企业动态

    2021.02.04~02.11

    攻击团伙情报

    蔓灵花APT组织近期攻击活动分析

    Patchwork利用钓鱼攻击投放BADNEWS木马新变种

    摩诃草近期针对国防与医疗卫生实体的攻击活动分析

    疑似蔓灵花针对巴基斯坦航空部门攻击活动分析

    KONNI使用新手法针对俄罗斯方向持续展开攻击

    攻击行动或事件情报

    攻击者利用恶意修改的dnSpy工具攻击技术人员

    Nanocore、Netwire和AsyncRAT传播活动使用公共云基础设施

    Magnitude、Underminer漏洞工具包针对GoogleChrome发起攻击

    恶意代码情报

    RedLine变种Omicron以COVID为诱饵大肆传播

    FluBot安卓恶意软件最新分析

    Abcbot僵尸网络深入分析

    漏洞情报

    macOS漏洞powerdir(CVE-2021-30970)细节披露

    Microsoft2022年1月补丁通告

    攻击团伙情报

    01

    蔓灵花APT组织近期攻击活动分析

    披露时间：2021年01月10日

    情报来源：https://mp.weixin.qq.com/s/NLe4JqmjiB58IQ5Kn6DSLQ

    相关信息：

    近期，360高级威胁研究院捕获了蔓灵花以“Datailsofbill”为主题针对国外军工企业实施的攻击活动事件，并披露了蔓灵花在活动中使用的多种新攻击手法及样本。与以往CHM创建计划任务实现持久化相比，此次CHM样本将同目录下的PE文件进行自复制实现持久化并且伪装成系统文件，更具有隐蔽性。此外在研究人员捕获的.Net的RAT中，代码结构并未存在大的变更，指令名和指令数据处存在更新。

    此类变化趋势与响尾蛇组织相似，两者的更新方向均在于代码执行的部分，对于后续的远控程序，主要以流量或代码特征绕过作为优化方向。面对这些层出不穷的攻击手法，研究人员需要常怀警惕之心。

    02

    Patchwork利用钓鱼攻击投放BADNEWS木马新变种

    披露时间：2021年01月07日

    情报来源：https://blog.malwarebytes.com/threat-intelligence/2022/01/patchwork-apt-caught-in-its-own-web/

    相关信息：

    Patchwork是一个南亚地区的APT组织，自2015年12月以来一直活跃，通常使用鱼叉式网络钓鱼攻击，主要针对巴基斯坦。在2021年11月底至12月初的最新活动中，Patchwork利用恶意RTF文件投放了BADNEWS远程管理木马的一个变种。

    Ragnatela是BADNEWSRAT的一个新变种，通过鱼叉式网络钓鱼邮件传播给巴基斯坦的相关目标。RagnatelaRAT具有通过cmd执行命令、捕获屏幕截图、记录击键次数等功能。Ragnatela在意大利语中意为蜘蛛网，也是Patchwork此次恶意活动使用的项目名称。

    在此次恶意活动中，攻击者首次将目标锁定在分子医学和生物科学的研究人员身上。具有讽刺意味的是，攻击者利用其RAT感染了自己，最后得到的是其电脑和虚拟机的键盘击键次数和屏幕截图。

    03

    摩诃草近期针对国防与医疗卫生实体的攻击活动分析

    披露时间：2021年01月10日

    情报来源：https://mp.weixin.qq.com/s/ZNhdLN_AgGfjdk8nG8kLmw

    相关信息：

    Patchwork（白象、摩诃草、APT-C-09、DroppingElephant）是一个疑似具有南亚地区背景的APT组织，该组织长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。

    近期安恒威胁情报中心猎影实验室捕获到多个Patchwork组织攻击活动样本，本次样本主要通过鱼叉式钓鱼邮件进行传播，样本以“医疗卫生机构登记表”、“巴基斯坦国防官员住房登记表”等相关内容作为诱饵，通过利用CVE-2017-11882漏洞，最终释放“BADNEWS”后门程序进行窃密活动。

    04

    疑似蔓灵花组织针对巴基斯坦航空综合部门攻击活动分析

    披露时间：2021年01月11日

    情报来源：https://mp.weixin.qq.com/s/x1Q7_glLJL_qDnvcO-9yLg

    相关信息：

    蔓灵花(Bitter)是一个被广泛认为来自南亚地区的APT组织，该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击，窃取敏感数据，具有较强的政治背景。

    近期安恒威胁情报中心猎影实验室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PACAdvisoryCommitteeReport.doc”的诱饵文档进行攻击。并且使用一个处于失陷状态的巴基斯坦二手交易网站服务器来下发第二阶段载荷。

    05

    KONNI使用新手法针对俄罗斯方向持续展开攻击

    披露时间：2021年01月12日

    情报来源：https://mp.weixin.qq.com/s/AA4dpzwhSyktQGQ83cMHbA

    相关信息：

    KONNIAPT组织是疑似由特定政府支持的黑客组织，该组织长期针对俄罗斯、韩国等地区进行定向攻击活动，其擅长使用社会热点话题对目标进行鱼叉式网络钓鱼攻击。

    微步情报局近期监测到KONNI组织借助“COVID-19疫苗接种”主题对俄罗斯方向的定向攻击活动，分析有如下发现：

    攻击者向目标发送“疫苗接种预约”相关诱饵文档，并附带木马模块，根据相关诱饵文件内容，研判攻击目标为俄罗斯方向相关团体；

    木马使用DLL劫持的方法借助相关安装包程序、PDF阅读器执行，后续加载执行的恶意模块与该组织以往攻击活动中所使用的样本高度一致；

    与该组织以往攻击活动不同的是，在本次攻击活动中，攻击者并没有使用宏文档进行攻击，而是将木马模块与正常程序打包在一起进行DLL劫持攻击。

    攻击行动或事件情报

    01

    攻击者利用恶意修改的dnSpy工具攻击技术人员

    披露时间：2021年01月12日

    情报来源：http://noahblog.360.cn/fake-dnspy-when-hackers-have-no-martial-ethics/

    相关信息：

    近日，黑客发起了一场针对网络安全研究人员和开发人员的恶意软件活动，该活动分发一个恶意版本的dnSpy.NET应用程序，用来安装加密货币窃取软件、远控木马和挖矿软件。

    dnSpy是一个开源工具，但是现在不再由最初的开发者开发，但任何人都可以在GitHub上克隆和修改原始源代码。因此有攻击者用dnSpy的编译版本创建了一个GitHub库，并在其中安装了一系列恶意软件，包括窃取加密货币的窃密软件、Quasar木马、挖矿软件和各种未知负载。此外，攻击者还使用搜索引擎广告来推广这个恶意的GitHub库。目前，相关恶意的网站已被关闭。

    02

    Nanocore、Netwire和AsyncRAT传播活动使用公共云基础设施

    披露时间：2021年01月12日

    情报来源：https://blog.talosintelligence.com/2022/01/nanocore-netwire-and-asyncrat-spreading.html

    相关信息：

    CiscoTalos在2021年10月发现了传播Nanocore、Netwire和AsyncRATs恶意软件变种的恶意活动。这些恶意软件变种具有多种功能，可以控制受害者的环境，远程执行任意命令并窃取受害者的信息。该活动的受害者主要分布在美国、意大利和新加坡。

    最初的感染载体是带有恶意ZIP附件的网络钓鱼电子邮件。ZIP文件包含一个ISO镜像文件，其中包含一个恶意混淆的下载程序。攻击者在下载器的脚本中使用了复杂的混淆技术。每一阶段的去混淆过程结果都与后续阶段的解密方法有关，最终实现下载恶意负载。同时，该攻击者还滥用了微软Azure和AWS等云服务以达成其恶意目的，并且还利用了DuckDNS动态DNS服务，做到定期更改C2服务器的IP地址，并快速添加新的子域。

    03

    Magnitude、Underminer漏洞工具包针对GoogleChrome发起攻击

    披露时间：2021年01月12日

    情报来源：https://decoded.avast.io/janvojtesek/exploit-kits-vs-google-chrome/

    相关信息：

    2021年10月，研究人员发现Magnitudeexploitkit正在测试Chromium漏洞链。大约一个月后，研究人员发现Underminerexploitkit紧随其后，也开发了针对Chromium漏洞的利用工具。Magnitude使用CVE-2021-21224和CVE-2021-31956，Underminer使用CVE-2021-21224、CVE-2019-0808、CVE-2020-1020和CVE-2020-1054。Magnitude和Underminer都成功地为Windows上的Chromium开发了漏洞链。

    攻击者首先会在合法网站上购买广告，目标是有可能被他们利用的用户（例如InternetExplorer用户）。这些广告包含自动执行的JavaScript代码，这段代码会进一步分析受害者的浏览器环境，并为该环境选择一个合适的漏洞。如果利用成功，一个恶意的有效载荷将被部署到受害者的网络环境。然而，就被利用的受害者的数量而言，这些利用链都不是特别成功。利用Chromium漏洞链失败的原因有可能是攻击者对漏洞的利用寿命预期过高。Chrome浏览器在一个月内会多次给用户推送通知，让用户安装浏览器补丁，这一行为大大降低了漏洞被利用的概率。

    恶意代码情报

    01

    RedLine变种Omicron以COVID为诱饵大肆传播

    披露时间：2021年01月10日

    情报来源：https://www.fortinet.com/blog/threat-research/omicron-variant-lure-used-to-distribute-redline-stealer

    相关信息：

    研究人员最近捕获到了RedlineStealer恶意软件的一个变种"OmicronStats.exe"。关于RedLineStealer的第一份报告可以追溯到2020年3月，它很快成为了暗网市场上最受欢迎的恶意软件。由RedLineStealer获取的信息在暗网市场上以每套用户凭证10美元的低价出售。受害者系统感染RedlineStealer之后，其账户密码和完整的浏览器细节都会被记录。

    一般来说，每个用户的资料包括在线支付门户、电子银行服务、文件共享或社交网络平台的账户登陆凭证。虽然研究人员目前无法确定这个Omicron变体的感染载体，但相信它是通过电子邮件传播的。据了解，过去的RedLineStealer变体是在以COVID为主题的电子邮件中传播的，以引诱受害者。目前这个变种的文件名"OmicronStats.exe"，就在Omicron变种成为全球关注的焦点时使用，遵循了以前变种的模式。

    鉴于这个恶意软件被嵌入到一个被受害者打开的文件中，研究人员认为电子邮件是这个变种的感染载体。此次恶意活动的潜在受害者分布在12个国家，攻击者并没有针对特定的组织或个人。

    02

    FluBot安卓恶意软件最新分析

    披露时间：2021年01月12日

    情报来源：https://www.f5.com/labs/articles/threat-intelligence/flubots-authors-employ-creative-and-sophisticated-techniques-to-achieve-their-goals-in-version-50-and-beyond

    相关信息：

    FluBot是一个2020年初出现的安卓恶意软件。该恶意软件可以远程控制感染设备，窃取数据。最初，FluBot主要针对西班牙银行，但后来其目标扩大到澳大利亚、德国、波兰和英国的银行。

    FluBot有多种传播方式，通常是通过钓鱼短信。短信指向一个恶意网站，一旦访问，受害者会被诱导安装FluBot恶意软件。受害者成功安装并打开FluBot后，FluBot会访问受害者的联系人列表，并将其上传到C2服务器，继而向新的目标联系人列表发送钓鱼短信，完成扩散。

    FluBot为了防止被分析使用了许多复杂的技术，如MultiDex、DGA、DNS-over-HTTPS、RSA+RC4组合加密。目前已经发布到5.2版本。

    03

    Abcbot僵尸网络深入分析

    披露时间：2021年01月14日

    情报来源：https://www.cadosecurity.com/abcbot-an-evolution-of-xanthe/

    相关信息：

    近期，研究人员发现新兴僵尸网络Abcbot与几年前基于Xanthe恶意软件的加密劫持活动存在明显联系。研究人员认为，Xanthe和Abcbot由同一攻击者开发，并且其活动目标发生了转变，从在受感染主机上挖掘加密货币，转向更传统的与僵尸网络相关的活动，例如DDoS攻击。Xanthe是一个加密劫持的恶意软件家族，其主要目标是劫持系统资源以挖掘Monero加密货币。Xanthe搜索并感染暴露的DockerAPI端点。

    Abcbot最初于2021年7月被观察到，研究人员在分析Abcbot的基础架构时，发现了与Xanthe恶意软件活动之间的联系。在比较来自两个活动的恶意软件样本后，发现两个恶意软件家族的代码和功能集也有很明显的相似性。两个恶意软件家族具有相似的编码风格，函数在文件顶部声明，在后面进行调用，并且共享相似的函数名称。

    这两个恶意软件家族都在受感染的系统上创建了四个具有完全相同名称的恶意用户，并且都搜索和删除可能与其竞争的用户。此外，两个恶意软件样本都是可以轻松复制的shell脚本，表现出可以代码重用的特点。

    漏洞相关

    01

    macOS漏洞powerdir(CVE-2021-30970)细节披露

    披露时间：2021年01月10日

    情报来源：https://www.microsoft.com/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/

    相关信息：

    1月10日，微软发布关于macOS中的漏洞powerdir(CVE-2021-30970)的分析报告。微软表示，攻击者可以利用该漏洞绕过透明、同意和控制(TCC)技术来访问用户的数据。

    研究人员发现，可以通过编程的方式篡改目标用户主目录并植入伪TCC数据库，攻击者可利用该漏洞根据用户受保护的个人数据策划攻击。微软团队在2021年7月15日将漏洞报告给Apple公司，Apple在12月13日发布的安全更新中修复。

    Microsoft2022年1月补丁通告

    披露时间：2021年01月14日

    情报来源：https://msrc.microsoft.com/update-guide/

    相关信息：

    Microsoft在1月份的补丁日发布了97个漏洞的修复补丁，涉及到MicrosoftDefender、MicrosoftDevices、MicrosoftOffice、MicrosoftPowerShell、WindowsNTFS等多款产品或组件，其中9个漏洞被标记为严重漏洞，88个被标记为高危漏洞。

    此次修复的最严重的是HTTP协议栈远程代码执行漏洞（CVE-2022-21907），CVSS评分为9.8，攻击者可以通过发送恶意数据包到目标服务器来利用该漏洞。

    此外，更新还修复了6个0day，包括开源Curl库中的RCE（CVE-2021-22947）、开源Libarchive库中的RCE（CVE-2021-36976）和本地Windows安全中心API中的RCE（CVE-2022-21874）等。

    0day漏洞说明：

    CVE-2021-22947OpenSourceCurl远程代码执行漏洞：此CVE是关于Windows使用的curl开源库中的一个漏洞。它的CVSS评分为5.9，风险等级中等。

    当curl>=7.20.0和

    CVE-2021-36976Libarchive远程代码执行漏洞：CVE-2021-36976是关于Windows使用的libarchive开源库中的一个漏洞。它的CVSS评分为6.5，风险等级中等。

    CVE-2022-21919WindowsUserProfileService特权提升漏洞：CVE-2022-21919是WindowsUserProfileService的特权提升漏洞。它的CVSS评分为7.0，风险等级高。该漏洞为去年国外安全研究员公开的0day漏洞，现已修复。

    其他重要漏洞说明：

    CVE-2022-21907HTTP协议堆栈远程执行代码漏洞：CVE-2022-21907的CVSS评分为9.8分，风险等级高，可能导致蠕虫化利用。成功利用需要攻击者将恶意制作的数据包发送到目标Windows服务器，这些服务器使用易受攻击的HTTP协议栈来处理数据包。微软建议用户优先在所有受影响的服务器上修补此漏洞，因为它可能允许未经身份验证的攻击者在低复杂度攻击中远程执行任意代码，并且“在大多数情况下”，无需用户交互。该漏洞影响最新的桌面和服务器Windows版本，包括Windows11和WindowsServer2022。该漏洞目前并未受到积极利用，也没有公开披露的POC(概念验证代码）利用。