每周高级威胁情报解读(2021.01.21~01.28)

披露时间：2021年01月20日

情报来源：https://cybleinc.com/2021/01/20/a-deep-dive-into-patchwork-apt-group/

相关信息：

近日，Cyble披露了APT组织摩诃草以中巴合作为诱饵针对我国的一起攻击事件。摩诃草通过CVE-2017-0261构建了一个EPS漏洞文档并命名为Chinese_Pakistani_fighter_planes_play_war_games.docx。该漏洞为摩诃草组织的常用漏洞。

恶意文档在受害者机器上执行之后，将会释放并执行后续payload。后续payload执行后，将会尝试收集受害者系统信息、按键信息、进程信息和屏幕快照并存储在%Temp%文件夹中的TPX498.dat文件中，接着对该数据加密并上传到服务器。

披露时间：2021年01月21日

情报来源：https://mp.weixin.qq.com/s/C09P0al1nhsyyujHRp0FAw

相关信息：

Warzone RAT是一款纯C/C++开发的商业木马程序，该程序在2018年出现在网络上以软件订阅的方式公开售卖，适配目前所有版本的Windows系统，具备密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能。

近期，360监控到蔓灵花组织在2020年末的攻击活动中，使用Warzone RAT针对我国研究南亚关系的多位社会科学学者进行了攻击。攻击者通过伪造研究讨论学会邀请信的形式发起攻击，最终在受害者机器中植入Warzone RAT进行远程控制。

披露时间：2021年01月24日

情报来源：https://blog.alyac.co.kr/3536

相关信息：

近日，韩国安全公司East Security ESRC披露了APT组织KimSuky以捐赠证书和捐赠收据为诱饵的新一轮攻击事件。KimSuky针对目标单位投递了压缩包，其中包含了一个正常的pdf文件和一个Macro4.0宏利用的恶意xlsb文档。当受害者阅读pdf降下防备心理，打开xlsb文档并启用宏，恶意的宏代码将会连接到攻击者指定的FTP服务器并下载执行dll文件完成对受害者主机的完全控制。

披露时间：2021年01月26日 

情报来源：https://blogs.jpcert.or.jp/en/2021/01/Lazarus_malware2.html

相关信息：

Lazarus是一个异常活跃的APT组织，有着成熟的攻击体系和武器库，近期国外安全公司jpcert对Lazarus武器库中的Torisma和LCPDot进行了详细分析。

其中Torisma组件是一个downloader。Torisma主要包含两个功能，分别是发送被感染主机的基本信息到C2和执行C2返回的特定文件。

另一个组件LCPDot是一个类似于Torisma但是却比Torisma功能更完善的downloader。LCPDot通常出现在横向移动阶段，组件会有部分代码被VMP，并且会通过RC4加密秘钥，通过Base64编码C2信息。同样的，LCPDot也是通过HTTP POST请求服务器，并且可执行服务器返回的特定文件。

披露时间：2021年01月27日

情报来源：https://mp.weixin.qq.com/s/huvrA3v31FAZMGyyswbs6A

相关信息：

Konni APT组织是朝鲜半岛地区最具代表性的 APT 组织之一，自 2014 年以来一直持续活动，据悉其背后由朝鲜政府提供支持，该组织经常使用鱼叉式网络钓鱼的攻击手法，经常使用与朝鲜相关的内容或当前社会热点事件来进行攻击活动，该组织的主要目标为韩国政治组织，以及日本、越南、俄罗斯、中国等地区。

微步近期通监测到Konni APT组织最新攻击活动，攻击者以“朝鲜疫情物资”话题相关文章作为诱饵文档进行攻击活动，诱饵文档延续了该组织以往的攻击手法，将正文颜色设置为难以阅读的颜色以诱导用户启用宏。在文档携带的恶意宏中，从失陷的服务器中下载后门模块并执行。后门模块为 Amadey 家族木马，攻击者可利用该后门模块进行下一步恶意模块的分发，该组织经常使用此家族木马进行攻击活动。本次攻击活动手法与以往安全机构披露的“隐士”、“BlueSky” 等攻击活动手法类似，另外还与具有相同背景的半岛地区 APT 组织 Kimsuky 有诸多关联之处。

披露时间：2021年01月25日

情报来源：https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

相关信息：

2020年下半年至2021年初，谷歌发现并确定了一个持续针对网络和漏洞安全研究人员的攻击活动，这些研究人员在不同的公司和组织中从事漏洞研究和开发。谷歌认为这项攻击运动的发起者来自朝鲜网军。需要注意的是，这起攻击活动成立的本身，在于实施社会工程学的人员精通漏洞分析和研究，在此基础上才能成功攻击多个漏洞研究人员。

攻击者首先建立了几个专注于漏洞研究的推特号。他们使用了这些Twitter个人资料来发布指向其博客的链接，并发布漏洞利用的视频，这些账号之间存在互相转发的行为。博客包含已公开披露的漏洞的文章和分析，甚至有的安全研究人员还会往这投稿，可能试图在其他安全研究人员中建立更多的信誉。

在完成造势以后，攻击者便会利用其在漏洞社区良好的信誉开始进行社会工程学攻击。首先，他们会去和目标安全人员建立联系，并询问目标研究人员是否希望在漏洞研究方面进行合作，然后为研究人员提供Visual Studio项目。在Visual Studio项目中将包含用漏洞利用的源代码，但是在编译该Visual Studio项目的时候会自动生成存在恶意代码的DLL，编译运行后即触发恶意代码，并与攻击者的C2域名进行通讯。

披露时间：2021年01月20日

情报来源：https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/

相关信息：

距离发现Solorigate已有两个多月的时间，MSTIC仍在继续发掘新的细节，以证明这是近十年来最复杂和持久的入侵攻击之一。SolarWinds在最近的博客中披露的攻击时间表显示，功能齐全的Solorigate DLL后门已于2020年2月底编译，并在3月下旬的某个时间分发到系统中。该博客还表示，攻击者于2020年6月从SolarWinds的构建环境中删除了Solorigate后门代码。

考虑到此时间表以及Solorigate后门旨在保持休眠至少两周这一事实，MSTIC估计攻击者花了一个月左右的时间来选择受害者并准备独特的Cobalt Strike植入物以及命令与控制(C2)基础架构。这意味着真正的键盘监听很可能早在5月就开始了。

MSTIC通过研究Microsoft Defender遥测和来自运行Backdoor版本的SolarWinds DLL的潜在零病患机器的其他信号，发现这些机器中的大多数与初始随机生成的DNS域.avsvmcloud.com通信，但活动不活跃(步骤1)。

在Solorigate后门为某些受害者配置文件激活时，SolarWinds.BusinessLayerHost.exe将在磁盘上创建两个文件(步骤2)：

• VBScript，通常以现有服务或文件夹命名，以混合到计算机上的合法活动中

• 第二阶段DLL植入程序，即定制的Cobalt Strike加载程序，通常在每台计算机上进行唯一编译，并写入％WinDir％中看起来合法的子文件夹(例如C： Windows)

攻击者通过使SolarWinds进程为进程dllhost.exe创建映像文件执行选项(IFEO)调试器注册表值来实现此目的(步骤3)。这是用于持久性的已知MITER ATT＆CK技术，但在启动特定进程时也可能被滥用以触发恶意代码的执行。创建注册表值后，攻击者只需等待偶尔执行dllhost.exe，这可能在系统上自然发生。该执行将触发wscript.exe的进程启动，该进程的wscript.exe配置为运行在(步骤4)中删除的VBScript文件。

VBScript依次运行rundll32.exe，使用干净的父/子进程树(与SolarWinds进程完全断开连接)激活Cobalt Strike DLL(步骤5)。最后，VBScript删除先前创建的IFEO值以清除执行的任何痕迹(步骤6)，并删除与HTTP代理相关的注册表项。

在5月和6月看到的有限情况下，最初的DNS网络通信紧随其后是到其他合法域名的端口443(HTTPS)上的网络活动(步骤7)。

披露时间：2021年01月26日

情报来源：https://www.welivesecurity.com/2021/01/26/wormable-android-malware-spreads-whatsapp-messages/

相关信息：

ESET研究人员Lukas Stefanko发现新的伪造成华为移动应用的恶意软件可通过WhatsApp分发。该恶意软件会利用WhatsApp自动回复功能发送恶意链接，该链接指向伪造的华为移动应用程序，用户在点击后会被重定向到伪造Google Play商店网站。

用户一旦安装后，该恶意软件还会提示受害者打开通知访问权限，然后执行蠕虫攻击。此外，它还能访问并覆盖后台运行的其他应用，这意味着该应用可以利用伪造的窗口来窃取凭据以及其他敏感信息。

披露时间：2021年01月21日

情报来源：https://www.welivesecurity.com/2021/01/21/vadokrist-wolf-sheeps-clothing/

相关信息：

Vadokrist是ESET从2018年开始跟踪的一个拉丁美洲银行特洛伊木马，几乎只在巴西活跃。Vadokrist用Delphi编写，其最显着的特征之一是二进制文件中存在大量未使用的代码。研究人员认为这是逃避检测和劝阻或缓慢分析的尝试。与大多数其他拉丁美洲的银行木马不同，Vadokrist收集的唯一信息是受害者的用户名，并且仅在对目标金融机构发起攻击后才这样做。

最近分发Vadokrist的垃圾邮件带有两层嵌套的ZIP文件，其中包含MSI安装程序和CAB归档文件。如果受害者执行MSI安装程序，它将找到CAB存档并将其内容（MSI加载程序）提取到磁盘。然后，它执行一个嵌入式JavaScript文件，该文件添加一个Run键条目，确保在系统启动时执行MSI加载程序。最后，脚本重新启动计算机。启动时，MSI加载程序将执行嵌入式DLL-Vadokrist银行木马。整个过程中没有实际的下载器，这些垃圾邮件直接分发了银行木马。

披露时间：2021年01月22日

情报来源：https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis

相关信息：

近日，Zscaler发布了有关僵尸网络DreamBus的分析报告。研究人员指出，DreamBus为2019年初首次出现的SystemdMiner的旧僵尸网络的变体，在原版本上进行了若干改进。

其针对Linux服务器上运行的企业应用程序，可使用漏洞和暴力攻击PostgreSQL、Redis、SaltStack、Hadoop YARN、Apache Spark、HashiCorp Consul、SaltStack和SSH服务等。并在被攻陷服务器上安装XMRigcryptominer，利用它们的计算能力挖掘monero。

DreamBus恶意软件表现出类似于蠕虫的行为，其采用多种方法在互联网上以及通过内部网络横向传播。此外，DreamBus采取了许多绕过检测的策略，如通过新的HTTP-over-HTTPS（DoH）协议与僵尸网络的C＆C服务器通信，并将C＆C托管在Tor网络上以防被关闭。Zscaler认为袭击者位于俄罗斯或东欧。

披露时间：2021年01月26日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/new-year-new-version-danabot

相关信息：

Proofpoint研究人员 在野外发现了DanaBot的更新版本 。DanaBot是Proofpoint于2018年5月首次发现的一种银行/窃取软件恶意软件。该恶意软件至少有三个重要版本：版本1：DanaBot一种新的银行木马浮出水面、版本2：DanaBot赢得人气并针对大型运动中的美国组织、版本3：ESET的DanaBot已通过新的C＆C通讯进行了更新。这将是第四次重大更新。

从2018年5月到2020年6月，DanaBot是用于犯罪软件威胁领域的顶级银行恶意软件之一。多个攻击正在分发并使用它来针对许多国家的财务状况。Proofpoint研究人员捕获到该恶意软件的多个版本，其中版本2至少具有12个ID、版本3中至少具有38个ID。这些ID代表DanaBot运营商服务的威胁参与者。分销通常针对主要位于美国，加拿大，德国，英国，澳大利亚，意大利，波兰，墨西哥和乌克兰的金融机构。2020年6月之后， DanaBot活动急剧下降。它没有明确的原因就从威胁环境中消失了。

从2020年10月下旬开始，Proofpoint研究人员观察到VirusTotal中出现的DanaBot样本有了重大更新。截至文章发布时，研究人员使用此最新版本和至少一种分发方法发现了两个ID。虽然DanaBot尚未恢复到以前的规模，但它将在未来几个月内通过网络钓鱼活动再次分发，是防御者应重新关注的恶意软件。

披露时间：2021年01月21日

情报来源：https://blog.netlab.360.com/not-really-new-pyhton-ddos-bot-n3cr0m0rph-necromorph/

相关信息：

Necro是一个经典的Python编写的botnet家族，最早发现于2015年，早期针对Windows系统，常被报为Python.IRCBot，作者自己则称之为N3Cr0m0rPh(Necromorph)。自2021年1月1号起，360Netlab持续检测到该家族的新变种，先后有3个版本的样本被检测到，它们均针对Linux系统，并且最新的版本使用了DGA技术来生成C2域名对抗检测。

Necro最新版的感染规模在万级，并且处于上升趋势。在传播方式上，Necro支持多种方式，并且持续集成新公开的1-day漏洞，攻击能力较强。最新版Necro使用了DGA技术生成C2域名，Python脚本也经过重度混淆以对抗静态分析。目前传播的不同版本Necro botnet背后为同一伙人，并且主要针对Linux设备。最新的2个版本为了确保能在没有Python2的受害机器上执行，会同时分发使用PyInstaller打包过的Python程序。

披露时间：2021年01月26日

情报来源：https://blog.talosintelligence.com/2021/01/vuln-spotlight-.html

相关信息：

思科Talos最近在Micrium uc-HTTP的HTTP服务器中发现了两个漏洞(CVE-2020-13582)、(CVE-2020-13583)，这些漏洞可能导致未经检查的返回值拒绝服务以及空指针取消引用拒绝服务情况。

攻击者可以通过使用特制HTTP请求将用户计算机作为目标来触发这些漏洞。uC-HTTP服务器实现旨在用于运行µC/OS II或µC/OS III RTOS内核的嵌入式系统。该HTTP服务器支持许多功能，包括持久连接，表单处理，分块传输编码，HTTP标头字段处理，HTTP查询字符串处理和动态内容。

披露时间：2021年01月27日

情报来源：https://access.redhat.com/security/cve/cve-2021-3156

相关信息：

2021年01月27日，RedHat发布了sudo缓冲区/栈溢出漏洞的风险通告，该漏洞编号为CVE-2021-3156。攻击者在取得服务器基础权限的情况下，可以利用sudo基于堆的缓冲区溢出漏洞，获得root权限。任何本地用户（普通用户和系统用户，sudoer和非sudoers）都可以利用此漏洞，而无需进行身份验证。

目前debain已经修复该漏洞，centos依然受到影响。对此，奇安信威胁情报中心建议广大用户及时安装最新补丁，做好资产自查及预防工作，以减少对应的攻击面。