每周高级威胁情报解读(2020-09-24–09.30)

  • A+
所属分类:安全新闻

2020.09.24-2020.09.30

攻击团伙情报

  • APT-C-43针对委内瑞拉军事机构进行窃密活动

  • 新型APT组织“海毒蛇”针对全球多种实体进行攻击

  • Lazarus利用MATA框架针对数字货币行业的攻击


攻击行动或事件情报

  • 美国联邦机构的网络遭到黑客攻击

  • 欧洲时装零售商BrandBQ泄露约7百万条客户记录

  • KuCoin加密货币交易所遭黑客攻击损失1.5亿美元

  • 乌克兰国家警察局的网站遭黑客入侵暂时关闭


恶意代码情报

  • 针对Android设备的Botnet恶意软件 AdbMiner

  • 通过电子邮件传播的远控的MoDi RAT

  • 针对Mac和Linux的间谍软件FinSpy

  • 使用CVE-2017-11882传播的恶意软件LodaRAT

  • 使用漏洞进行攻击的BuleHero挖矿蠕虫


漏洞相关情报

  • 【安全风险通告】苹果发布更新解决了macOS中的四个安全漏洞

  • 【安全风险通告】思科发布安全补丁解决了29个高严重性漏洞

  • 【安全风险通告】facebook Instagram存在远程代码执行漏洞

  • 【安全风险通告】Citrix Workspace中存在远程命令注入漏洞



攻击团伙情报


1

APT-C-43针对委内瑞拉军事机构进行窃密活动

披露时间:2020年09月25日

情报来源:

https://blog.360totalsecurity.com/en/apt-c-43-steals-venezuelan-military-secrets-to-provide-intelligence-support-for-the-reactionaries-hpreact-campaign/


相关信息:

APT-C-43自2019年以来一直活跃的一系列高级威胁行动。通过入侵委内瑞拉的各种军事机构,并在其中部署了后门,以不断监视和窃取最新军事机密。

在追踪攻击者的消息来源时,发现这次攻击的持续时间与委内瑞拉的政治混乱相吻合,攻击者使用的网络资产大多部署在哥伦比亚,而在委内瑞拉和哥伦比亚则经常发现一些资产。委内瑞拉联合政变后,以胡安·盖拉多·瓜伊多·马尔克斯为首的反动政府逃往哥伦比亚寻求军事援助。可以确定,APT-C -43竞选的政治背景可能是帮助胡安领导的反动派窃取委内瑞拉军队的军事机密,并为反动政府与现任委内瑞拉政府之间的对抗提供情报支持。因此,将这一系列攻击命名为HpReact。

在追踪消息来源的过程中,发现该系列攻击活动与APT组织Machete具有紧密联系,Machete组织的历史可以追溯到2010年。该APT组织起源于西班牙,其目标是拉丁美洲的军事,使馆和政府机构。显然,HpReact活动只是该组织在拉丁美洲网络战争中的一小部分。

APT-C-43使用的诱饵文件内容是委内瑞拉当局颁布的一项政策,旨在防止逃兵前往哥伦比亚支持反动政府。可以看出,攻击者对委内瑞拉当前的政治,军事等都非常了解熟悉,并且攻击者善于使用此类敏感信息制作诱饵文件。

每周高级威胁情报解读(2020-09-24--09.30)

APT-C-43完整攻击如下

每周高级威胁情报解读(2020-09-24--09.30)



2

新型APT组织“海毒蛇”针对全球多种实体进行攻击

披露时间:2020年09月25日

情报来源:

https://mp.weixin.qq.com/s/n3HcxJT-oDPeVMtekhXcIg


相关信息:

APT组织“海毒蛇”背后的黑客组织利用各种技术手段做掩护已经活跃了多年,但黑客组织及攻击活动的情报信息依然未被公开披露。在分析攻击活动的过程中,发现该黑客组织不仅是针对企业进行定向攻击的黑客团伙,而且还是长期从事物联网攻击的惯犯,该组织具有APT攻击和物联网攻击的特性,定向攻击的目标集中在金融机构、政府事业单位、精密仪器、酒店和旅游业等相关的实体,物联网攻击涉x86、x64、arm、spc、mips、ppc等多个CPU平台,甚至还包含摩托罗拉的广泛用于街机和家用游戏机微处理器m68和m68k,以及日立的用于多媒体终端、电视游乐器或机顶盒的微处理器SH4。

“海毒蛇”曾经使用如CVE-2017-0199、CVE-2017-8570之类的office漏洞来攻击企事业单位,同时也使用了大量物联网设备的漏洞来构建物联网僵尸网络。从黑客的历史活动迹象上可以看出该黑客组织是一个以经济利益为目标的犯罪团伙。此外针对企业攻击中,“海毒蛇”首次利用了诱饵文档的批注信息来隐藏恶意代码,同时采用多级跳板、混淆加密等等手段来规避追踪与检测。

在溯源分析过程中发现,该黑客组织极有可能来自于南亚的某个国家,至少包含有6名成员,其中一位负责恶意代码的编写工作,其他人负责配置并投放恶意代码,溯源到的6名成员的名称来自于黑客所使用的计算机用户名(可能并不是其真实名称)。首先通过恶意代码的PDB路径及其广泛制作的恶意文件锁定了其中一个成员“Eng Moha”,其后通过大量的数据分析锁定了其他五名成员:“mnb joker”、“Lye Gomes”、“Joselio Bonin”、“Emanoel Brito”和“aSmarany”。其中,“Eng Moha”负责恶意程序开发、漏洞利用等工作,其他人负责攻击代码的配置和分发。在过去的一年多时间里,该黑客组织先后利用Gafgyt、Mirai木马组建僵尸网络进行DDoS攻击、并利用OneDrive云存储空间和鱼叉式网络等方式向商业公司投放AgentTesla、Remcos RAT和Masslogger窃密木马牟利。同时,“海毒蛇”还持有大量恶意域名和用于托管恶意文件的虚拟主机等网络基础设施。通过深度的关联发现“海毒蛇”组织似乎与Gorgon APT组织还有一定关联。


伪装成银行的钓鱼邮件      

每周高级威胁情报解读(2020-09-24--09.30)


每周高级威胁情报解读(2020-09-24--09.30)攻击目标

每周高级威胁情报解读(2020-09-24--09.30)

攻击流程

每周高级威胁情报解读(2020-09-24--09.30)


3

Lazarus利用MATA框架针对数字货币行业的攻击

披露时间:2020年09月27日

情报来源:

https://mp.weixin.qq.com/s/zV0FL1MZVvGW-FNY9wDbOg


相关信息:

       Lazarus组织根据数字货币行业人员常用的开源软件,定制了一批嵌入了恶意代码的软件工具包。然后冒充行业人士角色进入了数字货币行业的社交圈,在骗取目标人物的信任后,通过IM等社交工具投递目标所需的恶意软件工具包进行攻击。根据数字货币行业的被攻击趋势推测,该组织在攻陷目标后续会针对目标和相关企业持续渗透,进行一系列的数字货币窃取行动。

该组织在此次攻击活动中投递的开源软件工具包一般是压缩文档形式,文档在解压后会释放经过嵌入恶意代码的“开源程序”,同时释放一个恶意dll文件,这个额外的dll文件具备远程下载和内存执行的功能。伪装的“开源程序”会执行“rundll32.exe**.dll,UpdateCheck”命令,用于加载这个恶意dll文件,通过下载器和rat工具最终部署MATA框架。

MATA框架是近期被卡巴斯基披露的一个多平台恶意软件框架,支持Windows、Linux和MacOS等多个主流平台,并拥有多个不同功能的攻击组件。该恶意框架的受害者广泛分布在波兰,德国,土耳其,韩国,日本和印度等地区,卡巴斯基认为该恶意软件框架与Lazarus 组织存在关联。

 

攻击流程

每周高级威胁情报解读(2020-09-24--09.30)

META框架部署流程

每周高级威胁情报解读(2020-09-24--09.30)


攻击行动或事件情报


1

美国联邦机构的网络遭到黑客攻击

披露时间:2020年09月26日

情报来源:

https://threatpost.com/feds-cyberattack-data-stolen/159541/


相关信息:

       美国联邦机构遭受了一次与间谍活动有关的网络攻击,导致一个后门和多阶段恶意软件被投放到其网络上。CISA在周四发布了警报,黑客通过使用员工的合法Microsoft Office 365登录凭据来远程登录到一台机构的计算机上,从而获得了初始访问权限。在初步访问之后,黑客更改了组策略的注册表项。接着通过Windows server Message Block (SMB)客户端,使用该团伙先前创建的别名安全标识符帐户登录到虚拟专用服务器(VPS);然后,他们执行了远程管理实用程序plink.exe。之后,他们连接到命令与控制(C2),并安装了名为“ inetinfo.exe”的自定义恶意软件。同时,该威胁团伙还以持久的Secure Socket Shell (SSH)隧道/反向SOCKS代理的形式建立了后门。


2

欧洲时装零售商BrandBQ泄露约7百万条客户记录

披露时间:2020年09月29日

情报来源:

https://www.infosecurity-magazine.com/news/fashion-retailer-brandbq-seven/


相关信息:

一欧洲时装零售商BrandBQ因错误配置云数据库,导致公开数百万客户个人数据。vpnMentor的研究人员于6月28日发现了未加密的Elasticsearch服务器,母公司BrandBQ终于在大约一个月后的8月20日对其进行了保护。在被曝光的10亿项数据库中,有670万条记录与在线客户有关,每项记录都包含个人身份信息(PII),包括全名、电子邮件和家庭住址、出生日期、电话号码和支付记录(但不包括信用卡细节)。另外还有50,000条与某些司法管辖区当地承包商有关的记录,包括增值税编号和购买信息等更多信息。


3

KuCoin加密货币交易所遭黑客攻击损失1.5亿美元

披露时间:2020年09月27日

情报来源:

https://www.tripwire.com/state-of-security/security-data-protection/over-18k-covid-19-patients-data-mistakenly-exposed-by-nhs-trust/


相关信息:

位于新加坡的加密货币交易所KuCoin今天披露了一次大规模黑客攻击。该公司在其网站上发布的一份声明中证实,一名威胁者侵入了其系统,并清空了其热钱包中的所有资金。KuCoin表示,在9月26日观察到其热钱包“有一些大额提款”后,发现了黑客攻击。黑客成功窃取了比特币资产、基于ERC-20的代币以及其他类型的代币。目前,根据用户追踪部分被盗资金的Etherium地址,估计损失至少为1.5亿美元。


恶意代码情报


1

针对Android设备的Botnet恶意软件 AdbMiner

披露时间:2020年09月30日

情报来源:

https://mp.weixin.qq.com/s/AoiNWmx7BCo4c4kJAuOUhA


相关信息:

近期奇安信威胁情报中心移动安全团队从客户现场的IOT设备中捕获到一起针对Android设备的Botnet,其本质是 “AdbMiner”恶意家族。后客户借助奇安信的移动终端安全管理系统(天机)实现了对该恶意家族的全面清除与免疫,有效保障了IOT设备上相应业务的正常进行。

“AdbMiner”诞生于2018年,主要通过droidbot模块对已经打开的 adb 调试端口的Android设备进行蠕虫传播,并且为了增加端口探测效率引入了Mirai的SYN扫描模块。其一开始针对的目标是电视盒子设备,后续也被发现于充电桩等其它Android设备中。其采用二进制文件挖矿程序rig、远程JS文件多种手段来实现黑产挖矿。至今,奇安信威胁情报中心已捕获到该家族的数个活跃版本。

通过SHODAN进行评估,世界范围里目前至少有近万台Android设备可遭受或已遭受到“AdbMiner”恶意家族的攻击。

每周高级威胁情报解读(2020-09-24--09.30)

程序从/data/local/tmp/bdat加密文件中解密还原出/sdcard/44这个包含tv.apk、rtsh.sh、rig三个恶意模块的压缩包文件。

每周高级威胁情报解读(2020-09-24--09.30)


程序会卸载旧版本挖矿应用,安装新版本挖矿应用。

每周高级威胁情报解读(2020-09-24--09.30)

每周高级威胁情报解读(2020-09-24--09.30)


2

通过电子邮件传播的远控的MoDi RAT

披露时间:2020年09月24日

情报来源:

https://news.sophos.com/en-us/2020/09/24/email-delivered-modi-rat-attack-pastes-powershell-commands/


相关信息:

      恶意软件MoDi RAT使用了一种不寻常的反射式装载机攻击方法。攻击者投递包含了恶意附件的电子邮件,附件是一个插入恶意VBS代码的office文档,最后加载MoDiRAT。

宏恶意VBS代码启动PowerShell,然后将命令文本粘贴到PowerShell窗口加以执行,而不是将命令字符串作为参数传递执行。这种方式能很好的规避某些主动防御软件的监控。

它将使用wscript.exe启动VBS。VBS代码将启动PowerShell,然后运行此代码,该代码将从VBS中获取数据并将其插入系统的剪贴板中,然后可以使用VBS SendKeys命令以编程方式将命令“粘贴”到PowerShell窗口中。

每周高级威胁情报解读(2020-09-24--09.30)

完整攻击链

每周高级威胁情报解读(2020-09-24--09.30)


3

针对Mac和Linux的间谍软件FinSpy

披露时间:2020年09月27日

情报来源:

https://thehackernews.com/2020/09/finspy-malware-macos-linux.html


相关信息:

       间谍软件FinSpy主要针对埃及民间社会组织进行攻击,该间谍软件旨在针对Linux和macOS系统。FinSpy由一家德国公司开发,是一款功能非常强大的间谍软件,也被称为FinFisher,可以同时针对桌面和移动操作系统,包括Android、iOS、Windows、macOS和Linux,以获得间谍功能,包括秘密打开其网络摄像头和麦克风,在键盘上记录受害者键入的所有内容,拦截通话,并窃取数据。

 

      Linux版本的FinSpy攻击链如下

每周高级威胁情报解读(2020-09-24--09.30)

MAC版本的FinSpy攻击链

每周高级威胁情报解读(2020-09-24--09.30)

Linux样本中可用的模块与MacOS样本几乎相同,这些模块使用AES算法进行加密,并使用aplib压缩库进行压缩。AES密钥存储在二进制文件中,但是IV以及最终解压缩文件的MD5哈希存储在每个配置文件中,使用HTTP POST请求与Command&Control(C&C)服务器通信。使用7F模块提供的功能对发送到服务器的数据进行加密,使用自定义压缩器进行压缩,并进行base64编码。


4

使用CVE-2017-11882传播的恶意软件LodaRAT

披露时间:2020年09月29日

情报来源:

https://blog.talosintelligence.com/2020/09/lodarat-update-alive-and-well.html#more


相关信息:

LodaRAT是一种用AutoIt编写的远程访问木马。新版本中不仅放弃了其通常的混淆技术,而且还重写了一些功能,并添加了新功能。在一个版本中,添加了十六进制编码的PowerShell键盘记录器脚本以及新的VB脚本,仅在以后的版本中将其删除。在分析过程中,观察到攻击者的直接动作。

旧版本中感染链开始于恶意的Word文档,该文档下载了第二个文档,然后利用CVE-2017-11882漏洞下载了一个包含已编译的Loda AutoIt脚本的MSI文件。

新版本的LodaRAT使用电子邮件传播

每周高级威胁情报解读(2020-09-24--09.30)


Loda使用字符串混淆和函数名称随机化技术

每周高级威胁情报解读(2020-09-24--09.30)

最新版本中,Loda使用AutoIt宏“@OSVERSION”检测操作系统版本,并根据Windows版本将其自身复制到Temp或启动目录中执行。

每周高级威胁情报解读(2020-09-24--09.30)


5

使用漏洞进行攻击的BuleHero挖矿蠕虫

披露时间:2020年09月28日

情报来源:

https://s.tencent.com/research/report/1139.html


相关信息:

BuleHero挖矿蠕虫利用Apache Solr远程代码执行漏洞(CVE-2019-0193)对互联网资产进行攻击,进一步分析后发现,且该变种版本新增了SMBGhost(CVE-2020-0796)漏洞利用代码。

蠕虫使用Apache Solr远程代码执行漏洞(CVE-2019-0193)执行certutil.exe命令获取下载者程序并下载后阶段恶意文件SesnorDateService.exe。

每周高级威胁情报解读(2020-09-24--09.30)

每周高级威胁情报解读(2020-09-24--09.30)

下载回来的文件会释放一系列载荷,包括释放SMBGhost漏洞攻击程序divsfrsHost.exe,XMRig挖矿木马和远控木马Hentai.exe。

每周高级威胁情报解读(2020-09-24--09.30)

每周高级威胁情报解读(2020-09-24--09.30)


SesnorDateService.exe还包含了多个CVE漏洞的攻击载荷。

Apache Struts2漏洞【CVE-2017-5638】

WebLogic 漏洞【CVE-2018-2628】
WebLogic 漏洞【CVE-2017-10271】
Thinkphp5漏洞【CNVD-2018-24942】
Tomcat漏洞【CVE-2017-12615】
Drupal漏洞【CVE-2018-7600】

漏洞相关情报


1

【安全风险通告】苹果发布更新解决了macOS中的四个安全漏洞

披露时间:2020年09月29日

情报来源:

https://securityaffairs.co/wordpress/108809/security/apple-macos-vulnerabilities.html


相关信息:

苹果周四宣布修补了影响macOS Catalina、High Sierra和Mojave的四个漏洞。苹果解决的一个漏洞是越界读取,即CVE-2020-9973,它会影响Model I/O组件。该漏洞的利用涉及到对恶意USD文件的处理,它可能导致任意代码执行或触发DoS条件。苹果解决的第二个问题是一个任意的代码执行漏洞,跟踪为CVE-2020-9961,它会影响ImageIO组件。第三个漏洞被跟踪为CVE-2020-9968,它会影响沙箱,可以被恶意应用程序利用来访问受限制的文件。在macOS中修复的第四个漏洞是CVE-2020-9941,它会影响到High Sierra OS中的Mail组件。远程攻击者可以利用该漏洞“意外更改应用程序状态”。


2

【安全风险通告】 思科发布安全补丁解决了29个高严重性漏洞

披露时间:2020年09月26日

情报来源:

https://threatpost.com/cisco-patches-bugs/159537/


相关信息:

思科周四发布了一系列补丁,旨在修复其无处不在的IOS操作系统中的漏洞。这些补丁填补了大量产品的漏洞,并解决了拒绝服务、文件覆盖和输入验证攻击等问题。其中29个思科漏洞严重等级为高,13个严重等级为中。最值得注意的是,许多漏洞为远程、未经身份验证的攻击者打开了大门,使他们可以在目标系统上执行任意代码。


3

【安全风险通告】Facebook修复Instagram的远程代码执行漏洞

披露时间:2020年09月26日

情报来源:

https://securityaffairs.co/wordpress/108709/hacking/instagram-rce-flaw.html


相关信息:

Facebook修复了Instagram上一个可能导致智能手机摄像头、麦克风等被劫持的关键远程代码执行漏洞。该漏洞由Check Point发现,被跟踪为CVE-2020-1895,这是Instagram图像处理中存在的堆溢出问题,CVSS评分为7.8。攻击者可以通过电子邮件、WhatsApp、短信或任何其他通信平台向受害者发送精心制作的恶意图像,然后将其保存到受害者的设备中,从而触发漏洞。


4

【安全风险通告】CitrixWorkspace中存在远程命令注入漏洞

披露时间:2020年09月25日

情报来源:

https://threatpost.com/citrix-workspace-new-attack/159459/


相关信息:

Citrix Workspace的一个漏洞在7月份被修复,现在发现有一个次级攻击向量,它将使网络犯罪分子能够提升特权并在SYSTEM帐户下远程执行任意命令。该漏洞(CVE-2020-8207)存在于Windows的Citrix Workspace应用程序的自动更新服务中。根据Citrix警告,当启用Windows文件共享(SMB)时,它可能允许本地权限提升以及远程危及运行该应用程序的计算机。根据Pen Test Partners的说法,该漏洞虽然大部分已在夏季修复,但最近发现它仍使攻击者能够滥用Citrix签名的MSI安装程序(MSI是Windows Installer软件包的文件扩展名)。这会将变成一个远程命令行注入漏洞。


每周高级威胁情报解读(2020-09-24--09.30)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: