2021.04.15~04.22
攻击团伙情报
-
俄罗斯APT组织Gamaredon针对乌克兰政府官员的攻击活动
-
透明部落利用新冠疫苗热点对印度医疗行业的定向攻击活动分析
-
Lazarus APT在近期的攻击中使用新方法绕过检测
-
Turla 组织攻击面貌深度分析报告(下)
-
Zebrocy针对哈萨克斯坦攻击活动中的Dropper文档分析
攻击行动或事件情报
-
“雏莺行动”:一起针对俄罗斯的窃密行动
-
黑客组织TA551新增恶意工具QakBot
-
"Fajan"攻击活动,针对Bloomberg电子邮件用户
-
通过伪造Spotify等应用瞄准南美地区的攻击活动
恶意代码情报
-
多组件恶意软件Purple Fox变种利用CVE-2021-26411展开攻击
-
Gafgyt针对多种路由器设备,复用Mirai部分模块代码
-
BazarLoader新型恶意负载,利用块链DNS技术
-
XMRig挖矿活动利用Nagios XI服务器命令注入漏洞
-
针对Mac的XCSSET恶意软件基于macOS 11和M1处理器进行更新
-
HabitsRAT恶意软件针对Linux和Windows服务器
漏洞情报
-
WebLogic多个组件高危漏洞安全风险通告
攻击团伙情报
俄罗斯APT组织Gamaredon针对乌克兰政府官员的攻击活动
披露时间:2021年04月19日
情报来源:https://www.anomali.com/blog/primitive-bear-gamaredon-targets-ukraine-with-timely-themes
相关信息:
近日,Anomali Threat Research发现了一例针对乌克兰政府官员的攻击事件,并归属到东欧APT组织Gamaredon。和Gamaredon以前的TTPs保持一致,本次捕获的原始样本依旧是鱼叉攻击的docx文档,该文档通过模板注入下载执行dot文件。
在此次攻击活动中,Gamaredon投递的诱饵文档主要是乌克兰语为主,以俄罗斯语为辅,投递的诱饵主题主要是围绕乌克兰与保加利亚的现代关系进行展开。在对众多诱饵文档的内容、上传时间、政治背景进行总结后,Anomali确定了此次攻击的幕后黑手。
透明部落利用新冠疫苗热点对印度医疗行业的定向攻击活动分析
披露时间:2021年04月20日
情报来源:https://mp.weixin.qq.com/s/ELYDvdMiiy4FZ3KpmAddZQ
相关信息:
近日,360监测到透明部落组织利用疫情相关信息对印度医疗行业进行情报窃取的定向攻击活动。此次攻击活动涉及的诱饵文档为ZIP包形式,包含一个伪装成PDF的lnk快捷方式文件,该lnk文件会调用mshta.exe加载隐藏在远程网页中的hta脚本。hta脚本将文件自身存储的base64编码的字符串解码执行后释放文件到指定文件夹,同时调用wmi服务获取中招机器内部安装的杀毒软件名称列表,后续根据列表释放不同的RAT。最后打开伪造的新冠疫苗热点PDF文档,减少用户的警惕性。
此外,在本次攻击活动中,透明部落为影响安全人员对其的溯源判断模仿了响尾蛇组织的攻击模式。
Lazarus APT在近期的攻击中使用新方法绕过检测
披露时间:2021年04月19日
情报来源:https://blog.malwarebytes.com/malwarebytes-news/2021/04/lazarus-apt-conceals-malicious-code-within-bmp-file-to-drop-its-rat/
相关信息:
Malwarebytes发现东亚APT组织在近期的攻击中使用新方法绕过检测。此次的网络钓鱼活动始于4月13日,攻击者将其恶意HTA文件作为压缩的zlib文件嵌入到PNG文件中,然后在运行时将其转换为BMP格式进行解压缩。
诱饵文件是韩文写的,创建于2021年3月31日,伪装成了韩国某城市交易会的参加申请表,在用户首次打开时会启用宏,最终将安装一个名为AppStore.exe的可执行文件。
Turla 组织攻击面貌深度分析报告(下)
披露时间:2021年04月15日
情报来源:https://mp.weixin.qq.com/s/nPopBzskdFqkHGe3NZlvsw
相关信息:
Turla 组织作为一支背景强大、武器库储备丰富、活动时间跨度近20年的APT队伍,一直以来都是全球各个威胁情报厂商关注的重点。其攻击组件复杂、攻击流程繁琐、活动轨迹高度隐匿,并且具备一定的反侦察能力。
从其加密算法方面来说,Turla组织攻击组件中对于加密算法的使用区别于常见的异或、移位、自定义Base64等传统加密算法,Turla组织在加密算法的选择或编写、密钥生成等方面表现的十分个性化。
从其网络资产特征方面来说,长期渗透入侵 Web 站点来扩充自身网络资产是Turla组织的一贯作风,其入侵网站包括地方政府政务平台网站、企业网站、小众社团网站,其攻陷网站覆盖全球多个国家及地市。除了使用失陷站点来托管恶意代码、充当 C2 服务器之外,Turla还会选取Pastebin平台、网络云盘等开放平台托管恶意载荷。
Zebrocy针对哈萨克斯坦攻击活动中的Dropper文档分析
披露时间:2021年04月19日
情报来源:https://labs.sentinelone.com/a-deep-dive-into-zebrocys-dropper-docs/
相关信息:
APT28,又名Sofacy或FancyBear,自2008年以来开始活跃,主要针对政府、军事和私人组织。Zebrocy被认为是APT28的一个子组织,其目标主要集中在前苏联共和国和亚洲。
2021年3月,Sentinel Labs观察到一系列使用Delphi编写的Delphocy恶意软件针对哈萨克斯坦的攻击活动,该恶意软件与Zebrocy相关。研究人员一共发现了六个与Zebrocy组织有关的Delphocy Word文档,文档中都包含相同的VBA脚本,用于释放PE。后续释放的恶意PE文件将记录键盘输入并上传至C2。
此外,本次捕获到的样本中有两个文档似乎是由哈萨克斯坦的受害者上传到VirusTotal的,这两个文件的原始文件名为Авансовый отчет(новый).doc和Форма докладной (служебной) записки.doc。这些文档声称是来自哈萨克斯坦公司Kazchrome,该公司是全球最大的铬矿石和铁合金生产商之一。
攻击行动或事件情报
“雏莺行动”:一起针对俄罗斯的窃密行动
披露时间:2021年04月15日
情报来源:https://mp.weixin.qq.com/s/6CEhZ9K71zcslg40rYHaqg
相关信息:
近日,安天CERT监测到一起乌克兰针对俄罗斯的窃密行动,并将这次攻击活动命名为“雏莺行动”。该起攻击行动主要通过钓鱼邮件进行传播,将邮件伪装为俄罗斯联邦储蓄银行(Sberbank)官方通知,诱导受害者下载附件中的带有宏的Office文档,并诱使受害者执行恶意宏代码。一旦文档中的恶意宏被执行,会在多层下载解码后运行此次攻击行动的有效载荷,对除乌克兰以外国家的设备进行攻击。
该样本会窃取浏览器的Cookies、登录信息和支付信息回传给攻击者Telegram服务器,造成受害者财产损失和机密信息泄露。窃密载荷一旦发现目标系统有沙箱系统、调试行为,以及目标系统属于乌克兰的设备,便立即自删除。通过对该起行动时间、域名(攻击者使用的域名为usamyforever[.]com,译为“我永远的美国”)等背景关联,推测是乌克兰针对俄罗斯的一起窃密行动。
黑客组织TA551新增恶意工具QakBot
披露时间:2021年04月15日
情报来源:https://cybersecurity.att.com/blogs/labs-research/the-rise-of-qakbot
相关信息:
AT&T Alien Labs研究人员发现,黑客组织TA551在其武器库中新增了QakBot和IcedID。QakBot带有反病毒检测和反沙箱能力,攻击者利用一个恶意文件生成框架,带有数字签名的加载器和恶意DLLs加载其它恶意软件,如Egregor和Cobalt Strike。
"Fajan"攻击活动,针对Bloomberg电子邮件用户
披露时间:2021年04月21日
情报来源:https://blog.talosintelligence.com/2021/04/a-year-of-fajan-evolution-and-bloomberg.html
相关信息:
思科Talos最近发现了一系列称之为"Fajan"的小批量电子邮件活动,这些活动至少从2020年3月开始就针对使用基于彭博BNA的电子邮件的用户。
攻击起源于一封电子邮件,邮件内容为来自彭博的BNA部门的信息:一个为专业人士提供法律和监管信息的网站。电子邮件包含一个Excel表格作为附件,包含宏代码,有效负载为RAT,允许攻击者通过非标准TCP端口使用HTTP控制受感染的系统。
攻击中使用过的主要负载包括JavaScript文件、VBScript文件或标准windowspe二进制文件。同时研究人员还观察到Nanocore RAT作为最终有效载荷其C2服务器地址与其他RAT家族如XpertRAT共享。
通过伪造Spotify等应用瞄准南美地区的攻击活动
披露时间:2021年04月20日
情报来源:https://www.bleepingcomputer.com/news/security/fake-microsoft-store-spotify-sites-spread-info-stealing-malware/
相关信息:
安全公司ESET发现通过伪造Microsoft Store、Spotify和在线文档转换网站,瞄准南美地区的攻击活动。攻击利用恶意广告将用户引入伪造的网站,在用户访问网站时登陆页面将自动下载包含Ficker恶意软件的zip文件。
Ficker是一种信息窃取木马,于1月份开始在暗网上进行出租,可用来在Web浏览器、桌面消息客户端(Pidgin,Steam,Discord)和FTP客户端中窃取凭据,或者窃取加密货币钱包、文档以及正在活动的应用截图。
恶意代码情报
多组件恶意软件Purple Fox变种利用CVE-2021-26411展开攻击
披露时间:2021年04月14日
情报来源:https://threatresearch.ext.hp.com/purple-fox-exploit-kit-now-exploits-cve-2021-26411/
相关信息:
最近,惠普分析人员发现Purple Fox恶意软件家族开始利用Internet Explorer中的一个内存缓冲区漏洞(CVE-2021-26411)。Purple Fox变种运行的代码与于2021年3月向公众发布的概念证明(PoC)非常相似。
恶意活动通过Google搜索结果将用户引导至漏洞利用页面,并且通过地理位置检测来进一步筛选目标,意大利、瑞士、爱尔兰、瑞典和日本等地会触发感染链。
Shellcode使用AES加密,执行后从远程服务器下载恶意文件。脚本会检查用户是否为管理员,如果是则使用MSI文件安装恶意软件,不是则将从网络下载其他恶意软件模块。该过程中Purple Fox采用了隐写术,将恶意代码隐藏在图像中。
Gafgyt针对多种路由器设备,复用Mirai部分模块代码
披露时间:2021年04月15日
情报来源:https://www.uptycs.com/blog/mirai-code-re-use-in-gafgyt
相关信息:
Gafgyt恶意软件家族主要针对易受攻击的IoT设备,例如华为路由器,Realtek路由器和ASUS设备。
Uptycs分析人员发现Gafgyt最近的变体开始使用Mirai源代码中的某些代码模块,如HTTP flooding、UDP flooding、TCP flooding、STD模块、Telnet暴力破解。Gafgyt还使用漏洞(CVE-2017-17215,CVE-2018-10561)下载下一阶段的有效负载。
BazarLoader新型恶意负载,利用块链DNS技术
披露时间:2021年04月15日
情报来源:https://news.sophos.com/en-us/2021/04/15/bazarloader/
相关信息:
近日,在对BazarLoader恶意负载进行逆向工程的过程中,研究人员发现了硬编码的IP地址以及使用.bazar的非标准顶级域(TLD)的域名。这种.bazar的TLD域名不是用传统方式通过域名服务商注册的。
BazarLoader恶意负载会尝试使用OpenNIC通过UDP解析B-DNS域名,一些BazarLoader负载还使用了域生成算法,如果它们无法使用常规方法或B-DNS方法联系硬编码的C2地址之一,则可以部署该域生成算法。
XMRig挖矿活动利用Nagios XI服务器命令注入漏洞
披露时间:2021年04月15日
情报来源:https://unit42.paloaltonetworks.com/nagios-xi-vulnerability-cryptomining/
相关信息:
Unit 42研究人员发现攻击者正在利用Nagios XI软件命令注入漏洞(CVE-2021-25296)进行挖矿活动,并在其上部署XMRig coinminer。Nagios XI是一种普遍使用的软件,可提供企业服务器和网络监视解决方案。
攻击者试图通过漏洞执行从恶意服务器获取的恶意bash脚本,脚本从同一台服务器下载XMRig并执行。此外,攻击者还可能在线更改脚本,可以对其进行更新以执行脚本或命令。
针对Mac的XCSSET恶意软件基于macOS 11和M1处理器进行更新
披露时间:2021年04月16日
情报来源:https://www.trendmicro.com/en_us/research/21/d/xcsset-quickly-adapts-to-macos-11-and-m1-based-macs.html
相关信息:
趋势科技去年发现名为XCSSET的恶意软件,其通过感染Xcode项目来针对Mac用户。近期,趋势科技发现该恶意软件开始基于macOS 11同步更新其有效负载。
去年11月,苹果发布其操作系统Big Sur以及配备基于ARM的M1处理器的Mac新产品。新发现的几乎所有恶意文件均包含x86_x64和ARM64体系结构。恶意软件利用Safari的开发版本从其C2服务器加载恶意的Safari框架和相关的JavaScript后门,为了适应新发布的Big Sur,攻击者添加了用于Safari 14的新程序包。恶意软件还创建了新模块以对图标进行更改,以适应受害者的操作系统。
此外,使用的bootstrap.applescript、replicator.applescript、agent.php等模块和C2服务器也进行了一定更新。恶意软件还开始从163.com、火币等网站窃取账户数据或者替换用户的加密货币钱包中的地址。
HabitsRAT恶意软件针对Linux和Windows服务器
披露时间:2021年04月20日
情报来源:https://www.intezer.com/blog/malware-analysis/habitsrat-used-to-target-linux-and-windows-servers/
相关信息:
Intezer发现了一种新的采用Go语言编写的恶意软件,被称为HabitsRAT。HabitsRAT同时针对Windows和Linux计算机,允许攻击者在受感染的计算机上执行任意代码,其大多数代码在Windows版本和Linux版本之间共享。
RAT使用Proton Mail提供的开源库生成一个公私密钥对,对来自C2服务器的命令进行加密和身份验证。在针对Microsoft Exchange服务器的攻击中,曾发现部署HabitsRAT的Windows版本。
漏洞相关
WebLogic多个组件高危漏洞安全风险通告
披露时间:2021年04月21日
情报来源:https://mp.weixin.qq.com/s/AWZ0xsdgmVrPhqiRE9wEfA
相关信息:
Oracle官方发布了2021年4月的关键补丁程序更新CPU(Critical Patch Update),其中修复了多个存在于WebLogic中的漏洞包括CVE-2021-2136、CVE-2021-2135、CVE-2021-2157、CVE-2021-2294、CVE-2021-2142、CVE-2021-2211、CVE-2021-2204、CVE-2021-2214。
其中影响较大的漏洞如下:
-
CVE-2021-2136:攻击者可以在未授权的情况下通过IIOP协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。
-
CVE-2021-2135:攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。
经过技术研判,奇安信CERT认为CVE-2021-2136、CVE-2021-2135、限制较少,危害程度较大,建议用户尽快应用补丁更新。
本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2021.04.15~04.22)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论