专栏名称: TimelineSec

安全圈必备公众号之一！专注于最新漏洞复现！内含漏洞时间线工具靶场等干货！记录每一个漏洞，捕捉安全的每一瞬间！

安全威胁情报周报（03.08-03.14）

TimelineSec · 公众号 · · 2021-03-17 21:00

正文

一周情报摘要

金融威胁情报

欧洲银行管理局遭到 Microsoft Exchange Server 漏洞利用攻击
银行木马 Emotet 最新攻击链分析
电子邮件诈骗正在瞄准华尔街投资者
美国 Flagstar 银行的客户信息遭泄露

政府威胁情报

俄罗斯 APT 组织对立陶宛基础设施发起网络攻击

工控威胁情报

黑客通过 Verkada 访问特斯拉、医院、银行等多达15万处摄像头

流行威胁情报

隐藏在加密的 Excel 文件中的 ZLoader 恶意软件
Google Play 上 9 个安卓应用可分发 AlienBot Banker 和 MRAT 恶意软件

高级威胁情报

中东地区遭到网络攻击，与伊朗黑客组织 MuddyWater 有关
至少 10 个 APT 组织利用了微软 Exchange 漏洞

漏洞情报

苹果设备的离线查找功能曝出漏洞，可能暴露用户的位置信息
Adobe 关键代码执行漏洞使 Windows 用户陷入困境

金融威胁情报

欧洲银行管理局遭到 Microsoft Exchange Server 漏洞利用攻击

欧洲银行管理局（EBA）日前披露其电子邮件服务组件 Microsoft Exchange Server 遭到了网络攻击，世界多家机构正受到此次事件的影响。此次攻击涉及 EBA 的电子邮件服务器，被攻击服务器的个人数据电子邮件接口可能已经被攻击者获取。EBA 正全力追查是否有数据被攻击者盗取，并将会告知数据主体可以采取哪些措施来减少可能的不利影响。最终于近日表明，数据尚未被提取，同时也表示没有任何证据可以表明该漏洞的影响已超出EBA 的电子邮件服务器范围。目前，EBA 表示已采取一切预防措施保护个人数据和其他数据，并将在必要时提供进一步更新措施。

来源： https://www.eba.europa.eu/cyber-attack-european-banking-authority

银行木马 Emotet 最新攻击链分析

Unit42 研究人员分析了自2020年12月以来一直活跃在野外的臭名昭著的银行木马 Emotet 的最新更新。Emotet 是一个极具持久性的通过电子邮件传送的恶意软件释放器，主要针对 Windows 计算机。用含有 Word 文档附件的电子邮件对预定的目标进行狂轰滥炸。一旦攻击对象受骗上当，打开附件（典型的诱饵主题包括有关新冠疫情统计数据等时事新闻、供应商发票和银行信用证的信息），并运行嵌入在其中的宏命令，恶意软件就会被植入。此次更新主要包括：1）使用多个下载链接下载第一阶段的加载程序。只要安全产品没有阻止或捕获下载链接，加载程序就会下载成功。2）使用多个 C2 服务器 IP 地址与 C2 服务器通信。只要不阻止 IP 地址，通信就将成功。3）C2 通信使用标准 HTTP，并使用自定义算法加密敏感信息。从安全缓解的角度来看，很难将这种 C2 流量与良性流量区分开。

来源： https://unit42.paloaltonetworks.com/attack-chain-overview-emotet-in-december-2020-and-january-2021/

电子邮件诈骗正在瞄准华尔街投资者

安全公司 Agari 在一份新报告中表明，商业电子邮件攻击（BEC）诈骗者正在利用一种针对投资者的新型攻击，他们以虚假的资金催收通知为诱饵进行诈骗。BEC 攻击者伪装成被投资的公司来向投资者发送邮件，要求其根据投资承诺转移资金。由于此类交易的性质，所要求的款项远远高于大多数电汇诈骗金额。该种攻击的平均利润额为 809,000 美元，是普通 BEC 骗局的7倍。Agari 还表示，其所监测到的攻击是由电子邮件服务功能发出的，并且大部分来自总部位于捷克的 centrum.cz 网络邮件提供商。而这些邮件的附件就是冒充催款通知书，要求支付投资款项的文件。一旦他们成功诱骗受害者转账，攻击者会迅速将钱转移到他们所控制的账户下，并且使用钱骡（指通过网络将通过不正当手段，从一国得来的钱款和高价值货物转移到另一国）来取款，从而让银行无法将被骗资金还给受害者。

来源： https://agari.com/cyber-intelligence-research/e-books/acid-h1-2021-report.pdf

美国 Flagstar 银行的客户信息遭泄露

美国 Flagstar 银行被爆出客户信息泄露事件，并于近期宣布将永久停止使用 Accellion。该银行是 Flagstar Bancorp 的子公司，为美国客户提供抵押和其他金融服务。此次数据泄露是由于其使用的传输大文件的 Accellion FTA 文件共享程序存在已被在野利用的 0day 导致的。Accellion 表示已于2021年1月22日将此安全问题通知银行，受害者还包括 Qualys、新西兰储备银行、澳大利亚证券和投资委员会（ASIC）和新南威尔士州交通局（TfNSW）。目前尚未完全透露影响的客户总数量以及泄露数据的种类，Flagstar 表示业务没有受到影响。

来源： https://www.zdnet.com/article/flagstar-bank-customer-data-breached-through-accellion-hack/

政府威胁情报

俄罗斯 APT 组织对立陶宛基础设施发起网络攻击

立陶宛国家安全部门发布的年度国家安全威胁评估报告指出，与俄罗斯有联系的 APT29 在 2020 年对立陶宛信息基础设施发动了网络攻击，黑客还利用这些基础设施对研发 COVID-19 疫苗的外国实体进行了攻击。报告还指出，受到新冠疫情的影响，2020 年俄罗斯针对立陶宛的情报行动有所减少，但是相关黑客组织增加了针对全球目标的网络间谍活动。

来源： https://www.vsd.lt/wp-content/uploads/2021/03/2021-EN-el_.pdf

工控威胁情报

黑客通过 Verkada 访问特斯拉、医院、银行等多达15万处摄像头

近期，有黑客自曝攻击了美国硅谷初创公司 Verkada 提供的基于云的摄像头服务，采集了摄像机数据，并盗取了 15 万个监控摄像头的实时视频，涉及医院、诊所、公司、警察部门、监狱、学校、精神病院等众多场景，尤为引发关注的是，其中还包括特斯拉工厂和仓库内的 222个摄像头。黑客还声称入侵 Verkada 摄像头的方法并不复杂，仅仅是在互联网上发现了一个公开的管理员账户的用户名和密码就进入了 Verkada 网络内部，甚至他们还能获得摄像头的 root 权限，利用摄像头执行自己的代码。事件发生后，Verkada 公司立即进行应急响应，禁用所有内部管理员帐户，以防止任何未经授权的访问，并进行调查取证。该公司还表示，截至美国时间 3 月 9 日中午，系统仍是安全的，没有用户密码泄露，黑客只是获得了摄像头的访问权限和客户名单，同时已就大规模黑客入侵事件联系了美国联邦调查局。总的来说，此次事件，伤害不大，但侮辱性极强。

来源：https://www.bleepingcomputer.com/news/security/hackers-access-surveillance-cameras-at-tesla-cloudflare-banks-more/

流行威胁情报

隐藏在加密 Excel 文件中的 ZLoader 恶意软件

安全公司 Forcepoint X-Labs 研究发现，一种新的网络钓鱼活动使用先进的分发技术分发ZLoader 恶意软件。研究人员表示，该活动最早于 2021 年 2 月开始出现，钓鱼邮件遵循长期以来一直采用的简单的发票诈骗样式，里面的正文信息却不尽相同，仅包含几个基本句子，例如要求收件人查看所附的信息，声称是国税局（IRS）的新税收规则，冒充已处理的帐单或类似内容。它们的共同点是带有随机生成的文件名的 MHTML 格式的 Microsoft Word 附件。研究人员在报告中还表示，如果网络钓鱼的受害者在 Microsoft Word 附件中启用了宏，则将触发下载一个加密的 Excel 工作表，其中隐藏了最终的恶意软件 payload。ZLoader 负载是一种多用途木马，通常充当投递程序，在多阶段勒索软件攻击（例如 Ryuk 和 Egregor）中传递基于 Zeus 的恶意软件。

来源： https://www.forcepoint.com/blog/x-labs/invoicing-spam-campaigns-malware-zloader

Google Play 上9个安卓应用可分发 AlienBot Banker 和 MRAT 恶意软件

Check Point Research 团队发现，一种恶意软件植入程序正在通过 Google Play 商店进行传播。这个被称为 CLAST82 的恶意软件使用了一系列技术来避免被 Google Play Protect 检测到：1) 使用 Firebase 作为 C2 通信平台；2) 使用 GitHub 托管恶意 payload。在Google Play对 Clast82 的评估期内，Firebase C2 发送的配置包含“Enable”参数。恶意软件将根据参数的值来触发恶意行为。此参数默认设置为“ false”，并且仅在 Google 在 Play 商店上发布了 Clast82 恶意软件后才会更改为“ true”。在对 Clast82 Dropper 进行调查期间，研究人员发现了威胁参与者用于分发和维护攻击活动所使用的基础设施。对于每个应用程序，威胁参与者都为 Google Play 商店创建一个新的开发者用户，并在其 GitHub 帐户上创建了一个存储库，从而允许威胁参与者将不同的有效负载分配给感染了每个恶意应用程序的设备。威胁参与者使用合法且已知的开源安卓应用程序，并在其中添加了恶意代码，以便为恶意投递器提供功能。用于此活动的应用程序包括：Cake VPN、Pacific VPN、eVPN、BeatPlayer、QR/Barcode Scanner MAX、Music Player、tooltipnatorlibrary 和 QRecorder。这些流氓程序已于 2 月 9日从 Google Play 商店中被删除。

来源：https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/

高级威胁情报

中东地区遭到网络攻击，与伊朗黑客组织 MuddyWater 有关

趋势科技近日发布了针对中东及其周边地区网络攻击活动的研究报告。通过利用 ScreenConnect 远程管理工具，研究人员发现了针对阿联酋和科威特政府机构的恶意活动的证据，并认为该攻击活动与 MuddyWater 黑客组织有关，该组织的利益倾向与伊朗政府的利益一致。趋势科技称，这是一项针对阿塞拜疆、巴林、以色列、沙特阿拉伯和阿联酋政府机构、学术界和旅游业的网络钓鱼活动。此次攻击利用流行的文件共享服务 Onehub 存放 PDF 和 RTF 格式的诱饵文档，并将该链接嵌入到网络钓鱼电子邮件中。当用户下载并打开该诱饵文档后，诱饵文档的内容会进一步引导受害者单击另一个恶意 URL 并下载 .ZIP 文件。该 .ZIP 文件包含由 RemoteUtilities 开发的合法远程管理软件，该软件能够下载和上传文件，捕获屏幕快照，浏览文件和目录以及执行和终止进程。

来源： https://www.trendmicro.com/en_us/research/21/c/earth-vetala---muddywater-continues-to-target-organizations-in-t.html

至少 10 个 APT 组织利用了微软 Exchange 漏洞

微软在 2021 年 3 月 2 日发布了 Microsoft Exchange Server 2013、2016 和 2019 的紧急安全更新。这些安全更新修复了一个完整的远程代码执行（RCE）漏洞链（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065）。安全公司 Volecity 表示，一旦成功使用该漏洞，就会通过 Exchange 环境植入 webshell 程序，黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止目前，有超过 5000 台右键服务器检测到了 webshell，超过 6 万个客户受到影响。Volexity 报称道，有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。2021 年 2 月 28 日开始，不断有 Exchange 用户遭到网络攻击，首先是 Tick，然后 LuckyMouse、Calypso 、 Winnti、DLTMiner 等至少 10 个团伙已开始迅速利用此漏洞发起攻击。在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被感染 webshell，而实际受感染的服务器数量肯定更多。

来源： https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/

漏洞情报

安全威胁情报周报（03.08-03.14）

正文

请到「今天看啥」查看全文