一周威胁情报摘要

金融威胁情报

• 加密货币交易所 Coinbase 遭到黑客攻击

政府威胁情报

• SideCopy APT 组织瞄准印度政府展开攻击

能源威胁情报

• 葡萄牙供水公司 Aguas do Porto 遭勒索软件攻击

工控威胁情报

• Mirai V3G4 僵尸网络利用13个漏洞瞄准物联网设备

流行威胁情报

• 新型恶意软件 ProxyShellMiner 利用 ProxyShell 漏洞在 Windows 域中展开挖矿

高级威胁情报

• 响尾蛇近期攻击活动披露，瞄准国内高校展开钓鱼

漏洞情报

• Mozilla 发布更新修复 Firefox 中的10 个高危漏洞

勒索专题

• Reventics 公司遭到 Royal 勒索软件攻击，数据发生泄露

钓鱼专题

• BEC 活动：冒充高管对全球公司进行攻击

加密货币交易所 Coinbase 遭到黑客攻击

  Tag：加密货币，Coinbase

近日，加密货币交易所 Coinbase 针对最近一次的网络攻击发表声明称，该攻击始于链接钓鱼、窃取凭据，然后利用窃取的员工凭据远程访问连接 Coinbase，由于攻击者没有获得多因素身份验证凭据，没有成功访问内网数据，阻止了资金被盗用和客户信息被滥用，但 Coinbase 员工的一些联系信息被盗用，包括员工姓名、电子邮件地址和一些电话号码。Coinbase 表示在其检测到可疑活动时，立即暂停了目标员工的所有访问权限，并对此次事件立即展开了调查。调查显示，这次攻击很可能是由威胁参与者 0ktapus 发起的，它是至少 针对130 个其他组织（包括Twilio 和 Cloudflare）攻击活动的幕后黑手。

来源：

https://securityaffairs.com/142507/cyber-crime/coinbase-smishing-attack.html

政府威胁情报

SideCopy APT 组织瞄准印度政府展开攻击

  Tag：SideCopy，APT，印度政府

近日，ThreatMon 发文指出 SideCopy 威胁组织针对印度政府组织展开鱼叉式网络钓鱼活动，旨在部署ReverseRAT 后门的更新版本，收集信息。SideCopy 是一个起源于巴基斯坦的威胁组织，与另一个名 Transparent Tribe 的威胁组织存在重叠。它因模仿与 SideWinder 相关的感染链来传播自己的恶意软件而得名。 

技术手法：

感染链始于一封包含启用宏的 Word 文档（“Cyber Advisory 2023.docm”）的网络钓鱼电子邮件。该文件伪装成印度通信部关于“Android 威胁和预防”的虚假咨询，其中咨询大部分内容是从该部门于 2020 年 7 月发布的关于最佳网络安全实践的实际警报中复制的。诱导目标打开文件并启用宏，宏触发执行恶意代码在受感染的系统上部署 ReverseRAT。ReverseRAT 通过修改注册表项获得持久性后，枚举受害者设备的软件，收集系统网络配置信息等数据，使用 RC4 加密，并将其发送到 C2 服务器。

来源：

https://threatmon.io/apt-sidecopy-targeting-indian-government-entities/

能源威胁情报

葡萄牙供水公司 Aguas do Porto 遭勒索软件攻击

  Tag：水资源，勒索软件

Aguas do Porto 是一家市政供水公司，负责管理包括供水和废水排放在内的整个水循环系统，同时还管理公共照明和光伏园区。Aguas do Porto 公司于 1 月 30 日披露了安全漏洞，称遭到网络攻击，其部分服务受到影响，但并未影响其供水和卫生设施。近日，LockBit 勒索软件组织将市政供水公司添加到 Tor 泄漏网站的受害者名单中，声称已经入侵 Aguas do Porto 并威胁要泄露被盗数据。截至目前，该组织尚未发布被盗数据样本作为安全漏洞的证据，也尚不清楚勒索软件团伙窃取的数据量和数据类型。

来源：

https://securityaffairs.com/142477/cyber-crime/lockbit-water-utility-aguas-do-porto.html

工控威胁情报

Mirai V3G4 僵尸网络利用13个漏洞瞄准物联网设备

  Tag：僵尸网络，漏洞，物联网

Palo Alto Networks Unit 42 研究人员称在2022年7月至2022年12月期间，一种名为 V3G4 的 Miral 变种试图利用多个远程命令执行、命令注入漏洞感染物联网设备并进行自我传播，以组成可用于进行多种攻击（包括DDoS攻击）的僵尸网络。此外，研究人员还观察到三个 Mirai V3G4 活动中硬编码命令和控制 (C2) 域包含相同的字符串 (8xl9)、恶意软件 shell 脚本下载程序、XOR 解密密钥，推测其背后可能是同一威胁组织。

技术手法：

僵尸网络利用13个漏洞在易受攻击的设备上执行远程代码。成功利用后，恶意代码执行 wget 和 curl 实用程序，从攻击者的基础设施下载并执行 Mirai bot。并且 V3G4 还会在感染设备上检索是否存在执行 V3G4 感染实例，可确保只有一个恶意软件实例在受感染的设备上执行。如果僵尸网络进程已经存在，僵尸网络客户端将退出。此外，僵尸网络还试图通过检查受感染设备上的名称来终止包含在硬编码“停止列表”中的进程列表，使用不同的 XOR 加密密钥进行字符串加密。

来源：

https://unit42.paloaltonetworks.com/mirai-variant-v3g4/

流行威胁情报

新型恶意软件 ProxyShellMiner 利用 ProxyShell 漏洞在 Windows 域中展开挖矿

  Tag：恶意软件，漏洞，挖矿

近日，外媒披露称新型恶意软件 “ProxyShellMiner”  利用 Microsoft Exchange ProxyShell 漏洞在整个Windows域中部署加密货币矿工，进行谋利。据披露该恶意软件的影响不仅仅是导致服务中断、服务器性能下降和计算机过热。一旦攻击者在网络中站稳脚跟，他们就可以做从部署后门到执行任意代码。为了应对 ProxyShellMiner 感染的风险，Morphisec 建议所有管理员应用可用的安全更新并使用全面和多方面的威胁检测和防御策略。

技术手法：

攻击者利用ProxyShell漏洞 CVE-2021-34473 和 CVE-2021-34523 来获得对组织网络的初始访问权限，继而将 .NET 恶意软件有效载荷释放到域控制器的 NETLOGON 文件夹中，以确保网络上的所有设备都运行该恶意软件。然后恶意软件下载名为“DC_DLL”的文件并执行 .NET 反射以提取任务调度器、XML 和 XMRig 密钥的参数。第二个下载程序通过创建一个被配置为在用户登录时运行的计划任务，在受感染的系统上建立持久性。最后，创建一个适用于所有 Windows 防火墙配置文件的规则来阻止所有传出流量。

来源：

https://www.bleepingcomputer.com/news/security/microsoft-exchange-proxyshell-flaws-exploited-in-new-crypto-mining-attack/

高级威胁情报

“响尾蛇”近期攻击活动披露，瞄准国内高校展开钓鱼

  Tag：响尾蛇，APT，教育，网络钓鱼

• 攻击者通过钓鱼邮件向我国某高校发起网络攻击，通过在邮件中附带恶意附件执行恶意代码，并且攻击者在打包压缩包过程中遗留了打包文件，通过打包文件可以关联出一批同属于该组织的其他攻击样本。
• 除了针对我国的攻击外，攻击者还利用模板注入的方式投递恶意文档，向巴基斯坦政府、军队等单位发起攻击，根据该组织以往的攻击活动判断，后续会下载攻击者的下载器木马执行后续攻击。

来源：

https://mp.weixin.qq.com/s/yX8iKaPSr9VS3Z2wsgdisw

Mozilla 发布更新修复 Firefox 中的10 个高危漏洞

  Tag：Firefox，高危漏洞

事件概述：

Mozilla 本周宣布发布 Firefox 110 和 Firefox ESR 102.8 版本，其中包含10个高危漏洞的补丁。第一个漏洞 CVE-2023-25728 在 iframe 交互时触发重定向可能导致泄漏 iframe 未编辑的 URI。最新的 Firefox 版本还解决了通过浏览器全屏模式进行屏幕劫持的漏洞 CVE-2023-25730，成功利用该漏洞可能会导致潜在的用户混淆或欺骗攻击。Mozilla 还解决了 Firefox Focus 中的一个漏洞 CVE-2023-25743，该漏洞不会显示全屏通知。此外，Mozilla 还发布了影响 Firefox 109和 Firefox ESR 102.7  的多个内存安全漏洞的补丁，Firefox 110 和 Firefox ESR 102.8也发布了针对几个中低严重性漏洞的补丁。

来源：

https://www.securityweek.com/firefox-updates-patch-10-high-severity-vulnerabilities/

钓鱼专题