金融威胁情报

跨国银行 ICICI 敏感数据遭到泄露

  Tag：银行，数据泄露

ICICI Bank 是一家印度跨国银行，它在印度拥有超过5000家分支机构，在全球另外15个国家也有业务。然而，最近该银行发生了一起严重的数据泄露事件。调查显示，银行的一个云存储桶由于配置错误，导致超过360万个文件被泄露，其中包括银行账户信息、对账单、信用卡号码、个人身份证件、家庭住址、电话号码、电子邮件等敏感信息。此外，该存储桶还存储了客户护照、身份证和印度纳税人识别号文件等信息。虽然银行已经采取了措施限制对该存储桶的访问，但已泄露的数据仍然对客户和员工的安全构成潜在威胁。如果数据落入网络犯罪分子手中，他们可能利用这些信息进行身份盗窃和欺诈活动，导致银行声誉受损、客户资金遭受损失，甚至可能面临灾难性的后果。因此，建议采取必要措施，加强网络安全和数据保护能力，避免类似事件再次发生，并最大限度地保护客户和员工的敏感信息。

来源：

https://securityaffairs.com/145094/uncategorized/icici-bank-data-leak.html

政府威胁情报

东欧地区新 APT 组织 APT-LY-1007 瞄准俄罗斯军队展开攻击

  Tag：APT-LY-1007，军队

近日，研究人员发现了一起针对俄罗斯军事部队的攻击活动。经过溯源分析，研究人员确认这次攻击是由一个新的 APT 组织 “APT-LY-1007” 发起的。该组织最早出现在2022年8月，攻击目标不仅包括俄罗斯国防部，还包括俄罗斯铁路部门。攻击者利用俄罗斯联邦武装部队电子部队的专业假期“电子战专家日”为主题，诱骗目标点击并运行恶意文档，进而释放远控木马，窃取目标机密信息。

技术手法：

攻击活动的初始阶段，攻击者通常以“推迟征召俄罗斯联邦武装部队的命令”、“俄罗斯铁路股份公司免除义务征召通知”为话题下发文档，利用远程模板加载含有恶意宏代码的 DOTM 文件。恶意宏代码会获取远程文件（JS脚本、EXE可执行文件）到本地。接下来，JS脚本会通过 cmd.exe 运行远控木马 Cyrillic RAT。该木马可以执行多种指令，首先它会枚举进程以查找是否有 tcpview、vmmap、debugview 等程序，用来监控其他进程。其次，它会通过 WMI 查询本机的制造商以及型号信息，看是否包含 virtual、vmbox、vmware 等字段来判断是否处于虚拟环境。最后，它会创建计划任务实现持久性。完成上述操作后，木马将解密出 C2，并通过socket建立连接，根据 C2 回传指令执行其他有效负载。

来源：

https://mp.weixin.qq.com/s/bOJ88Zzk27ZaHShlYUCYgA

工控威胁情报

思科发布安全更新修复多个关键漏洞

  Tag：思科，漏洞

近日，思科发布安全更新，以解决其 Industrial Network Director 和 Modeling Labs 解决方案中的两个关键安全漏洞CVE-2023-20036和CVE-2023-20039。这些漏洞可能被攻击者利用来注入任意操作系统命令或访问敏感数据。CVE-2023-20036漏洞是由于上传设备包时的不当输入验证导致的，攻击者可以通过更改上传设备包时发送的请求来利用此漏洞。成功利用此漏洞可能允许攻击者在受影响设备的底层操作系统上以 NT AUTHORITY\SYSTEM 身份执行任意命令。另一个漏洞是 CVE-2023-20154，此漏洞是由于对相关外部身份验证服务器返回的某些消息的处理不当造成的。攻击者可以通过登录受影响服务器的 Web 界面来利用此漏洞，成功利用此漏洞可能允许攻击者在受影响服务器的Web界面上获得管理权限，包括访问和修改每个模拟和所有用户创建的数据的能力。

来源：

https://securityaffairs.com/145108/security/industrial-network-director-and-modeling-labs-critical-flaws.html

流行威胁情报

ViperSoftX：一种主要针对加密货币的信息窃取软件

  Tag：ViperSoftX，信息窃取恶意软件

事件概述：

Trend Micro研究人员表示，该恶意软件还在不断升级加密技术，难以被传统的安全解决方案所检测。为了防止受到此类攻击，建议用户要时刻保持警惕，不要轻信不明身份的邮件和软件包，并随时更新自己的安全防护软件。

来源：

https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html

高级威胁情报

Educated Manticore 组织部署 PowerLess 后门发动钓鱼攻击

  Tag：APT35，网络钓鱼

近日，外媒发文指出伊朗国家威胁组织 Educated Manticore 与针对以色列的新一波网络钓鱼攻击有关，该攻击旨在部署名为 PowerLess 后门的更新版本。Educated Manticore 至少从2011年开始活跃，通过利用虚假社交媒体角色、鱼叉式网络钓鱼技术和暴露在 Internet上的应用程序中的 N-day 漏洞来获取初始访问权限并投放各种有效负载（包括勒索软件）。

技术手法：

攻击链从一个 ISO 磁盘映像文件开始，ISO 文件充当显示用阿拉伯语、英语和希伯来语编写的诱饵文件的渠道，该文件以包含来自合法的非营利实体阿拉伯科学技术基金会 (ASTF) 的关于伊拉克的学术内容为主题的诱饵来放置一个自定义的内存下载器，最终启动 PowerLess 植入程序。PowerLess 可以下载额外的模块，包括键盘记录器、浏览器信息窃取器和环境录音器。

来源：

https://research.checkpoint.com/2023/educated-manticore-iran-aligned-threat-actor-targeting-israel-via-improved-arsenal-of-tools/

漏洞情报

VMware 修复 Workstation 和 Fusion 软件中的多个安全漏洞

  Tag：VMware，漏洞

近日，VMware 已发布更新以解决影响其 Workstation 和 Fusion 软件的多个安全漏洞，其中最严重的漏洞 CVE-2023-20869 是基于堆栈的缓冲区溢出漏洞，存在于与虚拟机共享主机的蓝牙设备中，允许本地攻击者实现代码执行。另一个漏洞是越界读取漏洞 CVE-2023-20870，该漏洞可能被具有管理员权限的本地攻击者滥用，从虚拟机读取包含在内存中的敏感信息。此外，VMware 还修复了另外两个漏洞，包括 Fusion 中的本地权限提升漏洞 CVE-2023-20871 和 SCSI CD/DVD 设备模拟中的越界读/写漏洞 CVE- 2023-20872， 前者可以使对主机操作系统具有读/写访问权限的不良行为者获得 root 访问权限，而后者可能导致任意代码执行。

这些漏洞已在 Workstation 版本 17.0.2 和 Fusion 版本 13.0.2 中得到解决。作为 CVE-2023-20869 和 CVE-2023-20870 的临时解决方法，VMware 建议用户关闭虚拟机上的蓝牙支持功能。

来源：

https://thehackernews.com/2023/04/vmware-releases-critical-patches-for.html

勒索专题