一周威胁情报摘要

金融威胁情报

印度金融服务领域 IT 公司 Nucleus Software 遭受 BlackCocaine 勒索软件攻击Intertrust 发布2021年移动端金融 APP 应用安全报告复杂的多阶段银行木马：Gootkit德国银行IT服务提供商遭到DDoS攻击

政府威胁情报

新南威尔士州卫生部门因 Accellion 文件传输系统漏洞遭受影响疑似俄罗斯威胁组织针对乌克兰政府机构开展大规模钓鱼活动

能源威胁情报

美国能源部长拉起警报：表示网络攻击可能致使美国电网关闭

工控威胁情报

CODESYS 工业自动化软件中的多个漏洞对工控系统产生了严重威胁

流行威胁情报

Gafgyt 变种：Sakura 僵尸网络溯源分析报告Evil Corp 新勒索软件伪装 PayloadBin 组织逃避美国财政部制裁RockYou2021：84亿条密码汇编泄露，创下新记录

威胁情报

ESET 发表《2021年季度威胁报告》PuzzleMaker 威胁组织使用 Chrome 0day漏洞利用链开展攻击APT 28 利用 SkinnyBoy 对军方和政府机构展开攻击活动

漏洞情报

微软于周二发布了50个漏洞的更新补丁

勒索专题

肉类公司 JBS 于周三确认支付1100万美元的赎金趋势披露高收益的勒索团伙：Nefilim勒索软件袭击了美国国会承包商台湾领先的内存和存储制造商ADATA 声明遭受勒索软件攻击美国媒体集团 Cox Media Group因勒索软件攻击导致直播流媒体服务中断勒索软件扰乱了马萨诸塞州更大的轮渡服务

---

金融威胁情报

印度金融服务领域 IT 公司 Nucleus Software 遭受 BlackCocaine 勒索软件攻击

Tag：金融，勒索软件，BlackCocaine

Cyble 网络研究人员于近期披露一家印度金融服务领域 IT 公司 Nucleus Software 遭受 BlackCocaine 勒索团伙攻击。该公司已向孟买证券交易所 (BSE) 和印度证券交易所 (NSEI) 报告了这一攻击事件中的安全漏洞，并声明其不涉及存储客户的财务数据，财务数据泄露的可能性不大。Cyble 研究人员研究发现 Nucleus Software 是 BlackCocaine 勒索软件组织的个受害者。该团伙运营着自己的网站（hxxp://blackcocaine[.]top/），组织域名的 WHOIS 信息显示注册时间为 2021 年 5月 28 日，该组织于5月30日向不同平台的公共沙箱提交了“a.BlackCocaine”加密文件。BlackCocaine 勒索软件是用 Go 语言编写的，并使用 MinGW 工具进行编译，BlackCocaine 有效载荷是一个 UPX 打包的 64 位 Windows 可执行文件，编译时间戳为2021年5月29日，具备多种反虚拟机和反调试技术。勒索软件组织会在受害者内部枚举文件系统同时使用 AES 和 RSA 对文件进行加密，然后将扩展名“ .BlackCocaine ”附加到加密文件的文件名中，投放文件名为“HOW_TO_RECOVER_FILES.BlackCocaine.txt”的勒索字条。截止撰写文章时，尚未确认此次攻击活动的初始感染媒介。

微步点评…

APT28在此次攻击活动中利用命令与脚本接口、用户执行技术执行操作，利用去混淆/解码文件信息实现防御规避，然后在受害者内部检索进程信息、系统信息、文件和目录信息，从本地和自动化收集信息，利用应用层协议和数据加密实现命令与控制，最后从命令与控制通道和自动化渗漏信息。攻击者可以采用由失陷推动（水坑攻击）、利用面向公众应用（0day 漏洞）、鱼叉式网络钓鱼、凭据窃取等方式进行初始访问。APT28威胁组织利用的工具有：Cannon、certutil、Computrace、CORESHELL、DealersChoice、Downdelph、Foozer、HIDEDRV、JHUHUGIT、 Koadic、 Komplex、 LoJax、 Mimikatz、Nimcy、 OLDBAIT、 PocoDown、 ProcDump、 PythocyDbg、 Responder、Sedkit、Sedreco、 USBStealer、 VPNFilter、 Winexe、 WinIDS、X-Agent、X-Tunnel、Zebrocy and Living off the Land。

---

漏洞情报

微软于周二发布了50个漏洞的更新补丁

Tag ：微软，0day漏洞 ，补丁

微软于周二发布了更新，修复了包括7个 0day 漏洞之内的50个漏洞。7个 0day 漏洞的其中6个内核信息泄露、特权提升漏洞（CVE-2021-31955 、CVE-2021-31956、CVE-2021-33739、CVE-2021-33742、CVE-2021-31199、CVE-2021-31201 ）均在过去被利用， Windows 远程桌面服务拒绝服务漏洞CVE-20 21-31968虽已公开披露，但未在攻击中发现。卡巴斯基于报告中披露一个名为 PuzzleMaker 的新威胁组织利用 CVE-2021-31955 和 CVE-2021-31956 0day漏洞在 Windows 中实现远程代码执行，提升权限。卡巴斯基研究人员表示CVE-2021-31955 漏洞与 SuperFetch 相关，这是 Windows Vista 中引入的一项功能，旨在通过将常用应用程序预加载到内存中来减少软件加载时间。CVE-2021-31956 是基于堆的缓冲区溢出特权提升漏洞，攻击者可以将此漏洞与 Windows 通知工具 (WNF) 结合使用，以创建任意内存读/写原语并以系统权限执行恶意软件模块。

---

勒索专题

2021年6月9日 | 肉类公司 JBS 于周三确认支付1100万美元的赎金

总部位于巴西的全球更大肉类制造商 JBS 的美国分部于周三确认向 REvil Ransomware 团伙支付1100万美元的赎金。FBI 将此次攻击事件归因于 REvil Ransomware 团伙，并表示会努力将勒索软件团伙绳之以法，敦促网络攻击的受害者及时与 FBI 取得联系。

2021年6月8日 | 趋势披露高收益的勒索团伙：Nefilim

据趋势科技最新报告披露了由 Nemty 的老家族演变而来的Nefilim 勒索软件团伙，该勒索团伙可能不是最或最多产的，但是攻击目标超过10亿美元的组织中收益中位数更高的勒索家族。Nefilim使用 RDP 服务和公开可用的漏洞进行初始接入，通过Web 浏览器上下载其他工具。研究还披露Nefilim 样本都遵循一致的模式：1)受害者都会获得一个独特样本;2)Nefilim作者更改他们用来签署二进制文件的证书时也会更改添加到加密文件中的扩展名。

2021年6月8日 | 勒索软件袭击了美国国会承包商

一家为美国政界人士提供用户参与平台的公司 iConstituent 电子系统遭受勒索软件攻击，导致许多立法者数天无法向选民发送电子邮件，此次攻击事件已经影响了两党近60名众议员。众议院首席行政官表示此次攻击似乎仅针对于 iConstituent 的电子通讯服务，并未影响该公司的 GovText 短信系统。

2021年6月8日 | 台湾领先的内存和存储制造商ADATA 声明遭受勒索软件攻击

台湾领先的内存和存储制造商 ADATA 声明其在5月23日遭受 Ragnar Locker 攻击，迫使其系统脱机。勒索软件团伙声称从 ADATA 的网络中窃取了1.5TB的敏感数据。从其在暗网发布的截图来看，勒索软件团伙窃取了专有的商业信息、机密文件、原理图、财务数据、Gitlab 和 SVN 源代码、法律文件、员工信息、保密协议等信息。

2021年6月3日 | 美国媒体集团 Cox Media Group因勒索软件攻击导致直播流媒体服务中断

美国更大的媒体集团之一 Cox Media Group 旗下的电台和电视台的直播流媒体遭受勒索软件攻击而中断，部分直播节目无法按计划播出，网络流媒体、移动应用程序均受到影响。Cox Media Group 在美国 20 个市场拥有 57 家广播电台和电视台，并已确认News9、WSOC、WSB、WPXI、KOKI和几乎所有 Cox 流媒体受到影响。

2021年6月2日 | 勒索软件扰乱了马萨诸塞州更大的轮渡服务

勒索软件攻击导致马萨诸塞州更大的轮渡服务 Steamship Authority 出现延误和中断，并中断了美国大陆与玛莎葡萄园岛和楠塔基特群岛之间的轮渡运输。此次攻击活动导致基于网络的在线预订系统不可用，电话预订处于离线状态，但不会影响船舶操作安全，亦不会影响雷达和GPS功能。