每周高级威胁情报解读

  • A+
所属分类:安全文章

2020.07.23-2020.07.30

攻击团伙情报

  • Operation North Star:利用航空航空职业为诱饵的攻击活动分析

  • Lazarus利用MATA框架分发VHD勒索软件

  • Lazarus 针对MacOS的四类恶意软件分析

  • Tallium组织攻击活动分析


攻击行动或事件情报

  • 华语黑产组织与境外老牌组织合作分发Ghost木马计划曝光

  • 第三方支付平台付款1元实付1000,这个新骗术坑了不少人!

  • BlueMockingbird组织针对印度服务器的挖矿行动


恶意代码情报

  • Doki:感染云端Docker的新型恶意软件

  • Prometei僵尸网络分析

  • 深度分析Dridex银行木马


攻击团伙情报


1

Operation North Star:利用航空航空职业为诱饵的攻击活动分析

披露时间:2020年07月30日

情报来源:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/


相关信息:

由于经济不景气,求职者越来越多,一些网络攻击组织便开始伪装成职位需求相关信息开展攻击活动,据McAfee高级威胁研究团队监测发现,近期,针对航空航天和国防行业的恶意攻击有所增加。此刻攻击活动疑似出自Hidden Cobra之手,该组织与Lazarus,Kimsuky,KONNI,APT37存在关联,这些攻击活动将诱饵伪装成全球领先的国防承包商职位信息,对具有相关技能和工作经验的人群发动攻击,这些攻击活动通常采用模板注入从远程服务器加载带有恶意宏的文件执行,之后利用宏代码释放执行后门,从而控制受害者计算机,以达到窃取敏感信息的目的。

每周高级威胁情报解读


2

Lazarus利用MATA框架分发VHD勒索软件

披露时间:2020年07月28日

情报来源:

https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/


相关信息:

Lazarus APT组织是疑似具有东北亚背景的APT团伙,该组织攻击活动最早可追溯到2007年,其早期主要针对韩国、美国等政府机构,以窃取敏感情报为目的。自2014年后,该组织开始针对全球金融机构、虚拟货币交易所等为目标,进行以敛财为目的的攻击活动。

近日,卡巴斯基监测发现Lazarus组织开始投放勒索软件,攻击者通过存在漏洞的VPN网关进行入侵,获取管理员权限,并在目标系统部署MATA(Dacls)后门,从而能够接管Active Directory服务器。然后,将VHD勒索软件部署到网络中的所有计算机。勒索软件是通过一个用Python编写的下载器进行安装的,整个感染历时10小时。VHD勒索软件曾在2020年3月份被公开披露过,但是研究人员掌握的数据表明VHD勒索软件不是商用的现成产品,而是由Lazarus所有和运营,Lazarus是MATA框架的唯一所有者,而VHD通过MATA框架进行部署。

每周高级威胁情报解读


3

Lazarus 针对MacOS的四类恶意软件分析

披露时间:2020年07月27日

情报来源:

https://www.sentinelone.com/blog/four-distinct-families-of-lazarus-malware-target-apples-macos-platform/


相关信息:

卡巴斯基近期公开披露了Lzarus组织针对三平台的恶意框架MATA(Dacls),而sentinelone研究人员监测发现,除MATA恶意框架外,还发现其他三种类型的MACOS平台恶意软件,分别是采用Swift编写的伪造OTP样本,在恶意软件中嵌入了开源MinaOTP以隐藏其恶意代码,采用Objective-C编写伪装成加密货币交易平台的恶意软件,除此之外,还发现OSX.Casso后门,该后门本身是Lazarus相关的较旧可执行文件的变体,其开始包含反向外壳,但是并没有包含硬编码的持久性LaunchAgent或LaunchDaemon。近期新发现的名为WatchCat的恶意家族,该后门与该组织较早的后门程序存在一些重叠,但是其使用WebShell和crc32表解密配置文件。


4

Tallium组织攻击活动分析

披露时间:2020年07月25日

情报来源:

https://blog.alyac.co.kr/3120


相关信息:

      近日,韩国安全厂商ESTsecurity发现Fake Striker APT活动与黑客组织Tallium有直接关系。微软于2019年12月18日向弗吉尼亚联邦法院提起针对该组织的投诉,并于12月30日在其官方博客上发布了相关信息,揭露该组织的主要攻击目标为政府官员,智囊团研究人员,大学职员,人权团体和成员。据ESRC分析,该组织正伪装成韩国的主要机构或社会官员进行网络攻击。朝鲜叛逃者,朝鲜研究人员和朝鲜人权组织也在其攻击目标中。该组织在韩国进行攻击的典型方法为将恶意代码直接插入韩国常用的hwp和Word(doc)等文档文件中,然后将其直接传递到每个受害者者电子邮件中。通过未授权访问,将正常电子邮件正文中的附件替换为恶意附件,然后重新发送。

每周高级威胁情报解读



攻击行动或事件情报


1

华语黑产组织与境外老牌组织合作分发Ghost木马计划曝光

披露时间:2020年07月30日

情报来源:

https://mp.weixin.qq.com/s/ferNBN0ztRknN84IpPpwgQ


相关信息:

近期,奇安信病毒响应中心在日常跟踪黑产团伙过程中,发现了金眼狗团伙更新了其攻击手法,与国外分发商进行合作,开始向国内企业投递中文垃圾邮件。

恶意宏样本会从远程服务器下载经过魔改的GreenBrowser下载者,执行远程SCT脚本,下载白签名的解压程序去解压挂在七牛云上的压缩包,压缩包主要用于DLL-Sideloading,包含众多模块,内存加载金眼狗特有的RatLoader程序,最终运行Ghost远控与通信模块一起完成远控功能。

我们根据之前金眼狗(GoldenEyeDog)团伙释放的诱饵和文件名给其定性为一个针对博彩行业进行黑吃黑活动的华语黑产团伙,但本次捕获的样本打破了我们对该组织原有的认知,其执行链不亚于一般APT组织,且样本已经开始模块化。免杀长时间处于高水平状态,故我们将其重新定性为一个正在上升期的针对企业及个人的华语犯罪团伙。

每周高级威胁情报解读


2

第三方支付平台付款1元实付1000,这个新骗术坑了不少人!

披露时间:2020年07月27日

情报来源:

https://mp.weixin.qq.com/s/-7qIcUSrznw8qtxWeuEX7g


相关信息:

近日,奇安信病毒响应中心在日常黑产挖掘过程中发现一种利用支付宝支付和微信支付进行诱导诈骗的新型黑产项目,在地下论坛中被称为“暗雷”和“明雷”。实际效果为:表面支付1元实际支付0-5000任意金额。由于“暗雷”和“明雷”在表现形式上有所不同,再结合对应的支付平台,该新型诈骗一共有三种形式:微信明雷、微信暗雷、支付宝暗雷。通过调查发现“微信暗雷”并不存在,圈内用来进行“黑吃黑”,诈骗购买暗雷源码的黑产从业人员。我们会在下面的内容中进行详细的分析,同时我们对这类新型诈骗的市场进行了深入的调研,从源码搭建、售卖到洗钱过程,已形成一条完整的黑产生态链。

与我们在四月份发表的《窥探裸聊诈骗背后黑色产业链的一角》一文中的APK类似,本次披露的新型诈骗使用的APK本身并没有特别明显的恶意行为,只是作为诈骗过程中的一环,支持双端APP(Android,IOS)。杀软一般不会进行报毒,故一旦安装了这些app,就会落入诱导消费的圈套,最终导致财产的损失。

通过奇安信大数据平台监测,目前中文互联网上已经有非常多的群众中招,为防止威胁进一步扩散,病毒响应中心负责任地对相关诈骗手法、技术、以及黑产生态进行披露和分析。

每周高级威胁情报解读


3

Blue Mockingbird组织针对印度服务器得挖矿行动

披露时间:

2020年07月27日

情报来源:

https://www.seqrite.com/blog/blue-mockingbird-threat-group-targets-servers-in-india-for-cryptomining/


相关信息:

      自19年以来,网络犯罪组织正以惊人的速度传播挖矿恶意软件,一般利用公开漏洞对服务器进行攻击,以传播挖矿软件,服务由于其具备挖矿的高性能配置而受到黑客的青睐。

       近期,据Seqrite安全研究人员监测发现,印度有上百万服务器收到挖矿恶意软件的影响,在一些攻击行动中,黑客通过CVE-2019-18935完成初步攻击,进而释放执行Powershell下载器,恶意软件利用多种技术实现持久性,并使用随机名称创建多个计划任务。在过程中使用了COR_PROFILER COM劫持执行恶意DLL。在每台感染服务器上都发现了多个拥有相同哈希,但名称不同的XMR矿工 dll文件。矿工进入网络后,将执行横向移动,以感染网络中的更多机器。经分析,此次攻击活动与Blue Mockingbird存在联系。

每周高级威胁情报解读



恶意代码情报


1

Doki:感染云端Docker的新型恶意软件

披露时间:

2020年07月30日

情报来源:

https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/


相关信息:

       Intezer 研究人员近期捕获了一种新型恶意软件,该恶意软件于2020年1月被上传到VT,但至今仍没有一家杀软检出,Doki利用DynDNS服务和基于Dogecoin加密货币区块链的独特域生成算法(DGA)来实时查找其C2域。Intezer将其命名为Doki。

       Doki是多线程的,并使用embedTLS库进行加密功能和网络通信。执行后,恶意软件将创建一个单独的线程以处理所有C2通信。

该恶意软件首先使用其独特的DGA生成C2域。为了构造C2地址,恶意软件执行以下步骤:

  1. 查询dogechain加密货币区块浏览器dogechain.infoAPI,以获取从攻击者控制的硬编码钱包地址发送(spent)的值。查询格式为:https : //dogechain.info/api/v1/address/sent/{address}

  2.  对sent下返回的值执行SHA256计算

  3.  保存SHA256值的十六进制字符串表示形式的前12个字符,用作子域。

  4. 通过将子域附加到ddns.net来构造完整地址。一个示例域是:6d77335c4f23 [.] ddns[.] net

每周高级威胁情报解读


2

Prometei僵尸网络分析

披露时间:

2020年07月23日

情报来源:

https://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html


相关信息:

       思科Talos团队近期发现了一个新型复杂的攻击活动,该攻击活动采用了多种传播方式传播多模块的僵尸网络以及其他恶意负载,该恶意负载专注于挖掘门罗币以获得经济收益,攻击者通过多种方法在网络中传播此恶意负载,例如SMB,psexec,WMI和SMB漏洞,Talos团队将其命名为Prometei。

       Prometei僵尸网络具有15个以上的可执行模块,这些模块均由主模块下载并驱动,这些主模块通过HTTP持续与命令和控制(C2)服务器进行通信。除了着重在整个环境中传播外,Prometei还尝试获取管理员密码。被获取的密码将发送到C2,然后由其他模块重用,这些模块尝试使用SMB和RDP协议在其他系统上验证密码的有效性。

每周高级威胁情报解读


3

深度分析Dridex银行木马

披露时间:2020年07月28日

情报来源:

https://mp.weixin.qq.com/s/mRUTVML3B3Fuc341rkSYVA


相关信息:

Dridex是目前全球活跃的技术最先进的银行木马之一。该恶意软件的主要目标是从受害者身上窃取银行凭证。Dridex自2014年以来一直存在,并且一直在更新,这些更新帮助恶意软件不断发展并变得越来越强大。

由于黑客组不断的技术改进发展,Dridex当前支持非常先进的功能,例如Atom Bombing注入技术,将Web注入Chrome和Microsoft Word的0day漏洞,这帮助Dridex恶意软件感染了无数机器。

Dridex被归类为GameOverZeuS的演变,它借鉴了该病毒的C&C架构并对其进行了进一步改进,从而使控制服务器很难确定。Dridex银行木马还具有与其他恶意软件CRIDEX和Bugat相似的特征。尽管最新消息Dridex主要依赖漏洞作为攻击媒介,但Dridex还使用垃圾邮件感染受害者的计算机。


每周高级威胁情报解读


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: