APT攻击
APT28针对乌克兰组织的Roundcube邮件服务器开展攻击
Shuckworm通过USB分发后门Pterodo针对乌克兰实体
DoNot在Google Play商店中部署Android间谍软件针对巴基斯坦个人用户
APT37借助Ably服务开展间谍活动
Lazarus组织利用虚假的ComcastVNC软件开展钓鱼活动
披露Lazarus Group的样本
银行木马Anatsa针对欧美国家的攻击活动
漏洞情报
僵尸网络Condi通过TP-Link漏洞CVE-2023-1389传播
Reddit发生数据泄露,80GB数据被窃取并被勒索赎金
iOttie被黑客入侵后发生数据泄露
美国航空和西南航空披露影响飞行员的数据泄露事件
美国陆军人员中出现疑似携带恶意软件的智能手表
隐蔽型窃取者恶意软件Mystic Stealer分析
伪装成游戏安装程序的SupremeBot恶意软件分析
勒索软件
智利军队遭遇新型勒索软件Rhysida的攻击
APT攻击
APT28针对乌克兰组织的Roundcube邮件服务器开展攻击
近期,据媒体报道:乌克兰CERT-UA(国家应急响应中心)和Recorded Future的研究人员通过联合调查显示,APT28入侵了多个乌克兰组织的Roundcube邮件服务器。在本次攻击活动中,攻击者以“俄乌冲突”相关的新闻为诱饵发送恶意邮件,这些邮件将利用Roundcube Webmail漏洞(CVE-2021-44026等)入侵受害者的未打补丁的服务器。然后,攻击者会安装恶意脚本,将受害者接收的邮件重定向到攻击者的地址。此外,攻击者还会窃取地址簿、会话cookie以及存储在Roundcube数据库中的其它信息。据估计,APT28在这些攻击中使用的基础设施大约自2021年11月起就开始运行。攻击链图如下图所示。
来源:
https://cert.gov.ua/article/4905829
https://www.recordedfuture.com/bluedelta-exploits-ukrainian-government-roundcube-mail-servers
Shuckworm通过USB分发后门Pterodo针对乌克兰实体
近日,Symantec发布报告称具有俄罗斯背景的APT组织“Shuckworm“(也称Aqua Blizzard、UNC530)持续对乌克兰实体发动网络攻击,试图从受感染的环境中窃取敏感信息。该组织通常实施鱼叉式网络钓鱼活动,旨在诱使受害者打开带有恶意附件的电子邮件,进而在受害者主机上部署信息窃取程序,如Giddome、Pterodo、GammaLoad和GammaSteel。据发布的报告显示,在其最新的一轮攻击中,Shuckworm 使用了新的PowerShell脚本以通过USB驱动器最终植入Pterodo后门。此外,报告中还显示,Shuckworm组织近期入侵的时间似乎开始于2023年2月或3月,目标包括乌克兰的安全部门、军队和政府组织。并且在某些情况下,该组织成功地进行了长时间的入侵,持续时间长达三个月之久。在此过程中,攻击者多次试图访问和窃取敏感信息,例如:有关乌克兰军人死亡的报告、敌人交战和空袭的报告、军火库库存报告、训练报告等。此外,有迹象表明Shuckworm着力攻击人力资源部门的机器,这表明该组织会优先窃取个人信息。
来源:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-russia-ukraine-military
DoNot在Google Play商店中部署Android间谍软件针对巴基斯坦个人用户
近日,Cyfirma的研究人员发现有攻击者正使用Google Play上的三个Android应用程序从目标设备中收集情报。通过进一步调查显示,三个 Android 应用程序,名称分别为Device Basic Plus、nSure Chat和iKHfaa VPN,其中两个应用程序具有恶意特征,即nSure Chat和iKHfaa VPN。并且三款应用均从“SecurITY Industry”上传。其中,两个可疑的应用程序将在安装期间请求风险权限,例如:访问用户的联系人列表(READ_CONTACTS)和精确位置数据(ACCESS_FINE_LOCATION),接着使用Android的ROOM库将收集到的数据存储在本地,最后再通过HTTP请求将信息发送至攻击者的C2服务器。此外,研究人员表示,攻击者目前主要针对巴基斯坦地区的个人。经溯源分析,Cyfirma将此活动归因于具有印度背景的APT组织DoNot,原因如下:1)攻击者使用了与DoNot组织相同的技术,即使用了AES/CBC/PKCS5PADDING算法的加密字符串,并且代码同样经Proguard混淆;2)恶意应用程序生成的某些文件名与DoNot组织过去的活动存在关联。
来源:
https://www.cyfirma.com/outofband/donot-apt-elevates-its-tactics-by-deploying-malicious-android-apps-on-google-play-store/
APT37借助Ably服务开展间谍活动
近日,ASEC的研究人员披露了具有朝鲜背景的APT组织——APT37,使用了一个新型信息窃取恶意软件和一个利用了Ably服务的后门开展的间谍活动。在最近的一次入侵中,研究人员表示,APT37会分发一个带有Microsoft编译的HTML帮助文件(.CHM)的钓鱼邮件,附件内容与在2023年3月份发布的报告中披露的样本策略类似。一旦受害者点击了恶意附件,就会连接远程服务器并下载PowerShell恶意脚本。该恶意脚本会使用自动运行注册表项来保持持久性,并且包含一个名为AblyGo(又名SidLevel)的后门。该后门基于Golang开发,可利用Ably API服务建立C2通信。此外,攻击者还利用AblyGo后门和PowerShell脚本最终以无文件形式执行 FadeStealer信息窃取恶意软件。其中,FadeStealer能够从Windows设备中窃取各种信息,具有截取屏幕快照、收集来自可移动媒体和智能手机的数据、键盘记录、录制麦克风等功能。攻击链图如下图所示。
来源:
https://asec.ahnlab.com/en/54349/
https://asec.ahnlab.com/en/49760/
Lazarus组织利用虚假的ComcastVNC软件开展钓鱼活动
近日,360的研究人员披露了具有朝鲜背景的APT组织,Lazaru Group正利用伪造的ComcastVNC恶意软件开展的钓鱼活动。研究人员表示,本次钓鱼活动涉及的初始攻击样本为一个压缩文件,其内部包含ISO文件,疑似由攻击者利用社会工程学策略通过社交软件投递。经调查,ISO文件内部包含三个文件,分别为可执行程序“ComcastVNC.exe”(实际上为白文件choice.exe),以及名为“version.dll”和“portable.dat”的恶意文件。当受害者执行白文件“ComcastVNC.exe”后便会侧加载version.dll。version.dll接着将继续读取portable.dat文件数据并将其作为shellcode。其中,注入的shellcode载荷是公开可用的sRDI项目,其作用为执行内存中的嵌入的有效载荷:BlindingCan。BlindingCan也称为AIRDRY,是一个功能齐全的HTTP(S)后门,其在本次活动中表现为一个经VMProtect保护的64位的DLL,最终目的是窃取用户信息。攻击链图如下图所示。
来源:
https://mp.weixin.qq.com/s/MLkYHLzKaMYGCF4Czw0Vag
披露Lazarus Group的样本
近日,研究人员披露了Lazarus Group组织的恶意样本,IOC信息如下所示。
Filename:Two Sigma Introduction (Blockchain).zip、Password.txt.lnk
MD5:cd2c5db28f74abf8c2e058643d41e6c8、65ed0c04a2f2afe9e241ecdc9559c65
URL:https://arm.texchi.xyz/OctpfpplSmd/kB7XqC07xt/pvsON52yWS/CLpIorS_6Y/aXbgXY=
来源:
https://twitter.com/stopmalvertisin/status/1673917929262579712
攻击活动
银行木马Anatsa针对欧美国家的攻击活动
近日,ThreatFabric的研究人员披露了银行木马Anatsa已经持续数月的新一轮攻击活动。此次活动主要针对美国、英国、德国、奥地利和瑞士的金融机构。攻击者通过Google Play商店分发恶意软件,已经有超过30000次安装。这些应用都以纯净的形式提交到Google Play,然后使用恶意代码进行更新,这可绕过Google在首次提交时严格的代码审查流程。在当前版本中,Anatsa木马支持针对全球各地金融机构的近600个应用,旨在窃取目标的财务信息来执行欺诈性交易。
来源:
https://www.threatfabric.com/blogs/anatsa-hits-uk-and-dach-with-new-campaign
漏洞情报
僵尸网络Condi通过TP-Link漏洞CVE-2023-1389传播
近日,Fortinet的研究人员称其发现了一个新的DDoS僵尸网络Condi,其试图利用易受CVE-2023-1389漏洞攻击的TP-Link Archer AX21(AX1800)路由器进行传播。该恶意软件采用多种技术用来保持自身在受感染系统中的运行。同时,它还通过尝试终止其他僵尸网络的进程来防止其感染。与大多数DDoS僵尸网络不同,该恶意软件不会通过尝试不同的凭据进行传播。相反,其嵌入了一个由Mirai原始Telnet扫描器修改而来的简单扫描器,用于扫描任何具有开放端口80或8080(通常用于HTTP服务器)的公共IP,然后以POST方式发送带有硬编码的利用请求以下载并执行远程服务器上的shell脚本,如果设备是易受攻击的TP-Link Archer AX21设备,该脚本将使用Condi感染设备。
来源:
https://www.fortinet.com/blog/threat-research/condi-ddos-botnet-spreads-via-tp-links-cve-2023-1389
数据泄露
Reddit发生数据泄露,80GB数据被窃取并被勒索赎金
Reddit是一个社交新闻聚合网站,拥有数亿用户。今年2月,Reddit遭到了一场网络攻击,黑客利用了一个未公开的漏洞,入侵了Reddit的服务器,窃取了约80GB的数据,包括用户信息、私信、评论、帖子等。黑客自称是BlackCat/ALPHV勒索软件团伙,他们在暗网上发布了部分数据的截图,要求Reddit支付1000比特币(约合4000万美元)的赎金,否则就会公开全部数据。Reddit方面尚未对此事做出回应。
来源:
https://www.bleepingcomputer.com/news/security/reddit-hackers-threaten-to-leak-data-stolen-in-february-breach/
iOttie被黑客入侵后发生数据泄露
iOttie是国外一家受欢迎的移动设备车载支架、充电器和配件制造商。近日,iOttie警告说,其网站已被入侵近两个月,黑客已窃取了在线购物者的信用卡和个人信息。iOttie表示,他们于6月13日发现其在线商店在2023年4月12日至6月2日期间遭到恶意脚本的入侵。iOttie没有透露有多少客户受到影响,但表示姓名、个人信息和支付信息可能被盗,包括财务帐号、信用卡和借记卡号、安全码、访问码、密码和PIN。
来源:
https://apps.web.maine.gov/online/aeviewer/ME/40/6bbb2a98-50b3-4fb1-844f-9572cf363b2a.shtml
美国航空和西南航空披露影响飞行员的数据泄露事件
美国航空和西南航空是世界上最大的两家航空公司,它们在上周五披露了一起数据泄露事件,该事件是由一家第三方供应商Pilot Credentials遭受黑客攻击造成的。Pilot Credentials是一家管理多家航空公司的飞行员申请和招聘门户的供应商。美国航空在一份通知信中表示,Pilot Credentials于2023年6月18日通知了美国航空,称其系统于近日遭到了未经授权的访问,导致部分美国航空飞行员的个人信息被泄露。这些信息包括姓名、地址、电话号码、电子邮件地址、出生日期、社会安全号码、驾驶执照号码、护照号码、飞行员证书号码和医疗证书号码等。
来源:
https://www.bleepingcomputer.com/news/security/american-airlines-southwest-airlines-disclose-data-breaches-affecting-pilots/
恶意软件
美国陆军人员中出现疑似携带恶意软件的智能手表
美国军方刑事调查部门(CID)警告军人注意邮寄到他们手中的未经批准的智能手表,这些手表可能携带恶意软件,或者允许未经授权的访问敏感系统。据媒体报道,一些美国军人在过去几个月里收到了来自不同发件人的智能手表,这些手表没有任何说明或发票,也没有任何标识。这些手表看起来像普通的健身追踪器材,但是有一些奇怪的特征,比如没有品牌名称、没有电源开关、没有充电器、没有蓝牙功能等。CID怀疑这些手表可能是一种网络攻击的工具,因为它们可以自动连接到当地的无线网络,并且也可以连接到手机,从而访问用户的数据。这些数据可能是私密的,并且有可能被非法利用。另外,这些手表也可能携带恶意软件,可以让攻击者访问、保存或传输数据,比如银行信息、账户信息或个人联系人。
来源:
https://www.darkreading.com/threat-intelligence/suspicious-smartwatches-mailed-us-army-personnel
隐蔽型窃取者恶意软件Mystic Stealer分析
Mystic Stealer是一种新型的窃取者恶意软件,其于2023年4月首次在地下市场上出现,并且能够从近40种网络浏览器和70多种浏览器扩展中窃取用户的凭证、自动填充数据、浏览历史、任意文件和Cookie。此外,Mystic Stealer还针对加密货币钱包、Steam和Telegram等应用程序。该恶意软件的代码使用了多态字符串混淆、基于哈希的导入解析和运行时常量计算等技术,以增加其隐蔽性和反分析能力。Mystic Stealer还实现了一种自定义的二进制协议,该协议使用RC4加密,以避免被网络防御设备检测到。Mystic Stealer是一种具有高度威胁性和隐蔽性的恶意软件,可能会给用户和组织带来数据泄露、财务损失、运营中断、合规挑战和声誉损害等影响。
来源:
https://www.cyfirma.com/outofband/mystic-stealer-evolving-stealth-malware/
伪装成游戏安装程序的SupremeBot恶意软件分析
SupremeBot是一种利用伪装成超级马里奥游戏安装程序的方式传播的恶意软件,其可以在受害者的电脑上安装多个恶意组件,包括一个XMR挖矿器、一个SupremeBot挖矿客户端和一个开源的Umbral窃密器。研究人员发现了一个名为“Super-Mario-Bros.exe”的可疑文件,是一个32位的Nullsoft Installer(NSIS)自解压归档可执行文件,包含了一个合法的超级马里奥游戏安装程序“super-mario-forever-v702e.exe”和两个恶意可执行文件“java.exe”和“atom.exe”。当受害者运行“Super-Mario-Bros.exe”文件时,其就会在%appdata%目录下释放“super-mario-forever-v702e.exe”文件并执行它,显示一个安装向导,让受害者继续安装“super-mario-forever-v7.02”程序。同时,它也会在后台运行“java.exe”和“atom.exe”文件,分别执行XMR挖矿器和SupremeBot挖矿客户端。SupremeBot挖矿客户端会从远程服务器下载并执行Umbral窃密器,这是一种可以窃取用户的浏览器、电子邮件、FTP、加密货币钱包等敏感信息的恶意软件。Umbral窃密器会将收集到的信息打包成一个ZIP文件,并通过SMTP协议发送给攻击者。
来源:
https://blog.cyble.com/2023/06/23/trojanized-super-mario-game-installer-spreads-supremebot-malware/
勒索软件
智利军队遭遇新型勒索软件Rhysida的攻击
Rhysida是一种新型的勒索软件,可以加密受害者的数据,并要求支付赎金以恢复访问。该软件由一个未知的犯罪团伙开发和使用,自2023年5月以来已经对多个组织发动了攻击,涉及教育、医疗、政府等多个行业。2023年5月27日,智利军队遭遇了Rhysida勒索软件的攻击,影响了其内部网络的多个系统。军方在两天后确认了这一事件,并采取了应急措施,如禁止开启计算机、断开网络连接、备份数据等、禁止连接移动设备,以防止进一步的损失。智利政府的网络安全应急响应小组(CSIRT)也发布了警告,提醒其他组织注意防范Rhysida勒索软件的威胁。据报道,Rhysida勒索软件在攻击智利军队时使用了一个名为“Ejercito de Chile”(智利军队)的专属标签,并要求受害者在72小时内支付赎金,否则将删除或泄露被加密的数据。该网站还提供了一些Rhysida勒索软件的样本和截图,显示其使用了AES-256和RSA-2048算法进行加密,并使用了一个名为“RySida”(RySida)的后缀来标记被加密的文件。
来源:
https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/
原文始发于微信公众号(白泽安全实验室):APT28针对乌克兰组织的Roundcube邮件服务器开展攻击——每周威胁情报动态第133期(06.16-06.29)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论