【惡意軟件威脅情報】
Abcbot僵尸網(wǎng)絡(luò)與Xanthe加密劫持惡意軟件有關(guān)
1月10日,研究人員發(fā)布報告稱,新興僵尸網(wǎng)絡(luò)Abcbot與幾年前基于Xanthe惡意軟件的加密劫持活動存在明顯聯(lián)系。研究人員認為,Xanthe 和 Abcbot由同一攻擊者開發(fā),并且其活動目標(biāo)發(fā)生了轉(zhuǎn)變,從在受感染主機上挖掘加密貨幣,轉(zhuǎn)向更傳統(tǒng)的與僵尸網(wǎng)絡(luò)相關(guān)的活動,例如 DDoS 攻擊。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3027
攻擊者利用新冠疫情為誘餌,傳播RedLine新變種
RedLine是一種流行的商品惡意軟件,于2020年3月首次被披露。近日,研究人員發(fā)現(xiàn)了RedLine軟件的新變體,該變體偽造成Omicron數(shù)據(jù)計數(shù)器應(yīng)用程序,通過電子郵件分發(fā)。此次活動是一次廣泛的攻擊,潛在受害者分布在 12 個國家或地區(qū),攻擊者并未針對特定組織或個人。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3030
FluBot惡意軟件通過虛假Flash Player應(yīng)用傳播
FluBot是一種 Android 銀行木馬,通常通過 SMS 消息進行傳播,可以竊取網(wǎng)上銀行憑據(jù)、發(fā)送或攔截 SMS 消息,并捕獲屏幕截圖。研究人員發(fā)現(xiàn),在最新的攻擊活動中,攻擊者使用 SMS 文本,通過虛假Flash Player應(yīng)用分發(fā)FluBot惡意軟件。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3021
木馬化dnSpy應(yīng)用分發(fā)惡意軟件
1月上旬,研究人員發(fā)現(xiàn)了一場復(fù)雜的惡意軟件活動,攻擊者利用木馬化版本的dnSpy,分發(fā)一系列惡意軟件。此次惡意活動針對的目標(biāo)為網(wǎng)絡(luò)安全研究人員和開發(fā)人員。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3026
SysJoker:針對多平臺的新型后門
2021年12月,研究人員發(fā)現(xiàn)了一個針對 Windows、Mac 和 Linux 的多平臺新型后門,研究人員將這個后門命名為SysJoker。SysJoker惡意軟件是用 C++ 編寫的,每個樣本都是針對目標(biāo)操作系統(tǒng)定制的,VirusTotal 中完全未檢測到 macOS 和 Linux 樣本。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3032
TellYouThePass勒索軟件新樣本使用Go語言編譯
TellYouThePass是一種出于經(jīng)濟動機的勒索軟件,于2019年初首次被披露。已知的 TellYouThePass 勒索軟件樣本是用 Java 或 .Net 等編程語言編寫的,但近日,研究人員發(fā)現(xiàn)了用 Golang語言重寫和編譯的TellYouThePass樣本,新的樣本可以針對windows和Linux操作系統(tǒng)。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3038
【熱點事件威脅情報】
KCodes NetUSB的RCE漏洞影響數(shù)百萬臺路由器
研究人員在KCodes NetUSB內(nèi)核模塊中發(fā)現(xiàn)了一個被追蹤為 CVE-2021-45388 的高嚴重性遠程代碼執(zhí)行漏洞,該漏洞可影響數(shù)百萬路由器設(shè)備。
NetUSB 是KCodes開發(fā)的產(chǎn)品,允許網(wǎng)絡(luò)中的遠程設(shè)備與連接到路由器的 USB 設(shè)備進行交互。該產(chǎn)品已授權(quán)給大量其他供應(yīng)商,包括Netgear、TP-Link、Tenda、EDiMAX、DLink和Western Digital。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3031
美國加州草谷市遭到黑客入侵,導(dǎo)致市民個人信息泄露
2022年1月7日,美國加利福尼亞州草谷市披露了一起數(shù)據(jù)泄露事件。攻擊者于2021年4月13日至2021年7月1日獲得了對草谷城市網(wǎng)絡(luò)計算機系統(tǒng)的訪問權(quán)限,并竊取了一些文件。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3025
薩爾瓦多記者手機遭Pegasus間諜軟件入侵
1月12日,公民實驗室發(fā)布報告稱,在2020 年 7 月至 2021 年 11 月期間, NSO 公司的 Pegasus 間諜軟件感染了35 名薩爾瓦多記者和民間社會成員的手機。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3040
多名FIFA 22玩家賬號被黑
近日,多名EA Sports FIFA 22玩家遭到黑客攻擊,因此無法訪問他們的個人EA和電子郵件帳戶,黑客還從FUT俱樂部竊取了玩家的游戲幣和個人信息。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3039
【醫(yī)療衛(wèi)生威脅情報】
Mespinoza勒索團伙持續(xù)攻擊美國醫(yī)療行業(yè)
1月6日,美國衛(wèi)生與公眾服務(wù)部(HHS)發(fā)布警告,提醒醫(yī)療保健部門注意 Mespinoza網(wǎng)絡(luò)犯罪團伙正在進行的網(wǎng)絡(luò)攻擊活動,該組織在過去兩年中通過 Pysa 勒索軟件持續(xù)攻擊醫(yī)療保健部門。Mespinoza團伙運營一個名為 Pysa's Partners 的泄密網(wǎng)站,對受害者施加額外壓力,迫使受害者支付贖金。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3028
【政府部門威脅情報】
菲律賓選舉委員會被黑,泄露選民敏感數(shù)據(jù)
據(jù)菲律賓《馬尼拉公報》報道,2022年1月8日,不明身份的黑客入侵了菲律賓選舉委員會(Comelec)的系統(tǒng),竊取了大約60G的“敏感信息”和其他數(shù)據(jù)。
2022年的菲律賓總統(tǒng)選舉將于5月9日舉辦,選出新一屆總統(tǒng)、副總統(tǒng)、國會議員、地方行政長官和議員等。距離大選不到4個月,菲律賓選舉委員會(Comelec)的系統(tǒng)卻遭到黑客入侵。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3035
【攻擊團伙威脅情報】
FIN7組織試圖利用惡意U盤,入侵美國國防公司
1月7日,美國聯(lián)邦調(diào)查局(FBI)發(fā)布警報稱, FIN7犯罪團伙在過去幾個月中向美國國防工業(yè)的公司寄送了惡意USB設(shè)備,試圖部署勒索軟件。
FIN7 所嘗試的攻擊被稱為 HID 或 USB 驅(qū)動攻擊,只有當(dāng)受害者愿意或被誘騙將未知 USB 設(shè)備插入其設(shè)備時,攻擊過程才能成功開展。因此,研究人員建議用戶不要在設(shè)備上使用未知來源的USB。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3022
【高級威脅情報】
Patchwork APT組織針對某醫(yī)療衛(wèi)生機構(gòu)相關(guān)人員與巴基斯坦國防官員攻擊活動分析
Patchwork(白象、摩訶草、APT-C-09、Dropping Elephant)是一個疑似具有印度國家背景的APT組織,長期針對中國、巴基斯坦等南亞地區(qū)國家的政府、醫(yī)療、科研等領(lǐng)域進行網(wǎng)絡(luò)攻擊竊密活動。近期安恒威脅情報中心獵影實驗室捕獲到多個Patchwork組織攻擊活動樣本,本次樣本主要通過魚叉式釣魚郵件進行傳播,樣本以“登記表”和“巴基斯坦國防官員住房登記表”等相關(guān)內(nèi)容作為誘餌,最終釋放“BADNEWS”后門程序進行竊密活動。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3029
疑似蔓靈花APT組織針對巴基斯坦航空綜合部門攻擊活動分析
蔓靈花(Bitter)是一個被廣泛認為來自印度的APT組織,該組織長期針對我國及巴基斯坦的政府、軍工、電力、核等部門發(fā)動網(wǎng)絡(luò)攻擊,竊取敏感數(shù)據(jù),具有較強的政治背景。
近期安恒威脅情報中心獵影實驗室捕獲到一個疑似蔓靈花組織針對巴基斯坦“航空領(lǐng)域”的攻擊活動樣本。該樣本使用名為“PAC Advisory Committee Report.doc”的誘餌文檔進行攻擊。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3024
美國網(wǎng)絡(luò)司令部披露:MuddyWater組織與伊朗情報機構(gòu)有關(guān)
1月12日,美國網(wǎng)絡(luò)司令部(USCYBERCOM)發(fā)布報告,正式將 MuddyWatter 黑客組織與伊朗情報與安全部 (MOIS) 聯(lián)系起來。
MOIS 是伊朗政府的主要情報機構(gòu),負責(zé)協(xié)調(diào)該國的情報和反間諜活動,以及支持伊斯蘭政權(quán)在伊朗境外的秘密行動。
MuddyWater是來自伊朗的APT組織,又名 SeedWorm 和 TEMP.Zagros,于 2017年首次被發(fā)現(xiàn),主要針對中東國家,也針對歐洲、北美和亞洲國家。美國網(wǎng)絡(luò)司令部表示,MuddyWater 是伊朗情報與安全部 (MOIS) 的下屬部門。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3037
APT35組織利用 Log4j 漏洞分發(fā)新型模塊化后門
APT35是疑似伊朗國家支持的APT組織,又名 Charming Kitten、TA453 或 Phosphorus。1月11日,研究人員披露,該組織正利用Log4Shell漏洞,釋放新的模塊化PowerShell后門。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3033
海蓮花組織使用Web存檔文件部署后門
OceanLotus(海蓮花)組織又名APT32和SeaLotus,是一個以政府和記者為目標(biāo)的東南亞APT組織。近日,研究人員發(fā)現(xiàn),OceanLotus組織正使用WEB存檔文件(.MHT 和 .MHTML)部署后門。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3036
BlueNoroff組織攻擊加密貨幣初創(chuàng)公司
lueNoroff組織是一個出于經(jīng)濟動機的威脅團伙,是朝鮮Lazarus APT組織的子組織。1月13日,研究人員披露了BlueNoroff發(fā)起的復(fù)雜網(wǎng)絡(luò)釣魚和社會工程攻擊活動,此次活動的主要目標(biāo)為加密貨幣初創(chuàng)公司。
參考鏈接:https://ti.dbappsecurity.com.cn/info/3041
文章來源:E安全