安全威胁情报周报(11.28~12.4)
2022-12-4 22:23:26 Author: 微步在线研究响应中心(查看原文) 阅读量:50 收藏

https://explore.group-ib.com/opera1er-eng/report-opera1er-eng

伊朗组织针对美国智库展开网络钓鱼和凭据窃取攻击

  Tag:伊朗,美国智库,网络钓鱼,凭据盗窃

事件概述:

近期,研究人员监测发现伊朗组织 Iran-Nexus TAG-56 针对美国华盛顿研究所智囊团展开的网络钓鱼和凭据窃取攻击。该活动利用 URL 缩短器将受害者引导至窃取凭据的恶意页面。这种交互攻击手法常见于 APT42 和 Phosphorus 等伊朗背景的高级持续威胁 (APT) 组织。

技术手法:

威胁组织将凭据盗窃组件伪装成由阿拉伯联合酋长国(UAE)政府主办的2022 Sir Bani Yas 论坛的 Microsoft 注册表,将假 URL 缩短器与合法缩短服务结合使用,诱使目标点击链接,将受害者重定向到伪造的短链接页面,并发送一个正常的诱饵文件“Iran nuke.docx”,借此与目标交互以进行下一步攻击。

缓解措施:

  • 开展社会工程学和反网络钓鱼意识练习,以帮助检测和预防攻击;
  • 使用强密码并尽可能启用多因素身份验证 (MFA),以限制凭据盗窃造成的损害;
  • 监控域滥用等情况。

来源:
https://www.recordedfuture.com/suspected-iran-nexus-tag-56-uses-uae-forum-lure-for-credential-theft-against-us-think-tank

CISA 发布多条关于工业控制系统漏洞的公告

  Tag:CISA,工业控制系统,漏洞

事件概述:
12月1日,CISA发布了多条关于工业控制系统漏洞的公告,其中包括以下漏洞:
三菱电机的输入验证不当漏洞 CVE-2022-40265:固件版本早于“65”的 MELSEC iQ-R 系列 RJ71EN71 产品和网络固件版本早于“65”的R04/08/16/32/120ENCPU产品容易受到不正确输入验证漏洞的影响。远程未经身份验证的用户可能会通过发送特制数据包导致目标产品出现拒绝服务情况。需要系统重置才能从拒绝服务状态中恢复。 
霍纳自动化设备加密强度不足、使用硬编码密钥、过度依赖全局变量漏洞:

(1)CVE-2022-2640:Horner Automation 的 RCC 972 固件版本为 15.40 的配置文件使用弱 XOR 加密进行加密,容易受到逆向工程的影响。这可能允许攻击者获取凭据以运行文件传输协议 (FTP) 和超文本传输协议 (HTTP) 等服务;

(2)CVE-2022-2641:这可能允许攻击者对设备执行未经授权的更改、远程执行任意代码或导致拒绝服务情况。 

(3)CVE-2022-2642:由于Horner Automation 的 RCC 972 固件版本 15.40 包含全局变量,这可能允许攻击者从设备中读取敏感值和变量键。 

BodyGuard 泵的备用硬件接口缺少保护机制漏洞 CVE-2022-43557:成功利用此漏洞可能允许攻击者更改配置设置或禁用泵。

截至目前,这些工业控制漏洞均发布了补丁,建议相关用户及时进行更新。

来源:
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/01/cisa-releases-three-industrial-control-systems-advisories

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247498161&idx=1&sn=c872630aa5505615c245ead117845426&chksm=cfca9aa5f8bd13b3eff02f0be6db26bad9cd98f15595a65d4961ceccf885521b9c4422b88a19#rd
如有侵权请联系:admin#unsafe.sh