金融威脅情報
Adobe 發布更新修復29個漏洞
亞馬遜電子閱讀器被曝存在安全漏洞
Cinobi 銀行木馬針對加密貨幣交易所用戶展開攻擊
Tag:Cinobi,銀行木馬,加密貨幣事件概述:
近日,趨勢科技發表報告稱在2020年全年和2021年上半年發現針對日本的惡意廣告攻擊活動。此次活動旨在竊取受害者加密貨幣帳戶憑據,主要目標為日本的加密貨幣交換網站。研究人員將此次針對 IE 瀏覽器以外的用戶的惡意廣告攻擊活動歸因於 Water Kappa 的一項新活動。新的惡意廣告活動表明 Water Kappa仍然活躍,且仍在不斷發展他們的工具和技術,旨在竊取加密貨幣,獲取更大的經濟利益。微步情報局建議您為了減少被感染的可能性,需警惕可疑網站上的可疑廣告,並儘可能只從可信的來源下載應用程式。技術詳情:
惡意攻擊者向目標投送色情遊戲、視頻軟體等應用程式廣告,雖然這些廣告主題不同,但均指向相同的惡意壓縮文件。受害者點擊「index.clientdownload.windows」的按鈕後,登陸頁面開始下載 ZIP 壓縮包和其他說明類型的可執行文件。攻擊者在此過程會對其訪問的 IP 地址進行過濾,非日本 IP 地址都會收到 1020 的報錯信息。解壓下載的惡意 ZIP 壓縮文件後發現,大多數文件是從舊版本的「 Logitech Capture 」應用程式中提取的合法文件,並且 LogiCapture.exe 具備合法的籤名。在此過程中,攻擊者還會濫用以籤名二進位代理執行等技術。
來源:
https://www.trendmicro.com/en_us/research/21/h/cinobi-banking-trojan-targets-users-of-cryptocurrency-exchanges-.html
「幣圈」最大迷惑行為:超6.1億美元加密貨幣在被劫持後,部分陸續退回帳戶
事件概述:
8月10日,跨鏈互操作協議 Poly Network 宣布遭黑客入侵,黑客利用其系統中的一個漏洞在30多分鐘內竊取了價值超6.1億美元的資產,包括8500萬美元 USDC、2.73億美元 ETH、2.53億美元代幣。隨後,該筆加密貨幣部分已陸續多批次返回至 Poly Network 要求的帳戶。Poly Network 於8月11日發表推文表示截至到8月11日下午4:18:39(UTC),已收回2.6億美元(Ethereum:$3.3M;BSC:$256M;Polygon:$1M);截至到8月12日上午08:18:29 (UTC),總共已收回3.42億美元(Ethereum:$4.6M,BSC:$252M,Polygon:$85M )。針對幣圈,加密貨幣失而復得的迷惑行為,一位聲稱實施了這次入侵的黑客表示,「這麼做是為了好玩,並希望在其他人利用這一漏洞前暴露這個漏洞」,還表示返回加密貨幣是計劃中的事情,並稱「對錢不感興趣」。
來源:
https://twitter.com/polynetwork2
變革運動:Cyberpartisans 組織竊取白俄羅斯內政部和警察局數據
事件概述:
近日,一名推特 ID 為「Tadeusz Giczan」的白俄羅斯記者在推特上發文稱,「Belarusian Cyberpartisans」 黑客組織在上個月入侵了白俄羅斯警方和內政部的伺服器。推文還稱該組織首先下載了整個「АИС Паспорт」資料庫,其中包含數百萬白俄羅斯公民的個人詳細信息,包括護照照片、家庭住址、工作地點等。該組織還下載了過去10年的緊急呼叫歷史記錄,併入侵了整個警察局資料庫,獲取了攝像機視頻的訪問權限,甚至獲取了警官的工作歷史信息,包括他們參與處理的案件信息。該黑客組織還下載了「IT-platoon」的所有細節內容,所謂的「IT-platoon」經營親政權的電報頻道,該組織甚至可以利用攝像頭監視他們。Cyberpartisans 組織於2020年9月成立,將自己描述為想要結束白俄羅斯「恐怖主義」政權並確保所有人享有平等權利的「非政治」黑客,這是他們的第五次網絡攻擊,在此之前該組織還入侵了「護照」系統,國家汽車檢驗局的資料庫,「102」呼叫服務的資料庫,以及內政部內部安全服務執法人員的資料庫。https://twitter.com/TadeuszGiczan/status/1424734527713382402
國家能源局發布關於開展可再生能源發電項目開發建設按月調度的通知
事件概述:
根據《國家發展改革委 國家能源局關於2021年可再生能源電力消納責任權重及有關事項的通知》和《國家能源局關於2021年風電、光伏發電開發建設有關事項的通知》要求,為進一步推動可再生能源發電項目開發建設,確保實現全年開發建設目標,國家能源局於8月5日發布《關於開展可再生能源發電項目開發建設按月調度的通知》,按月開展項目開發建設情況調度。1)建立可再生能源發電項目開發建設按月調度機制,對可再生能源發電項目從核准(審批、備案)、開工、建設、併網到投產進行全過程調度;2)相關單位於每月15日前將本省可再生能源發電項目開發建設情況統計匯總後直報『國家能源局新能源司』;3)國家電網於每月15日前將上月可再生能源項目開發建設情況報國家能源局能源司,南方電網、內蒙古電力公司將將企業經營區域內可再生能源項目併網、投產信息每月15日前報國家能源局新能源司;4)國家可再生能源信息管理中心每月20日前要將上月全國可再生能源電力開發建設情況形成月度監測評估報告報國家能源局新能源司,並抄報各省級能源主管部門。來源:
http://www.nea.gov.cn/2021-08/05/c_1310108966.htm
國家能源局綜合司關於開展電力中長期交易市場秩序專項監管工作的通知
事件概述:
為進一步規範電力中長期交易行為,維護市場秩序,按照《國家能源局關於印發<2021年能源監管重點任務清單>的通知》安排部署,經研究,定於2021年8月至12月開展電力中長期交易市場秩序專項監管工作,國家能源局於7月30日發表關於開展電力中長期交易市場秩序專項監管工作的通知。通知主要以貫徹落實國務院、國家能源局的若干意見、基本規則、通知為工作目標,以加強組織保障、主動配合監管、務求監管實效為工作要求。通知的工作內容主要包含以下六方面:
來源:
https://baijiahao.baidu.com/s?id=1707722998220064969
350億臺物聯網設備受硬體隨機數生成器(RNG)中的漏洞影響
事件概述:
近日,Bishop Fox 研究實驗室發表報告稱物聯網設備中硬體隨機數生成器(RNG)存在嚴重漏洞,全球350億物聯網設備受到影響。該漏洞會導致 RNG 無法正確生成隨機數,並且破壞其安全性使其面臨遭受攻擊的風險。隨機數是計算機安全基石之一,無論是用於身份驗證的 SSH 密鑰、授權的會話令牌,還是物聯網設備硬體運用,都發揮著巨大的作用。當物聯網設備需要隨機數時,它會通過 SDK 或物聯網作業系統調用專用硬體 RNG,當開發人員未能檢查錯誤代碼響應時,就會錯誤的調用硬體 RHG,這通常會導致與安全相關的使用所需的數字不那麼隨機。當物聯網設備選擇「0」或更糟糕的加密秘鑰,這可能導致使用的災難性崩潰。為了減緩 RNG 漏洞帶來的巨大災難:1)設備所有者應及時更新軟體,並將接入網際網路的家庭設備放置於外部訪問的專用網段中;2)物聯網設備開發商建議選擇包含從各種熵源(包括硬體 RNG)播種的 CSPRNG API 的 IoT 設備;3)設備製造商、物聯網作業系統應在 SDK中 棄用或禁用任何直接使用RNG HAL函數。
來源:
https://labs.bishopfox.com/tech-blog/youre-doing-iot-rng
Buffalo 和 Arcadyan 路由器被曝存在多個安全漏洞
事件概述:
Tenable 於8月3日披露 Arcadyan 製造的路由器中存在關鍵身份驗證繞過漏洞CVE-2021-20090, Buffalo 路由器中還存在CVE-2021-20091、CVE-2021-20093兩個漏洞。CVE-2021-20090 是導致身份驗證繞過的路徑遍歷關鍵漏洞。攻擊者可以利用該漏洞接管受影響設備的控制權。該漏洞可能會影響超過17家供應商(包括部分網際網路提供商)製造的數百萬的家庭路由器,以及其他使用相同易受攻擊代碼庫的其他物聯網設備。Arcadyan 製造的網絡設備的 Web 界面中存在路徑遍歷漏洞,包括 Buffalo WSR-2533DHPL2 固件版本 <= 1.02 和 WSR-2533DHP3 固件版本 <= 1.24,可能允許未經身份驗證的遠程攻擊者繞過身份驗證。據Juniper Networks 報導稱,該漏洞在野外被利用。CVE-2021-20091是配置文件注入漏洞,Buffalo WSR-2533DHPL2 固件版本 <= 1.02 和 WSR-2533DHP3 固件版本 <= 1.24 受到此漏洞的影響。經過身份驗證的遠程攻擊者可以利用此漏洞來更改設備配置,從而可能獲得遠程代碼執行。CVE-2021-20092是不正確的訪問控制漏洞,Buffalo WSR-2533DHPL2 固件版本 <= 1.02 和 WSR-2533DHP3 固件版本 <=1.24會受到該漏洞的影響。該漏洞是由於 Web 界面沒有正確限制未經授權的參與者對敏感信息的訪問造成的。
來源:
https://zh-cn.tenable.com/security/research/tra-2021-13?tns_redirect=true
FlyTrap 惡意軟體入侵了數千個 FaceBook 帳戶
Tag:FlyTrap,Facebook,Android事件概述:
Zimperium 在近期發表報告稱發現一種名為 FlyTrap 的 Android 木馬。該木馬主要通過 Google Play 商店、第三方應用程式商店的惡意 App 分發傳播。自2021年3月以來,該木馬至少襲擊了144個國家,感染了10,000多名受害者。惡意攻擊者誘使用戶下載包含惡意木馬的 App,進行交互、竊取 Facebook 憑據及其他敏感信息,然後通過社會工程進一步傳播惡意軟體。研究人員表示包含該惡意銀行木馬的9款App(GG Voucher、Vote European Football 、GG Coupon Ads、GG Voucher Ads、GG Voucher 、Chatfuel、Net Coupon 、Net Coupon 、EURO 2021 Official)均已在 Google Play 商店下架,但這些惡意 App 仍然可以從第三方應用程式商店下載。攻擊者利用免費的優惠券代碼、最佳球員/球隊投票等極具吸引力的主題誘使目標從 Google Play 商店和第三方應用商店下載並信任該惡意程序。當受害者完成安裝惡意軟體後,會引導受害者做出響應,直到界面顯示偽造的 Facebook 登錄頁面,然後要求受害者登錄 Facebook 帳戶獲取優惠券或進行投票。當受害者一旦登錄成功後,惡意木馬會通過 JavaScript 注入技術來竊取受害者的 Facebook ID、位置、電子郵件地址、IP 地址以及關聯的 Cookie 等信息,然後在網際網路上洩露竊取的 Cookie 信息。
來源:
https://blog.zimperium.com/flytrap-android-malware-compromises-thousands-of-facebook-accounts/
新加坡電信公司數據遭到洩露,5萬多名客戶受到影響
來源:
https://www.starhub.com/personal/support/article.html?id=tqdsBjPnOT909cZEvklcL7
APT29—覬覦全球情報的國家級黑客組織(中)
事件概述:
繼8月6日微步情報局發布「APT29—覬覦全球情報的國家級黑客組織」上篇之後,8月11日再次發布「APT29—覬覦全球情報的國家級黑客組織」中篇。中篇主要揭開2020年12月曝光的 Solarwinds 供應鏈攻擊活動背後組織的面紗,從多個角度關聯歸因至國家級黑客組織 APT29。在對 APT29 組織的研究過程中,其歸因結論主要由美國、英國、加拿大、瑞士等國家情報機構以及其本土安全公司提供,然後其他媒體機構對歸因結論進行傳播擴散。在公開披露的調查報告中,因為信息涉密問題,多數歸因證據進行了閹割脫敏處理。微步情報局研究人員在研究梳理 APT29 關聯歸因證據過程中,過濾掉以媒體機構為主的主觀性較強並且缺乏切實證據的新聞信息,側重於總結第三方安全機構調查報告中披露的具有指向性的客觀線索,並按照上篇劃分的 APT29 組織結構分開梳理其關聯歸因證據。 來源:
https://mp.weixin.qq.com/s/Ln7iBm-Go17CQhIaRNHD0Q
疑似伊朗威脅組織 ITG18 部署 Android 後門展開攻擊活動
事件概述:
近日,IBM Security X-Force 報導稱,疑似伊朗威脅組織「ITG18」利用部署 Android 後門 LittleLooter 在伊朗總統大選前夕針對伊朗改革派開展攻擊活動,竊取敏感信息。ITG18 在最近的攻擊活動主要通過 Telegram帳戶竊取信息,這也是伊朗唯一允許使用的即時通訊應用程式之一。研究人員還稱該組織的 TTP 與被稱為 Charming Kitten、Phosphorus 和 TA453 的威脅組織重疊。ITG18 在2020年8月至2021年5月期間曾針對多名支持伊朗改革主義運動的人員進行攻擊,破壞其個人網絡郵件和社交媒體帳戶,並依靠於社會工程學來收集受害者相關信息。鑑於活動的時間安排和目標,研究人員表示這可能是為了支持在2021年6月伊朗總統選舉之前實現監視目標。研究人員還指出,此次攻擊活動中的惡意軟體能夠錄製視頻和音頻,上傳、下載、刪除文件,查看網絡速度、網絡連接、已安裝的應用程式,收集聯繫方式、SIM卡信息等信息。該惡意軟體通過 HTTP POST 請求和響應與 C2 伺服器建立通信,並通過 BASE64編碼、AES 加密和 GZIP 進行壓縮。IBM 在文章中還表示,ITG18 的行動仍在繼續。
來源:
https://securityintelligence.com/posts/itg18-operational-security-errors-plague-iranian-threat-group/
Adobe 發布更新修復29個漏洞
事件概述:
Adobe 於8月10日發布了最新的安全產品更新,總共修復了29個漏洞。此次更新包括 Adobe Connect 更新和 Magento Commerce 、Magento Open Source 的更新。惡意攻擊者成功利用這些漏洞可能導致任意代碼執行。Adobe Connect 11.2.2 及更早版本,Magento Commerce 2.4.2 及更早版本、 2.4.2-p1 及更早版本、2.3.7 及更早版本, Magento Open Source 2.4.2-p1 及更早版本會受到這些漏洞的影響。Adobe 還建議用戶通過以下步驟自動更新他們的軟體:對於 Magento 更新,您需要下載相應的補丁並手動安裝。來源:https://helpx.adobe.com/security.html
亞馬遜電子閱讀器被曝存在安全漏洞
事件概述:
Check Point 於近日發表報告披露亞馬遜電子閱讀器(Amazon Kindle)存在安全漏洞。攻擊者通過誘使受害者打開部署的惡意電子書,觸發存在的安全漏洞來控制特定人群的 Kindle 設備,竊取敏感信息。攻擊者也可利用該漏洞刪除 Kindle 中的電子書,或者攻擊用戶本地網絡中的其他設備。Amazon Kindle 自出售以來,約售出數千萬臺,其存在的漏洞如果被惡意攻擊者利用,會造成嚴重的影響。Check Point 於2021年2月向亞馬遜披露了Amazon Kindle 設備的安全漏洞,亞馬遜於 2021 年 4 月在 Kindle 固件更新的 5.13.5 版本中部署了修復程序,修補後的固件會自動安裝在連接到網際網路的設備上。來源:
https://blog.checkpoint.com/2021/08/06/amazon-kindle-vulnerabilities-could-have-led-threat-actors-to-device-control-and-information-theft/
全球財富500強諮詢公司埃森哲遭受勒索軟體攻擊
2021年8月11日,全球財富500強諮詢公司埃森哲疑似遭到「LockBit」勒索軟體攻擊。該公司在其一份聲明中表示在發現了不合規的活動後,立即控制了事態,隔離了受影響的伺服器,並且從備份中完全恢復了受影響的系統。埃森哲還表示此次攻擊事件不會對運營和客戶系統產生影響,但並未公布關於此次事件的具體細節信息。
來源:
https://www.inforisktoday.com/accenture-hit-by-apparent-ransomware-attack-a-17265
遊戲開發商 Crytek 確認遭到 Egregor 勒索軟體攻擊
2021年8月10日,遊戲開發商和發行商 Crytek 確認 Egregor 勒索軟體團夥於 2020 年 10 月入侵了其網絡加密系統,並竊取了包含客戶個人信息的文件。該團夥將竊取的文件發布在其暗網的洩密網站。此次事件洩露的信息包括個人姓名、職務、公司名稱、電子郵件、公司地址、電話號碼、國家/地區、 WarFace 相關的文件、Crytek 取消了 MOBA 遊戲《命運競技場》以及包含有關其網絡操作信息的文檔。攻擊者在釣魚活動中使用新的技術進行防禦規避
微軟在針對以發票為主題的 XLS.HTML 網絡釣魚活動調查發現,網絡犯罪分子在不斷的更換混淆和加密機制,其防禦規避和憑據竊取的技術也在不斷提高。這些網絡釣魚活動主要的目標是收集用戶名、密碼及包括 IP 地址和位置在內的其他信息。這些網絡釣魚活動在技術上也進行了多次迭代,從純文本 HTML 到編碼段的轉換,在第三方站點上託管分段和多種編碼機制,使用摩爾電碼、編碼包裝器,引入新的信息竊取模塊等。來源:微步情報局,即微步在線研究響應團隊,負責微步在線安全分析與安全服務業務,主要研究內容包括威脅情報自動化研發、高級 APT 組織&黑產研究與追蹤、惡意代碼與自動化分析技術、重大事件應急響應等。
內容轉載與引用
1. 內容轉載,請微信後臺留言:轉載+轉載平臺+轉載文章
2. 內容引用,請註明出處:以上內容引自公眾號「微步在線研究響應中心」