绿盟科技威胁周报（20220613-20220619）

一、热点资讯

• 黑客组织对印度政府网站发起了一系列数字攻击

【标签】政府

【概述】

来自马来西亚的一个名为 DragonForce 的黑客组织对印度驻以色列大使馆、国家农业推广管理研究所和印度农业研究委员会门户网站的电子门户发起了一系列数字攻击。现在有消息称，在短短 33 小时内，来自印度的大约 70 个网站遭到了数字攻击，并警告说，如果政府不对现在被停职的 BJP 女发言人采取任何严厉行动，将会发生更多此类攻击。大多数目标是德里公立学校、Bhavans 和共生研究所等教育机构。

【参考链接】

https://ti.nsfocus.com/security-news/IlNAC

• 伊朗攻击者对以色列和美国前高级官员进行鱼叉式网络钓鱼活动

【标签】不区分行业

【概述】

研究人员揭露了最近在伊朗开展的针对前以色列官员、高级军事人员、研究机构研究员、智囊团和以色列公民的鱼叉式网络钓鱼行动。这些攻击使用定制的网络钓鱼基础设施，以及大量假冒电子邮件帐户来冒充受信任的一方。为了与新目标建立更深的信任，威胁参与者对一些受害者的收件箱进行了帐户接管，然后劫持了现有的电子邮件对话，以从目标和受信任方之间已经存在的电子邮件对话开始攻击，并以此为幌子继续对话。为了方便他们的鱼叉式网络钓鱼操作，攻击者操作了一个虚假的 URL 缩短 器 Litby[.]us来伪装网络钓鱼链接，并利用合法的身份验证服validation.com来盗取身份证件。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBk

• 黑客使用新的黑客工具“PingPull”攻击电信和政府部门

【标签】企业

【概述】

一个名为 GALLIUM 的 APT 组织最近一直在使用一种新的、难以检测的远程访问木马 PingPull。威胁参与者可以使用 PingPull 访问受感染的主机，PingPull 是一个运行命令并访问反向 shell 的 Visual C++ 应用程序。在 PingPull 中，没有功能区分的三个版本，但每个版本都使用自己的一组协议与其 C2 进行通信。可能有不同的 C2 协议，因为参与者可能会根据初步侦察部署适当的变体，以规避与特定网络检测相关的特定检测方法/工具。为了解密这些命令，信标需要一对硬编码密钥来解密它们，因为它们是从 C2 以 AES 加密形式发送的。

【参考链接】

https://ti.nsfocus.com/security-news/IlNB5

• 攻击者利用Panchan僵尸网络对教育部门的Linux服务器进行网络攻击

【标签】企业

【概述】

安全研究人员发现了一个新的基于 Golang 的 P2P 僵尸网络，被跟踪为 Panchan，它的目标是自 2022 年 3 月以来一直处于活动状态的 Linux 服务器。Panchan 使用基本的 SSH 字典攻击来实现可蠕虫行为，它还收集 SSH 密钥并将其用于横向移动。该机器人使用“其内置的并发功能来最大限度地提高可传播性并执行恶意软件模块。研究人员观察到恶意软件实施了“上帝模式”，这是一个管理面板，操作员使用它来编辑挖掘配置，然后将其分发到僵尸网络的所有节点。观察到威胁参与者使用私钥访问 Godmode，以防止不必要的篡改，bot 包含与上述私钥关联的公钥，用于验证连接。管理面板是用日语编写的，这种情况表明威胁参与者可能来自日本。专家们对僵尸程序进行了逆向工程，他们还能够开发一个脚本来映射僵尸网络并提取受感染机器的完整列表。在分析时，研究人员发现了 209 名同行，其中 40 名目前处于活跃状态。大多数感染发生在亚洲 (64)，其次是欧洲 (52)、北美 (45)、南美 (11)、非洲 (1) 和大洋洲(1)