2022.08.18~08.25
攻擊團伙情報
Charming Kitten組織使用新工具以竊取使用者資料
疑似新APT組織針對土耳其海軍發起釣魚攻擊
APT組織穆倫鯊(MurenShark)瞄向土耳其潛艇科研人員
Fin7使用shellcode版本的JSSLoader
APT29針對Microsoft 365的新策略
攻擊行動或事件情報
攻擊者使用IBAN Clipper針對加密交易
針對南亞電信機構的攻擊活動傳播PoisonIvy惡意軟體
TA558團伙攻擊拉丁美洲酒店和旅遊組織
惡意程式碼情報
AgentTesla正在通過一項新活動針對世界各地的企業
BlackCat三重勒索詳情披露
Grandoreiro銀行木馬可針對墨西哥和西班牙等國家
漏洞情報
Apple 多個高危漏洞安全風險通告
研究人員發現ChromeOS遠端記憶體損壞漏洞
攻擊團伙情報
01
Charming Kitten組織使用新工具以竊取使用者資料
披露時間:2022年08月23日
情報來源:https://blog.google/threat-analysis-group/new-iranian-apt-data-extraction-tool/
相關資訊:
Charming Kitten是一個伊朗支持的APT組織,也被稱為APT35和Phosphorus。2021年12月,研究人員發現了一種名為HYPERSCRAPE的新型Charming Kitten工具,用於從Gmail、Yahoo和Microsoft Outlook賬戶中竊取使用者資料。
近日,研究人員分享了有關Hyperscraper功能的詳細資訊,並表示它正在積極開發中。Hyperscraper有一個嵌入式瀏覽器,並欺騙使用者代理來模仿一個過時的網路瀏覽器,它提供了Gmail賬戶內容的基本HTML視圖。登入後,該工具會將賬戶的語言設置更改為英語並遍歷郵箱的內容,將郵件單獨下載為.eml檔案並將其標記為未讀。滲透完成後,Hyperscraper將語言更改為原始設置並刪除來自Google的安全警報,以儘量減少佔用空間。
02
疑似新APT組織針對土耳其海軍發起釣魚攻擊
披露時間:2022年08月23日
情報來源:https://mp.weixin.qq.com/s/icGu9SEJ0blcXW9r0BbehA
相關資訊:
近期,研究人員捕獲到數個針對土耳其海軍的釣魚文件樣本,攻擊者通過將文件加密誘騙受害者啟用宏腳本,啟用宏後文件中的內容將被解密並運行惡意vba程式碼。經分析此次行動與2021年4月26日友商披露的 「Actor210426」行動攻擊手法高度重合,推斷兩次行動極有可能來自同一組織,這裡將其命名為OceanDoge。
OceanDoge組織至少從2021年4月開始活動,通過發佈的加密文件誘導受害者運行宏腳本,觀察到的兩次攻擊先後針對狗狗幣關注者和土耳其海軍發起釣魚攻擊,令人奇怪的是兩次攻擊間隔了一年多,但回連的域名沒有變化,並且都是「近東大學」官方網站的白域名。
03
APT組織穆倫鯊(MurenShark)瞄向土耳其潛艇科研人員
披露時間:2022年08月19日
情報來源:http://blog.nsfocus.net/murenshark/
相關資訊:
2022年第二季度,研究人員觀測到了一系列針對土耳其的網路攻擊活動,並將其命名為穆倫鯊(MurenShark)。穆倫鯊組織是一個活躍於中東地區的新型威脅實體,主要攻擊目標國家為土耳其,已發現的目標包括北塞普勒斯地區高校、土耳其軍隊和土耳其國家科研機構。
穆倫鯊的主要攻擊手法包括投遞釣魚文件與攻擊線上服務,直接目的包括擴充攻擊資源、滲透目標網路、竊取關鍵資料。該組織已知的魚叉式攻擊最早出現在2021年4月,對高校網站的入侵行為則早於該日期。
穆倫鯊使用三種主要攻擊元件NiceRender、UniversalDonut、LetMeOut以及第三方攻擊工具CobaltStrike,最終實現竊取受害者主機中的資料、以及在受害者主機所在域內進行橫向移動的目的。該組織在近期針對土耳其海軍與科研機構的攻擊活動中使用的新流程如下:
04
Fin7使用shellcode版本的JSSLoader
披露時間:2022年08月18日
情報來源:https://malwarebytes.box.com/s/ym6r7o5hq0rx2nxjbctfv2sw5vx386ni
相關資訊:
研究人員在6月下旬觀察到一次惡意垃圾郵件活動,並將其歸因於FIN7 APT組。Josh Trombley在Twitter上也報道了其中一個樣本,在執行期間,觀察到丟棄了一個用.NET編寫的輔助有效負載。
今年早些時候,Morphisec和Secureworks描述了這個小組使用的一個新元件,它以XLL格式交付,這是導致另一個惡意軟體(稱為JSSLoader)的攻擊鏈中的第一步。分析,發現FIN7當前使用的惡意軟體是對JSSLoader的又一次重寫,添加了新的擴展功能,主要包括資料洩露等。
05
APT29針對Microsoft 365的新策略
披露時間:2022年08月18日
情報來源:https://www.mandiant.com/resources/apt29-continues-targeting-microsoft
相關資訊:
研究人員觀察到APT29繼續展示了針對Microsoft 365的操作安全性和高級策略,並重點介紹了APT29在最近的操作中使用的幾個較新的TTP。
1. 禁用許可證:APT29對受感染租戶的目標賬戶禁用Purview Audit。一旦被禁用,他們就會開始針對收件箱進行電子郵件收集,且沒有可用的日誌記錄來確認威脅行為者針對哪些賬戶以及何時收集電子郵件。
2. MFA接管休眠賬戶:APT29利用Azure Active Directory和其他平台中的MFA自我註冊流程,當攻擊者獲取到使用者名和密碼後,便可以從任何位置和任何設備訪問該賬戶以註冊MFA。
此外,研究人員還觀察到APT29利用Azure虛擬機器存在於受害組織之外的Azure訂閱中,讓研究人員難以快速確定IP地址屬於惡意VM還是後端M365服務。APT29還會將合法管理行為與其惡意行為混合在一起,試圖將自己的行動偽裝成合法的。
攻擊行動或事件情報
01
攻擊者使用IBAN Clipper針對加密交易
披露時間:2022年08月22日
情報來源:https://blog.cyble.com/2022/08/22/dissecting-iban-clipper/
相關資訊:
IBAN是一種國際認可的系統,用於識別海外銀行賬戶。Clipper惡意軟體以受害者的剪貼簿為目標,通過將受害者的資料替換為攻擊者自己的資料來執行未經授權的交換操作,以進行金融盜竊。
大多數著名的Clipper惡意軟體都針對加密交易,其中惡意軟體將受害者複製的加密地址與攻擊者的加密地址交換,並誘騙毫無戒心的受害者向攻擊者的加密地址匯款。
研究人員觀察到攻擊者正在開發更多惡意軟體來實施金融網路犯罪。只有受害者在交易過程中複製銀行賬號,IBAN Clipper惡意軟體才能成功嘗試進行欺詐性金融交易。攻擊者還集成了從遠端站點檢索銀行賬號的功能,使該Clipper更加複雜、隱蔽和功能強大,進一步使攻擊者能夠在不更改Clipper有效負載的情況下更新銀行賬號。
02
針對南亞電信機構的攻擊活動傳播PoisonIvy惡意軟體
披露時間:2022年08月22日
情報來源:https://www.fortinet.com/blog/threat-research/pivnoxy-and-chinoxy-puppeteer-analysis
相關資訊:
近期,研究人員發現一封偽裝成來自巴基斯坦政府部門發送給南亞的一家電信機構的電子郵件,包含可疑的RTF附件並傳遞了PivNoxy惡意軟體。此次攻擊始於一封簡單的電子郵件,其中包含一個RTF文件作為附件,這個文件是使用一種名為Royal Road的網路釣魚武器化工具生成的。點選附件後會打開一個誘餌Word文件,同時在後臺利用CVE-2018-0798 Microsoft公式編輯器中的遠端程式碼執行漏洞執行惡意程序,最終載入PoisonIvy木馬軟體。PoisonIvy是一種遠端訪問木馬,也稱為Pivy,已經在地下論壇中活躍了十多年,主要允許攻擊者控制受感染的機器並通過其GUI執行偵察活動。
研究人員發現攻擊者主要利用帶有合法簽名的Logitech藍牙嚮導主機進程檔案,此合法簽名的檔案包含DLL 搜尋命令劫持漏洞,因此攻擊者利用此漏洞創建自己的惡意「LBTServ.dll」檔案,以便在執行真正的Logitech進程時載入。攻擊鏈通常以包含附件的電子郵件開始,附件本身包含一個可執行檔案,執行時會釋放惡意DLL、合法的Logitech可執行檔案以及最終的惡意軟體負載。研究人員發現攻擊者利用上述技術傳播過Chinoxy,PivNoxy和Chinoxy變體等惡意軟體。
03
TA558團伙攻擊拉丁美洲酒店和旅遊組織
披露時間:2022年08月18日
情報來源:https://www.proofpoint.com/us/blog/threat-insight/reservations-requested-ta558-targets-hospitality-and-travel
相關資訊:
TA558是一個疑似出於經濟動機的小型威脅組織,其目標是酒店和旅遊組織。TA558組織自發現以來一直活躍,在活動中使用了多種惡意軟體,包括Loda RAT、Vjw0rm和Revenge RAT。TA558主要針對拉丁美洲地區,也針對西歐和北美實體。
自2018年以來,攻擊者發送用葡萄牙語、西班牙語,有時是英語編寫的惡意電子郵件。這些電子郵件使用以預訂為主題的誘餌,並帶有與業務相關的主題,例如酒店房間預訂。這些電子郵件可能包含惡意附件或URL,旨在分發至少15種不同的惡意軟體有效負載之一,通常是遠端訪問木馬(RAT)等可以實現偵察、資料盜竊和後續有效負載的分發。本報告詳細介紹了TA558四年多來仍在進行中的活動。
最近的活動中,攻擊者從利用包含宏的Microsoft Office附件,轉而使用URL和ISO檔案來實現初始感染,此舉可能是對微軟決定默認阻止從網路下載檔案中的宏做出的回應。
惡意程式碼情報
01
AgentTesla正在通過一項新活動針對世界各地的企業
披露時間:2022年08月24日
情報來源:https://decoded.avast.io/pavelnovak/agenttesla-is-threatening-businesses-around-the-world-with-a-new-campaign/
相關資訊:
分發AgentTesla的惡意活動於8月中旬開始傳播。該活動背後的攻擊者正在關注有關受害者計算機和儲存在瀏覽器中的登入憑據的資訊。
從欺騙性電子郵件地址發送的帶有惡意附件的網路釣魚電子郵件正被髮送到南美和歐洲的企業。迄今為止,已發送超過26,000封電子郵件。該活動於2022年8月12日星期五開始,針對西班牙、葡萄牙、羅馬尼亞和南美洲多個國家的使用者。
釣魚郵件的內容只有一行文字:「Get Outlook for Android」,會根據收件人所在的位置進行本地化。例如,擁有.de電子郵件地址的受害者會收到從偽造的.de電子郵件地址發送的德語電子郵件。電子郵件的主題和附件以”Draft Contract”不同的語言命名,具體取決於電子郵件的發送對象。附件的副檔名是.IMG或.ISO。附件實際上是一個磁碟映像檔案,包含一個額外的編譯HTML格式(chm),同名「草稿合同」。打開後,會在後臺觸發了一系列動作,從而導致感染。
02
BlackCat三重勒索詳情披露
披露時間:2022年08月21日
情報來源:https://mp.weixin.qq.com/s/z6lZd6hhyVjhTzYPk6_uSA
相關資訊:
近期,研究人員在運營工作中發現一起勒索病毒事件,樣本隸屬家族BlackCat。BlackCat(又名ALPHV)是一個勒索軟體家族,使用Rust編寫,是一個命令列啟動的勒索程序,該樣本採用定製化的參數選項幫助攻擊者輕鬆地配置程序執行過程。這些配置包括以子進程方式運行、拖拽啟動、記錄日誌、是否探索Windows系統的共享網路、是否在Windows上繁殖傳播、是否傳播到未定義的伺服器上、是否關閉ESXI虛擬機器、是否刪除ESXI虛擬機器快照、是否更新Windows桌面等等。
該勒索病毒帶有一個加密配置,其中包含要終止的服務/進程列表、避免加密的目錄/檔案/檔案副檔名列表以及來自受害者環境的被盜憑證列表以實現持久化。它會刪除所有卷影副本,使用CMSTPLUA COM接口執行許可權提升,並在受害者機器上啟用「遠端到本地」和「遠端到遠端」符號連結。
BlackCat採用三重勒索模式,不僅會加密資料、感染網路和系統,還會通過其他的工具進行竊取敏感資料,然後使用被盜資料勒索受害者支付要求的贖金,還會在他們的洩密網站上列出了部分受害者,如果不支付贖金,攻擊者將在資料洩露站點上洩露被盜資料。而且如果受害者沒有在最後期限支付贖金,他們還會進行分散式拒絕服務(DDoS)攻擊。
03
Grandoreiro銀行木馬可針對墨西哥和西班牙等國家
披露時間:2022年08月22日
情報來源:https://www.zscaler.com/blogs/security-research/grandoreiro-banking-trojan-new-ttps-targeting-various-industry-verticals
相關資訊:
「Grandoreiro」是一種銀行木馬,至少自2016年以來一直活躍,其攻擊目標為西班牙語國家,包括墨西哥和西班牙。
研究人員分析了此次Grandoreiro 活動的多個感染鏈,推斷出Grandoreiro活動針對不同行業垂直領域的墨西哥和西班牙等西班牙語國家的組織,其目標行業包括:化學品製造、汽車、民用和工業建築、機械、物流-車隊管理服務等。
此次活動中,攻擊者冒充墨西哥政府官員,以魚叉式網路釣魚電子郵件的形式誘使受害者下載並執行「Grandoreiro」銀行木馬,該電子郵件包含一個嵌入式連結,單擊該連結會將受害者重定向到一個網站,該網站會在受害者的計算機上進一步下載惡意ZIP存檔,ZIP存檔與帶有PDF圖示的Grandoreiro載入器模組捆綁在一起,以引誘受害者執行。根據攻擊者使用的誘餌,網路釣魚電子郵件分為兩組:冒充政府官員,指示受害者下載和分享臨時存檔決議的電子郵件、取消按揭貸款及存款憑證兩種形式。此外Grandoreiro由Delphi編寫,利用二進位制填充方式膨脹二進位制檔案以及驗證碼等多種反分析技術來實現沙盒規避,並使用與 LatentBot相同的模式的命令和控制(CnC)通訊。
漏洞情報
01
Apple 多個高危漏洞安全風險通告
披露時間:2022年08月21日
情報來源:https://mp.weixin.qq.com/s/Btea6Ye_iSKvd1Lm7NfpIw
相關資訊:
近日,奇安信CERT監測到 Apple WebKit 程式碼執行漏洞(CVE-2022-32893)、Apple Kernel 許可權提升漏洞(CVE-2022-32894)。
Apple Webki是瀏覽器引擎,被使用在Safari,Mail,App Store,iOS和Linux。Apple Webkit存在任意程式碼執行漏洞,Webkit在處理惡意製作的Web內容可能會導致任意程式碼執行。Apple核心存在本地許可權提升漏洞,通過越界讀寫,成功利用該漏洞可以將本地使用者許可權提升至核心許可權,並以核心許可權執行任意程式碼。蘋果發佈漏洞通告,稱已發現上述兩個漏洞在野利用事件。
02
研究人員發現ChromeOS遠端記憶體損壞漏洞
披露時間:2022年08月19日
情報來源:https://www.microsoft.com/security/blog/2022/08/19/uncovering-a-chromeos-remote-memory-corruption-vulnerability/
相關資訊:
研究人員在ChromeOS元件中發現了一個可以遠端觸發的記憶體損壞漏洞,允許攻擊者執行拒絕服務(DoS),或者在極端情況下執行遠端程式碼執行(RCE)。該漏洞被分配為CVE-2022-2587,通用漏洞評分系統( CVSS )得分為9.8(將漏洞歸類為嚴重)。
ChromeOS使用D-Bus,研究人員通過審核D-Bus服務及其處理程序程式碼,在其他平臺上搜尋了類似的D-Bus模式。在找到本地記憶體損壞問題後,可以通過操縱音訊元資料遠端觸發。攻擊者可能會誘使使用者滿足這些條件,例如通過簡單地在瀏覽器中或從配對的藍牙設備播放一首新歌曲,或利用中間對手 (AiTM) 功能遠端利用該漏洞。
點選閱讀原文至ALPHA 5.0
即刻助力威脅研判
