每周高级威胁情报解读(2020.10.15~10.22)

  • A+
所属分类:安全新闻

2020.10.15-2020.10.22

攻击团伙情报

  • 双尾蝎APT组织近期针对多平台的攻击活动分析

  • 蔓灵花APT组织利用恶意CHM文档针对国内研究机构的攻击活动分析

  • 响尾蛇APT组织利用WebSocket隧道的新型攻击活动披露

  • Seedworm持续性针对中东电信组织


攻击行动或事件情报

  • 新型后门WinClouds Rat通过网络安全主题诱饵传播

  • EarthKitsune水坑攻击活动,利用SLUB后门和浏览器漏洞


恶意代码情报

  • 伪冒国内银行的新窃取木马“BYL”

  • 间谍软件GravityRAT重返,扩展多平台攻击能力

  • Mirai僵尸网络新变种Katana,每日感染数百台设备

  • T-RAT2.0可通过Telegram手机应用进行操控


漏洞相关情报

  • CVE-2020-16922:针对Windows CAT文件数字证书的欺骗漏洞

  • Discord桌面应用程序漏洞可致远程代码执行攻击

  • Adobe发布修复10种产品中漏洞的安全更新



攻击团伙情报


1

双尾蝎APT组织近期针对多平台的攻击活动分析

披露时间:2020年10月19日

情报来源:https://mp.weixin.qq.com/s/yobOH_jdKx69m4_i1qDrLA

相关信息:

双尾蝎(APT-C-23)是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露,至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织,有计划,有针对性的攻击,该组织拥有针对Windows和Android双平台攻击能力。

近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多起攻击样本,此次捕获的样本涉及Windows和Android平台,Windows平台样本主要通过伪装成简历文档等诱饵的可执行文件进行初始攻击,此类样本运行后,将会释放展示正常的诱饵以迷惑受害者,同时后门将继续在后台运行以窃取受害者计算机敏感信息,样本具有截屏、下载执行、文件上传、远程shell功能。

Android平台样本继续保持了双尾蝎组织一贯的风格,通过伪装为聊天软件诱导受害者下载安装使用,为了使样本更具真实性,攻击者还特意制作了官网进行恶意APP分发,同时,据国外安全厂商报道,双尾蝎组织还制作了安卓应用市场以分发其恶意软件。

每周高级威胁情报解读(2020.10.15~10.22)


2

蔓灵花APT组织利用恶意CHM文档针对国内研究机构的攻击活动分析

披露时间:2020年10月22日

情报来源:https://mp.weixin.qq.com/s/9O4nZV-LNHuBy2ihg2XeIw

相关信息: 

奇安信安全能力中心捕获到针对特定单位群体展开的定向攻击活动,通过分析发现其为“蔓灵花”APT组织。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”。

蔓灵花(BITTER)APT组织是一个长期针对亚洲地区进行攻击活动的APT组织。主要针对目标区域的政府、军工业、电力、核工业等单位进行攻击,试图窃取敏感数据。

该组织主要采用鱼叉钓鱼的方式,对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件。本次攻击行动中使用的诱饵为rar压缩包,而压缩包里携带恶意的chm文档。主要攻击模块包含诱饵文档、msapp执行cmd命令、msixxxx.tmp下载程序:由msiexec下载执行,结合白程序实现命令执行、dlhost窃密模块:窃取资料,将收集到的数据上传到C2服务器、msas远控模块:主要功能为上传用户数据并接收C2指令执行、msass下载程序:上传用户数据,根据c2返回的控制指令下载执行后续攻击模块。

每周高级威胁情报解读(2020.10.15~10.22)


3

响尾蛇APT组织利用WebSocket隧道的新型攻击活动披露

披露时间:2020年10月19日

情报来源:https://mp.weixin.qq.com/s/fc-dDQ3aSd448qqLXwYgbQ

相关信息:

响尾蛇(SideWinder)组织是一支具有南亚背景的APT组织,该组织的攻击活动最早可追溯到2012年,主要针对巴基斯坦和东南亚各国发起过攻击。今年9月期间又重新出现活动迹象。

相关攻击第一阶段的恶意荷载主要利用DotNetToJScript技术,以JavaScript恶意脚本为载体,在内存中执行.NET Assembly形式的恶意功能组件,以无文件攻击的方式躲避安全软件的查杀。

第二阶段的后门程序会通过C&C下载各类攻击组件,其中核心的攻击动作是在失陷机器上利用WebSocket隧道建立反向的Socks5代理,操作各种后门和攻击组件进行渗透攻击。由于WebSocket隧道属于加密流量,部分流量安全设备很难识别异常情况。

发现的三个不同功能的恶意组件,被命名为TunnelCore、FileRAT和ShellRAT。TunnelCore利用WebSocket隧道建立Socks5代理进行,为其他组件提供内网穿透通道。FileRat会建立本地HTTP服务器,监听本地12380端口,提供多种文件操作功能。ShellRat会建立本地TCP服务器,监听本地12323端口,提供远程Shell功能。

每周高级威胁情报解读(2020.10.15~10.22)


4

Seedworm持续性针对中东电信组织

披露时间:2020年10月21日

情报来源:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/seedworm-apt-iran-middle-east

相关信息:

黑客组织Seedworm(又名MuddyWater)在最近几个月一直非常活跃,攻击了很多目标,包括伊拉克,土耳其,科威特,阿拉伯联合酋长国和格鲁吉亚。除了政府实体,电信和计算机服务部门的组织也成为目标。

活动期间,攻击者执行凭证窃取活动,并使用称为Secure Sockets Funneling(SSF)和Chisel的开源工具来建立通往其自身基础结构的隧道,使攻击者可以配置本地和远程端口转发,以及将文件复制到受感染的计算机,进行横向移动。

除此外,攻击者还使用了Quarks密码转储程序(Quarks PwDump)窃取本地帐户密码散列。在受感染机器上,研究人员还发现恶意软件PowGoop,其似乎是通过称为Remadmin的远程执行工具进行部署的。除此外,和该组织关联的后门Powerstats也是通过PowGoop加载。


攻击行动或事件情报


1

新型后门WinCloudsRat通过网络安全主题诱饵传播

披露时间:2020年10月15日

情报来源:https://mp.weixin.qq.com/s/LrPYzZjyC6gW474pjvGmjw

相关信息:

奇安信病毒响应中心在日常样本分析过程中发现了一款新型的后门木马,用于针对巴基斯坦的网络攻击,该木马被命名为:WinCloudsRat,经过推测本次攻击活动可能与南亚某大国有关。

WinClouds Rat通过恶意宏文档或者带有漏洞的RTF文档进行投递,且诱饵内容与流行商贸信类型,启用宏后会弹出Data Format Error的提示框来迷惑用户。宏代码主要功能为创建任务计划,定时调用msiexec执行远程Msi程序,命令行经过了‘^’字符的随机混淆。

经过关联,研究人员还发现了伪装成网络安全预防措施的诱饵文档:带有CVE-2017-11882漏洞的RTF文件使用了巴基斯坦移动运营商相关的文件名Ufone Report.rtf(Ufone是巴基斯坦移动运营商Pak Telecom Mobile Limited的缩写)。执行的命令行同样被‘^’字符随机混淆。

投递的WinClouds Rat伪装成Windows Defenders的安装程序,由.net编写。执行后从配置文件中通过sha256.Decrypt函数解密出C2并连接。主要功能为收集本机信息、文件管理、命令执行。该后门疑似与Bitter APT组织有关。


2

Earth Kitsune水坑攻击活动,利用SLUB后门和浏览器漏洞

披露时间:2020年10月19日

情报来源:https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-earth-kitsune-tracking-slub-s-current-operations/

相关信息:

研究人员发现多个攻击活动实例利用SLUB后门传播新恶意软件dneSpy和agfSpy,旨在渗漏信息并控制受感染系统,同时利用了新漏洞CVE-2016-0189、CVE-2019-1458、CVE-2020-0674和CVE-2019-5782,这些漏洞与另一个Chrome漏洞相关联,该漏洞没有分配CVE。

攻击活动将大量恶意样本部署到受害计算机上,并使用多个命令和控制服务器,研究人员将该活动命名为Earth Kitsune。分析显示攻击活动中受到感染的服务器都在使用韩国内容管理系统GNUBOARD3,研究人员认为这些网站受到了N-days攻击。同时发现了一个与SLUB非常相似的样本,但是它没有使用Slack,而是使用了Mattermost4,这是Slack的开源版本替代品,研究人员认为此样本是SLUB的新变体。SLUB变体利用Mattermost与受感染的计算机建立单独通道通信,通信都使用HTTP端口443。

每周高级威胁情报解读(2020.10.15~10.22)


恶意代码情报


1

伪冒国内银行的新窃取木马“BYL”

披露时间:2020年10月20日

情报来源:https://mp.weixin.qq.com/s/_hpT88ebkEHNuJBu80MFLw

相关信息:

奇安信威胁情报中心移动安全团队近期关注到国外开源情报揭露了一款伪冒国内银行应用的的信息窃取木马,通过分析发现,自2020年7月13号开始,该家族共伪冒国内4家银行。

样本启动后弹出请求权限访问并窃取手机通知消息,通过钓鱼页面窃取用户银行APP登陆凭证、姓名、身份证号、银行卡号、支付密码、验证码。

根据奇安信威胁情报中心大数据统计,该样本7月至10月中旬在国内感染范围31个省份直辖市,感染总设备多至2000台左右,其中山东11.5%、上海6.9%、四川6.7%为全国感染量最多的三个省级地区。

每周高级威胁情报解读(2020.10.15~10.22)


2

间谍软件GravityRAT重返,扩展多平台攻击能力

披露时间:2020年10月19日

情报来源:https://securelist.com/gravityrat-the-spy-returns/99097/

相关信息:

卡巴斯基研究人员发现一个与GravityRAT相关的安卓间谍软件。攻击者在Travel Mate添加了一个间谍模块,并将名称更改为Travel Mate Pro。

Travel Mate是一个面向印度旅客的Android应用程序,其源代码可在Github上获得。间谍软件将设备数据,联系人列表,电子邮件地址以及呼叫和文本日志发送到C&C服务器。木马会搜索设备内存中的文件以及相关媒体上的扩展名为.jpg、.jpeg、.log、.png、.txt、.pdf、.xml、.doc、.xls、.xlsx、.ppt、.pptx、.docx和.opus的文件,并将这些文件发送给C&C。

通过C&C和证书的关联,研究人员还发现了Enigma和Titanium有效负载。除此外,研究人员还发现了GravityRAT的各种新版本,包括Android以及基于Electron框架的Windows和Mac的多平台版本。用于分发新版本GravityRAT的站点都隐藏在在Cloudflare之后,以隐藏其真实IP。

攻击者主要通过向目标个人发送指向恶意应用程序的链接来感染目标。GravityRAT的创建者被认为是巴基斯坦的黑客组织。


3

Mirai僵尸网络新变种Katana,每日感染数百台设备

披露时间:2020年10月20日

情报来源:https://prod-blog.avira.com/katana-a-new-variant-of-the-mirai-botnet

相关信息:

       Avira的物联网研究团队最近确定了Mirai僵尸网络的新变种Katana。该僵尸网络还在开发中,并且每天都在感染数百台设备。其目前已经拥有了7层DDoS模块、针对每个源使用不同的加密密钥、快速自我复制能力和安全C&C。其保留了Mirai的一些功能,例如运行单个实例、随机进程名称、操纵看门狗以防止设备重新启动,以及DDoS命令。与Mirai一样,这个新的僵尸网络通过远程代码执行/命令注入漏洞针对GPON和LinkSys等家用路由器。

每周高级威胁情报解读(2020.10.15~10.22)


4

T-RAT2.0可通过Telegram手机应用进行操控

披露时间:2020年10月21日

情报来源:https://www.gdatasoftware.com/blog/trat-control-via-smartphone

相关信息:

研究员@3xp0rtblog发现了T-RAT 2.0,该木马在俄罗斯论坛上销售,可以通过带有Telegram应用程序的智能手机进行控制。

攻击方式:感染的第一个已知阶段是下载器,从C&C服务器获取加密的文件并将其保存到%TEMP%。下载程序将解密有效负载,生成一个ZIP文件,同时删除加密文件。压缩包包含实际的T-RAT可执行文件sihost.exe,以及RAT需要的几个DLL。下载器通过设置日常任务来保持木马程序的持久性。攻击者使用基于文本的命令和RAT提供的命令按钮,通过Telegram控制T-RAT。命令使用英语,帮助消息大多为俄语。T-RAT有98条命令。

主要功能:1.菜单导航;2.文件管理器;3.窃密,可从浏览器获取密码、Cookie、自动填充数据、Telegram、Discord、Steam、Nord、Viber、Skype和Filezilla的会话或配置数据;4. Clipper,可检查剪贴板中的数字货币地址并替换它们,支持Qiwi、WMR、WMZ、WME、WMX、Yandex money、Payeer、CC、BTC、BTCG、Ripple、Doge和Tron;5.监测和监视,可以运行键盘记录器、创建屏幕截图、通过麦克风录制音频、通过网络摄像头拍照、发送剪贴板内容;6.逃避检测,T-RAT有多种绕过UAC的方法,包括Fodhelper,Cmstp,Cleanup和Computerdefaults。它可以禁用Windows Defender和智能屏幕通知。它可以禁用各种安全设置,例如,可以更改关联策略以将“.exe”设置为低风险文件扩展名,并可以关闭ZoneIdentifiers。它可以检查沙箱和虚拟机;7.中断,可杀死进程,通过主机文件阻止网站,通过“图像文件执行选项”设置调试器来阻止和重定向程序,禁用任务栏和任务管理器;8.远控,T-RAT通过Telegram提供Powershell或CMD终端执行命令,也可以通过HRDP或VNC进行远程控制。

每周高级威胁情报解读(2020.10.15~10.22)


漏洞相关情报


1

CVE-2020-16922:针对WindowsCAT文件数字证书的欺骗漏洞

披露时间:2020年10月16日

情报来源:https://mp.weixin.qq.com/s/_5wF8Sja4xz0Fee1GoA3vw

相关信息

在微软发布的10月份的漏洞风险通告中包含一个奇安信红雨滴团队独立提交的数字证书欺骗漏洞,该漏洞编号为CVE-2020-16922。攻击者若成功利用此漏洞可以绕过Windows数字签名安全验证并加载执行未正确签名的恶意文件。而在真实攻击情形中,攻击者利用该漏洞可能会绕过防止加载未正确签名文件的安全软件(如杀毒软件等)。

每周高级威胁情报解读(2020.10.15~10.22)


2

Discord桌面应用程序漏洞可致远程代码执行攻击

披露时间:2020年10月17日

情报来源:https://mksben.l0.cm/2020/10/discord-desktop-rce.html

相关信息:

研究人员发现可导致Discord桌面应用程序遭受远程从代码执行(RCE)攻击的漏洞利用链。该问题由三个漏洞结合使用导致,它们为缺少contextIsolation、iframe嵌入中的XSS、导航限制绕过(CVE-2020-15174)。


3

Adobe发布修复10种产品中漏洞的安全更新

披露时间:2020年10月20日

情报来源:https://www.securityweek.com/adobe-releases-security-updates-10-products

相关信息:

Adobe发布其10种产品的安全更新,共修复了20个漏洞。

受影响产品包括Adobe Illustrator、Dreamweaver、Marketo、Animate、After Effects、Photoshop、Premiere Pro、Media Encoder、InDesign、Creative Cloud桌面应用程序。

其中,更新修复包括Illustrator的Windows和macOS版本中7个严重漏洞,这些漏洞可能导致在当前用户的上下文中执行任意代码;Animate的Windows和macOS版本中4个严重漏洞,利用这些漏洞可以执行任意代码;After Effects中两个严重的任意代码执行漏洞;After Effects、Creative Cloud桌面应用程序、Photoshop、Premiere Pro和Media Encoder中可能导致任意代码执行的不受控制的搜索路径漏洞;Adobe InDesign中一个严重的代码执行漏洞。

每周高级威胁情报解读(2020.10.15~10.22)

本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2020.10.15~10.22)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: