新组织Dark Pink利用自定义恶意软件攻击军政实体——每周威胁情报动态第112期（01.06-01.12）

APT攻击

新组织Dark Pink利用自定义恶意软件攻击军政实体

StrongPity利用假冒的Shagle应用程序针对Android用户

COLDRIVER曾攻击美国的3个核研究实验室

Turla使用KOPILUWAK和QUIETCANARY武器针对乌克兰实体

BLINDEAGLE使用新的工具集针对厄瓜多尔

APT-C-26(Lazarus)组织利用加密货币钱包推广信息进行钓鱼攻击

披露BITTER的样本

攻击活动

塞尔维亚政府报告其IT基础设施遭到大规模DDoS攻击

数据泄露

Hive勒索软件团伙泄露了从Consulate Health Care窃取的550GB数据

恶意软件

黑客利用OpenAI-ChatGPT开发恶意软件

APT攻击

新组织Dark Pink利用自定义恶意软件攻击军政实体

近日，Group-IB的安全研究人员披露了新的APT组织Dark Pink针对亚太和欧洲地区的政府和军事组织的攻击活动。该活动始于鱼叉式钓鱼邮件，其使用的自定义工具包可用于窃取信息并通过USB设备传播。攻击者还通过DLL侧加载和事件触发的方法，在被感染的系统上运行其payload。此次攻击的核心动机是从事间谍活动，旨在从受害目标的设备和网络中窃取文件、麦克风音频和messenger数据。Group-IB的研究人员称该组织在2022年6月12日已发起至少7次成功的攻击。攻击时间以及受影响的地区和行业如下图所示。

来源：

https://www.group-ib.com/media-center/press-releases/dark-pink-apt/

StrongPity利用假冒的Shagle应用程序针对Android用户

近日，ESET的研究人员披露了具有土耳其背景的APT组织StrongPity的新一轮攻击活动。该活动自2021年11月开始活跃，通过一个冒充Shagle的网站分发恶意应用程序。Shagle是一个合法的随机视频聊天平台，但它并没有移动端应用程序。恶意应用是一个名为video.apk的APK文件，这是合法Telegram应用的木马化版本，使用了StrongPity后门代码重新打包来冒充Shagle移动应用。安装后，此应用可进行多种间谍活动，包括监控电话、收集短信和获取联系人列表。此外，如果受害者授予恶意StrongPity应用程序可访问性服务权限，其也将有权访问传入通知，并能够从Viber、Skype、Gmail、Messenger和Tinder等17个应用程序中窃取消息。

来源：

https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/

COLDRIVER曾攻击美国的3个核研究实验室

根据路透社1月7日报道，具有俄罗斯背景的APT组织COLDRIVER曾攻击了美国的3个核研究实验室BNL、Argonne和LLNL。攻击发生在2022年8月至9月，该组织使用了钓鱼攻击，为每个实验室创建了虚假的登录页面，同时向实验室的核科学家发送电子邮件以诱使他们泄露自己的登录密码。研究人员无法确定攻击者为何针对这三个实验室，以及他们的攻击是否成功。早在2020年12月，一群俄罗斯黑客也曾被指控攻击包括美国核能机构在内的40个组织。

来源：

https://www.reuters.com/world/europe/russian-hackers-targeted-us-nuclear-scientists-2023-01-06/

Turla使用KOPILUWAK和QUIETCANARY武器针对乌克兰实体

近日，Mandiant的研究人员称，在最近一次针对乌克兰的攻击中，发现了具有俄罗斯背景的APT组织Turla利用了其他黑客组织遗留的Andromeda恶意软件。Andromeda也被称为Wauchos或Gamarue，至少从2011年9月开始活跃，可将受感染的机器加入到僵尸网络中，已被广泛用于凭据窃取和恶意软件传播等攻击活动。自2022年2月俄乌冲突以来，研究人员多次发现Turla组织与一系列针对乌克兰的钓鱼式凭据窃取攻击和网络侦察活动有关。根据研究人员分析，本次攻击活动于2022年9月进行，但遭遇攻击的乌克兰组织此前于2021年12月便被其它攻击者通过受感染的USB驱动器植入了Andromeda恶意软件。Turla近期再次利用该恶意软件分发侦察工具KOPILUWAK和后门木马QUIETCANARY。此外，研究人员还发现，至少有三个过期的Andromeda的C2域已被Turla重新注册并继续用于监控受害者。攻击链图如下图所示。

来源：

https://www.mandiant.com/resources/blog/turla-galaxy-opportunity

BLINDEAGLE使用新的工具集针对厄瓜多尔

近期，Check Point的研究人员发布了关于APT组织BLINDEAGLE（盲眼鹰）攻击厄瓜多尔和哥伦比亚的分析报告。根据分析报告，该组织在最近针对厄瓜多尔的活动中采用了新的技术，并且利用了更先进的工具集。经分析，BLINDEAGLE在本次活动中利用地理过滤器服务器，将厄瓜多尔和哥伦比亚以外的请求重定向到厄瓜多尔国税局的官方网站。但如果受害者从哥伦比亚或厄瓜多尔发起请求，其将从合法的文件共享服务Mediafir处下载恶意可执行文件。该文件使用LHA 算法压缩，且基于.Net编写并打包。文件解压后，将启动一个定制版本的QuasarRAT。QuasarRAT是一种开源的远程访问木马，该组织主要利用其截获受害者对银行账户的访问凭据。

来源：

https://research.checkpoint.com/2023/blindeagle-targeting-ecuador-with-sharpened-tools/

APT-C-26(Lazarus)组织利用加密货币钱包推广信息进行钓鱼攻击

近日，360威胁情报中心的安全研究人员监测到一起疑似具有朝鲜背景的APT组织APT-C-26（Lazarus）以加密货币钱包推广信息为主题投递恶意ISO文件的攻击事件。攻击者在ISO文件内打包了一个恶意快捷方式（.lnk）文件，当受害者打开该快捷方式文件时会调用powershell.exe进程从自身文件中查找数据释放3个文件（诱饵PDF、加载器DLL、密文文件），并执行其中的恶意DLL文件。DLL加载器会解密和释放出最终的后门程序。，根据研究人员分析，发现该后门程序与此前披露的NukeSped家族后门一样，习惯使用硬编码存储C&C服务器地址和端口信息，并且习惯在代码中引用随机数，同时其标志性的后门指令也与NukeSped家族后门高度相似。因此，研究人员怀疑该后门程序为Lazarus组织的NukeSped家族后门的变种。攻击链图如下图所示。

来源：

https://mp.weixin.qq.com/s/W4hkBRJnwN1G32QCpaNNoA

披露BITTER的样本

近日，研究人员披露了BITTER组织的恶意样本，IOC信息如下所示：

FileName：Forensic Evidence on Crime Scene.rar、Forensic Evidence on Crime Scene.chm

MD5：b58c0c9a7c0775518573f4538be096e9、ee77f32d0932037760742b70dc2ec725

Domain：ellearningstore.com

来源：

https://twitter.com/h2jazi/status/1612469404993732610

攻击活动

塞尔维亚政府报告其IT基础设施遭到大规模DDoS攻击

近日，塞尔维亚政府宣布，其内务部的网站和IT基础设施遭到了几次大规模分布式拒绝服务(DDoS)攻击。贝尔格莱德表示:“到目前为止，已经击退了5次旨在使内政部IT基础设施瘫痪的大型攻击，政府雇员和塞尔维亚电信的员工能够反击这些攻击。”塞尔维亚政府补充说:“增强的安全协议已经启动，这可能会导致工作速度变慢，某些服务偶尔会中断，这一切都是为了保护内务部的数据。”DDoS攻击的原理是使用海量垃圾流量淹没目标网站，使其无法被正常用户访问。

来源：

https://therecord.media/serbian-government-reports-massive-ddos-attack-amid-heightened-tensions-in-balkans/

数据泄露

Hive勒索软件团伙泄露了从Consulate Health Care窃取的550GB数据

Consulate Health Care是一家领先的高级医疗保健服务提供商，专门从事急性病后期护理。Hive勒索软件团伙本周将该公司添加到其Tor泄露网站，威胁要公布被盗数据。该团伙最初泄露了被盗数据样本作为攻击的证据，它声称窃取了合同、NDA和其他协议文件、公司私人信息(预算、计划、评估、收入周期、投资者关系、公司结构等)、员工信息(社会保险号、电子邮件、地址、电话号码、照片、保险信息、付款等)和客户信息(医疗记录、信用卡、电子邮件、社会保险号、电话号码、保险等)。受害者在其网站上发布的一则通知中也证实了这次勒索攻击事件。

来源：

https://securityaffairs.com/140452/cyber-crime/consulate-health-care-hive-ransomware.html

恶意软件

黑客利用OpenAI-ChatGPT开发恶意软件

ChatGPT应用程序自2022年11月底推出以来一直很受欢迎，因此网络犯罪分子自然就盯上了它。据报告，黑客正在使用ChatGPT开发强大的黑客工具，并创建新的聊天机器人，旨在模仿年轻女孩来吸引目标。ChatGPT还可以编写其他类型的恶意软件，这些软件可以监视用户的键盘输入并创建勒索软件。ChatGPT由OpenAI开发，作为其LLM(大型语言模型)的接口。然而，网络犯罪分子已经找到了一种方法，使其成为网络世界的威胁，因为它的代码生成能力可以很容易地帮助攻击者发动网络攻击。另一方面，Hold Security的创始人表示，他观察到骗子利用ChatGPT创建了令人信服的人物角色，通过冒充年轻女孩以获得信任，并与受害目标进行了长时间的对话。

来源：

https://www.hackread.com/hackers-openai-chatgpt-malware/

往期推荐

研究人员披露BlueNoroff组织绕过MoTW的新方法——每周威胁情报动态第110期（12.23-12.29）

Gamaredon APT针对北约某国的大型炼油厂——每周威胁情报动态第109期（12.16-12.22）

MuddyWater使用远程管理工具Syncro开展攻击——每周威胁情报动态第108期（12.09-12.15）

APT37利用IE浏览器0Day漏洞开展攻击——每周威胁情报动态第107期（12.02-12.08）

原文始发于微信公众号（白泽安全实验室）：新组织Dark Pink利用自定义恶意软件攻击军政实体——每周威胁情报动态第112期（01.06-01.12）