每周高级威胁情报解读(2021.03.25~04.01)

披露时间：2021年03月26日

情报来源：https://mp.weixin.qq.com/s/pkCK1ryXvGWFuoHQk9Rahg

相关信息：

Kimsuky组织（又名BabyShark、Thallium、Black Banshee等），最早由国外安全厂商Kaspersky在2013年披露，该组织长期针对于韩国的智囊团、政府外交、新闻媒体等组织机构进行攻击，主要目的为窃取情报、间谍活动等。

2020年12月期间，360高级威胁研究院在日常的监控中发现了一起该组织的鱼叉攻击活动。此次鱼叉攻击使用的恶意宏文档作为初始载荷，受害者启用文档的宏后，攻击者将通过云端动态下发VBS脚本的方式实施攻击。此次的攻击行动具备以下特点：

其完整攻击流程如下：

披露时间：2021年03月30日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/badblood-ta453-targets-us-and-israeli-medical-research-personnel-credential

相关信息：

自2020年下半年开始，伊朗APT组织TA453对美国和以色列的医学研究员发起了多起钓鱼攻击，受害者主要是从事基因、神经病学、肿瘤医学研究的高级医学专业人士。

TA453擅长伪造身份以投递受害者可能感兴趣的钓鱼邮件，这些邮件会包含指向由TA453控制的恶意连接，单击该链接将会进入到攻击者精心制作的钓鱼网页，该网页将会提醒用户浏览或下载与邮件主题相关的PDF文件，当用户单击下载时，网页将弹框诱导用户输入Microsoft的账号密码，接收到账号密码之后，网页自动跳转到正常的文件托管服务器以浏览PDF文件，隐蔽性极高。

披露时间：2021年03月31日

情报来源：https://mp.weixin.qq.com/s/WnKc0JbjA5_IsjPFSzFoYA

相关信息：

近期，深信服终端安全团队捕获并分析了一个APT样本，经过分析人员确认来自近年来频繁活跃的“海莲花”组织。

“海莲花”组织自首次发现以来，已被发现先后使用了4种不同形态的木马程序。初期的木马程序并不复杂，比较容易被发现和查杀。但近年来捕获的“海莲花”攻击样本均增加了一系列复杂的攻击技术，防护查杀的难度也呈正比增加。此次深信服终端安全团队捕获的样本就具备了以下特征：

其完整攻击流程如下：

披露时间：2021年03月28日

情报来源：https://news-web.php.net/php.internals/113838

https://mp.weixin.qq.com/s/p9ckSXp7gYNCtjRQKD7Qvg

相关信息：

2021年3月28日，有身份不明人士入侵了PHP编程语言的官方Git服务器http://git.php.net，并在该服务器的自托管php-src存储库中上传了2个未经授权的更新包，其中的源代码被插入了秘密后门代码。这些恶意代码是以PHP创建者Rasmus Lerdorf和Microsoft的软件开发人员Nikita Popov的名义提交的。

研究人员推测此次是名为依赖混淆（dependency confusion）的新型供应链攻击方式，它利用了一个可能包含来自私有和公共来源的混合依赖库的软件。作为预防措施，PHP维护人员已决定将官方PHP源代码存储库迁移到GitHub。

披露时间：2021年03月29日

情报来源：https://mp.weixin.qq.com/s/bjeXF891cVmVbNNAArT8bw

相关信息：

今年3月，360烽火实验室追踪发现FluBot恶意软件仍在继续运营。该银行木马最早于2020年底曝光，最新版本已经更新到3.7。FluBot通过向受害者发送含有恶意软件下载链接的短信诱导受害者下载安装，短信内容通常是与仿冒应用相关的内容，托管这些恶意软件的站点都是一些被入侵的合法网站。应用名称主要以运输物流类应用为主，涉及较多的为FedEx（联邦快递）、DHL（DHL物流公司）、Correos（西班牙邮政）。

最新版本的FluBot通过三个服务后台运行，分别用于监听通知栏、处理C&C的指令、功能执行。功能包括取消电池优化，弹出信用卡钓鱼页面，关闭Google Play Protect服务，覆盖虚假WebView页面，阻止卸载操作，替换默认短信接收器，自动授予权限申请。

通信上，FluBot利用DGA算法随机生成5000个域名，报文加密后遍历域名并向每个域名发包，最后根据与域名数据返回结果（返回加密信息包含BotID+随机数）来确认C&C域。

披露时间：2021年03月29日

情报来源：https://thedfirreport.com/2021/03/29/sodinokibi-aka-revil-ransomware/

相关信息：

研究人员发现3月份出现通过恶意垃圾邮件分发IcedID，然后传播Sodinokibi勒索软件的活动。垃圾邮件使用xlsm文档，文档打开启用宏后将启动wmic命令，然后执行伪装成GIF图片的IcedID木马。初始访问成功后恶意软件将从C2服务器下载Cobalt Strike Beacons，然后将Exchange服务器作为跳板，横向移动到其他服务器上，其目的是让分析人员认为Exchange服务器为攻击源。

攻击者会将勒索软件可执行文件暂存到域控制器上，并使用BITSAdmin将其下载到域中的每个系统上。然后攻击者使用RDP打开cmd或PowerShell进程，使用特定标志-smode执行Sodinokibi勒索软件，该标志在执行时编写了几个RunOnce注册表项，会立即将系统重新启动到具有网络功能的安全模式。重新启动用户登录后将开始加密活动。勒索信包括一个指向Tor网站的链接，要求赎金必须以门罗币支付。7天内付款，则解密价格约为20万美元，如果超过7天，价格将高达40万美元。

披露时间：2021年03月26日

情报来源：https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/

相关信息：

在过去几年中，Palo Alto研究人员Aviv Sasson深入研究Docker Hub，并发现了30个恶意Docker镜像，这些镜像被下载了2000万次，涉及加密劫持操作。

研究人员发现的镜像中有一半使用了共享的矿池，据估计，威胁参与者在两年时间里开采了价值20万美元的加密货币。在大多数攻击中，威胁参与者挖掘了Monero加密货币（90,3%），但Sasson和他的团队也发现了旨在挖掘Grin（6,5%）或ARO（Aronium）（3,2%）加密货币的活动。

研究人员指出，容器注册表允许用户升级他们的镜像，也可以将新标签上传到注册表。标签用于引用同一镜像的不同版本。某些镜像针对不同的CPU体系结构或操作系统具有不同的标签，这样攻击者就可以根据受害者的硬件选择最佳的加密矿工。

披露时间：2021年03月26日

情报来源：https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/

相关信息：

Zimperium zLabs研究人员最近发现一个复杂的新恶意应用程序，这种新恶意软件伪装成系统更新应用程序，并且具备窃取数据、消息、图像和控制安卓手机的功能。一旦设备受到控制，黑客就可以记录音频和电话，拍照，查看浏览器历史记录，访问WhatsApp消息等。

恶意程序通过第三方商店分发，安装后在攻击者的Firebase命令和控制（C＆C）服务器上进行注册，提供的设备详细信息包括：是否存在WhatsApp、电池电量百分比、存储状态、从Firebase消息传递服务以及Internet连接的类型。恶意程序将收集的信息作为加密的ZIP文件上传，一旦接收到上传成功的响应，则会立即删除文件以免引起怀疑。

披露时间：2021年03月26日

情报来源：https://www.accenture.com/us-en/blogs/cyber-defense/unknown-threat-group-using-hades-ransomware

相关信息：

Accenture研究人员发现一个未知的威胁组织正在使用名为Hades的勒索软件展开网络犯罪活动。该组织至少从2020年12月开始一直在活动。受害者主要分布在运输物流、消费产品、制造分销行业。

Hades会遍历本地目录和网络共享以查找要加密的文件，并跳过具有指定扩展名或字符串的文件，向其加密的文件添加扩展名（每个样本均不同），并生成带有文件名“HOW-TO-DECRYPT-[extension].txt”的赎金票据，赎金说明包括指向TOR站点的URL，以获取赎金说明。

披露时间：2021年03月25日

情报来源：https://www.microsoft.com/security/blog/2021/03/25/analyzing-attacks-taking-advantage-of-the-exchange-server-vulnerabilities/

相关信息：

在披露了Exchange服务器漏洞并发布了安全更新之后的三周中，Microsoft看到许多其他攻击者在其工具包中采用了此漏洞利用程序。其无论是通过修改公共概念验证漏洞利用程序还是自己的研究，都可能获得了高特权的持久访问权限。因此，Microsoft将分享利用Exchange服务器漏洞相关的攻击活动的分析，并希望用户通过实践最小特权和减轻横向移动的原则来缓解许多有影响的后续攻击者活动。

DoejoCrypt是第一个利用该漏洞的勒索软件，其利用漏洞将Chopper Web Shell的变体部署到Exchange服务器后，通过注册表访问系统上的本地用户密码。之后代码将被注入notepad.exe，并连接C2下载Cobalt Strike shellcode。下一阶段会下载新的有效负载即DoejoCrypt勒索软件加密文件并留下勒索便签。某些情况下，整个过程不到半个小时。

Lemon Duck负载是经过编码和混淆的PowerShell脚本。它首先从系统中删除各种安全产品，然后创建计划的任务以实现持久性。其每小时都有一个随机命名的计划任务连接到C2，以下载新的有效载荷，其中包括各种横向移动、凭证盗窃、RAT、信息窃取以及Ramnit负载。

在此活动中，攻击者通过其Web Shell执行PowerShell脚本，该脚本从托管在域生成算法（DGA）域上的站点获取有效负载，并尝试将有效负载Pydomer分散到整个网络中。Pydomer勒索软件是一个编译为可执行文件的Python脚本，并使用Python加密库对文件进行加密。勒索软件对文件进行加密并附加一个随机扩展名，然后留下名为decrypt_file.TxT的勒索便条。

披露时间：2021年03月30日

情报来源：https://www.zscaler.com/blogs/security-research/ares-malware-grandson-kronos-banking-trojan

相关信息：

Kronos是一种银行木马，于2014年首次出现，并在地下论坛中作为犯罪软件工具包进行销售，以进行信用卡，身份盗窃和电汇欺诈。2018年9月，一个名为Osiris的新Kronos变体引入了几个新功能，包括用于命令和控制（C2）通信的TOR，Osiris最后一次更新似乎在2019年中左右。

2021年2月，Zscaler ThreatLabz发现了一个新的Kronos变体，该变体通过垃圾邮件活动针对德语用户，被称为Ares。Ares似乎仍在开发中，使用自称为DarkCrypter和被称为BMPack的打包程序打包。同时发现的还有一个信息窃取程序，可以从各种应用程序（包括VPN客户端、web浏览器）获取证书，窃取任意文件和加密货币钱包。

Ares包含的代码大部分与Kronos和Osiris相似，但大多数Ares样本无法通过TOR与C2服务器通信。在其中一个Ares样本中，发现包含101个硬编码的C2 URL。

披露时间：2021年03月28日

情报来源：https://sick.codes/universal-netmask-npm-package-used-by-270000-projects-vulnerable-to-octal-input-data-server-side-request-forgery-remote-file-inclusion-local-file-inclusion-and-more-cve-2021-28918/

相关信息：

两周前，研究人员在netmask组件中发现新漏洞。该组件每周下载量超过300万次，截至现在累计下载量已超过2.38亿次，约有27.8万个GitHub存储库依赖于netmask。该漏洞跟踪为CVE-2021-28918，涉及网络掩码如何处理混合格式的IP地址。

具体来讲，当一个十进制IPv4地址前缀为“0”时，部分IPv4地址可以被解析为八进制地址，部分IPv4地址则被解析为十进制。攻击者可以通过影响应用程序解析的IP地址，从而导致潜在的服务器端请求伪造（SSRF）或远程文件包含（RFI）。目前，该漏洞已被修复。

披露时间：2021年03月29日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spectre-bypass-linux-vulnerabilities

相关信息：

Symantec的研究人员发现了Linux中的2个新漏洞，可被用来绕过Spectre攻击的缓解措施。Spectre是2018年1月发现的芯片漏洞，几乎影响了所有处理器，只能通过操作系统补丁来进行缓解。

这两个新漏洞都与Linux内核对扩展的Berkeley数据包过滤器（BPF）的支持有关，其中最严重的漏洞（CVE-2020-27170）可以用来读取内核内存中任何位置的内容，第二个漏洞（CVE-2020-27171）可读取4GB范围的内核内存中的内容。