安全威胁情报周报(1.30~2.5)
2023-2-5 22:31:7 Author: 微步在线研究响应中心(查看原文) 阅读量:17 收藏


新的恶意软件 HeadCrab 感染 Redis 服务器挖掘加密货币

  Tag:HeadCrab,Redis

事件概述:

近日,Aqua Nautilus 的研究人员发现了一种新的严重威胁 HeadCrab,该威胁自2021年9月初以来一直渗透并驻留在全球服务器上。该恶意软件无法被防病毒解决方案检测到,从而危及大量 Redis 服务器。目前。HeadCrab 僵尸网络至少已经控制了1200台服务器,用于加密货币挖掘的资源劫持。研究人员从内存中提取的矿工配置文件发现,矿池主要托管在私人合法IP地址上,但矿工在运行时未使用公共矿池服务,且攻击者的 Monero 钱包显示每个工人的年预期利润将近 4,500 美元。

技术手法:

威胁组织以 Redis 服务器为目标,该服务器最终使用SLAVEOF 命令被攻破,将其设置为攻击者控制的另一台 Redis 服务器的从属服务器。Redis 主服务器随后启动从属服务器的同步,从服务器又将恶意 Redis 模块 HeadCrab 恶意软件下载到从属服务器,并允许将恶意 Redis 模块加载到受影响的主机上。该恶意软件旨在绕过基于卷的扫描,因为它仅在内存中运行,而不存储在磁盘上。此外,使用 Redis 模块框架和 API 删除日志。攻击者与合法 IP 地址(主要是其他受感染的服务器)通信,以逃避检测并降低被安全解决方案列入黑名单的可能性。该恶意软件主要基于不太可能被标记为恶意的 Redis 进程。有效载荷通过memfd加载,内存文件,内核模块直接从内存加载,避免磁盘写入。

来源:
https://blog.aquasec.com/headcrab-attacks-servers-worldwide-with-novel-state-of-art-redis-malware


拉脱维亚国防部疑似遭到俄罗斯威胁组织Gamaredon的钓鱼攻击

  Tag:Gamaredon,国防部,俄罗斯

事件概述:

2023年1月28日,拉脱维亚国防部称,俄罗斯网络间谍组织 Gamaredon 可能是上周针对拉脱维亚国防部的网络钓鱼攻击的幕后黑手。黑客冒充乌克兰政府官员向拉脱维亚国防部的几名员工发送恶意电子邮件,网络攻击未遂。法国网络安全公司Sekoia首先在推特上分享了这封恶意邮件的样本。研究人员将这次网络钓鱼活动归因于Gamaredon,因为黑客使用了与之前的网络攻击相同的域名(admou[.]org),去年12月初,威胁情报团队 Unit 42也将该域名与Gamaredon关联起来。自2014年乌克兰发生战争以来,Gamaredon一直在针对拉脱维亚的组织,但他们的活动有所增加。随后,拉脱维亚国防部发言人证实,最新的网络钓鱼攻击极有可能与 Gamaredon 有关,但调查仍在进行中。

来源:
https://therecord.media/latvia-confirms-phishing-attack-on-ministry-of-defense-linking-it-to-russian-hacking-group/

亲巴勒斯坦黑客组织 Electronic Quds Force 瞄准以色列化学公司展开攻击

  Tag:巴勒斯坦,以色列,化学公司

事件概述:

外媒报道称亲巴勒斯坦威胁组织 Electronic Quds Force 于近日针对在本土运营的以色列化学公司发动了大规模的攻击活动。此次攻击疑似是黑客组织出于指责、抗议特拉维夫的暴力行为,对以色列政府及其针对巴勒斯坦人的政策展开的报复行动。Electronic Quds Force 黑客组织声称能够干扰化学公司工厂的运营,致使人员伤亡,并威胁以色列化学公司的工程师和工人辞职,寻找一个新的工作,如果员工继续在化工厂工作,将会对他们生命构成威胁,并指出如果下次对巴勒斯坦人实施暴力行为时,将会使用化学制品攻击他们。黑客组织还在其 Telegram 频道上发布了关于化学公司的工业控制系统 (ICS) 图像的样本文件。

据报道以色列和巴勒斯坦双方的网络攻击均在增加。早在2022 年 9 月,亲巴勒斯坦黑客组织 GhostSec 声称已经破坏了以色列组织使用的 55 个 Berghof 可编程逻辑控制器 (PLC),作为自由巴勒斯坦运动的一部分,并发布了一段视频,展示了成功登录到 PLC 的管理面板以及 HMI 屏幕的屏幕截图,以及一个可用于修改水中的氯含量和 pH 值控制面板的截图。

来源:

https://securityaffairs.com/141640/hacktivism/it-army-of-ukraine-hacked-gazprom.html


超 120 种型号 Lexmark 打印机受严重漏洞影响

  Tag:打印机,漏洞

事件概述:

近日,打印机和成像产品制造商  Lexmark 发布告警信息,称其超过120 种型号的打印机存在严重漏洞 CVE-2023-23560 。该漏洞是 Lexmark 设备 Web 服务功能中的服务器端请求伪造(SSRF)漏洞,可以被利用来执行任意代码。其中 Lexmark B、C、CS、CX、M、MB、MC、MS、MX、XC 和 XM 系列打印机均受该漏洞的影响。截至目前,该公司已经发布了固件更新,修复了所有受影响设备上的漏洞,用户还可以通过在易受攻击的打印机(TCP 端口 65002)上禁用 Web 服务功能来阻止对 CVE-2023-23560 的利用。

此外,Lexmark 还发布告警称,截至目前虽然没有发现任何针对该漏洞的恶意攻击,但 PoC 代码已经公开。鉴于威胁行为者以未打补丁的打印机和其他物联网 (IoT) 设备为目标的情况并不少见,建议用户尽快应用可用补丁。
来源:
https://www.securityweek.com/critical-vulnerability-impacts-over-120-lexmark-printers/


亲俄黑客组织 Killnet 瞄准荷兰和美国组织发起 DDoS 攻击

  Tag:Killnet,DDoS

事件概述:

近日,外媒发表报道指出亲俄黑客组织 killnet 发动了大规模 DDoS 攻击,美国和荷兰地区的多个医疗保健网站中断运营。此次袭击疑似是因为报复拜登派遣坦克支撑乌克兰对抗俄罗斯。密歇根大学医院和斯坦福医疗保健中心是此次攻击影响最严重的两个机构,另外,部分荷兰医院也成为俄罗斯黑客攻击的目标,格罗宁根市的大学医疗中心医院也成为虚假网络流量的攻击目标,但攻击并未影响任何医疗操作。随后,荷兰医疗保健计算机响应小组 Z-CERT 确认攻击事件并将攻击归因于 Killnet。据媒体指出该活动可能会在未来几周内进一步加强以破坏关键基础设施。

来源:
https://informationsecuritybuzz.com/us-hospitals-ddos-attack-websites-taken-down-russian-hackers/


朝鲜威胁组织 Kimsuky 伪装成 Kakao 登录页面展开钓鱼攻击

  Tag:朝鲜,Kimsuky,APT,钓鱼攻击

事件概述:

近日,ESTsecurity 发出告警,称需警惕朝鲜背景威胁组织 Kimsuky 针对相关领域的私人专家、私人组织及组织机构展开的新一轮的网络钓鱼攻击,通过修改密码的邮件盗窃用户密码。

技术手法:

威胁组织通过伪装成 daum 域向目标分发电子邮件,以用户在阅读时点击图片下载引导窗口阅读邮件内容时窃取目标用户信息。然后以“请立即修改密码”为主题的内容诱使目标点击文档中链接,将目标重定向到伪装成 Kakao 登录窗口的钓鱼页面,以查看或修改密码为理由诱导目标在虚假的登录窗口输入密码,然后将输入的信息传输到攻击者服务器。

来源:
https://blog.alyac.co.kr/5043


AMI MegaRAC BMC 软件被曝存在两个新的供应链漏洞

  Tag:供应链漏洞

事件概述:

继 AMI MegaRAC Baseboard Management Controller(BMC)软件曝光三个漏洞CVE-2022-40259、CVE-2022-40242和CVE-2022- 2827 后,于近日又披露了两个新的供应链安全漏洞 CVE-2022-2687 和 CVE-2022-40258,这些漏洞统称为 BMC&C,可以充当网络攻击的跳板,使攻击者能够对未经授权的设备获得远程代码执行和超级用户权限的访问权限。其中漏洞 CVE-2022-26872 是利用 HTTP API 欺骗用户通过社会工程攻击启动密码重置,并设置对手选择的密码;CVE-2022-4025 是Redfish 和 API 的弱密码哈希漏洞。截至目前,新的供应链漏洞影响范围未知,但 Eclypsium 公司表示正在与 AMI 和其他各方合作,以确定受影响的产品和服务的范围。技嘉、惠普、英特尔和联想都发布了更新,以解决其设备中的安全漏洞。NVIDIA 预计将在 2023 年 5 月发布修复程序。

来源:
https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/

2023年1月30日

印第安纳波利斯住房机构遭勒索软件攻击,20万居民信息发生泄露
美国印第安纳波利斯住房机构 Indianapolis Housing Agency 发出通知,称其系统遭到勒索软件攻击,212,910人数据信息受到影响。其中泄露的信息包括姓名、地址、出生日期和社会安全号。此外,攻击还致使该机构无法向8,000多名租户发送关键租金信息,25,000多人受到影响,员工被迫手动发送支票,邮件系统被锁定数天。Victims 收到提供12个月 IDX 身份保护服务,包括身份盗窃恢复服务和100万美元的保险赔偿政策。美国住房和城市发展部也发出警报,提醒住房机构防范勒索软件攻击的危险。

来源:

https://therecord.media/ransomware-attack-on-indianapolis-housing-agency-leaks-sensitive-info-on-200000-residents


2023年1月31日

攻击者伪冒 DocuSign 进行钓鱼攻击,旨在窃取用户凭据

Armorblox 研究人员观察到一次冒充知名品牌 DocuSign 的电子邮件攻击,目的是窃取敏感的登录凭据。这次品牌冒充攻击绕过了原生云和内联电子邮件安全解决方案,针对多个组织的1万多名终端用户。电子邮件的主题旨在向受害者营造紧迫感,并鼓励用户点击邮件中的链接。单击后,受害者将被导航到一个冒充Proofpoint Storage应用程序的虚假登录页面,钓鱼页面将收集受害者的 Proofpoint ID以及登录凭据。
来源:
https://www.armorblox.com/blog/breaking-the-impersonation-armorblox-stops-docusign-attack/


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247499519&idx=1&sn=f1e7da1f0d2a3357b0887c4faea0558e&chksm=cfca9debf8bd14fdc81363b4c1a16845a2e7e46226b549d865971fc6a6cd444e52052fdf9d3d#rd
如有侵权请联系:admin#unsafe.sh