安全威胁情报周报（7.18~7.24）

Uniswap加密货币交易所遭到攻击，损失800万美元

Tag：加密货币，Uniswap

事件概述：

Uniswap 是一家流行的去中心化加密货币交易所，运行在使用去中心化网络协议的以太坊区块链。该协议使用智能合约促进了以太坊区块链上加密货币代币之间的自动交易。Uniswap 在近日遭到复杂的网络钓鱼攻击导致价值近800万美元的加密货币损失，波及诸多数字货币用户。

技术手法：

攻击者通过区块链浏览器提供虚假信息来误导用户，并利用空投免费 UNI 代币的诱饵，将受害者重定向到虚假的钓鱼网站，诱使受害者授予攻击者对其账户的完全访问权限，以此成功访问受害者所有的 USDT 并将加密货币转移到自己控制的钱包，洗钱后将加密货币收入囊中。

来源：

https://blog.checkpoint.com/2022/07/12/8-million-dollars-stolen-in-a-uniswap-phishing-attack/

以色列卫生部网站遭黑客攻击，海外访问受阻

Tag：以色列，卫生部

事件概述：

近日，以色列卫生部网站由于遭到网络攻击，卫生部暂停了国外地区访问网站的请求，导致海外用户面临无法正常访问卫生部网站的问题。但该网站仍为当地以色列人提供服务。以色列负责维护互联网服务的国家组织内部和电子政务部已介入处理此次攻击事件。

此外，以色列媒体的报道疑似指出了此次攻击的幕后黑手，一个自称为Altahrea Team 的亲伊朗黑客声称对此次网络攻击负责，且该组织在其 Telegram 频道称此次瞄准以色列卫生部发动攻击是因为以色列在近期轰炸了加沙地带，以及在俄乌战争中站队乌克兰。Altahrea Team 组织还声称在一周前曾利用 DDoS 袭击了特拉维夫市政府网站，政府站服务器几乎同时淹没在恶意流量请求中。

来源：

https://www.i24news.tv/en/news/israel/defense/1658119439-israel-health-ministry-website-faces-cyberattack-oversea-access-blocked

工控新威胁：利用 Sality 恶意软件感染系统

Tag：僵尸网络，Sality

事件概述：

近日，各种社交媒体网站的多个帐户都在宣传售卖可编程逻辑控制器 (PLC)、人机界面 (HMI) 和项目文件密码破解软件。这些软件承诺可破解 Automation Direct、欧姆龙、西门子、富士电机、三菱、LG、Vigor、Pro-Face、Allen Bradley、Weintek 的 PLC 和 HMI（人机界面）终端， ABB、松下的工控系统的密码。

随后，工业网络安全公司研究人员在 Automation Direct 的 DirectLogic PLC 的安全事件中，发现密码"破解"软件正在利用设备中的固件漏洞 CVE-2022-2003，根据命令检索密码，而不是像宣传的那样直接破解密码。恶意软件还部署 Sality 恶意软件挖掘加密货币、终止进程、打开与远程站点的连接、下载额外的有效负载或从主机窃取数据。该恶意软件还可以将自身注入正在运行的进程中，并滥用 Windows 自动运行功能将自身复制到网络共享、外部驱动器和可移动存储设备上，从而将其传送到其他系统。

来源：

https://www.dragos.com/blog/the-trojan-horse-malware-password-cracking-ecosystem-targeting-industrial-operators/

谷歌商店再曝存在高下载量的 Android 恶意软件 Autolycos

Tag：Android，Autolycos，谷歌商店

事件概述：

谷歌商店于近日被曝存在一个旨在欺骗用户订阅高级服务的新 Android 恶意软件Autolycos ，下载量超 300 万次。Autolycos 恶意软件主要执行隐蔽的恶意操作，在远程浏览器上执行 URL，然后将结果包含在HTTP请求中，而不是使用Webview，以此躲避设备的安全检测；恶意软件还会请求读取 SMS 内容的权限，从而允许应用程序访问受害者的 SMS 文本消息；以及在社交媒体上发起大量的广告活动向新用户推广这些恶意应用程序。

研究人员还指出 Autolycos 恶意软件至少存在于8个 Android 应用程序中。截至目前，谷歌商店已将发现的恶意软件均已下架。为了抵御这些威胁，Android 用户应监控后台互联网数据和电池消耗，保持 Google Play Protect 处于活动状态，并尽量减少在智能手机上安装应用程序。

来源：

https://www.bleepingcomputer.com/news/security/new-android-malware-on-google-play-installed-3-million-times/

抓住这只内鬼：Syslogk Rootkit ！

Tag：Syslogk，Rootkit

事件概述：

近日，微步在线研究响应中心安全研究人员通过持续对互联网上恶意软件的跟进，发现了一个名为 Syslogk 的恶意软件。Syslogk 至少最早出现于2022年2月，它采用了内核态 Rootkit + ELF 后门组合，实现了集 Rootkit 与后门一体化。相关资料指出 Syslogk Rootkit 会与其产生的虚假SMTP服务经过特定的数据验证后，再接受特定的数据即可产生后门。Syslogk 主要功能有隐藏进程、隐藏目录，它将持续监听网络流量，一旦接受到黑客发送特定的数据包，就会去触发隐藏在受害机上的后门，会反弹一个可以执行任意命令的 shell。恶意软件利用这些特性可以降低其自身被相关防护设备检测到的风险。而且还可以加载一个名为 “Rekoobe” 的后门，这个 Rootkit 通常在系统中处于休眠状态，直到收到攻击者发送的“敲门”数据包后门才会生效。近几年，“敲门砖”式后门越发盛行，似乎这是后门木马的一个新的风向标。内核级的 Rootkit 难以发现和清除，各厂商应该加强自身的防护，提高网络安全事件应急处置能力，以免损失进一步扩大。

更多内容需查看“抓住这只内鬼：Syslogk Rootkit ！”。

来源：

https://mp.weixin.qq.com/s/8sp1FTKlOTdCD5-PTG1ZKQ

俄罗斯威胁组织APT29使用在线存储服务瞄准大使馆展开攻击

Tag：俄罗斯，APT29

事件概述：

APT29 组织（又名 SVR、Cozy Bear、Cloaked Ursa和 The Dukes）是具有俄罗斯背景的威胁组织，至少从 2014 年开始活跃。该组织曾与 APT28 一起策划参与了民主党全国委员会的攻击活动和针对 2016 年美国总统的攻击活动。近日，研究人员监测发现该威胁组织在最近的攻击活动中使用 Google Drive 和 Dropbox 云存储服务来躲避检测。此次活动旨在2022年5月至2022年6月期间针对外国驻葡萄牙大使馆和外国驻巴西大使馆等多个西方外交使团展开攻击。

技术手法：

威胁组织通过投递包含托管恶意 HTML 文件（EnvyScout）链接的网络钓鱼邮件，以大使会议议程相关事项为诱饵，诱使受害者点击文档，利用充当加载器的恶意文件加载包括 Cobalt Strike 等恶意载荷。由于威胁组织利用了集成的云存储服务 Google Drive 和 Dropbox 实现逃避检测，大大提高了自身的防御规避能力。

来源：

https://unit42.paloaltonetworks.com/cloaked-ursa-online-storage-services-campaigns/

Windows 网络文件系统被曝存在 NFS 远程代码执行漏洞

Tag：Windows，文件系统，NFS

事件概述：

近日，安全研究人员披露了影响 Windows 网络文件系统的远程代码执行漏洞 CVE-2022-30136。该漏洞是由于对 NFSv4 请求的处理不当造成的。远程攻击者可以通过向目标服务器发送恶意 RPC 利用此漏洞，成功利用可以在系统文件目录中实现任意代码执行；未成功利用此漏洞可能会导致目标系统的崩溃。由于 NFSv4 版本使用了OncRpcBufMgrpAllocate 函数，所有该版本文件系统均受此次漏洞的影响。

微软发布了多个缓解漏洞的方法：1）禁用 NFSv4.1 ，但可能会导致功能丧失；2）漏洞应用更新，建议安装了 CVE-2022-26937 的修复程序的设备更新修复应用程序，否则不建议使用此漏洞的更新。此外，微软还建议用户选择合适的方法缓解漏洞造成的影响。

来源：

https://www.zerodayinitiative.com/blog/2022/7/13/cve-2022-30136-microsoft-windows-network-file-system-v4-remote-code-execution-vulnerability

2022年7月13日

Lilith勒索软件采用双重勒索策略
研究人员发现了一个名为 Lilith 的新勒索软件攻击活动，该勒索软件是基于C/C++控制台的勒索软件，适用于Windows 64位版本，执行双重勒索攻击。该勒索软件在启动加密过程之前，会在所有枚举文件夹上创建并放置勒索信，EXE、DLL、SYS不在加密文件的范围内。最后，Lilith 勒索软件会使用 Windows 加密API进行加密，利用 Windows 的 CryptGenRandom 函数生成随机密钥。
截至目前，Lilith 数据泄露站点上已公布存在受害者。
来源：
https://www.bleepingcomputer.com/news/security/new-lilith-ransomware-emerges-with-extortion-site-lists-first-victim/

2022年7月14日

新的网络钓鱼攻击针对PayPal用户窃取信息
外媒报道指出针对 PayPal 用户的网络钓鱼工具包试正在试图窃取受害者的大量敏感数据，包括政府身份证件和照片。该工具包托管在被黑客入侵的合法 WordPress 网站上，使用伪装成 PayPal 网站的欺诈页面，诱使受害者输入社会安全号码、母亲未婚时的姓氏、甚至在 ATM 机上交易时卡的 PIN 码。之后要求受害者将他们的电子邮件帐户链接到 PayPal，并要求受害者通过官方身份证件以确认他们的身份，以此完成欺诈，窃取用户信息。
来源：
https://www.bleepingcomputer.com/news/security/paypal-phishing-kit-added-to-hacked-wordpress-sites-for-full-id-theft/

点击下方片，关注我们

第一时间为您推送最新威胁情报