每周高级威胁情报解读(2020-10-01–10.08)

  • A+
所属分类:安全新闻

2020.10.01-2020.10.08

攻击团伙情报

  • APT-C-23组织安卓恶意软件分析

  • TA2552利用微软第三方应用令牌授权窃取数据

  • XDSpy:长期窃取政府机密的APT组织


攻击行动或事件情报

  • 鱼叉网络钓鱼活动投送Buer和Bazar恶意软件

  • 中东石油和天然气供应链产业的针对性攻击分析


恶意代码情报

  • Black-T:挖矿恶意软件变种分析

  • 恶意NPM软件包通过GitHub收集用户信息

  • PoetRAT:针对阿塞拜疆的木马升级换代

  • BLINDINGCAN:Lazarus恶意软件分析

  • 拉丁美洲银行木马关联分析



攻击团伙情报


1

APT-C-23组织安卓恶意软件分析

披露时间:2020年10月01日

情报来源:

https://www.welivesecurity.com/2020/09/30/aptc23-group-evolves-its-android-spyware/

相关信息:

       APT-C-23是一个自2016年开始,长期针对中东地区军事,教育部门的APT组织,其恶意代码框架涉及Windows和Android平台。近期,ESET安全研究人员发现,该组织开始使用新的Android间谍软件进行攻击活动,并发现该组织伪造了一个假的Android应用商店—“DigitalApps”。该应用商店中包含恶意应用以及正常合法的应用,恶意应用一般伪装成ndroidUpdate,Threema和Telegram的应用程序。但下载这些恶意应用时需要输入6位验证码,这或许是为了针对特定的用户。此类恶意应用具有拍照录音,获取通话记录,短信,联系人,窃取特殊后缀文件等功能。

每周高级威胁情报解读(2020-10-01--10.08)


2

TA2552利用微软第三方应用令牌授权窃取数据

披露时间:2020年10月01日

情报来源:

https://www.proofpoint.com/us/blog/threat-insight/ta2552-uses-oauth-access-token-phishing-exploit-read-only-risks

相关信息:

       自2020年1月以来,Proofpoint研究人员一直在追踪TA2552组织利用微软Office 365第三方应用(3PA)访问的可疑活动,该活动可追溯到2019年8月。TA2552使用精心制作的西班牙语诱饵并利用小范围内的主题和品牌,来诱使用户点击消息中的链接,得以将其带到合法的微软第三方应用程序同意页面。用户将被提示通过OAuth2或其他基于令牌的授权方法,授予第三方应用程序对其Office 365帐户的只读用户权限。TA2552寻求访问特定的账户资源,如用户的联系人和邮件,请求这些账户资源的只读权限可以用来进行账户侦察、窃取数据或者拦截其他账户(如金融机构的账户)的密码重置消息。

每周高级威胁情报解读(2020-10-01--10.08)


3

XDSpy:长期窃取政府机密的APT组织

披露时间:2020年10月02日

情报来源:

https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/

相关信息:

       ESET披露了一个新的APT组织XDSpy,该组织自2011年以来一直在窃取东欧和巴尔干几个政府的敏感文件。除政府实体外,XDSpy目标还包括军队和外交部以及私人公司。XDSpy似乎主要使用鱼叉式钓鱼邮件来攻击目标,邮件包含附件或指向恶意文件的链接,恶意文件或附件通常是ZIP或RAR存档文件。经过研究,研究人员还无法将XDSpy链接到任何公开的APT组织,但认为XDSpy开发人员可能正在UTC+2或UTC+3时区工作,这也是大多数攻击目标的时区,还注意到他们只在星期一至星期五工作。

每周高级威胁情报解读(2020-10-01--10.08)


攻击行动或事件情报


1

鱼叉网络钓鱼活动投送Buer和Bazar恶意软件

披露时间:2020年10月01日

情报来源:

https://www.zscaler.com/blogs/research/spear-phishing-campaign-delivers-buer-and-bazar-malware

相关信息:

       Zscaler ThreatLabZ近日发现针对各种组织员工的鱼叉钓鱼活动。钓鱼邮件主题为员工在公司的雇用已被终止,其包含看似指向合法Google Docs文档的链接,实际指向托管在Google云端硬盘等平台的Bazar后门或Buer加载程序。Bazar后门是TrickBot团伙工具包中的一部分,可用于实现高价值目标。Buer加载器是一种用C语言编写的功能强大的恶意软件,主要在俄罗斯地下论坛上以400美元左右的价格出售。


2

中东石油和天然气供应链产业的针对性攻击分析

披露时间:2020年10月01日

情报来源:

https://www.zscaler.com/blogs/research/targeted-attacks-oil-and-gas-supply-chain-industries-middle-east

相关信息:

自2020年7月以来,Zscaler ThreatLabZ团队发现针对中东石油和天然气行业多个供应链相关组织的针对性攻击有所增加。Zscaler发现了以电子邮件附件形式发送的恶意PDF文件的多个实例,并被用来向这些组织分发窃取信息的特洛伊木马AZORult。

攻击链始于一封电子邮件,该电子邮件似乎来自于ADNOC的一名官员,并且针对的是供应链和中东政府部门的官员。

此攻击活动中的每封电子邮件都有一个附件PDF文件。该PDF的首页上包含下载链接,这些链接可通往合法的文件共享站点,例如wetransfer和mega.nz(在其中托管ZIP存档)。ZIP归档文件包含一个打包的恶意.NET可执行文件,它将解密,加载和执行嵌入式AZORult二进制文件。

每周高级威胁情报解读(2020-10-01--10.08)


恶意代码情报


1

Black-T:挖矿恶意软件变种分析

披露时间:2020年10月05日

情报来源:

https://unit42.paloaltonetworks.com/black-t-cryptojacking-variant/

相关信息:

unit42研究人员发现了一种名为Black-T的挖矿劫持恶意软件新变种,该变种为TeamTnT组织编写,针对公开的Docker守护程序API并在受影响组织的易受攻击的系统上执行扫描和挖矿劫持操作。Black-T使用三种不同的网络扫描工具masscan、pnscan和zgrab,来识别受感染系统的本地网络内以及任何数量公共可访问网络中其他公开的Docker守护程序API,以扩展其挖矿劫持操作。

每周高级威胁情报解读(2020-10-01--10.08)


2

恶意NPM软件包通过GitHub收集用户信息

披露时间:

2020年10月01日

情报来源:

https://blog.sonatype.com/sonatype-spots-malicious-npm-packages

相关信息:

       Sonatype研究人员发现了四个包含恶意代码的JavaScript npm软件包,恶意代码收集用户详细信息并将信息上载到公共GitHub页面。四个恶意软件包为lectorn、lodashs、loadyaml、loadyml,收集的信息包括IP地址、国家/地区、城市、计算机用户名、主目录路径和CPU型号。


3

PoetRAT:针对阿塞拜疆的木马升级换代

披露时间:

2020年10月06日

情报来源:

https://blog.talosintelligence.com/2020/10/poetrat-update.html

相关信息:

       思科Talos观察到PoetRAT近期积极针对阿塞拜疆公共、私营部门和和其他重要组织传播。攻击者利用了据称来自阿塞拜疆政府的恶意Microsoft Word文档,Word文档包含恶意宏,最终下载恶意载荷。较早版本的PoetRAT部署了Python解释器来执行所包含的源代码,与最新版本开始使用Lua脚本。攻击者通过替换协议并在受感染的系统上执行侦察来提高其操作安全性(OpSec)。

每周高级威胁情报解读(2020-10-01--10.08)


4

BLINDINGCAN:Lazarus恶意软件分析

披露时间:

2020年10月01日

情报来源:

https://blogs.jpcert.or.jp/en/2020/09/BLINDINGCAN.html

相关信息:

JPCERT发布Lazarus使用的恶意软件BLINDINGCAN的分析报告。BLINDINGCAN通过加载程序加载DLL文件执行,其配置可存储在注册表项中、恶意软件本身的硬编码中或保存的文件中。BLINDINGCAN中的某些代码使用RC4进行混淆,与C&C服务器通信的响应数据也经过XOR编码、RC4加密和Base64编码。BLINDINGCAN可执行多种功能,包括对文件和进程的操作、上传/下载文件、获取磁盘信息和服务列表、执行任意的shell命令。

每周高级威胁情报解读(2020-10-01--10.08)



5

拉丁美洲银行木马关联分析

披露时间:2020年10月01日

情报来源:

https://www.welivesecurity.com/2020/10/01/latam-financial-cybercrime-competitors-crime-sharing-ttps/

相关信息:

ESET发表了一份白皮书,详细介绍了其对拉丁美洲银行木马家族相互关联的发现。研究人员分析的拉丁美洲银行木马家族为Amavaldo、Casbaneiro、Grandoreiro、Guildma、Mispadu、Mekotio、Zumanek、Krachulka、Lokorrito、Numando、Vadokrist。这些木马家族第一个相似之处是实现方式:向操作者发送通知,根据名称或标题定期扫描活动窗口,并通过精心设计的假弹出窗口进行攻击,试图引诱出受害者的敏感信息。这些木马家族共享不常见的第三方库、字符串加密算法以及字符串和二进制混淆技术,还共享相同的核心逻辑:通常检查一个标记(一个对象,比如用来表明机器已经被破坏的文件或注册表键值),并下载ZIP归档中的数据。

每周高级威胁情报解读(2020-10-01--10.08)



每周高级威胁情报解读(2020-10-01--10.08)


本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2020-10-01--10.08)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: