【威胁通告】AG公司科技威胁情报周报（2021.11.22-2021.11.28）

2021-11-29

一、威胁通告

黑客使用开源代码平台 SonarQube 误差泄露多家单位源）

【宣布时间】2021-11-25 18:00:00 GMT

【概述】

2021 年 10 月以来，AG公司科技 CERT 监测发明境外黑客组织 AgainstTheWest（简称“ATW”）针对袒露在公网上的 SonarQube 平台举行攻击，窃取了我国多家企业单位信息系统源代码，并在外洋黑客论坛 RaidForums 上举行不法售卖。10 月 14 日，ATW 在 RaidForums 上发帖称要泄露我国某银行系统源代码，并在以后一段时间内一连发帖泄露、售卖我国多家主要单位源代码数据信息。经研判剖析知，ATW 黑客组织攻击的单位涉及金融、运营商、交通、互联网、教育、政府等行业

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 新墨西哥州医疗保健营业的住民数据被泄露

【概述】

研究职员体现一家位于新墨西哥州的医疗包管公司十月遭到网络攻击后，凌驾 62,000 名美国公民的小我私家身份信息可能已被泄露。True Health New Mexico 为美国西南部各州的巨细雇主提供一系列康健包管服务。清静专家确定受影响的文件可能包括有关现任和前任 True Health 新墨西哥成员、选定提供商以及新墨西哥康健毗连的一些前成员的信息，同时受影响的数据可能包括保单持有人的姓名、出生日期、家庭住址、电子邮件地点、包管信息、医疗信息和社会清静号码。为了资助�；て涑稍钡氖�，该包管公司向所有可能受影响的小我私家提供了为期 24 个月的增补信用监控会员资格。

【参考链接】

https://ti.nsfocus.com/security-news/IlN5i

2. 攻击者使用新的隐形JavaScrip恶意软件举行垂纶攻击

【概述】

研究职员已发明攻击者使用以前未纪录在案的 JavaScript 恶意软件菌株，该菌株充当加载程序以分发一系列远程会见木马 (RAT) 和信息窃取程序。HP Threat Research将新的规避加载程序称为“RATDispenser”，该恶意软件认真在 2021 年安排至少八个差别的恶意软件系列。已经发明了这种新恶意软件的约莫155个样本，漫衍在三个差别的变体中，体现它处于运动状态生长。RATDispenser 用于在启动二级恶意软件之前在系统上获得初始驻足点，从而建设对受熏染装备的控制，与其他此类攻击一样，熏染的起点是包括恶意附件的网络垂纶电子邮件，该附件伪装成文本文件，但现实上是经由混淆的 JavaScript 代码，用于编写和执行 VBScript 文件，反过来, 在受熏染的机械上下载最后阶段的恶意软件负载。

【参考链接】

https://ti.nsfocus.com/security-news/IlN5g

3. 黑客使用新的Android特工软件变种攻击中东用户

【概述】

研究职员发明以攻击中东目的而著名的攻击者再次刷新了其 Android特工软件，增强了功效，使其更隐藏、更长期，同时伪装成看似无害的应用程序更新，以坚持在雷达之下。变种在其恶意应用程序中加入了新功效，使它们对用户的操作更有弹性，用户可能会实验手动删除它们，以及清静和网络托管公司试图阻止会见或关闭他们的下令和控制服务器域。移动特工软件VAMP、FrozenCell、GnatSpy和Desert Scorpion至少自 2017 年以来一直是APTC-23威胁组织的首选工具，其一连迭代具有扩展监视功效到真空文件，图像、联系人和通话纪录，阅读来自新闻应用程序的通知，纪录通话（包括 WhatsApp），以及作废来自内置 Android 清静应用程序的通知。恶意软件以 AndroidUpdate、Threema 和 Telegram 为幌子，通过虚伪的 Android 应用程序市肆举行分发。攻击者通过短信向目的发送下载链接来传送特工软件应用程序，装置后，该应用程序最先请求侵入性权限以执行一系列恶意运动，这些运动旨在绕过任何手动删除恶意软件的实验。

【参考链接】

https://ti.nsfocus.com/security-news/IlN51

4. 攻击者使用Android.Cynos.7.origin木马攻击Android装备

【概述】

Dr. Web AV 的研究职员在华为的 AppGallery 目录（即模拟器、平台游戏、街机、战略和射击游戏）中发明了190 款包括 Android.Cynos.7.origin 木马的游戏。他们预计恶意应用程序至少装置在 9.300.00 台 Android 装备上。专家体现，其中一些游戏以俄语外地化、问题和形貌为目的，而其他游戏则针对中国或国际观众。恶意软件旨在网络有关用户及其装备和展示广告的信息。Android.Cynos.7.origin 是 Cynos 程序�？榈男薷陌姹�，可以集成到Android用程序中以通过它们赚钱。该�？橹辽僭� 2014 年就已为人所知，但专家指出，某些版本实现了激进的功效，例如发送优质短信、阻挡收到的短信、下载和启动特殊�？橐约跋略睾妥爸闷渌τ贸绦虻墓π�。

【参考链接】

https://ti.nsfocus.com/security-news/IlN4Y

5. 黑客滥用Glitch平台提倡网络垂纶运动

【概述】

研究职员发明了一项正在举行的鱼叉式网络垂纶运动，该运动使用短期 Glitch 应用程序托管凭证网络 URL，同时逃避检测。攻击者的目的是未命名的中东至公司，电子邮件中包括看似可疑的 PDF，这些 PDF 自己并不是恶意的，但其中包括一个 URL，可将受害者定向到夭折的 Glitch 应用程序清静公司DomainTools 的团队。这些应用程序托管一个 SharePoint 网络垂纶页面，其中包括旨在网络凭证的混淆 JavaScript。

【参考链接】

https://ti.nsfocus.com/security-news/IlN4M

6. GoDaddy公司大宗客户数据被泄露

【概述】

GoDaddy 披露了影响多达 120 万客户的数据泄露事务，攻击者破损了该公司的 WordPress 托管情形。入侵者使用已泄露的密码会见该公司用于托管 WordPress 的旧代码库中的设置系统。视察显示，攻击者使用误差会见以下客户信息：多达 120 万活跃和不活跃的托管 WordPress 客户的电子邮件地点和客户编号被袒露，袒露了在设置时设置的原始 WordPress 治理员密码。并体现电子邮件地点的袒露保存网络垂纶攻击的危害。

【参考链接】

https://ti.nsfocus.com/security-news/IlN4L

7. 攻击者使用BrazKing恶意软件攻击巴西的银行应用程序

【概述】

研究职员发明来自巴西的银行应用程序正成为一种更难以捉摸、更隐藏的 Android 远程会见木马 (RAT) 版本的目的，该木马能够通过窃取双因素身份验证 (2FA) 代码并从受熏染装备提倡恶意生意来举行金融诓骗攻击受害者账户中的资金转移到攻击者运营的账户中。并体现恶意软件BrazKing的最终目的是允许攻击者与装备上正在运行的应用程序举行交互，亲近关注用户在任何给准时间审查的应用程序，纪录在银行应用程序中输入的按键，并显示诓骗性笼罩屏幕以举行虹吸支付卡的PIN码和2FA代码，并最终执行未经授权的生意。

【参考链接】

https://ti.nsfocus.com/security-news/IlN4N

8. 攻击者使用基于Golang的Linux恶意软件针对电子商务网站

【概述】

研究职员体现电子商务门户的弱点正在被使用来安排 Linux 后门以及能够从受熏染网站窃取支付信息的信用卡窃取程序。攻击者从自动化电子商务攻击探测最先，测试常见在线市肆平台中的数十个弱点，然后使用最初的驻足点上传恶意web shell并更改服务器代码以窃取客户数据。别的，攻击者还提供了一个名为“ linux_avp ”的基于Golang的恶意软件，该恶意软件作为后门执行从位于北京的下令和控制服务器远程发送的下令。在执行时，该程序旨在将自身从磁盘中移除并伪装成“ ps -ef ”历程，这是一个用于显示 Unix 和类 Unix 操作系统中目今正在运行的历程的适用程序。并且他们还发明了一个伪装成网站图标图像（“favicon_absolute_top.jpg”）并添加到电子商务平台代码中的 PHP 编码的网络浏览器，目的是注入诓骗性付款表格并窃取输入的信用卡信息由客户实时传输，然后将它们传输到远程服务器。

【参考链接】

https://ti.nsfocus.com/security-news/IlN4w

9. 攻击者使用ProxyLogon和ProxyShell误差攻击Microsoft Exchange服务器

【概述】

研究职员发明针对 Microsoft Exchange 服务器的恶意软件运动使用 ProxyShell 和 ProxyLogon 误差和被盗的内部回复链电子邮件。攻击是由Squirrelwaffle全心策划的，Squirrelwaffle是一个以发送恶意垃圾邮件作为对现有电子邮件链的回复而著名的攻击者。研究职员体现一旦 Exchange 服务器受到攻击，攻击者就会使用会见权限往返复公司内部电子邮件，举行回复链攻击，其中包括指向武器化文档的链接。而从组织发送新闻会允许攻击者绕过检测。

【参考链接】

https://ti.nsfocus.com/security-news/IlN3t

10. 攻击者使用Memento勒索软件攻击受密码�；さ腤inRAR档案

【概述】

10 月，Sophos 研究职员发明了 Memento 勒索软件，它接纳了一种希奇的要领来阻止对受害者文件的会见。该勒索软件将文件复制到受密码�；さ� WinRAR 档案中，它使用正当文件适用程序 WinRAR的重命名的免费软件版本。Memento勒索软件然后加密密码并从受害者的系统中删除原始文件。该组织最初实验直接加密文件，但被防御解决计划阻止。然后它改变了战略，使用上述流程并要求 100 万美元来恢复文件。该团伙还允许以 0.099 BTC（5036,21 欧元）的价钱恢复单个文件。与其他整体一样，若是受害者不支付赎金，Memento Team会威胁数据泄露。

【参考链接】

https://ti.nsfocus.com/security-news/IlN4v

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.11.15-2021.11.21）

>>下一篇

【威胁通告】AG公司科技威胁情报月报（2021年11月）