一周情报摘要

威胁趋势

2022年新兴网络安全技术，你了解了吗？

金融威胁情报

加密货币交易平台 AscendEx 被黑，7700万美元失窃（见PDF）

TinyNuke 银行木马回归，针对法国金融行业组织发起攻击

菲律宾两大银行遭到黑客入侵，部分客户存款失窃（见PDF）

政府威胁情报

巴西卫生部（MOH）疑似遭到 Lapsus$ 组织攻击，50TB数据损坏或泄露（见PDF）

美国弗吉尼亚州立法机构和委员会遭到勒索软件攻击

攻击者利用入侵的印度总理 Twitter 账户发布虚假信息（见PDF）

能源威胁情报

天然气供应商 Superior Plus 遭到勒索软件袭击

丹麦风力巨头维斯塔斯攻击事件后续，证实勒索软件攻击和数据泄露（见PDF）

流行威胁情报

Emotet木马"卷土重来"，诸多政企中招，或将有更大动作？

瑞典汽车制造商沃尔沃发生数据泄露（见PDF）

高级威胁情报

StrongPity  组织利用 Notepad++ 安装程序传播恶意软件

伊朗国家黑客组织 Seedworm 瞄准亚洲和中东电信公司展开攻击（见PDF）

俄罗斯威胁组织 Gamaredon 内网后渗透攻击战术、技术研究（见PDF）

漏洞情报

漏洞预警 | Windows域服务权限提升漏洞细节及利用工具被公开

微软致谢 | 微步情报局助力报送及修复紧急漏洞

Adobe 发布通报并修复多个产品中的 60 多个漏洞（见PDF）

勒索专题

BlackCat是第一个被用于野外攻击的 Rust 勒索软件

北美食品进口商亚特兰大疑似遭到勒索软件攻击，数据发生泄露（见PDF）

德国物理供应商 Hellman 疑似遭到勒索软件攻击，迫使系统关闭（见PDF）

钓鱼专题

TA551组织通过网络钓鱼电子邮件分发恶意软件

注：由于篇幅限制，仅精选部分发布，“微步在线研究响应中心”微信公众号后台回复 “1219” 获取完整版 PDF 阅读。

【威胁趋势】

2022年新兴网络安全技术，你了解吗？

随着网络安全技术在不断的发展，网络安全成为了企业组织成功不可或缺的一部分。在过去的一年里，勒索软件攻击大幅增加，企业一直在为此付出代价。从这些实例中我们可以吸取到很多教训，以此更好地保护 IT 系统和企业环境安全。勒索软件现已成为组织、行业等垂直领域的安全问题。在 2022 年，随着黑客不断开发新策略，技术在不断衍变，威胁可能会持续增加。国外安全研究人员指出2022年的三种网络安全技术，可以有效保护其企业、组织的安全。这些技术也是每位安全专业人员都应了解的网络安全技术，你了解吗？

1、零信任/软件定义边界（SDP）

零信任安全是一种IT安全模型。零信任安全要求对所有位于网络外部或网络内部的人和设备，在访问专用网络资源时，必须进行严格的身份验证。零信任安全需要通过多种网络安全技术实现。

软件定义边界是实现零信任安全性的一种方法。用户和设备都必须经过验证才能连接，并且仅具有所需的最小网络访问权限。

2、MDR/EDR/XDR

端点检测和响应 (EDR) 是真正具有智能的下一代防病毒软件，允许更好地了解行为分析。

扩展检测和响应 (XDR) 将 EDR 数据与网络事件联系起来，以提高环境中的可见性。

MDR 平台也成为抵御勒索软件和其他形式恶意软件的重要且必要的保护点。

3、人工智能和机器学习

人工智能和机器学习既可以成为黑客和骗子利用的优势，同样也是我们强大的防御手段。

来源：https://cisomag.eccouncil.org/emerging-cybersecurity-technologies-to-know-for-2022/

【金融威胁情报】

TinyNuke 银行木马回归，针对法国金融行业组织发起攻击

Tag：TinyNuke，金融，法国
事件概述：

近日，Proofpoint 研究人员监测发现了 TinyNuke 银行木马持续的攻击活动。攻击者利用 TinyNuke  银行木马主要针对法国金融、制造业、工业、技术和其他垂直领域的实体组织展开攻击。由于TinyNuke 银行木马是公开可用的，可能被多个威胁参与者使用，但 Proofpoint 研究人员高度评估认为2018年分发 TinyNuke 的部分原始威胁参与者仍在继续使用该恶意软件。

技术详情：

攻击者主要通过伪装成物流、运输或商业服务实体投递包含恶意链接的电子邮件，该链接指向下载负责安装 TinyNuke 压缩可执行文件。攻击者以发*票信息为诱饵诱使受害者点击恶意链接下载恶意软件。在最近的攻击活动中，恶意链接指向一个包含 Facture-78224UDJ2021.js JavaScript 文件 的 ZIP 压缩文件，Facture-78224UDJ2021.js 文件由 Microsoft Windows 本地二进制 wscript 调用，然后执行 PowerShell 并利用 Start-BitsTransfer cmdlet 下载另一个包含 TinyNuke PE 文件的 ZIP 文件（例如 putty.zip）。 TinyNuke 恶意软件在整个攻击过程中使用  Tor 进行通信，并通过添加注册表项来实现持久性，然后用于数据窃取和凭证信息窃取。

基础设施关联：

TinyNuke 2018 年活动中使用的基础设施与 PyLocky 勒索软件首次报道的攻击活动中的基础设施重叠。

来源：https://www.proofpoint.com/us/blog/threat-insight/tinynuke-banking-malware-targets-french-entities

【政府威胁情报】

美国弗吉尼亚州立法机构和委员会遭到勒索软件攻击

Tag：美国，弗吉尼亚州立法机构和委员会，勒索软件

事件概述：

近日，勒索软件袭击了弗吉尼亚州立法机构和委员，这也是州立法机构首次遭到勒索软件攻击。此次攻击始于黑客组织入侵了弗吉尼亚议会的IT机构立法自动化系统（DLAS），然后蔓延到“几乎所有立法部门网站”，包括那些用于起草法案、提交法案、预算系统、大会语音邮件系统的服务器，唯一幸免的是大会现场的立法信息系统和行政分支机构。

州立法机构官员对此次勒索软件攻击事件回应称，由于目前立法者和工作人员在为1月份的立法会议做深入准备，而黑客在12月10日这个时间点使用极其复杂的恶意软件未经授权入侵了州立法机构的IT系统，导致立法机构IT系统受到影响，该事件可能会波及影响到1月份开始的立法会议。

截至目前，联邦调查局、网络安全公司及其他立法机构现已介入协助调查，应对此次攻击事件。

来源：https://www.zdnet.com/article/virginia-legislative-agencies-and-commissions-hit-with-ransomware-attack/

【能源威胁情报】

天然气供应商 Superior Plus 遭到勒索软件袭击

Tag：天然气供应商，Superior Plus，勒索软件

事件概述：

天然气供应商 Superior Plus 于12月14日发表新闻通告，称该公司于12月12日遭到勒索软件攻击，公司计算机系统受到影响。Superior Plus 在发现未经授权的访问后，立即采取了保护措施以减轻攻击事件对公司数据和运营的影响，并聘请网络安全专家进行事件追踪与调查。在调查攻击事件的过程中， Superior Plus 暂时禁用了某些计算机系统和应用程序，并正在使这些系统重新联机。

目前，该公司尚未透露攻击背后组织的团伙和具体受影响的系统。

来源：http://www.superiorplus.com/press-release/?year=2021&workflowId=1e7c0589-f294-4596-ab0d-35c821e098ba

【流行威胁情报】

Emotet木马"卷土重来"，诸多政企中招，或将有更大动作？

Tag：Emotet，政企单位，僵尸网络

事件概述：

近期微步在线情报局监测发现 Emotet 僵尸网络在全球范围内爆发，国内不少政企客户也受到该事件影响，相关企业被大范围攻击，邮箱账号密码泄露，大量敏感信息泄露，后果严重。微步情报局一直保持对该事件的密切追踪和分析，并协助多家企业客户进行处置和应对。关于该事件，我们当前的分析进展如下：

• 当前态势和监测结果，此次 Emotet 恶意邮件集中于2021年12月2、3日爆发，且国内政企客户也受到波及。

• Emotet 会盗取邮件客户端的通信录等敏感数据，用于后续邮件传播木马，同时还会植入 TrickBot 或者 Qbot 等远控木马，为后续的窃密、勒索活动提供温床。

• 值得警惕的是，目前已经观测到 Emotet 僵尸网络已经开始对外提供 MaaS 服务（恶意软件即服务），这次事件中开始投递 CobaltStrike，攻击者极有可能利用 CS 的后渗透功能进行内网的横向移动。

• 根据历史公开的安全事件，曾经有勒索团伙利用 Emotet 僵尸网络投递 Ryuk 勒索软件。此次卷土重来，不排除攻击者利用组建的 Emotet 进行后续的勒索、窃密等进一步攻击行为，相关政企客户需要引起高度重视，并参照处置建议进行处置。

微步情报局将从政企单位可能关心的问题视角：传播方式、应对措施、攻击手法特点、攻击活动等多维度展开叙述此次攻击事件，并建议国内相关政企单位保持对该事件的高度警惕，加强内部邮箱服务器的反垃圾、反恶意软件的防护策略。更多详细内容需在“微步在线研究响应中心”微信公众号查看。

来源：https://mp.weixin.qq.com/s/nNDiz6XNhaRLsxp5z2PkWA

【高级威胁情报】

StrongPity  组织利用 Notepad++ 安装程序传播恶意软件

Tag：StrongPity ，APT，Notepad++

事件概述：

StrongPity 威胁组织也被称为 APT-C-41 和 PROMETHIUM，自2012年以来活跃，擅长使用水坑攻击。该组织在2016年至2018年期间主要通过分发木马化的 WinRAR 安装程序展开攻击。近期，研究人员观察到该组织利用流行的免费文本和源代码编辑器 Notepad++  安装程序传播恶意软件变体。

技术详情：

攻击者首先篡改 Notepad++ 安装程序，添加恶意软件变体。当受害者下载篡改后的 Notepad++ 安装文件时，恶意软件变体会在 C:\ProgramData\Microsoft 下创建一个名为 “WindowsData” 的新文件夹，并在受感染站点上释放三个不同的文件：原始 Notepad++ 安装文件、恶意文件、恶意键盘记录器。 第一阶段运行安装合法的 Notepad++ ，并在后台安装的两个恶意文件， 然后创建新服务 “PickerSrv” 保持持久性，恶意软件变体可绕过沙箱检测并使用重叠窗口实现防御规避，使用键盘记录器收集用户按键信息。

来源：https://blog.minerva-labs.com/a-new-strongpity-variant-hides-behind-notepad-installation

微步点评：

1、什么是 Notepad++ ?

Notepad++是自由软件的纯文本编辑器，有完整的中文化接口及支持多国语言撰写的功能（采用UTF-8编码）。它的功能比Windows中的记事本（Notepad）强大，除了可以用来制作一般的纯文字的帮助文档，也十分适合用作撰写计算机程序的编辑器。由6.2.3版本起，Notepad++的文件默认文字格式由ANSI改为除去BOM的UTF8（UTF8 without BOM）。Notepad++不仅有语法高亮度显示，也有语法折叠功能，并且支持宏以及扩展基本功能的插件。

2、如果如果您需要使用 Notepad++，请确保从原项目网站获取安装程序。该软件可在许多其他网站上使用，其中一些声称是官方 Notepad++ 门户，但可能包含广告软件或其他不需要的软件，需谨慎下载。

【漏洞情报】

漏洞预警 | Windows域服务权限提升漏洞细节及利用工具被公开

Tag：漏洞，Windows，权限提升

事件概述：

近日，微步在线研究响应中心监测到，微软域服务权限提升漏洞细节及利用工具被公开，相关漏洞编号为：CVE-2021-42287/CVE-2021-42278。由于 Windows 域服务没有对用户操作进行合理限制，使得攻击者将这两个漏洞结合起来能实现从域内普通用户到域管理的权限提升。

漏洞评估信息：

公开程度：漏洞细节及利用工具已公开

利用条件：需要一个较低权限域账户

交互要求：0 click

漏洞危害：高危

更多内容需在“微步在线研究响应中心”微信公众号查看。

来源：https://mp.weixin.qq.com/s/HLNqhhgE21QSB4Q5DFoM9A

微软致谢 | 微步情报局助力报送及修复紧急漏洞

Tag：紧急漏洞，远程代码执行

事件概述：

随着微软12月补丁日的到来，微软官方发布通告修复了多个产品中包含6个紧急漏洞在内的共67个漏洞，其中包括紧急漏洞 CVE-2021-43233，该漏洞允许远程桌面客户端执行远程代码，可造成严重影响。

该漏洞首次是由微步情报局安全研究人员在日常工作中发现的，然后第一时间向微软安全响应中心报告并协助修复了该漏洞。

12月14日，微软安全响应中心针对受该漏洞影响的43款产品发布相关补丁更新信息。与此同时，并发表声明公开致谢微步情报局安全研究人员，以对微步情报局安全研究人员第一时间向其安全响应中心报告和协助修复漏洞表示谢意。

漏洞信息：

漏洞ID: CVE-2021-43233

风险等级: 紧急

漏洞类型: 远程代码执行漏洞名称: Remote Desktop Client远程代码执行漏洞

漏洞概述：当远程桌面客户端在连接远程桌面处理某些通道信息时会触发远程代码执行漏洞。当用户连接到攻击者的恶意远程桌面的时候, 该漏洞可以被攻击者利用, 造成远程任意代码执行。

完整内容需在“微步在线研究响应中心”微信公众号查看。

来源：https://mp.weixin.qq.com/s/FSJirZvkGi43BbeevoTMLw

【勒索专题】

BlackCat是第一个被用于野外攻击的 Rust 勒索软件

2021年12月10日，Recorded Future 和 MalwareHunterTeam 的研究人员监测发现了恶意软件 BlackCat（又名  ALPHV）。该恶意软件可以针对 Windows、Linux 和 VMWare eSXI 系统展开攻击。这是第一个用 Rust 编程语言编写的专业勒索软件，也是第一个被网络犯罪组织用于野外攻击的 Rust 勒索软件。外媒还指出 BlackCat 正试图为其运营招募附属公司，根据其价值，向他们提供 80% 至 90% 的最终赎金。目前，BlackCat 少数的受害者主要集中分布在美国、澳大利亚和印度。

来源：https://securityaffairs.co/wordpress/125459/cyber-crime/blackcat-ransomware.html

【钓鱼专题】

TA551组织通过网络钓鱼电子邮件分发恶意软件

2021年12月16日，TA551（也称为 Shathak）组织一直通过网络钓鱼电子邮件分发恶意软件。 过去几年，TA551 组织一直利用网络钓鱼电子邮件分发 Ursnif、Valak 和 IcedID 等各种恶意软件系列，但在 2021 年 6 月，他们停止分发 IcedID，利用电子邮件开始分发 Trickbot。TA551 再次于 2021 年 8 月停止部署 Trickbot，并开始部署 BazarLoader。

来源：https://blog.alyac.co.kr/4353