企业动态

    2022.02.03~02.10

    攻击团伙情报

    APT组织Lorec53（洛瑞熊）发动多轮针对乌克兰的网络攻击活动

    中东持续活跃的威胁：月光鼠组织借助云服务展开间谍攻击

    Kimsuky组织针对特定大学教授发起鱼叉式钓鱼攻击

    Gamaredon对乌克兰外交部发起网络钓鱼攻击活动

    ModifiedElephant：十年潜伏，印度黑客组织浮出水面

    攻击行动或事件情报

    与巴勒斯坦有关的黑客使用新的NimbleMamba恶意软件

    TA2541组织针对航空、运输行业分发恶意软件

    攻击者将RedLineStealer伪装成Windows11安装程序

    恶意代码情报

    深入分析CapraRAT

    新的MyloBot恶意软件变种发送勒索

    漏洞情报

    PHPEverywhere插件的RCE漏洞影响数千个WordPress网站

    HancomOffice中的漏洞可能导致内存损坏、代码执行

    攻击团伙情报

    01

    APT组织Lorec53（洛瑞熊）发动多轮针对乌克兰的网络攻击活动

    披露时间：2022年02月16日

    情报来源：http://blog.nsfocus.net/apt-lorec53-20220216/

    相关信息：

    近期，绿盟科技研究人员捕获到了大量针对乌克兰的钓鱼文件攻击活动，关联恶意文件包括pdf、doc、cpl、lnk等类型。经过分析，确认这一系列钓鱼活动均来自APT组织Lorec53（中文名称：洛瑞熊）。该组织在2021年底至2022年2月的期间内，使用多种攻击手法，对乌克兰国防部、财政部、大使馆、国企、公众医疗设施等关键国家机构投递多种钓鱼文件，进行以收集组织人员信息为主的网络攻击活动。

    Lorec53本轮攻击行动持续时间较长，攻击目标十分广泛，且攻击手法带有明显的组织特征。延续了其以往的诱饵设计手法，构建了包括掩盖部分信息的乌克兰政府文档、带有乌克兰语标题和伪装扩展名的快捷方式文件、带有乌克兰语文件名的cpl文件等钓鱼诱饵，并伪装成具有公信力的组织成员分发这些诱饵。

    Lorec53这次依然使用了已知的木马程序，包括LorecDocStealer（又名OutSteel）、LorecCPL、SaintBot，并尽可能地对这些木马程序进行了壳封装。

    02

    中东持续活跃的威胁：月光鼠组织借助云服务展开间谍攻击

    披露时间：2022年02月16日

    情报来源：https://mp.weixin.qq.com/s/jEdI4dL3JNKeJAUVGCYUDw

    相关信息：

    MoleratsAPT组织又名“GazaHackersTeam”、“月光鼠”、“灵猫”等，其至少从2012年开始在中东地区活跃，主要攻击目标为以色列地区、巴勒斯坦地区与政党相关的组织和个人，惯用政治相关主题作为诱饵对目标进行鱼叉式钓鱼攻击。

    微步情报局近期通过威胁狩猎系统监测到Molerats组织针对中东地区的间谍攻击活动，分析有如下发现：

    攻击者使用政治相关主题制作诱饵文档和木马对目标进行攻击，其中诱饵文档类主要使用恶意宏和模板注入手法，exe文件主要使用伪装Office文档图标或pdf文档图标的方法，；

    相关木马使用GoogleDrive等云服务托管恶意载荷，使用DropboxAPI进行C2通信，可提升木马隐蔽性；

    木马还支持从合法站点justpaste.it动态获取DropboxToken进行C2通信，进一步增加了木马的可配置性；

    截止分析时，发现已有数十台主机被感染，IP归属地大多为中东地区，符合Molerats组织的攻击目标；

    通过资产关联分析，发现攻击者所使用SSL证书指纹等与Molerats组织过往资产重叠，认定幕后攻击者为Molerats组织；

    03

    Kimsuky组织针对特定大学教授发起鱼叉式钓鱼攻击

    披露时间：2022年02月14日

    情报来源：https://asec.ahnlab.com/ko/31481/

    相关信息：

    近期，ASEC研究人员发现一起Kimsuky组织针对对属于特定大学的教授进行了鱼叉式网络钓鱼攻击。攻击者向研究生院教授分发了伪装对朝鲜相关手稿的要求的恶意文字(DOC)文件。word文档以“3月月度KIMA手稿_requirements.doc”名称分发，文档标题中提到的KIMA是韩国军事研究所出版的专门从事安全、国防和军事事务的月刊的名称。

    诱饵文档的恶意宏代码从攻击者的服务器下载一个附加命令（VBS（VisualBasicScript）脚本）并在内存中执行。从攻击者服务器下载的VBS代码从用户的PC收集并泄露以下信息：

    收集基本系统信息（计算机名称、所有者信息、制造商、计算机型号、系统类型）

    操作系统信息（操作系统、操作系统版本、内存容量）

    处理器信息

    防病毒产品信息

    运行进程信息

    特定文件夹中的文件列表（桌面路径、我的文档路径、收藏夹文件夹路径、最近文件夹路径、ProgramFiles路径、下载路径）

    最近打开的Word文档的标题

    04

    Gamaredon对乌克兰外交部发起网络钓鱼攻击活动

    披露时间：2022年02月11日

    情报来源：https://mp.weixin.qq.com/s/jdMsvLamCDJbfErLNgRjLA

    相关信息：

    近期，绿盟科技研究人员获到一封主题为“ПАРТНЕРИКУЛЬТУРНОЇДИПЛОМАТІЇМЗСУКРАЇНИ”（乌克兰外交部文化外交伙伴）的钓鱼文档，并确认该文档的制作者为俄罗斯APT组织Gamaredon。本次捕获的钓鱼文档伪装成一份政府机构的参考资料，内容上分别罗列了“信息和政治”、“艺术”、“音乐”、“电影”、“戏剧”等领域的乌克兰外交部文化外交伙伴的通信地址信息。

    该文档通过内嵌的恶意宏实现攻击。宏代码将两个vbs文件分别释放至系统的startup目录与系统的theme目录中，实现开机自动运行和执行后续攻击流程。

    名为Themes.vbs的脚本将计算机名与系统磁盘序列号发送至固定网址，进而从该网址的响应中获得后续木马载荷。值得注意的是，后续木马载荷使用异或加密，异或键为由Themes.vbs发送的磁盘序列号。这种利用宿主机信息的载荷保护技术常见于Gamaredon、OceanLotus等APT组织的活动中。

    05

    ModifiedElephant：十年潜伏，印度黑客组织浮出水面

    披露时间：2022年02月11日

    情报来源：https://www.sentinelone.com/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence/

    相关信息：

    近期，sentinelone研究人员确定了一个潜伏十年之久的黑客组织。在过去十年中，ModifiedElephant攻击者试图通过带有恶意文件附件的鱼叉式网络钓鱼电子邮件来感染他们的目标，通过对其过去十年的攻击活动研究发现：

    ModifiedElephant负责对印度各地的人权活动家、人权捍卫者、学者和律师进行有针对性的攻击，目的是植入有罪的数字证据。

    ModifiedElephant至少从2012年开始运营，并多次针对特定个人。

    ModifiedElephant通过使用商业上可用的远程访问木马(RAT)进行操作，并且与商业监控行业有潜在的联系。

    威胁参与者使用带有恶意文档的鱼叉式网络钓鱼来传递恶意软件，例如NetWire、DarkComet和具有基础设施重叠的简单键盘记录器，使我们能够连接长期以前未归因的恶意活动。

    攻击行动或事件情报

    01

    与巴勒斯坦有关的黑客使用新的NimbleMamba恶意软件

    披露时间：2022年02月10日

    情报来源：https://www.proofpoint.com/us/blog/threat-insight/ugg-boots-4-sale-tale-palestinian-aligned-espionage

    相关信息：

    2021年底，Proofpoint分析师发现了一个针对中东政府、外交政策智囊团和一家国有航空公司的复杂攻击链。在三个多月的时间里，Proofpoint观察到了这个攻击链的三个细微变化。Proofpoint将这些活动归因于TA402，该攻击者通常被追踪为Molerat并被认为是为了巴勒斯坦领土的利益而运作。

    根据Proofpoint的研究，TA402对中东的组织和政府构成持续威胁，不仅定期更新他们的恶意软件植入，而且还更新他们的交付方式。在2021年6月发布Proofpoint的TA402研究后，TA402似乎在短时间内停止了其活动，几乎可以肯定是要进行重组。Proofpoint研究人员认为，他们利用这段时间来更新他们的植入物和传递机制，使用名为NimbleMamba和BrittleBush的恶意软件。TA402还经常使用地理围栏技术和各种攻击链，这使防御者的检测工作变得复杂。

    02

    TA2541组织针对航空、运输行业分发恶意软件

    披露时间：2022年02月15日

    情报来源：https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight

    相关信息：

    TA2541是一个高度活跃的网络犯罪分子，它分发针对航空、航天、运输和国防等行业的各种远程访问木马(RAT)。自2017年1月以来，TA2541持续不断的发起攻击活动。通常，其恶意软件活动包括数百到数千封钓鱼邮件，尽管很少看到TA2541一次发送超过10,000封邮件。其活动影响了全球数百个组织，其目标反复出现在北美、欧洲和中东。

    在最近的活动中，Proofpoint观察到该组在电子邮件中使用GoogleDriveURL，导致混淆的VisualBasic脚本(VBS)文件。如果成功执行，PowerShell从托管在各种平台（如Pastetext、Sharetext和GitHub）上的文本文件中提取可执行文件。攻击者在各种Windows进程中执行PowerShell并查询WindowsManagementInstrumentation(WMI)以获取防病毒和防火墙软件等安全产品，并尝试禁用内置的安全保护。威胁参与者将在主机上下载RAT之前收集系统信息。

    03

    攻击者将RedLineStealer伪装成Windows11安装程序

    披露时间：2022年02月14日

    情报来源：https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/

    相关信息：

    2022年1月27日，也就是宣布Windows11升级最后阶段的第二天，惠普安全研究员注意到一名恶意行为者注册了windows-upgraded[.]com域名，该域名引起了我们的注意，因为它是新注册的，且模仿了合法品牌并利用了最近的公告。威胁行为者使用该域名分发RedLineStealer，这是一个信息窃取恶意软件系列，在地下论坛中广泛宣传出售。

    攻击者复制了合法Windows11网站的设计，但单击“立即下载”按钮会下载一个名为Windows11InstallationAssistant.zip的可疑zip文件，包含伪装为Windows11安装程序的RedLineStealer恶意软件。

    恶意代码情报

    01

    深入分析CapraRAT

    披露时间：2022年02月11日

    情报来源：https://blog.cyble.com/2022/02/11/deep-dive-analysis-caprarat/

    相关信息：

    Cyble安全研究人员发现一篇文章，其中提到了一种名为capraRAT的新Android恶意软件。该恶意软件被一个名为APT36（又名透明部落）的高级持续威胁(APT)组织使用，该组织已被观察到针对印度政府及其国防人员。

    分析表明，在成功执行后，恶意软件会从Android设备的屏幕上隐藏其图标，从受害者的设备中窃取敏感数据，例如联系人、通话记录、短信、位置、截屏、记录通话和麦克风音频、发送短信等。并不断与命令和控制(C&C)服务器通信，根据从C&C服务器接收到的命令执行删除文件、发送短信、拨打电话、从摄像头拍照等操作。

    02

    新的MyloBot恶意软件变种发送勒索邮件

    披露时间：2022年02月07日

    情报来源：https://blog.minerva-labs.com/mylobot-2022-so-many-evasive-techniques-just-to-send-extortion-emails

    相关信息：

    MyloBot于2018年首次被发现，是当时最具规避性的僵尸网络之一。根据各种报告，它采用了不同的技术，例如：

    反虚拟机技术

    反沙盒技术

    反调试技术

    用加密的资源文件包装内部零件

    代码注入

    进程空心化——一种攻击者创建处于挂起状态的新进程，然后用恶意代码替换该进程的代码以保持不被发现的技术。

    反射式EXE-直接从内存执行EXE文件，无需将它们放在磁盘上。

    访问其命令和控制服务器之前的14天延迟机制。

    Minerva研究人员最近发现了一个2022版本的MyloBot，分析表明其一些反调试和反VM技术已经消失，开始使用实施注入技术，最终从C&C服务器下载的第二阶段有效负载用于发送勒索电子邮件。

    漏洞相关情报

    01

    PHPEverywhere插件的RCE漏洞影响数千个WordPress网站

    披露时间：2022年02月08日

    情报来源：https://www.wordfence.com/blog/2022/02/critical-vulnerabilities-in-php-everywhere-allow-remote-code-execution/

    相关信息：

    2022年1月4日，Wordfence威胁情报团队开始负责披露PHPEverywhere中的几个远程代码执行漏洞，这是一个安装在30,000多个网站上的WordPress插件。

    第一个漏洞被跟踪为CVE-2022-24663，CVSS严重性评分为9.9。WordPress允许经过身份验证的用户通过parse-media-shortcodeAJAX操作执行简码。在这种情况下，如果登录的用户——即使他们几乎没有权限，比如他们是订阅者——可以发送一个精心设计的请求参数来执行任意PHP，从而导致整个网站被接管。

    第二个漏洞CVE-2022-24664的严重性评分也为9.9。该漏洞使不受信任的贡献者级别的用户可以创建帖子，将PHP代码添加到PHPEverywhere元框，然后预览帖子来实现网站上的代码执行

    第三个漏洞被跟踪为CVE-2022-24665，并且在严重性等级上也已发布9.9。所有具有edit_posts权限的用户都可以使用PHPEverywhereGutenberg块，攻击者可以通过这些函数执行任意PHP代码来篡改网站的功能。

    02

    HancomOffice中的漏洞可能导致内存损坏、代码执行

    披露时间：2022年02月16日

    情报来源：https://blog.talosintelligence.com/2022/02/vuln-spotlight-.html

    相关信息：

    Cisco研究人员最近在韩国流行的软件套件HancomOffice中发现了一个漏洞，该漏洞可能允许攻击者破坏目标机器上的内存或执行远程代码。

    HancomOffice提供与MicrosoftOffice类似的服务，包括文字处理和电子表格创建和管理。

    TALOS-2021-1386(CVE-2021-21958)存在于HancomOffice的HwordApp.dll中。攻击者创建的恶意文档可能会触发基于堆的缓冲区溢出，如果攻击者遵循特定的攻击向量，最终会导致代码执行和/或内存损坏。