每周高级威胁情报解读(2020.24~12.31)

  • A+
所属分类:安全新闻

2020.24~12.31

攻击团伙情报

  • Lazarus垂涎与COVID-19相关的情报

  • “灵猫”组织针对中东地区的攻击活动分析报告

  • UltraRank组织的新攻击

  • MuddyWater新恶意软件可利用Imgur来解码Cobalt Strike脚本


攻击行动或事件情报

  • SUNBURST其他技术细节

  • SolarStorm供应链攻击的时间轴透视

  • Citrix称黑客利用DDoS攻击其NetScaler ADC设备


恶意代码情报

  • Emotet卷土重来,每天攻击10万个邮箱

  • 攻击者正在通过伪造的亚马逊礼品卡下发Dridex银行木马

  • 新的Golang蠕虫在服务器上投放XMRig Miner病毒

  • H2Miner挖矿木马利用XXL-JOB相关漏洞攻击云主机


漏洞情报

  • SolarWinds修复Orion中的漏洞(CVE-2020-10148)



每周高级威胁情报解读(2020.24~12.31)

攻击团伙情报

01

Lazarus垂涎与COVID-19相关的情报

披露时间:2020年12月23日

情报来源:https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/

相关信息:

Kaspersky在追踪Lazarus组织针对各个行业的连续活动时,监测到两起活动。一起是9月底袭击了一家制药公司,另一起是袭击了与COVID-19反应有关的政府部门。每种攻击都使用不同的战术,技术和程序(TTP),但这两个案例之间存在一定的联系。

每周高级威胁情报解读(2020.24~12.31)

第一个是对政府卫生部的攻击:2020年10月27日,该部损坏了两台Windows服务器。虽然无法确定感染媒介,但是攻击者能够在这些服务器上安装复杂的恶意软件集群。经分析,该恶意软件为“ wAgent”。它的主要组件仅在内存中工作,并从远程服务器获取其他有效负载。

每周高级威胁情报解读(2020.24~12.31)

第二起事件涉及一家制药公司。根据遥测,该公司于2020年9月25日遭到入侵。这次,Lazarus组织通过一家韩国软件公司在供应链攻击中部署了Bookcode恶意软件。该恶意软件执行后,将向C2服务器发送受害者信息并提供标准后门。

每周高级威胁情报解读(2020.24~12.31)


02

“灵猫”组织针对中东地区的攻击活动分析报告

披露时间:2020年12月26日

情报来源:https://mp.weixin.qq.com/s/bTjNvfsTxj0E3dxcy6AxMA

相关信息:

“灵猫”组织(又名Moonlight、Molerats、Gaza Hackers Team、Gaza Cybergang)是一个来自加沙地区的APT攻击组织,其最早的攻击活动时间可追溯至2012年。国外安全厂商ClearSky曾在2016年所发的“Operation DustySky”报告中指出该组织的背后为哈马斯(伊斯兰抵抗运动组织的简称)。

安天从2020年10月份开始陆续捕获到“灵猫”组织针对中东地区进行攻击的样本,其活动的主要手法为向目标人群投递含有恶意代码的下载链接PDF文件,下载链接指向Dropbox或Google Drive的网盘空间的存储地址。攻击者通过PDF文件的正文内容,诱导用户下载其他压缩包,以及执行压缩包中的可执行文件。对于压缩包中的可执行文件,攻击者在文件名上使用了一定社工欺骗技巧。其中压缩包所包含的恶意软件主要为通过ENIGMA打包的Spark恶意软件、MoleStage恶意软件以及自研的Python后门恶意软件MoleCloud。

在本次攻击活动中“灵猫”组织使用的工具更为丰富,不仅包括在既往活动中使用的通过ENIGMA打包的Spark恶意软件,还有在此前未发现被使用的.NET框架的MoleStage 恶意软件,以及自研的Python后门恶意软件MoleCloud。其中MoleCloud网络通讯全程利用正常网站的信息发布和存储服务进行指令交互、窃密数据上传和下载文件执行,通过利用合法的Web服务,MoleCloud在抵达端点后可以在流量侧隐匿自身的攻击活动,若未被端点侧安全产品发现,则MoleCloud将能长期潜伏于目标端点中。

每周高级威胁情报解读(2020.24~12.31)


03

UltraRank组织的新攻击

披露时间:2020年12月23日

情报来源:https://www.group-ib.com/blog/ultrarank

相关信息:

2020年8月,Group-IB发布报告描述了网络犯罪组织UltraRank的活动,该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。

2020年11月,Group-IB发现了新一轮的UltraRank攻击。攻击者没有使用现有的域进行新的攻击,而是改用新的基础架构来存储恶意代码并收集拦截的支付数据。在UltraRank的新活动中,有12个被JavaScript-sniffer感染的电子商务网站。

这次,攻击者使用SnifLite家族的JS sniffer的代码进行了Radix模糊处理。由于受感染网站的数量相对较少,攻击者可能使用恶意软件或暴力攻击破解了CMS管理面板中的凭据。

在最近的一系列攻击中,UltraRank模仿合法的Google Tag Manager域,将恶意代码存储在网站上。研究发现,攻击者的主服务器由Media Land LLC托管,该公司与一家防弹托管公司有联系。

每周高级威胁情报解读(2020.24~12.31)


04

MuddyWater新恶意软件可利用Imgur来解码Cobalt Strike脚本

披露时间:2020年12月28日

情报来源:https://www.bleepingcomputer.com/news/security/github-hosted-malware-calculates-cobalt-strike-payload-from-imgur-pic/

相关信息:

新的恶意软件使用带有宏的Word文件从GitHub下载PowerShell脚本,该脚本将从Imgur下载实际PNG文件。之后,利用像Invoke-PSImage这样的工具来使用PNG文件中的像素值编码PowerShell脚本,并生成一行命令来执行payload,最终获得Cobalt Strike脚本。研究人员推测此恶意软件可能与主要针对中东实体的APT组织MuddyWater有关。


每周高级威胁情报解读(2020.24~12.31)

攻击行动或事件情报

01

SUNBURST其他技术细节

披露时间:2020年12月24日

情报来源:https://www.fireeye.com/blog/threat-research/2020/12/sunburst-additional-technical-details.html

相关信息:

SUNBURST是经过数字签名的SolarWinds Orion插件的木马版本,名为SolarWinds.Orion.Core.BusinessLayer.dll。该插件包含一个后门,可通过HTTP与第三方服务器进行通信。在长达两个星期的初始休眠期之后,SUNBURST可能会检索并执行命令,以指示后门传输文件,执行文件,分析系统,重新引导系统并禁用系统服务。恶意软件的网络流量试图通过模仿Orion Improvement Program(OIP)协议与合法的SolarWinds活动融合,并将持久状态数据存储在合法的插件配置文件中。后门使用多个混淆的阻止列表来识别与取证和防病毒工具相关联的进程,服务和驱动程序。

在连接其C2服务器之前,SUNBURST进行了许多检查,以确保不存在任何分析工具。在继续之前,它会检查进程名称,文件写入时间戳和Active Directory(AD)域。这些检查有助于SUNBURST在被引入SolarWinds Orion供应链后的七个月内躲避了防病毒软件和安全研究人员的检测。

它会通过DNS CNAME记录将SUNBURST重定向到其最终C2服务器,限制受害者之间共享的网络基础结构。C2协调器被实现为avsvmcloud [.] com域的权威DNS服务器。为了与C2协调器进行通信,SUNBURST使用域生成算法(DGA)来构建avsvmcloud [.] com的子域,并使用系统DNS客户端解析全限定域名(FQDN)。后门以一种不寻常的方式解析DNS响应,从而使C2更安全地接收回传信息。

与C2协调器通信时,后门会通过其DGA连续生成域。后门将生成域之间的随机间隔延迟执行。在某些情况下,此延迟最多可能需要9个小时。SUNBURST使用包含UTF-8字符串和附加的4字节错误DWORD和8字节userID的协议将消息发送回C2服务器。这些是经过DEFLATE压缩的压缩文件,并使用消息之前的XOR密钥对单字节XOR进行了编码。长度为10,000或更短的消息有效负载被转换为类似于SolarWinds合法使用的Orion Improvement Program(OIP)消息的JSON文档。大于10,000字节的消息按原样在HTTP请求正文中发送。恶意软件具有多种操作模式,这些模式由A记录解析的IP块配置,并且取决于是否存在CNAME记录。这些操作模式存储在内部枚举中。

每周高级威胁情报解读(2020.24~12.31)


02

SolarStorm供应链攻击的时间轴透视

披露时间:2020年12月23日

情报来源:https://unit42.paloaltonetworks.com/solarstorm-supply-chain-attack-timeline/

相关信息:

研究人员报告称,到2020年12月13日,一场供应链攻击影响了全世界的组织。该事件涉及由SolarWinds开发的合法IT性能和统计监视软件Orion中识别出的恶意代码。

从那时起,其他安全厂商和组织的详细信息就被发布了,并在导致首次披露的事件的基础上进一步发展。Unit 42根据公开可用的内容以及内部数据中识别出的信息进行了研究。

图中的时间线显示了观察到的事件的高级摘要,最早可追溯到2019年8月,持续到2020年12月。

对SolarWinds软件的分析显示,最早在2019年10月就进行了代码修改,尽管直到2020年3月才发布第一个武器化软件更新,称为SUNBURST恶意软件。Unit 42还观察到了两个修改过的SolarWinds软件样本,这些样本最早出现在早期。截至2019年10月。

每周高级威胁情报解读(2020.24~12.31)

03

Citrix称黑客利用DDoS攻击其NetScaler ADC设备

披露时间:2020年12月24日

情报来源:https://www.zdnet.com/article/citrix-devices-are-being-abused-as-ddos-attack-vectors/

相关信息:

Citrix称黑客利用DTLS针对NetScaler ADC网络设备发起DDoS攻击。研究人员Hofmann于上周发现了第一次攻击活动,黑客以DTLS作为DDoS放大载体。数据报传输层安全性( DTLS )是一种通信协议,基于传输层安全性(TLS )协议,用于保护使用数据报传输的时延敏感的应用程序和服务。

在以往的DDoS攻击中的放大倍数通常是原始报文的4到5倍,而在此次攻击活动中,Citrix ADC设备上的DTLS被放大了35倍,使其成为最有力的DDoS放大载体之一。该次攻击中,攻击者或僵尸程序可能会使 CitrixADCDTLS 网络吞吐量不堪重负,有可能导致出站带宽耗尽。

目前,Citrix提出了两种临时修复方案,禁用Citrix ADC DTLS接口,或强制设备对传入的DTLS连接进行身份验证。

每周高级威胁情报解读(2020.24~12.31)


每周高级威胁情报解读(2020.24~12.31)

恶意代码情报

01

Emotet卷土重来,每天攻击10万个邮箱

披露时间:2020年12月22日

情报来源: https://cofense.com/emotet-is-back-for-the-holidays-with-updated-tactics/

相关信息:

经过将近两个月的休整之后, Emotet 僵尸网络卷土重来,它更新了恶意文档,并发起了一场每天攻击10万个邮箱的网络攻击活动。该文档仍然包含用于安装Emotet的恶意宏代码,并且还是声称是一个“受保护”的文档,需要用户启用宏才能打开它。旧版本在启用宏后不会给出任何可见的响应,新版本会创建一个对话框,显示“Word在试图打开文件时出错”。如果用户运行恶意宏就会安装Emotet恶意软件。

其本身也有一些更新:该恶意软件旧版本是带有“ .exe”文件名的独立可执行文件,更新后则是使用内置Windows程序rundll32.exe初始化的DLL文件。Emotet的命令和控制(C2)通信也已更改为使用二进制数据而不是纯文本,使其在网络级别更难检测。

Emotet于2014年以银行木马的身份诞生,并不断发展成为提供全方位服务的威胁传递机制。它可以在受害者机器上安装一系列恶意软件,包括信息窃取工具,电子邮件收集器,自动传播机制和勒索软件。


02

攻击者正在通过伪造的亚马逊礼品卡下发Dridex银行木马

披露时间:2020年12月24日

情报来源:https://www.cybereason.com/blog/amazon-gift-card-offer-serves-up-dridex-banking-trojan

相关信息:

Dridex操控者发起了一种社会工程骗局。利用“假期季节”,针对最受欢迎的购物平台之一亚马逊的用户。承诺给受害者一张100美元的礼品卡,但实际上却是一个银行木马。

据Cybereason Nocturnus团队报道,这个活动最早出现在万圣节前后,并在11月初开始流行。大多数攻击目标来自美国和西欧,亚马逊在那里很受欢迎。

受害者会收到一封电子邮件,声称会收到亚马逊的礼物,这封邮件会提示收件人下载礼品卡,这会通过三种不同的方式导致Dridex感染。

第一个传递向量是一个恶意的Word文档,文件名中有一个“礼品卡”的变体;第二个传递向量涉及屏幕保护程序(SCR)文件;第三种传递方法是通过电子邮件正文中的恶意链接下载的一个VBScript文件。

每种感染机制都包含多个阶段,或者取消存档包含不同文件类型的受密码保护的存档,或者运行PowerShell命令以连接到C2。最终的有效载荷是臭名昭著的Dridex银行木马,受害人将遭受进一步的银行数据泄露。

每周高级威胁情报解读(2020.24~12.31)


03

新的Golang蠕虫在服务器上投放XMRig Miner病毒

披露时间:2020年12月29日

情报来源:https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/

相关信息:

12月初,Intezer发现了一种新的用Golang编写的蠕虫。该蠕虫延续了Golang在2020年流行的多平台恶意软件趋势。该蠕虫试图在网络中传播,以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器,可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务:密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中,该蠕虫还尝试利用WebLogic的最新漏洞:CVE-2020-14882。

在Intezer的分析过程中,攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态,并且可能在将来的更新中针对其他弱配置的服务。

该攻击使用三个文件:一个dropper脚本(bash或powershell)、一个Golang二进制蠕虫和一个XMRig Miner,所有这些文件都托管在同一C&C上。



04

H2Miner挖矿木马利用XXL-JOB相关漏洞攻击云主机

披露时间:2020年12月28日

情报来源:https://s.tencent.com/research/report/1210.html

相关信息:

腾讯检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击,攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作,该挖矿木马运行时会删除其他竞争对手挖矿木马创建的文件和计划任务。

XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。

每周高级威胁情报解读(2020.24~12.31)


每周高级威胁情报解读(2020.24~12.31)

漏洞相关

01

SolarWinds修复Orion中的漏洞(CVE-2020-10148)

披露时间:2020年12月29日

情报来源:https://www.solarwinds.com/securityadvisory

相关信息:

SolarWinds修复了Orion中被追踪为CVE-2020-10148的RCE漏洞。该漏洞是由于SolarWinds Orion API身份验证能够被绕过,攻击者可以通过在Request.PathInfoURI请求中使用特定参数来利用此漏洞,最终攻击者可以远程执行未经身份验证的API命令。

目前,SolarWinds已经发布了此漏洞的安全更新,以修复SUNBURST和SUPERNOVA漏洞。


每周高级威胁情报解读(2020.24~12.31)

本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2020.24~12.31)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: