闪电贷款攻击主要是黑客从平台借入大量不需要进行抵押的资金,购买大量的加密货币,然后人为提高其价格,然后抛售这些货币。使用获得的钱来偿还贷款,因此借款人可以获得大量的利润。

Mango Markets周二晚间在推特上告诉用户,他们正在调查一起事件,一名黑客通过操纵价格然后从平台抽走大量的资金。

该公司表示,它正在禁用存款,并要求第三方及时冻结被盗资金。该公司还向黑客提供了归还资金后的漏洞赏金。

几个小时后,该公司证实,黑客利用两个账户在短短几分钟内将MNGO币在各个交易所的价格人为的提高到原价的五至十倍之多。

通过操纵代币的价格,黑客能够从芒果平台上借入并提取比特币、几个与美元挂钩的稳定币和更多的加密货币。

该公司写道,当时,该账户提取的净值约为1亿美元。

区块链安全公司CertiK的首席执行官、哥伦比亚大学教授Ronghui Gu告诉媒体,在闪电贷款攻击期间,Mango的代币价格从0.038美元增长到了0.91美元的峰值,这也使得黑客可以用它进行大量的借款。

在该币达到峰值后,比之前高了2000%以上,Gu说攻击者用之前所购买的MNGO币作为抵押,借了5400多万美元的USDC;2500多万美元的mSOL;大约2300万美元的SOL;以及500万美元的比特币,还有其他各种加密货币。

Gu说,现在该平台上的客户无法提取任何资产,因为黑客已经彻底地将所有可用资产完全抽走,这使得该平台无力偿还。

据称,黑客还联系了Mango Markets,并表示他们愿意进行谈判。

他们说,我们认为最有建设性的方法是与那些对该事件负责以及从平台移除资金的人进行沟通。

正如Gu指出的那样,这个具体的攻击载体早在2022年3月就在Mango的Discord频道中被提出。

他解释说,这里的漏洞是由于MNGO/USDC在市场上的稀缺性造成的,由于平台只有几百万美元供他们支配,这样攻击者就能够控制MNGO的价格。

该事件背后的黑客曾公开向芒果社区伸出援手,并在该公司的论坛上提出了一个妥协的方案。

他们提议归还大部分被盗资金,赔偿损失的用户,并通过芒果的保险基金获得漏洞赏金。

黑客说,如果通过投票支持这一提议,芒果代币持有者同意支付这一赏金,并放弃任何潜在的索赔,一旦代币按上述方式送回,将不允许进行任何刑事调查或冻结资金。

Gu说,该账户似乎是真实的,并且与被盗资金有很大的关系。不知道芒果平台的管理部门将对这一提议会作出何种反应,以及保险基金是否会发挥作用,用来弥补部分损失。

Screen-Shot-2022-10-12-at-1.07.45-PM-1536x634.png

芒果公司没有回应该提议以及他们是否同意提出的建议。

对Mango的攻击是今年发生的一系列价值1亿美元的加密货币黑客攻击中最新的一次。

就在上周,世界上最大的加密货币交易所Binance在一次黑客攻击中至少损失了1亿美元。区块链公司Harmony表示,6月份,有1亿美元的加密货币从该平台被窃取。

3月,继2月Wormhole加密货币平台被黑3.22亿美元之后,6亿多美元从Ronin网络被盗。

闪电贷款攻击主要是黑客从平台借入大量不需要进行抵押的资金,购买大量的加密货币,然后人为提高其价格,然后抛售这些货币。使用获得的钱来偿还贷款,因此借款人可以获得大量的利润。

Mango Markets周二晚间在推特上告诉用户,他们正在调查一起事件,一名黑客通过操纵价格然后从平台抽走大量的资金。

该公司表示,它正在禁用存款,并要求第三方及时冻结被盗资金。该公司还向黑客提供了归还资金后的漏洞赏金。

几个小时后,该公司证实,黑客利用两个账户在短短几分钟内将MNGO币在各个交易所的价格人为的提高到原价的五至十倍之多。

通过操纵代币的价格,黑客能够从芒果平台上借入并提取比特币、几个与美元挂钩的稳定币和更多的加密货币。

该公司写道,当时,该账户提取的净值约为1亿美元。

区块链安全公司CertiK的首席执行官、哥伦比亚大学教授Ronghui Gu告诉媒体,在闪电贷款攻击期间,Mango的代币价格从0.038美元增长到了0.91美元的峰值,这也使得黑客可以用它进行大量的借款。

在该币达到峰值后,比之前高了2000%以上,Gu说攻击者用之前所购买的MNGO币作为抵押,借了5400多万美元的USDC;2500多万美元的mSOL;大约2300万美元的SOL;以及500万美元的比特币,还有其他各种加密货币。

Gu说,现在该平台上的客户无法提取任何资产,因为黑客已经彻底地将所有可用资产完全抽走,这使得该平台无力偿还。

据称,黑客还联系了Mango Markets,并表示他们愿意进行谈判。

他们说,我们认为最有建设性的方法是与那些对该事件负责以及从平台移除资金的人进行沟通。

正如Gu指出的那样,这个具体的攻击载体早在2022年3月就在Mango的Discord频道中被提出。

他解释说,这里的漏洞是由于MNGO/USDC在市场上的稀缺性造成的,由于平台只有几百万美元供他们支配,这样攻击者就能够控制MNGO的价格。

该事件背后的黑客曾公开向芒果社区伸出援手,并在该公司的论坛上提出了一个妥协的方案。

他们提议归还大部分被盗资金,赔偿损失的用户,并通过芒果的保险基金获得漏洞赏金。

黑客说,如果通过投票支持这一提议,芒果代币持有者同意支付这一赏金,并放弃任何潜在的索赔,一旦代币按上述方式送回,将不允许进行任何刑事调查或冻结资金。

Gu说,该账户似乎是真实的,并且与被盗资金有很大的关系。不知道芒果平台的管理部门将对这一提议会作出何种反应,以及保险基金是否会发挥作用,用来弥补部分损失。

Screen-Shot-2022-10-12-at-1.07.45-PM-1536x634.png

芒果公司没有回应该提议以及他们是否同意提出的建议。

对Mango的攻击是今年发生的一系列价值1亿美元的加密货币黑客攻击中最新的一次。

就在上周,世界上最大的加密货币交易所Binance在一次黑客攻击中至少损失了1亿美元。区块链公司Harmony表示,6月份,有1亿美元的加密货币从该平台被窃取。

3月,继2月Wormhole加密货币平台被黑3.22亿美元之后,6亿多美元从Ronin网络被盗。

据其中几位花了几周时间研究漏洞的安全研究人员说,发现目前为这些漏洞(俗称 "ProxyNotShell")所提供的修复建议并不足以完全解决这些问题。

网络安全公司Huntress的高级threatOps分析师团队负责人Dray Agha解释说,微软提供的原始修复措施是很容易被恶意利用的。

他说,由于这种缓解措施很容易被绕过,所以那些使用了原始修复措施的服务器现在仍然是很脆弱的。截至周二,微软已经重新更新了缓解措施的脚本,并考虑到了这种被绕过的情况。

但是不幸的是,我们很可能会看到这将会成为一场猫捉老鼠的游戏,因为攻击者和安全研究人员都在寻找新的方法来绕过微软的缓解措施。

上周,在越南网络安全公司GTSC的报告中,微软确认它目前正在调查这些问题,这些漏洞也正在野外被利用。GTSC向 趋势科技的零日计划报告了这个问题,该计划也确认了这些漏洞的存在。

微软表示,它观察到目前在全球有不到10个组织被这些漏洞攻击。

该公司的安全团队解释说,黑客组织很可能是一个国家支持的组织,他们主要利用两个漏洞。

第一个是服务器端请求伪造漏洞,该漏洞被指定为CVE-2022-41040,它可以让拥有邮件服务器上用户账户凭证的攻击者获得未经授权的访问级别。第二个漏洞被定为CVE-2022-41082,该漏洞允许攻击者远程代码执行,这类似于2021年给许多公司造成混乱的ProxyShell漏洞。GTSC表示,它目前还不方便公布这些漏洞的技术细节。

远程代码执行漏洞被认为是特别危险的,因为它们使攻击者可以对受害者的系统进行修改。电子邮件也是许多企业日常办公的重要软件,并且内部可能会包含很多敏感信息,这也使得它们成为了攻击者的首要目标。

网络安全和基础设施安全局(CISA)在发现这两个漏洞数小时后,已将其添加到已知被利用的漏洞列表中,而微软在周四也证实,这些漏洞目前也正在被攻击者利用,并已经影响到那些运行的微软Exchange Server 2013、2016和2019。

Huntress高级安全研究员约翰-哈蒙德证实,微软最初的缓解措施可以很容易地被绕过,但他指出,微软目前已经提供了更新的自动化工具,可以使那些打了官方补丁的服务器获得更好的保护。

Sophos公司首席研究科学家Chester Wisniewski说,目前已知只有极少数的服务器由于这一漏洞受到了攻击,这也为我们大家争取了一点时间来实施缓解措施。

Wisniewski说,我们都还在等待官方补丁的发布,IT团队应该迅速做好准备,在官方补丁发布后尽快对漏洞进行修复,因为我们预计攻击者会在补丁发布后极短的时间内进行逆向工程,研究如何去利用这个漏洞。

Tenable的Claire Tills解释说,这些漏洞似乎是ProxyShell的变种,Proxyshell漏洞是2021年底被披露的一连串漏洞。

Tills说,最明显的区别是,这两个最新的漏洞都需要身份认证,而ProxyShell并不需要。

她补充说,ProxyShell是2021年发布的被利用最多的攻击链之一。

网络犯罪获得的利益

一些研究人员说,他们看到GitHub上有人出售虚假的漏洞利用工具,Flashpoint研究人员说,他们在俄语黑客和恶意软件论坛Exploit上看到一个漏洞被以25万美元出售。但是他们无法核实该漏洞是真的还是假的。

Flashpoint和其他几位专家一样,也对微软所认为的Exchange Online客户不需要采取任何措施提出了异议。Flashpoint研究人员说,这可能会使客户陷入一种错误的安全感中,客户即使迁移到了Exchange Online,但同时也在内部保留了一台混合的服务器。

他们说,在这种情况下,客户仍然需要对混合服务器进行处置。

根据微软发布的关于Exchange服务器更新的一般指导,即使你只在企业内部使用Exchange服务器来管理Exchange相关对象,你也需要保持服务器处于最新版本。

不幸的是,一些研究人员已经找到了绕过微软最近发布的最新缓解措施的方法。

Vulcan Cyber的高级技术工程师Mike Parkin指出,希望微软能够尽快发布补丁,以解决众多有潜在风险的企业内部Exchange服务器的问题。

据其中几位花了几周时间研究漏洞的安全研究人员说,发现目前为这些漏洞(俗称 "ProxyNotShell")所提供的修复建议并不足以完全解决这些问题。

网络安全公司Huntress的高级threatOps分析师团队负责人Dray Agha解释说,微软提供的原始修复措施是很容易被恶意利用的。

他说,由于这种缓解措施很容易被绕过,所以那些使用了原始修复措施的服务器现在仍然是很脆弱的。截至周二,微软已经重新更新了缓解措施的脚本,并考虑到了这种被绕过的情况。

但是不幸的是,我们很可能会看到这将会成为一场猫捉老鼠的游戏,因为攻击者和安全研究人员都在寻找新的方法来绕过微软的缓解措施。

上周,在越南网络安全公司GTSC的报告中,微软确认它目前正在调查这些问题,这些漏洞也正在野外被利用。GTSC向 趋势科技的零日计划报告了这个问题,该计划也确认了这些漏洞的存在。

微软表示,它观察到目前在全球有不到10个组织被这些漏洞攻击。

该公司的安全团队解释说,黑客组织很可能是一个国家支持的组织,他们主要利用两个漏洞。

第一个是服务器端请求伪造漏洞,该漏洞被指定为CVE-2022-41040,它可以让拥有邮件服务器上用户账户凭证的攻击者获得未经授权的访问级别。第二个漏洞被定为CVE-2022-41082,该漏洞允许攻击者远程代码执行,这类似于2021年给许多公司造成混乱的ProxyShell漏洞。GTSC表示,它目前还不方便公布这些漏洞的技术细节。

远程代码执行漏洞被认为是特别危险的,因为它们使攻击者可以对受害者的系统进行修改。电子邮件也是许多企业日常办公的重要软件,并且内部可能会包含很多敏感信息,这也使得它们成为了攻击者的首要目标。

网络安全和基础设施安全局(CISA)在发现这两个漏洞数小时后,已将其添加到已知被利用的漏洞列表中,而微软在周四也证实,这些漏洞目前也正在被攻击者利用,并已经影响到那些运行的微软Exchange Server 2013、2016和2019。

Huntress高级安全研究员约翰-哈蒙德证实,微软最初的缓解措施可以很容易地被绕过,但他指出,微软目前已经提供了更新的自动化工具,可以使那些打了官方补丁的服务器获得更好的保护。

Sophos公司首席研究科学家Chester Wisniewski说,目前已知只有极少数的服务器由于这一漏洞受到了攻击,这也为我们大家争取了一点时间来实施缓解措施。

Wisniewski说,我们都还在等待官方补丁的发布,IT团队应该迅速做好准备,在官方补丁发布后尽快对漏洞进行修复,因为我们预计攻击者会在补丁发布后极短的时间内进行逆向工程,研究如何去利用这个漏洞。

Tenable的Claire Tills解释说,这些漏洞似乎是ProxyShell的变种,Proxyshell漏洞是2021年底被披露的一连串漏洞。

Tills说,最明显的区别是,这两个最新的漏洞都需要身份认证,而ProxyShell并不需要。

她补充说,ProxyShell是2021年发布的被利用最多的攻击链之一。

网络犯罪获得的利益

一些研究人员说,他们看到GitHub上有人出售虚假的漏洞利用工具,Flashpoint研究人员说,他们在俄语黑客和恶意软件论坛Exploit上看到一个漏洞被以25万美元出售。但是他们无法核实该漏洞是真的还是假的。

Flashpoint和其他几位专家一样,也对微软所认为的Exchange Online客户不需要采取任何措施提出了异议。Flashpoint研究人员说,这可能会使客户陷入一种错误的安全感中,客户即使迁移到了Exchange Online,但同时也在内部保留了一台混合的服务器。

他们说,在这种情况下,客户仍然需要对混合服务器进行处置。

根据微软发布的关于Exchange服务器更新的一般指导,即使你只在企业内部使用Exchange服务器来管理Exchange相关对象,你也需要保持服务器处于最新版本。

不幸的是,一些研究人员已经找到了绕过微软最近发布的最新缓解措施的方法。

Vulcan Cyber的高级技术工程师Mike Parkin指出,希望微软能够尽快发布补丁,以解决众多有潜在风险的企业内部Exchange服务器的问题。

据其中几位花了几周时间研究漏洞的安全研究人员说,发现目前为这些漏洞(俗称 "ProxyNotShell")所提供的修复建议并不足以完全解决这些问题。

网络安全公司Huntress的高级threatOps分析师团队负责人Dray Agha解释说,微软提供的原始修复措施是很容易被恶意利用的。

他说,由于这种缓解措施很容易被绕过,所以那些使用了原始修复措施的服务器现在仍然是很脆弱的。截至周二,微软已经重新更新了缓解措施的脚本,并考虑到了这种被绕过的情况。

但是不幸的是,我们很可能会看到这将会成为一场猫捉老鼠的游戏,因为攻击者和安全研究人员都在寻找新的方法来绕过微软的缓解措施。

上周,在越南网络安全公司GTSC的报告中,微软确认它目前正在调查这些问题,这些漏洞也正在野外被利用。GTSC向 趋势科技的零日计划报告了这个问题,该计划也确认了这些漏洞的存在。

微软表示,它观察到目前在全球有不到10个组织被这些漏洞攻击。

该公司的安全团队解释说,黑客组织很可能是一个国家支持的组织,他们主要利用两个漏洞。

第一个是服务器端请求伪造漏洞,该漏洞被指定为CVE-2022-41040,它可以让拥有邮件服务器上用户账户凭证的攻击者获得未经授权的访问级别。第二个漏洞被定为CVE-2022-41082,该漏洞允许攻击者远程代码执行,这类似于2021年给许多公司造成混乱的ProxyShell漏洞。GTSC表示,它目前还不方便公布这些漏洞的技术细节。

远程代码执行漏洞被认为是特别危险的,因为它们使攻击者可以对受害者的系统进行修改。电子邮件也是许多企业日常办公的重要软件,并且内部可能会包含很多敏感信息,这也使得它们成为了攻击者的首要目标。

网络安全和基础设施安全局(CISA)在发现这两个漏洞数小时后,已将其添加到已知被利用的漏洞列表中,而微软在周四也证实,这些漏洞目前也正在被攻击者利用,并已经影响到那些运行的微软Exchange Server 2013、2016和2019。

Huntress高级安全研究员约翰-哈蒙德证实,微软最初的缓解措施可以很容易地被绕过,但他指出,微软目前已经提供了更新的自动化工具,可以使那些打了官方补丁的服务器获得更好的保护。

Sophos公司首席研究科学家Chester Wisniewski说,目前已知只有极少数的服务器由于这一漏洞受到了攻击,这也为我们大家争取了一点时间来实施缓解措施。

Wisniewski说,我们都还在等待官方补丁的发布,IT团队应该迅速做好准备,在官方补丁发布后尽快对漏洞进行修复,因为我们预计攻击者会在补丁发布后极短的时间内进行逆向工程,研究如何去利用这个漏洞。

Tenable的Claire Tills解释说,这些漏洞似乎是ProxyShell的变种,Proxyshell漏洞是2021年底被披露的一连串漏洞。

Tills说,最明显的区别是,这两个最新的漏洞都需要身份认证,而ProxyShell并不需要。

她补充说,ProxyShell是2021年发布的被利用最多的攻击链之一。

网络犯罪获得的利益

一些研究人员说,他们看到GitHub上有人出售虚假的漏洞利用工具,Flashpoint研究人员说,他们在俄语黑客和恶意软件论坛Exploit上看到一个漏洞被以25万美元出售。但是他们无法核实该漏洞是真的还是假的。

Flashpoint和其他几位专家一样,也对微软所认为的Exchange Online客户不需要采取任何措施提出了异议。Flashpoint研究人员说,这可能会使客户陷入一种错误的安全感中,客户即使迁移到了Exchange Online,但同时也在内部保留了一台混合的服务器。

他们说,在这种情况下,客户仍然需要对混合服务器进行处置。

根据微软发布的关于Exchange服务器更新的一般指导,即使你只在企业内部使用Exchange服务器来管理Exchange相关对象,你也需要保持服务器处于最新版本。

不幸的是,一些研究人员已经找到了绕过微软最近发布的最新缓解措施的方法。

Vulcan Cyber的高级技术工程师Mike Parkin指出,希望微软能够尽快发布补丁,以解决众多有潜在风险的企业内部Exchange服务器的问题。

最近一个被称为TA558的持续威胁组织加强了针对旅游和酒店行业的网络攻击。在经历了因COVID相关的旅行限制,导致攻击活动停滞之后,该威胁集团加大了攻击的活动力度,利用旅客旅行和相关的航空公司以及酒店预订量的上升所带来的流量红利。

安全研究人员警告说,TA558网络犯罪分子改进了他们在2018年的攻击方式,他们通过发送包含恶意链接的虚假预订邮件,如果用户点击,那么就会下载一个恶意软件有效载荷,其中就包含大量的恶意软件变种。

根据Proofpoint的一份报告,最近这次攻击活动的独特之处在于攻击者使用了与邮件相关的RAR和ISO文件附件。ISO和RAR是单一的压缩文件,如果直接执行的话,就会解压其中的文件和文件夹中的数据。

Proofpoint写道,TA558在2022年开始更频繁地使用URL,他们在2022年进行了27次带有URLs的活动,然而从2018年到2021年则总共只有5次攻击活动。

研究人员写道,如果要完成主机感染的过程,目标受害者必须要去解压文件档案。保留链接......下载一个ISO文件和一个嵌入式批处理文件。BAT文件的执行会导致另一个PowerShell辅助脚本的执行,同样该脚本会下载一个后续的有效载荷AsyncRAT。

交通运输公司可能已经被恶意软件感染

据Proofpoint称,过去由Palo Alto Networks(2018年)、Cisco Talos(2020年和2021年)和Uptycs(2020年)追踪的TA558的攻击活动,利用了恶意的微软Word文档附件(CVE-2017-11882)或远程模板URL来下载和安装恶意软件。

研究人员说,攻击载体向ISO和RAR文件的转变,可能是和微软在2021年底和2022年初宣布在Office产品中默认禁用宏VBA和XL4有关。

在2022年,攻击活动的节奏明显加快。这些攻击活动都会提供一个混合的恶意软件,如:Loda、Revenge RAT和AsyncRAT。研究人员写道,该行为人使用了各种交付机制,包括URL、RAR附件、ISO附件和Office文档。

Proofpoint说,最近活动的恶意软件有效载荷通常会包括远程访问木马(RATs),可以实现侦察、数据盗窃和后续有效载荷的分发。

不过,尽管经过多次的演变,该组织的攻击目标也始终没有改变。分析师得出的结论是,攻击者具有高度的自信心,TA558是出于经济上的动机,利用偷来的数据来扩大攻击规模。Proofpoint威胁研究和检测组织副总裁Sherrod DeGrippo在一份声明中写道,其可能存在的妥协可能会影响到旅游行业以及使用其进行度假的客户。这些行业和相关行业的组织应该意识到这个攻击者活动所带来的危害,并及时采取防护措施来保护自己。

TA558 的历史

至少从2018年,TA558就开始主要针对旅游、酒店和相关行业领域的组织进行了攻击。这些组织往往位于拉丁美洲,有时位于北美或西欧。

纵观其历史,TA558已经开始使用社会工程学的电子邮件来引诱受害者点击恶意链接或文件。这些电子邮件,最常见的是用葡萄牙语或西班牙语写的,通常声称是关于酒店的预订等信息。主题行或所附文件的名称通常只是 "reserva"。

在他们早期的攻击利用中,该组织会将利用微软Word的方程编辑器中的漏洞,例如CVE-2017-11882,这是一个远程代码执行漏洞。其目的是下载一个RAT,最常见的是Loda或Revenge RAT,将其下载到目标机上。

2019年,该组织扩大了它的攻击武器库,有了恶意的带有宏的Powerpoint附件和针对Office文档的模板注入的攻击方式。他们还使用了新的语言,首次利用了英语钓鱼诱饵。

2020年初是TA558最多产的时期,因为他们仅在1月份就发起了25次恶意攻击活动。在此期间,他们主要使用带有宏的Office文件,或针对已知的Office漏洞进行攻击。

研究人员建议,各组织,特别是那些在拉丁美洲、北美和西欧运作的组织,特别应该了解这个攻击者使用的战术、技术和程序。

最近一个被称为TA558的持续威胁组织加强了针对旅游和酒店行业的网络攻击。在经历了因COVID相关的旅行限制,导致攻击活动停滞之后,该威胁集团加大了攻击的活动力度,利用旅客旅行和相关的航空公司以及酒店预订量的上升所带来的流量红利。

安全研究人员警告说,TA558网络犯罪分子改进了他们在2018年的攻击方式,他们通过发送包含恶意链接的虚假预订邮件,如果用户点击,那么就会下载一个恶意软件有效载荷,其中就包含大量的恶意软件变种。

根据Proofpoint的一份报告,最近这次攻击活动的独特之处在于攻击者使用了与邮件相关的RAR和ISO文件附件。ISO和RAR是单一的压缩文件,如果直接执行的话,就会解压其中的文件和文件夹中的数据。

Proofpoint写道,TA558在2022年开始更频繁地使用URL,他们在2022年进行了27次带有URLs的活动,然而从2018年到2021年则总共只有5次攻击活动。

研究人员写道,如果要完成主机感染的过程,目标受害者必须要去解压文件档案。保留链接......下载一个ISO文件和一个嵌入式批处理文件。BAT文件的执行会导致另一个PowerShell辅助脚本的执行,同样该脚本会下载一个后续的有效载荷AsyncRAT。

交通运输公司可能已经被恶意软件感染

据Proofpoint称,过去由Palo Alto Networks(2018年)、Cisco Talos(2020年和2021年)和Uptycs(2020年)追踪的TA558的攻击活动,利用了恶意的微软Word文档附件(CVE-2017-11882)或远程模板URL来下载和安装恶意软件。

研究人员说,攻击载体向ISO和RAR文件的转变,可能是和微软在2021年底和2022年初宣布在Office产品中默认禁用宏VBA和XL4有关。

在2022年,攻击活动的节奏明显加快。这些攻击活动都会提供一个混合的恶意软件,如:Loda、Revenge RAT和AsyncRAT。研究人员写道,该行为人使用了各种交付机制,包括URL、RAR附件、ISO附件和Office文档。

Proofpoint说,最近活动的恶意软件有效载荷通常会包括远程访问木马(RATs),可以实现侦察、数据盗窃和后续有效载荷的分发。

不过,尽管经过多次的演变,该组织的攻击目标也始终没有改变。分析师得出的结论是,攻击者具有高度的自信心,TA558是出于经济上的动机,利用偷来的数据来扩大攻击规模。Proofpoint威胁研究和检测组织副总裁Sherrod DeGrippo在一份声明中写道,其可能存在的妥协可能会影响到旅游行业以及使用其进行度假的客户。这些行业和相关行业的组织应该意识到这个攻击者活动所带来的危害,并及时采取防护措施来保护自己。

TA558 的历史

至少从2018年,TA558就开始主要针对旅游、酒店和相关行业领域的组织进行了攻击。这些组织往往位于拉丁美洲,有时位于北美或西欧。

纵观其历史,TA558已经开始使用社会工程学的电子邮件来引诱受害者点击恶意链接或文件。这些电子邮件,最常见的是用葡萄牙语或西班牙语写的,通常声称是关于酒店的预订等信息。主题行或所附文件的名称通常只是 "reserva"。

在他们早期的攻击利用中,该组织会将利用微软Word的方程编辑器中的漏洞,例如CVE-2017-11882,这是一个远程代码执行漏洞。其目的是下载一个RAT,最常见的是Loda或Revenge RAT,将其下载到目标机上。

2019年,该组织扩大了它的攻击武器库,有了恶意的带有宏的Powerpoint附件和针对Office文档的模板注入的攻击方式。他们还使用了新的语言,首次利用了英语钓鱼诱饵。

2020年初是TA558最多产的时期,因为他们仅在1月份就发起了25次恶意攻击活动。在此期间,他们主要使用带有宏的Office文件,或针对已知的Office漏洞进行攻击。

研究人员建议,各组织,特别是那些在拉丁美洲、北美和西欧运作的组织,特别应该了解这个攻击者使用的战术、技术和程序。

威胁者正在抛弃Cobalt Strike渗透测试套件,而选择不太知名的类似的框架。在Brute Ratel之后,一个名为Sliver的开源的、跨平台的工具包成为了一个很有吸引力的替代方案。

然而,使用Sliver的恶意攻击活动可以通过分析该工具包、了解其工作方式及分析其组件来对攻击流量进行很好的检测。

从Cobalt Strike迁移到另一个工具

在过去的几年里,Cobalt Strike作为各种威胁者(包括勒索软件攻击)的攻击工具,通过在被破坏的网络上投放 "信标",并且允许攻击者横向移动到具有高价值的系统内,该工具已经越来越受欢迎。

由于防御者已经学会了检测和阻止使用这种工具包的网络攻击,黑客们正在尝试其他的可以逃避端点检测和响应(EDR)以及防病毒解决方案的攻击。

面对用户做的针对Cobalt Strike的强大的防御措施,威胁者目前已经找到了替代方案。Palo Alto Networks观察到他们转而使用了Brute Ratel,这是一种对抗性攻击模拟工具,其可以很好的躲避安全产品。

微软在一份报告中指出,从国家支持的团体再到网络犯罪团伙,黑客在攻击中越来越多地使用了由BishopFox网络安全公司研究人员开发的Sliver安全测试工具。

微软观察到Sliver指挥和控制(C2)框架现在已经被民族国家威胁攻击者、直接使用勒索软件的网络犯罪团伙以及其他威胁行为者采用并整合到了入侵活动中,这样可以很好的逃避安全软件的检测。

其中一个采用Sliver的黑客团体被微软追踪为DEV-0237。该团伙也被称为FIN12,其与各种勒索软件运营商有密切联系。

该团伙过去曾通过各种恶意软件(包括BazarLoader和TrickBot)分发各种勒索软件运营商(Ryuk、Conti、Hive、Conti和BlackCat)的勒索软件有效载荷。

根据英国政府通信总部(GCHQ)的一份报告,俄罗斯的有国家背景的攻击者,特别是APT29(又名Cozy Bear、The Dukes、Grizzly Steppe)也曾经使用Sliver来维持对被攻击环境的访问权限。

微软指出,Sliver目前已被部署在了最近的攻击中,它使用了Bumblebee(Coldtrain)恶意软件加载器,并且它也作为了Conti集团的BazarLoader软件的替代品。

基于Sliver的攻击活动

尽管这是一种新的攻击威胁,但还是会有一些方法可以检测由Sliver框架以及更隐蔽的威胁引起的恶意活动。

微软提供了一套战术、技术和程序(TTPs),防御者可以用来识别Sliver和其他新兴的C2框架。

由于Sliver C2网络支持多种协议(DNS、HTTP/TLS、MTLS、TCP)并接受植入者与操作者的连接,而且可以托管文件来模仿合法的网络服务器,威胁猎手可以设置监听器来识别网络上Sliver基础设施的异常情况。

RiskIQ的Sliver和Bumblebee具有明显的流量特征,其最常见的是一些独特的HTTP头组合和JARM散列,其实后者则是TLS服务器使用的主动指纹技术。

微软还分享了关于如何检测Sliver有效载荷(shellcode、可执行文件、共享库/DLLs和服务)的相关信息,这些有效载荷是使用C2框架的官方、非定制的代码库生成的。

检测工程师可以创建针对加载器的检测[如Bumblebee],或者,如果shellcode没有被混淆,则可以为嵌入加载器的shellcode有效载荷制定规则。

对于没有太多上下文环境的Sliver恶意软件有效载荷,微软建议在它们被加载到内存时提取配置,因为框架必须对它们进行去混淆和解密才能使用它们。

扫描内存可以使研究人员提取配置数据等细节。

威胁猎手也可以寻找用于进程注入的命令,默认的Sliver代码在一般的情况下实现了这一点。其中用于此的命令有

· migrate(命令)--迁移到一个远程进程中

· spawndll (command) - 在远程进程中加载并运行一个反射型DLL

· sideload (命令) - 在远程进程中加载和运行一个共享对象(共享库/DLL)

· msf-inject (命令) - 将Metasploit框架的有效载荷注入到一个进程中

· execute-assembly(命令) - 在一个子进程中加载和运行一个.NET程序集

· getsystem(命令)--以NT AUTHORITY/SYSTEM用户的身份生成一个新的Sliver会话。

微软指出,该工具包还需要依赖扩展和别名(Beacon Object Files (BFOs), .NET应用程序和其他第三方工具)进行命令注入。

该框架还使用了PsExect来运行允许横向移动的命令。

为了使受Defender保护的企业更容易识别其环境中的Sliver的攻击活动,微软为上述命令创建了一套可以在Microsoft 365 Defender门户中运行的防御策略。

微软强调,软件所提供的检测规则集是针对目前已经公开的Sliver代码库的。使用定制的变体可能会影响基于微软规则库的检测。

威胁者正在抛弃Cobalt Strike渗透测试套件,而选择不太知名的类似的框架。在Brute Ratel之后,一个名为Sliver的开源的、跨平台的工具包成为了一个很有吸引力的替代方案。

然而,使用Sliver的恶意攻击活动可以通过分析该工具包、了解其工作方式及分析其组件来对攻击流量进行很好的检测。

从Cobalt Strike迁移到另一个工具

在过去的几年里,Cobalt Strike作为各种威胁者(包括勒索软件攻击)的攻击工具,通过在被破坏的网络上投放 "信标",并且允许攻击者横向移动到具有高价值的系统内,该工具已经越来越受欢迎。

由于防御者已经学会了检测和阻止使用这种工具包的网络攻击,黑客们正在尝试其他的可以逃避端点检测和响应(EDR)以及防病毒解决方案的攻击。

面对用户做的针对Cobalt Strike的强大的防御措施,威胁者目前已经找到了替代方案。Palo Alto Networks观察到他们转而使用了Brute Ratel,这是一种对抗性攻击模拟工具,其可以很好的躲避安全产品。

微软在一份报告中指出,从国家支持的团体再到网络犯罪团伙,黑客在攻击中越来越多地使用了由BishopFox网络安全公司研究人员开发的Sliver安全测试工具。

微软观察到Sliver指挥和控制(C2)框架现在已经被民族国家威胁攻击者、直接使用勒索软件的网络犯罪团伙以及其他威胁行为者采用并整合到了入侵活动中,这样可以很好的逃避安全软件的检测。

其中一个采用Sliver的黑客团体被微软追踪为DEV-0237。该团伙也被称为FIN12,其与各种勒索软件运营商有密切联系。

该团伙过去曾通过各种恶意软件(包括BazarLoader和TrickBot)分发各种勒索软件运营商(Ryuk、Conti、Hive、Conti和BlackCat)的勒索软件有效载荷。

根据英国政府通信总部(GCHQ)的一份报告,俄罗斯的有国家背景的攻击者,特别是APT29(又名Cozy Bear、The Dukes、Grizzly Steppe)也曾经使用Sliver来维持对被攻击环境的访问权限。

微软指出,Sliver目前已被部署在了最近的攻击中,它使用了Bumblebee(Coldtrain)恶意软件加载器,并且它也作为了Conti集团的BazarLoader软件的替代品。

基于Sliver的攻击活动

尽管这是一种新的攻击威胁,但还是会有一些方法可以检测由Sliver框架以及更隐蔽的威胁引起的恶意活动。

微软提供了一套战术、技术和程序(TTPs),防御者可以用来识别Sliver和其他新兴的C2框架。

由于Sliver C2网络支持多种协议(DNS、HTTP/TLS、MTLS、TCP)并接受植入者与操作者的连接,而且可以托管文件来模仿合法的网络服务器,威胁猎手可以设置监听器来识别网络上Sliver基础设施的异常情况。

RiskIQ的Sliver和Bumblebee具有明显的流量特征,其最常见的是一些独特的HTTP头组合和JARM散列,其实后者则是TLS服务器使用的主动指纹技术。

微软还分享了关于如何检测Sliver有效载荷(shellcode、可执行文件、共享库/DLLs和服务)的相关信息,这些有效载荷是使用C2框架的官方、非定制的代码库生成的。

检测工程师可以创建针对加载器的检测[如Bumblebee],或者,如果shellcode没有被混淆,则可以为嵌入加载器的shellcode有效载荷制定规则。

对于没有太多上下文环境的Sliver恶意软件有效载荷,微软建议在它们被加载到内存时提取配置,因为框架必须对它们进行去混淆和解密才能使用它们。

扫描内存可以使研究人员提取配置数据等细节。

威胁猎手也可以寻找用于进程注入的命令,默认的Sliver代码在一般的情况下实现了这一点。其中用于此的命令有

· migrate(命令)--迁移到一个远程进程中

· spawndll (command) - 在远程进程中加载并运行一个反射型DLL

· sideload (命令) - 在远程进程中加载和运行一个共享对象(共享库/DLL)

· msf-inject (命令) - 将Metasploit框架的有效载荷注入到一个进程中

· execute-assembly(命令) - 在一个子进程中加载和运行一个.NET程序集

· getsystem(命令)--以NT AUTHORITY/SYSTEM用户的身份生成一个新的Sliver会话。

微软指出,该工具包还需要依赖扩展和别名(Beacon Object Files (BFOs), .NET应用程序和其他第三方工具)进行命令注入。

该框架还使用了PsExect来运行允许横向移动的命令。

为了使受Defender保护的企业更容易识别其环境中的Sliver的攻击活动,微软为上述命令创建了一套可以在Microsoft 365 Defender门户中运行的防御策略。

微软强调,软件所提供的检测规则集是针对目前已经公开的Sliver代码库的。使用定制的变体可能会影响基于微软规则库的检测。

美国网络安全和基础设施安全局(CISA)向公众和联邦IT安全团队发出警告,Palo Alto Networks防火墙软件容易受到攻击,并且要求当前应用尽快发布修复程序。敦促联邦机构在9月9日前修补该漏洞。

本月早些时候,Palo Alto Networks发布了高危漏洞(CVE-2022-0028)的修复程序,它说攻击者一直在试图利用这个漏洞。该漏洞可被远程黑客用来进行反射和放大拒绝服务(DoS)攻击,并且不需要对目标系统进行认证。

Palo Alto Networks坚持认为,该漏洞只能在有限的系统上、在特定的条件下被利用,而且该易受攻击的系统并不是防火墙配置的一部分。其他任何利用该漏洞的攻击,要么还没有发生,要么是已经被公开报道了。

受影响的产品和操作系统版本

受影响的产品主要包括那些运行PAN-OS防火墙软件的产品,包括PA-系列、VM-系列和CN-系列设备。受攻击的PAN-OS系统版本包括10.2.2-h2之前的PAN-OS,10.1.6-h6之前的PAN-OS,10.0.11-h1之前的PAN-OS,9.1.14-h4之前的PAN-OS,9.0.16-h3之前的PAN-OS,8.1.23-h1之前的PAN-OS。

根据Palo Alto Networks的公告,PAN-OS 的URL过滤策略的错误配置可能会允许网络攻击者进行反射和放大的TCP拒绝服务(RDoS)攻击。那些针对攻击者指定的目标进行的攻击流量,似乎是来自于Palo Alto Networks PA系列(硬件)、VM系列(虚拟)和CN系列(容器)防火墙。

该公告认为有风险的非标准的配置,一般是防火墙配置了一个URL过滤配置文件,其中有一个或多个被阻止的流量类型被分配了安全规则,同时其源区有一个向外部开放的网络接口。

研究人员说,这种配置可能是网络管理员无意中造成的。

CISA在KEV目录中增加了这个漏洞

周一,CISA将Palo Alto Networks的漏洞添加到了其已知已被利用的漏洞目录列表中。

CISA的已知被利用的漏洞(KEV)目录是一个精心整理的漏洞列表,这些漏洞大都已在野被利用。同时该机构也强烈建议公共和私营组织密切关注的KEV列表,以便及时对漏洞进行补救,减少被已知威胁者破坏的可能性。

反射式和放大式DoS攻击

DDoS领域最引人注目的变化之一是攻击流量峰值的不断增长。攻击者通过使用反射/放大技术,利用DNS、NTP、SSDP、CLDAP、Chargen和其他协议的漏洞,最大限度地扩大了他们的攻击规模。

反射式和放大式拒绝服务攻击并不新鲜,多年来已逐渐变得非常普遍。

分布式拒绝服务攻击,通过用大量的流量攻击域名或特定的应用基础设施来使网站离线,然后对所有类型的企业造成重大安全挑战。该攻击会影响业务收入、客户服务和基本的业务功能,而且令人担忧的是,这些攻击背后的黑客正在提升他们的攻击杀伤力,并且随着时间的推移,这些攻击变得越来越强。

与以前普通的DDoS攻击不同,反射性和放大的DoS攻击可以产生更多的破坏性流量。这种类型的攻击允许者放大他们产生的恶意流量,同时掩盖攻击流量的来源。例如,基于HTTP的DDoS攻击,向目标的服务器发送大量的垃圾HTTP请求,占用资源并攻击特定的网站或服务。

最近Palo Alto Networks的攻击被认为是使用了TCP攻击,即攻击者向一系列随机或预选的反射IP地址发送一个具有欺骗性的SYN数据包,用受害者的IP地址替换原始源IP。反射地址上的服务以SYN-ACK数据包回复被攻击的受害者。如果受害者没有回应,反射服务将继续重发SYN-ACK数据包,导致攻击效果的放大。放大的数量取决于反射服务的SYN-ACK重传的数量,这可以由攻击者自己定义。