【威胁通告】AG公司科技威胁情报周报（2022.02.21-2022.02.27）

2022-02-28

一、热门资讯

1. 网络攻击者使用DocuSign窃取Microsoft Outlook登录信息

【标签】企业

【概述】

研究职员发明，针对“位于北美的一家大型、果真生意的综合支付解决计划公司”的重大网络垂纶运动使用DocuSign和受熏染的第三方电子邮件域来绕过电子邮件清静步伐。而该运动在公司周围散布看似无害的电子邮件，实则目的是窃取微软的登录凭证。

【参考链接】

https://ti.nsfocus.com/security-news/IlNiG

2. 攻击者使用勒索软件攻击华硕子公司ASUSTOR

【标签】企业

【概述】

克日华硕旗下子公司华芸科技（Asustor）的网络附加存储（NAS）遭遇了勒索攻击。此次勒索攻击波及全球众多用户，并在ASUSTOR论坛上引起来普遍讨论。研究职员体现与上个月QNAP NAS装备被勒索攻击相类似，两次攻击均是DeadBolt勒索软件所为，所有文件都被加了.deadbolt 文件扩展名。ASUSTOR 登录页面也被一张数据勒索通知取代，要求用户支0.03个比特币，折合人民币约七千多元。

【参考链接】

https://ti.nsfocus.com/security-news/IlNiI

3. 攻击者通过微软官方市肆的游戏应用程序分发Electron Bot 新恶意软件控制社交媒体帐户

【标签】社交媒体

【概述】

研究职员检测到一种名为 Electron Bot 的新恶意软件，该恶意软件已熏染全球 5,000 多台运念头械。并体现在“Temple Run”或“Subway Surfer”等热门游戏发明保存该恶意软件，攻击者可以使用装置的恶意软件作为后门，以完全控制受害者的机械，而大大都受害者来自瑞典、保加利亚、俄罗斯、百慕大和西班牙。Electron 是一个使用 Web 剧本构建跨平台桌面应用程序的框架。该框架团结了 Chromium 渲染引擎和 Node.js 运行时，使其具备由JavaScript等剧本控制的浏览器功效，为了阻止被检测到，大大都控制恶意软件的剧本都是在运行时从攻击者的服务器动态加载的。这使攻击者能够在任何给准时间修改恶意软件的有用负载并更改机械人的行为。

【参考链接】

https://ti.nsfocus.com/security-news/IlNiH

4. 攻击者使用Dridex 恶意软件在被黑盘算机上安排熵勒索软件

【标签】企业、政府

【概述】

研究职员在Dridex通用恶意软件和一种鲜为人知的勒索软件Entropy之间发明了相似之处，并体现它的相似之处在于用于隐藏勒索软件代码的软件打包程序，用于查找和混淆下令（API 挪用）的恶意软件子程序，以及用于解密加密文本的子程序。而研究职员是在针对一家未签字媒体公司和一家地区政府机构的两起无关事务之后，发明了这些配合点。

【参考链接】

https://ti.nsfocus.com/security-news/IlNis

5. 攻击者使用Wiper恶意软件对伊朗广播公司IRIB提倡攻击

【标签】政府、企业

【概述】

伊朗国家媒体公司伊朗伊斯兰共和国广播公司 (IRIB) 在 2022 年 1 月下旬遭到了擦除恶意软件的攻击。视察此次攻击的研究职员报告称，攻击者使用擦除恶意软件破损该州的广播网络，破损电视和广播网络。在视察历程中研究职员发明了两个相同的.NET 样本，名为msdskint.exe，用于擦除受熏染设惫亓文件、驱动器和MBR，使它们无法使用。并体现该恶意软件还具有扫除Windows事务日志、删除备份、终止历程和更改用户密码的能力。

【参考链接】

https://ti.nsfocus.com/security-news/IlNip

6. 儿童奢侈品打扮店Melijoe 200GB客户数据遭泄露

【标签】企业

【概述】

研究职员称，由于其中一个设置过失的 Amazon S3 存储桶，该公司袒露了包括近 200 万个文件的高达200 GB的数据。更糟糕的是，存储桶在没有任何密码或清静身份验证的情形下被果真会见，这意味着任何知道怎样查找设置过失的数据库的人都可以会见数据。经由对这些数据集的进一步剖析发明以下敏感信息被泄露：性别、出生日期、电话号码、电子邮件地点、帐单地点、支付方法及孩子的全名。

【参考链接】

https://ti.nsfocus.com/security-news/IlNi9

7. 攻击者使用Xenomorph 恶意软件窃取Android 装备的财务信息

【标签】金融

【概述】

研究职员发明凌驾50,000 台 Android 装备熏染了一种名为Xenomorph 的新型银行木马，该木马通过Google Play市肆撒播以窃取财务信息。研究职员体现 Xenomorph 特洛伊木马通过通用性能提升应用程序（如“Fast Cleaner”）进入了Google Play市肆，而Xenomorph 这样的银行木马旨在窃取敏感的银行详细信息、控制账户并提倡未经授权的生意，并将被盗数据出售给潜在买家。

【参考链接】

https://ti.nsfocus.com/security-news/IlNi8

8. 乌克兰在与俄罗斯主要时势中遭受网络攻击

【标签】金融、政府

【概述】

乌克兰国防部周二体现，由于与俄罗斯的主要时势加剧，以及担心莫斯科可能对该国接纳激举行动，包括潜在的地面入侵，它遭到了网络攻击。别的，据隶属于文化和信息政策部的乌克兰战略通讯和信息清静中心称，至少有两家乌克兰银行和一些 ATM 机失去了毗连。

【参考链接】

https://ti.nsfocus.com/security-news/IlNhW

9. 伊朗黑客使用 Log4j误差安排勒索软件攻击VMware Horizon服务器

【标签】不区分行业

【概述】

与伊朗政府结盟的攻击者正在起劲使用众所周知的Log4j 误差，用勒索软件熏染未修补的 VMware Horizon 服务器。研究职员体现与 Log4Shell一起视察到的尚有使用 Fortinet FortiOS 路径遍历误差 ( CVE-2018-13379 ) 和 Microsoft Exchange ProxyShell误差来获得对目的网络的初始会见权限以举行后期使用。TunnelVision 攻击者一直在起劲使用该误差来运行恶意 PowerShell 下令、安排后门、建设后门用户、获取凭证并执行横向移动。

【参考链接】

https://ti.nsfocus.com/security-news/IlNhK

10. 黑客以供应链攻击台湾金融商业部分

【标签】金融

【概述】

台湾清静公司发明渗透运动，代号为“缓存熊猫行动”，使用在台湾市场占有率凌驾80%的无名证券软件的网页治理界面中的一个误差，使用该误差安排一个网页外壳，作为植入的管道。受熏染系统上的Quasar RAT旨在窃取敏感信息。而Quasar RAT 是用 .NET 编写的果真可用的开源远程会见木马 (RAT)。它的功效包括捕获屏幕截图、录制网络摄像头、编辑注册表、键盘纪录和窃取密码。别的，攻击还使用名为 wenshushu.cn 的中国云文件共享服务下载辅助工具。

【参考链接】

https://ti.nsfocus.com/security-news/IlNic

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2022.02.14-2022.02.20）

>>下一篇

【威胁通告】AG公司科技威胁情报月报（2022年2月）