印度加密货币交易所WazirX遭受安全攻击，损失超过2.3亿美元

Tag：安全攻击, 反洗钱(AML)工具

事件概述：

WazirX的攻击源于Liminal界面显示的信息与实际签名之间的不匹配，有效载荷被替换以将钱包控制权转移给攻击者。这突出了在使用多签名钱包时，确保信息一致性的重要性。此外，攻击者使用了去中心化服务来洗钱，这表明，尽管去中心化服务为用户提供了更大的隐私和控制权，但也可能被恶意行动者利用。此外，朝鲜的威胁行动者已经多次利用网络攻击来规避国际制裁，这说明了威胁情报共享的重要性。对于这种情况，自动化的安全措施，如异常交易检测和反洗钱(AML)工具，可能会有所帮助。

来源：

https://thehackernews.com/2024/07/wazirx-cryptocurrency-exchange-loses.html

政府威胁情报

伊朗威胁组织MuddyWater活动增加，新后门BugSleep威胁以色列

Tag：MuddyWater, BugSleep

事件概述：

自2023年以色列-哈马斯战争开始以来，与伊朗情报和安全部（MOIS）有关联的威胁组织MuddyWater在以色列的活动显著增加。该组织通过钓鱼活动，使用合法的远程管理工具（RMM），如Atera Agent和Screen Connect，对以色列、沙特阿拉伯、土耳其、阿塞拜疆、印度和葡萄牙等目标进行攻击。最近，MuddyWater还部署了一种名为BugSleep的新型定制后门，主要针对以色列的组织。BugSleep是一种后门，设计用来执行威胁行为者的命令，并在受损机器和C&C服务器之间传输文件。该后门目前正在开发中，威胁行为者不断改进其功能并解决漏洞。

MuddyWater通常通过从受损电子邮件账户发送大量电子邮件来进行钓鱼活动。这些活动通常会导致部署合法的远程管理工具（RMM），如Atera Agent或Screen Connect。然而，最近，他们部署了一种名为BugSleep的定制后门。BugSleep是一种新的定制恶意软件，自2024年5月以来在MuddyWater的钓鱼诱饵中使用，部分取代了他们使用的合法RMM工具。BugSleep的主要逻辑在所有版本中都相似，首先是对Sleep API的多次调用以逃避沙箱，然后加载其需要运行的API。然后，它创建一个互斥体（在我们的样本中观察到“PackageManager”和“DocumentUpdater”），并解密其配置，其中包括C&C IP地址和端口。在大多数BugSleep样本中，恶意软件然后创建一个与互斥体同名的计划任务，并向其添加“sample comment”评论。这个计划任务确保了BugSleep的持久性，每天每30分钟运行一次恶意软件。

来源：

https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/

能源威胁情报

关键基础设施领域的勒索软件攻击：原因与解决方案

Tag：勒索软件攻击, 多因素认证

事件概述：

大多数针对石油、能源和公用事业部门的关键基础设施公司的勒索软件攻击成功是通过利用软件漏洞，这占成功攻击的49%，比前一年的35%高。受到威胁的凭证（27%）和恶意电子邮件（14%）是前三名的攻击手段。2023年，80%的攻击导致数据被加密，这与前一年相同，但明显高于前两年。Sophos的调查显示，受访者平均需要一个多月的时间来恢复。首次有更多的公司支付赎金（61%）而不是使用备份进行恢复，即使中位数的支付金额跳升到254万美元。2023年，从一次事件中恢复的平均成本达到300万美元，与前一年相同。组织应该采用多因素认证（MFA）等简单的技术，并跟上软件更新，否则他们可能不仅一次，而且多次成为目标。政府需要为关键基础设施部门设定网络安全标准。

来源：

https://www.darkreading.com/cyber-risk/ransomware-has-outsized-impact-on-gas-energy-and-utility-firms

流行威胁情报

新型Android恶意软件“BadPack”利用复杂逃避技术绕过安全分析工具

Tag：BadPack, Android恶意软件

事件概述：

Palo Alto Networks的Unit 42的网络安全研究人员已经识别出一种名为“BadPack”的新型Android恶意软件变种，该恶意软件利用一种复杂的逃避技术绕过传统的安全分析工具。被篡改的头文件是BadPack的标志，对Android反向工程工具构成了重大挑战。BadPack在银行木马如BianLian、Cerberus和TeaBot中被使用，体现了针对Android设备的恶意软件日益复杂化。

BadPack的策略涉及篡改ZIP结构头文件，使工具难以提取和解码AndroidManifest.xml文件。这种干扰导致分析过程中出现一系列错误，最终阻止了对恶意软件的全面理解和对抗。恶意软件作者采用各种方法来操纵ZIP头文件：使用STORE方法时指定错误的压缩大小；使用非DEFLATE压缩方法值时，有效载荷为STORE；在本地文件头中设置压缩方法值，而实际有效载荷为DEFLATE。这些策略利用了分析工具对ZIP规范的严格遵守，而Android运行时系统则更加宽松。在测试的工具中，apkInspector能够从BadPack APK样本中提取和解码AndroidManifest.xml文件。这种开源工具于2023年12月发布，提供了对ZIP结构的详细洞察，并显示出对篡改压缩方法的抵抗力。

来源：

https://securityonline.info/new-android-malware-badpack-evades-security-analysis-researchers-warn/

高级威胁情报

黑客组织“人民网络军”和“HackNeT”对法国网站进行试探性DDoS攻击，巴黎奥运会前的预演

Tag：DDoS攻击, APT44

事件概述：

2024年6月23日，Cyble研究与情报实验室（CRIL）的研究人员注意到，一个名为“人民网络军”（Народная Cyber Армия）的俄罗斯黑客组织及其盟友HackNeT宣布对多个法国网站进行DDoS攻击，以此作为对即将到来的巴黎奥运会的大规模攻击的预演。这是该组织首次对法国网站进行记录在案的攻击。通过他们的Telegram频道，这些黑客组织分享了对Festival La Rochelle Cinéma和Grand Palais网站的成功攻击截图。考虑到这些攻击者与APT44（Sandworm, FROZENBARENTS, 和Seashell Blizzard）的关联性，研究人员认为有必要深入调查此次事件及其潜在威胁。

人民网络军是一个高产的黑客组织，与APT44（Sandworm, FROZENBARENTS, 和Seashell Blizzard）有关。该组织自2022年3月首次在Telegram上出现以来，已进行过多次高调的网络攻击，包括对乌克兰核机构的攻击。他们所使用的DDoS工具是用Python编写的，支持多线程和多进程操作，可以同时发送大量请求以提高攻击效果，并且支持代理功能以隐藏攻击者的IP地址。此外，该组织还通过Telegram频道发布教程，鼓励订阅者使用这些工具协助攻击。HackNeT是另一个亲俄黑客组织，成立于2023年2月，经常与人民网络军等组织联合进行政治动机的攻击。这次攻击事件中的相关指标（如MD-5, SHA-1, SHA-256）包括Windows和Linux可执行文件，用于执行DDoS攻击。

来源：

https://unsafe.sh/go-250666.html

漏洞情报

SonicWall SMA100系列存在严重安全漏洞

Tag：XSS, 命令注入

事件概述：

近期，SSD Secure Disclosure的漏洞分析中发现SonicWall SMA100系列存在严重的安全漏洞。这些漏洞由SSD Labs Korea的SeongJoon Cho发现，包括预认证存储的跨站脚本（XSS）和后认证远程命令注入，对用户产生重大影响，可能允许未经认证的攻击者执行任意命令。组织依赖于SMA100设备的应立即升级到最新的固件，以防止可能的攻击。

这些安全漏洞包括一个预认证存储的跨站脚本（XSS）和一个后认证的远程命令注入。XSS漏洞隐藏在“/cgi-bin/eventlog”组件中，可能允许攻击者将恶意脚本注入到日志条目中。当被认证用户查看时，这些脚本会执行，可能导致会话劫持、数据盗窃或进一步的系统妥协。同时，发现在“/cgi-bin/sitecustomization”中的命令注入漏洞，可能使攻击者能够以web服务器的权限在设备上执行任意命令。这可能导致设备的完全接管和网络内的横向移动。SonicWall选择了一个无声的补丁，而不是分配CVEs（常见漏洞和暴露）并发布传统的安全咨询。固件版本SMA100 10.2.1.10完全移除了XSS漏洞所在的“经典模式”功能，并引入了输入过滤以减轻命令注入问题。

来源：

https://securityonline.info/critical-vulnerabilities-patched-in-sonicwall-sma100-poc-published/

勒索专题

美国第三大药店Rite Aid遭受勒索软件攻击，220万用户数据泄露

Tag：RansomHub勒索软件组织, 两因素身份验证（2FA）