每週高級威脅情報解讀(2022.12.29~2023.01.05)

2022.12.29~2023.01.05

攻擊團伙情報

  • APT-C-56(透明部落)利用外貿連結偽裝文件攻擊分析

  • 疑似Kimsuky組織冒充韓國知名網站Naver發起釣魚攻擊

  • CNC組織利用擺渡木馬針對軍工和教育行業

  • 巴基斯坦IBO反恐部隊遭遇印度組織Confucius網路攻擊

  • 波蘭警告親俄駭客組織Ghostwriter發動襲擊

攻擊行動或事件情報

  • 攻擊者對哥倫比亞銀行發起SQL隱碼攻擊攻擊以部署BitRAT惡意軟體

  • 駭客組織利用PureLogs竊取程序入侵義大利

  • BlackCat勒索軟體組織創建洩露受害者資料的網站

惡意程式碼情報

  • Raspberry Robin蠕蟲不斷進化以攻擊歐洲金融和保險部門

  • 基於Lockbit3.0勒索軟體構建器的新加密器在國內傳播

  • Shc Linux 惡意軟體安裝 CoinMiner

漏洞情報

  • Apache Kylin存在多個命令注入漏洞

  • CISA將JasperReports漏洞添加到其已知被利用漏洞目錄

攻擊團伙情報

01

APT-C-56(透明部落)利用外貿連結偽裝文件攻擊分析

披露時間:2022年12月30日

情報來源:https://mp.weixin.qq.com/s/PTWzKIPsO92XCP4-pXRDgg

相關資訊:

近期,研究人員發現透明部落利用外貿主題的連結進行攻擊活動樣本。樣本為一個偽裝成xls的scr檔案,會釋放持久化元件與RAT對中招使用者持續監控。

本次攻擊活動中使用的RAT既不是其專屬木馬CrimsonRAT,也不是常用的ObliqueRAT,而是一款簡單的RAT,包含螢幕監控、鍵盤監控、網路傳輸的功能。

通過持久化元件的特徵程式碼相似度判斷這是透明部落的攻擊活動,在之前的攻擊活動中,透明部落使用了一個持久化元件用於駐留,在此次發現的樣本中,同樣發現了一個相似的持久化元件,二者的程式碼相似度很高。

02

02

疑似Kimsuky組織冒充韓國知名網站Naver發起釣魚攻擊

披露時間:2022年12月22日

情報來源:https://asec.ahnlab.com/en/44680/

相關資訊:

最近,研究人員發現了多個偽裝為金融部門正常網站的惡意域,且攻擊者似乎從11月初便開始分發冒充Naver Help的釣魚郵件。

其中,NAVER是韓國最大的搜尋引擎和入口網站。郵件包含重定向至虛假釣魚頁面的惡意URL,發件人使用者名是「Naver Center」,郵件以各種主題來欺騙使用者,包括更改聯繫方式、創建新的一次性密碼、從不熟悉的位置登入時郵件儲存和阻止訪問嘗試的通知。一旦使用者在釣魚頁面中輸入帳戶憑據時,將同時轉發到攻擊者者指定的頁面。

此外,活動中使用的ne.kr頂級域名與Kimsuky組織經常使用的C2域名格式相同。目前,一些惡意域仍然存在,且某些頁面允許使用者下載可用於語音釣魚的惡意APK檔案。

03

CNC組織利用擺渡木馬針對軍工和教育行業

披露時間:2022年12月29日

情報來源:https://mp.weixin.qq.com/s/uEjNpw-rtpjGGPacJS19WQ

相關資訊:

CNC組織最早於2019年被發現,其命名來源於所使用的遠控木馬的PDB路徑資訊中包含的cnc_client,且該組織主要針對軍工和教育行業進行攻擊。近期,研究人員披露了該組織所使用的兩個下載器:PrivateImage.png.exe和YodaoCloudMgr.exe。

PrivateImage.png.exe下載器具有擺渡攻擊的能力,可利用移動儲存設備作為「渡船」,間接從隔離網中竊取攻擊者感興趣的檔案。即PrivateImage.png.exe會根據是否在%localappdata%路徑下選擇兩種方式執行。若在%localappdata%路徑下,其將不斷檢測是否有新設備接入;若有,則將檔案本身複製到新設備中,以便通過可移動設備傳播。反之,首先判斷%localappdata%\ImageEditor.exe是否存在:若存在,跳過後續操作並退出。不存在,判斷網際網路連接狀態:若可連網,便下載YodaoCloudMgr.exe下載器。YodaoCloudMgr.exe主要用於下載後續載荷,且該下載器使用欺騙性的具有不可信數字證書的C2節點進行通訊。

04

巴基斯坦IBO反恐部隊遭遇印度組織Confucius網路攻擊

披露時間:2022年12月28日

情報來源:http://blog.nsfocus.net/aptconfuciuspakistanibo/

相關資訊:

研究人員近期捕獲了一起針對巴基斯坦木爾坦地區武裝力量的網路攻擊事件,攻擊者以木爾坦的羅德蘭區基於情報的反恐行動(intelligence-based operation,IBO)報告為誘餌,嘗試投遞一種變種木馬程序MessPrint以控制受害者設備。經分析,該事件的主導者為APT組織Confucius。

本次攻擊中,Confucius沿用了其常見的誘餌構建模式,通過利用名為「IBO_Lodhran.doc」(羅德蘭地區基於情報的行動)以及「US_Dept_of_State_Fund_Allocations_for_Pakistan.doc」(美國國務院對巴基斯坦的資金分配)的誘餌文件,分別針對巴基斯坦的安全部隊與外交類政府部門發起魚叉式網路釣魚攻擊。當上述釣魚文件中的宏被執行後,文件將向指定目錄釋放一個名為gist.txt的加密檔案,該檔案實際上是一種powershell木馬,其最終下載名為VERSION.dll的變種木馬程序:MessPrint。新版MessPrint木馬程序在功能和對抗方面的變化很大,主版本號從2.X.X升級至3.1.0,且其主要功能分為運行日誌記錄、受害者主機資訊上傳與命令執行三部分。

05

05

波蘭警告親俄駭客組織Ghostwriter發動襲擊

披露時間:2023年1月3日

情報來源:https://www.bleepingcomputer.com/news/security/poland-warns-of-attacks-by-russia-linked-ghostwriter-hacking-group/

相關資訊:

GhostWriter 至少從 2017 年開始活躍,此前觀察到它冒充立陶宛、拉脫維亞和波蘭的記者,向當地觀眾傳播虛假資訊和反北約言論。

近日,波蘭政府警告稱,GhostWriter 近期一直關注波蘭,試圖侵入電子郵件賬戶收集資訊,並控制社交媒體賬戶傳播虛假資訊。俄羅斯駭客攻擊的目標是公共領域和國家組織、戰略能源和軍備供應商以及其他重要實體。其公告中的一個案例是「GhostWriter」組織建立了冒充政府域名 gov.pl 的網站,向據稱得到歐洲資金支持的波蘭居民宣傳虛假經濟補償。單擊嵌入式按鈕「以了解有關該程序的更多資訊」會將受害者帶到一個釣魚網站。

此外,針對議會網站 (‘sejm.gov.pl’) 的 DDoS(分散式拒絕服務)的攻擊,被歸因於親俄羅斯的所謂駭客活動主義者 NoName057(16)。攻擊發生在議會通過決議承認俄羅斯是支持恐怖主義的國家後的第二天,公眾無法訪問該網站。

攻擊行動或事件情報

01

攻擊者對哥倫比亞銀行發起SQL隱碼攻擊攻擊以部署BitRAT惡意軟體

披露時間:2023年1月3日

情報來源:https://blog.qualys.com/vulnerabilities-threat-research/2023/01/03/bitrat-now-sharing-sensitive-bank-data-as-a-lure

相關資訊:

最近有報告稱,攻擊者一直在使用哥倫比亞銀行客戶的被盜資訊作為網路釣魚電子郵件的誘餌,最終目標是在受害者系統上部署BitRAT惡意軟體。BitRAT是一種相當新的、臭名昭著的遠端訪問木馬,其自2021年2月起便在地下網路犯罪市場和論壇上以相對較低的20美元價格進行銷售。

據研究人員描述,攻擊者主要通過對哥倫比亞一家合作銀行的IT基礎設施發起SQL隱碼攻擊攻擊,以竊取銀行敏感資訊並製作令人信服的Excel誘餌檔案。洩露的詳細資訊包括Cédula號碼(哥倫比亞公民的國民身份證件),電子郵件地址,電話號碼,客戶姓名,付款記錄,工資詳細資訊和地址等。此外,Excel檔案包含一個高度混淆的宏,它會釋放並執行一個可載入第二階段dll檔案的.inf負載。dll檔案則最終使用WinHTTP庫將BitRAT嵌入式有效負載從GitHub下載到受害者系統中的%temp%目錄。

02

駭客組織利用PureLogs竊取程序入侵義大利

披露時間:2022年12月27日

情報來源:https://blog.cyble.com/2022/12/27/pure-coder-offers-multiple-malware-for-sale-in-darkweb-forums/

相關資訊:

最近,義大利TG Soft網路安全機構發現Alibaba2044駭客組織使用PureLogs資訊竊取程序針對義大利開展了惡意的垃圾郵件活動。郵件包含一個可下載zip檔案的連結,壓縮檔案偽裝成批處理檔案的cabinet檔案。一旦目標使用者打開此檔案,PureLogs惡意軟體將在受害者系統上成功執行。

PureLogs由名為PureCoder的新駭客組織開發,該組織在暗網上銷售了多種工具,包括挖礦、資訊竊取和加密惡意軟體。其中,PureCoder推廣和銷售的最具影響力的兩個惡意軟體包括PureLogs和PureCrypt。PureLogs是一種惡意的DotNET程序,旨在從瀏覽器、加密錢包和其他應用程序中竊取資料,攻擊者以每年99美元的價格出售這款軟體。PureCrypter則具備傳播多種RAT和竊取工具的功能,其每月訂閱價格為59美元,終身訂閱價格為245美元。

03

BlackCat勒索軟體組織創建洩露受害者資料的網站

披露時間:2023年1月3日

情報來源:https://www.govinfosecurity.com/blackcat-spoofs-victim-website-to-leak-stolen-data-a-20847

相關資訊:

BlackCat勒索軟體組織正在嘗試一種新的迫使受害者支付贖金的策略,他們在公共網際網路上創建一個欺詐網站,披露從受害者那裡竊取的個人資料。

BlackCat勒索軟體組織也被稱為Alphv,據稱從美國一家小型會計公司竊取了3.5GB的資料,所有這些資料顯然都可以在這個欺詐網站上找到,該網站解析出的域名與該會計師事務所的合法域名只有一個微小的拼寫錯誤。研究人員看到的資料似乎屬於該會計師事務所的員工和客戶,包括明文密碼、員工詳細資訊、審計報告、客戶的納稅申報單細節、駕駛執照和未經編輯的護照掃描件。

惡意程式碼情報

01

Raspberry Robin蠕蟲不斷進化以攻擊歐洲金融和保險部門

披露時間:2023年1月2日

情報來源:https://www.securityjoes.com/post/raspberry-robin-detected-itw-targeting-insurance-financial-institutes-in-europe

相關資訊:

最近研究人員發現,歐洲金融和保險業已成為新版本Raspberry Robin蠕蟲的目標。Raspberry Robin也被稱為QNAP蠕蟲,由微軟追蹤為DEV-0856的組織運營,主要通過受感染的USB驅動器進行傳播。但攻擊者在本次活動中利用了兩種手段分發該惡意軟體:1)通過惡意連結或附件誘導受害者下載偽裝為壓縮檔案的MSI安裝程序;2)通過在eu[.]adbison-redirect[.]com上託管的惡意廣告活動。

此外,報告顯示Raspberry Robin最新版本更新了下載器機制,並增加了反分析能力,同一個QNAP伺服器被多輪攻擊使用,且受害者資料不再是明文形式。另外,活動受害者主要為講西班牙語和葡萄牙語的組織,且攻擊者開始收集更多的受害者系統資料。

02

02

基於Lockbit3.0勒索軟體構建器的新加密器在國內傳播

披露時間:2023年1月3日

情報來源:https://mp.weixin.qq.com/s/zT1GbqXFkj0FHiUhNlisZg

相關資訊:

研究人員近期發現,基於2022年9月洩露的Lockbit3.0勒索病毒構建器開發的新加密器正在國內傳播,且該加密器只在原有的基礎上修改了一些細節部分,如加密完成後並未修改桌面圖示及被加密檔案圖示而是僅修改被加密檔案擴展、勒索信檔案名及內容等。

此外,本次勒索活動共發現兩個樣本,且樣本僅在啟動方式上存在區別,即檔案名含pass的需帶密碼參數啟動,反之則不需帶密碼參數啟動。樣本使用Salsa-20演算法加密檔案,同時由於在加密執行緒期間,其大量使用RtlEncryptMemory和RtlDecyptMemory保護包含私鑰的記憶體,因而無法直接獲取到私鑰。樣本執行後,被加密的檔案默認添加後綴名變化為「.xNimqxKZh」,贖金提示資訊檔案名則改為「xNimqxKZh.README.txt」。

03

03

Shc Linux 惡意軟體安裝 CoinMiner

披露時間:2022年1月4日

情報來源:https://asec.ahnlab.com/en/45182/

相關資訊:

Shc 是 Shell Script Compiler 的縮寫,負責將 Bash shell 腳本轉換成 ELF。研究人員最近發現,一種使用 shell 腳本編譯器 ( shc ) 開發的 Linux 惡意軟體被威脅者用來安裝 CoinMiner。專家認為,攻擊者最初通過對保護不力的 Linux SSH 伺服器進行字典攻擊來破壞目標設備,然後他們在目標系統上安裝了多種惡意軟體,包括 Shc 下載器、XMRig CoinMiner 和基於 Perl 的 DDoS IRC Bot。

攻擊者從Shc惡意軟體解碼Bash shell腳本用於從外部資源下載一個CoinMiner下載器並運行檔案。除了在受感染的系統上安裝 CoinMiner 之外,攻擊者還安裝了一個 IRC 機器人,它可以通過接收命令來執行 DDoS 攻擊。該DDoS IRC Bot具有使用Perl開發的特點,顧名思義,它使用IRC協議與C&C伺服器通訊。

研究人員還在 VirusTotal 上發現了類似的 Shc Downloader 惡意軟體。研究人員分析的所有樣本都是從韓國上傳到 VirusTotal 的,這種情況表明攻擊集中在韓國。

漏洞相關

01

Apache Kylin存在多個命令注入漏洞

披露時間:2023年1月3日

情報來源:https://mp.weixin.qq.com/s/iKI0TRAkETm35-vUpSOJDA

相關資訊:

Apache Kylin 是一個開源的、分散式的分析型資料倉儲,提供Hadoop或Spark之上的 SQL 查詢接口及多維分析(OLAP)能力以支持超大規模資料,最初由 eBay 開發並貢獻至開源社區。

近日,奇安信CERT監測到Apache Kylin命令注入漏洞(CVE-2022-43396)和Apache Kylin命令注入漏洞(CVE-2022-44621)。其中Apache Kylin命令注入漏洞(CVE-2022-43396)是歷史漏洞CVE-2022-24697的黑名單修復繞過,攻擊者通過控制目標伺服器conf的kylin.engine.spark-cmd參數來控制命令。Apache Kylin命令注入漏洞(CVE-2022-44621)是由於系統Controller未驗證參數,攻擊者可以通過HTTP請求進行命令注入攻擊。

02

CISA將JasperReports漏洞添加到其已知被利用漏洞目錄

披露時間:2022年12月25日

情報來源:https://securityaffairs.com/140131/security/known-exploited-vulnerabilities-catalog-jasperreports.html

相關資訊:

美國 CISA 將 TIBCO Software 的 JasperReports 漏洞添加到其已知被利用漏洞 (KEV) 目錄中,這些漏洞被跟蹤為 CVE-2018-5430(CVSS 分數:7.7)和 CVE-2018-18809(CVSS 分數:9.9)。TIBCO JasperReports 是一種開源 Java 報告工具,用於創建和管理報告和儀表板。根據 Binding Operational Directive (BOD) 22-01:降低已知被利用漏洞的重大風險,FCEB 機構必須在截止日期前解決已識別的漏洞,以保護其網路免受利用目錄中缺陷的攻擊。專家還建議私人組織審查目錄並解決其基礎設施中的漏洞。

點選閱讀原文至ALPHA 5.0

即刻助力威脅研判

相關文章