每週高級威脅情報解讀(2022.11.17~11.24)

2022.11.17~11.24

攻擊團伙情報

  • APT-C-09(摩訶草)組織針對巴基斯坦最新攻擊活動

  • 疑似APT42入侵美國政府網路

  • Kasablanka組織LodaRAT惡意軟體分析

  • WatchDog駭客組織持續瞄準東亞雲服務商

攻擊行動或事件情報

  • 疑似中東某國情報部門針對葉門開展間諜活動

  • 針對中東國家的釣魚攻擊在世界盃前激增

  • DEV-0569組織分析報告

  • 研究人員發現一個竊取加密貨幣的網路釣魚活動

惡意程式碼情報

  • 新型殭屍網路RobinBot正快速擴張

  • 研究人員發現34個惡意版本的Cobalt Strike駭客工具包

  • BatLoader惡意軟體下載器已傳播至全球系統

  • 新的 WannaRen 勒索軟體變體針對印度目標

漏洞情報

  • Atlassian Bitbucket Server and Data Center命令注入漏洞通告

  • 研究人員發佈針對macOS沙箱逃逸漏洞的概念驗證利用程式碼

攻擊團伙情報

01

APT-C-09(摩訶草)組織針對巴基斯坦最新攻擊活動

披露時間:2022年11月23日

情報來源:https://mp.weixin.qq.com/s/LOZTOz4Lo6cOpeD4mMC29g

相關資訊:

APT-C-09(摩訶草)(又稱白象、Patchwork、Dropping Elephant)是一個疑似具有南亞國家背景的APT組織,從2015年至今,該組織一直處於活躍狀態,長期保持著針對巴基斯坦等周邊國家的政府、醫療、軍事、科研等領域的網路攻擊活動。

該組織善於抓住熱點事件及政府工作會議作為誘餌,並採用魚叉式網路攻擊手段投遞攻擊載荷。本次攻擊中,該組織投遞帶有CVE-2017-11882漏洞的惡意RTF文件,以「2022年總理賑災基金」和「跨部門研討會 – AML/CFT報名表格」為誘餌進行偽裝,釋放「BADNEWS」最新變種木馬程序進行竊密行動。

此外,本次攻擊活動主要以巴基斯坦為攻擊目標,載荷加入了巴基斯坦時區校驗以及更可靠的加密方式,並且ShellCode加入反調試手段。

02

02

疑似APT42入侵美國政府網路

披露時間:2022年11月16日

情報來源:https://www.cisa.gov/uscert/ncas/alerts/aa22-320a

相關資訊:

APT42被認為是APT35組織的一個子集,它使用高度針對性的魚叉式網路釣魚和社會工程技術。近日,網路安全和基礎設施安全局 (CISA) 的最新訊息稱,從2022年6月中旬到7月中旬,疑似APT42組織利用未修補的 VMware Horizon 伺服器中的 Log4Shell 漏洞針對美國聯邦民用行政部門 (FCEB) 系統進行初始訪問,然後利用powershell下載後續攻擊載荷,安裝 XMRig 加密挖掘軟體,橫向移動到域控制器 (DC),破壞憑據,然後植入 Ngrok 反向代理在多個主機上以保持永續性。

03

Kasablanka組織LodaRAT惡意軟體分析

披露時間:2022年11月17日

情報來源:https://blog.talosintelligence.com/get-a-loda-this/

相關資訊:

研究人員發現了Kasablanka組織LodaRAT惡意軟體的新變種,其行為變化包括添加了感染附加的可移動儲存設備的功能,添加了新的字串編碼演算法等。

LodaRAT其基於AutoIt編寫,且存在許多未經過混淆的樣本,因此攻擊者使用AutoIt反編譯器可以獲得其源程式碼,這導致LodaRAT可在短時間內出現眾多新變種。

此外,易於訪問源程式碼的特點使得對LodaRAT功能感興趣的其它組織更具吸引力。在一些案例中,LodaRAT已被觀察到與某些惡意軟體(如RedLine、Neshta和以前未記錄的名為S500的VenomRAT變體等)同時進行部署。

04

WatchDog駭客組織持續瞄準東亞雲服務商

披露時間:2022年11月16日

情報來源:https://www.cadosecurity.com/watchdog-continues-to-target-east-asian-csps/

相關資訊:

研究人員最近發現有關駭客組織WatchDog的活動重新出現在視野中。WatchDog是一個著名的機會主義者,其經常對各種雲服務提供商託管的資源進行加密劫持攻擊,且攻擊者似乎主要利用配置錯誤的雲實例獲取初始訪問許可權。

此前關於WatchDog組織的報告顯示,其採用了一種獨特的技術,即利用簡單的shell腳本替換常見的系統實用程序(如top和ps)。同樣的技術也出現在此次活動的有效載荷中。根據活動中存在的惡意shell腳本和Monero錢包ID,研究人員將本次攻擊活動歸因於WatchDog組織。此外,腳本的某些部分專門用於檢索和設置礦工軟體:XMRig,該惡意軟體以檔案名「zzh」保存,並在受感染系統的/tmp目錄下運行。

目前,WatchDog仍然活躍,並對騰訊和阿里雲等雲服務提供商的使用者構成重大威脅。

攻擊行動或事件情報

01

疑似中東某國情報部門針對葉門開展間諜活動

披露時間:2022年11月18日

情報來源:https://mp.weixin.qq.com/s/sh4UVkRSmI0BhV2r9z3CxQ

相關資訊:

2022年3月30日,在海灣合作委員會(簡稱「海合會」)主持下,由葉門國內多方參加的解決葉門問題磋商會(簡稱「利雅得磋商」)正式開始。在此期間,研究人員發現了一起圍繞「利雅得磋商」事件開展的移動端網路攻擊活動。活動主要針對參會的葉門記者和媒體人士,且受害者主要分佈在西亞和北非的阿拉伯國家和地區,其中葉門的受害者最多。

攻擊者主要通過將攻擊樣本偽裝成海合會為葉門提供支持計劃、沙烏地葉門開發和重建計劃等的相關應用程序,再借助WhatsApp、簡訊、郵件等方式對特定人群發送釣魚訊息,誘導目標安裝SpyNote商業間諜軟體。通過開源情報得知,攻擊者疑似為中東某國情報部門。

另外,通過對此次攻擊的網路基礎設施進行擴線關聯,活動和今年8月份發佈的《Kasablanka組織向Windows和Android平臺發起攻擊》情報中的事件存在關聯。

02

針對中東國家的釣魚攻擊在世界盃前激增

披露時間:2022年11月17日

情報來源:https://www.trellix.com/en-us/about/newsroom/stories/research/email-cyberattacks-on-arab-countries-rise.html

相關資訊:

根據最新研究,隨著卡達世界盃的來臨,針對中東地區的基於電子郵件的網路釣魚活動較10月份翻了一倍。其中許多電子郵件聲稱來自國際足聯(FIFA)或者售票處,也有部分冒充特定的球隊經理、FIFA實施禁令的通知、世界盃官方合作伙伴等。攻擊者通過使用與比賽相關的各種誘餌瞄準受害者,其主要目標包括進行金融欺詐、憑據收集、資料洩露、間諜行動等。

此外,研究人員發現了多種針對中東國家的惡意軟體家族,例如Qakbot、Emotet、Formbook、Remcos和QuadAgent等。Trellix預測,此係列釣魚攻擊活動將持續到2023年1月。

03

03

DEV-0569組織分析報告

披露時間:2022年11月17日

情報來源:https://www.microsoft.com/en-us/security/blog/2022/11/17/dev-0569-finds-new-ways-to-deliver-royal-ransomware-various-payloads/

相關資訊:

研究人員發現DEV-0569 威脅行為者最近的活動導致了 Royal 勒索軟體的部署。DEV-0569特別依賴惡意廣告、網路釣魚連結,這些連結會通過冒充軟體安裝程序或嵌入在垃圾郵件、虛假論壇頁面和部落格評論中的更新等方法進行傳播。

研究人員觀察到該組織的一些交付技巧調整如下:

  • 使用目標組織網站上的聯繫表來提供網路釣魚連結

  • 在看似合法的軟體下載站點和合法儲存庫上託管偽造的安裝程序檔案,使惡意下載看起來對目標來說是真實的

  • 通過使用 Google Ads 來擴展他們的惡意廣告,有效地融入正常的廣告流量

其惡意連結指向BATLOADER下載器,且偽裝成 Microsoft Teams 或 Zoom 等合法應用程序的安裝程序或更新程序。此外,研究人員還觀察到使用虛擬硬碟 (VHD) 等檔案格式來冒充第一階段有效載荷的合法軟體。這些 VHD 還包含導致下載 DEV-0569 的惡意軟體負載的惡意腳本。

04

04

研究人員發現一個竊取加密貨幣的網路釣魚活動

披露時間:2022年11月21日

情報來源:https://pixmsecurity.com/blog/phish/cybercrime-group-expands-cryptocurrency-phishing-operation/

相關資訊:

研究人員發現一個竊取加密貨幣的網路釣魚活動正在進行,攻擊者在繞過多因素身份驗證並獲得對Coinbase、MetaMask、Crypto、KuCoin賬戶的訪問許可權後,進行加密貨幣竊取。

攻擊者濫用Microsoft Azure Web Apps服務託管網路釣魚站點,通過模擬虛假的交易確認請求將受害者誘騙到這些釣魚網站。當受害者打開釣魚網站,他們會看到一個「幫助客戶」的聊天窗口,攻擊者利用此窗口通過多個流程逐步欺騙受害者。攻擊者在網站上誘騙受害者填寫登入憑證,偽造與合法網頁相似的頁面提示受害者填寫驗證碼,並利用網頁上的聊天功能與受害者聊天,以獲得賬戶的訪問許可權。

惡意程式碼情報

01

新型殭屍網路RobinBot正快速擴張

披露時間:2022年11月22日

情報來源:https://mp.weixin.qq.com/s/CQgBh46m3aU1ZDs503M8AQ

相關資訊:

2022 年 11 月初,奇安信威脅情報中心威脅監控系統監測到一起未知家族惡意樣本傳播事件。經過我們分析,捕獲的惡意樣本借鑑了 Mirai 和 Gafgyt 家族的惡意程式碼,支持多種自己命名的 DDoS 攻擊方式,可以通過 Telnet 服務弱口令暴破傳播,同時還集成了與 Omni 家族相似的多個漏洞 Exp ,目前正在網上快速傳播。根據攻擊者創建的特殊檔案夾名稱,我們把這個家族命名為 RobinBot。

此外,RobinBot的指令機制與Gafgyt家族類似,包含三大類:執行惡意命令、DDoS攻擊、輔助功能。

研究人員通過對RobinBot樣本的回溯分析發現,其C語言版本最初於2022年5月出現,並且還具有一個功能相似的跨平臺jar版本。RobinBot的JAVA版本比C語言版本更早進行傳播,期間曾多次偽裝成Minecraft相關工具及外掛(包括KauriVPN、PlaceholderAPI、Vulcan等)。目前,RobinBot殭屍網路仍在頻繁地更新迭代並處於快速擴張階段。

02

02

研究人員發現34個惡意版本的Cobalt Strike駭客工具包

披露時間:2022年11月18日

情報來源:https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse

相關資訊:

研究人員發現了34個不同的惡意Cobalt Strike工具包,其中最早的版本於2012年11月分發布。根據調查結果,這些版本從1.44到4.7,總共有275個獨特的JAR檔案。

Cobalt Strike 是多個軟體工具的集合,整合到一個 JAR 檔案中。參與者首先激活團隊伺服器元件,該元件設置一個集中式伺服器,該伺服器既作為命令和控制 (C2) 端點運行,又作為多個參與者控制受感染設備的協調中心。其內包含多個用於 Javascript、VBA 宏和 Powershell 腳本的交付模板,它們可以部署稱為 stager 的小型 shellcode(無盤)植入程序。這些 stagers 通過支持的通訊渠道之一(包括 HTTP/HTTPS、SMB 和 DNS)回叫團隊伺服器,以下載稱為 Beacon 的最終階段植入程序。

研究人員表示,Cobalt Strike在網路安全領域具有廣泛的應用,雖然其原本的意圖是模擬真實的網路威脅,以測試網路的防禦能力,但是有越來越多的駭客將未經授權的版本進行武器化,作為受害者網路中的橫向移動工具,並用於進行後續的網路攻擊活動。

03

03

BatLoader惡意軟體下載器已傳播至全球系統

披露時間:2022年11月14日

情報來源:https://blogs.vmware.com/security/2022/11/batloader-the-evasive-downloader-malware.html

相關資訊:

研究人員跟蹤發現,在過去幾個月裡,一種危險的新型惡意軟體載入程序:BatLoader,已迅速感染全球的系統。該植入程序可在受害者系統上分發各種惡意軟體,包括Ursnif銀行木馬、Vidar資訊竊取程序、Cobalt Strike、Syncro遠端控制工具等。

攻擊者的主要策略為:在受感染的網站上託管偽裝成流行商業軟體(如LogMeIn、Zoom、TeamViewer、AnyDesk)的惡意軟體,並利用搜尋引擎最佳化 (SEO) 中毒方法引誘使用者訪問網站並下載惡意的msi檔案,最終通過執行惡意PowerShell 腳本運行BatLoader惡意軟體載入程序。此外,BatLoader嚴重依賴批處理腳本和PowerShell腳本來獲取初始載入的特點使得其在早期階段難以檢測發現。

目前,MDR團隊在過去90天內觀察到了43次成功感染活動,且其主要目標行業包括商業、金融、製造、教育、零售、IT、醫療保健等

04

新的 WannaRen 勒索軟體變體針對印度目標

披露時間:2022年11月23日

情報來源:https://www.trendmicro.com/en_us/research/22/k/wannaren-returns-as-life-ransomware–targets-india.html

相關資訊:

2022年10月,研究人員發現了WannaRen的新變體,並根據其加密擴展將其命名為Life勒索軟體,此次攻擊目標針對印度組織。

WannaRen勒索軟體的2020變體作為與激活工具捆綁在一起的惡意PowerShell程式碼進行分發。然後該腳本獲得一個PowerShell下載器,該下載器連接到一個連結以檢索惡意勒索軟體模組。與之前的版本不同,Life新變種使用批處理檔案下載並執行WINWORD.exe來進行DLL側載,將勒索軟體載入到記憶體中。Life 勒索軟體加密檔案後,會為其添加副檔名「.life」。然後在 %Desktop% 檔案夾中創建贖金票據「 READ ME.txt」。

漏洞情報

01

Atlassian Bitbucket Server and Data Center命令注入漏洞通告

披露時間:2022年11月21日

情報來源:https://mp.weixin.qq.com/s/SfiSxsEVhIbTsl-bX0l4ZQ

相關資訊:

Atlassian Bitbucket Server是一款Git程式碼託管解決方案。該方案能夠管理並審查程式碼,具有差異視圖、JIRA集成和構建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的資料中心版本。

近日,奇安信CERT監測到Atlassian Bitbucket Server and Data Center中存在命令注入漏洞(CVE-2022-43781),擁有其使用者名控制許可權的攻擊者可利用環境變數進行命令注入,成功利用此漏洞的遠端攻擊者可在目標機器上執行任意命令。鑑於該漏洞影響範圍較大,建議儘快做好自查及防護。

02

研究人員發佈針對macOS沙箱逃逸漏洞的概念驗證利用程式碼

披露時間:2022年11月21日

情報來源:https://securityaffairs.co/wordpress/138815/hacking/macos-sandbox-escape-flaw.html

相關資訊:

研究人員發佈了macOS沙箱逃逸漏洞的技術細節和概念驗證(PoC)利用程式碼,該漏洞被標記為CVE-2022-26696,CVSS評分為7.8。研究人員表示,遠端攻擊者可以觸發該漏洞以逃逸受影響的Apple macOS中安裝的沙箱,攻擊者需要先獲得在目標系統上執行低許可權程式碼的能力才能夠利用此漏洞。此外,攻擊者能夠將漏洞利用程式碼嵌入文件中並載入Mythic JXA有效載荷進行武器化。研究人員已將此問題報告給供應商。

點選閱讀原文至ALPHA 5.0

即刻助力威脅研判

相關文章

2023,元宇宙「脫虛向實」

2023,元宇宙「脫虛向實」

在希望與爭議中,元宇宙渡過了關鍵的一年。 從國際局勢,到新冠疫情,過去三年「新常態」的衝擊,讓外部環境充斥著不確定性,也令這個時代的人們處於...

建設 Web3,現在最需要 Web2 的移民?

建設 Web3,現在最需要 Web2 的移民?

Web3 處在「大規模應用」爆發的前夜 從國際局勢,到新冠疫情,過去三年「新常態」的衝擊,讓外部環境充斥著不確定性,也令這個時代的人們處於前...