IBM发现ITG17利用新后门Aclip攻击亚洲某航空公司
发布时间 2021-12-17IBM发现ITG17利用新后门Aclip攻击亚洲某航空公司
IBM Security X-Force团队在12月15日公开疑似来自伊朗团伙ITG17(又名MuddyWater)的攻击活动。该活动始于2019年,利用新的后门Aclip,攻击亚洲的某航空公司,旨在窃取航班预订数据。该后门因为使用名为aclip.bat的Windows批处理脚本执行而得名Aclip,并通过Slack API函数从C2服务器接收PowerShell命令。因为此次攻击使用的2个自定义工具Win32Drv.exe和OutlookTR.aspx,以及C2地址46.166.176[.]210与ITG17有关,所以研究团队将活动归因于该团伙。
原文链接:
https://securityintelligence.com/posts/nation-state-threat-group-targets-airline-aclip-backdoor/
Emotet活动在短暂停歇后开始分发Cobalt Strike
上周四开始,Emotet团伙暂停了所有的攻击活动。直到12月16日,Cryptolaemus的研究人员称其再次开始发起攻击,并在已被入侵的设备上安装Cobalt Strike Beacons。通过分析CS Beacons样本发现,恶意软件将利用伪造的jquery-3.3.1.min.js文件与C2进行通信。它每次与C2通信时都会下载一个jQuery文件,该文件每次都会用新的指令更改一个变量。由于大部分是合法的jQuery源代码,因此更容易绕过安全检测。
原文链接:
https://www.bleepingcomputer.com/news/security/emotet-starts-dropping-cobalt-strike-again-for-faster-attacks/
新间谍软件PseudoManuscrypt攻击3.5万多台设备
Kaspersky在12月16日披露PseudoManuscrypt大规模间谍活动的细节。该恶意软件因为类似于APT组织Lazarus的Manuscrypt而得名,在1月20日到11月10日期间试图攻击了195个国家和地区的35000多台设备。此次活动主要针对官方组织和工业控制系统(ICS),涉及工程、楼宇自动化、能源、制造、建筑、公用事业和水管理等行业。研究人员表示,至少7.2%的目标是ICS的一部分。
原文链接:
https://ics-cert.kaspersky.com/reports/2021/12/16/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign/
FBI称其已恢复俄勒冈州OAG约75万患者的被盗数据
俄勒冈州麻醉学组织(OAG)曾在今年7月11日遭到勒索攻击,导致约75万患者的信息被窃取并加密。遭到攻击后,该组织被迫从异地备份中恢复系统,并从头重建其IT基础设施。10月21日,FBI通知OAG乌克兰黑客团伙HelloKitty的一个账户已被查封,其中就有OAG的患者和员工信息,该机构还认为攻击者是利用OAG第三方防火墙中的漏洞入侵网络的。
原文链接:
https://www.infosecurity-magazine.com/news/fbi-recovers-oregonians-stolen/
Firefox用户因SSL证书验证错误无法访问微软官网
本周,使用Mozilla Firefox浏览器的用户无法访问microsoft.com及其子域。研究人员经过测试确认,该问题与SSL证书验证错误有关。错误代码为“MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING”,其中在线证书状态协议(OCSP)是浏览器和其它客户端应用检查SSL证书是否已被吊销的一种方式。该错误源于Firefox中存在8年的问题,其不能识别收到的OCSP响应中CertID字段的SHA-2系列(例如SHA-256),因此任何包含SHA-256的证书都被视为无效的,并会导致Firefox终止与网站的连接。
原文链接:
https://www.bleepingcomputer.com/news/security/firefox-users-cant-reach-microsoftcom-heres-what-to-do/
ESET发布关于多个银行木马攻击活动的分析报告
12月15日,ESET发布了关于多个拉丁美洲的银行木马攻击活动的分析报告。这些恶意软件主要针对巴西,其次为西班牙和墨西哥等国家。它们中的90%以上是通过垃圾邮件分发的,一次活动通常最多持续一周。在2021年Q3和Q4,Grandoreiro、Ousaban和Casbaneiro的攻击范围大幅增加。报告还列出了Krachulka等木马的IoC和MITRE ATT&CK等信息。
原文链接:
https://www.welivesecurity.com/2021/12/15/dirty-dozen-latin-america-amavaldo-zumanek/
京公网安备11010802024551号