每周高级威胁情报解读(2021.01.07~01.14)

披露时间：2021年01月11日

情报来源：https://securelist.com/sunburst-backdoor-kazuar/99981/#comment-3319978

相关信息：

2020年12月，Kaspersky在深入分析Sunburst后门发现，该后门与已知后门Kazuar在代码上有一定重叠之处。Kazuar为Palo Alto于2017年首次披露的Turla组织所使用的的.NET后门程序。

Sunburst和Kazuar之间一些高度相似的功能包括受害者UID生成算法、睡眠算法以及FNV-1a哈希的广泛使用。

Kazuar使用公式计算两个C2服务器连接之间的睡眠时间，Sunburst使用完全相同的公式来计算睡眠时间，并依靠NextDouble生成一个随机数。Kazuar和Sunburst在C2连接之前或之间都等待了很长时间。且如同Kazuar一样，Sunburst可以分发命令允许攻击者更改两个C2连接之间的等待时间。其算法比较如下：

Kazuar中shellcode使用FNV-1a哈希算法的变体来查找库函数的地址，Sunburst则使用FNV-1a哈希算法的变体来进行进程名称校验。且在算法的最后一步都增加了与常量异或的运算。其算法比较如下：

Kazuar和Sunburst之间的最后一个相似之处可以在生成唯一受害者标识符的算法中找到，Kazuar获取字符串的MD5哈希，将其与计算机中的四字节唯一的“种子”进行异或，在Sunburst中也可以找到MD5 + XOR算法。其算法比较如下：

以上两种代码的相似处或可得出以下某条结论：

• Sunburst与Kazuar由同一团队开发

• Sunburst开发人员采用了Kazuar的一些想法或代码，但没有直接联系（他们以Kazuar为灵感）

• DarkHalo/UNC2452和Kazuar均从同一来源获得了恶意软件

• 一些Kazuar开发人员转移到另一个团队，随身带着知识和工具

• Sunburst开发人员将这些微妙的链接作为虚假标记的形式进行了介绍，以便将责任归咎于其他组织

尽管Kazuar和Sunburst可能有关联，但这种关联的性质目前仍不清楚。

披露时间：2021年01月08日

情报来源：https://blog.certfa.com/posts/charming-kitten-christmas-gift/

相关信息：

       在圣诞假期和新年之初，Charming Kitten开始针对不同的人群进行信息收集活动。该组织通常使用“发送虚假短信”和“发送虚假电子邮件”两种方式进行攻击，虚假短信伪造成Google发送，引诱用户点击SMS中的链接以确认身份；虚假邮件则利用“圣诞快乐”主题，发送便笺、书、照片等主题。攻击者在获得受害者帐户的访问权限后，也不会阻止受害者对其账户访问，这使得他们的行动更加不易察觉。

另一方面，利用合法化服务隐藏其攻击武器及破坏意图已经成为该组织在钓鱼活动中常用技术之一。据跟踪，Charming Kitten在最新的活动中利用了script.google[.]com和iplogger[.]org等服务创建重定向链接，重定向链接不仅可以将目标重定向到最终URL，为攻击者提供更多控制权，而且为攻击者绕过电子邮件服务中的安全检查提供了极大的便利。

披露时间：2021年01月06日

情报来源：https://blog.malwarebytes.com/threat-analysis/2021/01/retrohunting-apt37-north-korean-apt-used-vba-self-decode-technique-to-inject-rokrat/

相关信息：

2020年12月，Malwarebytes捕获到一例以韩国政府为目标的“会议文件”，该文件包含嵌入式宏，使用VBA自解码技术在Mircrosoft Office的储存空间对其自身进行解码，而无需写入磁盘。然后，它将RokRat变体注入到记事本中。

该样本疑似与APT37相关，APT37通常使用hwp文档进行鱼叉式网络钓鱼攻击，近期开始投放带有自解码宏的Office文档，这种攻击方式可以有效地绕过一些静态检测，使查杀变得更为困难。另一方面，RokRat通常被注入到cmd.exe中，新样本却将shellcode注入进notepad.exe中，可见其技术在慢慢的调整与发展中。

披露时间：2021年01月07日

情报来源：https://unit42.paloaltonetworks.com/ta551-shathak-icedid/

相关信息：

TA551(也称为Shathak)是基于电子邮件的恶意软件分发活动，通常针对英语为母语的地区。在近期的攻击活动中，亦发现其针对母语为德语、意大利语和日语的地区。自2019年以来，TA551一直利用Ursnif和Valak窃密软件进行频繁活动。但自2020年7月中旬之后，此活动开始分发另一款窃密软件IcedID。持续到2020年11月，该恶意软件的感染过程一直保持一致。

1.投递带有附件的恶意电子邮件；2.附加的带有密码的zip文件；3.提取的Word文档；4.启用宏；5.IcedID安装程序的HTTP流量；6.安装程序DLL；7.用于IcedID二进制文件的HTTPS流量；8.在受感染主机上持久存在的IcedID二进制文件；9.感染后的HTTPS流量。

经过一段时间地跟踪后，Palo Alto发现TA551似乎已经淘汰了Valak和Ursnif等恶意软件下载程序，现在正在直接部署IcedID。尽管TA551已将IcedID用作其恶意软件有效载荷，但随着该活动的发展，其流量模式和感染伪像仍处在变化之中。

披露时间：2021年01月07日

情报来源：https://www.clearskysec.com/operation-kremlin/

相关信息：

ClearSky研究人员发现了一个恶意的docx文件，该文件伪装成俄罗斯联邦国防部发送的奖金发放确认表，通过远程注入模板漏洞下载带有恶意VBA的dotm文件，文件执行后将创建VBS文件执行后续恶意操作。有趣的是，该VBS文件对周几运行做了特定的检查，若文件于周三运行，则收集计算机中指定扩展名的文件进行base64编码后发送至C2。

本次攻击的目的是隐秘地泄露信息，而无需在系统上运行任何外部可执行文件。由于在渗漏数据的poslai函数中使用了名为“kreml”的参数，因此该行动被命名为Kremlin行动。

经分析，此次行动或与2020年年初的多米诺行动有关，两种攻击技术都较为复杂，并使用非常独特的攻击技术针对俄语目标精心定制，而这种攻击技术并未广泛使用。

披露时间：2021年01月12日

情报来源：https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/

相关信息：

2020年，ESET发现了几起专门针对哥伦比亚政府机构和能源冶金行业相关的私人企业进行的攻击。其主要通过电子邮件投放三种远控木马对受害者进行监控：Remcos，njRAT和AsyncRAT。诱饵包含以下主题：驾驶违规通知、强制检测COVID-19通知、出席法院聆听通知、滥用公款调查、银行账户禁运营通知。这些钓鱼邮件包含各种各样的Dropper。

攻击者最常使用的Dropper之一是NSIS安装程序，安装程序包含几个写入磁盘的白文件和两个恶意文件：一个加密的RAT和DLL。其中DLL用于解密并运行木马文件。大多情况下NSIS程序会运行Remcos RAT，也存在少数加载njRAT的情况。

另一个Dropper是Agent Tesla，该程序解密自身字符串资源并加载调用DLL文件，DLL文件读取图像资源并解密出CyaX，该程序可禁用Windows Defender，检测其他杀软，沙箱及虚拟环境，最后也是释放njRAT和AsyncRAT。

最后一种Dropper是AutoIt脚本，其包含两个shellcode，一个用于解密payload，一个用于将payload注入进程。

该攻击组织还具有大型的C2网络基础结构：仅在2020年下半年就有至少24个不同的IP地址被发现处于活动状态中，这些IP设备很可能是遭受到攻击后被用于充当C2的代理服务器，当它们与动态DNS服务的使用相结合，意味着其基础架构永远不会停滞不前。目前至少有70个域名在该时间段内处于活动状态，且他们仍在定期注册新的域名。

披露时间：2021年01月06日

情报来源：https://unit42.paloaltonetworks.com/bumblebee-webshell-xhunt-campaign/

相关信息：

2020年9月，Palo Alto在xHunt对某公司Microsoft Exchange服务器的攻击中发现了两个新的后门TriFive和Snugy以及一个名为BumbleBee的新Webshell。

攻击者使用BumbleBee Webshell在受感染的Exchange服务器上传或下载文件并横向移动到了网络上其他的IIS Web服务器。Palo Alto还观察到，攻击者在访问Internet的服务器上的BumbleBee时，使用了Private Internet Access提供的虚拟专用网络（VPN）。并在不同的VPN服务器之间切换，以更改服务器将存储在日志中的活动的外部IP地址。这些IP地址来自许多国家包括比利时，德国，爱尔兰，意大利，卢森堡，荷兰，波兰，葡萄牙，瑞典和英国。攻击者还会在不同的操作系统和浏览器之间切换，尤其是在Windows 10，Windows 8.1或Linux系统上的Mozilla Firefox及Google Chrome。由于攻击者访问多系统使用多地区IP逃避检测，使安全分析人员的工作更加困难。亦或该攻击涉及多个攻击者，他们对操作系统和浏览器的偏好不同。

除了使用VPN外，攻击者还使用SSH隧道与托管在内部IIS Web服务器上的BumbleBee Webshell进行交互。根据服务器的日志显示，攻击者使用Plink工具创建SSH隧道访问了内部网络，其先利用3389端口创建SSH隧道访问远程桌面，然后利用80端口创建SSH隧道访问了内部IIS Web服务器，达到入侵内网的目的。

另外，攻击者会隐藏发送给网络管理员的受到攻击通知，这也许解释了攻击者如何能在受感染的网络上维持存在数月之久。

披露时间：2021年01月11日

情报来源：https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/

相关信息：

2020年12月，CrowdStrike在对SolarWinds事件进行调查和根本原因分析时，发现另一种未经授权的恶意代码存在其构建周期。该植入代码被命名为SUNSPOT，目前，CrowdStrike并未将SUNSPOT，SUNBURST后门或TEARDROP开发后工具归因于任何已知的APT组织。但可以得出以下几点：

1. SUNSPOT是StellarParticle的恶意软件，用于将SUNBURST后门插入SolarWinds Orion IT管理产品的软件版本中。

2. SUNSPOT监视Orion产品编译过程中正在运行的进程，并替换其中一个源文件以包含SUNBURST后门代码。

3. SUNSPOT中增加了一些保护措施，以防止Orion版本失败，从而提醒开发人员注意到恶意代码的存在。

披露时间：2021年01月07日

情报来源：https://labs.sentinelone.com/greywares-anatomy-the-potentially-unwanted-are-upping-their-game/

相关信息：

“潜在恶意软件”（PUP）是对各种软件的模棱两可的分类，这些软件呈现出一些恶意特征，但不足以证明被归类为完全恶意。此类应用程序在技术上可以在用户同意的情况下进行安装，但它们的真实功能通常会产生误导，并捆绑用户未意识到的其他软件。他们的开发人员经常将它们用作掩体，将侵入性广告，浏览跟踪器和加密货币矿工偷偷潜到用户的设备上，同时使用多种持久性方法来使其删除变得困难， “潜在的恶意”越过界线成为了 “毫无疑问的恶意”。

SentinelOne利用公开的检测规则发现了一批Greyware，这些软件隐式并入了开源项目，并利用反射性DLL注入将本地解码的有效负载加载到内存中，从而逃避了一些主要依靠静态检测的杀软。这些技术曾经只用于渗透测试框架和高级持续威胁。如若放任自流，乍一看似乎是从信誉良好的来源下载的令人讨厌的广告软件，但后续可能会使计算机陷入后门，被控而不自知。

披露时间：2021年01月06日

情报来源：https://blog.talosintelligence.com/2021/01/a-deep-dive-into-lokibot-infection-chain.html?&web_view=true

相关信息：

Lokibot是恶意软件领域最著名的信息窃取者之一。近日，Talos深入研究Lokibot感染链并解密了其中的荷载。

Lokibot攻击始于在网络钓鱼电子邮件中发送的恶意XLS附件，该附件内容为西班牙语付款相关信息，其中包含混淆的宏代码。该宏代码将下载第二阶段Delphi下载器用于获取加密的第三阶段荷载，其中包括三层加密：1.反转十六进制字符串；2.将十六进制数字转换为字节；3.使用硬编码密钥“ ZKkz8PH0”进行XOR。

第三阶段荷载在内存解密后将shellcode注入notepad.exe进程中进行提权操作，成功提权后，Lokibot将被运行在受害者的机器中。

披露时间：2021年01月11日

情报来源：https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/

相关信息：

早在2018年，国内安全研究员在MacOS平台发现了一款最早于2015年开始活动的挖矿木马Monero。其症状包括CPU高于正常水平，系统死机以及尝试打开系统Activity Monitor.app的问题。该款挖矿木马最早通过破解游戏以及MS Office等软件进行传播，尽管研究人员从野外和动态执行中检索了一些IoC，但恶意软件作者使用只运行AppleScript的手段阻止了进一步的分析。

2020年末，国外安全研究员发现恶意软件作者基于AppleScript以一些较为复杂的技术完善了该类软件，使其更难被分析，同时也有了更好的免杀性。但是，借助一个鲜为人知的applescript-disassembler项目和SentinelLabs开发的反编译器工具，研究人员已经可以将其进行逆向研究，并且现在可以首次揭示它们的内部逻辑及其IOC。

披露时间：2021年01月13日

情报来源：https://mp.weixin.qq.com/s/XErjrXYNjxcLJD9N_VO9Kg

相关信息：

2021年01月13日，微软在每月例行补丁日当天修复了一个非常严重的Windows Defender远程代码执行漏洞。而Windows Defender是微软内置在Windows Vista，Windows 7，Windows 8，Windows 8.1和Windows10等操作系统中的默认杀软软件。攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件，从而使 Windows Defender 在自动扫描恶意文件时触发利用该漏洞，最终控制受害者计算机。而通过微软官方描述，CVE-2021-1647 目前已发现在野利用。

奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞，并确认漏洞可被利用。该漏洞导致的威胁非常严重，不过由于Windows Defender具有联网后自动升级补丁的能力，故该漏洞目前造成的影响已经不大。

披露时间：2021年01月12日

情报来源：https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html

相关信息：

近日，Google披露了一个高级可持续性威胁(APT)攻击活动，该漏洞利用链攻击活动分别针对Windows和Android用户进行0day漏洞攻击。活动时间为2020年初，APT组织使用两台漏洞利用服务器进行水坑攻击，一台服务器针对Windows用户，另一台针对Android用户。Windows和Android服务器均使用Chrome漏洞利用程序进行初始远程代码执行。即无论是通过Windows或Android的Chrome浏览器进行访问含漏洞代码的网站，都会触发漏洞从而执行接下来的漏洞利用链。

在漏洞利用链中，Chrome和Windows均使用了0day漏洞。对于Android系统方面，漏洞利用链使用了众所周知的Nday漏洞利用，谷歌方面认为其会使用0day漏洞针对高级目标，但并没有捕获到。谷歌在漏洞利用服务器中寻找到了:

1. 四个Chrome漏洞利用，其中一个在发现的时候未修复(CVE-2020-6418-TurboFan中的Chrome漏洞)；

2. 三个Windows 0day漏洞:CVE-2020-0938Windows上的字体漏洞、CVE-2020-1020Windows上的字体漏洞、CVE-2020-1027Windows CSRSS漏洞；

3. 一个提权工具包，其中包含针对较旧版本的Android的Nday漏洞。

谷歌认为，这是有一个专家团队在背后设计和开发了这些漏洞利用链，这些漏洞利用链的模块化设计目的是为了提高攻击效率和灵活性。它们是精心设计且复杂的代码，具有多种新颖的利用方法，成熟的日志记录，复杂且经过计算的漏洞利用后使用的技术以及大量的反分析和目标检查。