攻击团伙情报
-
血茜草行动:APT组织毒云藤网络间谍活动分析
-
毒云藤(APT-C-01)组织2020上半年针对我重要机构定向攻击活动揭秘
-
针对毒云藤(APT-C-01)组织近期的大规模钓鱼攻击活动披露
-
蓝宝菇(APT-C-12)组织使用云存储技术发起的最新攻击活动披露
-
FIN11:广泛的电子邮件活动是勒索软件和数据盗窃的前兆
-
APT28疑似侵入了联邦机构
-
COBALTDICKENS新一轮鱼叉式网络钓鱼,积极瞄准大学
攻击行动或事件情报
-
TrickBot幕后团伙使用Bazar针对高价值目标
-
LemonDuck团伙挖矿活动持续活跃
-
SPACERACE攻击行动:通过专业社交网络冒充明星
恶意代码情报
-
Mirai僵尸网络变种KiraV2,主要进行DDoS攻击
-
巴西活跃的窃密组织发布了新框架SolarSys
-
Golang编写新RAT,通过CVE-2019-2725漏洞传播
-
FakeMBAM后门通过广告拦截器更新分发
-
Phobos勒索软件变种EKING
漏洞相关情报
-
MicrosoftWindows IPv6远程代码执行拒绝服务漏洞
-
AMD显卡驱动中存在DoS漏洞
-
SonicWall VPN portal被发现蠕虫级RCE漏洞
攻击团伙情报
1
血茜草行动:APT组织毒云藤网络间谍活动分析
披露时间:2020年10月13日
情报来源:https://mp.weixin.qq.com/s/omacDXAdio88a_f0Xwu-kg
相关信息:
奇安信威胁情报中心红雨滴安全研究团队于2011年开始持续对华语来源的攻击活动进行追踪。与此前有所不同的是,如今该华语来源的攻击活动趋向渔网化,通过批量与定向投方相结合,采取信息探测的方式辅助下一步的定点攻击。目前我们将该系列攻击活动归属于著名的毒云藤组织。
由于语言环境的原因,华语类网络攻击通常极具诱惑性。血茜草活动中,攻击目标行业主要为军工、国防类军情行业、重点高等教育科研、政府机构等。
2
毒云藤(APT-C-01)组织2020上半年针对我重要机构定向攻击活动揭秘
披露时间:2020年10月11日
情报来源:https://mp.weixin.qq.com/s/6zy3MXSB_ip_RgwZGNmYYQ
相关信息:
毒云藤(APT-C-01)组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,360高级威研究院针对该团伙的攻击活动一直持续在进行追踪。
2019年上半年,360高级威研究院开始注意到APT-C-01组织针对国内科研机构,军工机构,国防机构,航空机构以及政府机构进行频繁的定向攻击活动。在使用360安全大脑进行溯源分析的过程中,360发现该组织相关攻击活动从2019年5月开始至今持续活跃,从9月开始相关技战术迭代升级,目前针对相关重点目标进行集中攻击。
3
针对毒云藤(APT-C-01)组织近期的大规模钓鱼攻击活动披露
披露时间:2020年10月12日
情报来源:https://mp.weixin.qq.com/s/5GhOUClaBVpQG-AlGtDMYg
相关信息:
毒云藤(APT-C-01)组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年。
近期毒云藤组织的攻击活动并未减弱蛰伏,反而异常活跃。2020年6月,该组织技战术进行了调整,开始针对特定单一人物目标实施定向攻击。进一步8月初开始,360发现该组织针对国内高等院校、科研机构等,进行了大规模邮箱系统钓鱼窃密攻击活动,涉及了大量的相关单位,相关攻击至今持续活跃。
4
蓝宝菇(APT-C-12)组织使用云存储技术发起的最新攻击活动披露
披露时间:2020年10月13日
情报来源:https://mp.weixin.qq.com/s/Wi67iA3ZwY3o5X9ekRpD2w
相关信息:
蓝宝菇(APT-C-12)组织从2011年开始持续至今,长期对国内国防、政府、科研、金融等重点单位和部门进行了持续的网络间谍活动,该组织主要关注核工业和科研等相关信息。
2020年初,在新冠疫情给全球格局带来新的冲击影响下,各APT组织针对国内的攻击活动异常活跃。蓝宝菇组织也蠢蠢欲动,相关攻击活动逐渐频繁。通过360安全大脑的遥测,360发现该组织针对国内某重点机构的两次攻击活动中升级了技战术,开始使用云存储技术架设C2基础设施。本报告将披露该组织最新的攻击手法和网络武器。
5
FIN11:广泛的电子邮件活动是勒索软件和数据盗窃的前兆
披露时间:2020年10月14日
情报来源:https://www.fireeye.com/blog/threat-research/2020/10/fin11-email-campaigns-precursor-for-ransomware-data-theft.html
相关信息:
Mandiant Threat Intelligence最近自2017年以来首次将一个威胁集群推广到一个名为FIN(或经济动机)的威胁集团。
在某些方面,FIN11让人想起APT1;它们之所以引人注目,不是因为它们的复杂程度,而是因为它们的活动量之大。FIN11的网络钓鱼业务存在明显的差距,但在活跃的情况下,该组织每周最多会进行五次大规模的活动。尽管许多受财务激励的威胁组织都是短暂的,但至少从2016年开始,FIN11就一直在开展这些广泛的网络钓鱼活动。
从2017年到2018年,威胁集团主要针对金融、零售和酒店行业的组织。然而,2019年,FIN11的目标扩大到包括多种行业和地理区域。此时,很难说出FIN11没有针对的客户。
6
APT28疑似侵入了联邦机构
披露时间:2020年10月03日
情报来源:https://arstechnica.com/information-technology/2020/10/russias-fancy-bear-hackers-likely-penetrated-a-federal-agency/
相关信息:
上周,网络安全和基础设施安全局发布了一份咨询报告,称黑客侵入了一家美国联邦机构。它既没有确认攻击者,也没有指出该机构,但它确实详细说明了黑客的方法,以及他们在一次成功窃取目标数据的行动中使用了一种新的、独特的恶意软件形式。
现在,网络安全公司Dragos的一名研究人员发现的线索和美国联邦调查局(FBI)7月份获得的黑客攻击受害者的通知表明,这起入侵事件的幕后黑手可能是一个谜团:他们似乎是为俄罗斯GRU工作的黑客团队Fancy Bear。该组织也被称为APT28,负责一切事务,从针对2016年美国总统大选的黑客和泄密行动,到今年针对政党、咨询公司和竞选活动的大规模入侵活动。
7
COBALT DICKENS新一轮鱼叉式网络钓鱼,积极瞄准大学
披露时间:2020年10月14日
情报来源:https://blog.malwarebytes.com/malwarebytes-news/2020/10/silent-librarian-apt-phishing-attack/
相关信息:
研究人员发现,疫情返校后,被称为COBALT DICKENS(又名Silent Librarian/TA407)的攻击者便一直通过鱼叉式网络钓鱼活动积极的瞄准大学。攻击者新注册的域名遵循以前报告中的模式(以“.me”、“.tk”、“.cf”等结尾)。大部分域名使用Cloudflare注册,但是存在一些伊朗的基础设施。
攻击行动或事件情报
1
TrickBot幕后团伙使用Bazar针对高价值目标
披露时间:2020年10月13日
情报来源:https://www.advanced-intel.com/post/front-door-into-bazarbackdoor-stealthy-cybercrime-weapon
相关信息:
英特尔安全研究人员在一份新报告中表示,攻击者现在不再使用众所周知的TrickBot恶意软件,而是选择使用针对高价值目标的Bazar恶意软件。Bazar是TrickBot幕后团伙工具装备中的一部分,由加载程序和后门两个部分组成。
在使用Bazar的攻击活动中,攻击者也使用合法渗透软件kit Cobalt Strike进行后渗透利用,以枚举和收集网络主机和活动目录的凭据,并上传“Lasagne ”和“BloodHound”等第三方软件以及在网络域内执行Ryuk勒索软件。
2
LemonDuck团伙挖矿活动持续活跃
披露时间:2020年10月13日
情报来源:https://blog.talosintelligence.com/2020/10/lemon-duck-brings-cryptocurrency-miners.html
相关信息:
Lemon Duck挖矿活动最近十分活跃,思科Talos最近监测到其威胁在2020年8月底有所增加。感染以PowerShell加载脚本开始,该脚本从具有SMB,电子邮件或外部USB驱动器的其他受感染系统复制而来。
攻击者还利用了多种漏洞利用方法,例如SMBGhost和Eternal Blue。僵尸网络具有通过主模块下载和驱动的可执行模块,该模块通过HTTP与命令和控制服务器进行通信。电子邮件传播模块使用与COVID-19相关的主题行和文本,并使用Outlook Automation将被感染的附件发送到受影响用户通讯簿中的每个联系人。
3
SPACE RACE攻击行动:通过专业社交网络冒充明星
披露时间:2020年10月08日
情报来源:https://www.telsy.com/operation-space-race-reaching-the-stars-through-professional-social-networks/
相关信息:
在2020年5月初,Telsy分析了一些通过流行的专业社交网络LinkedIn对航空航天和航空电子行业的个人进行的基于社会工程的攻击。目标组织目前在意大利领土内运作,目标个人是航空航天研究部门的高专业人士。对手使用了一个看起来很真实的LinkedIn虚拟身份,冒充一家卫星图像公司的HR(人力资源)招聘人员,通过内部私人信息与目标联系,邀请他们下载包含假工作假期信息的附件。
根据分析的恶意软件的代码相似性,Telsy以中等程度的可信度断言,报告的事件与社区称为Muddywater的威胁参与者有关。
恶意代码情报
1
Mirai僵尸网络变种KiraV2,主要进行DDoS攻击
披露时间:2020年10月12日
情报来源:https://asec.ahnlab.com/1389
相关信息:
由于Mirai恶意代码的源代码是在过去发布的,因此仍在分发许多变体。在许多情况下,Mirai的源代码部分是从基于Mirai的恶意代码以及其他恶意代码(例如gafgyt)中借用的。KiraV2恶意代码的名字是Mirai,是根据2020年第三季度ASEC处理该报告中的详细信息的源代码制成的变体。
如果与原始Mirai有所不同,则其中的某些部分与无线电波有关。Mirai通过使用带有易受攻击的帐户信息的telnet词典攻击来传播自己。此外,KiraV2添加了使用远程命令漏洞的传播功能。
2
巴西活跃的窃密组织发布了新框架SolarSys
披露时间:2020年10月14日
情报来源:https://blog.360totalsecurity.com/en/secret-stealing-trojan-active-in-brazil-releases-the-new-framework-solarsys/
相关信息:
最近,360安全中心通过无文件攻击防护功能检测到各种黑客木马,并通过新的木马分发框架传播木马。根据框架的特殊命名方法,将其命名为SolarSys。
SolarSys主要活跃于巴西(南美),而巴西一直是银行木马最为活跃的地区之一。SolarSys框架主要由JavaScript后门,邮件蠕虫和多个间谍模块组成。
3
Golang编写新RAT,通过CVE-2019-2725漏洞传播
披露时间:2020年10月09日
情报来源:https://labs.bitdefender.com/2020/10/theres-a-new-a-golang-written-rat-in-town/
相关信息:
Bitdefender的安全研究人员发现了一种新的使用Golang编写的RAT,其针对带有CVE-2019-2725(Oracle WebLogic RCE)漏洞的设备。第一阶段有效负载为两个使用Golang编写的二进制文件Security.Guard和Security.Script。Security.Guard主要任务是下载RAT,对其进行初始化、确保其保持运行状态,并通过查询托管服务器的URL来监视有效负载版本的更改。RAT连接到C2,发送包含系统指纹信息的签入消息,然后侦听命令。C2通信使用具有密钥为0x86的简单XOR算法进行加密,发送的数据包括设备的硬件、操作系统和IP。
该恶意软件支持两个命令:COMMAND(执行shell命令)、DOWNLOAD(下载并运行二进制文件)。该RAT似乎与去年报道的PowerGhost活动有关,两者共享托管服务器,URI和bash脚本中的部分代码。
4
FakeMBAM后门通过广告拦截器更新分发
披露时间:2020年10月14日
情报来源:https://decoded.avast.io/janvojtesek/fakembam-backdoor-delivered-through-software-updates/
相关信息:
Avast研究人员最近发现假冒Malwarebytes安装程序传播的后门。此安装程序试图模仿合法的Malwarebytes安装程序,其使用相同的文件名、图标,并创建了一个Malwarebytes安装目录,其中包含由Malwarebytes数字签名的合法PE文件,但实际上并未安装Malwarebytes。仿冒的安装程序通过一个Torrent客户端和三个广告拦截器的自动更新推送到受感染机器上。
基于代码相似性和共享的基础结构,研究人员推测该四个应用程序背后很可能是同一个攻击者。后门的主有效负载Qt5Help.dll负责后门程序的持久性、配置更新以及其他有效负载的交互。有效负载和配置文件config.json被加密存储在一个名为data.pak的文件中,该文件位于假的Malwarebytes安装目录下,可以在CTR模式下使用AES执行解密。恶意软件试图窃取一个活跃用户的访问令牌执行有效负载。有效负载包含挖矿程序。
5
Phobos勒索软件变种EKING
披露时间:2020年10月13日
情报来源:https://www.fortinet.com/blog/threat-research/deep-analysis-the-eking-variant-of-phobos-ransomware
相关信息:
Fortinet研究人员发现一个新样本,其为带有恶意宏的MicrosoftWord文档,旨在传播Phobos勒索软件的EKING变种。EKING不仅扫描逻辑驱动器上的文件,而且还扫描网络共享资源和新连接的逻辑驱动器,然后使用AES算法加密文件。
漏洞相关情报
1
Microsoft Windows IPv6远程代码执行拒绝服务漏洞
披露时间:2020年10月14日
情报来源:https://mp.weixin.qq.com/s/Wn0g_W4ju5FBznc-dJm-pg
相关信息:
2020年10月14日,在微软每月的例行补丁日当天,修复了一个Windows IPv6协议栈中的严重远程代码执行漏洞,该漏洞CVSS威胁评分为严重等级的9.0,远程攻击者可能无需用户验证通过发送恶意构造的ICMPv6路由广播包导致目标系统代码执行或拒绝服务。
奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞,目前已经确认在本地网络可以稳定地导致目标系统蓝屏崩溃,构成非常现实的批量系统拒绝服务风险,强烈建议相关企业用户安装对应的安全补丁。
2
AMD显卡驱动中存在DoS漏洞
披露时间:2020年10月07日
情报来源:https://blog.talosintelligence.com/2020/10/vuln-spotlight-amd-driver-dos-oct-2020.html
相关信息:
思科Talos最近在某些AMD显卡的ATIKMDAG.SYS驱动程序中发现了一个拒绝服务(DoS)漏洞。该漏洞ID为CVE-2020-12911,攻击者可以向受害者发送特制的D3DKMTCreateAllocation API请求,来导致越界读取,从而导致拒绝服务攻击。
该漏洞会影响AMD ATIKMDAG.SYS驱动程序26.20.15029.27017版本。AMD已经披露了此漏洞并发布了有关此漏洞的说明。
3
SonicWall VPN portal被发现蠕虫级RCE漏洞
披露时间:2020年10月14日
情报来源:https://threatpost.com/critical-sonicwall-vpn-bug/160108/
相关信息:
SonicWall VPN门户中的一个关键安全漏洞可用于使设备崩溃并阻止用户连接到公司资源。研究人员说,它还可以打开远程代码执行(RCE)的大门。
该漏洞(CVE-2020-5135)是SonicWall Network Security Appliance(NSA)中基于堆栈的缓冲区溢出。据Tripwire的研究人员发现,该漏洞存在于用于产品管理和sslvpn远程访问的HTTP/HTTPS服务中。
Tripwire漏洞和暴露研究团队(VERT)的计算机安全研究员克雷格·杨(Craig Young)在周二的一份分析报告中写道,非熟练的攻击者可以使用涉及自定义协议处理程序的未经验证的HTTP请求触发持续的拒绝服务条件。但损害可能更严重。
本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2020-10-08—10-15)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论