本周值得关注的威胁情报:
APT情报
1.Gamaredon集团不断发展壮大
发布时间:2020年6月11日
情报来源:
https://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/
情报摘要:
研究人员发现了活跃的Gamaredon威胁组织在各种恶意活动中使用的几种先前未记录的破坏工具。一种工具是针对Microsoft Outlook的VBA宏,它使用目标的电子邮件帐户向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式电子邮件。还分析了Gamaredon工具,这些工具具有将恶意宏和远程模板注入现有Office文档的功能。
在过去的几个月中,Gamaredon利用了许多不同的编程语言,从C#到VBScript,批处理文件和C / C ++。Gamaredon使用的工具非常简单,旨在从受感染的系统中收集敏感信息并进一步传播。
2.研究人员揭示了难以捉摸的InvisiMole组织的攻击手法,新发现与Gamaredon小组的联系
发布时间:2020年6月18日
情报来源:
https://www.welivesecurity.com/2020/06/18/digging-up-invisimole-hidden-arsenal/
情报摘要:
针对东欧知名组织的新活动。在与受影响组织的密切合作下,调查了这些攻击,我们发现了其更新的工具集以及有关InvisiMole的策略,技术和程序(TTP)的以前未知的详细信息。
攻击事件情报
1.Enel Group遭受勒索病毒攻击
发布时间:2020年6月11日
情报来源:
https://www.bleepingcomputer.com/news/security/power-company-enel-group-suffers-snake-ransomware-attack/
情报摘要:
欧洲能源公司巨头Enel Group几天前遭受勒索软件攻击,并对其内部网络造成了影响。6月7日被发现的事件是EKANS(SNAKE)勒索软件运营商的工作,该组织也于本周早些时候攻击了本田公司。
2.EMOTET银行木马再更新
发布时间:2020年6月12日
情报来源:
https://mp.weixin.qq.com/s/M5VQf8OByfdsxKezfe0kwg
情报摘要:
EMOTET银行木马自2014年以来,一直活跃至今,目前已经成为最具有影响力的恶意软件家族之一。该木马通常是通过垃圾邮件传播,已经迭代出很多个版本。在早期通过恶意的JavaScript脚本进行投递,后来转为通过含有恶意宏代码的文档下载进行传播。国内安全团队曾多次对该木马进行过披露,该木马的基础设施仍然在不断更新。
3. Poulight窃密木马分析
发布时间:2020年6月15日
情报来源:
https://mp.weixin.qq.com/s/GAuuc3u90NoVNpbQ80-4fA
情报摘要:
Poulight是一款C#语言编写的窃密木马,来自于俄罗斯,因为木马中含有大量的俄文,该木马窃取受控主机的多种敏感信息,包括:系统信息、进程信息、文件信息、特定软件的凭证、虚拟货币的钱包等信息,还可以下载并执行其他组件。
4.CoinMiner利用Apple APSDaemon漏洞逃避检测
发布时间:2020年6月16日
情报来源:
https://www.bleepingcomputer.com/news/security/coinminer-exploits-apple-apsdaemon-vulnerability-to-evade-detection/
情报摘要:
攻击者使用欺诈性软件包,这些软件包利用Apple的APSDaemon.exe,AnyToIso和CrystalBit软件中的DLL劫持漏洞来安装挖矿木马。这项新的恶意软件活动始于提供破解受版权保护软件的网站,这些网站将用户重定向到一个页面,该页面下载一个zip文件,该页面伪装成安装文件,密钥生成器或特定软件的破解文件。
5.RagnarLocker勒索软件威胁释放机密信息
发布时间:2020年6月9日
情报来源:
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ragnarlocker-ransomware-threatens-to-release-confidential-information/
情报摘要:
RagnarLocker的运营商扬言如果不支付赎金,就会发布他们从受感染机器获得的信息。迄今为止,最显着的RagnarLocker攻击是将这种恶意软件部署在一家大公司中,然后该恶意软件操作员随后要求勒索近1100万美元的赎金,以换取未泄露从公司窃取的信息。
6.Agent Tesla商业木马正通过钓鱼邮件传播,木马生成器已十分成熟
发布时间:2020年6月17日
情报来源:https://mp.weixin.qq.com/s/1aQGlBxBwBOrdrW3B9l4tA
情报摘要:
腾讯安全威胁情报中心检测到有 Agent Tesla商业木马变种正在通过钓鱼邮件传播。攻击者伪装成某国大型航运公司发送以货运单据为主题的钓鱼邮件,并在附件中加入由木马打包而成的压缩程序。
Agent Tesla为一款知名的商业窃密木马,木马执行后,会从资源中解密出现核心窃密程序,窃取中毒电脑的机密信息,包括:键盘记录,截屏,剪贴板记录,以及摄像头图像,还会从电脑上提取还原多种登录信息缓存,包括浏览器中保存的各网站登录帐号和密码,邮件客户端中保存的用户名密码,FTP工具、下载器中保存的密码等等。将窃取的数据通过Web Panel的方式回传至C&C服务器。一切完成之后,木马会删除自身,清理入侵痕迹。
漏洞情报
Kubeflow未授权访问漏洞导致Kubernetes集群遭挖矿劫持
发布时间:2020年6月15日
情报来源:
https://mp.weixin.qq.com/s/7_Ont8mCkANikVvrr-XbLA
情报摘要:
国外某安全团队披露了一起针对Kubernetes集群中的机器学习工具包Kubeflow的挖矿事件。黑客正在通过Kubeflow未授权访问漏洞操纵Kubernetes集群运行恶意挖矿容器,试图利用CPU资源挖掘虚拟货币,风险极大。