安全威胁情报周报（10.10~10.16）

诈骗者伪装加密货币业务展开新一轮PayPal诈骗攻击

Tag：PayPal诈

事件概述：

近日，研究人员监测发现伪装成区块链/加密货币相关业务的新一轮 PayPal 发票诈骗活动。攻击者通过冒充 PayPal 卖家通 PayPal 系统发送向目标发送伪装成加密货币交易所的发票，然后诱使目标点击恶意链接展开欺诈。其中诈骗活动涉及的货币交易所包括Stellar XLM、Bitcoin Exchange、Terra Luna Classic、Oasis Network和TrueUSD。

技术手法：

诈骗组织使用不同区块链上著名公司/代币的名称冒充 PayPal 卖家通过 PayPal 系统向目标发送随机发票，并称目标已被收取一定金额的费用，然后诱使目标点击附加的恶意链接。在其他情况下，如果目标对费用提出异议或取消交易，攻击者会引导目标拨打电话以降低目标防备心理。当目标与攻击者取得通信时，那么攻击者就会获取进一步实施网络犯罪的许可凭据。此外，攻击者还可能通过电话对目标展开其他欺诈：要求提供个人信息以验证您的帐户；要求个人下载管理工具等必要软件；要求受害者访问网站“globalquicksupport[.]com”；甚至要求直接控制用户的设备等。

来源：
https://news.trendmicro.com/2022/10/09/paypal-invoice-scam-terra-luna-oasis-network-trueusd-stellar-xlm-bitcoin-exchange/

美国州政府网站攻击的幕后黑手疑似浮出水面

Tag：政府，美国

事件概述：

近日，亲俄黑客组织 Killnet 声称对美国多个州政府网站离线负责，其中包括登记投票的信息的肯塔基州选举委员会网站、科罗拉多州、肯塔基州和密西西比州等州的政府网站。尽管这些网站随后恢复正常运营，但是据外媒报道称鉴于美国11月中旬进行的选举，多个州政府网站在这个时间段遭到攻击，会削弱公众对这些组织的信任。

来源：
https://www.darkreading.com/attacks-breaches/russian-hackers-shut-down-state-government-sites

南非国有电力公司 ESKOM 疑似遭到 Everest 勒索软件攻击

Tag：能源，勒索软件，ESKOM

事件概述：

近日，研究人员称南非国有电力公司 Eskom Hld SOC Ltd（Eskom）服务器出现问题。与此同时，Everest 勒索软件团伙发布了有关 Eskom 公司被黑的声明，并要求支付200000美元赎金。该团伙声称可以访问 Eskom 公司的所有服务器，具有许多服务器的 root 访问权限，并发布了一个软件包，其中包括用于 Linux 和 Windows 服务器的系统管理员密码数据等。

早前在今年3月，Everest 勒索软件团伙曾发布公告宣布以 12.5 万美元的价格出售南非电力公司 Eskom 的访问权限，但 Eskom 公司当时否认了内部存在漏洞威胁。

来源:

https://securityaffairs.co/wordpress/136866/cyber-crime/south-africa-eskom-everest-ransomware.html

ICS 补丁：西门子、施耐德电气修复多个漏洞

Tag：ICS，漏洞，工控

事件概述：

近日，工业巨头西门子和施耐德电气发布通告修复了36个影响其 ICS 产品的漏洞。其中西门子的补丁涵盖了15个漏洞，其中包括一个未正确保护的全局加密密钥有关的严重漏洞CVE-2022-38465，攻击者可以利用漏洞对单个 Siemens PLC 发起离线攻击，并获得私钥用来破坏整个产品，再通过获得敏感的配置数据发起中间人 (MitM) 攻击，读取或修改 PLC 与其连接的 HMI 和工程工作站之间的数据。此外，还包括影响 Desigo CC 和 Cerberus DMS 的关键身份验证相关漏洞和一些影响关键设备的 DoS漏洞和权限提升漏洞。

施耐德电气发布的四项新公告涵盖多个漏洞，其中包括 EcoStruxure Operator Terminal Expert 和 Pro-face BLUE 产品中的六个可能导致任意代码执行的高严重性漏洞；EcoStruxure Panel Server Box 用于任意写入（这可能导致代码执行）和 DoS 攻击的漏洞；以及 SAGE RTU 产品使用的第三方 ISaGRAF Workbench 软件受到可能导致任意代码执行或权限提升的三个漏洞。

来源：
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-release-19-new-security-advisories

伊朗黑客使用新型 RatMilad 间谍软件瞄准企业 Android 用户

Tag：RatMilad，Android，间谍

事件概述:

近日，研究人员在监测发现伊朗黑客 AppMilad 利用一种新型 Android 间谍软件瞄准中东用户展开攻击活动。该间谍软件的原始版本被称为“RatMilad”，隐藏在通过电话验证社交媒体帐户的名为 Text Me 的 VPN 电话号码欺骗应用程序。由于恶意应用程序可以通过诱骗用户获得广泛的权限，因此它可以访问敏感的设备数据，例如位置和 MAC 地址，以及用户数据，包括电话、联系号码、媒体文件和 SMS 消息。此外，为了确保数据安全，研究人员建议用户应从 Google Play Store、Amazon Appstore 和 Samsung Galaxy Store 等官方应用程序商店下载新应用程序，并且、扫描侧载到设备上的应用程序减少移动攻击面和用户面临的数据风险。

技术手法：

威胁组织通过社交媒体和 Telegram 等通信工具上的链接分发电话欺骗应用程序，诱使毫无戒心的用户侧载该应用程序并授予其广泛的权限，同时还会安装恶意代码本身，并根据例根据特定的命令函数执行与 C2 的请求，接收并执行命令。

来源：
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/

POLONIUM 威胁组织瞄准以色列组织，部署自定义后门和网络间谍工具

Tag：POLONIUM，伊朗，以色列，网络间谍

事件概述：

近日，ESET 研究人员监测发现伊朗威胁组织 POLONIUM 使用多个自定义的后门瞄准

以色列目标展开攻击，其中涉及工程、信息技术、法律、通信、品牌和营销、媒体、保险和社会服务等各个垂直领域的多个组织。威胁组织通过截取屏幕截图、记录按键、监控网络摄像头、窃取文件等的自定义工具收集目标敏感数据，然后利用 Dropbox、OneDrive 和 Mega 云服务展开通信。其中 POLONIUM 组织部署的自定义工具集如下：

CreepyDrive：滥用 OneDrive 和 Dropbox 云服务用于 C&C；
CreepySnail：它执行从攻击者自己的基础设施接收到的命令；
DeepCreep 和 MegaCreep：分别使用 Dropbox 和 Mega 文件存储服务；
FlipCreep、TechnoCreep 和 PapaCreep，它们从攻击者的服务器接收命令。

来源：
https://www.welivesecurity.com/2022/10/11/polonium-targets-israel-creepy-malware/?web_view=true

Aruba 通报并修复 EdgeConnect 中的多个关键漏洞

Tag：Aruba，关键漏洞

事件概述：

近日，Aruba 发布更新修复了 EdgeConnect Enterprise Orchestrator 中存在的多个严重漏洞，远程攻击者可以利用这些漏洞破坏易受攻击的主机。ArubaEdgeConnect Orchestrator 是一种集中式 SD-WAN 管理解决方案，允许企业控制其WAN。针对上述漏洞，Aruba 发布多个版本的更新进行修复漏洞。此外，为了最大限度地减少利用上述漏洞的可能性，供应商还建议将 CLI 和基于 Web 的管理界面限制在专用的第2层分段VLAN或由第3层及更高层的防火墙策略控制。

来源：
https://securityaffairs.co/wordpress/137000/security/aruba-edgeconnect-flaws.html

BidenCash 暗网论坛泄露超过120万张支付卡信息

Tag：数据泄露

事件概述：

近日，研究人员在名为“BidenCash”的暗网论坛发现了全球超过120万人的信用卡/借记卡详细信息，其中包含信用卡号、到期日、3位数卡验证值(CVV)、持卡人姓名、相关银行名称、完整地址、出生日期、电子邮件和电话号码。泄露信息范围涵盖美国、加拿大、印度、孟加拉国、沙特阿拉伯、阿联酋、印度尼西亚、马来西亚和新加坡等多个地区。除此之外，该数据库还包括美国的支付卡消费者的社会安全号码等信息。

此次泄密似乎是 BidenCash 在其此前商店域遭受分布式拒绝服务（DDoS）攻击后对其新商店域的促销活动。网络犯罪分子通过公共网络域以及各种黑客和卡片论坛分发 URL。据称，像这样的暗网信用卡转储通常是骗局，因为其他信用卡转储仅包含虚假数据或以新名称打包的旧转储中的回收数据。然而经证实，此次数据泄露事件中大约 30% 的信用卡是有效的，这意味着大约 350,000 张信用卡仍然有效。

来源：
https://www.wangan.com/news/7fy78476e9999687

2022年10月9日

美国连锁医院 CommonSpitit 遭勒索软件攻击
外媒称美国最大的连锁医院之一 CommonSpirit 遭到勒索软件网络攻击，包括CHI纪念医院(田纳西州)、圣卢克医院(德克萨斯州)和弗吉尼亚梅森方济会健康中心(西雅图)在内的多个设施受到影响。攻击导致手术延迟，患者护理延误，给患者带来严重的不便。随后，CommonSpirit Health 证实其遇到了IT安全问题，迫使其部分基础设施脱机。截至目前，没有一个勒索软件团伙声称对这次攻击负责，尚不清楚幕后黑手以及是否从连锁酒店的基础设施中窃取数据。
来源：
https://securityaffairs.co/wordpress/136843/cyber-crime/commonspirit-ransomware-attack.html

2022年10月2日

黑客使用语音网络钓鱼诱骗受害者安装 Android 恶意软件
研究人员发现恶意行为者正在使用语音网络钓鱼策略来欺骗意大利在线银行用户在其设备上安装Android恶意软件，旨在获取他们的联系方式。这种面向电话的攻击传递(TOAD)，被称为社会工程技术，涉及使用先前从欺诈网站收集的信息来呼叫受害者。受害者被欺骗后，会部署一个名为 Copybara 的 Android 恶意软件。该恶意软件于2021年11月首次检测到，主要用于针对意大利用户执行覆盖攻击展开欺诈。
来源：
https://thehackernews.com/2022/10/hackers-using-vishing-tactics-to-trick.html

点击下方片，关注我们

第一时间为您推送最新威胁情报