2021.04.01~04.08
攻击团伙情报
-
新多阶段感染链活动疑似与Bahamut有关
-
Gaza Cybergang使用语音转换软件诱骗目标安装恶意软件
-
Turla 组织攻击面貌深度分析报告(上)
攻击行动或事件情报
-
Aurora活动:针对阿塞拜疆的网络攻击
-
针对印尼金融机构的诈骗活动,涉及200万客户
-
多个将恶意软件伪装成游戏外挂的攻击活动
-
针对LinkedIn用户分发more_eggs的钓鱼活动
恶意代码情报
-
GitHub上开源Android RAT工具“AndroSpy”开始活跃
-
Hancitor恶意软件活动传播Cobalt Strike和Ficker Stealer
-
Phobos勒索软件变种使用新无文件技术
-
新银行木马Janeleiro:针对巴西各行业组织
漏洞情报
-
Apple Mail中存在可用来监听邮件的零点击漏洞
攻击团伙情报
新多阶段感染链活动疑似与Bahamut有关
披露时间:2021年03月31日
情报来源:https://www.anomali.com/blog/bahamut-possibly-responsible-for-multi-stage-infection-chain-campaign
相关信息:
Anomali研究人员发现有攻击者在多阶段感染链攻击活动中利用漏洞(CVE-2017-8570)分发恶意文档,以在目标机器上安装Visual Basic (VB)可执行文件,创建后门。该后门似乎只检索受感染机器的用户名,表明这可能是一项侦察活动。
研究人员基于有限的技术情报,并根据目标与先前观察到的活动相一致,评估该活动疑似与APT网络间谍组织Bahamut有关。Bahamut是一个“雇佣组织”,通常以中东和南亚的实体和个人为目标,使用鱼叉式钓鱼信息和虚假应用程序作为初始感染媒介。
Gaza Cybergang使用语音转换软件诱骗目标安装恶意软件
披露时间:2021年04月06日
情报来源:https://www.cadosecurity.com/post/threat-group-uses-voice-changing-software-in-espionage-attempt
相关信息:
Gaza Cybergang是一个来自中东的APT组织,最早于2012年开始活动。2016年年初,该组织发起了名为Operation DustSky的攻击活动,该活动主要以埃及、以色列、沙特阿拉伯和伊拉克为攻击目标。近日,国外安全研究员披露了该组织近期的活动情况。
和历史一样,该组织的社会工程钓鱼还是以鱼叉攻击和仿冒钓鱼网站为主。不同于以往的是,该组织最近正在通过语音交谈来诱使受害者安装指定的恶意软件。目前已知该团伙会构造女性语音包,在社交媒体上与受害者进行交谈,取得受害者信任之后向其发送恶意软件,一旦受害者下载并安装了该软件,攻击者就可以取得对受害者设备的完全控制,包括文件传输、短信、联系人、麦克风权限和相机权限。
Turla组织攻击面貌深度分析报告(上)
披露时间:2021年04月07日
情报来源:https://mp.weixin.qq.com/s/ljD-ExFysbuYj4Xu7ls7Wg
相关信息:
Turla也被称为 Snake,Venomous Bear、WhiteBear 、Waterbug、Uroboros 等,是一个具有俄语政府背景的 APT 组织。此外,卡巴斯基曾证实上世纪90年代著名网络间谍组织“月光迷宫”(Moonlight Maze)为 Turla 组织的前身。该组织因其复杂的恶意攻击组件以及泛散的攻击目标而闻名。
Turla 组织在2008年因入侵美国中央司令部计算机系统而被曝光,随后几年,多家安全公司相继披露多起有关 Turla 组织的攻击事件。根据关联 Turla 使用攻击组件推测该组织最早活动时间约为2004年,2015年年中开始,其活动频次明显加剧。
自活动至今,Turla 组织发起的攻击活动中的受害者涉及地域已超过45个国家,其攻击目标包括政府机构、大使馆、国际组织、军队、高等教育机构、科研机构、制药公司等等。其最终攻击目的为情报刺探,通过一系列网络间谍活动窃取目标单位敏感情报信息。
攻击行动或事件情报
Aurora活动:针对阿塞拜疆的网络攻击
披露时间:2021年04月06日
情报来源:https://blog.malwarebytes.com/threat-analysis/2021/04/aurora-campaign-attacking-azerbaijan-using-multiple-rats/
相关信息:
Malwarebytes最近监测到针对阿塞拜疆的网络攻击活动。使用的诱饵文件以SOCAR信件模板,针对阿塞拜疆政府,SOCAR是阿塞拜疆共和国石油天然气公司的名称。该文档中嵌入式宏可以提取隐藏在PNG文件中的恶意负载数据。创建的VBS文件通过调用Runner.bat以执行Python RAT。
RAT首先使用从PNG文件中提取并放入RAT目录的证书文件(cert.pem)创建到服务器的安全SSL连接,然后循环接收来自服务器的消息,包括收集受害者信息(包括操作系统名称,操作系统版本和用户名)、执行shell命令等。
针对印尼金融机构的诈骗活动,涉及200万客户
披露时间:2021年03月31日
情报来源:https://www.group-ib.com/media/indonesia-twitter-scam/
相关信息:
Group-IB披露针对印度尼西亚大型金融机构的诈骗活动,涉及超过200万客户。攻击者在Twitter上伪装成银行代表或客户技术支持来接触受害者,最终目标是盗取其银行中的资金。该活动已对至少有七家组织发起攻击,针对超过200万印尼银行的客户。此外,从1月初的600个伪造Twitter账号到3月份的1600个,该活动的范围扩大了2.5倍,平均每天都会创建数十个帐户。
多个将恶意软件伪装成游戏外挂的攻击活动
披露时间:2021年03月31日
情报来源:https://blog.talosintelligence.com/2021/03/cheating-cheater-how-adversaries-are.html
相关信息:
Cisco Talos最近发现了一项针对视频游戏玩家和其他PC游戏模组的新活动。活动通过包括YouTube在内的广告或者与视频游戏修改相关的社交媒体开展,传播具有恶意功能的游戏补丁、调整或修改工具。
活动中攻击者使用了一种新的密码器,其隐藏在看似合法的文件中,用户下载这些文件后,作弊代码将安装到视频游戏或其他游戏修改(又名“mods”)中。密码器使用VisualBasic6、Shellcode和进程注入技术。其中包含后门加载器代码,分发的后门包括XtremeRAT,可用来窃取文档、记录键盘输入、捕获屏幕截图、使用摄像头或麦克风录制音频以及远程shell等。
针对LinkedIn用户分发more_eggs的钓鱼活动
披露时间:2021年04月05日
情报来源:https://www.esentire.com/security-advisories/hackers-spearphish-professionals-on-linkedin-with-fake-job-offers-infecting-them-with-malware-warns-esentire
相关信息:
eSentire安全团队发现针对LinkedIn上失业用户的新一轮鱼叉式网络钓鱼活动,黑客利用目标个人资料中列出的职位信息,使用带有对应职位的恶意zip文件对受害者进行鱼叉钓鱼攻击。一旦打开虚假的工作邀请,将启动无文件后门more_eggs的隐蔽安装。
该恶意软件会劫持合法的Windows进程来隐藏其配置文件,可以下载其它恶意插件,并提供对受害者计算机的实际访问权。此外,该活动可以针对不同的目标来不断调整其攻击,利用特制的诱饵来诱使用户下载恶意软件。目前尚不清楚该黑客组织的身份,但据推测,可能与FIN6、Cobalt Group或Evilnum有关。
恶意代码情报
GitHub上开源Android RAT工具“AndroSpy”开始活跃
披露时间:2021年04月06日
情报来源:https://mp.weixin.qq.com/s/mpoiwvYW2ryz4oYTF4L0iQ
相关信息:
2021年3月,奇安信病毒响应中心移动安全团队在日常的威胁分析运营中发现到一个攻击团伙使用了一款新型Android RAT。经分析后发现,该款RAT实际是AndroSpy开源RAT。AndroSpy于2020年8月被开源于github上,其首款在野攻击时间为2020年11月。
开源后的数月,已发现其被数个攻击团伙用于攻击,至今共涉及近百个在野样本,目前尚未发现该RAT对国内有影响。该RAT采用C#编写,是个典型的RAT类程序,通过控制端可以便捷操控受控手机及窃取受控手机敏感信息。
Hancitor恶意软件活动传播Cobalt Strike和Ficker Stealer
披露时间:2021年04月01日
情报来源:https://unit42.paloaltonetworks.com/hancitor-infections-cobalt-strike/
相关信息:
Hancitor是一种信息窃取和恶意软件下载程序。最近,Palo Alto Networks研究人员发现相关感染活动。活动中,攻击者使用了带有链接的电子邮件,链接指向可能受到破坏的在Google Drive上托管的页面。该页面包含下载恶意Word文档的链接,恶意Word文档启用宏后,宏代码将释放并运行Hancitor 恶意DLL文件。
Hancitor DLL文件通过rundll32.exe运行,然后向C2发起通信,发送受感染的Windows主机的公共IP地址、主机名和用户帐户名、Windows版本和域信息,并且检索后续阶段需要的恶意软件,如Cobalt Strike、Ficker Stealer。
此外,还发现一个用于执行ping的Windows EXE文件,该工具可以查找AD环境中的所有其他活动主机,会造成大量异常的ICMP流量。
Phobos勒索软件变种使用新无文件技术
披露时间:2021年04月02日
情报来源:https://blog.morphisec.com/the-fair-upgrade-variant-of-phobos-ransomware
相关信息:
Morphisec研究人员在3月初发现了Phobos勒索软件变种。该变种使用PowerShell脚本在内存中投放勒索软件,脚本通过使用paste.ee来投放加载程序和勒索软件组件。该变种还在受感染服务器上创建了后门账户以保持持久访问,并安装了挖矿程序和僵尸网络。
新银行木马Janeleiro针对巴西各行业组织
披露时间:2021年04月06日
情报来源:https://www.welivesecurity.com/2021/04/06/janeleiro-time-traveler-new-old-banking-trojan-brazil/
相关信息:
Janeleiro通过带有恶意附件的未付款发票主题钓鱼邮件进行传播,通过虚假的MSI安装程序加载。Janeleiro检索感染计算机的公共IP地址,并使用Web服务对感染机器进行地理位置定位,非巴西则退出,否则收集受感染计算机基础信息并发送给C&C服务器,其中C&C服务器地址存储在攻击者创建的GitHub页面中。
aneleiro通过伪造大型银行网站(Santander和Banco do Brasil等)的弹窗来诱惑目标,这些弹窗包含虚假的表格来诱使目标输入银行凭证和个人信息。此外,Janeleiro是由Visual Basic .NET编写的,这与该地区的黑客所喜欢的Delphi有很大的出入。
漏洞相关
Apple Mail中存在可用来监听邮件的零点击漏洞
披露时间:2021年04月02日
情报来源:https://mikko-kenttala.medium.com/zero-click-vulnerability-in-apples-macos-mail-59e0c14b106c
相关信息:
研究人员在Apple的macOS Mail中发现了一个零点击漏洞(CVE-2020-9922)。该漏洞允许攻击者在Mail的沙箱环境中添加或修改任何文件。攻击者只需向目标发送一封带有两个.ZIP文件的电子邮件即可触发该漏洞,包括未经授权地将敏感信息泄露给第三方;修改受害者的邮件配置,包括邮件重定向,该重定向使密码重置可以接管受害者的其他帐户;更改受害者的配置,从而使攻击能够以类似蠕虫的方式传播到通信对象。
在macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15.5中已对该漏洞进行了修复。
本文始发于微信公众号(奇安信威胁情报中心):每周高级威胁情报解读(2021.04.01~04.08)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论