2024.11.15~11.21
攻击团伙情报
APT-C-36(盲眼鹰)近期伪造司法部门文件投DcRat后门事件分析
UNC1549组织伪造求职网站投递恶意软件
DONOT 组织对巴基斯坦海事和国防工业发起网络攻击
APT-C-55(Kimsuky)组织利用GitHub作为载荷平台的攻击活动分析
Emennet Pasargad组织利用WezRat恶意软件攻击以色列
攻击行动或事件情报
恶意NPM包内嵌木马程序开展投毒攻击
Facebook 恶意广告活动通过假 Bitwarden 传播恶意软件
假冒 AI 视频生成器利用信息窃取程序感染 Windows、macOS
新型 PXA Stealer 瞄准政府和教育部门窃取敏感信息
恶意代码情报
反追踪型僵尸网络家族XorBot改头换面,来势汹汹
“Helldown”勒索软件变种将攻击范围扩大到 VMware 和 Linux 系统
深入分析 FrostyGoop 恶意软件
Ngioweb 僵尸网络助长 NSOCKS 住宅代理网络利用物联网设备
新型恶意软件 BabbleLoader 传播 WhiteSnake 和 Meduza 窃取程序
漏洞情报
Ubuntu Needrestart 软件包中发现存在十年之久的安全漏洞
攻击团伙情报
01
APT-C-36(盲眼鹰)近期伪造司法部门文件投DcRat后门事件分析
披露时间:2024年11月20日
情报来源:https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A
相关信息:
最近,APT-C-36使用UUE压缩包伪造司法部门文件向哥伦比亚地区人群或组织投放,最终释放DcRat后门于用户机器中运行。
分析显示,攻击者通过钓鱼邮件诱使用户从第三方云平台下载携带恶意文件的UUE/ZIP等压缩包。压缩文件中内嵌一个自解压EXE文件,使用西班牙语命名,伪造成司法部门文件。自解压EXE文件运行后会在%TEMP%目录下释放恶意脚本执行程序和经混淆的恶意脚本文件。脚本执行后会替换特殊字符,还原恶意代码后执行恶意命令。该恶意脚本会在计算机中创建一个名为“google Update2024 Tas”的计划任务用于持久化且请求下一阶段sostener.vbs恶意脚本运行。该恶意脚本在正常代码中夹带混淆过的恶意代码,继续从第三方平台中下载载荷,进行base64解密后传入构造好的参数执行载荷指定类和函数。
Dllskyfal.txt进行base64解码后是一个C#编译的dll文件,包含反虚拟机、持久化以及载荷加载等功能。DLL文件运行后会判断机器是否处于虚拟机环境,如果处于虚拟机环境便退出。对参数进行判断选择持久化方案,如果参数中包含“1”便在计算机内%temp%目录下创建一个名为xxx.ps1和xx2.vbs文件执行完成持久化。随后DLL文件分别对AndeLoader载荷以及DcRat载荷进行下载,运行AndeLoader将DcRat注入到RegSvcs.exe进程中执行。DcRAT是一种模块化的开源远控木马,具有键盘窃取、截屏、剪切板复制、指令执行等功能。
02
UNC1549组织伪造求职网站投递恶意软件
披露时间:2024年11月15日
情报来源:https://mp.weixin.qq.com/s/N4RyCEl4AjtQX7E9TvDyAg
相关信息:
奇安信监测到了一个可疑的压缩包"SignedConnection.zip"。经进一步分析发现,样本大小为102,2011字节,来自求职网站cdn.careers2find[.]com,通过伪装吸引受害者运行,采用DLL侧加载等手段执行恶意代码。压缩包中的恶意程序(如SignedConnection.exe)运行后会进行一系列恶意操作,如创建目录、写入注册表自启动项(其名称模仿OneDrive)、访问多个域名等。其中,SignedConnection.exe实际为OneDrive相关程序FileCoAuth.exe,它运行后会通过DLL侧加载的方式运行同目录下的secur32.dll。而secur32.dll由C#编写,主要功能为创建一个用户界面迷惑受害者,移动后门DLL文件并建立持久化。原压缩包中的Qt5Core.dll则为MINIBUS后门,具有收集信息和获取后续恶意软件的功能。经研究人员溯源关联,发现恶意压缩包SignedConnection.zip涉及的攻击手法和代码特征与Google在2024年2月披露的中东地区组织UNC1549攻击活动一致,因此推测此次借用求职网站投递恶意软件是UNC1549活动的延续。
03
DONOT 组织对巴基斯坦海事和国防工业发起网络攻击
披露时间:2024年11月15日
情报来源:https://cyble.com/blog/donots-attack-on-maritime-defense-manufacturing/
相关信息:
根据Cyble报告,一个名为 DONOT 的APT 组织将目标锁定在巴基斯坦关键部门,特别是海事和国防制造业。此次攻击活动中的初始感染媒介是一个恶意的 LNK(快捷方式)文件,该文件通过伪装成合法富文本格式 (RTF) 文档的垃圾邮件发送。该LNK 文件被设计成包含加密数据,诱使受害者打开它。一旦点击,该文件就会触发多个 PowerShell 命令,下载其他恶意软件,包括一个充当进一步攻击“暂存器”的 DLL 文件。执行后,恶意 LNK 文件会激活一系列命令,这些命令使用 PowerShell 脚本下载并解密更多有效载荷。然后,这些有效载荷被部署到受感染的系统上,建立立足点,使恶意软件能够在受感染的机器上持续存在。为了保持对网络的访问,恶意软件安排了一项任务,每五分钟执行一次有效载荷。
该组织引入了一种新的命令和控制(C&C)服务器通信方法。恶意软件使用AES加密和Base64编码来混淆其通信,使安全软件更难识别恶意活动。一旦恶意软件确认存在,它就会向主 C&C 服务器发起 POST 请求,传输唯一的设备 ID 以验证受感染的机器。如果 C&C 服务器响应肯定,恶意软件就会下载更多有效载荷,配置系统以保持持久性,并为攻击的其他阶段做准备。
除了加密受害机器与 C&C 服务器之间的通信外,该组织还对备用 C&C 服务器采用了随机域名生成。此策略确保即使主服务器被关闭,恶意软件仍可以通过动态生成的辅助域名继续运行。
04
APT-C-55(Kimsuky)组织利用GitHub作为载荷平台的攻击活动分析
披露时间:2024年11月14日
情报来源:https://mp.weixin.qq.com/s/GzMoR8jKjelzuj5BPhpJYA
相关信息:
360研究人员发现,Kimsuky采用了利用GitHub作为恶意载荷分发平台的新策略。攻击流程涉及使用LNK文件和混淆脚本代码,这些恶意代码从GitHub下载的后续载荷,功能包括信息收集、上传和命令下载执行。
据悉,用于托管恶意载荷的GitHub账号创建于2024年6月14日,该存储库中包含了四个恶意载荷,其中db.txt是攻击者在成功利用初始载荷后所下发的第一个恶意代码,主要功能是调用getinfo、uploadResult以及downCommand函数,以从远程的GitHub地址下载info1.txt、up1.txt和down1.txt这三个文件,解密并执行它们。特别地,down1.txt的下载过程被设置为每30分钟循环进行一次。
解密后的info1.txt主要负责收集用户最近访问的文件列表、系统的完整网络配置信息,以及当前系统的所有进程信息,并将这些信息保存到%appdata%\Ahnlab\avira.txt文件中。解密后的up1.txt主要负责将包含受害者系统信息的avira.txt文件上传到远程FTP服务器。解密后的down1.txt则负责将一段powershell命令保存到%appdata%\utf8settings.ini文件内。这段命令的主要功能是从远程地址下载恶意载荷并执行。
05
Emennet Pasargad组织利用WezRat恶意软件攻击以色列
披露时间:2024年11月14日
情报来源:https://research.checkpoint.com/2024/wezrat-malware-deep-dive/
相关信息:
2024年10月21日,一系列伪装成以色列国家网络安全局(INCD)的电子邮件被发送至多个以色列组织。这些邮件来自一个欺诈性地址[email protected],警告收件人紧急更新他们的Chrome浏览器。10月30日,美国联邦调查局(FBI)、美国财政部和以色列国家网络安全局联合发布网络安全咨询,报告了此次活动中使用的恶意软件,它由Check Point命名为WezRat,归咎于伊朗网络组织Emennet Pasargad。该组织最近以Aria Sepehr Ayandehsazan(ASA)的名义运作,隶属于伊朗伊斯兰革命卫队(IRGC),在2023年至2024年期间对美国、法国、瑞典和以色列等国家的多个领域发动了一系列网络攻击。而WezRat恶意软件则基于C++编写,是一款定制模块化信息窃取器,已经活跃了一年多,具有执行命令、截图、上传文件、窃取键盘记录和剪贴板内容以及cookie文件等许多功能,且其最新版本的一些功能是由以DLL文件形式从C2服务器检索的单独模块所执行。
攻击行动或事件情报
01
恶意NPM包内嵌木马程序开展投毒攻击
披露时间:2024年11月20日
情报来源:https://mp.weixin.qq.com/s/T5Rw9pOiZ7Al-NcT5Rle5g
相关信息:
悬镜供应链安全情报中心近期在NPM官方仓库捕获了多起针对Windows NPM开发者的恶意木马投毒攻击事件。这些攻击涉及9个恶意组件包,共34个不同版本,由同一攻击者投放,总下载量超过3200次。这些恶意NPM包的主要行为是将内嵌在源代码中的Windows EXE恶意木马程序解码释放到系统本地,并伪造成cmd.exe执行。
文章以fixsolara组件包为例,分析了其代码混淆保护、恶意木马释放执行的过程。fixsolara包的恶意代码在组件安装过程中执行,释放出内嵌的Windows木马程序,并植入到受害者系统中执行。该木马程序的base64编码数据被嵌入在代码中,释放到系统临时目录下,并重命名为cmd.exe。木马程序XClient.exe在VirusTotal上被多款杀毒引擎检测为trojan.msil/xworm恶意木马。
02
Facebook 恶意广告活动通过假 Bitwarden 传播恶意软件
披露时间:2024年11月18日
情报来源:https://www.bitdefender.com/en-us/blog/labs/inside-bitdefender-labs-investigation-of-a-malicious-facebook-ad-campaign-targeting-bitwarden-users
相关信息:
Bitdefender发现了一个利用Facebook广告平台的恶意广告(malvertising)活动,该活动伪装成流行的Bitwarden密码管理器的安全更新,目标是商业账户用户。这个活动在2024年11月3日被检测到,尽管已被取下,但专家警告说类似的威胁可能会再次出现。
当用户点击这些广告时,他们会通过一系列网站被重定向到一个模仿官方Chrome网络商店的钓鱼页面,该页面通知用户安装伪装成Bitwarden更新的恶意浏览器扩展。安装过程涉及从Google Drive下载一个zip文件,解压缩它,并手动将扩展加载到浏览器中。一旦安装,这个恶意的Chrome扩展会请求权限,使其能够拦截和利用用户的在线活动。请求的关键权限包括访问所有网站、修改网络请求以及访问存储和cookies。扩展的manifest文件揭示了这些权限,表明其能够执行各种恶意活动。
研究人员指出,攻击的核心在于background.js脚本,该脚本在安装后激活,执行数据泄露任务,收集的数据被发送到作为命令和控制服务器的Google Script URL。该脚本还进行cookie收集,允许攻击者搜索Facebook cookies,特别是包含用户Facebook ID的c_user cookie。此外,脚本还收集IP地址和地理位置数据,并使用Graph API从Facebook提取个人和商业信息。
03
假冒 AI 视频生成器利用信息窃取程序感染 Windows、macOS
披露时间:2024年11月16日
情报来源:https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-infect-windows-macos-with-infostealers/
相关信息:
研究人员发现假冒的 AI 图像和视频生成器利用 Lumma Stealer 和 AMOS 信息窃取恶意软件感染 Windows 和 macOS,用于从受感染的设备中窃取凭证和加密货币钱包。Lumma Stealer 是一种 Windows 恶意软件,而 AMOS 适用于 macOS,但它们都会从 Google Chrome、Microsoft Edge、Mozilla Firefox 和其他 Chromium 浏览器窃取加密货币钱包和 cookie、凭据、密码、信用卡和浏览历史记录。这些数据被收集到档案中并发送回攻击者,攻击者可以利用这些信息进行进一步的攻击或在网络犯罪市场上出售。
过去一个月,攻击者创建了虚假网站,冒充名为 EditPro 的 AI 视频和图像编辑器。这些网站通过 X 上的搜索结果和广告进行推广,分享深度伪造的政治视频,例如拜登总统和特朗普一起享用冰淇淋。点击这些图像后,将会进入 EditProAI 应用程序的虚假网站,其中 editproai[.]pro 用于推送 Windows 恶意软件,而 editproai[.]org 用于推送 macOS 恶意软件。被盗的凭证随后被用来 侵入公司网络,开展数据盗窃活动,就像我们在这次大规模 SnowFlake 帐户泄露事件中看到的那样,并通过 破坏网络路由信息来造成混乱。
04
新型 PXA Stealer 瞄准政府和教育部门窃取敏感信息
披露时间:2024年11月14日
情报来源:https://blog.talosintelligence.com/new-pxa-stealer/
相关信息:
Cisco Talos揭露了一个由越南语威胁行为者发起的信息窃取活动,该活动主要针对欧洲和亚洲的政府和教育实体。新发现的Python程序PXA Stealer能够窃取包括在线账户凭证、VPN和FTP客户端数据、财务信息、浏览器cookies以及游戏软件数据在内的敏感信息。该程序还能解密受害者浏览器的主密码并窃取存储的在线账户凭证。
攻击者使用了复杂的混淆技术来隐藏其批处理脚本,并在Telegram频道“Mua Bán Scan MINI”中出售凭证和工具,该频道也是CoralRaider对手活动的地方,但目前尚不清楚攻击者是否属于CoralRaider威胁集团或其他越南网络犯罪集团。
PXA Stealer程序中硬编码了攻击者的Telegram账户“Lone None”,分析该账户包括越南国旗图标和越南公安部徽章的图片,以及PXA Stealer程序中的越南评论,进一步证实了攻击者是越南人。攻击者还在Telegram频道“Mua Bán Scan MINI”中活跃,主要销售Facebook账户、Zalo账户、SIM卡、凭证和洗钱数据。此外,攻击者还推广另一个Telegram频道“Cú Black Ads – Dropship”,分享了一些自动化工具来管理大量用户账户,并交换或销售与社交媒体账户、代理服务和批量账户创建工具相关的信息。
恶意代码情报
01
反追踪型僵尸网络家族XorBot改头换面,来势汹汹
披露时间:2024年11月20日
情报来源:https://mp.weixin.qq.com/s/kPphC1mvlkr5qvI9PFBHpw
相关信息:
绿盟科技伏影实验室监测到XorBot僵尸网络家族自2024年以来频繁更新版本并引入新功能,显示出显著的变化。该家族最初于2023年11月出现,主要针对物联网设备,尤其是Intelbras监控摄像头以及TP-Link和D-Link品牌路由器,导致国内大量物联网设备受到侵害,江苏和河北受影响最为严重。
XorBot僵尸网络的操控者开始积极展开营利性运营活动,公开提供DDoS攻击租赁服务,并以“Masjesu Botnet”为名在Telegram频道宣传。该家族软件包含明确的版本标识,最新版本已更新至1.04。木马内置多达12种不同的漏洞利用方式,成功利用后会在受害设备上运行恶意程序,并在/tmp目录下放置木马。
XorBot家族的木马版本经历了多次迭代,每个版本都有其活跃时间段和特征。最新版本与早期版本在保持相似性的同时,也展现出显著差异,包括新增版本标识字段、不同的Flooding攻击模块、以及新增十余种漏洞利用技术。该家族的传播脚本显示出对多种CPU架构的广泛兼容性,包括MIPS、PowerPC、ARM以及x86_64等。
02
“Helldown”勒索软件变种将攻击范围扩大到 VMware 和 Linux 系统
披露时间:2024年11月19日
情报来源:https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/
相关信息:
Sekoia提供了关于Helldown勒索软件的详细分析,这是一个针对Windows和Linux系统的新兴威胁,特别是针对Zyxel防火墙的漏洞。
文章指出,Helldown勒索软件集团主要针对Zyxel防火墙,通过利用未公开的漏洞作为入侵点。至少有八名受害者在被入侵期间使用了Zyxel防火墙作为IPSec VPN访问点。Zyxel在2024年9月发布了安全补丁,解决了包括一个允许未经认证的攻击者执行恶意代码的严重漏洞。Sekoia的分析显示,Helldown勒索软件与Darkrace或Donex勒索软件有相似之处,但目前尚无法确定它们之间的具体联系。
Helldown勒索软件的Windows变种通过删除系统影子副本、终止特定进程、加密文件、生成勒索信并在桌面上创建,以及在加密后关闭机器。Linux变种则针对VMware ESX服务器,尽管代码中存在终止虚拟机的功能,但分析显示该功能并未被实际调用。
03
深入分析 FrostyGoop 恶意软件
披露时间:2024年11月19日
情报来源:https://unit42.paloaltonetworks.com/frostygoop-malware-analysis/
相关信息:
2024年7月,FrostyGoop/BUSTLEBERM恶意软件被用于攻击乌克兰的一个市政能源公司,导致供暖系统中断两天,影响了600多栋公寓楼。这是首次发现使用Modbus TCP通信影响供暖服务的ICS针对性恶意软件。FrostyGoop可以内部或外部使用,如果目标设备在互联网上可访问,就可以发送Modbus命令来读取或修改工业控制系统(ICS)设备上的数据,造成破坏。
Unit 42团队对其进行了深入分析,FrostyGoop是用Go语言编写的,使用了一个相对不常见的开源Modbus实现。该恶意软件通过命令行参数或单独的JSON配置文件提供Modbus TCP连接和发送Modbus命令所需的详细信息。对 Modbus 库的进一步分析表明,此实现本身不支持使用JSON文件提供参数,这成为了识别FrostyGoop的一个强标识符。此外,JSON 对象结构遵循基于此恶意软件支持的命令的特定格式。FrostyGoop 还包含将输出记录到控制台或 JSON 文件的功能。
文章还提到一个名为go-encrypt.exe的Windows可执行文件,它与FrostyGoop在同一时间出现,用于加密和解密JSON文件。虽然不能确认go-encrypt.exe是否被用于FrostyGoop攻击,但它可能被攻击者用来隐藏JSON文件中的目标信息,以便后续攻击。Unit 42团队对目标基础设施进行调查,发现了32个暴露的ENCO设备,这些设备主要位于罗马尼亚和乌克兰。这些ENCO设备都暴露了TCP端口23(Telnet),Telnet没有内置加密,使得这些设备容易被探测和识别。
04
Ngioweb 僵尸网络助长 NSOCKS 住宅代理网络利用物联网设备
披露时间:2024年11月18日
情报来源:https://blog.lumen.com/one-sock-fits-all-the-use-and-abuse-of-the-nsocks-botnet/
相关信息:
Lumen Technologies 的最新发现显示,名为 Ngioweb 的恶意软件已被用于支持臭名昭著的住宅代理服务 NSOCKS,以及 VN5Socks 和 Shopsocks5 等其他服务。至少80%的NSOCKS bot源自ngioweb botnet,主要利用小型办公/家庭办公(SOHO)路由器和IoT设备。其中三分之二的代理位于美国。
文章详细介绍了ngioweb基础设施的运作方式,包括其加载器网络和恶意软件分析。ngioweb botnet由两个不同元素组成,首先是加载器网络,它指导bot获取并执行ngioweb恶意软件。一旦感染,受害者将联系第二阶段的C2域进行管理,这些域通过域名生成算法(DGA)创建。这些C2节点不仅监控和检查bot的流量能力,还将有用的bot与“backconnect” C2连接,使其在NSOCKS代理服务中可供任何人使用。
全球遥测分析显示,ngioweb botnet利用多种漏洞,观察到的设备中有15%运行易受攻击或已弃用的Web应用程序库,如YUI。Zyxel设备、Alpha Technology设备和Reolink安全摄像头各占botnet的5%。ngioweb botnet似乎没有利用零日漏洞,而是利用各种路由器型号的大量n-day漏洞。这些设备虽然老旧,但对恶意活动有价值,因为它们经常能逃避常见的网络安全解决方案的检测。
05
新型恶意软件 BabbleLoader 传播 WhiteSnake 和 Meduza 窃取程序
披露时间:2024年11月17日
情报来源:https://intezer.com/blog/research/babble-babble-babble-babble-babble-babble-babbleloader/
相关信息:
网络安全研究人员发现了一种名为 BabbleLoader 的新型隐秘恶意软件加载器,该加载器已被观察到在野外提供WhiteSnake和Meduza等信息窃取程序家族。证据表明,该加载程序被用于针对英语和俄语个人的几项活动,主要通过将其伪装成会计软件来针对寻找通用破解软件的用户以及金融和行政管理领域的商业专业人士。
BabbleLoader 集成了各种规避技术,可以欺骗传统和基于 AI 的检测系统。这包括使用垃圾代码和变形转换来修改加载器的结构和流程,以绕过基于签名和行为的检测。它还通过仅在运行时解析必要的函数来绕过静态分析,同时采取措施阻止沙盒环境中的分析。此外,过多添加无意义、嘈杂的代码会导致 IDA、Ghidra 和 Binary Ninja 等反汇编或反编译工具崩溃,从而迫使进行手动分析。加载器的核心是负责加载 shellcode,然后解码并执行下一阶段载荷 Donut 加载器,它用于在内存中解压并执行最终的有效载荷。研究人员观察到的有效载荷有 WhiteSnake 窃取程序、Meduza 窃取程序。
漏洞情报
01
Ubuntu Needrestart 软件包中发现存在十年之久的安全漏洞
披露时间:2024年11月19日
情报来源:https://blog.qualys.com/vulnerabilities-threat-research/2024/11/19/qualys-tru-uncovers-five-local-privilege-escalation-vulnerabilities-in-needrestart
相关信息:
在Ubuntu Server(自21.04版本起)中默认安装的Needrestart软件包中,发现了多个数十年前的安全漏洞,可能允许本地攻击者在无需用户交互的情况下获得 root 权限。这些漏洞被Qualys Threat Research Unit (TRU) 识别并报告,它们非常容易利用,因此用户需要迅速应用修复。这些漏洞自Needrestart 0.8版本(2014年4月27日发布)引入解释器支持以来就存在。
Needrestart是一个实用工具,用于扫描系统以确定在应用共享库更新后需要重启的服务,以避免完整的系统重启。这些漏洞允许本地攻击者通过设置特殊的环境变量(如PYTHONPATH或RUBYLIB)来执行任意代码,从而获得root权限。Ubuntu在版本3.8中解决了这些漏洞,并建议Debian、Ubuntu和其他Linux发行版的用户更新。五个漏洞的具体信息如下:
CVE-2024-48990(CVSS得分:7.8):通过控制PYTHONPATH环境变量,允许本地攻击者执行任意代码。
CVE-2024-48991(CVSS得分:7.8):通过赢得竞态条件,诱使Needrestart运行攻击者控制的伪造Python解释器。
CVE-2024-48992(CVSS得分:7.8):通过控制RUBYLIB环境变量,允许本地攻击者执行任意代码。
CVE-2024-11003(CVSS得分:7.8)和CVE-2024-10224(CVSS得分:5.3):利用libmodule-scandeps-perl包中的两个漏洞,允许本地攻击者执行任意shell命令。
点击阅读原文至ALPHA 7.0
即刻助力威胁研判