2022.08.25~09.01
攻擊團伙情報
Kimsuky針對俄羅斯外交部攻擊
蔓靈花最新遠控元件wmRAT分析簡報
Kimsuky近期攻擊活動披露
NOBELIUM組織的後入侵工具MagicWeb
MERCURY利用未修補系統中的Log4j 2漏洞來針對以色列組織
攻擊行動或事件情報
Bahamut組織移動端武器有新變種
土耳其新加密挖礦活動Nitrokod分析
定製化勒索軟體Agenda針對亞洲和非洲企業攻擊
惡意程式碼情報
PureCrypter Loader傳播10多個其它家族
Black Basta勒索軟體分析
FontOnLake惡意軟體攻擊活動分析
漏洞情報
暢捷通T+遠端程式碼執行漏洞安全風險通告
攻擊團伙情報
01
Kimsuky針對俄羅斯外交部攻擊
披露時間:2022年08月26日
情報來源:https://blog.alyac.co.kr/4892
相關資訊:
近期,研究人員捕獲到Kimsuky組織針對俄羅斯外交部的攻擊樣本。此次攻擊是通過電子郵件進行的,分析發現Kimsuky試圖利用已失陷的俄羅斯駐瀋陽總領事館賬戶對俄羅斯駐日本總領事館進行進一步攻擊。
釣魚郵件偽裝成大使館會計部門,並以轉移資金為誘餌主題。附件包含一個正常的非惡意檔案_Pyongyang in talks with Moscow on access to Donbass.pptx,以及一個嵌入惡意宏程式碼的檔案Donbass.ppam。宏程式碼中包含了另一個名為oup的vbs檔案,通過設置任務計劃,以便每5分鐘執行一次vbs檔案。vbs檔案包含攻擊者指定的C&C伺服器地址,每5分鐘執行一次,等待攻擊者的命令。
02
蔓靈花最新遠控元件wmRAT分析簡報
披露時間:2022年08月29日
情報來源:https://mp.weixin.qq.com/s/IZNl6N2K1LUU7e1hT4JeYw
相關資訊:
近兩年蔓靈花的攻擊流程上並未有較大的變化,依舊以投遞惡意文件檔案(如公式編輯器漏洞文件、chm文件、宏檔案等)作為主要的攻擊入口,而此類型的樣本也被多次分析,此處就不再多做贅述。
通過對蔓靈花的基礎設施進行分析,研究人員捕獲到多個由蔓靈花APT組織伺服器下發的多個msi檔案。在這些msi檔案中,存在部分msi中包含vbs檔案。vbs檔案的功能多為重新命名並執行一同被釋放的元件程序。值得注意的,蔓靈花在vbs檔案中會通過「Explorer.exe」代理運行程序,並且在捕獲的多個vbs檔案的下方均存在字串「asdasdasdad」。
03
Kimsuky近期攻擊活動披露
披露時間:2022年08月25日
情報來源:https://securelist.com/kimsukys-golddragon-cluster-and-its-c2-operations/107258/
相關資訊:
2022年初,研究人員觀察到Kimsuky組織正在攻擊韓國的媒體和智囊團,包括與政治或外交活動相關的人員或組織。在其新的攻擊中,該組織通過發送Word文件的魚叉式網路釣魚電子郵件,以獲取與北韓半島地緣政治問題相關的資訊。
攻擊者主要利用HTML應用程序檔案格式感染受害者,偶爾使用Hangeul誘餌文件。受害者感染之後,攻擊者便向其傳遞一個VBS檔案,並利用合法的部落格服務來託管惡意腳本,植入的VBS檔案能夠報告有關受感染機器的資訊並下載其他有效負載。最後階段,攻擊者利用一個Windows惡意軟體從受害者那裡竊取資訊,例如檔案列表、使用者擊鍵和儲存的Web瀏覽器登入憑據。
04
NOBELIUM組織的後入侵工具MagicWeb
披露時間:2022年08月24日
情報來源:https://www.microsoft.com/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/
相關資訊:
研究人員發現了一種稱之為MagicWeb的後入侵工具,被NOBELIUM組織使用,以保持對受感染環境的持續訪問。
MagicWeb是一個惡意DLL,它允許操作由Active Directory聯合服務(AD FS)伺服器生成的令牌中傳遞的聲明。它操作用於身份驗證的使用者身份驗證證書,而不是黃金 SAML 等攻擊中使用的簽名證書。
NOBELIUM能夠通過首先獲得對高特權憑據的訪問許可權並橫向移動以獲得AD FS系統的管理特權來部署MagicWeb。攻擊者擁有AD FS系統的管理員訪問許可權,並將合法DLL替換為自己的惡意DLL,從而導致惡意軟體由AD FS而不是合法的二進位制檔案載入。一旦攻擊者獲得管理訪問許可權,他們就有很多選項可以進一步破壞系統、活動混淆和永續性。
05
MERCURY利用未修補系統中的Log4j 2漏洞來針對以色列組織
披露時間:2022年08月25日
情報來源:https://www.microsoft.com/security/blog/2022/08/25/mercury-leveraging-log4j-2-vulnerabilities-in-unpatched-systems-to-target-israeli-organizations/
相關資訊:
最近,研究人員檢測到伊朗的威脅攻擊者MERCURY(MuddyWater)利用SysAid應用程序中的Log4j 2漏洞來攻擊所有位於以色列的組織。
成功利用SysAid後,攻擊者會釋放Web shell來執行多個命令。大多數命令都與偵察有關,並使用一個編碼的PowerShell來下載攻擊者的橫向移動和永續性工具。一旦MERCURY獲得對目標組織的訪問許可權,威脅行為者就會使用多種方法建立永續性並利用新的本地管理員使用者通過遠端桌面協議(RDP)進行連接。在此會話期間,威脅參與者通過利用開源應用程序Mimikatz轉儲憑據。研究人員還觀察到MERCURY隨後在SQL伺服器中執行額外的憑證轉儲以竊取其他高許可權賬戶,如服務賬戶。
攻擊行動或事件情報
01
Bahamut組織移動端武器有新變種
披露時間:2022年08月30日
情報來源:https://mp.weixin.qq.com/s/37rosWbQhRjyT7J-B5l-FQ
相關資訊:
2022年8月,奇安信病毒響應中心移動安全團隊在高級威脅追蹤中發現到Bahamut組織投入了一個近兩年其在Android端經常使用的TriggerSpy家族新變種。該變種為第四代,此次攻擊仍採用釣魚網站進行分發。需要注意的是,目前該新變種在VirusTotal上顯示暫無其它殺軟識別。
Bahamut組織在今年8月16日開始投入釣魚網站(paytm[.]website)進行載荷投遞,釣魚網站偽裝成印度知名支付Paytm網站。根據此次的釣魚網站性質和歷史攻擊情況,分析認為Bahamut組織此次攻擊的目標主要針對的是部分印度人員。
02
土耳其新加密挖礦活動Nitrokod分析
披露時間:2022年08月29日
情報來源:https://research.checkpoint.com/2022/check-point-research-detects-crypto-miner-malware-disguised-as-google-translate-desktop-and-other-legitimate-applications/
相關資訊:
近期,研究人員檢測到了一個未公開的名為Nitrokod的土耳其加密貨幣挖礦活動,活動可能感染了全球的數千臺機器。活動的初始階段從下載一個受Nitrokod感染的程序開始,攻擊者主要從Softpedia和uptodown等數十個流行網站上的免費軟體中釋放惡意軟體。
Nitrokod自2019年開始活躍,已感染了11個國家/地區的系統。其實際上是一家土耳其語軟體開發商,提供例如谷歌翻譯桌面應用程序等已被木馬化的流行軟體。應用程序包含一個延遲機制,以釋放加密惡意軟體並造成長期感染。使用者通過google搜尋「谷歌翻譯桌面下載」時可輕鬆下載該惡意軟體,一旦啟動新軟體,就會安裝一個實際的谷歌翻譯應用程序並釋放一個更新的檔案,該檔案會啟動四個投放器,直到釋放實際的惡意軟體。惡意軟體由計劃任務執行後便連接到C2伺服器nvidiacenter.com以獲取XMRig加密礦工配置並開始挖礦活動。
03
定製化勒索軟體Agenda針對亞洲和非洲企業攻擊
披露時間:2022年08月25日
情報來源:https://www.trendmicro.com/en_us/research/22/h/new-golang-ransomware-agenda-customizes-attacks.html
相關資訊:
Agenda是一種基於Golang編寫的可針對受害者進行定製的新勒索軟體,實質上為64 位Windows PE檔案,其攻擊目標為亞洲和非洲的醫療保健和教育企業。
攻擊者主要利用Citrix伺服器作為入口點,使用有效賬戶訪問伺服器從而進入受害者的網路,然後通過掃描網路、創建組策略對象(GPO),再通過執行計劃任務將勒索軟體部署在機器上。
Agenda首先檢查註冊表值資料中的字串safeboot來確定機器是否在安全模式下運行,若檢測到機器在安全模式下運行,則終止執行。否則,終止其配置中指示的與防病毒相關的進程和服務。Agenda還通過更改使用者密碼並以安全模式重新啟動以規避檢測,並能夠利用本地賬戶憑據冒充合法賬戶的形式來執行勒索軟體二進位制檔案,並在其配置中使用嵌入式登入憑據。Agenda使用AES-256加密檔案,使用RSA-2048加密生成的金鑰。加密後,通過配置中指示的公司ID來重新命名加密檔案,然後將贖金記錄{company_id}-RECOVER-README.txt放在每個加密目錄中。Agenda最後將pwndll.dll注入svchost.exe以允許連續執行勒索軟體二進位制檔案。
目前,已發現印度尼西亞、沙烏地阿拉伯、南非和泰國的受害者,贖金要求在5萬美元到80萬美元之間。
惡意程式碼情報
01
PureCrypter Loader傳播10多個其它家族
披露時間:2022年08月29日
情報來源:https://blog.netlab.360.com/purecrypter/
相關資訊:
近日,研究人員觀察到一個MaaS類型的loader,它名為PureCrypter,今年非常活躍,先後推廣了10多個其它的家族,使用了上百個C2。本文主要從C2和傳播鏈條角度介紹我們看到的PureCrypter傳播活動,分析其運作過程。
PureCrypter使用了package機制,由兩個可執行檔案組成:downloader和injector,它們都使用C#編寫,其中downloader負責傳播injector,後者釋放並運行最終的目標家族二進位制檔案。實際操作時,攻擊者通過builder生成downloader和injector,然後先設法傳播downloader,後者會在目標機器上下載並執行injector,再由injector完成其餘工作。從程式碼邏輯上看,downloader模組相對簡單,樣本混淆程度較低,沒有複雜的環境檢測和持久化等操作,而injector則使用了loader裡常見的奇技淫巧,比如2進位制混淆、運行環境檢測、啟動傀儡進程等。
02
Black Basta勒索軟體分析
披露時間:2022年08月25日
情報來源:https://unit42.paloaltonetworks.com/threat-assessment-black-basta-ransomware/
相關資訊:
Black Basta是一種勒索軟體即服務(RaaS),於2022年4月首次出現,該勒索軟體是用C++編寫的,影響Windows和Linux作業系統,目前已攻擊了超過75個組織。
研究人員觀察到Black Basta勒索軟體組使用QBot作為初始入口點,並在受感染的網路中橫向移動。QBot,也稱為Qakbot,是一種Windows惡意軟體,最初是一種銀行木馬,後來演變為惡意軟體植入程序。它已被其他勒索軟體組織使用,包括MegaCortex、ProLock、DoppelPaymer和Egregor。雖然這些勒索軟體組使用QBot進行初始訪問,但觀察到 Black Basta 組使用它進行初始訪問並在整個網路中橫向傳播。
03
FontOnLake惡意軟體攻擊活動分析
披露時間:2022年08月31日
情報來源:https://mp.weixin.qq.com/s/pgKs4POmqi2Bnjg_uPbIoQ
相關資訊:
FontOnLake是一個經過精心設計並且在持續發展的惡意軟體家族。此類惡意軟體以Linux系統為目標,會偽裝成實用工具軟體例如kill、cat、ssh等,具備收集登入憑據,充當代理伺服器,執行shell命令等後門能力,並且會利用核心態rootkit來隱藏自身的存在。使用FontOnLake的攻擊者十分謹慎,目前觀察到的樣本都使用不同的C&C伺服器地址,常用高埠,而且當樣本出現在公開平臺後,樣本使用的C&C伺服器就不再處於活動狀態。
近期攻擊活動中,攻擊者掃描到攻擊目標的一個web服務存在Yii框架遠端命令執行漏洞,通過wget下載系統對應版本的FontOnLake惡意軟體。此外攻擊者會利用NATBypass內網穿透埠轉發工具,將內網的ssh埠轉發到公網伺服器,並使用ssh_scan工具對ssh埠進行爆破,通過Ladon的go版本以及fscan對內網進行快速掃描。
漏洞情報
01
暢捷通T+遠端程式碼執行漏洞安全風險通告
披露時間:2022年08月30日
情報來源:https://mp.weixin.qq.com/s/xjt34CvfoQXqWc67BE8K2w
相關資訊:
近日,奇安信CERT監測到暢捷通 T+ 遠端程式碼執行漏洞,在特定配置環境下,遠端未經身份認證的攻擊者可通過特定的參數在接口上傳惡意檔案從而執行任意命令。目前,此漏洞已被攻擊者利用來進行勒索軟體攻擊,奇安信天擎已在數月前支持對相關勒索軟體的查殺。官方已發佈針對此漏洞的補丁程序,鑑於此漏洞影響範圍較大,建議儘快做好自查及防護。
點選閱讀原文至ALPHA 5.0
即刻助力威脅研判