞公司发起网络钓鱼攻击
【概述】
研究人员表示辉瑞公司(Pfizer)因生产mRNA新冠疫苗而成为网络钓鱼攻击者的热门假冒对象。攻击者2021年8月15日左右开始的一个网络钓鱼电子邮件活动冒充了辉瑞公司,试图从受害者那里窃取商业和财务信息。攻击者利用仿冒域名生成的电子邮件帐户,发送钓鱼电子邮件,以绕过企业常见的电子邮件保护解决方案。而这些钓鱼邮件的主题通常涉及紧急报价、招标和工业设备供应等。
【参考链接】
https://ti.nsfocus.com/security-news/IlN9I
8. 攻击者利用Log4j2漏洞大规模快速传播BillGates木马
【概述】
近期,安全研究员通过蜜罐捕获到 BillGates 家族的木马样本,该木马通过最近爆发的 Log4j2 漏洞传播。并表示Log4j2 漏洞是由它的 lookup 功能造成的,该功能允许开发者通过协议去读取环境的配置,由于未对输入进行严格的判断,从而造成漏洞的发生。攻击的网络数据一般会包含有 “jndi” 字符。
【参考链接】
https://ti.nsfocus.com/security-news/IlN9X
9. Monongalia卫生系统遭受BEC攻击
【概述】
研究人员表示位于西弗吉尼亚州的三家医院的卫生系统受到骗局的打击。自收到警报以来,Monongalia Health System 已对该事件展开调查,发现该组织的几名员工的电子邮件帐户在 2021 年 5 月至 8 月期间遭到了攻击者的入侵。通过破坏电子邮件,攻击者获得了对员工电子邮件和附件的未经授权的访问。
【参考链接】
https://ti.nsfocus.com/security-news/IlN9W
10. Conti组织利用Log4Shell漏洞针对 VMware vCenter 服务器发起攻击
【概述】
研究人员发现Conti 组织似乎总是热衷于寻找感染公司和传播勒索软件的新方法,因为他们经常利用漏洞利用作为最初的入侵媒介。并表示Log4Shell 是一个危险的安全问题,勒索软件组织 Conti 正在利用它来攻击易受攻击的服务器以勒索数百万美元。该组织利用 Log4Shell 漏洞专门针对 VMware vCenter 服务器。该漏洞用于访问服务器,然后能够在目标公司的网络中横向移动。与他们可能使用的其他漏洞利用相比,这是一个显着的区别:这个漏洞专门用于在受感染网络内横向移动;攻击者已经成功获得了对公司网络的初始访问权限。
【参考链接】
