每周高级威胁情报解读(2021.02.25~03.04)

  • A+
所属分类:安全新闻

2021.02.25~03.04

攻击团伙情报

  • 新APT组织LazyScripter:从Empire发展到RAT

  • UNC2198通过ICEDID感染链部署MAZE或EGREGOR勒索软件

  • Lazarus利用ThreatNeedle针对国防工业

  • Gamaredon组织的TTP分析

攻击行动或事件情报

  • 近期的AOL邮件钓鱼活动针对中老年人窃取凭据

  • 黑客利用新的恶意NPM软件包针对Amazon和Slack等应用

  • 通过恶意宏文档传播ObliqueRAT的活动,使用隐写术

恶意代码情报

  • Fbot僵尸网络正在攻击交通和运输智能设备

  • 僵尸网络滥用比特币区块链逃避检测

  • Sysrv-hello僵尸网络最新版新增5种攻击能力

  • Gootloader利用SEO分发多种恶意软件

  • 勒索软件Povlsomware,兼容Cobalt Strike功能

漏洞情报

  • Microsoft Exchange存在多个无需验证的 0 day漏洞

  • Rockwell Automation的PLC存在身份验证绕过漏洞

  • 研究人员在VirusTotal平台发现可利用的Spectre漏洞


每周高级威胁情报解读(2021.02.25~03.04)
每周高级威胁情报解读(2021.02.25~03.04)

攻击团伙情报

每周高级威胁情报解读(2021.02.25~03.04)
每周高级威胁情报解读(2021.02.25~03.04)

01

新APT组织LazyScripter:从Empire发展到RAT

披露时间:2021年02月24日

情报来源:https://blog.malwarebytes.com/malwarebytes-news/2021/02/lazyscripter-from-empire-to-double-rat/

相关信息

Malwarebytes披露新的APT组织LazyScripter瞄准交通行业。LazyScripter自2018年以来一直活跃,利用网络钓鱼攻击针对加拿大移民、求职者和国际航空运输协会(IATA)。

LazyScripter在其最新的攻击活动使用了免费的恶意软件Octopus和Koadic,该恶意程序的组合被Malwarebytes命名为KOCTOPUS,该组织在2018-2019年使用另一个加载程序来加载PowerShell Empire,该加载器被命名为Empoder。

Malwarebytes对攻击事件进行完整分析之后表明该组织的TTPs虽然与APT28、OilRig以及MuddyWater等组织有一定重合,但不足以归因为同一组织。例如LazyScripter与APT28都曾使用过Koadic RAT;LazyScripter像OilRig一样使用工具将PowerShell脚本转换为可执行文件;LazyScripter将其工具集托管在GitHub上、使用PowerShell脚本语言进行攻击活动、使用计划任务,注册表键值,开机启动项等实现持久化,这些都是MuddyWater组织过去使用的一种策略。

与MuddyWater组织不同的是,MuddyWater会使用更有针对性的鱼叉式网络钓鱼邮件,在文档中嵌入恶意宏代码,释放自定义工具集。LazyScripter则投放大量垃圾邮件,不擅长宏代码利用,且最后阶段主要依赖LuminosityLink、RMS、Quasar、njRat和Remcos等开源的远控软件。

每周高级威胁情报解读(2021.02.25~03.04)


02

UNC2198通过ICEDID感染链部署MAZE或EGREGOR勒索软件

披露时间:2021年02月25日

情报来源:https://www.fireeye.com/blog/threat-research/2021/02/melting-unc2198-icedid-to-ransomware-operations.html

相关信息

UNC2198是一个针对北美各个行业的组织,其目标是通过部署勒索软件破坏受害网络,从而进行入侵操作获取利益。

2020年7月,Mandiant观察到UNC2198利用ICEDID感染部署MAZE勒索软件。10月和11月,又发现在其他活动中部署了EGREGOR勒索软件。其使用InnoSetup在目标主机上安装WINDARC后门;使用了BITS作业和远程PowerShell下载其他工具,如用于代理和隧道功能的SYSTEMBC;使用工具Cobalt Strike BEACON,Metasploit METERPRETER,KOADIC和PowerShell EMPIRE;使用Windows远程管理和RDP在系统之间横向移动;使用SOURBITS特权升级实用程序在目标系统上执行文件,SOURBITS是针对CVE-2020-0787的打包利用实用程序;使用RCLONE(一种用于同步云存储的命令行工具)来进行敏感数据的渗漏。

每周高级威胁情报解读(2021.02.25~03.04)


03

Lazarus利用ThreatNeedle针对国防工业

披露时间:2021年02月25日

情报来源:https://securelist.com/lazarus-threatneedle/100803/

相关信息

今年1月,Google团队曾披露一起Lazarus组针对安全研究人员发起的社会工程学攻击活动。经过研究,Kaspersky发现该攻击活动中所使用的工具早在2020年中旬就已出现,该工具被命名为ThreatNeedle。ThreatNeedle是Lazarus工具集Manuscrypt(又名NukeSped)的高阶变种,该工具曾被用于攻击加密货币企业与移动游戏公司,与之前的活动相比,此次针对国防行业的攻击活动的感染链并未发生太大变化。

此次活动始于COVID-19主题的鱼叉式网络钓鱼邮件,并使用公开来源收集的个人信息针对特定目标。在获得最初立足点之后,攻击者收集了凭证并横向移动,在受害者环境中寻找关键资产。并通过访问内部路由器机器将其配置为代理服务器,从而克服了网络分段,将数据从Intranet网络传输到其远程服务器。截至目前为止,十几个国家的组织已受到影响。

每周高级威胁情报解读(2021.02.25~03.04)


04

Gamaredon组织的TTP分析

披露时间:2021年02月23日

情报来源:https://blog.talosintelligence.com/2021/02/gamaredonactivities.html

相关信息

Gamaredon是疑似来自东欧地区的APT组织,自2013年以来一直处于活跃状态。与传统的APT攻击模式不同,该组织并不对某地区、国家进行进行定向攻击,他们的目标范围是全球性的。该组织在攻击活动中使用了大量基础的域名,这种TTP在网络犯罪团伙中较为常见。

但与网络犯罪组织不同的是,该组织的活动过于频繁,且不以破坏或获利为主要目的。Gamaredon更类似于那些旨在窃取信息,然后将其转售给其他威胁组织的“第二梯队”APT组织。这些“第二梯队”APT组织旨在将窃取的关键信息传递给其所在业务部门“第一梯队”。另外一种可能是,Gamaredon是一个“服务提供商”,这也解释了该组织为什么会针对西非国家的一些主要银行。

Gamaredon通常使用恶意的Windows Batch语言/VBS脚本进行初始入侵,有时也会直接利用嵌入VBA宏代码的恶意文档。近年来,该组织的攻击活动虽然被多次暴露,但其并没有停止攻击的步伐,依然动作频频。Gamaredon组织是少见的拥有庞大基础设施且保持长期活跃的APT组织,该组织控制了600多个域名,并将其部署在各个感染时间节点中。

每周高级威胁情报解读(2021.02.25~03.04)


每周高级威胁情报解读(2021.02.25~03.04)
每周高级威胁情报解读(2021.02.25~03.04)

攻击行动或事件情报

每周高级威胁情报解读(2021.02.25~03.04)
每周高级威胁情报解读(2021.02.25~03.04)

01

近期的AOL邮件钓鱼活动针对中老年人窃取凭据

披露时间:2021年02月28日

情报来源:https://www.bleepingcomputer.com/news/security/beware-aol-phishing-email-states-your-account-will-be-closed/

相关信息

BleepingComputer警告近期的AOL邮件钓鱼活动针对中老年人窃取凭据。当大多数人使用Gmail、Outlook或其他现代免费邮件服务时,许多老年人仍在使用AOL。而此次钓鱼活动主要针对这一群人,以邮箱将在3天内关闭为主题,诱使用户在钓鱼页面登录帐户来进行验证,窃取其凭据。此外,相比于针对其他服务(例如Gmail)的活动,此次攻击更容易通过AOL的电子邮件过滤器。


02

黑客利用新的恶意NPM软件包针对Amazon和Slack等应用

披露时间:2021年03月01日

情报来源:https://blog.sonatype.com/malicious-dependency-confusion-copycats-exfiltrate-bash-history-and-etc-shadow-files

相关信息

Sonatype发现黑客利用新的恶意NPM软件包针对Amazon、Zillow、Lyft和Slack等应用程序。这种攻击利用了依赖关系混淆的方式,黑客使用与公司内部存储库或组件相同的名称来命名软件包,并托管在公共存储库(包括npm、PyPI和RubyGems)上,而依赖管理器在构建应用时将使用公共存储库上的包,而非公司内部的包。

通过这种方式,黑客可以在供应链攻击中将自己的恶意代码注入内部应用程序。


03

通过恶意宏文档传播ObliqueRAT的活动,使用隐写术

披露时间:2021年03月02日

情报来源:https://blog.talosintelligence.com/2021/02/obliquerat-new-campaign.html

相关信息

思科Talos观察到利用恶意Microsoft Office文档传播远程访问木马ObliqueRAT的活动,此活动针对南亚的组织。攻击者将ObliqueRAT有效载荷隐藏在受感染网站上看似合法的图像文件中,并通过恶意宏下载至受感染主机。

新增的功能:在反检测方面,会检测用户名和计算机名是否在黑名单中,检测进程名称是否在阻止列表中,阻止列表包括虚拟机软件和分析工具进程;增加了窃取可移动驱动器上的文件和递归枚举驱动器上的文件功能;捕获网络摄像头视图并将其保存到DIB文件;捕获屏幕截图并以JPEG格式保存;除此外,其会将从C2接收的文件拆分为较小的文件并存储在磁盘上。

每周高级威胁情报解读(2021.02.25~03.04)


每周高级威胁情报解读(2021.02.25~03.04)
每周高级威胁情报解读(2021.02.25~03.04)

恶意代码情报

每周高级威胁情报解读(2021.02.25~03.04)
每周高级威胁情报解读(2021.02.25~03.04)

01

Fbot僵尸网络正在攻击交通和运输智能设备

披露时间:2021年03月03日

情报来源:https://blog.netlab.360.com/fbot-is-now-riding-the-traffic-and-transportation-smart-devices/

相关信息

Fbot是一个基于Mirai的僵尸网络,该僵尸网络长期活跃并被曾360Netleb多次披露。近日,研究人员发现,该僵尸网络开始利用多个物联网设备的0 day和N day漏洞攻击车联网领域的智能设备,这是一个此前未被发现的现象。

2021年2月20号,360Netleb监测到攻击者正在使用美国Iteris Inc.公司的Vantage Velocity产品的远程命令执行漏洞(CVE-2020-9020),传播Fbot僵尸网络样本。

Iteris Inc.公司为智能移动基础设施管理提供软件和咨询服务,包括软件即服务以及托管和咨询服务,并生产记录和预测交通状况的传感器和其他设备。结合Vantage Velocity产品用途,并从受影响的设备上发现AIrLink GX450 Mobile Gateway产信息,研究人员推测受影响设备是交通和智能运输设备。


02

僵尸网络滥用比特币区块链逃避检测

披露时间:2021年02月24日

情报来源:https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html

相关信息

Akamai发现新僵尸网络正在利用比特币区块链交易来隐藏C2地址。攻击利用影响了Hadoop arn和Elasticsearch等软件远程代码执行(RCE)漏洞,例如CVE-2015-1427和CVE-2019-9082。

为了将钱包数据转换为IP地址,黑客使用四个单行的bash脚本向比特币钱包的区块链资源管理器API发送HTTP请求,将最近两个交易中的Satoshi值转换为备用C2地址。


03

Sysrv-hello僵尸网络最新版新增5种攻击能力

披露时间:2021年03月01日

情报来源:https://s.tencent.com/research/report/1259.html

相关信息

腾讯安全检测到Sysrv-hello僵尸网络近期十分活跃,该僵尸网络具备木马、后门、蠕虫等多种恶意软件的综合攻击能力。

最近该团伙再次升级,更新基础设施,新增端口反调试;新增以下5种攻击方式:新增Jupyter弱口令爆破、WordPress弱口令爆破、Jenkins弱口令爆破、Redis未授权写入计划任务、Apache Solr命令执行漏洞攻击;入侵成功后拉取sysrv蠕虫扩散模块,每5分钟随机扫描探测新攻击目标;投递门罗币挖矿木马kthreaddi。

每周高级威胁情报解读(2021.02.25~03.04)


04

Gootloader利用SEO分发多种恶意软件

披露时间:2021年03月01日

情报来源:https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/

相关信息

Gootkit银行木马家族大约已经存在5年,其功能以银行凭证盗窃为主,研究人员发现其将更新投入到改进交付方式上。分析人员将其分发机制命名为Gootloader。Gootloader使用恶意搜索引擎优化(SEO)技术不动声色地网站置于Google搜索结果,分析人员估计黑客大约控制了400台被黑合法网站服务器。

用户访问被黑网站后,将被引导下载.zip文档,其中包含带有.js扩展名的文件,脚本文件进行了模糊处理,并对下一阶段相关的字符串和数据blob进行了两层加密,该文件运行时调用wscript.exe。第二阶段有效负载内容被写入注册表并在系统重启后通过加载到内存运行。重启后将触发Powershell脚本运行并下载最终有效负载。除了REvil和Gootkit负载外,最近还发现使用Gootloader来交付Kronos木马和Cobalt Strike。该活动主要针对韩国、德国、法国和整个北美地区。


05

勒索软件Povlsomware,兼容Cobalt Strike功能

披露时间:2021年03月01日

情报来源:https://www.trendmicro.com/en_us/research/21/c/povlsomware-ransomware-features-cobalt-strike-compatibility.html

相关信息

Povlsomware是一种概念验证(POC)勒索软件,首次发布于2020年11月。其遵循了典型的勒索软件攻击方式,首先检查恶意程序是否以特权模式运行,之后通过Windows管理器(WMI)删除备份。加密完成后,Povlsomware将显示受影响文件的列表以及赎金说明。

Povlsomware的一个有趣特点是,它是一种无扩展勒索软件,不会在它加密的文件中添加额外的扩展名。值得注意的是,该软件集成了Cobalt Strike的“执行组装”功能,即通过内存执行有效载荷,且不会将任何可执行文件加载到受害者的系统中。这增加了针对该恶意软件的检测和分析难度。


每周高级威胁情报解读(2021.02.25~03.04)
每周高级威胁情报解读(2021.02.25~03.04)

漏洞相关

每周高级威胁情报解读(2021.02.25~03.04)
每周高级威胁情报解读(2021.02.25~03.04)

01

Microsoft Exchange存在多个无需验证的 0 day漏洞

披露时间:2021年03月02日

情报来源:https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

相关信息

2021年1月,Volexity检测到Microsoft Exchange服务器的异常活动,该活动将大量数据发送至非法IP地址。研究人员通过分析系统内存日志,发现攻击者正在利用Microsoft Exchange服务器端的0 day漏洞 (CVE-2021-26855) 进行SSRF攻击以窃取用户邮箱内容。此漏洞可以远程利用,不需要任何类型的身份验证,也不需要用户的域SID或对目标环境的访问。攻击者只需要知道他们意图攻击的电子邮箱地址即可。

发现CVE-2021-26855之后,Volexity继续监视该漏洞有关的攻击事件,在监视过程中,Volexity发现攻击者将SSRF漏洞与另一个允许目标Exchange服务器上远程代码执行(RCE)的漏洞(CVE-2021-27065)组合在一起,将webshell(ASPX文件)写入磁盘,并进行进一步的操作以转储凭据,添加用户帐户,窃取Active Directory数据库(NTDS.DIT)的副本以及横向移动到其他系统和环境。

目前Volexity已确认在完全修补的Windows Server 2016服务器上最新版本的Exchange 2016及Exchange 2019中存在此漏洞。Volexity尚未针对完全修补的版本进行测试,尽管带有该漏洞的服务器容易受到攻击,但这些漏洞似乎并未影响Office 365。

每周高级威胁情报解读(2021.02.25~03.04)


02

Rockwell Automation的PLC存在身份验证绕过漏洞

披露时间:2021年02月25日

情报来源:https://www.claroty.com/2021/02/25/blog-research-critical-authentication-bypass-in-rockwell-software/

相关信息

研究人员发现Rockwell Automation的可编程逻辑控制器(PLC)中存在身份验证绕过漏洞。该漏洞被追踪为CVE-2021-22681,CVSS评分为10,其存在于Logix Designer软件中,是由于验证控制器通信的私有密钥保护不足导致的。

未经身份验证的远程攻击者可利用该漏洞绕过验证机制来连接Logix控制器。此外,利用此漏洞和第三方工具还能更改控制器的配置和应用程序代码。


03

研究人员在VirusTotal平台发现可利用的Spectre漏洞

披露时间:2021年03月01日

情报来源:https://dustri.org/b/spectre-exploits-in-the-wild.html

相关信息

研究人员Julien Voisin在恶意软件分析平台VirusTotal发现可利用的Spectre漏洞。该漏洞被追踪为CVE-2017-5753,于2018年1月被披露,是Intel、AMD和ARM处理器体系结构中的硬件设计漏洞,可被用来窃取敏感数据。

该漏洞已收到所有主要处理器和OS供应商的补丁,但Voisin发现在上个月上传到VirusTotal平台的针对Linux和Windows的2个Spectre漏洞,可从目标设备的内核内存中窃取Windows系统上的LM/NT哈希和Linux系统的/etc/shadow文件。

每周高级威胁情报解读(2021.02.25~03.04)


本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2021.02.25~03.04)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: