2020.04.09-2020.04.16
攻擊團伙情報
- 響尾蛇(SideWinder)APT組織使用新冠疫情為誘餌的攻擊活動分析
- Blackloan:針對中國、越南、馬來西亞VISA用戶的新黑產組織
攻擊行動或事件情報
- 攻擊者以COVID-19為主題針對政府和醫療機構發起網絡釣魚攻擊
惡意代碼情報
- 利用DNS協議穿透防禦網絡的惡意木馬家族(Mozart)
- Gootkit銀行木馬攻擊活動
- 永恆之藍木馬下載器展開“藍茶”行動,已變身“郵件蠕蟲”
- Remcos遠控木馬每月更新,利用釣魚郵件實施攻擊
- 使用Excel 4.0Macro傳播新NetWire RAT變體
- 山寨APP背後的黑產收益鏈分析
攻擊團伙情報
1. 響尾蛇(SideWinder)APT組織使用新冠疫情為誘餌的攻擊活動分析
披露時間:2020年4月14日
情報來源:
https://s.tencent.com/research/report/958.html
相關信息:
騰訊安全威脅情報中心就捕獲到了一起SideWinder APT組織以新冠疫情為主題針對巴基斯坦軍方的攻擊活動。
本次攻擊的誘餌為一個名為Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方式。執行快捷方式後,會從服務器下載hta文件並且執行。下載回來的hta會對受害設備上的.NET進行版本檢測,刪除除了V2和V4以外的版本,還通過shell指令指定執行的版本,此外,樣本之後釋放的的配置文件目的與之相同,均為防止不同.NET版本之前出現兼容性問題。除了對受害設備.NET版本進行版本選擇之外,HTA文件還會對設備上的殺軟進行檢測。之後,會創建一個HTA實例,通過url下載第二個HTA文件並將之執行,同時釋放一個PDF誘餌文檔顯示給用戶,用來迷惑用戶。
除了發現的以“新冠疫情”為主題的樣本以外,還發現SideWinder(響尾蛇)的多個其他攻擊活動。其中包括以向退役軍人發放csd回扣卡為主題的進行釣魚活動,以及使用office漏洞的攻擊。
2. Blackloan:針對中國、越南、馬來西亞VISA用戶的新黑產組織
披露時間:2020年4月13日
情報來源:
https://vitomag.com/tech/2ajnm3.html
相關信息:
近期奇安信病毒響應中心在日常監測中,發現了一批針對中國、越南、馬來西亞等國用戶的釣魚APP。該類釣魚APP主要通過仿冒正規APP誘騙用戶下載使用,通過仿冒的釣魚頁面,誘騙用戶填寫相關的個人銀行卡信息,從而達到竊取用戶賬戶信息,進而達到竊取用戶財產的目的。
經過分析發現,該類惡意軟體最早出現在2020年2月26日,且目前APP包名比較隨意大多為“com.loan.test1”,因此我們將該類銀行釣魚APP命名為“Blackloan”。跡象表明Blackloan目前只是測試樣本,後續可能還會進行更新。通過相關的關聯分析,Blackloan很有可能為新的電信詐騙團伙。
針對國內的攻擊者通過釣魚頁面,誘騙用戶填寫個人銀行卡信息,如果用戶進行了填寫,會上傳用戶個人信息到指定的服務端。對用戶可能持有的銀行卡都做了相應的釣魚頁面。
針對越南的釣魚攻擊,Blackloan主要通過仿冒越南公安的APP進行釣魚攻擊,通過釣魚頁面誘騙用戶填寫敏感的個人信息,上傳到服務端後並進行後續攻擊。
針對馬來西亞的釣魚攻擊,Blackloan主要通過仿冒馬來西亞國家銀行APP進行釣魚攻擊,通過釣魚頁面誘騙用戶填寫敏感的個人信息,上傳到服務端後並進行後續攻擊。
攻擊行動或事件情報
1. 攻擊者以COVID-19為主題針對政府和醫療機構發起網絡釣魚攻擊
披露時間:2020年4月14日
情報來源:
相關信息:
2020年3月24日Unit42發現了幾個偽造發送地址的惡意電子郵件攻擊活動,攻擊目標為加拿大政府衛生組織以及進行COVID-19研究的加拿大大學相關的幾個人。
電子郵件均包含惡意的RTF網絡釣魚誘餌,其文件名為20200323-sitrep-63-covid-19.doc,當使用易受攻擊的應用程序打開時觸發CVE-2012-0158下載攻擊載荷。在磁盤中釋放一個名為Svchost.exe的勒索程序。
惡意代碼情報
1. 利用DNS協議穿透防禦網絡的惡意木馬家族(Mozart)
披露時間:2020年4月15日
情報來源:
http://blog.nsfocus.net/mozart-0415/
相關信息:
2月初,伏影實驗室威脅追蹤系統監測到一個使用DNS協議進行命令控制的惡意軟體家族Mozart。
通常,惡意軟體利用DNS的遞歸查詢機制,構造帶異常長度的域名,通過解析的過程與C2服務器進行通信。而本次發現的惡意軟體則利用了DNS的TXT記錄,TXT記錄用來保存域名的附加文本信息,TXT記錄的內容可以按照一定的格式編寫,也可以自定義任意內容。
PDF釣魚文件是通過釣魚郵件的附件獲取,其中的內容為亂碼,攻擊者在用紅色字標註當前PDF查看器不支持當前文檔的字體樣式,需要點擊下載獲取字體樣式才可以正常查看,攻擊者利用模糊內容來誘導用戶點擊鏈接下載後續攻擊載荷。
2. Gootkit銀行木馬攻擊活動
披露時間:2020年4月13日
情報來源:
https://threatvector.cylance.com/en_us/home/threat-spotlight-gootkit-banking-trojan.html
相關信息:
Gootkit於2014年夏季出現,至今仍處於活躍狀態,ThreatVector近期觀察發現Gootkit一直在更新Gootkit樣本。Gootkit使用了多個規避技術,包括反VM,反調試和反沙箱。Gootkit還會將字符串存儲在臨時堆內存中,來規避特徵字符串的檢查。Gootkit的核心DLL模塊還能夠用於執行惡意活動的JavaScript文件。其後門功能包括更新DLL、啟動VNC服務器、鍵盤記錄、注入惡意腳本以竊取在線銀行憑證、錄視頻、竊取電子郵件以及執行其他惡意操作。
3. 永恆之藍木馬下載器展開“藍茶”行動,已變身“郵件蠕蟲”
披露時間:2020年4月10日
情報來源:
https://s.tencent.com/research/report/957.html
相關信息:
騰訊安全威脅情報中心檢測到“永恆之藍”下載器木馬新增郵件蠕蟲傳播能力。病毒執行後自動查找當前用戶的郵箱通訊錄併發送以新冠肺炎為主題(“The Truth of COVID-19”)的郵件,郵件附件文檔名為urgent.doc,該文檔附帶CVE-2017-8570漏洞攻擊代碼,如果被攻擊用戶收到郵件並不慎打開文檔,就可能觸發漏洞執行Powershell命令執行惡意代碼。
文檔觸發漏洞最終下載執行的惡意代碼,同時還會蒐集用戶名、計算機名上傳至服務器。隨後將隨機產生的DGA域名指向病毒使用的服務器地址,然後安裝一個隨機名計劃任務,執行命令為“PS_CMD”;安裝一個名為bluetea的計劃任務。
Bluetea攻擊行動從2020.03.30,攻擊影響波及製造業、科技、酒店、物流、金融等10多個行業,其中製造業、科技企業、酒店行業受害最嚴重。
4. Remcos遠控木馬每月更新,利用釣魚郵件實施攻擊
披露時間:2020年4月14日
情報來源:
https://s.tencent.com/research/report/959.html
相關信息:
Remcos遠控是2016年公開售賣的遠控工具,至今已更新66個版本,幾乎每個月都會更新1-2個版本,本次捕獲的樣本即為最新版2.5.0,團伙利用附帶CVE-2017-11882漏洞的文檔進行魚叉攻擊,分別投放Remcos RAT以及一個基於powershell 的RAT。
2018年,騰訊安全威脅情報中心就曾監測到Remcos遠控利用CVE-2017-11882漏洞進行傳播,時隔兩年之後仍然發現攻擊者依然沿用老套路繼續攻擊。Remcos啟動後會尋找系統默認的web瀏覽器,並把自身代碼注入到web瀏覽器中。Remcos其後門功能包括遠程桌面控制,遠程聊天,文件管理,遠程CMD,服務管理,已安裝軟體管理等。
5. 使用Excel 4.0 Macro傳播新NetWire RAT變體
披露時間:2020年4月14日
情報來源:
https://www.fortinet.com/blog/threat-research/netwire-rat-targeting-taxpayers-is-spreading-via-legacy-microsoft-excel-4-0-macro.html
相關信息:
FortiGuard Labs從野外收穫了一個Excel樣本,樣本中包含宏代碼。攻擊者誘使受害者相信附件包含有關美國稅表1040和W2的重要IRS信件。當啟用宏之後會自動執行Auto_Open函數執行惡意宏代碼,隨後從遠程服務器下載一個名稱為unmodifiedness.msi的文件,啟動之後會通過注入將NetWire變體注入到子進程中執行。
6. 山寨APP背後的黑產收益鏈分析
披露時間:2020年4月16日
情報來源:
https://vitomag.com/tech/jz1zx5.html
相關信息:
近期,安全友商Bitdefender發佈一篇有關Zoom的分析報告,奇安信病毒響應中心從中發現一起針對國內用戶進行廣告推廣的山寨Zoom APP,對此奇安信病毒響應中心專門對其進行了深入分析。經過深入分析,奇安信病毒響應中心挖掘出一條山寨APP流量推廣的灰色產業鏈,黑產人員通過往熱門應用”插包”的方式,植入廣告劫持模塊進行刷量作弊,當正常用戶被誘導安裝使用了這些真假難辨的山寨應用後,即可實現對廣告主的”薅羊毛”行為。
涉及到的APP達到7245個,影響範圍包括豌豆莢應在內的眾多大型、小型應用商店,嚴重危害到開發廠商以及應用商店的利益。
樣本主要分為兩個版本。第一個版本的山寨APP樣本是一款名字是”戰神破曉”的應用,首次捕獲時間為2018年7月。該版本功能只是在應用退出時讓用戶選擇是否下載豌豆莢APP應用,並不會強制用戶下載。時隔1年,該家族進行更新演變出第二個版本,隨後開始大量的山寨各種應用,從上傳時間可以獲悉其後出現的應用間隔時間很短。
