每週高級威脅情報解讀(2022.10.27~11.03)

2022.10.27~11.03

攻擊團伙情報

  • APT-Q-36:南亞摩訶草組織近期武器庫迭代更新分析

  • 南亞之蟒–APT組織針對印度國防部投遞新型Python竊密軟體活動分析

  • Lazarus組織使用 BYOVD技術禁用反惡意軟體程序的攻擊案例分析

  • 「海蓮花」組織運營的物聯網殭屍網路Torii

  • 疑似朝鮮Lazarus組織持續攻擊韓國地區

  • 印度白象組織利用BADNEWS木馬攻擊中國科研院校

攻擊行動或事件情報

  • 疑似TeamTNT組織發起Kiss-a-dog挖礦活動

  • BlackCat勒索組織詳情披露

  • 黑產團伙模仿Lazarus組織攻擊活動手法

惡意程式碼情報

  • Drinik惡意軟體再次瞄準印度銀行使用者

  • Raspberry Robin被用於勒索軟體前的攻擊

  • 新的「Azov勒索軟體」擦拭器試圖陷害研究人員

漏洞情報

  • OpenSSL多個高危漏洞安全風險通告

其他

  • 全球高級持續性威脅(APT)2022年中報告

攻擊團伙情報

01

APT-Q-36:南亞摩訶草組織近期武器庫迭代更新分析

披露時間:2022年10月27日

情報來源:https://mp.weixin.qq.com/s/IwcxY3TqkmyY-pBxnXuM1A

相關資訊:

奇安信威脅情報中心紅雨滴團隊在日常的樣本跟蹤分析過程中,捕獲摩訶草組織多個近期針對周邊國家和地區的定向攻擊樣本。結合近幾個月我們收集的資料來看,該組織正在對其武器庫進行更新迭代,並且使用被竊取的簽名偽裝攻擊樣本,我們總結出該組織近期的木馬特點如下:

1.引入開源加密庫,對加密演算法進行更新;

2.所屬攻擊樣本大部分都打上了被竊取的簽名,降低在主機上暴露的風險;

3.Shellcode繞過部分安全產品對重點API調用的監控;

4.開發新的注入器,並使用mimikatz竊取受害主機金鑰;

02

南亞之蟒–APT組織針對印度國防部投遞新型Python竊密軟體活動分析

披露時間:2022年10月28日

情報來源:https://mp.weixin.qq.com/s/il8Sq8MlgeNLnNDzypHFyA

相關資訊:

近日,研究人員捕獲到南亞地區「網路衝突間諜戰」中的惡意文件檔案,檔案運行後將載入遠端模板中的宏程式碼執行,後續在本地釋放PyInstaller打包的檔案竊密器。此活動主要針對印度國防部下設的CSD部門,與已知APT組織常用的攻擊手段有較大差異。

第一階段通過CVE-2017-0199漏洞文件遠端載入包含宏程式碼的flyer.png檔案,宏程式碼會打開flyer[1].png讀取資料寫入ZIP。隨後將ZIP檔案中的document01.docx解壓,釋放theme01.xml到本地\System32\spool\drivers\color路徑下重新命名為sppsvc.exe,該檔案為PyInstall打包的竊密軟體,會竊取多種後綴檔案。通過創建計劃任務實現sppsvc.exe的持久化操作,最後打開document01.docx誘餌檔案迷惑使用者,誘餌文件內容為CSD摩托車品牌價格清單。

03

03

Lazarus組織使用BYOVD技術禁用反惡意軟體程序的攻擊案例分析

披露時間:2022年10月31日

情報來源:https://asec.ahnlab.com/en/40830/

相關資訊:

近日,研究人員發現Lazarus組織使用水坑技術滲透目標系統,在成功入侵目標網站後,攻擊者便可操縱網站的內容。鑑於此功能僅在從特定IP訪問網站時激活,則視為特定公司或組織成為目標。

當使用易受攻擊的INISAFECrossWebEX的PC使用者通過 Web 瀏覽器訪問該網站時,網站會分發下載Lazarus組織的惡意軟體(SCSKAppLink.dll)並通過IISAFECrossWebEXSvc.exe執行。Lazarus利用MagicLine4NX(一種執行證書驗證以及電子簽名和資料加密解密功能的解決方案)的漏洞來訪問內部系統,通過MagicLine4NX進程向ftp.exe注入惡意執行緒來執行惡意行為。

攻擊者還使用RDP訪問內部系統。在獲得訪問許可權後,攻擊者會先生成一個後門來維持控制並允許主機防火牆中的TCP 60012埠,後門將通過該埠進行通訊。之後,創建後門檔案並將其註冊為服務以保持控制。然後,創建rootkit惡意軟體以及易受攻擊的DLL和驅動程序以禁用安全軟體。為了禁用系統的安全軟體,攻擊者還使用了BYOVD(Bring Your Own Vulnerable Driver,一種使用易受攻擊的驅動程序模組的攻擊)技術。

04

「海蓮花」組織運營的物聯網殭屍網路Torii

披露時間:2022年11月02日

情報來源:https://mp.weixin.qq.com/s/v2wiJe-YPG0ng87ffBB9FQ

相關資訊:

2020年至今,「海蓮花」利用國內外失陷IoT設備做流量中轉,研究人員於2021年找到證據確定Torii殭屍網路背後攻擊者實際為「海蓮花」組織,並且證實Torii殭屍網路控制的主機被用於APT攻擊活動的流量隱藏&跳板,流量轉發的方式包括iptables轉發、tinyPortMapper等,失陷設備代理流量的木馬類型包括CobaltStrike、Buni、Torii、Remy等。

Torii木馬家族,最早在2018年由Avast安全廠商披露,而後在2021年國內友商報告中提到Torii木馬和RotaJakiro(雙頭龍)存在相似的程式碼設計思路,木馬最新版本和Avast安全廠商披露的版本存在通訊流量加密演算法上的細微變動。

將Torii殭屍網路背後的攻擊組織歸因為「海蓮花」的證據如下:

1.Torii殭屍網路所控制的主機主要被用於「海蓮花」攻擊活動中的流量中轉&隱藏,在少量攻擊活動中,該木馬也用於控制儲存性質的主機竊取資料;

2.Torii木馬、RotaJakiro(雙頭龍)和「海蓮花」MacOS平臺所使用的木馬,三者存在相似的程式碼設計思路;

3.資產特點和APT32歷史中所使用的一致,包括但不限於:域名註冊服務商「Internet Domain Service BS Corp.」、NS伺服器「he.net」、IP伺服器提供商「EstNOC OY」。

05

疑似朝鮮Lazarus組織持續攻擊韓國地區

披露時間:2022年11月01日

情報來源:https://mp.weixin.qq.com/s/w-KF5HUNe8-KlmFl6zLkZw

相關資訊:

近期,研究人員再次發現了朝鮮APT組織Lazarus針對韓國的攻擊活動,其活動誘餌文件標題為「Sogang KLEC.docx」(西江大學韓國語言教育中心.docx)。Lazarus組織是半島地區的頂尖駭客團伙,專注於針對特定目標進行長期的持續性網路攻擊,以竊取資金和實現政治目的為出發點,是全球金融機構的最大威脅之一。

攻擊者首先採用惡意模板注入的方式,等待誘餌文件被目標使用者打開並下載到受害者主機。然後模板中的宏程式碼通過請求指定的URL以下載惡意載荷並將其注入到WINWORD.exe中執行。接著,惡意載荷釋放並執行下載工具IEUpdate.exe,以及將其添加至註冊表RUN中實現持久化。最後,IEUpdate.exe發送訊息以獲取後續通訊使用的C2,再根據回傳的資訊下載執行不同惡意載荷。目前已知存在hvncengine.dll和shellengine.dll兩種載荷,均用於與C2通訊以實現遠端控制。

06

06

印度白象組織利用BADNEWS木馬攻擊中國科研院校

披露時間:2022年10月27日

情報來源:https://mp.weixin.qq.com/s/BXjZ6fEgNmLY_l8cZt1FXQ

相關資訊:

2022年9月底,研究人員發現了來自印度白象(別稱Patchwork)組織的網路攻擊活動,攻擊者主要通過釣魚攻擊手法投遞其專用遠控木馬BADNEWS。

活動感染鏈始於掛載惡意連結的誘餌文件,且連結指向內容發生過多次變化,但都主要面向科研院所領域。9月28日,研究人員捕獲到名為「重大項目領域建議.doc」的誘餌文件,該文件通過偽造為某科學基金標題,誘導受害者點選運行。此外,文件包含還CVE-2017-11882漏洞的利用條件,當文件運行時,將觸發漏洞並釋放名為mcods.exe的木馬程序,該惡意軟體為白象組織長期使用的專有遠控BADNEWS家族,且此次主要瞄準中國地區。一旦木馬程序檢測到受害主機的時區為中國,就會竊取受害者的資料並將其發送到攻擊者的C2伺服器。

攻擊行動或事件情報

01

疑似TeamTNT組織發起Kiss-a-dog挖礦活動

披露時間:2022年10月26日

情報來源:https://www.crowdstrike.com/blog/new-kiss-a-dog-cryptojacking-campaign-targets-docker-and-kubernetes/

相關資訊:

研究人員近期發現了一起針對易受攻擊的Docker和Kubernetes基礎設施的新挖礦活動:Kiss-a-dog。此次入侵活動發現於2022年9月,其名稱來自一個名為「kiss.a-dog[.]top」的域,該域使用Base64編碼的Python命令觸發受感染機器上的shell腳本以下載有效負載。活動的最終目的是使用XMRig挖礦軟體竊取加密貨幣,併為其他後續攻擊提供後門和Docker實例。此外,活動的C2設施與TeamTNT等組織相關的基礎設施重疊,這些組織此前被觀察到會攻擊配置錯誤的Docker和Kubernetes實例。

02

BlackCat勒索組織詳情披露

披露時間:2022年10月27日

情報來源:https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-blackcat

相關資訊:

2021年11月中旬,第一個由Rust編寫的BlackCat(又名AlphaVM、AlphaV或ALPHV)勒索軟體系列首次被MalwareHunterTeam團隊觀察到。該勒索軟體通常利用MS Exchange Server漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)獲取初始訪問許可權,然後再通過使用嵌入式 PsExec模組自行進行橫向傳播。BlackCat勒索組織通常對知名目標進行連續攻擊,執行Raas操作並採用三重勒索策略。除了公開洩露的資料外,勒索軟體攻擊者還聲稱要對受害者的基礎設施發起分散式拒絕服務 (DDoS) 攻擊,以迫使其支付贖金。此外,FBI曾發佈公告稱,BlackCat的幾名開發人員與兩個已解散的RaaS組織:DarkSide和BlackMattet存在關聯。

自2021年首次問世以來,BlackCat勒索組織的攻擊範圍涉及全球各行各業,其中受影響較多的地區依次為美國、澳大利亞、歐洲和亞太地區,主要攻擊行業則為製造業。據調查顯示,從2021年12月1日至2022年9月30日,該組織共入侵了173個組織。

03

03

黑產團伙模仿Lazarus組織攻擊活動手法

披露時間:2022年10月31日

情報來源:https://mp.weixin.qq.com/s/vSpNiS8vF2OLJw18MJIHnQ

相關資訊:

LNK檔案是Windows快捷方式,是基於ShellLink二進位制檔案格式,其中包含用於訪問資料對象的資訊。利用LNK檔案執行惡意指令的攻擊方式也常被APT組織濫用。在「DangerousPassword」攻擊活動中,攻擊者在壓縮檔案中附上帶有加密文件的誘餌檔案和一個名稱中帶有「password」的LNK惡意檔案,再誘導使用者點選惡意LNK檔案後,從攻擊者控制的基礎設施中下載下一階段載荷以執行後續惡意功能。

研究人員近期捕獲了一些由黑產團伙發起的類似的攻擊活動。攻擊者模仿APT-C-26(Lazarus)組織下發加密PDF文件作為誘餌和具有誘惑性名稱的LNK惡意檔案手法,而且攻擊鏈在初始訪問和執行階段的手法和Lazarus組織的DangerousPassword攻擊活動手法非常相似,但其下發的惡意載荷是目前流行的惡意程序,甚至是公開發售的程序,例如IceDid或挖礦木馬等。此外在公開威脅情報中也表明IceDid也會利用LNK、powershell和mshta等惡意荷載發起攻擊。目前這些模仿DangerousPassword攻擊活動手法的「案例」沒有歸屬到任何APT組織,其更像黑產團伙所為。

惡意程式碼情報

01

Drinik惡意軟體再次瞄準印度銀行使用者

披露時間:2022年10月27日

情報來源:https://blog.cyble.com/2022/10/27/drinik-malware-returns-with-advanced-capabilities-targeting-indian-taxpayers/

相關資訊:

最近,研究人員發現了一個升級版的Drinik,它冒充印度所得稅部門並再次針對18家印度銀行發起攻擊。Drinik惡意軟體的早期變種於2016年作為SMS竊取程序首次被發現。大約在2021年8月,該惡意軟體再次活躍並演變為Android銀行木馬。2021年9月,該應用程序通過網路釣魚活動竊取了印度納稅人個人身份資訊 (PII) 和銀行憑證。

最新活動中,攻擊者使用了之前相同的活動主題來引誘受害者,但惡意軟體已升級並具備高級功能,包括通過螢幕錄製以獲取憑據、鍵盤記錄、利用CallScreeningService來管理來電通知並通過FirebaseCloudMessaging接收命令等。攻擊者通過這些高級功能可竊取印度所得稅網站的憑證、銀行憑證和生物特徵細節等。目前,Drinik惡意軟體仍在開發中,未來仍然可能會觀察到Drinik惡意軟體的新變種。

02

02

Raspberry Robin被用於勒索軟體前的攻擊

披露時間:2022年10月27日

情報來源:https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/

相關資訊:

Raspberry Robin於 2021 年 9 月首次被發現,通常通過受感染的可移動驅動器(通常是USB設備)引入網路。據研究人員調查,該蠕蟲在過去30天內已在近1,000個組織的設備上觸發了有效負載警報。

最初,Raspberry Robin蠕蟲通常以快捷方式.lnk檔案的形式出現,偽裝成受感染USB設備上的合法檔案夾。lnk檔案的名稱是recovery.lnk,後來更改為與USB設備品牌相關的檔案名。Raspberry Robin通過自動運行啟動或社會工程來誘導使用者單擊LNK檔案,LNK檔案指向cmd.exe以啟動Windows Installer服務msiexec.exe並安裝託管在受感染的QNAP網路附加儲存(NAS)設備上的惡意負載。惡意負載會注入到包括regsvr32.exe、rundll32.exe和dllhost.exe在內的系統進程中,並連接到託管在Tor節點上的各種命令和控制(C2)伺服器。

03

03

新的「Azov勒索軟體」擦拭器試圖陷害研究人員

披露時間:2022年10月30日

情報來源:https://www.bleepingcomputer.com/news/security/new-azov-data-wiper-tries-to-frame-researchers-and-bleepingcomputer/

相關資訊:

一種新的破壞性Azov Ransomware資料擦除器正在通過盜版軟體、金鑰生成器和廣告軟體包大量傳播。試圖通過聲稱他們是攻擊的幕後黑手來陷害知名安全研究人員。Azov勒索軟體試圖通過聲稱是由一位名叫Hasherazade的知名安全研究人員創建的,並列出了參與該操作的其他研究人員,其中包括BleepingComputer,以此來陷害知名安全研究人員。由於無法聯繫威脅參與者支付贖金,因此該惡意軟體應被視為破壞性資料擦除器,而不是勒索軟體。

在過去兩天開始的新活動中,威脅參與者似乎通過SmokeLoader殭屍網路傳播Azov擦除器,此外還會提供其他惡意軟體,如RedLine Stealer和STOP勒索軟體,因此有受害者受到Azov和STOP勒索軟體的雙重加密。初始勒索軟體將被放到%Temp%檔案夾中的隨機檔案下並執行。擦除器現在將掃描計算機上的所有驅動器並加密任何沒有 .ini、.dll和.exe副檔名的檔案。加密檔案時,它會將.azov 檔案副檔名附加到加密檔案的名稱中。比如1.doc被加密重新命名為1.doc.azov。

漏洞情報

01

OpenSSL多個高危漏洞安全風險通告

披露時間:2022年11月02日

情報來源:https://mp.weixin.qq.com/s/8gr30USDJkBB5ymWtFbyvQ

相關資訊:

OpenSSL 是用於傳輸層安全 (TLS) 協議(以前稱為安全套接字層 (SSL) 協議)的強大、商業級、功能齊全的開源工具包,協議實現基於全強度通用密碼庫,用於保護計算機網路上的通訊免受竊聽,被網際網路伺服器廣泛使用(包括大多數HTTPS網站)。

近日,奇安信CERT監測到OpenSSL官方發佈了漏洞安全更新,包括OpenSSL拒絕服務漏洞(CVE-2022-3786)和OpenSSL遠端程式碼執行漏洞(CVE-2022-3602),攻擊者利用CVE-2022-3786漏洞,製作包含惡意電子郵件地址的證書,以溢出包含”.”的任意位元組數,此緩衝區溢出可能導致服務崩潰。CVE-2022-3602漏洞存在於ossl_punycode_decode函數,當客戶端或伺服器配置為驗證X.509證書時調用此函數,攻擊者可以通過在電子郵件地址欄位的域中創建包含 punycode 的特製證書來利用該漏洞,可能導致服務崩潰或潛在的遠端程式碼執行。

其他

01

全球高級持續性威脅(APT)2022年中報告

披露時間:2022年10月31日

情報來源:https://mp.weixin.qq.com/s/w9GHtqcAbHx-E5OsQXkKPw

相關資訊:

近日,奇安信威脅情報中心發佈《全球高級持續性威脅(APT)2022年中報告》,該報告通過分析奇安信威脅雷達對2022上半年境內的APT攻擊活動的全方位遙感測繪資料,展示了我國境內APT攻擊活動及高級持續性威脅發展趨勢,並結合開源情報分析了全球範圍內高級持續性威脅發展變化,特別是俄烏衝突使得該地區成為APT攻擊的重災區。

在野0day漏洞方面,2022年上半年0day漏洞的攻擊使用整體趨於緩和,比之2021年有大幅下降,但同比2020年的0day在野漏洞攻擊依然有所增加。以瀏覽器為核心的漏洞攻擊向量仍然是主流趨勢,其中大部分為沙箱逃逸漏洞,主要源自之前漏洞補丁繞過的變種。

按照以往慣例,本報告最後會從地域空間的角度詳細介紹了各地區的活躍APT組織及熱點APT攻擊事件。詳見情報來源連結。

點選閱讀原文至ALPHA 5.0

即刻助力威脅研判

相關文章

2023,元宇宙「脫虛向實」

2023,元宇宙「脫虛向實」

在希望與爭議中,元宇宙渡過了關鍵的一年。 從國際局勢,到新冠疫情,過去三年「新常態」的衝擊,讓外部環境充斥著不確定性,也令這個時代的人們處於...

建設 Web3,現在最需要 Web2 的移民?

建設 Web3,現在最需要 Web2 的移民?

Web3 處在「大規模應用」爆發的前夜 從國際局勢,到新冠疫情,過去三年「新常態」的衝擊,讓外部環境充斥著不確定性,也令這個時代的人們處於前...