越南金融机构遭新型威胁行动者Lotus Bane攻击

Tag：Lotus Bane, OceanLotus

事件概述：

Lotus Bane的攻击手法包括DLL侧载和通过命名管道进行数据交换，这些技术手段与OceanLotus等越南威胁行动者的技术有所重叠。他们使用了像PIPEDANCE这样的恶意软件进行命名管道通信。值得注意的是，PIPEDANCE首次被Elastic Security Labs在2023年2月记录，当时它与一次针对一家未命名的越南组织的网络攻击有关。这种相似性表明，Lotus Bane可能与OceanLotus有某种联系，或者是受到了OceanLotus的启发。然而，不同的目标行业使得他们很可能是不同的威胁行动者。Lotus Bane和UNC1945在亚太地区的存在和活动强调了需要保持警惕和强化网络安全措施的必要性。这些组织的不同战术和目标，突显了在今天的数字化环境中防范金融网络威胁的复杂性。

来源：

https://the hackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html

政府威胁情报

美国对Intellexa联盟实施制裁，因其开发和运营商业间谍软件

Tag：Intellexa联盟, Predator

事件概述：

美国财政部海外资产控制办公室（OFAC）对与Intellexa联盟相关的两个个体和五个实体实施了制裁，原因是他们在“开发、运营和分发”商业间谍软件中起到了作用，目标是该国的政府官员、记者和政策专家。Intellexa联盟是由多家公司组成的联盟，包括与名为Predator的雇佣间谍软件解决方案有关的Cytrox。与NSO集团的Pegasus类似，Predator可以利用零点击攻击渗透Android和iOS设备，无需用户互动。一旦安装，间谍软件使操作者可以收集敏感数据并监视目标。

来源：

https://thehackernews.com/2024/03/us-cracks-down-on-predatory-spyware.html

“DDoSia项目”：俄罗斯黑客计划大规模DDoS攻击

Tag：NoName057(16), DDoSia项目

事件概述：

据Sekoia的网络安全研究人员发现，俄罗斯黑客组织“NoName057(16)”正积极策划进行大规模的DDoS攻击。自乌克兰冲突开始以来，以“NoName057(16)”为首的民族主义黑客活动组织崭露头角，正在发起名为“DDoSia项目”的攻击，主要针对支持乌克兰的实体，大多是北约成员国。DDoSia项目的Telegram频道在2023年11月11日突然更新，扩大了对32位处理器的支持，并增加了对FreeBSD的兼容性。最新版本改变了用户与C2服务器数据交换的加密方式。此外，尽管DDoSia经常更换C2服务器，但它并未自动更换IP地址。尽管面临稳定性挑战，但NoName057(16)组织的日常攻击并未因基础设施中断而受阻。

DDoSia项目的最新更新增加了HTTP POST请求中数据的加密，这是前几个版本中没有的新功能。C值（一个GUID，用于识别用户的机器）被加密，并从Windows的HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineGuid中提取出来。U值来自于DDoSia的Telegram Bot的client_id.txt文件。此外，JSON表“inf”在Windows下跟踪了七个元素，可能用于统计分析，增强了传输的复杂性。尽管DDoSia的基础设施经常变化，但它始终声称进行攻击。它还提供每日软件更新和一个增强加密的2024版本。你可以使用Perimeter81恶意软件保护来阻止恶意软件，包括木马、勒索软件、间谍软件、rootkits、蠕虫和零日漏洞。这些都是极其有害的，可以造成大量破坏，破坏你的网络。

乌克兰网络攻击者成功入侵俄罗斯国防部服务器

Tag：内存安全, 网络安全行政命令

事件概述：

乌克兰 国防部的网络专家成功地对俄罗斯国防部实施了一次特殊的网络攻击，成功获取了对其服务器的访问权限。 乌克兰特工现在掌握了俄罗斯国防部所使用的信息保护和加密软件，以及大量的俄罗斯战争部门的秘密文件。 这些文件包括命令、报告、指令、报告和其他文档，这些文档在俄罗斯的力量部门的2000多个结构单位之间流通。 获取的信息使得乌克兰能够确定俄罗斯国防部的完整系统结构及其环节。 通过对获取的数据进行分析，还帮助识别了俄罗斯国防部的将领、其他高级领导人、副手、助手、专家等所有使用名为“官僚”的电子文档流通软件的人员。

乌克兰国防部的网络专家通过对俄罗斯国防部的网络攻击，成功获取了其服务器的访问权限。这次成功的网络攻击，展示了他们在网络安全方面的高级技能和策略。他们不仅成功突破了俄罗斯的信息保护和加密软件，还取得了大量的敏感文件。这些文件包括在俄罗斯国防部的2000多个结构单位之间流通的各种命令、报告、指令和报告。这些信息的获取，使他们能够揭示俄罗斯国防部的内部结构和运作方式，这对于乌克兰来说具有重要的战略意义。此外，通过对这些数据的分析，乌克兰还能够识别出使用名为“官僚”的电子文档流通软件的所有人员，这包括俄罗斯国防部的将领、其他高级领导人、副手、助手和专家。这次网络攻击的成功，再次证明了网络安全在现代战争中的重要性。

能源威胁情报

网络攻击扰乱全球知名电池制造商瓦尔塔生产

Tag：网络攻击, 网络安全防护体系

事件概述：

瓦尔塔公司的网络攻击事件再次强调了网络安全在现代工业生产中的重要性。黑客通过网络攻击，成功突破了瓦尔塔公司IT系统的高安全防护措施，导致公司生产活动被迫暂停，给公司造成了重大损失。这一事件提醒我们，对于工业生产企业来说，建立健全的网络安全防护体系，提高网络安全防护能力，是维护正常生产活动，保障企业利益的重要手段。同时，企业应建立完善的应急响应机制，一旦发生网络攻击，能够迅速做出反应，尽快恢复生产活动。

来源：

https://www.secrss.com/articles/63940

美能源部网络安全制造创新机构投资480万美元提升制造业网络安全

Tag：网络安全, 工业控制系统

事件概述：

美国能源部的网络安全制造创新机构（CyManII）将投资480万美元于10个项目，以提升制造业的网络安全和能源安全，以实现2050年的净零排放目标。这些项目围绕工业控制系统、安全的工业数字化、工业增材制造等三个主题。其中，工业控制系统主题的项目包括保障工业控制系统制造流程和产品生命周期免受网络攻击，工业控制系统控制器安全防护，通过基于人工智能的漏洞分析、风险预测和缓解策略增强制造业网络安全，以及完善工业控制系统平台。安全的工业数字化主题的项目包括基于节能、安全的智能制造开展数字化演示，为中小型制造商提供安全的智能制造解决方案，以及采用数字化工具进行白车身检测。工业增材制造主题的项目包括增材制造安全操作验证，通过电力线监控系统提高增材制造砂型效率，以及开发增材制造产品完整性安全跟踪软件。

CyManII的投资项目包含了多个关键领域，旨在提升制造业的网络安全和能源安全。其中，工业控制系统的安全防护和完善，以及通过AI技术进行漏洞分析和风险预测，都是强化网络安全的重要手段。安全的工业数字化项目则强调了智能制造和数字化工具在提升制造效率和安全性中的关键作用。工业增材制造的项目则关注了操作验证和产品完整性的跟踪，这对于保障制造过程的安全性和产品质量具有重要意义。总的来说，这些项目都在强调网络安全在制造业中的重要性，以及采用先进技术如AI和数字化工具来提升制造业的安全性和效率。

来源：

https://www.secrss.com/articles/63648

保时捷Macan车型将于2024年在欧盟停售，原因是网络安全问题

Tag：WP.29网络安全规定, 黑客攻击

事件概述：

保时捷的这一决定突显了网络安全在现代汽车制造中的重要性。随着汽车越来越多地依赖电子系统和网络连接，汽车网络安全已成为制造商和消费者都需要关注的问题。欧盟的WP.29网络安全规定是对这一问题的回应，它要求所有新车必须符合一定级别的网络安全规定，以防止潜在的黑客攻击。这对汽车制造商来说，意味着他们必须在设计和制造过程中考虑到网络安全问题，否则他们的产品可能无法在欧盟销售。对于消费者来说，这意味着他们购买的新车将更加安全，不容易受到黑客的攻击。这一事件也提醒我们，随着科技的发展，网络安全问题已经渗透到我们生活的各个方面，包括我们每天驾驶的汽车。

来源：

https://www.secrss.com/articles/61975

流行威胁情报

深度解析DarkGate：模块化恶意软件的传递和持久化服务

Tag：DarkGate, XOR解密程序

事件概述：

本文详细解析了一种名为DarkGate的模块化恶意软件的传递和持久化服务。首先，该恶意软件利用伪装成正常PDF文件的手法吸引用户点击，然后通过MSI文件进行感染。这种感染方式的独特之处在于，MSI文件使用了有效的代码签名证书，以通过信誉检查，这使得恶意软件能够更好地躲避安全防护系统的检测。在MSI文件中，有两个重要的文件，一个是嵌入式的CAB文件，另一个是嵌入式的DLL文件。DLL文件在MSI安装过程中帮助部署CAB文件，这进一步增加了恶意软件的隐蔽性。在CAB文件中，有一个名为“iTunesHelper.exe”的文件具有Apple的有效签名，而“sqlite3.dll”和“CoreFoundation.dll”文件则未签名。这些文件在“iTunesHelper.exe”启动时会被加载，这使得恶意软件能够在用户无意识的情况下执行。通过对这些文件的深入分析，发现恶意软件使用了XOR解密程序和AutoIt编译脚本等技术进行混淆和执行，这使得恶意软件能够更好地躲避安全防护系统的检测。这种恶意软件的传播和执行方式充分展示了黑客的狡猾和技术的高超，也提醒我们在网络安全防护上必须时刻保持警惕，不断提高防护技术和能力。

来源：

https://unsafe.sh/go-225082.html

Android恶意软件的旅程：从Google Play到银行欺诈

Tag：Vultur, Cleafy

事件概述：

近两个月来，Cleafy威胁情报团队观察到Vultur感染在客户中的增加。2022年10月初，该团队在Google Play官方商店发现并向Google报告了一个Vultur滴管，这是一个知名的Android银行木马，下载量超过100,000次。这个滴管隐藏在一个假的实用程序应用后面，由于其权限少、占用空间小，看起来像一个合法的应用，能够规避杀毒解决方案和Google Play的分析。安装后，滴管使用了高级的逃避技术，如隐写术、文件删除和代码混淆，以及在恶意软件下载前的多重检查。银行木马（Vultur）通过假更新下载和安装后，威胁行为者（TAs）可以观察到被感染设备上发生的所有事情，并通过ATO（账户接管）攻击进行银行欺诈。

近年来，Android银行木马的数量增加，新的银行欺诈技术也在不断发展。尽管大多数银行木马是通过*ishing活动分发的，但TAs也使用官方应用商店通过滴管应用分发他们的恶意软件。这种选择背后的主要原因是可以接触到更多的潜在受害者，从而有更大的可能性完成欺诈。此外，由于这些滴管隐藏在实用程序应用后面并来自可信来源，它们甚至可以误导“有经验”的用户。这种组合，加上多种逃避技术的使用，使得应用程序很难被自动沙箱或机器学习方法检测到。因此，它未被杀毒解决方案和Google Protects检测到。这也解释了为什么尽管这个滴管在Threat Fabric的最后一篇文章中已经被描述过，我们还是决定发布这份报告，并详细分析这个应用程序是如何进入Play商店并试图进行银行欺诈的。

来源：

https://unsafe.sh/go-226048.html

高级威胁情报

黑客利用ConnectWise ScreenConnect漏洞部署TODDLERSHARK恶意软件

Tag：ConnectWise ScreenConnect, TODDLERSHARK

事件概述：

TODDLERSHARK恶意软件除了使用计划任务进行持久化外，还被设计为捕获并外泄关于受损主机的敏感信息，从而充当有价值的侦查工具。TODDLERSHARK“在代码中改变身份字符串、通过生成垃圾代码改变代码位置以及使用独特的C2 URL，表现出多态行为的元素，这可能使该恶意软件在某些环境中难以检测。”研究人员表示。这一发展来自韩国国家情报服务(NIS)指控其北部对手在2023年12月和2024年2月期间，侵入两家国内（未命名）半导体制造商的服务器并窃取有价值的数据。据称，这些威胁行为者针对暴露在互联网上的脆弱服务器进行了初步访问，随后利用土地生活（LotL）技术而不是投放恶意软件，以更好地规避检测。

来源：

https://unsafe.sh/go-226240.html

漏洞情报

苹果紧急安全更新修复两个新的iOS零日漏洞

Tag： 内核内存破坏漏洞, 验证

事件概述：

这两个漏洞都涉及到内核内存破坏，攻击者可以通过任意内核读写能力绕过内核内存保护。苹果公司通过改进验证来解决这两个问题。验证是一种安全措施，用于确保数据的完整性和准确性。通过改进验证，苹果可以更有效地防止恶意攻击者利用这些漏洞。此外，苹果还发布了新的操作系统版本，以进一步增强设备的安全性。这些更新显示了苹果对保护用户隐私和数据安全的重视，也提醒我们在日常使用中要及时更新操作系统，以防止自己的设备被黑客利用。

来源：

https://unsafe.sh/go-226287.html

WordPress WP Fastest Cache 1.2.2存在SQL注入漏洞

Tag： SQL注入漏洞, WP Fastest Cache 1.2.2

事件概述：

此次发现的SQL注入漏洞位于WordPress插件WP Fastest Cache 1.2.2的is_user_admin()函数中。在该函数中，$username变量未经逃逸处理，这意味着攻击者可以通过注入恶意SQL代码来操纵数据库查询。具体来说，攻击者可以通过构造特殊的Cookie，使得$username变量的值包含恶意的SQL查询语句，从而实现对数据库的操纵。这种攻击方式属于无需身份验证的攻击方式，攻击者无需登录即可进行攻击。这种类型的漏洞在Web应用中较为常见，开发者在编写代码时需要对所有用户输入进行适当的过滤和逃逸处理，以防止此类攻击。同时，使用最新的安全框架和库，定期进行代码审计，以及及时应用安全补丁，也是防止此类攻击的重要措施。

来源：

https://unsafe.sh/go-225057.html

VMware修复了两个关键漏洞，可能导致代码执行

Tag： CVE-2024-22252, CVE-2024-22253

事件概述：