朝鲜威胁行为者对巴西金融等部门进行网络钓鱼攻击

Tag： UNC4899, PAEKTUSAN

事件概述：

2020年以来，与朝鲜有关的威胁行为者对巴西的网络钓鱼活动占据了总量的三分之一。谷歌的Mandiant和Threat Analysis Group (TAG)部门在本周发布的一份联合报告中表示，“朝鲜政府支持的行为者已经针对巴西金融服务等部门发起攻击。”其中，以UNC4899（又名Jade Sleet, PUKCHONG, TraderTraitor）为代表的威胁行为者群体，通过携带恶意软件的Python应用程序对加密货币专业人士进行攻击。PAEKTUSAN组织通过冒充人力资源主管的账户，向第二家巴西航空航天公司的员工发送网络钓鱼邮件。另一方面，PRONTO组织试图通过假装提供去核武器和新闻相关的诱饵，欺骗外交官员访问凭证收集页面或提供他们的登录信息以查看所谓的PDF文档。

朝鲜威胁行为者在对巴西的网络攻击中，主要采用了社交工程攻击、网络钓鱼攻击和恶意软件攻击等技术。UNC4899组织通过社交媒体接触潜在目标，发送包含工作描述的PDF文档，引诱目标点击并下载带有恶意代码的Python应用程序。PAEKTUSAN组织则通过冒充人力资源主管的身份，发送包含恶意Microsoft Word附件的网络钓鱼邮件。PRONTO组织则试图通过假装提供去核武器和新闻相关的诱饵，欺骗外交官员访问凭证收集页面或提供他们的登录信息。这些攻击手段都充分利用了人们的信任感，增加了攻击的成功率。此外，Moonstone Sleet组织还通过在npm注册表上发布假冒的npm包来分发恶意软件，这种手法与UNC4899的手法相似，但两者的代码风格和结构却有所不同。这些发现再次提醒我们，开源仓库的信任感被威胁行为者滥用，使得他们能够接触到更广泛的受众，增加了恶意包被无意中安装的可能性。

来源：

https://thehackernews.com/2024/06/north-korean-hackers-target-brazilian.html

政府威胁情报

UAC-0020威胁行为体使用SPECTR恶意软件针对乌克兰防卫力量

Tag： SickSync, CERT-UA

事件概述：

来源：

https://securityaffairs.com/164250/intelligence/spectr-malware-used-in-sicksync-campaign.html

能源威胁情报

光伏行业首次证实被攻击！基础设施遭漏洞利用劫持

Tag： 光伏行业，CVE-2022-29303

事件概述：

根据日本《产经新闻》报道，光伏行业遭到可能是全球首例公开证实的针对太阳能电网基础设施的破坏性网络攻击。一家大型太阳能工控电子制造商（CONTEC）大约800台用于监控发电量及检测异常情况的远程监控设备（SolarView Compact）被劫持，并被用于进一步盗窃企业银行账户。2024年5月，该制造商在官网也确认了此次攻击事件。

据了解，攻击者利用了2023年6月Palo Alto Networks发现的一个未修复CVE-2022-29303漏洞的系统，通过该漏洞传播Mirai僵尸网络，控制了这些远程监控设备。虽然攻击主要出于经济目的，而非攻击整个电网，但此类攻击危害却不容忽视。专家表示，此次劫持及利用监控设备漏洞，虽与劫持工业摄像头或家用路由器类似，但获得的光伏装置访问权限后，能轻易攻击同一网络中的任何东西。大型光伏电网通常有一个中央控制系统，如果黑客以破坏电网为目标，利用未打补丁的设备进行攻击，不仅能控制一个光伏电场，而且能够中断整个电网运转。此外，负责将太阳能板直流电转换为电网使用的交流电的逆变器，作为电网控制的接口，面临的风险更严重。由于最新逆变器具备通信功能，能够连接网络或者云服务，极易受到网络攻击。

此外，微步通过对CONTEC SolarView Compact光伏发电测量系统的全网资产测绘分析，发现还有几千款相关设备系统依然暴露在互联网上，相关受漏洞影响的系统版本依然在对外暴露且全部分布在日本，其相关数据信息如下：微步分析师还发现CONTEC SolarView Compact 6.00版本存在命令注入漏洞，该漏洞源于SolarView Compact中的conf_mail.php模块存在命令注入点，攻击者可利用该漏洞注入恶意命令。

来源：

https://mp.weixin.qq.com/s/GeTMMucmDdBh3Ei-VLvTNA

Tag： A MOS（Atomic macOS Stealer）, AppleScript

事件概述：

来源：

https://www.intego.com/mac-security-blog/intego-malware-discovery-fake-arc-browser-with-unique-applescript-component/

高级威胁情报

ARC实验室深度剖析APT29组织使用的Wineloader后门

Tag： Wineloader后门, APT29组 织

事件概述：

ARC实验室对APT29组织（又名NOBELIUM或COZY BEAR）使用的Wineloader后门进行了深入分析。Wineloader是一种模块化后门，最初由ZScaler发现，后由Mandiant报告。它通过加密的命令和控制（C2）通道，将其他工具或模块下载到被感染的主机。感染链开始于一封以印度大使主持的葡萄酒品鉴会为诱饵的钓鱼邮件，邮件将目标重定向到恶意网站，下载包含混淆JavaScript代码的HTA文件，执行HTA文件后，将下载包含Wineloader有效载荷的ZIP文件。Wineloader通过恶意DLL侧载执行，并通过计划任务或修改注册表键值实现持久化。

Wineloader后门使用了多种技术手段。首先，它利用混淆技术，使用重命名变量和字符串编码的JavaScript，使人类分析变得困难。然后，它通过侧载技术执行，通过sqlwriter.exe侧载恶意DLL。最后，它通过创建sqlwriter.exe的计划任务或在注册表的特定键值下建立持久性，实现对主机的持久控制。在感染链的最后阶段，它会下载一个名为text.txt的文件，该文件是一个包含sqlwriter.exe和vcruntime140.dll的编码存档。其中，vcruntime140.dll就是Wineloader的有效载荷。一旦DLL被侧载到sqlwriter.exe，Wineloader就会试图在主机上建立持久性。持久性建立后，后门会向专用的命令和控制服务器发送特定的信标请求，通知持久性完成。虽然在分析时，指定的C2服务器已离线，无法进行进一步分析，但作为第一阶段的后门，Wineloader可能会从命令和控制服务器将第二阶段的恶意有效载荷传输到被感染的设备。

来源：

https://cybersecuritynews.com/wineloader-mimic-as-ambassador/

漏洞情报

Apache HugeGraph服务器存在高危远程代码执行漏洞

Tag： CVE-2024-27348, 远程代码执行（RCE）漏洞

事件概述：

Apache HugeGraph服务器存在一项被标识为CVE-2024-27348的高危远程代码执行（RCE）漏洞，影响了1.3.0版本之前的HugeGraph服务器，该漏洞的CVSS评分为9.8，表明其严重性。该漏洞允许攻击者通过Gremlin（Apache TinkerPop项目的重要部分）绕过沙箱限制并实现远程代码执行，使攻击者能够完全控制服务器，对使用受影响版本的HugeGraph的组织构成重大威胁。已经为该漏洞发布了修补程序，包含了几项关键的安全增强改变。使用受影响版本的HugeGraph的组织强烈建议更新到1.3.0版本或更高版本以降低风险。

CVE-2024-27348是一项严重的RCE漏洞，它通过改变当前线程的名称绕过安全检查，并使用ProcessBuilder类来执行命令。修补程序为此漏洞包括了几项关键的安全增强改变，如在LoginAPI.java文件中增强了认证/授权过程，通过添加@HeaderParam注解，该注解要求注销方法的授权令牌，并确保令牌不为空或空值。在HugeFactoryAuthProxy.java文件中引入了filterCriticalSystemClasses函数以过滤关键系统类，解决了漏洞的根本原因。在HugeSecurityManager.java文件中添加了如checkMemberAccess和optionalMethodsToFilter等方法，以防止对敏感类的未经授权的反射访问。该事件强调了强大的安全措施和及时修补的重要性，以防止潜在的利用。随着网络安全环境的演变，了解漏洞及其缓解措施对于维护系统和数据的安全性和完整性至关重要。

来源：

https://www.darkreading.com/cyberattacks-data-breaches/lilacsquid-apt-employs-open-source-tools-quasarrat

微软Azure存在严重安全漏洞

Tag：供应链攻击, Azure

事件概述：

微软Azure的一项“关键”漏洞引起了人们的关注。安全研究人员描述，攻击者可以利用这个漏洞进行供应链攻击。目前尚不清楚是否已有安全更新。Trend Micro的Zero Day Initiative的安全研究人员在一篇简短的文章中描述了这个最高评级（CVSS评分10/10）的漏洞。他们指出，攻击者可以远程无需身份验证就能利用这个漏洞。如果攻击成功，那么就可以绕过Azure的登录。这个错误存在于授予SAS令牌的权限中。研究人员目前并未详细说明具体的攻击可能是什么样子。在微软的云计算平台Azure中，攻击者可以在供应链攻击中在客户的端点系统上执行恶意代码。

安全研究人员表示，他们在2023年10月向微软报告了这个漏洞。现在他们公布了关于这个漏洞的细节。他们表示，应该已经有了一个安全补丁。但在微软的安全更新指南中，并没有提到这个更新。联邦信息技术安全办公室（BSI）的紧急团队CERT Bund表示，目前还没有解决这个安全问题的解决方案。目前尚不清楚管理员如何保护他们的系统免受可能的攻击，也不清楚是否已经有攻击发生。

来源：

https://www.heise.de/news/Kritische-Azure-Luecke-Patch-Status-derzeit-unklar-9751850.html

勒索专题