每周高级威胁情报解读(2020.11.12~11.19)

披露时间：2020年11月17日

情报来源：https://mp.weixin.qq.com/s/0mHWKb4a0kGwhkZZ0n0i9Q

相关信息：

近些年来，随着南亚边境冲突加剧，网络空间的战争也愈发增加，2020年9月中旬，奇安信威胁情报中心红雨滴团队披露了长期针对南亚次大陆的攻击组织”魔罗桫”，该组织长期针对中国，巴基斯坦，尼泊尔等国和地区进行了长达数年的网络间谍攻击活动，主要针对领域为政府机构，军工企业，核能行业等。

近日，奇安信红雨滴团队再次监测到该组织多起攻击样本，此次捕获的样本主要通过伪装成巴基斯坦空间科学委员会招聘信息、敏感时事新闻等带有模板注入漏洞的文档进行投放，初始模板注入样本首次上传VirusTotal时仅有两家杀软检出。

样本运行后，将展示正常的诱饵信息迷惑受害者，同时连接远程服务器获取后续荷载执行，实现对受害者计算机的完全控制。恶意软件包含进程注入、目录遍历、下载执行、键盘记录、注册系统服务、窃取浏览器登录凭证、调用ISampleGrabber接口监控摄像头、结束指定进程，刷新进程列表、远程shell、遍历盘符。

披露时间：2020年11月16日

情报来源：https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/

相关信息：

ESET研究人员发现Lazarus组织滥用合法的韩国安全软件和从两家公司窃取的数字证书进行供应链攻击。韩国互联网用户在访问政府网站或网上银行网站时，经常被要求安装额外的安全软件。WIZVERA VeraPort集成安装程序可以帮助管理这些安全软件。通过VeraPort接收并安装特定网站所需的所有必要软件(例如浏览器插件、安全软件、身份验证软件等)。对于某些网站，必须安装WIZVERA VeraPort，用户才能访问这些网站的服务。

研究人员认为供应链攻击发生在使用WIZVERA VeraPort的网站上。支持WIZVERA VeraPort软件的网站包含服务器端组件，尤其是一些JavaScript和WIZVERA配置文件。配置文件是base64编码的XML，包含网站地址，要安装下载URL的软件列表以及其他参数。配置文件由WIZVERA进行了数字签名，一旦下载，就会使用强大的加密算法（RSA）进行验证，攻击者可能通过替换受到破坏的网站提供给WIZVERA VeraPort用户的合法软件，并使用非法获得的代码签名证书对恶意软件进行签名。

披露时间：2020年11月16日

情报来源：https://mp.weixin.qq.com/s/4UaOzNk03VZLXwzrPWSsHw

相关信息：

       近日，奇安信病毒响应中心在日常黑产挖掘过程中发现之前披露过的金指狗木马架构又转入活跃状态，更新了漏洞组件，在执行链中首次出现了该团伙使用的新型Loader程序，该架构主要出现在全球华语地区。

新版本的木马架构依旧延续了良好的免杀效果，使用Total VideoPlayer栈溢出漏洞执行后续shellcode，抛弃以往使用的Photodex ProShow Producer软件栈溢出漏洞，从被修改过的带有数字签名的文件中解密数据，经过几轮内存加载后最终运行大灰狼远控，远程控制受害者电脑。

披露时间：2020年11月19日

情报来源：https://mp.weixin.qq.com/s/H0BGbieCRLnagZJ8egS_2A

相关信息：

近期，奇安信安全能力中心通过TG-DATA平台发现通过聊天工具传播的“钓鱼攻击”事件有明显的上升趋势，这可能是因为“双十一”临近，攻击者变得活跃起来。在追踪该类样本家族过程中，共发现有多个木马变种传播，其主要的类型根据关键行为有以下几种：1.虚假登录框钓鱼；2.命令执行(脚本)方式；3.直接代码执行。

攻击者通过ClientKey可以直接实现免密登录受害者的邮箱，空间，获取联系人好友（包含备注）及群信息，这将导致受害者的账户信息完全泄露，并且可能被攻击者拿来作为诈骗、勒索、二次传播等牟利的工具。

披露时间：2020年11月12日

情报来源：https://www.welivesecurity.com/2020/11/12/hungry-data-modpipe-backdoor-hits-pos-software-hospitality-sector/

相关信息：

ESET研究人员发现了一种模块化后门ModPipe，可让攻击者访问存储在运行ORACLE MICROS餐馆企业系列（RES）3700 POS的设备中的敏感信息，该管理软件套件被全球各地的大量酒吧，餐馆，酒店使用。

ModPipe含有一个名为GetMicInfo的模块，其使用了一种算法，可以通过从Windows注册表值解密来收集数据库凭据，收集的凭据可以让攻击者访问数据库内容，包括各种定义和配置，状态表和关于POS交易的信息。

ModPipe架构包括初始dropper、下一阶段（持久加载程序）的32位和64位二进制文件，并将合适的版本安装到损坏的机器上；持久加载程序，解压并加载主模块；主模块，创建一个管道，用于与其他恶意模块通信，卸载/安装这些模块，并充当dispatcher，处理模块与攻击者的C&C服务器之间的通信；网络模块，用于与C&C通信的模块。

披露时间：2020年11月16日

情报来源：https://blog.malwarebytes.com/threat-analysis/2020/11/malsmoke-operators-abandon-exploit-kits-in-favor-of-social-engineering-scheme/

相关信息：

国外研究人员发现，Malsmoke开始逐步淘汰了使用漏洞利用包传播方式，转而采用社会工程技术。新的活动利用虚假的Java更新来诱骗成人网站的访问者。攻击者通过成人内容主题的诱饵页面，引导访问者下载恶意Java更新。更新程序是经过数字签名的Microsoft安装程序，其中包含许多库和可执行文件，其中大多数是合法的。在安装时，lic_service.exe加载HelperDll.dll，负责部署最终有效负载的最重要模块。有效负载是ZLoader恶意软件，其将自身注入到新的msiexec.exe进程中，以使用域生成算法（DGA）与命令和控制服务器联系。一旦确定，其将开始下载其他模块，并进行自身更新。

披露时间：2020年11月16日

情报来源：https://s.tencent.com/research/report/1177.html

相关信息：

近日，腾讯安全捕获到一个新的挖矿木马LoggerMiner，该木马在云上主机中攻击传播，会利用当前主机上的ssh账号信息对其他主机发起攻击，以控制更多系统。并且，LoggerMiner还会尝试对当前主机上的docker容器进行感染。因其代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等，腾讯据此将其命名为“LoggerMiner”挖矿木马。

该木马主要的恶意行为有：利用ssh爆破感染其他云主机、修改ssh配置，关闭安全设置，留置后门，方便攻击者远程登录；向docker容器发送恶意命令，进行感染；木马的部分攻击代码尚未完工。

木马还会尝试卸载云服务器安全软件、结束竞品挖矿木马进程、停止系统日志、修改系统安全设置，删除其他竞品挖矿木马创建的帐户、添加自己的新帐号，安装定时任务实现持久化等功能。

披露时间：2020年11月12日

情报来源：https://blog.morphisec.com/jupyter-infostealer-backdoor-introduction

相关信息：

      Morphisec研究人员发现了一个名为Jupyter的新.NET infostealer变体。

Jupyter是一个窃密工具，主要窃取Chromium，Firefox和Chrome浏览器数据。其下载和加载程序带有完整的后门功能，包括：C2客户端；下载并执行恶意软件；执行PowerShell脚本和命令；将shellcode注入到合法的Windows配置应用程序中。

披露时间：2020年11月12日

情报来源：https://blog.talosintelligence.com/2020/11/crat-and-plugins.html

相关信息：

       近日，思科发现CRAT系列的新版本。除了预建的RAT功能之外，该RAT还通过HTTP以json的形式从c2上接收指令和相应的数据执行远控功能，并在受感染终端上下载并部署其他恶意插件，具有高度的通用性和危险性。插件之一是被称为“ Hansom”的勒索软件。另外CRAT由多种混淆技术组成，以隐藏字符串，API名称，命令和控制（C2）URL和工具功能以及静态检测规避。该攻击还采用了多种抗感染检查来逃避基于沙盒的检测系统。

披露时间：2020年11月13日

情报来源：https://mp.weixin.qq.com/s/IdKj2OZmVIUcj9RSERdlTQ

相关信息：

       腾讯安全威胁情报中心检测到Mirai僵尸网络利用Apache Hadoop Yarn资源管理系统REST API未授权访问漏洞入侵云主机，入侵传播的Mirai木马会通过C&C服务器下发命令进行DDoS攻击。

攻击者通过扫描暴露在公网的的8088端口，发现了没有开启特定用户安全认证的集群，并通过YARN RESET API提交应用，提交任务的用户名为dr.who。任务启动时执行default_container_executor.sh。从而实现在服务器内下载执行Mirai僵尸网络木马Rooted.x86。Rooted.x86的主要功能是与C&C地址通信，接收远程命令对目标IP发起DDoS攻击。

披露时间：2020年11月17日

情报来源：https://unit42.paloaltonetworks.com/aws-resource-based-policy-apis/

相关信息：

研究人员发现了一个AWS API类可被利用来泄露任何帐户上的AWS IAM 用户ID及权限信息。据研究，还有16个不同AWS服务中的22个API也存在这样的漏洞。通过这种漏洞，恶意行为者可以获取帐户花名册，了解组织的内部结构并发起有针对性的攻击。

该漏洞的原理为AWS后端会主动验证附加到资源的所有基于资源的策略。而这种策略通常包含一个允许访问资源的身份ID。如果该策略包含不存在的ID，则创建或更新该策略的API调用将失败，并显示一条错误消息。利用此功能可以检查到AWS账户中的ID是否存在。攻击者可以通过使用不同的主体反复调用这些API来枚举目标帐户的用户和角色。而且，API日志和错误消息仅对操纵资源策略的攻击者帐户可见，这使得攻击者可以在特定的AWS账户上执行随机或侦察活动，而无需任何明显的担忧或时间限制。