每週高級威脅情報解讀(2022.09.08~09.15)

2022.09.08~09.15

攻擊團伙情報

  • 來自Kimsuky組織的突刺:多種攻擊武器針對韓國的定向獵殺

  • NSA方程式組織「Bvp47」後門關鍵元件深度揭秘

  • 伊朗駭客組織TA453使用「多角色模擬」新技術

  • 偽獵者APT組織瞄準基金會代表和平昌和平論壇政界人士

  • Lazarus瞄準能源供應商

  • 新伊朗駭客組織APT42詳情披露

攻擊行動或事件情報

  • Vice Society勒索軟體組織攻擊美國教育機構

  • 西工大遭網襲事件關鍵細節公佈

  • NoName057(16)組織通過DDoS攻擊瞄準烏克蘭支持者

  • Lorenz勒索軟體團伙濫用CVE-2022-29499漏洞發起攻擊

惡意程式碼情報

  • 「魔盜」竊密木馬正在大規模傳播

  • 攻擊者基於可信雲平臺部署Lampion銀行木馬

  • SideWalk後門的Linux變體披露

漏洞情報

  • 微軟補丁通告:2022年9月版

攻擊團伙情報

01

來自Kimsuky組織的突刺:多種攻擊武器針對韓國的定向獵殺

披露時間:2022年09月14日

情報來源:https://mp.weixin.qq.com/s/s7bQggtes5YQEtCBeLsOrw

相關資訊:

近期,在美韓聯合演習背景下,研究人員監測到大量來自Kimsuky組織的攻擊。Kimsuky於2013年被公開披露並命名,是疑似具有東亞國家背景的APT組織。Kimsuky組織十分活躍,長期針對韓國政府、新聞機構等目標發起攻擊活動。其通常使用社會工程學、魚叉郵件、水坑攻擊等手段投遞惡意軟體,擁有功能完善的惡意程式碼武器庫。

Kimsuky組織在此次攻擊中則主要使用pif、hwp、doc等檔案做為誘餌進行初始攻擊,後續載荷包括其常使用的AppleSeed、PebbleDash等木馬。攻擊者使用的pif檔案實際為可執行程序,它偽裝成PDF圖示,實際功能為Dropper程序,可用於釋放誘餌並載入執行後續載荷PebbleDash木馬。其中部分誘餌被韓國DRM軟體加密,疑似由Kimsuky組織在其他攻擊活動中所竊取,可用於實施定向攻擊。此外攻擊者利用的誘餌還擅用加解密演算法來躲避相關殺軟的靜態查殺。Kimsuky組織攻擊手法靈活多變,武器庫層出不窮,是攻擊能力較強的APT團伙。

02

02

NSA方程式組織「Bvp47」後門關鍵元件深度揭秘

披露時間:2022年09月13日

情報來源:https://mp.weixin.qq.com/s/YN8AJOrQWcpleV0tqhRGQQ

相關資訊:

在報告「Bvp47-美國NSA方程式組織的頂級後門」的描述中,Bvp47本身像是一個巨大的殼或壓縮包,共包含了18個分片,盤古實驗室展示了對於Bvp47後門程序的歸屬分析和部分技術細節的描述,比如BPF隱蔽隧道,但依然還有部分其他模組值得深入探究,這些模組既可以作為Bvp47的一部分一起執行任務,也可以被獨立使用。

基於特徵的入侵分析取證發現,國內大量重要組織機構受到了這個美國國家安全局(NSA)來源的「飲茶」(Suctionchar_Agent)木馬程序的侵襲,其中就包括了近期披露的被網路滲透的西北工業大學。有證據顯示,NSA利用「飲茶」木馬程序竊取了世界各國難以確切估量的賬號密碼,在美國各地建立了多個高度機密的賬號密碼海量資料儲存中心,供NSA的行動部門TAO隨時查詢並「合法」進入受害者的資訊系統。本報告將會通過對「飲茶」、Dewdrop、Bvp47_loader等程序和系統模組的技術分析來進一步理解Bvp47這個頂級後門平臺的部分工作方式和執行邏輯。

03

伊朗駭客組織TA453使用「多角色模擬」新技術

披露時間:2022年09月13日

情報來源:https://www.proofpoint.com/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capitalize-fomo

相關資訊:

TA453(Charming Kitten)是一個伊朗威脅組織,曾攻擊中東的學者和政策專家。2022年6月,TA453組織使用一種新的、精心設計的網路釣魚技術,通過使用多個角色和電子郵件帳戶,誘導目標認為這是一個真實的電子郵件對話。研究人員將這種社會工程技術稱為「多角色模擬」(MPI)。攻擊者向目標發送一封電子郵件,同時抄送由攻擊者控制的另一個電子郵件地址,然後從該電子郵件中回覆,進行虛假對話。此次活動的目標包括從事中東研究或核安全的研究人員。

其中一些活動會提供託管惡意文件的 OneDrive 連結,連結下載的惡意文件是遠端模板注入文件的最新版本,該文件會從下載啟用宏的模板文件,被研究人員稱為Korg,其具有三個宏:Module1.bas、Module2.bas和ThisDocument.cls。宏程式碼會收集使用者名、正在運行的進程列表以及使用者的公共 IP 等資訊,然後使用 Telegram API 洩露這些資訊。

04

04

偽獵者APT組織瞄準基金會代表和平昌和平論壇政界人士

披露時間:2022年09月14日

情報來源:https://mp.weixin.qq.com/s/MElSffbcrQkBYdVKo3hzFg

相關資訊:

偽獵者APT組織於2021年由國內安全廠商披露,據悉,其最早攻擊時間可以追溯到2018年,歷史攻擊目標為包含中國在內的人力資源和貿易相關機構。近期研究人員發現,該組織從2021年12月份至今依然活躍,在今年6月,該組織對韓國境內目標發起定向攻擊活動。通過分析攻擊事件,有如下發現:

1. 本批次攻擊活動目標人員包括漢斯賽德爾基金會韓國代表Bernhard Seliger博士、以及可能與2022平昌和平論壇相關的政界人士。

2. 攻擊事件時間節點包括兩個:2022年2月上旬針對2022平昌和平論壇相關人士的攻擊;2022年6月中旬對Bernhard Seliger博士的定向攻擊。均為魚叉郵件類型的攻擊。

3. 攻擊者用於攻擊載荷託管、C&C通訊的網路資產包括公開免費的雲端儲存站點(如bitbucket.org、statcounter.com)和攻擊者私有C&C資產。木馬回連地址會涉及這兩類的多個url地址。

05

05

Lazarus瞄準能源供應商

披露時間:2022年09月08日

情報來源:https://blog.talosintelligence.com/2022/09/lazarus-three-rats.html

相關資訊:

研究人員觀察到朝鮮政府支持的APT組織Lazarus在2022年2月至2022年7月期間進行了惡意活動。其入口向量包括成功利用VMWare產品中的漏洞在企業網路中建立初步立足點,然後部署該組織的定製惡意軟體植入程序VSingle和YamaBot。除了這些已知的惡意軟體家族之外,還發現了一種以前未知的惡意軟體植入物的使用,將其稱之為「MagicRAT」。

Lazarus攻擊目標組織是來自世界各地的能源供應商,包括總部位於美國、加拿大和日本的能源供應商。該活動旨在滲透世界各地的組織,以建立長期訪問許可權,並隨後將感興趣的資料洩露給對手的民族國家。

06

06

新伊朗駭客組織APT42詳情披露

披露時間:2022年09月07日

情報來源:https://www.mandiant.com/resources/reports/apt42-spear-phishing-and-surveillance

相關資訊:

APT42是一個由伊朗國家資助的新駭客組織,其長期使用高針對性的魚叉式網路釣魚方式和社會工程技術針對政府官員、記者、全球學者和伊朗持不同政見者,主要目標是竊取帳戶憑據。

自2015年以來,APT42已在14個國家/地區開展了至少30次活動,且該組織多次切換目標以匹配不斷變化的情報收集興趣。該組織大部分活動集中在中東地區,且其主要使用定製的Android惡意軟體針對伊朗政府個人和組織進行網路間諜活動,以實現伊朗國內政治、外交政策和政權穩定。Android惡意軟體主要通過SMS文字傳播給伊朗目標,其中包含可以幫助繞過政府施加的限制的訊息或VPN應用程序的連結。該組織已證明有能力記錄電話、激活麥克風和記錄音訊、洩露圖像並根據命令拍照、閱讀SMS訊息以及實時跟蹤受害者的GPS位置。APT42還在Windows系統上使用一組豐富的輕量級自定義惡意軟體來建立立足點並竊取憑據,使他們能夠提升許可權並在網路上執行偵察。

攻擊行動或事件情報

01

Vice Society勒索軟體組織攻擊美國教育機構

披露時間:2022年09月06日

情報來源:https://www.cisa.gov/uscert/ncas/alerts/aa22-249a

相關資訊:

最近,FBI、CISA和MS-ISAC發佈警告,稱美國教育機構成為Vice Society勒索軟體組織的攻擊目標,預計新學年開始後還會發生更多攻擊。Vice Society是一個以在受害者網路上部署多種勒索軟體而聞名的駭客組織,於2021年夏天首次出現,部署的勒索軟體包括Hello Kitty/Five Hands和Zeppelin勒索軟體及其他變體。該勒索團伙還在加密之前從受感染的系統中竊取敏感資料,然後將其用於雙重勒索。

Vice Society組織通過竊取面向網際網路的應用程序的憑證獲得初始網路訪問許可權。該組織使用包括SystemBC、PowerShell Empire和Cobalt Strike的各種工具進行橫向移動並利用PrintNightmare漏洞(CVE-2021-1675 和 CVE-2021-34527)來提升許可權。Vice Society組織試圖通過將他們的惡意軟體和工具偽裝成合法檔案、使用進程注入來逃避檢測。Vice Society組織已成功提升許可權並獲得了對域管理員帳戶的訪問許可權,其通過運行腳本來更改受害者網路帳戶的密碼。

02

西工大遭網襲事件關鍵細節公佈

披露時間:2022年09月13日

情報來源:https://mp.weixin.qq.com/s/Xt8YvU6HmeOObKlaWJjjew

相關資訊:

國家計算機病毒應急處理中心在對西北工業大學遭境外網路攻擊事件進行調查過程中,在西北工業大學的網路伺服器設備上發現了美國國家安全局(NSA)專用的網路武器「飲茶」(NSA命名為「suctionchar」)。國家計算機病毒應急處理中心聯合奇安信公司對該網路武器進行了技術分析,分析結果表明,該網路武器為「嗅探竊密類武器」,主要針對Unix/Linux平臺,其主要功能是對目標主機上的遠端訪問賬號密碼進行竊取。

經技術分析與研判,該網路武器針對Unix/Linux平臺,與其他網路武器配合,攻擊者可通過推送配置檔案的方式控制該惡意軟體執行特定竊密任務,該網路武器的主要目標是獲取使用者輸入的各種使用者名密碼,包括SSH、TELNET、FTP和其他遠端服務登入密碼,也可根據配置竊取保存在其他位置的使用者名密碼資訊。

03

NoName057(16)組織通過DDoS攻擊瞄準烏克蘭支持者

披露時間:2022年09月06日

情報來源:https://decoded.avast.io/martinchlumecky/bobik/

相關資訊:

從2022年6月開始,研究人員調查並分析了用於對烏克蘭境內及周邊地區的網站進行DDoS攻擊的惡意軟體,確定該惡意軟體是一種名為Bobik的 RA 的.NET變體,包括一個DDoS模組,並通過殭屍網路傳播。感染Bobik的設備是殭屍網路的一部分,攻擊者通過C2伺服器控制它們,向單個機器人發送命令。Bobik機器人使用C2伺服器和HTTP通訊協議,研究人員通過解密HTTP協議、監控C2伺服器並收集有關定義DDoS目標的殭屍網路架構和XML配置的資訊,確定了一個名為NoName057(16) 的親俄羅斯駭客組織。

NoName057(16)專注於DDoS攻擊,並尋找支持烏克蘭或「反俄」的公司和組織,他們不會像其他危險組織那樣試圖竊取資料或訪問系統,攻擊成功率在40%左右。該組織正在利用殭屍網路對屬於烏克蘭政府、新聞機構、軍隊、供應商、電信公司、運輸當局、金融機構等組織的網站以及支持烏克蘭的鄰國(如愛沙尼亞、立陶宛、挪威、波蘭)進行DDoS攻擊。

04

04

Lorenz勒索軟體團伙濫用CVE-2022-29499漏洞發起攻擊

披露時間:2022年09月12日

情報來源:https://arcticwolf.com/resources/blog/lorenz-ransomware-chiseling-in/

相關資訊:

Lorenz是一個至少從2021年2月開始活躍的勒索軟體組織,執行雙重勒索操作。在上個季度,該團伙主要針對位於美國的中小型企業 (SMB),目標也包括中國和墨西哥。研究人員發現,Lorenz 勒索軟體組織利用CVE-2022-29499漏洞,破壞Mitel MiVoice Connect以獲得初始訪問許可權。最初的惡意活動源於位於網路外圍的Mitel設備,Lorenz利用CVE-2022-29499漏洞來獲取反向Shell,隨後使用Chisel作為隧道工具進入環境。攻擊者會在獲得初始訪問許可權後等待一個月,然後進行橫向移動,利用FileZilla進行資料洩露,並利用BitLocker和Lorenz勒索軟體對ESXi進行加密。

惡意程式碼情報

01

「魔盜」竊密木馬正在大規模傳播

披露時間:2022年09月09日

情報來源:https://mp.weixin.qq.com/s/AXORtlDzPTgiWoSxhEJsKA

相關資訊:

近期,研究人員監測到一批偽裝成CorelDraw、Notepad++、IDA Pro、WinHex等多款實用軟體進行傳播的竊密木馬。通過跟蹤監測發現其每日上線境內肉雞數(以IP數計算)最多已超過1.3萬,由於該竊密木馬會收集瀏覽器書籤、郵箱賬戶等資訊,故將其命名為「魔盜」。

攻擊者利用「cdr[.]jyxwlkj.cn」及「cdrnb[.]jyxwlkj.cn」域名建立多個軟體下載頁面,用於投放偽裝成實用軟體的「魔盜」竊密木馬。竊密木馬運行後會收集受害者主機中已安裝的軟體列表與多款瀏覽器的歷史記錄、書籤資料和郵件客戶端郵箱賬戶資訊,並加密回傳至攻擊者伺服器。由於部分惡意程序具備線上升級能力,因此攻擊者可隨時更改攻擊載荷(如勒索、挖礦、竊密等不同目的的攻擊載荷),給受害者造成更大損失。

02

02

攻擊者基於可信雲平臺部署Lampion銀行木馬

披露時間:2022年09月13日

情報來源:https://cofense.com/blog/lampion-trojan-utilizes-new-delivery-through-cloud-based-sharing

相關資訊:

研究人員最近分析了一封網路釣魚郵件,該郵件要求使用者下載「付款證明」以及其他檔案。收件人一旦點選郵件連結,就會下載Lampion銀行木馬,該木馬自2019年以來一直存在,目前尚未確定該惡意軟體的幕後黑手,但它以使用VBS載入程序而聞名。

研究人員發現攻擊者使用了一種新的VBS檔案交付形式:用於支付的可信雲平臺WeTransfer。攻擊者通過利用受信任的支付站點,發送給收件人帶有付款證明和其他檔案的電子郵件。當收件人與URL進行互動時,受害人便會被定向到可以下載包含電子郵件中引用的文件的ZIP檔案的頁面。下載ZIP檔案後,研究人員通過提取其內容發現包含一個VBS檔案啟動腳本,其可以引導後續惡意進程。

03

SideWalk後門的Linux變體披露

披露時間:2022年09月14日

情報來源:https://www.welivesecurity.com/2022/09/14/you-never-walk-alone-sidewalk-backdoor-linux-variant/

相關資訊:

SideWalk的Windows版本在2021年8月24日被披露,這是一個多用途後門,可以載入從C&C伺服器發送的附加模組。它利用Google Docs作為死點解析器,並將Cloudflare用作其C&C伺服器,它可以正確處理代理背後的通訊。

近期,研究人員發現了SideWalk後門的Linux變體,這是SparklingGoblin組織使用的多個自定義植入程序之一。該變體於2021年2月針對一所香港大學部署,該大學在2020年5月的學生抗議活動中已成為SparklingGoblin的目標。研究人員最初將此後門命名為StageClient,但現在將其簡稱為SideWalk Linux。分析發現,StageClient變體與Windows的SideWalk之間存在大量程式碼重疊。此外研究人員還發現,以前已知的Linux後門Spectre RAT,實際上也是 SideWalk Linux 變體。

漏洞情報

01

微軟補丁通告:2022年9月版

披露時間:2022年09月14日

情報來源:https://mp.weixin.qq.com/s/uo3Lcmptvzue17W0iNMHxg

相關資訊:

本月,微軟共發佈了63個漏洞的補丁程序,修復了Windows Server、Microsoft Office、.NET Framework、Microsoft SharePoint等產品中的漏洞。其中CVE-2022-34718 Windows TCP/IP 遠端程式碼執行漏洞由奇安信程式碼安全實驗室發現。經研判,有11個重要漏洞值得關注,包括個5緊急漏洞和6個重要漏洞,詳見情報來源連結。

其中CVE-2022-23960 ARM:快取推測限制漏洞細節已公開,CVE-2022-37969 Windows common log file system driver許可權提升漏洞已檢測到在野利用。

點選閱讀原文至ALPHA 5.0

即刻助力威脅研判

相關文章