2022.02.17~02.24
攻击团伙情报
百密一疏,透明部落与SideCopy共用基础设施露出马脚
“响尾蛇”组织针对巴基斯坦发起钓鱼攻击
APT28瞄准美国国防承包商发起攻击
GorgonGroup近期攻击活动
攻击行动或事件情报
攻击者针对伊朗国家广播公司(IRIB)发起攻击
攻击者利用Qbot和Zerologon漏洞实现全域感染
从Dridex到Macaw,犯罪团伙EvilCorp发展之路
针对MS-SQL服务器的攻击分析
恶意代码情报
MacCoinminer利用开源二进制文件和I2P网络隐藏恶意流量
黑客通过MicrosoftTeams分发恶意软件
PseudoManuscrypt以与Cryptbot相同的方法分发
新的Golang僵尸网络Anubis正在发展
漏洞情报
VMwareNSX数据中心存在漏洞可能使虚拟系统受到攻击
Linux系统的Snap-confine功能中发现多个漏洞
攻击团伙情报
01
百密一疏,透明部落与SideCopy共用基础设施露出马脚
披露时间:2022年02月17日
情报来源:https://mp.weixin.qq.com/s/olI67y-qKpDfLGZTOIWXqw
相关信息:
近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到TransparentTribe组织的针对印度国防军官的攻击样本。根据红雨滴研究人员深入分析,发现TransparentTribe组织与SideCopy居然共用了网络基础设施,两者可能属于统一组织或有较大关联。此次的攻击活动有如下特点:
该组织将其downloader伪装为印度政府国家信息中心的Kavach身份验证程序,CrimsonRAT也利用Chrome图标进行了伪装;
此次攻击使用的CrimsonRAT存在较多与恶意软件的更新、下发和执行有关的C2指令;
在downloader下载CrimsonRAT及诱饵的域名下发现了疑似SideCopy组织的样本。
02
“响尾蛇”组织针对巴基斯坦发起钓鱼攻击
披露时间:2022年02月18日
情报来源:http://blog.nsfocus.net/apt-sidewinder-20220218/
相关信息:
近日,研究人员发现南亚APT组织SideWinder(响尾蛇)发起钓鱼攻击,其文档使用巴基斯坦国庆相关内容作为话题诱饵,其C&C域名被伪造为巴基斯坦政府网站,具有一定迷惑性。
在此次活动中,RTF文档通过巴基斯坦国庆日相关主题来引诱目标将其打开,话题内容为邀请当事人参与庆祝并准备爱国演讲。不过,正文提及的时间为2021年,可能是攻击者在制作诱饵时不够细致,直接引用了去年的内容。文档打开后通过携带的公式编辑器漏洞CVE-2017-11882来触发js代码,然后解码并在内存中加载一个.NET可执行文件,目的是连接C&C下载后续内容。
在js中,攻击者使用了ActiveXObject来加载.NET程序,而没有使用powershell可能是担心目标主机上的安全软件会监控powershell相关操作,故采取了DotNetToJScript的方式。攻击者使用的C&C域名中包含mofa-gov-pk字串,mofa-gov-pk是巴基斯坦政府外交部网站,攻击者试图利用域名白名单机制逃过检测。
03
APT28瞄准美国国防承包商发起攻击
披露时间:2022年02月16日
情报来源:https://www.cisa.gov/uscert/ncas/alerts/aa22-047a
相关信息:
至少从2020年1月到2022年2月,APT28一直以美国疾控中心为目标。攻击者利用对CDC网络的访问权获取有关美国国防和情报计划和能力的敏感数据。受损实体包括支持美国陆军、美国空军、美国海军、美国太空部队以及国防部和情报计划的CDC。
在这两年期间,这些参与者一直保持对多个CDC网络的持续访问,在某些情况下至少持续了六个月。在攻击者成功获得访问权限的情况下,FBI、NSA和CISA已经注意到电子邮件和数据的定期和反复泄露。例如,在2021年的一次妥协中,威胁参与者窃取了数百份与公司产品、与其他国家的关系以及内部人员和法律事务相关的文件。
通过这些入侵,攻击者获得了非机密的CDC专有和出口控制信息。这次攻击活动让行动者对美国武器平台的开发和部署时间表、通信基础设施计划以及美国政府和军方采用的特定技术有了重要的了解。尽管许多合同授予和描述都可以公开访问,但程序开发和公司内部沟通仍然很敏感。员工之间或与政府客户之间的未分类电子邮件通常包含有关技术和科学研究的专有详细信息,以及计划更新和资金状态。有关目标客户、行业和信息的信息,
04
GorgonGroup近期攻击活动
披露时间:2022年02月23日
情报来源:https://mp.weixin.qq.com/s/X0kAIHOSldiFDthb4IsmbQ
相关信息:
APT-C-58(GorgonGroup)组织疑似具有巴基斯坦国家民族背景或与巴基斯坦有联系的国家民族背景。该组织实施了网络犯罪和有针对性的网络攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的活动。Gorgon也曾经被怀疑与TransparentTribe、APT36有关联,并可能负责Aggah活动。
2020年Gorgon以商业买卖为主题对外贸公司进行钓鱼攻击,最终窃取受害人的敏感信息。近期360发现该组织在全球外贸论坛中利用发帖链接诱使外贸人士下载CVE-2017-11882漏洞利用的恶意文档,文档运行后释放vbs脚本,调用cmd命令启动cscript程序并启动后续载荷ServerCrypted.vbs,最终通过IEX命令执行DownloadString下载jpg文件注入到RegAsm.exe中。
研究人员通过对APT-C-58组织曾经使用的IP、域名进行分析,与此次攻击使用的www.m9c[.]net域名一致,在分析中提到的AgentTesla也是Gorgon惯用的商业RAT;同时,此次攻击的目标也是全球外贸人士,这与其过往的攻击目标相符合。
攻击行动或事件情报
01
攻击者针对伊朗国家广播公司(IRIB)发起攻击
披露时间:2022年02月18日
情报来源:https://research.checkpoint.com/2022/evilplayout-attack-against-irans-state-broadcaster/
相关信息:
在过去的几个月里,新一波网络攻击已经涌入伊朗。这些攻击不是小规模的网络攻击,最近一波攻击正在冲击伊朗国家基础设施,并对公共服务造成重大破坏。
1月27日,伊朗国家广播公司(IRIB)成为攻击者针对性网络攻击的对象,导致几个国营电视频道播放反对派领导人的录像。研究人员调查了此次攻击,并从公开资源中检索与该事件有关的文件和证据。跟进调查后发现了恶意可执行文件,其目的是播放抗议信息,此外,研究人员还发现了使用Wiper恶意软件的证据。这表明,攻击者的目的也是为了破坏国家广播网络。国家广播网络受到的破坏可能比官方报道的更加严重。
分析此次攻击中的工具,发现了对受害者屏幕进行截图的恶意软件,几个定制的后门例如WinScreeny、HttpCallbackService,以及用于安装和配置恶意可执行文件的相关批处理脚本和配置文件。目前找不到任何证据表明这些工具以前被使用过,因此不能将其归因于一个特定的威胁组织。
02
攻击者利用Qbot和Zerologon漏洞实现全域感染
披露时间:2022年02月21日
情报来源:https://thedfirreport.com/2022/02/21/qbot-and-zerologon-lead-to-full-domain-compromise/
相关信息:
在一场从2021年11月开始的攻击活动中,攻击者通过执行恶意DLL获得对Windows工作站的初始访问,接着使用Qbot恶意软件在环境中获得了初始立足点。Qbot执行后不久就建立了C2连接,并创建定时计划每30分钟启动一次beacon。一旦攻击者建立了持久性,他们就会使用Nltest、net和ADFind等工具继续扫描环境。
之后,攻击者会利用Zerologon漏洞(CVE-2020-1472)结合哈希传递攻击的方法获得域管理员权限,并滥用此权限部署额外的CobaltStrikebeacon,借此横向移动至网络中的其他敏感主机,从中窃取敏感文件。其中,攻击者对财务报表、勒索软件报告和工资数据的文件最感兴趣。
03
从Dridex到Macaw,犯罪团伙EvilCorp发展之路
披露时间:2022年02月23日
情报来源:https://www.sentinelone.com/labs/sanctions-be-damned-from-dridex-to-macaw-the-evolution-of-evil-corp/
相关信息:
EvilCorp("EC",又名"IndrikSpider"),是一个源自俄罗斯的犯罪集团,自2007年以来一直很活跃。2019年12月,美国财政部外国资产管制处(OFAC)对EC发出制裁,因为其利用Dridex造成了超过1亿美元的经济损失。
OFAC起诉后,EvilCorp组织的TTP发生了变化,从2020年开始,频繁改变有效载荷特征,使用不同的开发工具和初始访问方法。从Dridex转向SocGholish框架,以达到混淆归属的目的,并减少使用Dridex和Bitpaymer。在此期间,此组织不再利用PowerShellEmpire,而是更多地依赖CobaltStrike来获得最初的立足点并进行横向渗透。
2020年5月,一个新的勒索软件WastedLocker出现。WastedLocker采用了混淆代码技术,并且功能与BitPaymer和Dridex的部分功能相似。2020年12月,一个名为Hades的新勒索软件变体首次出现并被公开报道。Hades是WastedLocker的一个64位编译版本,重要代码和功能与WastedLocker重叠。几个月后,在2021年3月,一个新的变体PhoenixLocker出现。分析表明,这是Hades的一个重塑版本,几乎没有任何变化。后来,一个名为PayloadBIN的新变体出现,是PhoenixLocker的延续。BitPaymer、WastedLocker、Hades、PhoenixLocker、PayloadBIN,这些恶意软件的代码高度重叠并且共享配置,足以证明其来自同一代码库。
从历史上看,EvilCorp运作主要有两种方式,第一种是通过传播Dridex(及其衍生产品)进行僵尸网络操作,开展大规模的垃圾邮件活动。第二种是使用BitPaymer勒索软件进行小批量的勒索。这种长期实行的不同的战术都体现了此组织的复杂程度和高适应性。
04
针对MS-SQL服务器的攻击分析
披露时间:2022年02月21日
情报来源:https://asec.ahnlab.com/en/31811/
相关信息:
ASEC分析小组最近发现有攻击者针对有漏洞的MS-SQL服务器传播CobaltStrike的情况。MS-SQL服务器是典型的Windows环境数据库,它一直以来都是攻击的目标。针对MS-SQL服务器的攻击包括对漏洞的利用、暴力破解攻击。
攻击者或恶意软件通常会扫描1433端口,以检查MS-SQL服务器是否对外开放。然后,对管理账号进行暴力破解,试图登录。即使MS-SQL服务器不向公众开放,也有一些恶意软件,比如LemonDuck恶意软件,它会扫描1433端口,并为内部网络中进行横向移动做准备。
除了LemonDuck之外,针对MS-SQL服务器的其他恶意软件还包括Kingminer和Vollgar等挖矿软件。在攻击者成功登录管理账号后,会通过远程执行命令部署CobaltStrikebeacon。
恶意代码情报
01
MacCoinminer利用开源二进制文件和I2P网络隐藏恶意流量
披露时间:2022年02月21日
情报来源:https://www.trendmicro.com/en_us/research/22/b/latest-mac-coinminer-utilizes-open-source-binaries-and-the-i2p-network.html
相关信息:
Coinminers是恶意行为者更有利可图的恶意软件类型之一,一旦安装在受害者的设备上,它们几乎不需要维护。
研究人员发现,2022年1月上旬的Coinminers样本使用了几个经过修改的开源组件,攻击者对其进行了修改。该样本还被发现使用i2pd(又名I2P守护程序)来隐藏其网络流量。I2pd是隐形Internet协议或I2P客户端的C++实现。I2P是一个通用匿名网络层,它允许匿名的端到端加密通信——参与者不会透露他们的真实IP地址。以前,其他Mac恶意软件样本(Eleanor、DOK、Keranger)使用Tor来隐藏其网络活动,因此i2pd的这种用法是新出现的。
在与旧样本对比后发现了一些相同之处:
这些样本伪装成AdobePhotoshop或LogicProX。
所有五个旧样本都使用i2pd访问同一个i2pd下载服务器。
下载服务器托管多个文件。
一些样本利用随机文件名和零字节填充来逃避检测。
观察到四个样本具有持久性。其中一个尝试覆盖已安装的AdobePhotoshop应用程序中的Mach-O可执行文件。
所有样本都被打包在DMG文件中,因为这些样本尝试从默认挂载DMG文件的/Volumes目录启动或复制。
对于下载的后缀为“_md5”的文件,其内容预计为md5哈希。哈希值将与其他下载文件的md5哈希值进行比较。如果它们不相等,带有“_md5”后缀的文件将重试下载。
对于较旧的样本,创建了两个隧道,但只使用了127.0.0.1:4546。最新的coinminer样本只创建了一个隧道:127.0.0.1:4545。
02
黑客通过MicrosoftTeams分发恶意软件
披露时间:2022年02月17日
情报来源:https://www.avanan.com/blog/hackers-attach-malicious-.exe-files-to-teams-conversations
相关信息:
从2022年1月开始,Avanan研究人员观察到黑客如何在Teams对话中释放恶意可执行文件。该文件将数据写入Windows注册表,安装DLL文件并创建允许程序自行管理的快捷方式链接。Avanan每个月都会看到数千起此类攻击。
攻击者侵入Teams,通过电子邮件或欺骗用户开始其攻击活动。然后,攻击者将一个名为“UserCentric”的exe可执行文件附加到聊天中。该文件是一个木马程序,会安装DLL文件并创建快捷链接。
03
PseudoManuscrypt以与Cryptbot相同的方法分发
披露时间:2022年02月18日
情报来源:https://asec.ahnlab.com/en/31683/
相关信息:
ASEC研究人员发现,PseudoManuscrypt伪装成类似于Cryptbot形式的安装程序,并且正在进一步传播。它的文件形式不仅与Cryptbot相似,而且在用户搜索Crack和Keygen等商业软件相关的非法程序时,还会通过顶部搜索页面上暴露的恶意站点进行分发。这种分发方法以随机用户为目标。其攻击流程如下:
伪装成非法程序的顶层文件是NSIS(NullsoftScriptableInstallSystem)Installer形式,它会创建“setup_installer.exe”文件并执行。“Setup_installer.exe”创建一个Loader文件、各种恶意软件和大量的dll文件。
Loader执行由“Setup_installer.exe”一起创建的恶意软件,这个过程与Cryptbot的执行过程相同。除了PseudoManuscrypt,Loader执行的恶意软件还有SmokeLoader、Glupteba等,而PseudoManuscrypt是7zSFX的形式。最后,PseudoManuscrypt在%TEMP%路径中创建install.dll(执行解码的加载程序)和install.dat(编码的shellcode)。
04
新的Golang僵尸网络Anubis正在发展
披露时间:2022年02月22日
情报来源:https://www.zerofox.com/blog/quick-update-kraken-completes-its-rebrand-to-anubis/
相关信息:
2021年10月下旬,ZeroFoxIntelligence发现了一个以前不为人知的僵尸网络,名为Kraken。虽然仍处于积极开发阶段,但Kraken已经具备下载和执行二级有效载荷、运行shell命令以及截取受害者系统屏幕截图的能力。
它目前利用SmokeLoader(一种用于安装其他恶意软件的恶意软件)进行传播,每次部署新的命令和控制服务器时,都会迅速获得数百个机器人。尽管名称相同,但不应将其与2008年的Kraken僵尸网络混淆,因为它们几乎没有其他共同点。
在研究人员发布相关报告后,该僵尸网络作者在2022年1月4日至2022年1月7日之间的某个时间,开始在内部使用名称“Anubis”和“Pepega”。
漏洞相关情报
01
VMwareNSX数据中心存在漏洞可能使虚拟系统受到攻击
披露时间:2022年02月18日
情报来源:https://www.secforce.com/blog/escaping-vmwares-nsx-edge-os-jailed-shell/
相关信息:
VMwareCloudDirector是一个允许管理大型云基础架构的平台。可以创建托管在物理数据中心或分布在不同地理位置的多个数据中心上的虚拟数据中心(VDC)。在VMWareCloudDirector中,具有“组织管理员”权限的用户可以在NSXEdge路由器上启用SSH,这将授予他们访问受限Linuxshell的权限,他们可以使用该shell来配置路由器的服务。
近日,研究人员发现VMwareCloudDirector存在一个CLI注入漏洞。如果攻击者获得对运行NSXEdge操作系统易受攻击版本的设备的SSH访问权限,他们可以利用此漏洞获得对底层操作系统的root访问权限。利用此问题可能会对系统的机密性、完整性和可用性产生不利影响。例如:
不受限制地访问底层操作系统
对虚拟服务器的无限制网络访问,包括网络流量捕获和潜在的MITM攻击
在虚拟设备上安装恶意软件
02
Linux系统的Snap-confine功能中发现多个漏洞
披露时间:2022年02月17日
情报来源:https://blog.qualys.com/vulnerabilities-threat-research/2022/02/17/oh-snap-more-lemmings-local-privilege-escalation-vulnerability-discovered-in-snap-confine-cve-2021-44731
相关信息:
Snap是Canonical为使用Linux内核的操作系统开发的软件打包和部署系统。这些称为snaps的包和使用它们的工具snapd可以在一系列Linux发行版中工作,并允许上游软件开发人员将他们的应用程序直接分发给用户。Snap是在沙箱中运行的独立应用程序,可通过中介访问主机系统。Snap-confine是snapd内部使用的一个程序,用于构建snap应用程序的执行环境。
Qualys研究团队在Linux操作系统的snap-confine功能中发现了多个漏洞,其中最重要的漏洞CVE-2021-44731可被利用来提升权限以获得root权限。
除了CVE-2021-44731,Qualys还发现了其他六个漏洞:
点击阅读原文至ALPHA5.0
即刻助力威胁研判
立即拨打
京公网安备11000002002064号