攻击团伙情报
-
美国大选下的APT攻击:Kimsuky以选举结果预测为诱饵的攻击活动分析
-
APT-C-41组织首次针对中国重要机构定向攻击活动披露
-
美人鱼APT组织使用最新Foudre后门的攻击活动分析
-
肚脑虫组织新恶意软件Firestarter,滥用Google FCM进行通信
-
APT-C-35疑似针对巴基斯坦军事人员的最新攻击活动
-
黑客组织Kimsuky新工具KGH分析
攻击行动或事件情报
-
UNC1878使用KEGTAP和SINGLEMALT传播RYUK
-
UNC1945通过自定义QEMU虚拟机访问C2服务器
-
BadTidings钓鱼活动针对沙特阿拉伯政府
恶意代码情报
-
Emotet以万圣节主题邮件传播,利用Qakbot进行二次感染
-
z0Miner挖矿木马利用Weblogic最新漏洞入侵
-
可感染机器学习模型的无触发器后门
-
挖矿木马CPLMiner利用WMI持久驻留
漏洞相关情报
-
Microsoftcng.sys权限提升漏洞(CVE-2020-17087)被在野0day利用通告
攻击团伙情报
1
美国大选下的APT攻击:Kimsuky以选举结果预测为诱饵的攻击活动分析
披露时间:2020年11月04日
情报来源:https://mp.weixin.qq.com/s/RYMI-zMRuZwWQx4zegBZPQ
相关信息:
Kimsuky,别名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。疑似具有东北亚背景,主要针对韩国,俄罗斯进行攻击活动,最早由卡巴斯基披露。韩国安全公司认为其与Group123存在部分重叠。
2
APT-C-41组织首次针对中国重要机构定向攻击活动披露
披露时间:2020年10月29日
情报来源:https://mp.weixin.qq.com/s/5No0TR4ECVPp_Xv4joXEBg
相关信息:
360最近监测到蓝色魔眼(APT-C-41)组织在2020年1月首次针对中国进行了攻击活动,并捕获到了该组织最新V4版本的攻击组件。
蓝色魔眼(APT-C-41),又被称为Promethium、StrongPity,最早攻击活动可追溯到2012年,主要针对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家进行攻击活动。
3
美人鱼APT组织使用最新Foudre后门的攻击活动分析
披露时间:2020年11月03日
情报来源:https://www.anquanke.com/post/id/221399
相关信息:
美人鱼(又称infy,Prince of Persia,Foudre)APT组织主要针对政府机构进行攻击活动。该组织背后的来源为中东地区。
研究人员发现,在最近的攻击活动中,其使用了带有恶意宏的文档并且使用了新版本的Foudre后门(第21版本与第22版本)。后门更新了一些操作,保留了相关的域生成算法,部分C2的请求参数具有一定的重合度。
4
肚脑虫组织新恶意软件Firestarter,滥用Google FCM进行通信
披露时间:2020年10月29日
情报来源:https://blog.talosintelligence.com/2020/10/donot-firestarter.html
相关信息:
Talosintelligence发现肚脑虫组织开始使用新的恶意软件加载器Firestarter进行活动。
该恶意软件使用Google Firebase CloudMessaging作为通信渠道,该通信通道经过加密,并且隐藏在安卓操作系统与Google基础架构的其他通信中。即便删除了C2,攻击者也能使用Google基础架构将恶意软件重定向到另一个C2。
攻击者通过直接发送消息诱使受害者安装伪装成应用程序的恶意软件,首次与C2通信时会发送受害者身份和地理位置信息,当恶意软件收到来自Google FMC的消息时,会检查是否包含一个名为“link”的密钥。如果存在,它将检查是否以“https”开始,如果检出,将使用该链接从托管服务器下载有效负载。一旦有效负载在受害设备上,加载器将加载类并启动恶意服务。如果设备重新启动,加载程序将自动检查设备上是否存在有效负载,如果存在,则加载它。
5
APT-C-35疑似针对巴基斯坦军事人员的最新攻击活动
披露时间:2020年10月30日
情报来源:https://blogs.360.cn/post/APT-C-35_target_at_armed_forces_in_Pakistan.html
相关信息:
肚脑虫组织(APT-C-35),又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。该组织具备针对Windows与Android双平台的攻击能力。
近期,360发现该组织攻击样本与早期样本存在明显的变化,此次活动中的攻击样本中字符串使用了Base64进行编码从而实现静态规则免杀,并且开始使用流行的网络通信框架retrofit2实现网络通信,使用Google提供的FireBase下发最新的CC。
6
黑客组织Kimsuky新工具KGH分析
披露时间:2020年11月02日
情报来源:https://www.cybereason.com/blog/back-to-the-future-inside-the-kimsuky-kgh-spyware-suite
相关信息:
Cybereason Nocturnus研究人员发现了一个模块化间谍软件套件KGH_SPY,归因于黑客组织Kimsuky。
KGH_SPY主要功能包括侦察,键盘记录,信息窃取和后门功能。CSPY Downloader是旨在逃避分析并下载其他有效负载的工具。该套件的基础架构与Kimsuky曾经使用过的BabyShark重叠,该恶意软件曾用于定向攻击美国的智库。
攻击行动或事件情报
1
UNC1878使用KEGTAP和SINGLEMALT传播RYUK
披露时间:2020年10月28日
情报来源:https://www.fireeye.com/blog/threat-research/2020/10/kegtap-and-singlemalt-with-a-ransomware-chaser.html
相关信息:
Mandiant追踪了黑客组织UNC1878的攻击活动,这是一个出于经济动机的攻击者,它通过部署RYUK勒索软件来获利。
攻击方式:利用恶意邮件分发恶意程序KEGTAP,SINGLEMALT和WINEKEY。一旦在受害者主机上执行了装载程序和后门程序,攻击者便使用该初始后门程序下载POWERTRICK和Cobalt Strike BEACON有效载荷来建立立足点。
值得注意的是,在攻击活动中,相应的下载器和后门以及POWERTRICK通常已安装在少量主机上,这表明这些有效载荷可能被保留用于执行初始网络和主机侦察。
2
UNC1945通过自定义QEMU虚拟机访问C2服务器
披露时间:2020年11月02日
情报来源:https://www.fireeye.com/blog/threat-research/2020/11/live-off-the-land-an-overview-of-unc1945.html
相关信息:
Mandiant观察到一个黑客团体UNC1945破坏了托管服务提供商,并通过利用第三方网络的访问来针对金融和专业咨询行业内的一组特定目标。其针对Oracle Solaris操作系统,安装SLAPSTICK后门在服务器上建立立足点,收集详细信息和凭据。
UNC1945在多个主机上放置了自定义QEMU虚拟机(VM),该虚拟机通过启动‘start.sh’脚本在Linux系统中执行。
脚本包含TCP转发设置,攻击者可以结合SSH隧道使用TCP转发设置,以从VM直接访问命令和控制服务器,从而混淆与客户基础结构的交互。VM包含许多工具,如网络扫描器、漏洞利用和侦察工具。Linux预装的小核心工具包括Mimikatz,Powersploit,Responder,Procdump,CrackMapExec,PoshC2,Medusa,JBoss漏洞扫描器等等。
3
Bad Tidings钓鱼活动针对沙特阿拉伯政府
披露时间:2020年10月28日
情报来源:https://www.riskiq.com/blog/external-threat-management/domain-impersonation-saudi-ministries/
相关信息:
RiskIQ研究人员发现了模拟沙特阿拉伯政府网站的可疑域名,通过对域基础架构的分析,发现其似乎是Bad Tidings活动的后续活动,并且自2019年中期以来一直在进行。Bad Tidings是之前报告针对沙特阿拉伯政府的网络钓鱼活动。
恶意代码情报
1
Emotet以万圣节主题邮件传播,利用Qakbot进行二次感染
披露时间:2020年10月30日
情报来源:https://isc.sans.edu/forums/diary/Emotet+Qakbot+more+Emotet/26750/
相关信息:
2
z0Miner挖矿木马利用Weblogic最新漏洞入侵
披露时间:2020年11月03日
情报来源:https://s.tencent.com/research/report/1170.html
相关信息:
腾讯最近发现挖矿木马z0Miner团伙利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的攻击行动。
该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器,发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行,再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化,以及通过爆破SSH横向移动。
根据该团伙控制的算力推算,已有大约5000台服务器受害。Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)10月21日才被官方公布,有许多企业未来得及修复,同时该漏洞的补丁存在被绕过的风险。
3
可感染机器学习模型的无触发器后门
披露时间:2020年11月02日
情报来源:https://portswigger.net/daily-swig/triggerless-backdoors-can-infect-machine-learning-models-without-leaving-a-trace-research
相关信息:
近日,CISPA研究人员发现,攻击者无需使用可见的触发器也可以导致人工智能系统行为异常。这种新型的攻击方式绕过了当前部署的大多数防御方法。
4
挖矿木马CPLMiner利用WMI持久驻留
披露时间:2020年11月02日
情报来源:https://mp.weixin.qq.com/s/HK73Okg4gnXx7KRjXBtcpg
相关信息:
近日,深信服安全团队捕获到一款国产挖矿木马,该挖矿木马使用恶意WMI在系统中进行驻留,不断下载恶意挖矿cpl文件;cpl文件又叫控制面板项,文件本质是Windows可执行性文件,但不属于可以直接独立运行的文件,类似于dll文件需要通过可执行文件调用。
漏洞相关情报
1
Microsoft cng.sys权限提升漏洞(CVE-2020-17087)被在野0day利用通告
披露时间:2020年11月01日
情报来源:https://mp.weixin.qq.com/s/xKX-E9M5k_KX323K0zpEJw
相关信息:
2020年10月20日,Google安全研究员披露了一次使用Chrome 0day漏洞(CVE-2020-15999)的攻击事件。目前该次攻击背后的团伙情况未知,相关漏洞为ChromeFreeType字体渲染时的一处内存破坏漏洞。攻击过程中为了绕过Chrome沙箱,攻击者还使用了一个Windows系统的提权漏洞。
2020年10月31日,由于该Winodws提权漏洞超过了Google要求7天内修补在野0day漏洞的期限,GoogleProgect Zero团队将该漏洞的技术细节和验证POC公开。该漏洞为Windows中cng.sys驱动中的一处整数溢出,由于该驱动导出了名为DeviceCNG的设备链接,导致攻击者可以在用户态通过IOCTL 0x390400发送对应的畸形数据,造成整数溢出。
本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2020.10.29~11.05)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论