每周高级威胁情报解读(2021.11.25~12.02)
2021-12-03 14:02:19 Author: mp.weixin.qq.com(查看原文) 阅读量:23 收藏

2021.02.04~02.11

攻击团伙情报

  • PROMETHIUM伪造NotePad++安装包的攻击活动分析

  • APT-Q-12针对贸易行业进行间谍活动

  • APT37利用Chinotto针对脱北者和韩国人权主义者开展监视活动

  • 双尾蝎以巴勒斯坦选举热点信息为诱饵的攻击活动分析

  • 深度剖析MuddyWater武器库之POWERSTATS后门

  • WIRTE针对中东地区的攻击活动分析

  • 双尾蝎Android间谍软件持续更新,躲避手法再升级

攻击行动或事件情报

  • SpyAgent利用虚假加密网站和多种合法RAT肆意传播

  • RATDispenser加载器传播恶意软件活动分析

  • 利用 RTF模板注入或成为钓鱼攻击新趋势

恶意代码情报

  • BazarLoader新增感染载体,涉及安装程序和ISO文件

  • 通过视频网站传播的RedLine窃密木马分析

  • 勒索软件团伙UNC2190以Sabbath为名卷土重来

漏洞情报

  • 泛微E-Office文件上传漏洞安全风险通告

  • NSS中的内存损坏漏洞CVE-2021-43527

攻击团伙情报

01

PROMETHIUM伪造NotePad++安装包的攻击活动分析

披露时间:2021年11月30日

情报来源:https://mp.weixin.qq.com/s/nQVUkIwkiQTj2pLaNYHeOA

相关信息

Promethium又被称为蓝色魔眼、StrongPity,该APT组织在2016年被微软披露并命名为Promethium,其最早的攻击活动可以追溯到2012年。该组织主要针对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家进行攻击活动。近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织伪装成常用文本编辑器Notepad++安装包进行情报刺探的攻击活动样本。

此次攻击活动特点包括:初始阶段仍为水坑攻击,攻击样本内嵌Notepad++签名的最新软件安装包,并使用Notepad++安装包图标伪装自身;注册为服务实现持久化;使用突破会话隔离的技术创建进程;通过隐藏窗口实现键盘记录器,提高隐蔽性。

02

APT-Q-12针对贸易行业进行间谍活动

披露时间:2021年11月29日

情报来源:https://mp.weixin.qq.com/s/Hzq4_tWmunDpKfHTlZNM-A

相关信息

奇安信发现了一个专门针对贸易行业进行攻击的团伙,主要目的为获取情报,攻击手段较为单一,发送带有恶意lnk文件的钓鱼邮件进行传播,今年以来较为活跃,并将其命名为APT-Q-12。其本次活动样本有如下特点:使用鱼叉邮件投递恶意压缩包;使用LNK文件进行cisid劫持;使用FileRun框架或者第三方平台托管样本;攻击成功后使用AES加密进行信息传递。

样本图标伪装为IE浏览器图标,诱导用户点击执行后,会修改注册表关联组件为恶意文件,导致系统在查找的COM对象时,会调用到恶意的组件。接着通过mshta远程加载js脚本到内存中执行。恶意的组件会检查设备是否连接互联网,如果联网,就会收集计算机的各种信息并加密上传到攻击者的服务器。

03

APT37利用Chinotto针对脱北者和韩国人权主义者开展监视活动

披露时间:2021年11月29日

情报来源:https://securelist.com/scarcruft-surveilling-north-korean-defectors-and-human-rights-activists/105074/

相关信息

APT37组织(也被称为ScarCruft或Reaper)是于2016年被首次披露的一个国家级APT组织。APT37自2012年开始活跃,主要针对脱北者、报道朝鲜相关新闻的记者、与韩半岛有关的政府机构等。

近期,Kaspersky研究人员对被APT37破坏的主机进行了深入调查。攻击者利用PowerShell恶意软件进行攻击,窃取数据并对受害者开展了长达几个月的监视活动。此次活动开始于2021年8月,初始感染媒介是鱼叉式钓鱼活动,之后利用IE浏览器中的两个漏洞在韩国的网站中安装自定义恶意软件BLUELIGHT,发起水坑攻击。活动还利用了恶意软件Chinotto,它具有针对PowerShell、Windows和Android的多个变体。尽管针对平台不同,但是此恶意软件家族基于HTTP通信共享类似的命令和控制方案。因此,恶意软件操作者可以通过一组命令和控制脚本来控制整个恶意软件家族。

此APT组织在被入侵的web服务器上利用PHP脚本控制恶意软件,并根据HTTP参数控制植入。通过从被入侵的服务器上获取的日志文件,研究人员确认了在韩国的其余受害者。此外,研究人员发现了此恶意软件的较老版HWP,可追溯到2020年年中。

04

双尾蝎以巴勒斯坦选举热点信息为诱饵的攻击活动分析

披露时间:2021年11月26日

情报来源:https://mp.weixin.qq.com/s/65vzRcusF66Hc4F4O0ZZJw

相关信息

双尾蝎是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露。至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主,开展有组织,有计划,有针对性的攻击。

近日,奇安信红雨滴安全研究人员捕获了该组织以巴勒斯坦地区选举话题为诱饵的攻击样本,样本为RAR压缩文件。解压后里面包含一个伪装为Word图标的EXE,且具有较长的文件名,如在不显示文件后缀的电脑环境中,具有很强的迷惑性。

样本执行后将从资源获取诱饵文档释放展示,诱饵文档内容主要是关于针对巴勒斯坦选举活动举行的地点商议,其中涉及到各方势力及强宗教信息。经研究人员分析发现,双尾蝎APT组织已将此类样本工具化,只需修改简单配置即可发起批量攻击。

05

深度剖析MuddyWater武器库之POWERSTATS后门

披露时间:2021年11月25日

情报来源:https://ti.qianxin.com/blog/articles/powerstats-the-weapon-of-muddywater/

相关信息

APT组织MuddyWater于2017年2月被Unit42披露命名,其攻击通常始于向组织发送有针对性的电子邮件,然后从该组织内受感染的系统中窃取合法文件,然后将其武器化并分发给其他受害者。其攻击的特点是善于使用高度混淆的PowerShell后门,被称为POWERSTATS。

近期,奇安信红雨滴研究人员捕获到一例恶意样本,经分析首先禁用office的“宏警告”和“受保护的视图”,确保以后的攻击不需要和用户交互。后设置允许宏代码访问内部VBA对象,以便在以后的攻击中更隐蔽地执行宏代码。设置注册表启动项,获取当前运行的进程,计算进程名称的校验和,如果与硬编码的校验和匹配,则会触发BSOD。解密随机代理的URL地址,隐藏C2服务器的真实地址。受感染端点随机连接代理服务器,代理服务器又将信息中继到C2,以此来躲避追踪。接下来获取受害者的操作系统版本、内部IP等加密后一起发送给上面随机获取的代理URL,用来注册一个新的受害者。解析返回的远控指令,完成操作。

为了避免被检测和保证攻击成功,MuddyWater的TTP不断升级,从最初单一的POWERSTATS后门逐渐多元化,发展出Python、C#和PowerShell开发的RAT,甚至于包括Android平台的恶意软件。

06

WIRTE针对中东地区的攻击活动分析

披露时间:2021年11月29日

情报来源:https://securelist.com/wirtes-campaign-in-the-middle-east-living-off-the-land-since-at-least-2019/105044/

相关信息

近日,Kaspersky研究人员发现一场使用Excel宏加载恶意脚本的攻击活动与威胁组织WIRTE有关,该活动至少从2019就开始,且主要针对中东地区。受影响行业主要为政府和外交机构,还有律师事务所和金融机构。此外,WIRTE有可能与组织Gaza Cybergang存在关联。

攻击者发送鱼叉式钓鱼邮件,诱使受害者打开一个Excel/Word文档。Excel文档使用了Excel 4.0宏来下载恶意软件,如加载器Ferocious。Word文档使用VBA宏下载有效负载。攻击者根据目标量身定制了诱饵内容,使用了与目标公司相关的logo和主题,或者使用当地的热门话题,甚至是模仿政府当局。同时,安全人员还观察到WIRTE修改了工具集和操作方式,并新增了LotL技术。

07

双尾蝎Android间谍软件持续更新,躲避手法再升级

披露时间:2021年11月23日

情报来源:https://news.sophos.com/en-us/2021/11/23/android-apt-spyware-targeting-middle-east-victims-improves-its-capabilities/

相关信息

近期,研究人员发现了一个新型Android间谍软件,此间谍软件跟APT组织双尾蝎有所关联,跟进发现此组织对间谍软件进行了更新以防止此软件被手动移除。新版本Android间谍软件首先会以一个应用程序的形式出现,以应用程序更新、系统应用程序更新或Android更新诱导受害人安装。

受害者一旦安装此软件,设备参数就会被传送到C2服务器。新版本使用硬编码的C2地址进行通信,但也允许在代码中更改地址。这样即使C2服务器域名被关闭,此软件的功能依旧可用,并且新版本没有以任何方式隐藏或混淆C2服务器地址。安装后此软件会反复弹窗请求用户授予特定的权限,一旦目标授予了所有权限,应用程序就会伪装自己,以逃避用户的手动移除。

新版本通过修改图标和名称来进行伪装,通常会伪装为GooglePlay、Youtube、Google或Botim的图标来使受害者混淆,误判此软件是合法应用程序。

攻击行动或事件情报

01

SpyAgent利用虚假加密网站和多种合法RAT肆意传播

披露时间:2021年11月29日

情报来源:https://www.trendmicro.com/en_us/research/21/k/campaign-abusing-rats-uses-fake-websites.html

相关信息

近期,安全研究人员跟踪了一个涉及SpyAgent恶意软件的活动,该恶意软件会滥用知名的远程访问工具,包括最著名的TeamViewer。跟进后发现这是一个跟加密货币相关的活动,SpyAgent恶意软件滥用合法的远程访问工具发起恶意攻击,旨在窃取凭证和加密货币钱包。此次活动涉及DLL side-loading漏洞,此漏洞会加载恶意DLL。然后,恶意DLL返回RAT的ID,恶意软件访问密码被设置为一个固定密码,这样只要知道RAT的ID就足以让攻击者成功连接到受感染的机器。

SpyAgent的dropper通过虚假加密货币的相关网站发布,这些网站通常都是俄语的。dropper会伪装成一个假的加密货币钱包、矿工或冲浪插件。当用户访问其中一个网站时,通常会立即出现一个文件下载对话框,之后会提示受害者保存并运行可执行文件。就算用户访问合法网站,但不小心点击恶意链接后,用户会被重定向到其中一个虚假加密货币网站,此时会立即显示一个虚假对话框诱导用户下载恶意软件。在此次活动中,SpyAgent会下载其他恶意软件来窃取重要数据,如RedLine Stealer、Ducky stealer、AZOrult、Cypress Stealer、Clipper。同时还利用了其他RAT木马,如NanoCore、njRAT、AsyncRAT。

02

RATDispenser加载器传播恶意软件活动分析

披露时间:2021年11月23日

情报来源:https://threatresearch.ext.hp.com/javascript-malware-dispensing-rats-into-the-wild/

相关信息

2021年,安全人员发现了八个借助RATDispenser进行分发的恶意软件家族。RATDispenser是一个隐蔽性的JavaScript加载器,可以传播远控木马(RAT)和信息窃取程序。并且RATDispenser的作者可能是在恶意软件即服务的商业模式下进行运作。

感染链从用户收到含有恶意附件的电子邮件开始,附件通常为伪装成文本文件的js文件,该js文件是经过混淆的恶意加载器RATDispenser。一旦双击启用js文件,它就会自我解码,并使用cmd.exe将一个VBScript文件写入%TEMP%文件夹。之后,VBScript文件运行,继续下载恶意软件的有效负载。被观察到的有效负载包括Panda Stealer、STRRAT、WSHRAT、GuLoader、Ratty、Formbook、AdWind、RemcosRAT。

03

利用 RTF模板注入或成为钓鱼攻击新趋势

披露时间:2021年12月01日

情报来源:https://www.proofpoint.com/us/blog/threat-insight/injection-new-black-novel-rtf-template-inject-technique-poised-widespread

相关信息

Proofpoint威胁研究人员发现,APT组织在2021年第二季度和第三季度采用了一种新颖且易于实现的攻击技术,RTF模板注入。RTF模板注入非常适合恶意钓鱼附件,因为攻击者可以使用RTF文件从远程URL加载恶意内容。它与基于office的模板注入相比,反病毒引擎检测率较低。

RTF文件的文档格式属性包括一个"/*/template "控制词,其中值 "*/"指定一个文件地址,"template “表示之前指定的文件是一个模板文件,模板文件在打开初始RTF时被检索和加载,用于改变文件的视觉外观。攻击者可以通过指定一个URL资源而不是文件资源地址,将RTF文件作为武器来检索远程内容,如恶意有效负载。

Proofpoint观察到,从2021年2月到4月,越来越多APT组织采用RTF模板注入。到2021年7月8日,已经发现了可归于南亚APT组织Donot Team的模板注射RTF文件。2021年9月29日,研究人员发现了一个可能属于东亚APT组织的RTF文件,目标是与马来西亚深水能源勘探的相关实体。之后,与俄罗斯联邦安全局(FSB)有联系的APT行为者Gamaredon被观察到在2021年10月5日利用乌克兰政府文件作诱饵的活动中使用RTF模板注入技术。

恶意代码情报

01

BazarLoader新增感染载体,涉及安装程序和ISO文件

披露时间:2021年11月23日

情报来源:https://www.trendmicro.com/en_us/research/21/k/bazarloader-adds-compromised-installers-iso-to-arrival-delivery-vectors.html

相关信息

趋势科技发现恶意软件BazarLoader在现有的传播技术中新增了两种感染机制,攻击者可以滥用这些新技术进行数据窃取和勒索软件攻击。此外,BazarLoader攻击在美洲最活跃。

第一种方法涉及使用受感染的软件安装程序,攻击者会将BazarLoader与合法程序捆绑在一起。然后使用社工方式诱导用户下载安装。当安装程序加载时,它会释放并执行一个BazarLoader可执行文件。

第二种方法涉及使用带有Windows链接(LNK)和动态链接库(DLL)有效负载的ISO文件。LNK文件使用一个文件夹图标来欺骗用户双击运行所附的BazarLoader DLL文件。然后调用导出函数EnterDLL,Rundll32.exe加载恶意DLL并与C&C服务器通信,生成一个挂起的MS Edge进程并将自己注入到进程中。

02

通过视频网站传播的RedLine窃密木马分析

披露时间:2021年11月25日

情报来源:https://mp.weixin.qq.com/s/q4lwUeZjmJwVDbzE9rIUgg

相关信息

近日,安天CERT监测到一起通过视频网站YouTube传播RedLine窃密木马的攻击活动。RedLine窃密木马最早在2020年3月被发现,是流行的窃密木马家族之一,国内外传播较为广泛。该木马具备多种信息窃取功能,如自动窃取目标系统浏览器、FTP、VPN、即时通讯软件的敏感信息,以及屏幕截图及搜集指定文件等功能。该木马以一次性购买或订阅的形式,在地下论坛出售。

攻击者以公共平台为依托,在视频网站YouTube上通过不同的账号上传大量视频,视频内容包括盗版软件、操作教程、虚拟货币、游戏作弊等各类热点话题。视频简介中包含恶意下载链接,诱导用户下载恶意软件并执行。为了获取更多流量,攻击者在视频标题和简介中添加大量的热门搜索关键词。攻击者还会使用窃取到的Google凭证登录新的YouTube账号发布恶意视频,并在曾发布过的其他恶意视频下发表类似于“感谢作者,软件很好用”的诱导性评论,形成闭环。

03

勒索软件UNC2190以Sabbath为名卷土重来

披露时间:2021年11月29日

情报来源:https://www.mandiant.com/resources/sabbath-ransomware-affiliate

相关信息

2021年10月21日,54BB47h (Sabbath)勒索软件成立了网站,并迅速成为安全研究人员谈论的话题。自2021年6月以来,Arcane和Sabbath背后的组织UNC2190针对美国和加拿大的教育、卫生和自然资源相关的关键基础设施发起了攻击。

Sabbath首次曝光是在2021年10月,当时该组织公开勒索了一个美国学校,攻击者在部署了勒索软件后还直接向教职员工、家长甚至学生发送电子邮件,以进一步向学校施加公众压力。

Mandiant发现,Sabbath的网站与2021年6月Arcane的网站几乎一模一样。从Arcane到Sabbath,UNC2190实施的攻击模式几乎也没有什么变化。两个勒索软件附属服务的BEACON样本和基础设施保持不变。此外,攻击者还使用Themida打包BEACON恶意软件,保证其不被检测到。UNC2190还使用过名为ROLLCOAST的勒索软件,ROLLCOAST与TYCOON勒索软件有一定相似之处。

虽然UNC2190是一个不太为人所知的,而且可能是一个较小的勒索软件集团,但它反复更换勒索软件的做法使它避免了大量曝光。

漏洞相关

01

泛微E-Office文件上传漏洞安全风险通告

披露时间:2021年11月29日

情报来源:https://mp.weixin.qq.com/s/AiQpeotMqcnxKk9No5k_aw

情报来源:https://vul.wangan.com/a/CNVD-2021-49104

相关信息

近日,奇安信 CERT 监测到泛微E-Office文件上传漏洞(CNVD-2021-49104)存在在野利用。由于泛微 E-Office 未能正确处理上传模块中输入的数据,未授权的攻击者可以构造恶意数据包发送给服务器,实现任意文件上传,并且获得服务器的webshell,成功利用该漏洞可以获取服务器控制权,目前已监测到该漏洞存在在野利用。鉴于漏洞危害较大,利用无需权限,建议用户及时升级补丁。

02

NSS中的内存损坏漏洞CVE-2021-43527

披露时间:2021年12月01日

情报来源:https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/

情报来源:https://bugs.chromium.org/p/project-zero/issues/detail?id=2237

相关信息

Mozilla于12月1日发布更新,修复了其跨平台网络安全服务(NSS)中的内存损坏漏洞(CVE-2021-43527)。Google project-zero研究人员在10月24日披露该漏洞的细节,在使用NSS的邮件客户端和PDF查看器处理der编码的DSA或RSA-PSS签名时,可能会导致基于堆的缓冲区溢出。研究人员称,成功利用该漏洞可导致程序崩溃代码执行,以及绕过安全检测软件。

点击阅读原文TIP-1000

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247497959&idx=2&sn=8092fbcd97e2d9fe98717f0bbeeff51e&chksm=ea660f90dd118686c3da805c9249e64b336a0906bd5ce8f78abbeab06613e53f6f7d24a7abf2#rd
如有侵权请联系:admin#unsafe.sh