攻击团伙情报
-
双尾蝎APT组织近期针对多平台的攻击活动分析
-
蔓灵花APT组织利用恶意CHM文档针对国内研究机构的攻击活动分析
-
响尾蛇APT组织利用WebSocket隧道的新型攻击活动披露
-
Seedworm持续性针对中东电信组织
攻击行动或事件情报
-
新型后门WinClouds Rat通过网络安全主题诱饵传播
-
EarthKitsune水坑攻击活动,利用SLUB后门和浏览器漏洞
恶意代码情报
-
伪冒国内银行的新窃取木马“BYL”
-
间谍软件GravityRAT重返,扩展多平台攻击能力
-
Mirai僵尸网络新变种Katana,每日感染数百台设备
-
T-RAT2.0可通过Telegram手机应用进行操控
漏洞相关情报
-
CVE-2020-16922:针对Windows CAT文件数字证书的欺骗漏洞
-
Discord桌面应用程序漏洞可致远程代码执行攻击
-
Adobe发布修复10种产品中漏洞的安全更新
攻击团伙情报
1
双尾蝎APT组织近期针对多平台的攻击活动分析
披露时间:2020年10月19日
情报来源:https://mp.weixin.qq.com/s/yobOH_jdKx69m4_i1qDrLA
相关信息:
双尾蝎(APT-C-23)是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露,至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织,有计划,有针对性的攻击,该组织拥有针对Windows和Android双平台攻击能力。
近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多起攻击样本,此次捕获的样本涉及Windows和Android平台,Windows平台样本主要通过伪装成简历文档等诱饵的可执行文件进行初始攻击,此类样本运行后,将会释放展示正常的诱饵以迷惑受害者,同时后门将继续在后台运行以窃取受害者计算机敏感信息,样本具有截屏、下载执行、文件上传、远程shell功能。
Android平台样本继续保持了双尾蝎组织一贯的风格,通过伪装为聊天软件诱导受害者下载安装使用,为了使样本更具真实性,攻击者还特意制作了官网进行恶意APP分发,同时,据国外安全厂商报道,双尾蝎组织还制作了安卓应用市场以分发其恶意软件。
2
蔓灵花APT组织利用恶意CHM文档针对国内研究机构的攻击活动分析
披露时间:2020年10月22日
情报来源:https://mp.weixin.qq.com/s/9O4nZV-LNHuBy2ihg2XeIw
相关信息:
奇安信安全能力中心捕获到针对特定单位群体展开的定向攻击活动,通过分析发现其为“蔓灵花”APT组织。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”。
蔓灵花(BITTER)APT组织是一个长期针对亚洲地区进行攻击活动的APT组织。主要针对目标区域的政府、军工业、电力、核工业等单位进行攻击,试图窃取敏感数据。
该组织主要采用鱼叉钓鱼的方式,对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件。本次攻击行动中使用的诱饵为rar压缩包,而压缩包里携带恶意的chm文档。主要攻击模块包含诱饵文档、msapp执行cmd命令、msixxxx.tmp下载程序:由msiexec下载执行,结合白程序实现命令执行、dlhost窃密模块:窃取资料,将收集到的数据上传到C2服务器、msas远控模块:主要功能为上传用户数据并接收C2指令执行、msass下载程序:上传用户数据,根据c2返回的控制指令下载执行后续攻击模块。
3
响尾蛇APT组织利用WebSocket隧道的新型攻击活动披露
披露时间:2020年10月19日
情报来源:https://mp.weixin.qq.com/s/fc-dDQ3aSd448qqLXwYgbQ
相关信息:
相关攻击第一阶段的恶意荷载主要利用DotNetToJScript技术,以JavaScript恶意脚本为载体,在内存中执行.NET Assembly形式的恶意功能组件,以无文件攻击的方式躲避安全软件的查杀。
第二阶段的后门程序会通过C&C下载各类攻击组件,其中核心的攻击动作是在失陷机器上利用WebSocket隧道建立反向的Socks5代理,操作各种后门和攻击组件进行渗透攻击。由于WebSocket隧道属于加密流量,部分流量安全设备很难识别异常情况。
发现的三个不同功能的恶意组件,被命名为TunnelCore、FileRAT和ShellRAT。TunnelCore利用WebSocket隧道建立Socks5代理进行,为其他组件提供内网穿透通道。FileRat会建立本地HTTP服务器,监听本地12380端口,提供多种文件操作功能。ShellRat会建立本地TCP服务器,监听本地12323端口,提供远程Shell功能。
4
Seedworm持续性针对中东电信组织
披露时间:2020年10月21日
情报来源:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/seedworm-apt-iran-middle-east
相关信息:
活动期间,攻击者执行凭证窃取活动,并使用称为Secure Sockets Funneling(SSF)和Chisel的开源工具来建立通往其自身基础结构的隧道,使攻击者可以配置本地和远程端口转发,以及将文件复制到受感染的计算机,进行横向移动。
攻击行动或事件情报
1
新型后门WinCloudsRat通过网络安全主题诱饵传播
披露时间:2020年10月15日
情报来源:https://mp.weixin.qq.com/s/LrPYzZjyC6gW474pjvGmjw
相关信息:
WinClouds Rat通过恶意宏文档或者带有漏洞的RTF文档进行投递,且诱饵内容与流行商贸信类型,启用宏后会弹出Data Format Error的提示框来迷惑用户。宏代码主要功能为创建任务计划,定时调用msiexec执行远程Msi程序,命令行经过了‘^’字符的随机混淆。
经过关联,研究人员还发现了伪装成网络安全预防措施的诱饵文档:带有CVE-2017-11882漏洞的RTF文件使用了巴基斯坦移动运营商相关的文件名Ufone Report.rtf(Ufone是巴基斯坦移动运营商Pak Telecom Mobile Limited的缩写)。执行的命令行同样被‘^’字符随机混淆。
2
Earth Kitsune水坑攻击活动,利用SLUB后门和浏览器漏洞
披露时间:2020年10月19日
情报来源:https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-earth-kitsune-tracking-slub-s-current-operations/
相关信息:
研究人员发现多个攻击活动实例利用SLUB后门传播新恶意软件dneSpy和agfSpy,旨在渗漏信息并控制受感染系统,同时利用了新漏洞CVE-2016-0189、CVE-2019-1458、CVE-2020-0674和CVE-2019-5782,这些漏洞与另一个Chrome漏洞相关联,该漏洞没有分配CVE。
恶意代码情报
1
伪冒国内银行的新窃取木马“BYL”
披露时间:2020年10月20日
情报来源:https://mp.weixin.qq.com/s/_hpT88ebkEHNuJBu80MFLw
相关信息:
奇安信威胁情报中心移动安全团队近期关注到国外开源情报揭露了一款伪冒国内银行应用的的信息窃取木马,通过分析发现,自2020年7月13号开始,该家族共伪冒国内4家银行。
样本启动后弹出请求权限访问并窃取手机通知消息,通过钓鱼页面窃取用户银行APP登陆凭证、姓名、身份证号、银行卡号、支付密码、验证码。
根据奇安信威胁情报中心大数据统计,该样本7月至10月中旬在国内感染范围31个省份直辖市,感染总设备多至2000台左右,其中山东11.5%、上海6.9%、四川6.7%为全国感染量最多的三个省级地区。
2
间谍软件GravityRAT重返,扩展多平台攻击能力
披露时间:2020年10月19日
情报来源:https://securelist.com/gravityrat-the-spy-returns/99097/
相关信息:
卡巴斯基研究人员发现一个与GravityRAT相关的安卓间谍软件。攻击者在Travel Mate添加了一个间谍模块,并将名称更改为Travel Mate Pro。
Travel Mate是一个面向印度旅客的Android应用程序,其源代码可在Github上获得。间谍软件将设备数据,联系人列表,电子邮件地址以及呼叫和文本日志发送到C&C服务器。木马会搜索设备内存中的文件以及相关媒体上的扩展名为.jpg、.jpeg、.log、.png、.txt、.pdf、.xml、.doc、.xls、.xlsx、.ppt、.pptx、.docx和.opus的文件,并将这些文件发送给C&C。
通过C&C和证书的关联,研究人员还发现了Enigma和Titanium有效负载。除此外,研究人员还发现了GravityRAT的各种新版本,包括Android以及基于Electron框架的Windows和Mac的多平台版本。用于分发新版本GravityRAT的站点都隐藏在在Cloudflare之后,以隐藏其真实IP。
3
Mirai僵尸网络新变种Katana,每日感染数百台设备
披露时间:2020年10月20日
情报来源:https://prod-blog.avira.com/katana-a-new-variant-of-the-mirai-botnet
相关信息:
Avira的物联网研究团队最近确定了Mirai僵尸网络的新变种Katana。该僵尸网络还在开发中,并且每天都在感染数百台设备。其目前已经拥有了7层DDoS模块、针对每个源使用不同的加密密钥、快速自我复制能力和安全C&C。其保留了Mirai的一些功能,例如运行单个实例、随机进程名称、操纵看门狗以防止设备重新启动,以及DDoS命令。与Mirai一样,这个新的僵尸网络通过远程代码执行/命令注入漏洞针对GPON和LinkSys等家用路由器。
4
T-RAT2.0可通过Telegram手机应用进行操控
披露时间:2020年10月21日
情报来源:https://www.gdatasoftware.com/blog/trat-control-via-smartphone
相关信息:
攻击方式:感染的第一个已知阶段是下载器,从C&C服务器获取加密的文件并将其保存到%TEMP%。下载程序将解密有效负载,生成一个ZIP文件,同时删除加密文件。压缩包包含实际的T-RAT可执行文件sihost.exe,以及RAT需要的几个DLL。下载器通过设置日常任务来保持木马程序的持久性。攻击者使用基于文本的命令和RAT提供的命令按钮,通过Telegram控制T-RAT。命令使用英语,帮助消息大多为俄语。T-RAT有98条命令。
漏洞相关情报
1
CVE-2020-16922:针对WindowsCAT文件数字证书的欺骗漏洞
披露时间:2020年10月16日
情报来源:https://mp.weixin.qq.com/s/_5wF8Sja4xz0Fee1GoA3vw
相关信息:
在微软发布的10月份的漏洞风险通告中包含一个奇安信红雨滴团队独立提交的数字证书欺骗漏洞,该漏洞编号为CVE-2020-16922。攻击者若成功利用此漏洞可以绕过Windows数字签名安全验证并加载执行未正确签名的恶意文件。而在真实攻击情形中,攻击者利用该漏洞可能会绕过防止加载未正确签名文件的安全软件(如杀毒软件等)。
2
Discord桌面应用程序漏洞可致远程代码执行攻击
披露时间:2020年10月17日
情报来源:https://mksben.l0.cm/2020/10/discord-desktop-rce.html
相关信息:
3
Adobe发布修复10种产品中漏洞的安全更新
披露时间:2020年10月20日
情报来源:https://www.securityweek.com/adobe-releases-security-updates-10-products
相关信息:
Adobe发布其10种产品的安全更新,共修复了20个漏洞。
受影响产品包括Adobe Illustrator、Dreamweaver、Marketo、Animate、After Effects、Photoshop、Premiere Pro、Media Encoder、InDesign、Creative Cloud桌面应用程序。
本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2020.10.15~10.22)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论