加密货币交易所 FTX 疑似遭到黑客攻击,价值3.7亿美元的加密货币失窃
![]()
Tag:加密货币,货币失窃
事件概述:
近日,外媒报道称申请破产的加密货币交易所 FTX 疑似遭到黑客攻击,价值超过3.7亿美元的加密货币失窃。FTX 表示在其申请破产后,将所有的数字资产转移到了未连接互联网的冷钱包中。但在转移的过程中 FTX 发现了异常的资金流动情况,FTX 立即针对这些未经授权的交易展开调查。随后,FTX 在官方 Telegram 频道上发布声明称异常的资金流动是由黑客攻击导致的。
截至目前,FTX 尚未披露关于此次黑客攻击的其他细节。
来源:
伊朗黑客利用 Log4Shell 漏洞入侵联邦机构,部署加密挖矿软件
![]()
Tag:伊朗,Log4Shell,漏洞
事件概述:
近日,FBI 和 CISA 联合发布公告,称伊朗背景的一个未知名威胁组织利用未修补的 VMware Horizon 服务器中的 Log4Shell 漏洞,部署 XMRig 加密挖矿软件,横向移动到域控制器 (DC),破坏凭据,然后植入 Ngrok 反向代理在多个主机上以保持持久性并展开破坏。联邦民用行政部门 (FCEB) 组织已成为该黑客组织的受害者。
技术手法:
威胁组织通过利用 Log4Shell 漏洞对组织未打补丁的 VMware Horizon 服务器进行初始访问,利用负载运行 PowerShell 命令下载排除工具,在设备内部进行安全软件检测,然后下载包含 XMRig 加密货币挖掘软件和相关配置文件。威胁组织在部署加密矿工后,使用 RDP 和 Windows 默认账户进行横向移动,然后下载窃取凭据、反向代理等工具, 建立深入的立足点,窃取信息并展开恶意操作。
ABB Totalflow 流量计算机被曝存在漏洞,致使多个石油和天然气公司面临攻击威胁
![]()
Tag:天然气,漏洞
近日,据研究人员披露瑞士工业技术公司 ABB 制造的石油和天然气流量计算机中存在一个高危路径遍历漏洞 CVE-2022-0902。该漏洞允许攻击者中断并阻止公用事业公司向其客户收费。流量计算机用于计算对电力制造和分配至关重要的石油和天然气的体积和流量,在过程安全管理和计费方面发挥着重要的作用,被世界各地石油和天然气组织广泛使用。ABB Totalflow 流量计算机存在的漏洞致使多个石油和天然气公司面临黑客攻击威胁。整个漏洞攻击链允许未经验证的攻击者以 root 权限执行任意代码,攻击者可以完全控制设备并破坏其测量石油和天然气流量的能力,以此阻止受害公司向其客户收费。
截至目前,工业自动化巨头 ABB 已发布固件更新修复漏洞,并建议采用网络分段作为缓解措施。
FRwL 黑客组织使用 Somnia 勒索软件针对乌克兰坦克生厂商在内的多个组织展开攻击
![]()
Tag:FRwL ,Somnia
近日,乌克兰计算机应急响应中心(CERT-UA)发布公告,称 FRwL黑客组织使用Somnia 勒索软件瞄准乌克兰坦克生产商在内容的多个乌克兰组织展开网络攻击。该黑客组织曾在 Telegram 上披露 Somina 勒索软件,并发布了针对乌克兰坦克生产商的攻击证据。
技术手法:
根据 CERT-UA 发布的公告,称黑客组织使用仿冒的软件下载网站诱骗受害者下载恶意程序,并将 Vidar 窃密木马植入到受害者的设备中,以窃取受害者的 Telegram 账户及 VPN 连接的相关凭据。黑客成功入侵到目标网络后,使用多种工具进行进一步的渗透,并部署 Somnia 勒索软件。Somnia 勒索软件实际上是数据擦除器,其目的是用于擦除数据,而不是勒索赎金。
来源:
https://www.bleepingcomputer.com/news/security/ukraine-says-russian-hacktivists-use-new-somnia-ransomware/
谷歌商店被曝存在 Xenomorph 银行木马
![]()
Tag:谷歌商店,银行木马
近日,研究人员在谷歌商店中的应用程序中发现了 Xenomorph 银行木马。该应用程序名为“Todo:Day manager”,下载量超过 1000 次。这是谷歌商店中一连串令人不安的隐藏恶意软件中的最新一例:在过去 3 个月中,ThreatLabz 报告了 50 多个应用程序的下载量超过 50 万次,其中嵌入了 Joker、Harly、Coper 和 Adfraud 等恶意软件。Xenomorph 于 2022 年 2 月首次被 ThreatFabric 研究人员发现,当时该恶意软件被用于攻击 56 家欧洲银行,以从其客户的设备中窃取敏感信息。
技术手法:
Xenomorph 银行恶意软件通过伪造的 Google 服务应用程序从 GitHub 中释放、安装后,它首先要求用户启用访问权限,将自己添加为设备管理员,并防止用户禁用设备管理员,使其可从手机上卸载。打开应用程序后,它会连接到 Firebase 服务器以获取银行恶意软件负载 URL,从 Github 下载恶意 Xenomorph 银行木马样本,然后在合法的银行应用程序上创建了一个覆盖层,以诱骗用户输入他们的凭据。 银行木马可以从命令和控制 (C2) 服务器或通过解码 Telegram 页面内容接收命令,以请求更多命令,从而扩大感染范围。
https://www.zscaler.com/blogs/security-research/rise-banking-trojan-dropper-google-play-0
Lazarus 组织使用新版本 DTrack 后门攻击欧洲的组织
![]()
Tag:Lazarus,朝鲜,后门
事件概述:
近日,外媒报道称朝鲜背景威胁组织 Lazarus 正在使用新版本的 DTrack 后门瞄准欧洲和拉丁美洲的组织展开攻击。DTrack是一个模块化的后门程序,具有键盘记录、屏幕截图、检索浏览器历史记录、检索正在运行的进程信息、获取IP地址和网络连接信息等功能。除了上述功能外,它还能够接收远程指令、获取其他有效负载、窃取文件和数据以及在受害设备上执行进程。与过去版本相比,研究人员发现新版本的 DTrack在功能和代码上没有太多的更改,但是其部署范围变的更加广泛,研究人员在德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国均发现了与 DTrack 相关的攻击活动,涉及的行业包括政府研究中心、政策研究机构、化学品制造商、IT 服务提供商、电信提供商、公用事业服务提供商和教育行业等。
DTrack 归因:
卡巴斯基将此活动归因于朝鲜 Lazarus 黑客组织,并声称威胁行为者只要看到潜在的经济利益就会使用 DTrack 展开攻击。
2022年8月,同一研究人员将该后门与被追踪为“ Andariel ”的朝鲜黑客组织联系起来,该组织在美国和韩国的企业网络中部署了 Maui 勒索软件。
2020年2月,Dragos 将 DTrack 与攻击核能和油气设施的朝鲜威胁组织“ Wassonite ”联系起来。
https://securelist.com/dtrack-targeting-europe-latin-america/107798/
Twitter 的双因素身份验证被曝存在漏洞
![]()
Tag:Twitter,漏洞
研究人员发现 Twitter 的双因素身份验证包含一个允许潜在账户接管的漏洞。由于推特允许用户通过短信以外的其他方式设置多因素身份验证,包括身份验证应用程序和安全密钥。该漏洞允许攻击者伪造注册的电话号码,以禁用双因素身份验证,并且允许攻击者通过重置密码或填充密码的方式接管账户。
该漏洞出现之际,Twitter 在埃隆·马斯克 (Elon Musk) 的领导下进入了第三周,在此期间,公司大量员工和承包商被解雇,主要安全和合规人员陆续离职,Twitter 公司内部开始出现裂痕。研究人员还曾向 Twitter 的漏洞赏金计划提交漏洞信息,但 Twitter 工作人员不认为这是一个安全风险,拒绝提供修复补丁和发放漏洞赏金。
截至目前,Twitter 没有进行相关回应。据报道,其通讯团队已不复存在。
https://www.govinfosecurity.com/twitter-two-factor-authentication-has-vulnerability-a-20475
2022年11月12日
加拿大连锁超市巨头 Sobeys 疑似遭到勒索软件攻击
加拿大第二连锁超市 Sobeys 发布声明称其 IT 系统出现一些问题,公司的杂货店仍然开放为客户服务,目前没有遇到重大中断。但是,某些店内服务会间歇性或延迟地运行。虽然 Sobeys 在减少这种中断的影响方面取得了重大进展,但目前无法确定影响其系统的所有问题何时才能得到完全解决。据外媒称,此次系统出现问题是由于该公司系统感染了 Black Basta 勒索软件。 目前尚不清楚攻击的程度,该公司也尚未确认勒索攻击事件细节及数据泄露。 来源:
https://securityaffairs.co/wordpress/138424/cyber-crime/sobeys-ransomware-attack.html
加拿大连锁超市巨头 Sobeys 疑似遭到勒索软件攻击
加拿大第二连锁超市 Sobeys 发布声明称其 IT 系统出现一些问题,公司的杂货店仍然开放为客户服务,目前没有遇到重大中断。但是,某些店内服务会间歇性或延迟地运行。虽然 Sobeys 在减少这种中断的影响方面取得了重大进展,但目前无法确定影响其系统的所有问题何时才能得到完全解决。据外媒称,此次系统出现问题是由于该公司系统感染了 Black Basta 勒索软件。 目前尚不清楚攻击的程度,该公司也尚未确认勒索攻击事件细节及数据泄露。 来源:
https://securityaffairs.co/wordpress/138424/cyber-crime/sobeys-ransomware-attack.html
加拿大连锁超市巨头 Sobeys 疑似遭到勒索软件攻击
来源:
https://securityaffairs.co/wordpress/138424/cyber-crime/sobeys-ransomware-attack.html
2022年11月15日
研究人员发现伪装成印度尼西亚人民银行的网络钓鱼活动
研究人员发现了伪装成印度尼西亚人民银行进行的网络钓鱼活动。攻击者利用安卓恶意应用程序从受害者的手机中自动获取OTP一次性密码,通过模仿印度尼西亚人民银行网站,以对每笔交易提供低税率为主题诱骗受害者提交银行凭证。受害者提交凭据信息后,钓鱼网站会提示受害者下载并安装恶意应用程序,此恶意程序会申请SMS权限,以此窃取短信接收的OTP信息。 来源:
https://blog.cyble.com/2022/11/15/phishing-campaign-targeting-indonesian-bri-bank-using-sms-stealer/
研究人员发现伪装成印度尼西亚人民银行的网络钓鱼活动
研究人员发现了伪装成印度尼西亚人民银行进行的网络钓鱼活动。攻击者利用安卓恶意应用程序从受害者的手机中自动获取OTP一次性密码,通过模仿印度尼西亚人民银行网站,以对每笔交易提供低税率为主题诱骗受害者提交银行凭证。受害者提交凭据信息后,钓鱼网站会提示受害者下载并安装恶意应用程序,此恶意程序会申请SMS权限,以此窃取短信接收的OTP信息。 来源:
https://blog.cyble.com/2022/11/15/phishing-campaign-targeting-indonesian-bri-bank-using-sms-stealer/
研究人员发现伪装成印度尼西亚人民银行的网络钓鱼活动
来源:
https://blog.cyble.com/2022/11/15/phishing-campaign-targeting-indonesian-bri-bank-using-sms-stealer/
点击下方名片,关注我们
第一时间为您推送最新威胁情报