安全威胁情报周报（01.11-01.17）

TimelineSec · 公众号 · · 2021-01-19 09:00

正文

一周情报摘要

金融威胁情报

新西兰央行数据系统遭黑客攻击

政府威胁情报

联合国环境规划署漏洞暴露超 10 万名员工个人数据

能源威胁情报

Spalax 行动：针对哥伦比亚实体尤其是能源和冶金企业的恶意软件攻击

工控威胁情报

美国科技公司 Ubiquiti Networks 疑似遭到数据泄露

流行威胁情报

勒索软件 Hidden Tear 以疫情为话题进行攻击
Rogue：从暗网中崛起的 Android RAT

高级威胁情报

卡巴斯基发现 SolarWinds 黑客与 Turla APT 组织存在关联
伊朗黑客组织 APT35 发动大规模鱼叉式网络钓鱼攻击

漏洞情报

思科面向零售商的 CMX 软件中存在高危漏洞

金融威胁情报

新西兰央行数据系统遭黑客攻击

近日，新西兰中央银行的数据系统遭到黑客入侵，黑客设法获得了新西兰央行用于共享和保存敏感信息的第三方文件共享服务，该行一些商业和个人敏感信息可能遭到泄露。该行行长表示，攻击已得到遏制，央行的核心职能处于良好运行状态，目前正与安全专家及其他相关机构紧密合作调查此次恶意攻击事件。

来源：https://www.ehackingnews.com/2021/01/threat-actor-targets-new-zealand.html

政府威胁情报

联合国环境规划署漏洞暴露超 10 万名员工个人数据

安全研究人员披露了一个漏洞，利用该漏洞可以访问联合国环境规划署（UNEP）超过10万名私人雇员的记录。数据泄露源于环境规划署相关子域名上公开的 Git 目录和凭据，这使研究人员可以克隆 Git 存储库并收集与环境署员工相关的大量个人身份信息（PII）。泄露数据包含超10万份员工旅行记录，具体包括员工ID、姓名、工作组、旅行理由、开始和结束日期、批准状态、目的地和停留时间。此外，研究人员还在其他联合国数据库中发现了超 7000 名员工的人力资源统计数据（员工姓名、ID、国籍、性别、薪酬级别等)、项目资金来源记录、总体员工记录和就业评估报告。

来源：https://www.bleepingcomputer.com/news/security/united-nations-data-breach-exposed-over-100k-unep-staff-records/

能源威胁情报

Spalax 行动：针对哥伦比亚实体尤其是能源和冶金企业的恶意软件攻击

ESET 研究人员发现针对哥伦比亚政府机构和私营企业的攻击，对私营企业的攻击主要针对能源和冶金工业。研究人员将此攻击称为 Spalax 行动。攻击者依靠远程访问木马，可能是用来监视受害者。攻击者有一个庞大的 C2 网络基础设施，研究人员在 2020 年下半年观察到至少 24 个不同的 IP 地址在使用中。这些可能是作为其 C2 服务器代理的受损设备，再加上使用动态 DNS 服务，意味着它们的基础设施会不断变化。攻击者通过钓鱼邮件攻击目标，大多数情况下，这些邮件附有 PDF 文档，其中包含目标用户必须点击下载恶意软件的链接。下载的文件是常规 RAR 存档，其中包含可执行文件。这些存档存储在合法的文件托管服务中（如 OneDrive 或 MediaFire），受害者必须手动提取文件并执行，恶意软件才能运行。攻击者通常通过解密有效载荷并将其注入合法进程来实现在受害计算机上运行远程访问木马的目的。研究人员发现了三种不同的 RAT: Remcos、njRAT 和 AsyncRAT。

来源：https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/

工控威胁情报

美国科技公司 Ubiquiti Networks 疑似遭到数据泄露

美国技术供应商 Ubiquiti Networks 疑似遭到数据泄露，正在向客户发送通知邮件，要求他们更改密码，并为其账户启用 2FA。该公司发现一些由第三方云供应商管理的系统遭到未经授权的访问。攻击者可以访问包含与 Web 门户 ui.com 的用户账户有关的信息的服务器，暴露的记录包括姓名、电子邮件地址以及经过加密和散列的密码。Ubiquiti 表示，目前不确定这些用户数据是否已经被公开。

来源：https://securityaffairs.co/wordpress/113296/data-breach/ubiquiti-discloses-data-breach.html?utm_source=rss

流行威胁情报

勒索软件 Hidden Tear 以疫情为话题进行攻击

近日，微步情报局捕获到一枚 .LNK 格式的恶意软件，在分析过程中发现该木马后续会调用 Powershell 继续从域名 dllhost.xyz 下载后续 .js 文件，而 .js 文件会尝试向另一域名 dlldns.xyz 发起请求进行下一步操作。经过分析，确定其是一款名为“Hidden Tear”的开源勒索软件。关联发现，近一年来，有多起基于该勒索软件的修改版本利用 COVID-19 的话题对受害者发起攻击的事件。“Hidden Tear” 勒索软件使用 AES 加密，获取用户的主机信息并由此生成密钥，并将用户的信息按照固定格式，和密钥一同发送到 C2 地址。

来源：https://mp.weixin.qq.com/s/3fPclOwOUB4kH-tefwXLIw

Rogue：从暗网中崛起的 Android RAT

Check Point 的研究人员发现了一种名为“Rogue”的 Android 远程访问木马，它可以接管受感染的设备并窃取用户数据。Rogue 由 Triangulum 和 HeXaGoN Dev 合作创建并被引入暗网。它可以控制主机设备，并允许操作者窃取任何类型的数据（如照片、位置、联系人和信息），从而修改设备上的文件，并下载额外的恶意载荷。专家还指出它也可以删除数据。在获得目标设备上所有需要的权限后，Rogue RAT 会隐藏其图标，当所有需要的权限没有被授予时，它会反复要求用户授权。Rogue 利用 Google 的 Firebase 平台来隐藏其活动，通过 Firebase 来控制向设备发送命令和窃取数据。

来源：https://securityaffairs.co/wordpress/113369/malware/rogue-android-rat-darkweb.html

高级威胁情报

卡巴斯基发现 SolarWinds 黑客与 Turla APT 组织存在关联

卡巴斯基研究人员对 SolarWinds 供应链攻击事件中的 Sunburst 后门进行了分析，发现一些特征与 Kazuar 后门重叠。Kazuar 是 .NET 的后门程序，于 2017 年首次被 Palo Alto 披露，并将其与 APT 组织 Turla 联系起来，Kazuar 和其他 Turla 工具一起被用于过去几年的多次攻击中。Sunburst 和 Kazuar 之间有许多不寻常的共享特征，包括受害者 UID 生成算法、睡眠算法和广泛使用的 FNV-1a 散列。研究人员表示，虽然已经确认 SolarWinds 的攻击方法与 Turla 存在关联，但并不能说明其为此次事件的幕后黑手。

安全威胁情报周报（01.11-01.17）

正文

请到「今天看啥」查看全文