每週高級威脅情報解讀(2022.10.20~10.27)

2022.10.20~10.27

攻擊團伙情報

  • 發現Kimsuky組織針對Android的新惡意軟體

  • PatchWork組織Herbminister行動武器庫揭秘

  • APT組織SideWinder利用WarHawk後門攻擊巴基斯坦

  • Domestic Kitten組織利用FurBall間諜軟體監視伊朗公民

攻擊行動或事件情報

  • LV勒索組織利用Microsoft Exchange攻擊約旦公司

  • UAC-0132組織利用RomCom惡意軟體攻擊烏克蘭

  • 新的網路釣魚活動針對沙烏地政府

  • 攻擊者利用SFX文件開展網路釣魚

惡意程式碼情報

  • 偽裝更新補丁的Magniber勒索新變種分析

  • BlackByte勒索軟體活動部署新滲透工具Exbyte

  • Gh0st木馬通過虛假telegram網站感染Windows使用者

漏洞情報

  • Apple修復用於攻擊iPhone、iPad 的新零日漏洞

攻擊團伙情報

01

發現Kimsuky組織針對Android的新惡意軟體

披露時間:2022年10月24日

情報來源:https://medium.com/s2wblog/unveil-the-evolution-of-kimsuky-targeting-android-devices-with-newly-discovered-mobile-malware-280dae5a650f

相關資訊:

研究人員最近發現了Kimsuky組織三種針對Android設備的新型惡意軟體,通過在每個惡意APK的包名稱中添加「Fast」以及每個惡意APK的特徵將三個惡意APK分別命名為FastFire、FastViewer和FastSpy。

1. FastFire是目前由Kimsuky組織開發的惡意APK,偽裝成Google安全外掛。它從Google支持的應用開發平臺Firebase接收命令,而不是像傳統方法那樣通過HTTP/S通訊從C&C接收命令。

2. FastViewer惡意軟體將自己偽裝成「Hancom Viewer」,這是一個移動查看器程序,可以讀取在韓國使用的韓文文件(.hwp),並在從受感染設備竊取資訊後下載其他惡意軟體。

3. FastViewer 惡意軟體下載FastSpy,並通過TCP/IP協議從攻擊者的伺服器接收命令。FastSpy是基於AndroSpy的源程式碼開發的,AndroSpy 是一個開源的Android設備遠端控制工具。

02

02

PatchWork組織Herbminister行動武器庫揭秘

披露時間:2022年10月24日

情報來源:https://mp.weixin.qq.com/s/XMrWLx6KVeoDQ7WzvOcwqA

相關資訊:

近期,研究人員在對PatchWork組織跟蹤過程中發現該組織從去年開始對多國一系列科研目標進行滲透攻擊,並掌握了歸屬於該組織的部分資產,獲取了其批量攻擊活動的工具,並依據這些工具名稱將其命名為Herbminister行動。

根據分析情況來看PatchWork組織武器庫大量採用開源紅隊工具,並在此基礎上進行二次開發工作,其武器庫存在多套攻擊手法,全流程武器庫包括不限於:資訊收集、ByPass、域內橫移、隔離網傳播、安裝部署、同種類多種武器類型(武器數目共計:76款)。根據分析其武器使用鏈條包括不限於以下使用方式:

1. 滲透鏈,由於此鏈條靈活度較高,在此描述其具備功能,支持多種滲透能力。

2. Herbminister鏈(其套件名稱與武器庫重名),由Python開發的C/S架構的竊密套件,支持HTTP&HTTPS上傳,支持XOR&RC4加解密傳輸。同時套件支持Socks代理功能。

3. IMAT鏈,域橫移&部署鏈,該鏈存在供應鏈攻擊可能,通過安裝器開啟正常MATLAB安裝包同時啟動載入器,載入器通過創建服務啟動域內橫移&武器部署功能。

4. GRAT攻擊鏈,該鏈條啟動方式較多可通過載入器、漏洞、受感染檔案啟動,最終為開源RAT(GRAT)。

5. 隔離網傳播鏈條。

03

03

APT組織SideWinder利用WarHawk後門攻擊巴基斯坦

披露時間:2022年10月21日

情報來源:https://www.zscaler.com/blogs/security-research/warhawk-new-backdoor-arsenal-sidewinder-apt-group-0

相關資訊:

最近,研究人員發現APT組織SideWinder在針對巴基斯坦的活動中使用了一種新的惡意軟體:WarHawk後門,WarHawk可交付Cobalt Strike作為最終有效載荷。SideWinder(又名Rattlesnake、T-APT4)疑似來源於印度,至少自2012年起就開始活躍,歷史記錄中一直針對亞洲,尤其是巴基斯坦的政府、軍隊和企業。

SideWinder在此次活動中主要使用與LNK檔案捆綁在一起的ISO檔案,檔案包含初始的PDF誘餌檔案,它通過偽裝為在巴基斯坦內閣部門官方網站上發佈的網路安全建議來誘導使用者下載,LNK檔案則能夠最終執行WarHawk後門。WarHawk後門包含各種提供Cobalt Strike的惡意模組,還結合了新的TTP,例如KernelCallBackTable注入和巴基斯坦標準時區檢查,以確保攻擊者活動取得勝利。

04

04

Domestic Kitten組織利用FurBall間諜軟體監視伊朗公民

披露時間:2022年10月20日

情報來源:https://www.welivesecurity.com/2022/10/20/domestic-kitten-campaign-spying-iranian-citizens-furball-malware/

相關資訊:

研究人員最近發現了一個新版本的Android惡意軟體:FurBall,該惡意軟體被APT-C-50組織在Domestic Kitten攻擊活動中使用,且自2016年以來,Domestic Kitten活動持續針對伊朗公民進行移動監控操作。FurBall基於商業跟蹤軟體工具KidLogger創建,自2021年6月起開始偽裝為翻譯程序並通過伊朗釣魚網站進行分發,該網站(downloadmaghaleh[.]com)可提供從英語翻譯成波斯語的文章和書籍。一旦使用者單擊帶有Google Play徽標的「下載應用程序」按鈕後便可直接從攻擊者的伺服器下載FurBall間諜軟體,安裝後,Furball 每 10 秒向其 C&C 伺服器發出一次 HTTP 請求,請求執行命令。

攻擊行動或事件情報

01

LV勒索組織利用Microsoft Exchange攻擊約旦公司

披露時間:2022年10月25日

情報來源:https://www.trendmicro.com/en_us/research/22/j/lv-ransomware-exploits-proxyshell-in-attack.html

相關資訊:

研究人員分析了LV組織最近入侵約旦公司的勒索活動,LV組織自2020年底一直活躍,且執行Raas操作。此次活動中,攻擊者採用雙重勒索策略,加密受害者系統檔案並威脅其將洩露所竊取的資料。

活動初始訪問主要藉助目標環境的Microsoft Exchange伺服器漏洞,其中利用的Webshell通過ProxyShell漏洞被釋放到共享檔案夾中。已觀察到攻擊者利用ProxyShell(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207)和ProxyLogon(CVE-2021-26855和CVE-2021-27065)漏洞針對政府機構。此後,攻擊者將繼續執行惡意程式碼以從C2伺服器中下載並執行PowerShell後門檔案。其橫向移動則藉助Mimikatz轉儲憑證。最後,攻擊者使用受感染的域管理員賬戶並通過RDP訪問域控制器,最終釋放勒索軟體並加密檔案,且加密副檔名為17dm4566n。

據報道,LV組織似乎源於REvil組織,且LV勒索軟體基於REvil v2.03測試版的配置,以實現對REvil二進位制檔案的重用。目前,LV組織的受害者多位於歐洲地區,其中,美國、沙烏地阿拉伯受攻擊尤其明顯,且主要受影響行業為製造業和技術相關行業。

02

UAC-0132組織利用RomCom惡意軟體攻擊烏克蘭

披露時間:2022年10月22日

情報來源:https://cert.gov.ua/article/2394117

相關資訊:

近期,烏克蘭研究人員發現了一場冒充烏克蘭武裝部隊總參謀部新聞處的網路釣魚活動。

釣魚郵件包括一個指向第三方網站的連結,用於下載名為「Наказ_309.pdf」的文件。釣魚網頁還將誘使使用者更新下載PDF軟體以閱讀文件。使用者單擊「下載」按鈕後,名為「AcroRdrDCx642200120169_uk_UA.exe」的可執行檔案便被直接下載到受害者機器中。該可執行檔案運行後將解碼並最終運行「rmtpak.dll」DLL 檔案,即ROMCOM RAT。

研究人員將此次RomCom後門的使用與威脅組織Tropical Scorpius(又名UNC2596) 關聯,該組織也被烏克蘭CERT-UA追蹤為UAC-0132,它曾於2022年5月上旬被觀察到使用包括自定義後門RomCom在內的新工具分發Cuba勒索軟體。

03

新的網路釣魚活動針對沙烏地政府

披露時間:2022年10月20日

情報來源:https://cloudsek.com/threatintelligence/phishing-campaign-targeting-the-saudi-government-service-portal-absher/

相關資訊:

研究人員發現了多個模仿沙烏地政府服務入口網站Absher的網路釣魚域,以向公民提供欺詐性服務並竊取他們的憑據。攻擊者通過發送簡訊和連結來針對個人,誘使人們在仿冒的 Absher 登入頁面上更新他們的資訊,從而竊取登入憑據。

在虛假「登入」後,網站上會出現一個彈出窗口,要求將四位數的一次性密碼 (OTP) 發送到註冊的手機號碼,這很可能用於繞過多因素身份驗證 (MFA)在合法的 Absher 門戶上。虛假網站可以接受任何四位數的數字都被接受為未經驗證的 OTP,並且受害者可以成功登入到虛假網站。

完成虛假登入過程後,系統會提示使用者填寫註冊表,誘騙受害者填寫敏感的個人身份資訊 (PII),註冊完成後會重定向到要求他們選擇銀行的新頁面。然後他們被帶到一個偽造的銀行登入頁面,該頁面旨在竊取他們的憑據。在提交網上銀行登入詳細資訊後,會彈出一個載入圖示,頁面卡住,而使用者銀行憑據已被洩露。

04

攻擊者利用SFX文件開展網路釣魚

披露時間:2022年10月20日

情報來源:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/archive-sidestepping-self-unlocking-password-protected-rar/

相關資訊:

臭名昭著的Emotet殭屍網路被發現與新一輪惡意垃圾郵件活動有關,攻擊者主要利用受密碼保護的SFX文件檔案最終將CoinMiner和Quasar RAT投放到受感染的系統中。

活動感染鏈始於以發票為主題的ZIP或ISO形式的誘餌檔案,它包含一個嵌套的自解壓(SFX)文件,SFX格式文件通常被攻擊者用於分發惡意軟體。SFX文件包含的第一個存檔用於啟動第二個存檔,第二個RARsfx受密碼保護,但是提取和執行其內容無需使用者輸入。此外,受密碼保護的RARsfx包含一個可執行檔案,它由.NET編寫,並使用了ConfuserEX進行混淆,其有效負載從受感染系統的%AppData%檔案夾中提取並執行。此次活動中觀察到的有效載荷包括加密貨幣挖礦軟體:CoinMiner和開源遠端訪問木馬:Quasar RAT。

惡意程式碼情報

01

偽裝更新補丁的Magniber勒索新變種分析

披露時間:2022年10月24日

情報來源:https://mp.weixin.qq.com/s/i3X3zmr6mvAadjJd3VBCLg

相關資訊:

Magniber是一款臭名昭著的勒索軟體,與常見的Hive及LockBit等勒索家族相比,Magniber更傾向於對個人進行勒索而非企業。由於面向的是個人使用者所以通常要求的贖金也不會過高,一般在2500美元左右,且Magniber不具備自動化傳播和上傳使用者檔案的功能,因此目前其勒索還停留在僅加密檔案這一階段。2022年有關Magniber勒索的動態如下:

2022年1月Magniber使用簽名的APPX檔案(.APPX後綴)偽裝成Chrome和Edge更新感染使用者主機。

2022年4月Magniber勒索軟偽裝成Windows 10更新(.msi後綴)通過惡意網站進行分發進而感染使用者主機。

2022年9月Magniber進一步對勒索技術進行更新迭代使用JavaScript(.js後綴)檔案感染使用者主機。

本次新變種的Magniber攻擊手法與2022年5月份的攻擊手法類似,均通過將自身偽裝成Windows更新檔案,誘騙使用者點選,進而對使用者主機檔案進行加密,最後索要贖金。不同的是此次攻擊違章樣本使用.js後綴,其程式碼進行了簡單的混淆。

02

02

BlackByte勒索軟體活動部署新滲透工具Exbyte

披露時間:2022年10月21日

情報來源:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/blackbyte-exbyte-ransomware

相關資訊:

研究人員發現,至少有一個BlackByte勒索軟體活動的分支機構在攻擊期間開始使用自定義資料洩露工具:Infostealer.Exbyte。該惡意軟體旨在加快從受害者網路中竊取資料並將其上傳到外部伺服器的速度。BlackByte是一種勒索軟體即服務活動,由賽門鐵克稱為Hecamede的網路犯罪組織運營。

最近的BlackByte攻擊中,攻擊者主要利用了ProxyShell(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207)和ProxyLogon(CVE-2021-26855 和 CVE-2021-27065)漏洞,並通過Microsoft Exchange伺服器獲得初始訪問許可權。活動使用了2.0版的BlackByte有效負載,已觀察到攻擊者在部署勒索軟體負載之前會使用AdFind、AnyDesk、NetScan和PowerView等工具。最近,研究人員發現了勒索軟體攻擊者開發的最新滲透工具:Exbyte,該工具由Go編寫,旨在將被盜檔案上傳到Mega.co.nz雲儲存服務,用於加速從受害者那裡竊取資料。BlackByte的自定義工具這一事實表明,其可能正成為主要的勒索軟體威脅之一。

03

Gh0st木馬通過虛假telegram網站感染Windows使用者

披露時間:2022年10月24日

情報來源:https://mp.weixin.qq.com/s/JdSMt4kqcs5V-s7Vpo3ViA

相關資訊:

近日,研究人員監測到一起通過偽造中文版Telegram網站投放Gh0st遠控木馬的釣魚活動,且本次攻擊主要針對Windows系統使用者。

攻擊者主要通過創建虛假的中文版Telegram網站,誘導使用者下載包含惡意程式碼的Telegram應用程序安裝包。惡意程式碼使用「白加黑」技術,通過替換DLL檔案劫持合法的Windows Defender程序以躲避安全軟體查殺,之後經過多層shellcode及DLL檔案載入執行最終的Gh0st遠控木馬,實現對使用者設備的遠端控制。

Gh0st遠控木馬採用C/C++語言編寫,具有遠端下載執行、檔案管理、鍵盤記錄等多種功能,由於其開源特性,在網際網路上存在大量的變種修改版本,行為更加隱蔽,功能更加多樣化、定製化,對使用者電腦保安造成極大危害。

漏洞情報

01

Apple修復用於攻擊iPhone、iPad 的新零日漏洞

披露時間:2022年10月24日

情報來源:https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-ipads/

相關資訊:

在週一發佈的安全更新中,Apple修復了自今年年初以來用於攻擊 iPhone 的第九個零日漏洞。該漏洞(CVE-2022-42827)是一位匿名研究人員向Apple報告的越界寫入問題,由於Apple iOS和iPadOS系統核心邊界檢查不當,會導致越界寫入問題,該問題可允許惡意程序以核心許可權執行任意程式碼,此外該漏洞可能導致資料損壞、應用程序崩潰。

受影響設備的完整列表包括iPhone 8及更新機型、iPad Pro(所有型號)、iPad Air第3代及更新機型、iPad第5代及更新機型以及iPad mini第5代及更新機型。

點選閱讀原文至ALPHA 5.0

即刻助力威脅研判

相關文章

蔚小理走到了命運的「岔路口」

蔚小理走到了命運的「岔路口」

當新能源汽車的資格賽進入衝刺階段,競爭的焦點也發生了變化。 作者 | 周永亮編輯| 鄭玄 近日,隨著小鵬財報發佈,蔚小理都交出了 2022 ...