2021.03.04~03.11
攻击团伙情报
-
手段频出,疑似Donot组织针对周边地区的攻击活动分析
-
微软发现三个SolarWinds攻击者使用的新恶意软件
-
MuddyWater继续瞄准中东地区
-
疑似Lazarus Group利用MATA框架部署TFlower勒索软件
攻击行动或事件情报
-
MKLG行动:疑似针对中东地区长达数年的攻击活动分析
-
Emotet近期活动攻击链揭露,采用多种规避技术
-
通过Google Play传播的新Dropper分发AlienBot和MRAT
-
TeamTNT继续攻击云服务器,专注于AWS实例
恶意代码情报
-
俄语黑客部署新的勒索软件变种
-
AlumniLocker和Humble勒索软件活动分析
-
Gafgtyt_tor,Necro作者再次升级“武器库”
-
z0Miner挖矿木马利用ElasticSearch和Jenkins漏洞传播
漏洞情报
-
F5安全更新,修复BIG-IP和BIG-IQ中多个RCE漏洞
-
安全厂商发布dnsmasq漏洞的分析报告
攻击团伙情报
手段频出,疑似Donot组织针对周边地区的攻击活动分析
披露时间:2021年03月08日
情报来源:https://mp.weixin.qq.com/s/UtLkzkFkJ4lI0lq10xQUOA
相关信息:
Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的,具备针对Windows与Android的双平台攻击能力。
近日,奇安信红雨滴团队检测到Donot APT组织利用RTF模板注入及公式编辑漏洞对周边国家、地区展开了频繁地攻击。经过研究人员分析,Donot此次的攻击活动有如下特点:
-
该组织开始采用在RTF格式文档中的*template目标控制字加载远程恶意模板文件进行攻击,该利用方式免杀效果好,样本首次上传VT时几乎没有杀软查杀。
-
捕获的样本以“泰国皇家海军第82指挥和参谋课程”、“OPS检查细节”,“OPS需求”、“国防部副本”等标题为诱饵进行攻击。其中OPS是位于泰国的石油天然气公司。根据诱饵标题可以猜测该组织疑似开始针对泰国开展攻击活动。
-
此次活动与奇安信此前2月披露的攻击活动中采用手法类似,其Payload均采用多层解密加载且大多存放在该组织服务器的”jack”目录下。
微软发现三个SolarWinds攻击者使用的新恶意软件
披露时间:2021年03月04日
情报来源:https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/
相关信息:
2021年3月,Microsoft继续跟踪披露了该活动后期阶段(横向移动后)使用的三个系列恶意组件(GoldMax、Sibot、GoldFinder)。GoldMax恶意软件采用Go语言编写,主要作为与c2进行通信的后门,通过模拟系统管理软件上的计划任务来保持持久性。Sibot则是一个由VBScript 编写的恶意组件,功能包括持久性维护和下载执行有效负载。GoldFinder是一个采用Go语言编写的恶意组件,可以作为自定义HTTP跟踪器,其记录数据包到达硬编码的C2服务器的路由或跳数。
MuddyWater继续瞄准中东地区
披露时间:2021年03月05日
情报来源:https://www.trendmicro.com/en_us/research/21/c/earth-vetala---muddywater-continues-to-target-organizations-in-t.html
相关信息:
近日,Trend Micro检测到MuddyWater组织针对中东地区的攻击活动。该组织使用了带有嵌入式链接的鱼叉式电子邮件,将受害者重定向到合法的文件共享服务ScreenConnect,来分发其恶意软件包。该活动主要针对中东和周边地区的学术界、政府机构和旅游实体,为旨在窃取数据的间谍活动。
Trend Micro还发现分发RemoteUtilities和ScreenConnect的两个活动之间的策略和技术大致相似,表示新一轮攻击主要针对阿塞拜疆、巴林、以色列、沙特阿拉伯和阿联酋的组织。
疑似Lazarus Group利用MATA框架部署TFlower勒索软件
披露时间:2021年03月04日
情报来源:https://www.sygnia.co/mata-framework
相关信息:
Sygnia在最近调查的勒索软件攻击活动中发现,攻击者利用了基于MATA框架的新变种,该变种主要用于分发和执行TFlower勒索软件。
恶意软件MATA活跃且分布广泛。分析表明,攻击者从2019年5月开始部署新的服务器,截至2021年2月,该恶意软件已连接超过150个IP。MATA后门由3部分组成:1.初始加载程序。该文件执行后将恶意DLL注入到‘svchost.exe’进程中,并修改LSA安全软件包注册表项以实现持久性;2.解密模块。负责解密并加载运行储存在DAT文件中的恶意代码;3.有效负载。用于执行最后的后门功能。
MATA是Lazarus常用的一款恶意软件,近日却被发现用于TFlower勒索软件的投放,这或许能够在一定程度上表明TFlower与Lazarus有人员或工具集上的联系,又或许这只是攻击者的一次伪装攻击。
攻击行动或事件情报
MKLG行动:疑似针对中东地区长达数年的攻击活动分析
披露时间:2021年03月10日
情报来源:https://mp.weixin.qq.com/s/l_mt-vzSl0oZLNRHOkrRVA
相关信息:
近期,奇安信威胁情报中心红雨滴团队在日常的高级威胁样本挖掘过程中,注意到一起长期针对中东地区的持续性攻击活动,该活动至少从2016年2月活跃至今,主要针对Windows端开展攻击。截止报告发布前,奇安信一共捕获到Windows平台攻击样本18个,涉及C&C域名3个。攻击活动具有以下特点:
-
主要以带有恶意宏的Word文档,伪装成视频、浏览器等软件的可执行文件为攻击载荷开展攻击活动。
-
C&C域名均伪装成microsoft相关,具有较强的迷惑性,其中microsoft[.]updatei[.]com自2016年开始一直沿用至今。
-
此次攻击活动的针对目标疑似为以波斯语为主要语言的中东国家。攻击者所处地理位置大概于东三区东四区附近。
-
键盘记录相关功能会将记录的信息转化为波斯语,可见该行动具有较强的针对性。
-
自2016年2月开始,恶意软件中PDB路径中几乎均带有“mklg”,攻击者一直使用同一家族木马进行重复开发,根据PDB路径,红雨滴团队将此次活动命名为“MKLG”。
Emotet近期活动攻击链揭露,采用多种规避技术
披露时间:2021年03月08日
情报来源:https://unit42.paloaltonetworks.com/attack-chain-overview-emotet-in-december-2020-and-january-2021/
相关信息:
Unit 42研究人员发现了自2020年12月来的活跃的Emotet的新更新。虽然国际执法部门对其采取了一系列措施以打击其基础设施,但是,该恶意软件仍在不断更新。
在攻击链中,第一阶段恶意负载通过电子邮件钓鱼交付,用户启用宏后将执行恶意宏代码,生成恶意的PowerShell脚本;恶意PowerShell脚本将下载初始加载程序DLL二进制文件;初始加载程序将释放一个后续DLL二进制文件以更新自身;最后一个DLL窃取受害者的敏感数据或通过与C2服务器通信进行进一步攻击。
其使用的规避技术包括:使用多个下载链接下载第一阶段的加载程序;使用多个C2服务器IP地址进行通信;C2通信使用标准HTTP,并使用自定义算法加密敏感信息。
通过Google Play传播的新Dropper分发AlienBot和MRAT
披露时间:2021年03月09日
情报来源:https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/
相关信息:
Check Point最近发现一个新型Dropper(被称为Clast82)通过官方Google Play商店传播,该Dropper基于开源的Android程序,可以下载并安装AlienBot Banker和MRAT。
Clast82利用了一系列技术来避免被Google Play Protect检测,如使用Firebase作为C&C通信平台、使用GitHub作为第三方有效载荷托管平台。对于每个恶意的应用程序,攻击者都在Google Play商店创建了一个新开发者用户,并且在GitHub帐户上创建了一个存储库。恶意应用程序通过MainActivity启动LoaderService和前台服务来执行Dropper任务。
前台服务为Firebase实时数据库注册一个侦听器,从该数据库接收来自GitHub的有效负载路径和C&C命令,Dropper任务从'loadAndInstallApp 函数开始,该函数从GitHub下载有效负载,并调用installApp 方法来完成恶意活动。
如果被感染的设备阻止来自未知来源的应用程序的安装,Clast82会用一个虚假的请求来提示用户,假装是Google Play Services,请求用户每5秒允许安装一次。成功安装恶意有效载荷后,Dropper应用程序启动下载的有效载荷。
TeamTNT继续攻击云服务器,专注于AWS实例
披露时间:2021年03月09日
情报来源:https://www.trendmicro.com/en_us/research/21/c/teamtnt-continues-attack-on-the-cloud--focuses-on-aws-instances.html
相关信息:
在调查TeamTNT的活动时,趋势科技的研究人员发现了一个二进制文件,其中包含一个硬编码的shell脚本,该脚本旨在窃取AWS凭据。以此为线索最终发现超过4000例感染实例,这些实例并非都运行在AWS服务器上,但其上部署的恶意软件旨在攻击AWS用户。
与之前发现的TeamTNT攻击活动类似,攻击者利用配置错误(例如对外开放的Redis实例和泄露的安全凭据)和漏洞,以获得对系统的远程访问权限并部署下一阶段的攻击,例如安装加密货币矿工。
落地后,脚本首先会检索AWS元数据服务相关凭据,无论搜索是否成功都会创建一个文件并上传到远程 Web 服务器,该服务器设置为接收被盗文件。除了存储被盗数据外,该服务器还充当了加密货币挖矿工具的存储库。
恶意代码情报
俄语黑客组织部署新的勒索软件变种
披露时间:2021年03月03日
情报来源:https://securelist.ru/new-targeted-attacks-rtm/100720/
相关信息:
近日,卡巴斯基发现俄语黑客组织正进行一个三重威胁攻击活动,除了众所周知的RTM银行木马,攻击者还部署了名为“Quoter”的新型勒索软件变种,作为双重勒索网络攻击的一部分。据报道,此次三重威胁攻击从2020年12月开始进入“活跃阶段”,目前仍在进行中,已通过恶意电子邮件攻击了至少10家俄罗斯交通和金融部门的组织。
AlumniLocker和Humble勒索软件活动分析
披露时间:2021年03月04日
情报来源:https://www.trendmicro.com/en_us/research/21/c/new-in-ransomware-alumnilocker-humble-feature-different-extortio.html
相关信息:
趋势科技分析人员最近发现两个新的勒索软件变体:AlumniLocker和Humble。
AlumniLocker是Thanos勒索软件系列的变体,其通过伪造成发票主题的PDF文件进行传播,该文件中包含有恶意下载链接,一旦点击,将下载包含恶意下载程序的ZIP文件。ZIP文件中包含一个伪造成JPG文件的PowerShell脚本,其通过滥用后台智能服务传输(BITS)模块来下载并执行AlumniLocker有效负载。AlumniLocker负载是Themida打包的Microsoft中间语言(MSIL)可执行文件。一旦AlumniLocker对受害者的文件进行加密,便会通过记事本显示勒索说明:要求10比特币的赎金。
Humble勒索软件使用Bat2Exe进行编译,并且发现了两种通过不同形式落地的变体。一种变体威胁受害者重启系统后主引导记录(MBR)将被重写;另一种变体则威胁受害者在五天内不支付赎金,MBR将被重写。Humble利用了通信平台Discord的webhook服务向其攻击者报告或发布受害者的感染报告;阻止explorer.exe查看或访问本地存储驱动器;利用extd.exe进行文件加密;利用certutil.exe管理Windows证书,从随机输入中生成密钥;针对104种文件类型进行加密。
Gafgtyt_tor,Necro作者再次升级“武器库”
披露时间:2021年03月05日
情报来源:https://blog.netlab.360.com/tor-bld/
相关信息:
近期,360Netlab发现Gafgyt僵尸网络家族的一个新变种Gafgtyt_tor,该变种使用Tor进行C2通信以隐藏真实的C2信息,并对样本中的敏感字符串进行加密。Gafgtyt_tor内置了100多个Tor代理,并且新样本代理列表在持续更新;主要通过Telnet弱口令和D-Link设备中的远程代码执行漏洞(CVE-2019-16920)、Liferay企业门户软件中的的远程代码执行漏洞(没有可用的CVE)、Citrix应用程序交付控制器中的漏洞(CVE-2019-19781)传播;集成了替换加密算法,用于加密C2和敏感字符串。
Gafgyt_tor跟keksec团伙之前分发的Gafgyt样本同源,核心功能依然是DDoS攻击和扫描。
z0Miner挖矿木马利用ElasticSearch和Jenkins漏洞传播
披露时间:2021年03月08日
情报来源:https://blog.netlab.360.com/fast-analyze-z0miner/
相关信息:
360Netlab近期发现z0Miner恶意挖矿木马正在利用ElasticSearch(CVE-2015-1427)和Jenkins中的远程命令执行漏洞进行传播。z0Miner从去年开始活跃,曾利用Weblogic未授权命令执行漏洞进行传播。本次发现中,攻击者利用漏洞利用脚本下载shell脚本并执行,其功能与之前活动中基本相同,主要功能为杀死竞争进程、设置Cron任务定期下载并执行恶意脚本、下载并执行挖矿程序。
漏洞相关
F5安全更新,修复BIG-IP和BIG-IQ中多个RCE漏洞
披露时间:2021年03月10日
情报来源:https://support.f5.com/csp/article/K02566623
相关信息:
2021年03月10日, F5 Networks发布安全更新,修复影响了BIG-IP和BIG-IQ中的多个漏洞,其中包括4个严重的远程代码执行(RCE)漏洞。此次修复的漏洞编号分别为:
CVE-2021-22986: 代码执行漏洞。该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。
CVE-2021-22987: 代码执行漏洞。当以设备模式运行时,该漏洞允许经过身份验证的用户通过BIG-IP管理端口或自身IP地址对配置实用程序进行网络访问,以执行任意系统命令,创建或删除文件或禁用服务。
CVE-2021-22991: 缓冲区溢出漏洞。流量管理微内核(Traffic Management Microkernel, TMM) URI 的规范化可能会错误地处理对虚拟服务器的请求,从而触发缓冲区溢出,导致DoS攻击。
CVE-2021-22992:缓冲区溢出漏洞。对在登录页面的策略中配置了Advanced WAF / ASM虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出,从而导致DoS攻击。
安全厂商发布dnsmasq漏洞的分析报告
披露时间:2021年03月08日
情报来源:https://unit42.paloaltonetworks.com/overview-of-dnsmasq-vulnerabilities-the-dangers-of-dns-cache-poisoning/
相关信息:
unit42发布有关DNS伪装(dnsmasq)漏洞的分析报告。DNS伪装(dnsmasq)是一种广泛使用的开源DNS解析器,为许多项目和硬件所使用,如Kubernetes和路由器等产品。最近研究人员发现了新问题,使得dnsmasq容易受到攻击。这些漏洞可分为两类,分别为DNS协议实施中的漏洞CVE-2020-25684、CVE-2020-25685和CVE-2020-25686,以及导致DoS攻击的缓冲区溢出漏洞CVE-2020-25681、CVE-2020-25682、CVE-2020-25683和CVE-2020-25687。
本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2021.03.04~03.11)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论