每週計算機網路高級威脅情報解讀

2020.04.16-2020.04.23

攻擊團伙情報

Lazarus APT組織利用新冠疫情誘餌針對韓國地區的定向攻擊分析

APT32利用疫情信息針對武漢政府和中國應急管理部門的攻擊活動

MMCore針對南亞地區的APT攻擊活動分析

Konni組織利用口罩信息的攻擊活動

Gorgon使用COVID-19爆發對加拿大和其他地區發起網絡攻擊

Gamaredon APT組織使用COVID-19為誘餌進行攻擊活動

APT34更新後門工具TONEDEAF

敘利亞電子網軍SEA利用惡意軟體感染Android用戶

攻擊行動或事件情報

ICEBUCKET行動：對網絡廣告商的欺詐活動

利用Agent Tesla間諜軟體針對能源公司的攻擊活動

惡意代碼情報

PoetRAT:利用疫情信息針對阿塞拜疆的Python RAT

RubyGems存儲庫中存在700多個惡意軟體包

勒索軟體ProLock藏身圖片

AgentTesla惡意軟體新變種竊取WIFI憑證

漏洞相關情報

蘋果修補了兩個被濫用多年的iOS 0day漏洞

CVE-2020-1967: openssl 拒絕服務漏洞通告

福昕軟體發佈補丁程序修復數十個嚴重漏洞

其他相關

全球知名黑客組織活動報

攻擊團伙情報

Lazarus APT組織利用新冠疫情誘餌針對韓國地區的定向攻擊分析

披露時間：2020年04月15日

情報來源：https://ti.qianxin.com/blog/articles/analysis-of-lazarus-apt-targeted-attack-against-south-korea-using-new-crown-outbreak-bait/

相關信息：

Lazarus是疑似具有東北亞背景的APT組織，因2014年攻擊索尼影業開始受到廣泛關注，其攻擊活動最早可追溯到2007年，該組織早期主要針對其他國家政府機構，以竊取敏感情報為目的。但自2014年後，該組織開始針對全球金融機構，虛擬貨幣交易場等為目標，進行以斂財為目的的攻擊活動。

近日，奇安信威脅情報中心紅雨滴團隊在日常的異常樣本監控過程中捕獲到多例該團伙利用疫情為誘餌攻擊周邊國家的樣本。定向攻擊使用韓國地區特有的HWP文檔並偽裝為韓國仁川疾控中心的郵件進行投遞，具有極強的針對性。紅雨滴團隊在發現此次攻擊活動的第一時間向安全社區進行預警。

APT32利用疫情信息針對武漢政府和中國應急管理部門的攻擊活動

披露時間：2020年04月22日

情報來源：https://www.fireeye.com/blog/threat-research/2020/04/apt32-targeting-chinese-government-in-covid-19-related-espionage.html

相關信息：

Fireeye Mandiant 威脅情報團隊稱，自2020年1月至今，疑似海蓮花（APT32）組織對中國政府相關機構進行了入侵活動，攻擊者將魚叉式網絡釣魚郵件發送給了中國緊急情況管理部以及武漢市政府，Mandiant 認為此攻擊活動是為了收集COVID-19相關的情報信息。

第一起已知的攻擊活動發生在2020年1月6日，攻擊者將主題為“辦公設備招標第一季度結果報告”的電子郵件發送給中國緊急情況管理部門，並在郵件中插入探針，一旦受害者打開郵件，該探針將向遠程發送受害者的電子郵件地址。

Mandiant 還發現海蓮花以COVID-19為誘餌針對中國，該誘餌文檔名為“COVID-19實時更新：中國目前正在追蹤所有來自湖北省的旅行者”，該誘餌文檔打開後將在受害者計算機中執行shellcode以收集計算機名，用戶名。最終將加載METALJACK有效載荷從而控制受害者計算機。

MMCore針對南亞地區的APT攻擊活動分析

披露時間：2020年04月17日

情報來源：https://mp.weixin.qq.com/s/QrmXuXt3jKjNYzRQn3SIWQ

相關信息：

MMCore是一款有趣的惡意文件，為下載器下載後在內存中解密執行的一個惡意文件。該惡意文件也被稱為BaneChant，最早由fireeye在2013年曝光。此外Forcepoint也在2017年初曝光過而惡意文件的一些攻擊活動。

該惡意文件的活動，主要活躍在亞洲地區，包括中國、巴基斯坦、阿富汗、尼泊爾等。不過Forcepoint也提到該攻擊活動也包含非洲和美國。攻擊的目標主要為軍事目標、媒體、大學等。

該攻擊活動可以追溯到2013年，直到2020年，依然存在。雖然技術上並未發生太大的改變，但也存在一些有趣的變化。此外在歸屬上，騰訊御見威脅情報中心認為該惡意文件跟印度的一些APT攻擊組織有關聯，包括白象、蔓靈花、孔夫子等。

Konni組織利用口罩信息的攻擊活動

披露時間：2020年04月22日

情報來源：https://blog.alyac.co.kr/2932

相關信息：

疫情期間，口罩是預防感染的有效措施之一，近期，世界範圍內對口罩的需求顯著增加。ESTsecurity捕獲了一起偽裝為口罩相關信息的攻擊樣本，該樣本由韓文創建，創建日期為4月21日，該樣本的攻擊技術與已知的APT組織Konni相同。ESTsecurity稱該組織是由某個政府資助，並長期針對韓國國內進行定向攻擊活動。

捕獲的樣本是宏利用文檔，當受害者打開文檔時，某些內容被設置為不可見，誘導受害者啟用宏，一旦受害者想查看完整內容啟用宏後，惡意宏代碼便會從遠程下載惡意程序執行，從而收集受害者計算機信息上傳到FTP。

Gorgon使用COVID-19爆發對加拿大和其他地區發起網絡攻擊

披露時間：2020年04月20日

情報來源：https://blog.360totalsecurity.com/en/gorgon-uses-covid-19-outbreak-to-launch-cyber-attacks-on-canada-and-other-regions/

相關信息：

Gorgon是一個APT組織，起源於南亞一個國家。它具有廣泛的攻擊目標。長期針對各國政府，貿易和個人的進行攻擊活動。自2018年被發現以來，該組織的攻擊一直非常活躍。

360 Baize實驗室近期捕獲多起該組織利用COVID-19為誘餌的攻擊活動，經過分析，發現最新的有效負載託管在Gitlab中，類似於去年使用各種在線網盤分發特洛伊木馬。在平臺上，多個倉庫之間存在明顯的交叉使用，360Baize實驗室懷疑Gorgon組織的內部協作項目是在多個小組之間。

Gamaredon APT組織使用COVID-19為誘餌進行攻擊活動

披露時間：2020年04月17日

情報來源：https://blog.trendmicro.com/trendlabs-security-intelligence/gamaredon-apt-group-use-covid-19-lure-in-campaigns/

相關信息：

Gamaredon是一個高級持續威脅（APT）小組，自2013年以來一直活躍。他們以攻擊烏克蘭政府機構從而影響競選的活動而聞名。從2019年下半年到今年2月，安全研究人員持續跟蹤該組織，並披露了幾起該組織的攻擊活動

3月，趨勢科技捕獲了一些電子郵件，其中包含使用Gamaredon小組的惡意軟體附件。其中一些郵件以冠狀病毒大流行為主題，誘使受害者打開電子郵件和附件。這些攻擊活動主要針對歐洲國家。

APT34更新後門工具TONEDEAF

披露時間：2020年04月19日

情報來源：https://mp.weixin.qq.com/s/urFLHS1ycoSj0rfAVLed2w

相關信息：

APT34（也稱為OilRig或Helix Kitten）是由伊朗政府支持的網絡間諜活動組織，自2014年以來一直活躍。該組織的目標群體是各種國際組織，主要是中東地區。他們的目標行業包括政府機構、金融服務、能源、電信等。多年來，其攻擊武器庫不斷升級，攻擊手法也不斷推陳出新。

2019年4月17日，該小組的更多信息被批露，一個名為“Lab Dookhtegan”的用戶在Telegram上曝光了來自APT34組織的攻擊工具，包括該組織正在使用的Web Shell伺服器的IP地址和域。該組織的目標一般是伊朗的對立國家，結合“Lab Dookhtegan”的曝光推文可以猜測：該組織是伊朗的某個安全情報部門，或者是與伊朗政府長期合作的安全公司。

近期，某安全研究人員披露了一起新的攻擊樣本，經分析，該樣本是TONEDEAF後門的高度修改版本。TONEDEAF2.0是TONEDEAF的高級版本，具有與原始版本相同的目的，但具有經過改進的C2通信協議和經過實質性修改的代碼。與原始的TONEDEAF相比，TONEDEAF2.0僅包含任意Shell執行功能，並且不支持任何預定義命令。

TONEDEAF2.0也更隱蔽，它隱藏使用的許多API函數，這些API的名稱以及包含它們的DLL被存儲為加密字符串，並在運行時根據需要進行解密和動態導入調用。

敘利亞電子網軍SEA利用惡意軟體感染Android用戶

披露時間：2020年04月15日

情報來源：https://blog.lookout.com/nation-state-mobile-malware-targets-syrians-with-covid-19-lures

相關信息：

安全研究人員發現了一起與敘利亞電子網軍有關的長期監視活動，該活動最近開始使用新型冠狀病毒作為最新誘餌，以誘使受害者下載惡意軟體。

自2018年1月開始以來，該活動似乎一直很活躍，針對的是講阿拉伯語的用戶，很可能在敘利亞和周邊地區。這些應用程序均未在官方的Google Play商店中提供，這表明它們可能是通過飲水坑或第三方應用程序商店分發。

Lookout研究人員發現71個惡意Android應用程序連接到同一命令與控制（C2）伺服器。C2伺服器的其P地址連接到敘利亞電信局(Syrian Telecommunications Establishment，STE)。STE被臭名昭著的APT組織SEA（Syrian Electronic Army，SEA）用來託管其C2基礎設施。

攻擊行動或事件情報

ICEBUCKET行動：對網絡廣告商的欺詐活動

披露時間：2020年04月17日

情報來源：https://www.whiteops.com/blog/giving-fraudsters-the-cold-shoulder-inside-the-largest-connected-tv-bot-attack

相關信息：

WhiteOps發現了大規模的在線欺詐行為，在過去的幾個月中，這種行為一直在模仿智能電視來欺騙在線廣告主，並從在線廣告中獲得未得的利潤。

White Ops已將此操作命名為ICEBUCKET，並將其描述為迄今為止已知的“最大的SSAI欺騙案例”，在線廣告商使用SSAI伺服器作為其廣告平臺和最終用戶之間的中介。SSAI伺服器通過將廣告發送到在消費者設備上運行的應用程序來工作。

ICEBUCKET小組發現了SSAI伺服器通信機制相關漏洞，該團伙一直利用這一漏洞連接SSAI伺服器，並請求在不存在的設備上顯示廣告從而獲利。

利用Agent Tesla間諜軟體針對能源公司的攻擊活動

披露時間：2020年04月21日

情報來源：https://labs.bitdefender.com/2020/04/oil-&-gas-spearphishing-campaigns-drop-agent-tesla-spyware-in-advance-of-historic-opec+-deal/

相關信息：

Bitdefender研究人員最近發現了魚叉式攻擊活動，攻擊者冒充了著名的埃及工程承包和貨運公司，從而釋放執行Agent Tesla間諜軟體。假冒的工程承包商（Enppi –石油和加工業工程）在石油和天然氣的陸上和海上項目方面經驗豐富，攻擊者濫用其聲譽瞄準馬來西亞，美國，伊朗，南非，阿曼和土耳其等。

惡意代碼情報

PoetRAT:利用疫情信息針對阿塞拜疆的Python RAT

披露時間：2020年04月16日

情報來源：https://blog.talosintelligence.com/2020/04/poetrat-covid-19-lures.html

相關信息：

思科Talos發現了一個新的惡意軟體活動，該活動基於一個稱為“ PoetRAT”的未知家族。思科認為這種攻擊與已知的黑客組織無關。思科稱該惡意軟體是使用模仿某些阿塞拜疆政府網站進行分發的，因此，這種情況下，攻擊者希望針對阿塞拜疆國家的公民，包括SCADA領域的私營公司。誘餌是Microsoft Word文檔，通過宏釋放執行基於Python的遠程訪問木馬（RAT）。因為其在宏中插入了莎士比亞的十四行詩，思科將其命名為PoetRAT。該RAT具有此類惡意軟體的所有標準功能，可以完全控制受感染系統。

該活動表明，攻擊者受到向受害者手動分發其他惡意軟體。在分析中最有趣的是用於監視硬盤並自動上傳數據的工具。除此之外，還有鍵盤記錄程序，針對瀏覽器的密碼竊取程序，攝像機控制應用程序以及其他通用密碼竊取程序。

除了惡意軟體攻擊之外，攻擊者模仿阿塞拜疆政府網站進行釣魚活動。

RubyGems存儲庫中存在700多個惡意軟體包

情報來源：https://blog.reversinglabs.com/blog/mining-for-malicious-ruby-gems

相關信息：

ReversingLabs的網絡安全專家揭示了700多個惡意gem（用Ruby程式設計語言編寫的軟體包），攻擊者故意上傳拼寫錯誤的合法軟體包，希冀開發人員無意中輸錯名稱從而下載安裝惡意庫。ReversingLabs表示，有問題的軟體包已在2月16日至2月25日之間上傳到RubyGems，並且大多數軟體包旨在通過將加密貨幣交易重定向到攻擊者控制的錢包地址來祕密竊取資金。

勒索軟體ProLock藏身圖片

披露時間：2020年04月19日

情報來源：https://mp.weixin.qq.com/s/gzrLdd9tJLel-szCX7v61g

相關信息：

ProLock勒索軟體將代碼嵌入到名為“WinMgr.bmp”的BMP圖像中，通過混淆的PowerShell代碼將圖像中的代碼直接注入到內存中運行，達到可執行文件不落地的目的。勒索軟體執行後，加密計算機上的文件，在原文件名後追加名為“.proLock”的後綴。安天CERT通過關聯分析，認為該勒索軟體是安天曾分析過的PwndLocker勒索軟體的變種^[2]。PwndLocker勒索軟體此前曾嘗試將ShellCode嵌入偽造的AVI視頻文件中，但由於使用的加密方法存在缺陷，被加密的文件存在恢復的可能。近期，攻擊者已修復了之前版本的缺陷，目前被ProLock勒索軟體加密的文件在未得到密鑰前暫時無法解密。

AgentTesla惡意軟體新變種竊取WIFI憑證

披露時間：2020年04月16日

情報來源：https://blog.malwarebytes.com/threat-analysis/2020/04/new-agenttesla-variant-steals-wifi-credentials/

相關信息：

AgentTesla是基於.Net的信息竊取程序，能夠從受害機器上的不同應用程序（例如瀏覽器，FTP客戶端和文件下載器）竊取數據。該惡意軟體的幕後行為者通過添加新模塊不斷對其進行維護。

近期，malwarebytes安全研究人員捕獲了一起在野攻擊樣本，該樣本是AgentTesla惡意軟體的較新變種，該變種新增了收集受害者計算機中WIFI配置文件信息的功能，收集此類信息可能將被用作惡意傳播。

漏洞相關情報

蘋果修補了兩個被濫用多年的iOS 0day漏洞

披露時間：2020年4月22日

情報來源：https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

相關信息：

在對iOS數字取證和事件響應（DFIR）進行例行調查之後，ZecOps發現了可疑事件，這些事件最早可追溯到2018年1月，影響了iOS上的默認Mail應用程序。

研究人員表示，該攻擊是零點擊 exploit，無需用戶和郵件交互，用戶一旦接收郵件或打開 Apple Mailapp 即觸發該漏洞；該 exploit 無法在 Gmail 或其它郵件客戶端觸發.。

ZecOps發現，MFMutableData在MIME庫中的實現缺少對系統調用的錯誤檢查，ftruncate()這會導致越界寫入。ZecOps還找到了一種無需等待系統調用ftruncate失敗即可觸發OOB-Write的方法。此外，ZecOps發現了另外一個可以遠程觸發的堆溢出漏洞。

CVE-2020-1967: openssl 拒絕服務漏洞通告

披露時間：2020年4月21日

情報來源：https://www.openssl.org/news/secadv/20200421.txt

相關信息：

openssl是一個開放源代碼的軟體庫包，應用程序可以使用這個包來進行安全通信。這個包廣泛被應用在網際網路的網頁伺服器上。其主要庫是以C語言所寫成，實現了基本的加密功能，實現了SSL與TLS協議。openssl可以運行在OpenVMS、 Microsoft Windows以及絕大多數類Unix操作系統上（包括Solaris，Linux，MacOS與各種版本的開放源代碼BSD操作系統）。

TLS(TransportLayer Security) 是一種安全協議，目的是為網際網路通信提供安全及數據完整性保障。在瀏覽器、電子郵件、即時通信、VoIP、網絡傳真等應用程序中都廣泛支持這個協議。該協議當前已成為網際網路上保密通信的工業標準。

在TLS1.3握手期間或之後調用SSL_check_chain（）函數的伺服器或客戶端應用程序可能會由於對NULL指針的取消引用而導致崩潰，這是由於對’signature_algorithms_cert’TLS擴展的不正確處理導致的.

受影響的版本

openssl：1.1.1d

openssl：1.1.1e

openssl：1.1.1f

解決方法：

升級到1.1.1g版本

福昕軟體發佈補丁程序修復數十個嚴重漏洞

披露時間：2020年4月16日

情報來源：https://www.foxitsoftware.com/support/security-bulletins.php

相關信息：

福昕軟體修補了Windows版FoxitReader和Foxit PhantomPDF（版本9.7.1.29511及更早版本）中20個相關漏洞。

Foxit Reader中的高嚴重性漏洞啟用了RCE；它們已在Foxit Reader 9.7.2版中修復。根據趨勢科技的漏洞分析，在針對這些漏洞的攻擊情形中，“需要用戶交互才能利用此漏洞，因為目標必須訪問惡意頁面或打開惡意文件”。

PhantomPDF還修補了一些高嚴重性漏洞，這些缺陷影響了9.7.1.29511版及更早版本.其中最嚴重的是PhantomPDF的API通信中的兩個漏洞（CVE-2020-10890 和 CVE-2020-10892）。從其他文檔類型創建PDF時，必須使用PhantomPDF API調用。這些漏洞源自對ConvertToPDF命令和CombineFiles命令的處理，這允許使用攻擊者控制的數據寫入任意文件。