安全威胁情报周报（7.25~7.31）

一周威胁情报摘要

区块链音乐平台 Audius 被曝遭黑客攻击，损失600万美元

Tag：区块链，Audius ，货币失窃

事件概述：

Audius 是一个托管在以太坊区块链上的去中心化流媒体平台，艺术家可以通过分享他们的音乐来赚取 AUDIO 代币，用户可以通过策划和收听内容来赚取 AUDIO 代币。上周末，去中心化音乐平台 Audius 被曝遭到黑客攻击，黑客窃取了超过1800万 AUDIO 代币，价值约600万美元，但对代币供应流通没有产生影响。Audius 在发现攻击后，立即冻结了相应服务，直到开发人员部署了修复程序。截至7月23日，AUDIO 代币恢复正常运营，但“Staking”和“Delegate Manager”智能合约系统尚未恢复正常运营。

技术手法：

黑客利用了合约初始化代码中的一个漏洞，重复调用初始化函数，将社区金库有的1850万个AUDIO代币转移到他们的钱包中，窃取了大量资金并改变了平台的治理动态。之后，该攻击者试图执行四项治理提案，其中三项失败，一项通过，然后将整个Audius 社区池货币转移到攻击者的钱包。

来源：
https://www.bleepingcomputer.com/news/security/hackers-steal-6-million-from-blockchain-music-platform-audius/

意大利税务局疑似遭到 Lockbit 勒索软件团伙入侵

Tag：税务机构，Lockbit，勒索软件

事件概述：

近日，Lockbit 勒索软件团伙声称入侵了意大利税务局（Agenzia delle Entrate），并将该政府机构添加到其暗网泄密网站上的受害者名单。Lockbit勒索软件团伙还称从该机构窃取了78GB的数据，包括公司文件、扫描件、财务报告、合同、文件和样本等文件信息。目前尚不清楚 Lockbit 勒索软件团伙是否已经联系意大利政府索要的赎金，但据发布的勒索信显示 Lockbit 勒索软件团伙给了该机构 5 天的时间来支付勒索软件，截至7月31日，如果尚未交付赎金将泄露窃取的税务局数据。

目前，此次袭击尚未得到证实。由于该机构为意大利和非意大利纳税人提供多种在线服务，如果证实遭到攻击，此次攻击可能是意大利政府机构遭受的最严重的攻击事件之一。

来源：
https://securityaffairs.co/wordpress/133640/cyber-crime/lockbit-ransomware-italian-revenue-agency.html

Nuki 智能锁被曝存在11个严重漏洞

Tag：智能锁，漏洞

事件概述：

Nuki Home Solutions 是一家位于奥地利格拉茨的欧洲智能家居解决方案供应商。近日，该厂商 Nuki 智能锁被曝存在多个严重漏洞。其中，CVE-2022-32509 漏洞是由于没有在其智能锁和 Bridge 设备上实施SSL/TLS证书验证，使得攻击者可以执行中间人攻击并访问通过加密通道发送的网络流量，Nuki 智能锁3.0版受到影响。Nuki 智能锁中还存在堆栈缓冲区溢出漏洞CVE-2022-32504、CVE-2022-32502，分别会影响Nuki智能锁3.0版和Nuki Bridge 1版本。此外，Nuki 智能锁中还存在访问控制破坏、未加密通道发送敏感信息、数据包拒绝服务、不安全的邀请密钥实施等漏洞。

研究人员于2022年4月20日向Nuki报告了漏洞，6月9日，Nuki Home Solutions 公司针对所有漏洞发布相关补丁。

来源：
https://www.hackread.com/nuki-smart-locks-vulnerabilities-plethora-attack-options/

朝鲜威胁组织 APT37 使用 Konni RAT 瞄准欧盟国家展开攻击

Tag：APT37，Konni ，朝鲜

事件概述：

近日，研究人员监测到疑似来自朝鲜威胁组织 APT37 针对捷克共和国、波兰和其他欧洲国家的高价值组织的攻击活动 STIFF#BIZON 。威胁组织在此活动中主要使用了APT37 组织的攻击策略及 Konni 恶意软件在内的工具集展开攻击，但此次攻击活动中的 IP 地址、托管服务提供商、主机名与俄罗斯威胁组织 FancyBear 历史活动存在直接关联，所以此次活动中组织归因存在不确定性。

技术手法：

攻击链感染始于网络钓鱼电子邮件，这些电子邮件试图诱导受害者打开恶意附件，后台静默执行 base64 编码的有效载荷，启动 C2 通信下载和运行doc 和 vbs 文件，并在受害者设备上创建计划任务执行 PowerShell 脚本，与 C2 再次建立通信，为攻击者提供对系统的访问权限。然后将在受害者内部窃取的凭据等信息通过命令与控制通道回传到 C2 服务器。

来源：
https://www.securonix.com/blog/stiffbizon-detection-new-attack-campaign-observed/

540万 Twitter 帐户数据在黑客论坛挂售

Tag：Twittr，数据泄露

事件概述：

7月21日，一个名为"devil"黑客在暗网市场上以 30,000 美元的价格出售声称属于 Twitter 的数据。该数据库包含5485636个 Twitter 账户信息，其中包括名人、公司和随机用户信息。黑客称在2021年12月通过收集数据漏洞收集Twitter账户数据。该漏洞已于 1 月 1 日通过 HackerOne 向 Twitter 报告漏洞信息，Twitter 于1 月 13 日修复相关漏洞。该漏洞允许任何未经身份验证的人员通过提交电话号码/电子邮件来获取任何用户的Twitter ID （这几乎等于获取帐户的用户名），即使用户已在隐私设置中禁止此操作。

截至目前，黑客论坛出售的部分 Twitter 数据已经过核实是真实数据，但目前尚无法确定出售的540万个账户全部有效。

来源：
https://www.bleepingcomputer.com/news/security/hacker-selling-twitter-account-data-of-54-million-users-for-30k/

微步捕获 Coremail 邮件客户端 0day 攻击，请立刻升级

Tag：Coremail，漏洞，0day

事件概述：

近日，微步捕获到 Windows 版 Coremail 邮件客户端的 RCE（远程代码执行）漏洞在野利用，漏洞利用过程简单且稳定，攻击者可以通过执行任意代码完全控制受害者主机。经分析验证，攻击者给受害者发送一封精心构建的邮件，当受害者用 Coremail 客户端打开邮件，即可自动运行邮件附件中的恶意可执行程序，全程不需要受害者点开任何邮件中的链接或附件，打开邮件即中招。由于该事件危害巨大，影响范围较广，微步建议您采取以下处置建议及时升级修复：

1、紧急临时缓解措施：

暂停使用受此漏洞影响的 Coremail 客户端版本，如需使用，可临时改用网页版等其他平台客户端。

如果企业部署了桌面管理系统，可以限制 Coremail 客户端执行包括exe、bat、ps1、vbs 等可执行文件/脚本。

微步在线旗下的终端检测与响应平台 OneEDR 已支持检测及防护该漏洞。

2、官方修复方案：

Coremail 官方已经发布该漏洞相关修复补丁，我们建议尽快将 Window 版 Coremail 客户端更新至最新版。Coremail 官方提供的下载链接如下：

https://lunkr.cn/dl?p=pc

https://lunkr.cn/dl?p=mail&arch_type=win64.exe

来源：
https://mp.weixin.qq.com/s/nq3yIInv8-79J_vTnQUzSw

警惕利用漏洞话题在 Github 上发起的投毒攻击

Tag：Coremail，漏洞，0day

事件概述：

近日，微步情报局监测发现攻击者以国内安全产品远程代码执行漏洞为诱饵，在 Github 网站传播带有远控木马的恶意脚本，旨在以热点话题瞄准全行业实现内网入侵。此事起源于匿名用户在微步X情报社区发布消息称发现“红队投毒项目”，经研究人员分析排查发现，该项目由名为 FuckRedTeam 的 github 用户于2022年7月24日发布，号称为国内某安全厂商产品的远程执行漏洞脚本。研究人员在对其解码、AES解密，但由于C2已失活，未能进一步获取恶意代码。

微步建议您采取以下处置建议：1）切勿轻信网络传播所谓的安全检测脚本/工具，防止被黑客利用：2）根据威胁情报，排查网络中是否再存失陷情况。建议相关企业关注此类攻击手法，并根据文章附件 IOC 及时排查相关企业/部门内部是否存在相关网络威胁，保护自身安全。

来源：
https://mp.weixin.qq.com/s/SrHvzIlWwyQzR059alzIRQ

2022年7月21日

Redeemer 勒索软件新版本在黑客论坛推广
勒索软件组织在黑客论坛上推广他们的免费“Redeemer”勒索软件新版本。勒索软件 2.0 版本完全用 C++编写，适用于 Windows Vista、7、8、10和11版本，具有多线程性能和中等 AV 检测率。任何人都可以下载并使用 Redeemer 勒索软件新版本发起攻击，但是当受害者决定支付赎金时，该勒索软件作者会收到20%的费用，并共享主密钥，以与附属公司持有的私有构建密钥组合进行解密。
据研究人员分析发现新版本勒索软件在启动时会创建一个互斥锁，以避免受害者系统上出现多个运行实例，并滥用Windows API以管理员权限执行自身。
来源：
https://www.bleepingcomputer.com/news/security/new-redeemer-ransomware-version-promoted-on-hacker-forums/

2022年7月26日

新网络钓鱼活动瞄准管理Facebook商业账户的员工
外媒指出名为"Ducktail"的新网络钓鱼活动正在进行中，旨在瞄准 LinkedIn 上的专业人士，以接管为公司管理广告的 Facebook 商业账户。攻击者瞄准潜在目标，使用社会工程和欺骗手段来诱使目标下载托管在合法云托管服务Dropbox、iCloud上的一个.NET Core恶意软件。恶意软件执行时会扫描浏览器 cookie，收集系统信息，搜集 Facebook 凭据。然后将这些收集到的数据通过 Telegram 机器人泄露，并在设定的时间段之间发送，或者在 Facebook 帐户被盗、恶意软件进程退出或恶意软件崩溃时发送。此外，恶意软件还会将攻击者的电子邮件地址添加到受感染的 Facebook 业务账户表单中。
来源：
https://www.bleepingcomputer.com/news/security/linkedin-phishing-target-employees-managing-facebook-ad-accounts/

点击下方片，关注我们

第一时间为您推送最新威胁情报