今日威胁情报2020/9/16-17(第303期)

  • A+
所属分类:安全新闻

今日威胁情报2020/9/16-17(第303期)


高级威胁分析
今日威胁情报2020/9/16-17(第303期)


1、季风行动 - 蔓灵花(APT-C-08)组织大规模钓鱼攻击活动披露

蔓灵花(APT-C-08)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织,是目前较活跃的针对我国境内目标进行攻击的境外APT组织之一。

2020年360安全大脑在全球范围内曾监测到蔓灵花组织多次攻击行动,如年初在COVID-19新冠病毒席卷我国之际,该组织就曾借疫情攻击过我国的相关单位。从7月开始,360安全大脑遥测发现蔓灵花组织针对南亚地区发起了大规模的钓鱼窃密攻击活动,通过360高级威胁研究院的追踪溯源,发现此次攻击行动的目标涉及包括我国和巴基斯坦在内的多个单位组织、政府机构,攻击活动一直持续活跃至今,本次攻击中继续沿用了之前仿冒目标邮箱系统钓鱼攻击的技战术,但其攻击规模和频次较之前大幅度增加,进一步针对部分重点目标还会以伪装会议文件或软件进行恶意载荷投递。

在南亚地区每年都会有特定的季风气候,每一年的季风来临时间一般出现在6-9月之间,根据南亚地区强烈的季风季节特点和攻击活动的时间周期,360高级威胁研究院将蔓灵花组织在此期间的攻击行动命名为“季风行动“,本报告将对此次”季风行动“的攻击进行全面的分析披露。

https://mp.weixin.qq.com/s/KsEyD0HpKMcuZbBcYADpAA


2、提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击

奇安信威胁情报中心红雨滴安全研究团队多年来持续对南亚次大陆方向的攻击活动进行追踪。我们对蔓灵花、摩诃草、响尾蛇等相关组织均做过大量的分析和总结。上述组织长期针对中国、巴基斯坦、尼泊尔等国和地区进行了长达数年的网络间谍攻击活动,主要攻击领域为政府机构、军工企业、核能行业、商贸会议、通信运营商等。

而近些年来,随着南亚边境冲突加剧,越来越多攻击组织借助中印关系为主题,针对中国关键基础设施部门发起网络攻击活动,我们长期追踪分析的“魔罗桫”APT团伙便是其中之一(国外安全厂商命名的Confucius)。

该组织自2013年起便持续活跃,奇安信内部对该团伙命名为“魔罗桫”。而由于近年来该组织对其内部攻击项目的命名:Project tibbar,故我们将该组织近期的攻击活动命名为:提菩。

在提菩攻击活动中,攻击团伙使用了多种攻击手法:邮件结合钓鱼网站,邮件结合木马附件,单一投放木马,恶意安卓APK投放等等。其中值得注意的是,攻击团伙除了使用自定义的特种木马外,疑似还使用了一些商业,开源木马。

在分析攻击载荷过程中,红雨滴发现该团伙不仅使用了高敏感性的、诱惑性的恶意文档名称,还发现该组织疑似使用了类似“商贸信”的攻击手法。这一点与以往传统的APT组织不太一致,这或许是该组织隐蔽自身攻击活动的方式,从而加大分析人员溯源的难度。

https://mp.weixin.qq.com/s/L5ZhA6B33sq57P2weHlt8w


3、苦象组织近期网络攻击活动及泄露武器分析

安天在2017年“潜伏的象群”报告中曾披露过其苦酒行动,其他厂商也称为:BITTER、蔓灵花、APT-C-17、T-APT-04等,根据安天的“攻击组织中文命名规范”,结合其网络攻击活动和地缘政治特点,安天正式将该组织命名为“苦象”。经过长时间的观测发现,该组织近期十分活跃,目前发现多批次涉及钓鱼网站和投递载荷两类攻击活动

https://mp.weixin.qq.com/s/31jCvYysBKUGfmetnyep0Q


以上3个报告,你品,你细品。


4、目标国防行业:Lazarus使用招聘诱饵结合持续更新的网络武器

    近几个月来,Lazarus组织常用航天,核工业,船舶工业等专业领域头部企业招聘信息为诱饵进行攻击活动,四月中旬红雨滴团队曾披露过《Lazarus APT组织使用西方某航空巨头招聘等信息针对美韩的定向攻击事件分析》,该活动后续被某安全厂商归为北极星行动(OperationNorthStar),近日,奇安信威胁情报中心红雨滴团队在日常的高价值样本挖掘过程,又捕获了一例该类型攻击样本,此次攻击活动中,Lazarus组织以通用(GDMS)公司高级业务经理招聘为诱饵,通过恶意宏释放执行后续Payload。

https://mp.weixin.qq.com/s/2sV-DrleHiJMSpSCW0kAMg


5、朝鲜(语系)网络犯罪组织和俄语系网络犯罪组织技术关联。算是强强联合了?

核心内容:

今日威胁情报2020/9/16-17(第303期)

https://public.intel471.com/blog/partners-in-crime-north-koreans-and-elite-russian-speaking-cybercriminals/


6、Linux APT attack 10 years

今日威胁情报2020/9/16-17(第303期)

https://www.intezer.com/blog/cloud-security/looking-back-on-the-last-decade-of-linux-apt-attacks/


7、伊朗威胁组织使用的webshell控制工具

https://us-cert.cisa.gov/ncas/analysis-reports/ar20-259a

IOC:

https://us-cert.cisa.gov/sites/default/files/publications/MAR-10297887-1.v1.stix.xml


8、我这么发,不会跟黑鸟一样被封吧?

Back Despite Disruption: RedDelta Resumes Operations

https://www.recordedfuture.com/reddelta-cyber-threat-operations/

https://www.recordedfuture.com/reddelta-targets-catholic-organizations/


技术分享
今日威胁情报2020/9/16-17(第303期)


1、自定义的Mimikatz二进制文件

https://s3cur3th1ssh1t.github.io/Building-a-custom-Mimikatz-binary/


2、微软宣布推出新的Project OneFuzz框架,一个开放源代码的开发人员工具

https://www.microsoft.com/security/blog/2020/09/15/microsoft-onefuzz-framework-open-source-developer-tool-fix-bugs/

https://github.com/microsoft/onefuzz


3、ATTCK仿真加1

https://github.com/center-for-threat-informed-defense/adversary_emulation_library


漏洞相关
今日威胁情报2020/9/16-17(第303期)


1、Nitro Pro PDF阅读器中的多个漏洞,RCE,好工具

https://blog.talosintelligence.com/2020/09/vuln-spotlight-nitro-pdf-sept-2020.html


2、CVE-2020-16875: Microsoft Exchange远程代码执行漏洞通告,EXP公开,抓紧时间补漏洞。

https://cert.360.cn/warning/detail?id=1a9e6197b193654c78c1ef1ca3ef090d


网络战与网络情报
今日威胁情报2020/9/16-17(第303期)


1、Seven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns Against More Than 100 Victims Globally

帮凶:

今日威胁情报2020/9/16-17(第303期)

https://www.justice.gov/opa/pr/seven-international-cyber-defendants-including-apt41-actors-charged-connection-computer

关于被溯源,老帖子

今日威胁情报2020/9/16-17(第303期)

https://krebsonsecurity.com/wp-content/uploads/2012/11/WickedRose_andNCPH.pdf


2、American IT-businessman of Russian origin says Durov gave data of Telegram to Kremlin

看题目,还敢用telegram? 老美快点制裁起来……

https://www.ehackingnews.com/2020/09/american-it-businessman-of-russian.html


3、美国国家安全局(NSA)发布了有关统一可扩展固件接口(UEFI)安全启动自定义的指南。emm……像极了老美自己用够了,可能被别人也用来对他攻击了,赶紧预警一波,你品,你细品

https://media.defense.gov/2020/Sep/15/2002497594/-1/-1/0/CTR-UEFI-SECURE-BOOT-CUSTOMIZATION-20200915.PDF/CTR-UEFI-SECURE-BOOT-CUSTOMIZATION-20200915.PDF


4、英国NCSC发布漏洞披露流程

今日威胁情报2020/9/16-17(第303期)

https://www.ncsc.gov.uk/files/NCSC_Vulnerability_Toolkit.pdf



今日威胁情报2020/9/16-17(第303期)

广告时间

360威胁情报中心TI新版上线

https://ti.360.cn


今日威胁情报2020/9/16-17(第303期)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: