每週高級威脅情報解讀(2022.07.21~07.28)

2022.07.21~07.28

攻擊團伙情報

  • APT37組織使用Konni RAT攻擊歐盟目標

  • 近期APT32(海蓮花)組織攻擊活動樣本分析

  • 透明部落以「清潔運動」為主題對印度國防部下屬企業發起釣魚攻擊

  • 疑似EvilNum針對歐洲金融實體

攻擊行動或事件情報

  • 阿里雲OSS遭受惡意軟體分發和加密劫持攻擊

  • Candiru利用零日漏洞CVE-2022-2294攻擊中東地區

  • 攻擊者使用GoMet後門攻擊烏克蘭

  • 1100多個組織受到FileWave MDM漏洞的影響

惡意程式碼情報

  • Amadey Bot通過SmokeLoader分發

  • Ducktail Infostealer:針對 Facebook 商業賬戶的新惡意軟體

  • QBot使用Windows Calculator側載來感染設備

漏洞情報

  • Apple發佈安全補丁修復數十個新漏洞

  • Linux Kernel本地許可權提升漏洞安全風險通告

攻擊團伙情報

攻擊團伙情報

攻擊團伙情報
01

01

APT37組織使用Konni RAT攻擊歐盟目標

披露時間:2022年07月20日

情報來源:https://www.securonix.com/blog/stiffbizon-detection-new-attack-campaign-observed/

相關資訊:

近期,研究人員觀察和分析了最新且仍在進行的活動,他們稱之為 STIFF#BIZON,其與北韓的 APT37惡意活動有關。此次活動針對針對捷克共和國、波蘭和其他歐洲國家的高價值組織,並使用了Konni惡意軟體。

攻擊始於一封帶有包含Word文件(missile.docx)和Windows快捷方式檔案(weapons.doc.lnk.lnk)的存檔附件的網路釣魚電子郵件。打開LNK檔案後,程式碼運行以在DOCX檔案中查找base64編碼的PowerShell腳本,以建立C2通訊並下載誘餌檔案「weapons.doc」和「wp.vbs」,VBS檔案創建定時任務以執行後續攻擊載荷。

雖然策略和工具集指向 APT37,但研究人員強調了APT28(又名FancyBear)支持STIFF#BIZON活動的可能性。

02

02

近期APT32(海蓮花)組織攻擊活動樣本分析

披露時間:2022年07月23日

情報來源:https://mp.weixin.qq.com/s/U9LIfVVP5kHBFFt0LN0Q-A

相關資訊:

近期,研究人員捕獲了一起海蓮花組織的最新攻擊活動,分析發現,該組織在執行最終的RAT時,開始採用更加多樣化的Loader程序來實施攻擊活動,而這次攻擊活動就採用了一種較為小眾的Nim語言編寫的開源工具,來作為其交付Cobalt Strike Beacon的Loader,而在此之前,與該組織相關的採用此類武器攻擊的活動幾乎很少被提及。

海蓮花組織未使用原始的NimPacket的有bug的獲取進程方法,通過自定義的createprocess方法來獲取進程,說明該組織對nimpacket進行了研究並非簡單的使用。此外,NimPacket loader中默認加入Shellycoat,用於unhook安全軟AV/NGAV/EDR/Sandboxes/DLP等,以此做到免殺。

03

透明部落以「清潔運動」為主題對印度國防部下屬企業發起釣魚攻擊

披露時間:2022年07月25日

情報來源:https://mp.weixin.qq.com/s/U7RiFIlyLGo0aTYttvPQfg

相關資訊:

近期研究人員捕獲到透明部落組織針對印度國防部下屬企業攻擊的樣本,樣本格式為帶有惡意宏的pptm檔案,可能通過釣魚郵件投遞至印度國防部下屬企業,樣本中的宏程式碼會釋放並執行CrimsonRAT,執行來自惡意C2的各種命令。

誘餌文件冒充為印度國防部下發的指令,大意為通知各個印度國防公共部門企業進行「清潔運動」以減少未決事項。惡意宏程式碼的執行流程如下:

04

04

疑似EvilNum針對歐洲金融實體

披露時間:2022年07月21日

情報來源:https://www.proofpoint.com/us/blog/threat-insight/buy-sell-steal-evilnum-targets-cryptocurrency-forex-commodities

相關資訊:

研究人員最近發現名為TA4563的攻擊組織利用其Evilnum惡意軟體攻擊歐洲金融和投資實體的惡意活動,尤其針對那些支持外匯、加密貨幣和去中心化金融的業務實體。研究人員還表明,上述活動與稱為Evilnum的駭客組織存在關聯。

2021年12月,TA4563以及相關攻擊組織使用相關Microsoft Word模板文件,該文件試圖與域通訊以安裝多個LNK載入器元件,利用wscript載入Evilnum有效負載,最終在使用者主機上安裝JavaScript有效負載。這些文件通常圍繞財務主題,吸引目標受害者提交「丟失檔案的所有權證明」,從而展開攻擊。到2022年初,該組織繼續以原始電子郵件活動的變體為目標,試圖提供包含ISO或 .LNK附件的多個OneDrive URL。在最近的一次活動中攻擊者方法再次改變,TA4563交付Microsoft Word文件以嘗試下載遠端模板。模板主題為「緊急丟失檔案」,並攜帶附件,附加的文件負責生成到 hxxp://outlookfnd.com的流量,這是一個由參與者控制的域,能下載相關EvilNum有效負載,最終開展相關攻擊。

攻擊行動或事件情報

攻擊行動或事件情報

攻擊行動或事件情報
01

01

阿里雲OSS遭受惡意軟體分發和加密劫持攻擊

披露時間:2022年07月21日

情報來源:https://www.trendmicro.com/en_us/research/22/g/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc.html

相關資訊:

研究人員最近披露了關於利用阿里雲的對象儲存服務(OSS)進行惡意軟體分發和非法加密貨幣挖掘的惡意行為。

OSS是一項服務,允許阿里雲客戶將Web應用程序圖像和備份資訊等資料儲存在雲端。OSS Buckets是相關的儲存空間,其具有各種配置屬性,包括地域、訪問許可權、儲存類型等。惡意攻擊者通過獲取相關憑據來獲取使用者相關OSS bucket的訪問許可權,並實現檔案的上傳下載等。

此次攻擊行為中,攻擊者還使用隱寫術將包含嵌入式 shell 腳本的圖像檔案上傳到受感染的OSS bucket,上傳後便可以利用XMRig非法挖掘Monero,還能夠利用配置錯誤的Redis實例,執行惡意程式碼。

02

Candiru利用零日漏洞CVE-2022-2294攻擊中東地區

披露時間:2022年07月21日

情報來源:https://decoded.avast.io/janvojtesek/the-return-of-candiru-zero-days-in-the-middle-east

相關資訊:

最近,研究人員現Google Chrome中存在一個零日漏洞,被間諜軟體供應商Candiru用來有針對性地對中東的Avast使用者進行水坑攻擊。該漏洞編號為CVE-2022-2294,是WebRTC中的堆緩衝區溢出導致的記憶體損壞,被Candiru用來實現渲染器進程內shell code的執行。

據調查,攻擊者先利用XSS漏洞注入的程式碼通過其他幾個攻擊者控制的域將目標受害者路由到攻擊伺服器。之後,收集包括受害者的語言、時區、螢幕資訊、設備類型、瀏覽器外掛、參考、設備記憶體、cookie功能等多種資訊併發送給攻擊者,如果滿足漏洞攻擊伺服器的要求,它將建立一個加密通道。通過該通道將零日漏洞傳遞給受害者。在受害者的機器上站穩腳跟後,惡意負載(被稱為DevilsTongue,一種成熟的間諜軟體)試圖通過另一個零日攻擊來提升其許可權。

03

攻擊者使用GoMet後門攻擊烏克蘭

披露時間:2022年07月21日

情報來源:https://blog.talosintelligence.com/2022/07/attackers-target-ukraine-using-gomet.html

相關資訊:

研究人員發現了一種罕見的惡意軟體,該惡意軟體被用於針對一家大型烏克蘭軟體開發公司,該公司的軟體被烏克蘭境內的各個國家組織使用。研究人員認為,攻擊者可能與俄羅斯有關,並以該公司為目標,企圖發動供應鏈攻擊。目前尚不清楚攻擊是否成功。

對惡意程式碼的分析表明,它是「GoMet」開源後門的一個稍微修改的版本。研究人員檢測到的惡意活動包括由GoMet dropper創建的虛假Windows更新計劃任務。此外,該惡意軟體使用了一種新的方法來實現永續性。它列舉了自動運行的值,並沒有創建一個新的值,而是用惡意軟體替換了一個現有的軟體自動運行可執行檔案。這可能會逃避檢測或阻礙分析。

04

1100多個組織受到FileWave MDM漏洞的影響

披露時間:2022年07月25日

情報來源:https://claroty.com/2022/07/25/blog-research-with-management-comes-risk-finding-flaws-in-filewave-mdm/

相關資訊:

研究人員最近發現,FileWave MDM產品受到兩個關鍵安全漏洞的影響:身份驗證繞過問題(CVE-2022-34907)和硬編碼加密金鑰(CVE-2022-34906)。

通過身份驗證繞過漏洞,遠端攻擊者可以實現「super_user」訪問,並完全控制連接到網際網路的MDM實例,從而可以入侵使用FileWave產品管理的所有設備,還可以竊取敏感資訊和傳播惡意軟體。研究人員發現了1100多個暴露在網際網路上的易受攻擊的MDM伺服器實例,其中包括企業、教育機構、政府機構和中小企業所擁有的實例。FileWave在本月發佈的14.7.2版本中修補了該漏洞。

惡意程式碼情報

惡意程式碼情報

惡意程式碼情報
01

01

Amadey Bot通過SmokeLoader分發

披露時間:2022年07月21日

情報來源:https://asec.ahnlab.com/en/36634/

相關資訊:

研究人員最近披露利用SmokerLoader安裝Amaday bot的活動,Amaday bot能通過接收攻擊者的指令竊取資訊並安裝額外的惡意軟體,SmokerLoader通過將自己偽裝成軟體的破解版本和序列生成程序來分發。

SmokerLoader提供與資訊竊取相關的各種附加功能作為外掛。它通常作為下載程序用於安裝其他惡意軟體。當執行SmokerLoader,他會在目前運行的explorer.exe注入一個main bot,在explorer進程內下載Amaday。下載完成後,Amaday先自我複製到一個temp路徑,然後註冊一個開機檔案夾,使其在電腦重啟後仍能運行,還將自身註冊到任務排程器以保持永續性。以上進程運行完後,惡意軟體會與C2伺服器交流,通過其發送的URL下載cred.dll外掛和Redline info-stealer(另一種惡意軟體),收集使用者資訊併發送給C2伺服器,包括基礎資訊、計算器名和使用者名、郵件、FTPs、VPN客戶機、及一系列反惡意軟體產品資訊。

02

Ducktail Infostealer:針對 Facebook 商業賬戶的新惡意軟體

披露時間:2022年07月26日

情報來源:https://labs.withsecure.com/assets/BlogFiles/Publications/WithSecure_Research_DUCKTAIL.pdf

相關資訊:

Ducktail是一種針對Facebook業務和廣告賬戶的新惡意軟體,旨在竊取瀏覽器cookie,並利用經過身份驗證的Facebook會話從受害者的賬戶中竊取資訊。據悉,Ducktail惡意活動始於2021年下半年,研究人員將此活動歸因於越南攻擊者,其主要目標是在公司中擔任管理、數字營銷、數字媒體和人力資源角色的個人,攻擊者誘使這些目標下載託管在Dropbox、Apple iCloud和MediaFire上的Facebook廣告資訊。攻擊鏈如下:

03

03

QBot使用Windows Calculator側載來感染設備

披露時間:2022年07月21日

情報來源:https://blog.cyble.com/2022/07/21/qakbot-resurfaces-with-new-playbook/

相關資訊:

至少從7月11日起,Qbot(又名Qakbot)惡意軟體運營商就一直在濫用Windows 7計算器應用程序進行DLL側載入攻擊。Qakbot的初始感染始於包含各種主題的惡意垃圾郵件活動,垃圾郵件包含一個HTML檔案,該檔案具有base64編碼圖像和一個受密碼保護的ZIP檔案,其中包含一個ISO檔案。ISO包含一個.LNK檔案、一個「calc.exe」副本和兩個DLL檔案,即WindowsCodecs.dll和一個名為7533.dll的有效負載。

ISO檔案打開僅向使用者顯示被偽裝成PDF的.lnk檔案,其指向Windows中的計算器應用程序。單擊快捷方式會通過命令提示符執行Calc.exe來觸發感染。載入後,Windows 7計算器會自動搜尋並嘗試載入合法的WindowsCodecs.dll檔案。Qakbot執行流程如下:

漏洞相關

漏洞相關

漏洞相關
01

01

Apple發佈安全補丁修復數十個新漏洞

披露時間:2022年07月20日

情報來源:https://support.apple.com/en-us/HT201222

相關資訊:

Apple推出了適用於iOS、iPadOS、macOS、tvOS和watchOS的軟體修復程序,以解決影響其平臺的許多安全漏洞。這包括至少37個跨越iOS和macOS中不同元件的缺陷,範圍從特權升級到任意程式碼執行,從資訊洩露到拒絕服務(DoS)。

其中最主要的是CVE-2022-2294,這是WebRTC元件中的一個記憶體損壞漏洞,該漏洞已在針對Chrome瀏覽器使用者的實際攻擊中被利用。但是,沒有證據表明針對iOS、macOS和Safari的漏洞進行了零日漏洞利用。

除了 CVE-2022-2294,這些更新還解決了多個漏洞,詳見情報來源連結。

02

Linux Kernel本地許可權提升漏洞安全風險通告

披露時間:2022年07月22日

情報來源:https://mp.weixin.qq.com/s/Qon1AU2GG992J6-nFGZjnA

相關資訊:

近日,奇安信CERT監測到Linux Kernel本地許可權提升漏洞(CVE-2022-34918)的技術細節及PoC在網際網路上公開,Linux 核心存在本地許可權提升漏洞,經過身份認證的本地攻擊者可以利用該漏洞將許可權提升到ROOT許可權。奇安信CERT已復現此漏洞,經驗證,此PoC有效。鑑於此漏洞影響範圍較大,建議儘快做好自查及防護。

點選閱讀原文至

點選閱讀原文至ALPHA 5.0

即刻助力威脅研判

相關文章