每周网络安全简讯 ( 2023年 第47周 )
发布日期:2023-11-27 来源:国信中心 极客安全 点击量:
2023年11月11日至11月17日,国家信息技术安全研究中心威胁监测事业部对境内外互联网上的网络安全信息进行了搜集和整理,并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类,共计19条。
01
APT组织Imperial Kitten近期攻击活动情况
安全研究人员发现APT组织Imperial Kitte对运输、物流和技术公司发起了新一轮的网络攻击。该APT组织被认为与伊朗伊斯兰革命卫队(IRGC)有关,自2017年以来一直活跃,主要针对包括国防、技术、电信、海事、能源、咨询和专业服务在内的目标用户实施网络攻击。研究人员表示,该组织10月份使用“职位招聘”为主题的钓鱼邮件发起了网络钓鱼攻击,其附件中携带的恶意Microsoft Excel文件,可以提取两个批处理文件,并通过修改注册表实现持久化,运行用于进行Reverse Shell的Python载荷。攻击成功后,该APT组织使用PAExec等工具在受控目标网络上进行横向移动,远程执行进程,并使用NetScan进行网络侦察。此外,他们还使用ProcDump从系统内存中获取凭据,使用恶意软件IMAPLoader和StandardKeyboard实现与C2服务器的通联。
02
APT组织APT-C-52针对巴基斯坦实施网络攻击
APT-C-52是一个来自南亚的APT组织,主要针对巴基斯坦进行有组织、有计划、针对性的网络攻击行动。该组织攻击活动开始于2021年初,至今仍处于活跃状态,受害者主要为巴基斯坦军事人员。近日,安全研究人员监测到该APT组织的最新攻击情况,在此次攻击活动中,该APT组织在Facebook平台上创建了多个账号,伪装成女性用户,并设法添加巴基斯坦军方相关人员为好友,以获取其联系方式,为后续攻击做准备。当获取到目标的联系方式后,该APT组织将会利用Facebook Messenger、WhatsApp、短信传递恶意样本或下载地址,并诱导受控目标安装使用,最终实现获取军事情报的目的。经对恶意样本分析发现,该样本与此前的样本相比有明显变化,此前的样本包括:窃取联系人列表、通话记录、短信、通知栏消息、已安装的应用列表等,以及窃取设备中特定后缀名的文件、设备信息和WhatsApp、WhatsAppBusiness及Signal聊天记录等恶意功能,而新恶意样本不仅完全移除了L3MON的全部功能代码,还去除了窃取聊天记录的代码,只保留了窃取联系人列表及特定后缀名文件的功能。另外,样本中还包含了窃取短信的功能代码,但并未使用相关功能。目前,该APT组织窃取的数据多达数百万条,其中数据类型主要是通知栏消息,其次是照片、文档、联系人列表、短信、通话记录等数据,受害者主要分布在巴基斯坦。
03
疑似APT组织TA505利用SYSAID零日漏洞开展网络攻击
近日,Avertium的研究人员观察到不明组织正在利用SysAid服务管理软件中的零日漏洞(CVE-2023-47246)对目标实施网络攻击。经分析发现,该漏洞是一个路径遍历缺陷,允许攻击者未经授权访问企业本地服务器,从而导致数据被盗窃和Cl0p勒索软件的部署。SysAid是一种广泛使用的IT服务管理解决方案,为企业提供管理各种IT服务的工具。目前,Microsoft已确定发起攻击的组织是Lace Tempest,也称为TA505,其目的是通过将包含Webshell的Web应用程序资源(WAR)存档上传到SysAid Tomcat Web 服务的Webroot,以实现零日漏洞利用,且执行额外的PowerShell脚本、加载GraceWire恶意软件并危害合法进程(msiexec.exe、svchost.exe和spoolsv.exe)等操作,最终实现敏感数据窃取。攻击完成后,该APT组织还会尝试使用PowerShell脚本删除活动日志,清除其踪迹。
01
“山猫”团伙近期针对政府、能源、教育行业实施网络攻击活动情况
近期,微步情报局监测发现一个针对政府、能源和教育行业发起“爆发式”攻击的黑产团伙“山猫”,经统计,2023年10月28日至11月1日,受到“山猫”攻击的企业多达数十家,触发告警近万次。“山猫”团伙最早于2021年初开始实施持续的网络攻击活动,期间不断更换在用设备、恶意软件及攻击手法。早期的攻击活动,主要采取广撒网式的钓鱼方式,通过投毒软件安装程序,利用合法数字签名等方式获取受害者主机的控制权,以贩卖受控主机权限获利。近期,该团伙为了获取更大的经济利益,将目标转移到特定的企业上发起新一轮的攻击,恶意木马投递数量及企业中招频次呈“爆发式”增长,根据对相关事件整理和溯源分析发现,新一轮的攻击主要集中在政府、能源、教育行业等,“山猫”会在控制受害者主机后,根据受害者的个人情况在企业中进行更广泛的传播。从攻击对象上看,“山猫”投递的诱饵样本早期以个人用户为主,而近期则以税务相关的关键词引诱企业财务人员点击。从攻击方式上看,初始载荷的主要分发途径仍通过钓鱼邮件和微信群进行传播,绝大部分使用发票主题诱饵来欺骗用户下载执行恶意软件。从软件传递方式看,通常使用免费的电子邮箱或Outlook邮箱发送钓鱼软件,邮件内容包含钓鱼网页的URL或恶意附件的压缩包,在跳转至初始的钓鱼站点上后,尝试使用阿里云OSS和腾讯云存储等云服务托管恶意软件和钓鱼页面,以绕过传统的网络检测方法,减少被检测的风险,并使用户难以分辨是否为恶意链接。此外,“山猫”还能迅速部署和更换恶意页面及载荷,提高攻击的灵活性,从该团伙向受控设备部署的最终FatalRAT木马载荷来看,该木马载荷还可实现包括远程桌面、键盘记录、文件操作、数据窃取、shell执行等操作。
近日,国资国企在线监管安全运营中心监测发现,新恶意组织“灰树蛙”伪造热门运维工具和办公软件官网,利用被污染的软件安装包对企业开发、运维人员实施“水坑”攻击,通过在受害者终端上远程下载并执行定制化远控木马,同时引入BYOVD攻击(Bring your own vulnerable driver)、持久化等多个恶意模块,确保远控木马能够长期驻留,达到窃取信息数据并随时控制失陷主机的目的。经对该恶意组织的定制化远控木马分析发现,其主要功能包括运行环境检查、信息窃取、键盘记录器、进行BYOVD攻击、持久化等多种恶意功能。基于该payload的各方面特征,可确认该payload是恶意组织“灰树蛙”基于Gh0st及其变种进行定制化开发的新型远控木马。综上,恶意组织“灰树蛙”的攻击目标群体为开发、运维相关人员,攻击手法以伪造热门运维工具和办公软件官网开展“水坑”攻击、并利用包含恶意木马的SFX安装程序突破目标设备防守边界为主,在入侵目标设备后,恶意安装程序通过内存解密、远程拉取和多层嵌套加载的方式使远控木马无需落地执行,同时利用定制化的远控木马加载Rootkit模块实施BYOVD攻击杀死目标设备的AV/EDR,来躲避安全检查,最终在目标设备上长期潜伏。综合考量该组织攻击的目标群体(涉及多家企业的运维、开发人员)、攻击手法及样本特征(利用定制化的远控木马加载Zemana杀毒软件驱动文件实施BYOVD攻击杀死目标设备的AV/EDR、payload解密方式、文件托管及传输方式)等多方面因素,该组织与已知窃密和黑灰产组织均存在较大差异性,为新出现的恶意组织。
2023年11月12日,阿里云OSS、OTS、SLS、MNS 等平台产品发生故障,导致淘宝、闲鱼、钉钉等平台的正常服务受到影响,持续时间为1小时41分。经阿里云工程师排查后,发现故障原因与访问密钥服务(AK)异常有关,该服务在读取白名单数据时出现读取异常,生成了一份不完整的白名单,导致不在白名单上的有效请求失败,进而影响了云产品控制台及管控API服务,同时部分依赖 AK 服务的产品也因不完整的白名单出现部分服务运行异常。目前,经工程师采取修复措施后,所有故障被排除,对外服务均恢复正常运行。
近日,美国帕森斯公司(Parsons)宣布,该公司已被美国网络司令部(CYBERCOM)选择为J9网络项目执行办公室和联合网络作战架构(JCWA)集成办公室提供服务,并与其签署了一份价值9100万美元的成本加固定费用主合同。该合同包括1个12个月的基准年和4个12个月的选项年,其中包括联邦采购法规(FAR)52.217-8的扩展服务选项。根据合同,该公司将使用数字工程框架(PDEF)和基于模型的系统工程(MBSE)支持联合网络作战架构(JCWA)的分析、集成、开发和交付工作,以及提供系统、传感器和涵盖整个网络作战范围的工具。帕森斯公司表示,该公司在全域战场的各个方面开展工作,通过融合现在互联的作战领域(陆地、空中、海上、太空、网络空间)的技术应对新出现的威胁,并将信息作战、情报、数据分析、电子战、多梯队指挥与控制以及动能作战整合到一个统一的系统架构中。
近期,丹麦计算机安全事件响应小组(CSIRT)SektorCERT披露,丹麦关键基础设施遭受了有史以来最大规模的网络攻击。据悉,威胁攻击者在5月11日发起了第一次攻击活动,经短暂停顿后,5月22日又开始发动了第二波攻击活动,且当天SektorCERT也察觉到自身出现安全问题。SektorCERT在报告指出,威胁攻击者利用丹麦关键基础设施运营商使用的Zyxel防火墙中的零日漏洞(CVE-2023-28771),成功入侵了22家能源基础设施公司的网络,其中11家公司遭受严重损失。此外,从11家公司受到的攻击情况来看,网络攻击者可能提前获得了受害公司防火墙的控制权,从而可以访问防火墙背后的关键基础设施。SektorCERT安全专家还指出,“在发动网络攻击之前,威胁攻击者可能就已经掌握了受害目标的详细信息,这些信息很可能是通过未被发现的侦察活动中获取的。”
华盛顿州交通部正在致力于从一次网络攻击事件中恢复的工作。此次攻击事件对当地的渡轮和地图应用程序造成了一定的影响,地图导航、交通摄像头、渡轮船只视频源、山区道路报告、在线货运许可证等都受到了这次事件的影响。该部门表示,交通和山区通行摄像头已经在应用程序中恢复使用,但在网站上尚未恢复。地图、移动应用程序、渡轮船只监控和在线货运许可证仍然无法使用。目前,事件的起因仍在调查中,该部门没有回应此次事件是否与勒索软件攻击相关。
澳大利亚当局正在调查一起“具有全国意义”的网络攻击,该攻击关闭了澳大利亚环球港务集团(DP World Australia)运营的多个港口,并警告称,这种中断可能会持续数天,且影响贸易运输。11月11日,澳大利亚政府召开了一次危机会议,协调了11月10日因黑客攻击,导致DP环球港务集团限制澳大利亚四个最大港口船只进出业务的反应。目前,澳大利亚信号局下属的国家网络安全中心、澳大利亚联邦警察等机构已经介入调查。国家网络安全协调员达伦·戈尔迪表示,各机构将于周日再次聚集,与该公司合作恢复运营。
08
Anonymous Sudan组织对Cloudflare网站实施DDoS攻击
Cloudflare证实一次DDoS攻击且导致其网站短暂宕机事件,并指出攻击没有影响公司的其他产品或服务。Anonymous Sudan组织声称对造成Cloudflare网站宕机的大规模分布式拒绝服务(DDoS)攻击负责,同时在其Telegram频道中表示,此次DDoS攻击使用了Skynet和Godzilla僵尸网络,且持续了1小时。Skynet于2012年被首次发现,据估计,Skynet已经感染了全球超过100万台设备;Godzilla僵尸网络自2021年以来一直十分活跃,常被用于发动大规模的分布式拒绝服务(DDoS)攻击,并以窃取登录凭据和挖掘加密货币为目的,据估计,Godzilla僵尸网络已经感染全球超过10万台设备。
近日,LockBit勒索团伙称波音公司无视了其数据将要被泄露的警告,并威胁将发布大约4GB被窃数据样本。在波音公司拒绝支付赎金后,2023年11月10日,LockBit勒索团伙泄露了从波音公司窃取的43GB文件,其中包括IT管理软件的配置备份,以及监视和审计工具的日志。此外,LockBit还列出了Citrix设备的备份,这表示该团伙可能利用最近披露的Citrix Bleed漏洞(CVE-2023-4966)实施了此次攻击。目前,尽管波音确认了此次网络攻击事件,但没有提供关于事件的任何细节或攻击者是如何入侵其网络的信息。
10
中国工商银行股份有限公司在美全资子公司遭受Lockbit勒索软件攻击
近日,ICBCFS在官网发布声明称,由于遭勒索软件攻击,导致部分系统中断。据美媒援引知情人士消息,涉嫌策划针对工行美国分行袭击的是一个名为Lockbit的犯罪团伙。ICBCFS表示,发现攻击后立即切断并隔离了受影响系统,已展开彻底调查并向执法部门报告,正在专业信息安全专家团队的支持下推进恢复工作。在业务方面,ICBCFS在声明中提到,已成功结算周三执行的美国国债交易和周四完成的回购融资交易。中国工商银行及其他国内外附属机构的系统未受此次事件影响,中国工商银行纽约分行也未受影响。
链接:
https://www.cnn.com/2023/11/10/investing/icbc-ransomware-attack-hnk-intl/index.html
01
Confluence Data Center and Server远程命令执行漏洞PoC已在互联网公开(CVE-2023-22518)
此前曝光的Confluence Data Center and Server远程命令执行漏洞(CVE-2023-22518)出现被黑客团伙大规模利用的情况,且该漏洞PoC已在互联网公开,攻击者可利用该漏洞重置Confluence数据库,清空数据,执行任意命令,获取主机控制权限。漏洞影响7.x <= version < 7.19.16等版本,目前用户可通过版本升级修复上述漏洞。
02
微软发布11月份安全漏洞更新公告(CVE-2023-36036、CVE-2023-36033、CVE-2023-36025等)
近日,微软发布11月份安全漏洞更新公告,涉及Windows、Office等平台的58个安全漏洞,其中有3个漏洞较为严重,包括:一是Windows 云文件微型筛选器驱动程序特权提升漏洞(CVE-2023-36036),攻击者可利用该漏洞获取目标设备系统权限;二是Windows DWM 核心库特权提升漏洞(CVE-2023-36033),攻击者可利用该漏洞获取目标设备SYSTEM权限;三是Windows SmartScreen 安全功能绕过漏洞(CVE-2023-36025),攻击者可利用该漏洞通过打开恶意“Internet快捷方式”,绕过目标设备安全检查和相关警告机制。目前,用户可通过补丁更新等方式修复上述漏洞。
03
英特尔CPU存在安全漏洞(CVE-2023-23583)
近日,安全研究人员发现英特尔CPU存在安全漏洞(CVE-2023-23583),是由相关CPU芯片使用冗余REX前缀编码的指令(REP MOVSB)所导致,允许攻击者获取对目标设备敏感信息的访问权限,或造成目标设备拒绝服务。漏洞影响Intel® Xeon® E processor等系列芯片,目前用户可通过补丁更新、BIOS升级等方式修复上述漏洞。
04
VMware Cloud Director存在身份验证绕过漏洞(CVE-2023-34060)
VMware Cloud Director是VMware管理员将云服务作为虚拟数据中心(VDC)一部分进行管理的重要工具。近日,安全研究人员发现该工具存在身份验证绕过漏洞(CVE-2023-34060),未经身份验证的攻击者可在不需要用户交互的情况下远程利用该漏洞,绕过目标设备身份验证机制并实施登录操作。目前,该漏洞尚未修复,用户可通过VMware官方发布的VMSA-2023-0026解决方案进行临时操作,以降低安全风险。
近日,研究人员发现了一种利用Atlassian Confluence漏洞的新型恶意软件,并将其命名为“Effluence”。该恶意软件会在受感染的主机中充当持久性后门,提供横向移动到其他网络资源的路径和从Confluence中窃取数据的功能。此外,该恶意软件还具有在未经身份验证的情况下远程访问后门的功能,而无需对Confluence进行身份验证。
研究人员发现针对吉尔吉特-巴尔蒂斯坦地区的乌尔都语用户的攻击活动,并捕获了攻击活动中传播的一种新型安卓恶意软件Kamran。该恶意软件在安装时向用户请求多种权限,以允许其从设备中收集敏感信息,其中包括联系人、通话记录、日历事件、位置信息、文件、短信消息、照片、已安装应用程序列表和设备元数据,并将收集的数据上传到托管在Firebase的C2服务器。此外,Kamran缺乏远程控制功能,设计也相对简单,仅在受害者打开应用程序时执行其渗透活动,且没有追踪已传输数据的功能。