安全威胁情报周报（01.18-01.24）

一周情报摘要

金融威胁情报

• Capital Economics 泄露超 50 万高层用户记录
• 俄罗斯加密货币交易所 Livecoin 遭黑客攻击后关闭
• Elon Musk 加密货币充值返双倍骗局，黑客一周获利58万美元
• 拉丁美洲银行木马 Vadokrist 揭秘

政府威胁情报

• 苏格兰环境保护局遭到 Conti 勒索软件攻击

能源威胁情报

• 黑客绕过 Microsoft Office 365 高级威胁防护对企业进行钓鱼攻击，能源行业位居受害榜第二

工控威胁情报

• FiberHome 路由器中发现多个后门和漏洞

流行威胁情报

• FBI 警告：窃取凭据的语音网络钓鱼活动正在兴起

高级威胁情报

• SolarWinds 供应链攻击中发现第4种恶意软件

漏洞情报

• Linux 设备的新漏洞被 FreakOut 用于创建 IRC 僵尸网络

金融威胁情报

Capital Economics 泄露超 50 万高层用户记录

Cyble 的研究人员在一个俄语论坛上发现了全球领先独立经济研究公司 Capital Economics 的 50 多万 C 级人员的记录被泄漏，内容包含各种重要的用户个人资料，包括电子邮件 ID、密码哈希、地址等。企业电子邮件 ID 可能会被攻击者利用，进行广泛的恶意活动。据 KELA 的研究人员称，这不是 Capital Economics 数据库第一次被泄露，它最初是在1月初在一个讲英语论坛上泄露的，该论坛公开了将近 50 万人的信息。

来源：https://cybleinc.com/2021/01/19/500k-records-of-c-level-individuals-allegedly-leaked-on-the-darkweb/

俄罗斯加密货币交易所 Livecoin 遭黑客攻击后关闭

近日，俄罗斯加密货币交易所 Livecoin 宣布停业。Livecoin 在2020年底遭到黑客攻击，服务器被接管，技术和财务损失严重，无法继续运营，最终选择关闭。Livecoin 数据显示，用户在攻击期间损失了330万美元的资金，价值540万美元。Livecoin 表示会将剩余资金支付给其用户，并要求其用户通过电子邮件进行联系，以便进行核实。用户申请偿还资金的有效期到2021年3月17日。Livecoin 还提醒用户注意非官方的 Livecoin 聊天群组，提防其散步虚假信息来欺骗用户。

来源：https://www.hackread.com/livecoin-crypto-exchange-shutdown-domain-hackers/

Elon Musk 加密货币充值返双倍骗局，黑客一周获利58万美元

MalwareHunterTeam 发现，过去一周，假冒特斯拉 CEO 埃隆·马斯克（Elon Musk）的推特加密货币赠品骗局有所增加，黑客一周内赚取了58万美元。Twitter 上加密货币欺诈骗没有什么新鲜的，尤其是那些假装是埃隆·马斯克赠品的诈骗。2018年，骗子利用推特上推广的埃隆·马斯克免费赠品骗局大赚18万美元。最近的诈骗活动主要通过蓝V认证的推特账号回复马斯克的推文，并宣传一个据称是马斯克免费赠送加密货币的骗局。这些推文包含指向宣传虚假赠品的媒体文章的链接，这些文章还包含了指向骗局登录页面的链接，上面说如果向列出的地址发送比特币，他们将会返给你两倍的金额。虽然这些推文大多以埃隆·马斯克为主题，但一些被黑的帐户也通过 Gemini Exchange 的 Tyler Winklevoss 推广了虚假赠品。

来源：https://www.bleepingcomputer.com/news/security/verified-twitter-accounts-hacked-in-580k-elon-musk-crypto-scam/

拉丁美洲银行木马 Vadokrist 揭秘

ESET 公布了拉丁美洲银行木马 Vadokrist 的研究发现。Vadokrist 是专门针对巴西的银行木马，具有拉丁美洲地区银行木马的典型特征：用 Delphi 编写并具备后门功能。与其他木马的主要区别在于，Vadokrist 不会在成功进入受害者的计算机后立即收集有关受害者的信息。为了确保持久性，Vadokrist 使用运行键或在启动文件夹中创建 LNK 文件。Vadokrist 的后门功能比较典型，能够操纵鼠标并模拟键盘输入，记录击键，截屏并重新启动计算机，而且能够阻止某些网站的访问，可以在受害者尝试访问此类网站时终止浏览器进程，该技术可用于防止受害者访问其在线银行帐户，从而帮助他们保持控制权。

来源：https://www.welivesecurity.com/2021/01/21/vadokrist-wolf-sheeps-clothing/

政府威胁情报

苏格兰环境保护局遭到 Conti 勒索软件攻击

苏格兰环境保护局（SEPA）称其在2020年12月24日遭到了 Conti 勒索软件攻击，其内部系统和联络中心被攻击破坏。此次攻击泄露了大约 1.2 GB 的数据，虽然数据量不大，但至少有4000份文件可能遭到黑客盗取，包括商业信息、采购信息、项目信息和员工信息。SEPA称，目前电子邮件、员工时间表、专业的报告工具、系统和数据库仍然不可用。尽管 SEPA 并未透露攻击者名称，但 Conti 声称此次攻击是他们所为，并已在其网站上发布了窃取的数据的7％以威胁索要赎金。

来源：https://www.bankinfosecurity.com/ransomware-disrupts-scottish-environment-protection-agency-a-15768

能源威胁情报

黑客绕过 Microsoft Office 365 高级威胁防护对企业进行钓鱼攻击，能源行业位居受害榜第二

Check point 联合 Otorio 对2020年8月的一起全球性大规模钓鱼攻击活动展开调查，并发布了分析报告。攻击者利用伪装成 Xerox 扫描通知的钓鱼邮件诱使用户打开一个恶意的 HTML 附件，恶意附件将会引导用户输入 Microsoft 账号密码，然后将账号及密码发送到攻击者指定的地址，并重定向至真正的微软官网。攻击过程成功绕过了 Microsoft Office 365 高级威胁防护（ATP）过滤系统，并窃取了上千名企业员工的凭证。由于攻击链中的一个简单错误，导致所有窃取的账号密码全部暴露在互联网中，只需要在 Google 中搜索即可找到被盗取邮件地址凭证。报告显示，攻击目标涉及多个行业，能源和建筑业位居受害者前两位。

来源：https://blog.checkpoint.com/2021/01/21/cyber-criminals-leave-stolen-phishing-credentials-in-plain-sight/

工控威胁情报

FiberHome 路由器中发现多个后门和漏洞

研究人员表示，在南美和东南亚地区流行的 FTTH ONT 路由器 HG6245D 和 FiberHome RP2602 的固件中，至少发现了28个后门帐户和其他几个漏洞，攻击者可以利用这些漏洞来接管 ISP 的基础设施。FTTH ONT 路由器通常安装在公寓楼或选择千兆位类型订阅的家庭或企业内部。研究人员指出，路由器的防火墙只在 IPv4 接口上有效，却没有在 IPv6 接口上激活，攻击者只要通过 IPv6 地址来访问设备，就可以直接访问所有路由器的内部服务。研究人员还警告说，由于大多数供应商倾向于在不同的生产系列之间重用或稍微编辑固件，相同的后门/漏洞问题也可能影响到其他 FiberHome 型号的路由器。目前，设备厂商 FiberHome 尚未就此问题做出回应。据称，2019年底，攻击者已开始滥用 FiberHome 系统组装僵尸网络。2020年5月，美国商务部将 FiberHome 和其他8家中国科技公司列入黑名单，限制其接触美国公司、出口和技术。

来源：https://pierrekim.github.io/blog/2021-01-12-fiberhome-ont-0day-vulnerabilities.html

流行威胁情报

FBI 警告：窃取凭据的语音网络钓鱼活动正在兴起

美国联邦调查局（FBI）发布警告称，攻击者正在利用语音网络钓鱼攻击窃取全球企业员工的网络凭据以进行网络访问和权限升级。语音网络钓鱼（Vishing）是一种社会工程攻击，攻击者在语音通话中冒充一个可信实体，说服目标透露银行或登录凭据等敏感信息。攻击者使用网络语音协议（VoIP）平台诱骗目标员工登录到他们控制的钓鱼网页，以获取员工用户名和密码。一旦攻击者获得了企业网络的访问权限，攻击者可以对企业的系统造成各种各样的破坏，比如植入恶意软件，筛选公司数据以搜索私有数据，或者获取高管的帐户凭证，进行商务电子邮件欺诈(BEC)。FBI 建议实施双重身份验证、主动扫描和监控未经授权的访问、网络分割和定期审查员工网络访问来降低此类攻击的风险。

来源：https://www.ic3.gov/Media/News/2021/210115.pdf

高级威胁情报

SolarWinds 供应链攻击中发现第4种恶意软件

赛门铁克研究人员发现了 SolarWinds 供应链攻击中的第4种恶意软件 Raindrop，另外3种恶意软件为 SUNSPOT、SUNBURST 和 TEARDROP。Raindrop 与 Teardrop 相似，都用于投送 Cobalt Strike 载荷，但存在关键性区别，Teardrop 由初始 SUNBURST 后门投送，而 Raindrop 似乎被用来在受害者的网络中传播。Raindrop 被修改版的 7-Zip 源代码编译为 DLL 文件，7-Zip 代码未使用，旨在隐藏恶意功能。每当加载 DLL 时，它都会从执行恶意代码的 DllMain 子例程中启动一个新线程。恶意线程将执行一些计算来延迟执行，并定位嵌入在合法 7-Zip 代码中的编码有效载荷的起始点。 到目前为止，已经发现了 4 个 Raindrop 样本。在3个样本中，Cobalt Strike 被配置为使用 HTTPS 作为通信协议。在第4个样本中，它被配置为使用 SMB 命名管道作为通信协议。

来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware

漏洞情报

Linux 设备的新漏洞被 FreakOut 用于创建 IRC 僵尸网络

Check Point Research 发现，一种名为 FreakOut 的新的恶意软件变种正在利用 Linux 设备漏洞进行攻击活动，目的是创建一个 IRC 僵尸网络，以后可以用于 DDoS 攻击或加密挖掘等多种目的。FreakOut 具有广泛的功能，包括端口扫描、信息收集、数据包的创建和发送、网络嗅探，以及发起 DDoS 和网络泛滥攻击的能力。攻击活动利用了最新发现的3个漏洞：CVE-2020-28188、CVE-2021-3007 和CVE-2020-7961，攻击者利用这些漏洞可以在被入侵的服务器上上传和执行python脚本。受漏洞影响的产品包括：TerraMaster 操作系统、Zendframework、Liferay Portal。研究人员发现攻击的主要目标是北美及西欧地区的金融、政府和医疗机构。

来源：https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/